Broncode inzien kan beveiligingsinzicht geven, maar daarmee is het niet per definitie goed. Dit is de discussie-stelling die Computable-lezers vandaag krijgen voorgelegd.
Ceo Eugene Kaspersky van de Russische ict-securityleverancier Kaspersky Lab is bereid de Amerikaanse overheid inzage te geven in de broncode van zijn software. ‘Alles wat ik kan doen om te bewijzen dat we niet kwaadwillend handelen, dat zal ik doen’, verklaart de topman tegen persbureau AP. ‘We hebben niets te verbergen’, voegt hij daar in een tweet aan toe.
Vanuit de VS duiken om de zoveel tijd verdenkingen op dat Kaspersky (het bedrijf en/of de persoon) nauwe banden heeft met de Russische overheid. Recent zijn daar verkennende FBI-verhoren bij gekomen en een wetsvoorstel dat overheidsgebruik van Kaspersky-producten aan banden legt. Ondertussen kan het securitybedrijf wel bogen op kritisch onderzoek naar digitale dreigingen, ongeacht de vermoedde herkomst.
Andersom hebben landen als Rusland en China eerder al broncode-inzage geëist – en verkregen – van Amerikaanse aanbieders van ict- en ict-securityproducten. Grote en bekende leveranciers als Cisco, IBM, HPE, McAfee, SAP en Microsoft werken hier aan mee. Opvallende uitzondering is Symantec, die tegenover persbureau Reuters verklaart dat zulke inzage een onacceptabel risico is voor de integriteit van zijn beveiligingsproducten. Dat argument kan ook gelden voor de VS en Kaspersky. Broncode-inzage is dus een geval van ‘damned if you do and damned if you don’t’?
Wat vind jij?
Zolang het probleem niet integraal wordt aangepakt, van besturingssysteem t/m de eindgebruikerssoftware, blijft het steken bij symptoombestrijding.
Alleen met transparante technologie is vertrouwen te geven en dus ook te krijgen.
De sleutel ligt in handen van de gebruiker, die echter nog steeds denkt met “bovenmenselijke” technologie te maken heeft. Dat was niet zo in 1968, dat is nog steeds niet zo. Het maakt wèl verschil of de technologie te dienste staat van de samenleving en de mensen of het “verdienmodel” van private ondernemers…
Zolang het probleem niet integraal wordt aangepakt, van besturingssysteem t/m de eindgebruikerssoftware, blijft het steken bij symptoombestrijding.
Alleen met transparante technologie is vertrouwen te geven en dus ook te krijgen.
De sleutel ligt in handen van de gebruiker, die echter nog steeds denkt met “bovenmenselijke” technologie te maken heeft. Dat was niet zo in 1968, dat is nog steeds niet zo. Het maakt wèl verschil of de technologie te dienste staat van de samenleving en de mensen of het “verdienmodel” van private ondernemers…
Inzage in broncode is niet het zelfde als opensource gebruiken.
Hoe weet je immers dat de broncode die je bekijkt ook de code is die er op je platform draait ?
Zoals Dick heel terecht opmerkt, het probleem moet bij de bron worden aangepakt.
Waarom moeten attachements (al dan niet in allerlij bagger facto standaard bestandsformaten) uitvoerbare code bevatten ?
Waarom moeten we allerlij opmaak troep in een email stoppen ?
Waarom moet elke werknemer uberhaupt email en een webbrowser hebben ?
Waarom gebruiken we naar al die miskleunen nog steeds microsoft terwijl er hoopjes alternatieven zijn
Kortom leuk als je een keertje op de koffie mag komen bij Eugene,
maar dat lost geen enkel probleem op.
Het onderliggende probleem is het neo-Mcarthyism waarbij alles wat van Russische afkomst is verdacht gemaakt wordt. Dwz dat het meer de vorm krijgt van een heksenjacht ipv een gezond wantrouwen.
Transparantie is voor security zaken een must. (En een mooie paradox)
Geen Symantec dus….
Het hangt er vanaf wat ermee gedaan wordt.
Als de ene overheid inzage krijgt in hoe een grote en bekende virusscanner uit een ander land werkt, weten ze in het slechtste geval ook hoe ze dit kunnen omzeilen, en kunnen ze daarmee kwaadwillende aanvallen doen m.b.v virussen/malware etc.