Security en open source

Er wordt vaak beweerd dat Linux veel veiliger is dan het besturingssysteem van onze vrienden uit Redmond. Met het risico van het opstarten van een ‘religious war’: dit is niet waar.

 Aan Windows en Linux werken gewoon mensen zoals jij en ik, specialisten op hun vakgebied. Er is hun alles aan gelegen een goed en veilig product te ontwikkelen. Er komen patches en updates uit voor alle relevante onderdelen in de besturingssystemen. Niemand heeft baat bij een in-secure product of het nu closed of open source betreft.

 Menselijke factoren

 UNIX en BSD hebben altijd de reputatie gehad veilig te zijn. Maar vandaag de dag maakt de keuze voor Linux of Windows op de server weinig meer uit. Windows-security is krachtig en door de vele Linux-distro’s die er zijn, is Linux niet per definitie veiliger. Als het misgaat, komt dat vaak door het niet (op tijd) patchen of bijvoorbeeld door foutieve systeemconfiguraties. Menselijke fouten hebben een groot aandeel bij het ontstaan van security-problemen. Omdat de meeste gebruikers op Windows-desktop en -laptops (zeker thuis en bij het MKB) onder Administrator-rechten werken en zelf veel applicaties installeren, is het gevaar voor malware op dit platform veel groter dan op Linux-werkplekken. Maar het is ook mogelijk om Windows 8 en 10 op een veilige manier te gebruiken. Linux-distro’s voor de desktop zijn wellicht out-of-the-box beter beveiligd dan Windows, maar het feit dat Linux weinig wordt gebruikt op de werkplek zorgt ervoor dat het meer secure lijkt (security through obscurity). Er is nu eenmaal niet veel malware voor Linux.

  Open source

 Er is een belangrijk verschil: het ene besturingssysteem is closed source en het ander is open source. Nu is open source geen garantie dat security perfect in orde is – denk maar aan de twee omvangrijke incidenten met OpenSSL of aan de lekken in TrueCrypt – maar open source geeft wel een veiliger gevoel. Bovendien kun je open source zelf veiliger maken als dat nodig is door zelf de code te verbeteren. Als je de wijzigingen dan teruggeeft aan de community, profiteer je ook nog eens van de bijdragen van die community. En dat is natuurlijk de kracht van Linux en open source. Koen Vervloesem heeft niet voor niets al vele jaren een vaste rubriek in Linux Magazine over security. In de snel bewegende markt vinden we vele security-gerelateerde Linux-tools en in dit nummer van Linux Magazine krijg je veel tips hoe je Linux nog veiliger kunt maken.

  Security-appliances

 Er zijn veel security-appliances te koop, dit zijn kant-en-klare kastjes voorzien van een embedded besturingssysteem en vaak gebaseerd op Linux of BSD. Deze access gateways, security gateways of web gateways zijn voorzien van bijvoorbeeld een firewall, web-filtermogelijkheden, VPN’s, malware- en spam-filtering, monitoring, intrusion detection, security information management (SIM), security event management (SEM) en nog veel meer. De meeste aanbieders stellen de code niet (volledig) als open source beschikbaar en onderhouden zo hun bedrijfseigen distro met updates en patches. Meestal moet je een appliance kopen als hardware en soms bestaan er instapversies (met minder performance of functionaliteit) in de vorm van een virtual appliance of softwarevarianten die je zelf als applicatie op een systeem installeert. Thuisrouters zijn de kleinere broertjes van deze appliances, die ook een aantal van deze functies hebben en meestal Linux-gebaseerd zijn.

  Een bekende open source Unified Threat Management-oplossing is bijvoorbeeld de Endian Firewall (EFW) Community-editie. Dit is feitelijk een Linux-distro waarmee je een eigen appliance maakt (op zelf te kiezen hardware). Je krijgt geen ondersteuning, maar voldoende functionaliteit om een mooie firewall te implementeren in een SoHo of bij het MKB. En de community-versie lift mee op de ontwikkelingen van de commerciële versies. Op de website vind je een lange lijst met aanwezige (en ontbrekende) features. Je bent hierbij en bij appliances van andere fabrikanten wel overgeleverd aan de fabrikant als het gaat om (security) patches.

