Het feit dat opnieuw open source software de oorzaak is, doet vragen rijzen: is open source wel betrouwbaar?
Verleden week maakten we kort melding van het feit dat er een nieuwe en heel belangrijke bug ontdekt is in software die op heel wat server draait. Daar gaan we nu even verder op in. Het gaat om een bug in Bash, kort voor Bourne-Again Shell, gratis software die ingebouwd is in meer dan 70% van alle toestellen die een verbinding leggen met het internet - van servers en computers, tot routers, mobiele telefoons en zelfs camera's en ijskasten die deel uitmaken van het IoT (Internet of Things). Bash is, kort samengevat, een interface waarmee je commando's kan doorgeven.
Het blijkt dat Bash een software bug bevat waardoor het mogelijk is om de controle over te nemen van al die machines, honderden miljoenen zijn dat er, waaronder Macs en smartphones met Android. Dit in tegenstelling tot die andere grote bug die dit jaar ontdekt werd, Heartbleed, en waarbij enkel paswoorden gestolen konden worden. Heartbleed is bovendien een bug die slechts 2 jaar ongemerktkon blijven bestaan, en een bedreiging vormde voor een 500.000 machines, terwijl ShellShock al 22 jaar bestaat, en miljoenen machines bedreigt.
Er is echter wel een gelijkenis tussen beide bugs: beiden zijn te vinden in software die open source is, en onderhouden wordt door vrijwilligers. En dat terwijl altijd verondersteld werd dat open source veilig is, omdat iedereen de broncode kan bekijken, en eventuele fouten ontdekken. Een stelling die met deze twee bugs toch een flinke deuk gekregen heeft. Bij New York Times lees je een portret van de man die verantwoordelijk was voor BASH.(1)
Ondertussen kunnen bezorgde gebruikers van Unix en Mac systemen onderzoeken of hun systeem gevaar loopt door de bug. Bij Slate.com vind je een methode om dit op te sporen, en ook meer achtergrond (2). Mogen wij hierbij fijntjes opmerken dat het al de tweede keer is dat Microsoft en zijn Windows software, dat toch altijd verweten wordt onveilig te zijn, geen last blijkt te hebben van de bug?
En tot slot een artikel bij Ars Technica, waarin je kan lezen over een bug fix die het euvel moet verhelpen (3)
http://www.nytimes.com/2014/09/26/technology/security-expert ...
http://www.slate.com/blogs/future_tense/2014/04/08/heartblee ...
http://arstechnica.com/security/2014/09/new-shellshock-patch ...
|