Nadat enige tijd geleden bekend werd dat het open versleutelings-systeem OpenSSL al jaren lek was, blijken er maar liefst zes kwetsbare plekken in het systeem te zijn ontdekt door een Japanse onderzoeker. Dat is een paar dagen geleden bekend gemaakt door de OpenSSL Foundation. Het zou gaan om kwetsbaarheden waarbij iemand tussen computer en server kan dringen (het middenmanscenario). Het lek zou minder ernstig zijn dan Heartbleed en ook zou er nog geen code openbaar zijn gemaakt waarmee van dit lek gebruik gemaakt kan worden, wat overigens niet betekent dat er geen misbruik van deze nieuwe kwetsbaarheid is gemaakt. De fout zou al aanwezig geweest zijn vanaf de lancering van OpenSSL aan het eind van de jaren ’90.
OpenSSL is, zoals dat ‘open’ al suggereert, een open systeem. Verbeteringen, uitbreidingen, maar ook het wegpoetsen van fouten gebeurt door een gemeenschap van vrijwilligers, zoiets als bij wikipedia m.m. Volgens aanhangers van OpenSSL heeft het systeem niet meer fouten en lekken dan commerciële systemen. Open programmatuur zou, in principe, zelfs minder fouten moeten bevatten, omdat die door ieder lid van de ‘gemeenschap’ kunnen worden ontdekt en, eventueel, opgelost. Volgens Paul-Henri Huckel, een Franse veiligheidsdeskundige die voorheen verbonden was aan OpenSSL, zou het aantal lekken van dit type niks zeggen over de kwaliteit van OpenSSL. Door de ontdekking van Heartbleed zouden de leden van de OpenSSL-gemeenschap juist harder op zoek zijn gegaan naar andere zwakheden. “De ontdekking van die foutjes is een waarborg voor de transparantie en bruikbaarheid van openbron-systemen.”
Een kwetsbaar punt van een open systemen is het gebrek aan geld. Bij OpenSSL gaat maar een paar duizend dollar per jaar, terwijl de grootste bedrijven er gebruik van maken. Het lijkt er nu op dat die hun portemonnee gaan trekken voor een fonds dat is opgezet door de Linux-stichting (Linux is een openbesturingssysteem, waarvan Ubuntu de bekendste verschijningsvorm is).
Bron: Le Monde