 Hardened distro’s

 Het besturingssysteem Linux wordt vaak geassocieerd met datgene wat je op je systeem draait. Maar security moet in alle componenten en alle lagen van het systeem en het netwerk goed geregeld zijn; van kernel tot applicaties. Het heeft dus voordelen om te werken met populaire Linux distro’s zoals Mint, zeker als je zelf niet te veel energie wilt steken in patchen en de security monitoren. En behalve populair is het ook handig als er een grotere gerenommeerde organisatie achter staat, zoals Red Hat of SUSE. Wil je meer keuzevrijheid, dan kies je een eigen distro die je vervolgens ombouwt tot security-device. Dat kan vanaf scratch, maar handiger is het om een reeds geprepareerde secure distro als uitgangspunt te nemen. Door meteen te kiezen voor een distro die de beveiligingstaken ondersteunt die je zoekt, ben je sneller aan de slag.

  Data is de nieuwe olie

 Security gaat vooral om het afschermen van systemen tegen malware en hackers om ervoor te zorgen dat data afgeschermd is en dat de beschikbaarheid van de systemen gegarandeerd is. Security gaat ook over de juiste personen identificeren en de toegang te verschaffen tot exact die data waar ze recht op hebben. En security heeft te maken met back-up- en herstelmogelijkheden van data. We weten dat de rol van de mens (gebruikers, management, beheerders) een grote rol speelt bij een goede security. Voor privacy is het echter een heel ander verhaal. Een belangrijke drijfveer achter security, zeker voor Linux-gebruikers, is om privacy te waarborgen. Dit is niet het sterkste punt van Microsoft in Windows (in het bijzonder in Windows 10). Open source is natuurlijk geen garantie dat privacy goed geregeld is, maar bij closed source weet je simpelweg niet wat er onder water allemaal kan gebeuren. Zo blijkt zelfs bij de strak georganiseerde Apple Store en de veilig geachte Apple devices malware te bestaan. Ook veel Android devices zijn besmet met foute apps uit de Google Play store. Helaas is dit in deze tijd van mobiele devices en straks de vele Internet of Things-devices bijna de norm geworden: closed source apps die je persoonlijke data verzamelen. Veel malafide ontwikkelaars en criminele bendes ontwikkelen malware die illegaal data verzamelt, want data is veel geld waard.

  Sjoemelsoftware

 Na het Volkswagen-incident is er een nieuwe term bij gekomen voor de Van Dale: sjoemelsoftware, oftewel software die data manipuleert. We kunnen erop wachten dat dit fenomeen onze computers en devices raakt. Stel je voor dat je gezondheidsapp bewust de verkeerde data presenteert om je te stimuleren aankopen te doen voor vitaminepillen? Weet je zeker dat je Fitbit-app of je slimme meter de data niet bewust doorstuurt naar criminelen, zodat die weten wanneer je afwezig bent? En stel je voor dat je navigatiesoftware je onopvallend een bewuste korte omleiding toont langs bepaalde tankstations of winkels? We kunnen het ons nog niet voorstellen wat sjoemelen met data voor gevolgen kan hebben. Verzamelen van persoonlijke data is al niet netjes, zelfs als je het vooraf uitlegt. Maar het ongemerkt manipuleren van data is nog veel erger. En na Volkswagen, wat een betrouwbare Duitse grote organisatie is, beseffen we dat we geen enkel bedrijf zomaar kunnen vertrouwen!

  Tot slot

 Het werken met open source hoeft niet persé meer secure te zijn, maar de kans op privacy-data verzamelende tools en apps en data-manipulerende sjoemelsoftware is vele malen kleiner. Is privacy belangrijk en wil je data vertrouwen? Dan is open source een goede keuze. Helaas zijn we te vaak overgeleverd aan softwarebedrijven, closed source en gaan we massaal akkoord met verzamelen van persoonlijke data. En dat begint al als je Facebook gebruikt…