Inzage in broncode helpt hackers

7 juni 2010
Lekken in open-sourcesoftware worden sneller en met hogere frequentie doelwit van hackpogingen dan lekken in gesloten software. Dat suggereert dat de toegankelijkheid van de broncode de hackers helpt bij het ontwikkelen van hun malware.

Tussen de eerste melding van een lek en de eerste poging tot misbruik zit bij open-sourcesoftware gemiddeld 3 dagen minder dan bij gesloten software. De frequentie van de aanvallen op open-sourcesoftware ligt bovendien zo’n 50 procent hoger. Dat concludeert Sam Ransbotham, assistent-professor aan de Carroll School of Management van het Boston College,uit statistische analyses op meldingen van pogingen tot computerinbraak.

Voorstanders van open-sourcesoftware redeneren in de regel, dat open source veiliger is dan gesloten software, omdat meer ogen naar de software (kunnen) kijken. Daardoor zouden fouten eerder opgemerkt worden. Voorstanders van gesloten software trekken uit die openheid precies de omgekeerde conclusie: omdat de broncode openbaar is, kunnen mensen met kwade bedoelingen zwakke plekken in open-sourcesoftware makkelijker opsporen dan in gesloten software.

Ransbothams analyse wekt de indruk dat de inzichtelijkheid van de broncode hackers wel helpt. Maar dat beslist het debat over de veiligheid van open en gesloten software nog niet. Daarvoor zou ook de de relatieve frequentie van lekken in open en gesloten software in de discussie betrokken moeten worden, evenals de ernst van de lekken en de frequentie van aanvallen. Dat heeft Ransbotham niet gedaan.

Ransbotham onderzoek wijst - voor zover dat nodig is - wel uit dat hackers gewoon alle informatie gebruiken die ze tot hun beschikking hebben. Zijn analyses tonen ook een verband tussen het opnemen van handtekeningen in de databases van antivirusleveanciers en aanvallen. Kennelijk geeft zo’n handtekening hackers dus informatie over de manier waarop een kwetsbaarheid te exploiteren valt, aldus Ransbotham, al kan hij niet aangeven hoe.

Voor zijn analyse gebruikte Ransbotham 400 miljoen meldingen van pogingen tot inbraak in de jaren 2006 en 2007 in de detectiesystemen van Secureworks. Die meldingen bracht hij via de database van kwetsbaarheden van het Amerikaanse National Institute of Standards and Technology in verband met de software die doel van de aanval was. Overigens bleek het nog niet zo eenvoudig om een eenduidig onderscheid te maken tussen open en gesloten software. Van de 13.000 producten waarover de National Vulnerability Database gegevens bevat, viel de helft af omdat die een mengvorm bevatte.

Slechts een beperkt aantal geconstateerde kwetsbaarheden leidde tot een aanval op deze producten. Van 883 kandidaten werden er maar 97 daadwerkelijk gebruikt tegen Ransbotham collectie van zuivere open dan wel gesloten software. Die 97 waren wel goed voor 28 procent van de aanvallen die Secureworks had geconstateerd.

Lees meer over
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.