Het onlangs gevonden probleem met het lek in Ruby on Rails heeft veel kanten. Het kan, vooral voor mensen die niet zoveel weten van software, veel goede inzichten opleveren. Hierin zal ik proberen wat duidelijkheid te scheppen.
Allereerst, elk lek is in theorie gevaarlijk. Alle software bevat fouten (‘bugs’). Software schrijven is mensenwerk, en mensen maken fouten. Ook de talen waarin die software geschreven worden, bevatten daardoor fouten. Daarnaast wordt veelal gebruik gemaakt van frameworks. Dit zijn hulpmiddelen die een bepaald onderdeel van het programmeren vergemakkelijken doordat ze op een standaard manier bepaalde problemen helpen op te lossen. Ook deze bevatten fouten. In dit geval is Ruby de taal, Rails is het framework. Dit framework biedt, heel kort door de bocht beschreven, heel veel hulpmiddelen voor het snel bouwen van websites die gekoppeld zijn met databases.
Ruby on Rails is open source. Dit heeft als voordeel dat iedereen de broncode kan bestuderen. Hierdoor kunnen fouten snel gevonden, gecommuniceerd en opgelost worden. Minder zichtbare fouten worden soms pas na een hele tijd gevonden en hopelijk gecommuniceerd. Iemand die als enige op de hoogte is van een fout, zou hem mogelijk voor eigen gewin kunnen misbruiken.
Een fout, die zoals in dit geval ernstige consequenties zou kunnen hebben, kan overal waar gebruik gemaakt is van de betreffende versie van Ruby on Rails, misbruikt worden. Daarom is het in dit geval ook van cruciaal belang om, wanneer je software hebt ontwikkeld met behulp van deze kwetsbare versie, deze te vervangen door een nieuwe (niet-kwetsbare) versie. Anders blijft het risico van een aanval altijd bestaan. De kosten hiervan zijn vele malen hoger dan die van een update.
DigiD is natuurlijk een enorm zichtbare applicatie, die heel veel gebruikt wordt. Daarnaast kun je met gegevens uit DigiD heel veel doen. Alleen al het platleggen van DigiD is groot nieuws, zelfs als er geen gegevens ‘gestolen’ worden. Dat maakt DigiD extra interessant om ‘aan te vallen’. Als de applicatie alleen de aanbiedingen van de bakker om de hoek bevat, wordt het een stuk minder interessant. Maar zelfs aanvallen daarop kun je niet uitsluiten. Er zijn nu eenmaal mensen die het leuk vinden ‘just because they can’.
