Auteur: Jan Vlug
Minister Grapperhaus informeerde de Kamer via deze brief over de uitfasering van de antivirussoftware van Kaspersky Lab.
In de brief wordt, kort samen gevat, het volgende betoogd:
- Er zijn zorgen ten aanzien van nationale veiligheidsrisico’s.
- Het kabinet wil deze risico’s voorkomen.
- Antivirussoftware heeft diepgaande toegang tot ICT-systemen.
- Russische wetgeving vereist dat bedrijven zoals Kaspersky de Russische inlichtingendiensten ondersteunen.
- De Russische Federatie heeft een actief offensief cyberprogramma dat onder meer is gericht op Nederland en Nederlandse belangen.
Op zich geen gekke argumenten, maar het is verbazend dat op basis hiervan alleen de Russische Kaspersky software wordt verbannen. Naast Rusland zijn er ook andere landen die actief zijn in Nederland. Daarnaast hebben besturingssystemen als Windows ook diepgaande toegang tot ICT-systemen.
Het is verstandig dat de Nederlandse overheid veiligheidsrisico’s zoveel mogelijk wil beperken. Maar eigenlijk is er maar één manier om te weten wat software precies doet: het inspecteren van de broncode.
Dat kan alleen als de broncode ingezien kan worden, en dat is bij propriëtaire (of closed / gesloten) software vrijwel nooit het geval. Een betere maatregel zou zijn als de overheid alle propriëtaire software zou uitfaseren door deze te vervangen door vrije opensourcesoftware (Engels: Free and Open Source Software, FOSS).
Vrije software biedt de gebruiker vier fundamentele vrijheden:
- Vrijheid om de software te gebruiken voor elk doel
- Vrijheid om de software te bestuderen en te veranderen – daarom is de broncode van vrije software vrij beschikbaar
- Vrijheid om de software aan iemand anders te geven zodat je iemand kunt helpen
- Vrijheid om de software te veranderen en deze veranderde software te verspreiden, zodat iedereen hiervan profiteert.
De vrijheid om de broncode van de software te bestuderen is hier essentieel. Juist deze vrijheid maakt het mogelijk om je ervan te vergewissen dat de software geen ongewenste of stiekeme dingen doet. Bovendien biedt het gebruik van FOSS de Nederlandse burger en overheid veel andere voordelen, zoals geen licentiekosten en geen vendor lock-in. Kortom, de overheid zou er goed aan doen om over te stappen naar vrije open source software om de in de brief genoemde risico’s te minimaliseren, en niet slechts een enkel pakket van een specifieke leverancier uit te faseren.
Licentie: Creative Commons Naamsvermelding-GelijkDelen (CC-BY-SA)
Quote: “Maar eigenlijk is er maar één manier om te weten wat software precies doet: het inspecteren van de broncode.”
Maar dat is helemaal niet waar! Windows is een gesloten systeem maar velen zijn goed genoeg op de hoogte van wat Windows doet. Veel beter zelfs dan bij Linux. Want al is de broncode openbaar, er zijn er maar weinigen die deze geheel hebben doorgenomen en bekend zijn met mogelijke kwetsbaarheden. Je moet er maar op vertrouwen dat de programmeurs geen malware verstoppen in de broncode die door iedereen genegeerd wordt.
Je hebt bij Linux daarnaast te maken met verschillende distributies van honderden verschillende bronnen en je zult maar net de pech hebben dat je een onbetrouwbare bron hebt uitgezocht.Leuk als je een Ubuntu ISO van een site als hetkan.net hebt gedownload maar wie zegt dat die ISO betrouwbaar is? Je hebt dan wel de broncode in GitHub beschikbaar maar als je niet je gehele systeem vanaf de broncode opbouwt dan heb je nog steeds kwetsbaarheden.
En je moet maar net de 50 regels malware weten te vinden in de twee miljoen regels broncode…
Feit is dat Windows zo massaal wordt gebruikt dat er ook enorm veel onderzoekers er een dagtaak van maken om kwetsbaarheden op te zoeken en die te rapporteren. En Microsoft betaalt goed aan eenieder die als eersten een nieuwe bug of kwetsbaarheid rapporteren. Er zijn daarnaast genoeg bedrijven die direct rapporteren als Windows software verdachte dingen uitvoert en dat is al het geval sinds Microsoft dacht dat ActiveX een goede feature voor de browser was.
Hoe gesloten Microsoft ook is met Windows, er zijn genoeg mensen die intensief dit systeem bestuderen en rapporteren. Dit is bij Linux ook veel lastiger omdat Windows maar enkele varianten kent met daarnaast drivers van diverse fabrikanten. Bij Linux praten we over potentieel honderden distributies en variaties en dat zijn er teveel om in de gaten te blijven houden, zelfs al zetten we alle 7 biljoen inwoners van deze planeet in om dit te doen.
Het gebruik van Open Source geeft nog geen garantie dat je veilig bent. En al helemaal niet dat je veiliger bent dan bij gebruik van closed source.
Kijk ook eens naar http://www.underhanded-c.org/_page_id_2.html waar men wedstrijden uitschrijft in het schrijven van standaard C code die er op het eerste gezicht onschuldig uit ziet maar dit in werkelijkheid niet is. En dat in Standaard C!
Kortom, Open Source is zo betrouwbaar als de persoon die het heeft gevalideerd.
Alles wat in Ubuntu ingebakken kan worden kan door een van de duizenden Microsoft-programmeurs in Windows stoppen.
Het echt grote verschil is dat je de programmeurs van FOSS zelf in kunt huren. FOSS zal voor de overheid niet per se goedkoper zijn (de overheid is veeleisend), maar de opbrengsten en kennis blijven in het land.
En niet te vergeten: de Nederlandse programmeur neemt geen opdrachten van de NSA ( zoek maar eens bij de EU-documenten naar echelon )
En je laatste punt: om precies die reden is er veel kritiek op C:
Final C bug:
if ( status = UNDERATTACK ) launch_all_nukes();
( ook een beruchte: in sommige gevallen is !(!(TRUE)) keihard FALSE )