Open en veilig, zijn dit twee concepten die elkaar versterken of juist niet? De broncode van open source software kan iedereen inspecteren. Wat de impact daarvan is op de veiligheid, daarover verschillen de meningen. Een kort overzicht van (klassieke) posities met commentaar van Melanie Rieback en Brenno de Winter, betrokken bij de diverse nieuwe corona-applicaties, waaronder CoronaMelder.
Beeld: Shutterstock
Veiligheidsexperts, zeker uit de hoek van encryptie, zijn vaak voorstanders van open source. De kracht van encryptie ligt juist in de aantoonbaarheid van veiligheid. Het vertrouwen in de veiligheid is gerechtvaardigd, omdat je kunt beredeneren en demonstreren dat een systeem veilig is en wanneer kritische kenners daarover consensus hebben. En daarnaast dwingt open code mensen om kwalitatief betere code te schrijven, die helder is en voldoet aan standaarden. “Betere code is ook makkelijker te controleren op veiligheid (1).
Uiteraard zijn hier argumenten tegenover te zetten. Een dergelijke strategie heeft wellicht de potentie om veiliger te zijn, maar daarmee is veiligheid in de praktijk niet gegarandeerd (2). En intuïtief zullen veel mensen denken dat veiligheid gebaat is bij geheimhouding. Open source software is leesbaar voor iedereen en dus ook voor mensen die kwaad willen. En daarom is het beter een paar experts in beslotenheid naar de code te laten kijken.
Dit zijn de klassieke posities. In de praktijk kunnen beide posities leiden tot een vals gevoel van veiligheid. Afhankelijk zijn van geheimhouding is een kwetsbaarheid op zichzelf. Software kan, met hulpmiddelen, weer omgezet worden in broncode. En lang niet elke zwakte vereist kennis van de code om er misbruik van te maken. Maar ook de argumenten voor open source software kunnen tot een vals gevoel van veiligheid leiden. Het idee dat hele wereld naar de code kijkt, waaronder mensen die een groot belang hebben bij de veiligheid ervan, kan je ook laks maken. Bovendien: is het wel in alle gevallen zo? Is er daadwerkelijk een brede groep van gebruikers met een groot belang die ook kijkt naar de veiligheid?
Testen
“In de praktijk begint veiligheid met zelf verantwoordelijkheid nemen,” vertelt Brenno de Winter. “Dat begint met vertrouwen in je ontwikkelproces. Je moet zorgen dat je ook daadwerkelijk test wat je zelf kunt testen. Je moet weten hoe zo’n toepassing gebruikt wordt en in welke processen. En uiteraard moet je stilstaan bij de vraag welke belangen een ander kan hebben.” De Winter is betrokken bij diverse projecten van het ministerie van Volksgezondheid, Welzijn en Sport. “Partijen kunnen belang hebben bij informatie. En als het gaat om gegevens van burgers over vaccinatie wil je daar uiteraard geen risico’s mee nemen. Zo’n dreiging moet je modelleren en testen. Maar partijen kunnen ook simpelweg belang hebben bij het kunnen verstoren van jouw dienst.”
Radically Open Security is het bedrijf dat de penetratietests uitvoerde voor onder meer CoronaMelder. Directeur Melanie Rieback is groot voorstander van open source in al zijn vormen. “Wij geven alles vrij. Onze trainingen, onze software en de routines die we gebruiken om te testen.” Ook de penetratietesten die haar bedrijf uitvoerde voor VWS werden direct vrijgegeven. “Veiligheid is een proces en een houding. Dat proces en die houding willen wij optimaliseren. Klanten kunnen over onze schouders meekijken in de chatroom en volgen wat wij doen en dat bespreken. Al lang voordat wij een rapport hebben uitgebracht, weten onze klanten waar ze aan moeten werken.”
Melanie Rieback: “Het idee om vertrouwen te wekken door openheid is het juiste idee”
“Wij maken onze software open source, om een norm te stellen in de industrie. Ook onze concurrenten mogen van ons leren, ten behoeve van hun klanten en in feite ten behoeve van de maatschappij. En natuurlijk proberen we daarbij ook een standaard te zetten.” Volgens Rieback is gesloten software en ‘black box consultancy’ de vijand van effectiviteit als het gaat om veiligheid. “Als bedrijven elk hun expertise in hun eigen kleine domein geheimhouden, dan bundelen ze de krachten niet om beter en completer te testen. Hun businessmodel staat dan in feite veiligheid in de weg.” Riebacks bedrijf heeft dan ook een bijzondere constructie. Het is een ‘not-for-profit’ bedrijf, dat 90 procent van de winst doneert aan stichting NLnet die daadwerkelijk aan onderzoek doet en aan de ontwikkeling van open source veiligheidstoepassingen. “Bij veel andere bedrijven is veiligheid eigenlijk een bijproduct en gaat het meeste geld zitten in marketing in plaats van in R&D.” Het hele idee van start-ups die met kapitaal snel moeten groeien en dan verkocht moeten worden, ziet ze als niet geschikt voor bedrijven die verantwoordelijk zijn voor cybersecurity. “Verkoop van dergelijke bedrijven is een serieus probleem, met name voor overheden, kijk naar wat er gebeurde met FoxIT.
Geen zekerheid
Het mag dan ook geen verbazing wekken dat Rieback erg te spreken is over het proces bij CoronaMelder. “Het idee om vertrouwen te wekken door openheid is het juiste idee. Dat geldt veel breder dan alleen voor het vertrouwen van burgers in de overheid. De FBI gebruikt alleen open source software, want wat ze niet kunnen zien vertrouwen ze niet. Als het ertoe doet, heb je niks aan aansprakelijkheid, want dan is het kwaad al geschied. Veiligheid is nooit een zekerheid, maar het is natuurlijk beter om zoveel mogelijk zeker te stellen dat je software veilig is, dat updates daadwerkelijk gedaan worden en dat kwetsbaarheden daadwerkelijk worden gedicht.”
Toch kunnen er bijzondere situaties zijn waarin je software niet of nog niet open source wilt maken, stelt De Winter. Stel je weet in principe zeker dat je applicatie veilig is, maar je hebt enorme haast om de applicatie in gebruik te nemen. Dan kan het wenselijk zijn om te wachten tot je al je dreigingsanalyses hebt gemaakt. Of tot je weet hoe die toepassing gebruikt wordt en in welke processen. Zo’n situatie hebben wij gehad.” Maar in principe is ook De Winter een groot voorstander van open source ook voor de veiligheid, “Je organiseert daarmee ook je peer review. En partijen die jouw software gaan testen op veiligheid, lopen harder. Ze weten dat wanneer ze dingen missen, dit zichtbaar is.”
(1) Rijmen, Vincent. “LinuxSecurity.com Speaks With AES Winner”.
(2) Levy, Elias. “Is Open Source Really More Secure than Closed?”
Arjan Widlak is directeur van Stichting Kafkabrigade
‘Over de drempel’
‘Over de drempel’ is een project van iBestuur, stichting Kafkabrigade en het ministerie van Binnenlandse Zaken en Koninkrijksrelaties. Doel: het stimuleren van de beeldvorming over de inzet van open source en de mogelijkheden tot flexibilisering van de aanbesteding van software.
