Grote bug blijft onder de zwarte pet
Gepubliceerd: Vrijdag 17 april 2009
Auteur: Sander van der Meijs
Op de Black Hat conferentie die vandaag en morgen gehouden wordt in Amsterdam is er een ding heel erg duidelijk: er bestaat geen software die helemaal bugvrij is.
Loop je even rond en luister je naar de verhalen op Black Hat, dan begin je zelfs te twijfelen of er niet een gevaarlijke bug zou kunnen zitten in 'Hello World'. Uit de presentatie over het opsporen van bugs wordt bijvoorbeeld duidelijk dat het in deze industrie vooral om geld draait, iets wat we natuurlijk al lang wisten. En alle bugs opsporen kost gewoon veel te veel geld. Daar is geen businessmodel op te bouwen, dus moet je de software op een gegeven moment gewoon de markt op. Daar wordt het door de klanten uitvoerig getest. "Maar aan een grote bug is nog nooit een bedrijf ten onder gegaan", zei Jon Miller in de presentatie 'Cutting Through the Hype: An Analysis of Application Testing Methodologies'.
Reality checkVoor veel mensen is software een black box die gewoon wordt gebruikt, al moet er continu gepatcht en geüpdate worden. Wat dat betreft is Black Hat weer even een behoorlijke reality check. Blind vertrouwen in features is namelijk lang niet altijd terecht. Zo wordt in OpenOffice.org encryptie aangeboden, maar documenten die daarmee zijn versleuteld blijken nu vrij gemakkelijk te kunnen worden gemanipuleerd. De brug van HTTP naar HTTPS, waarin door middel van Tor 'een heel ecosysteem aan exploits' mogelijk is, kenden we al. Zelfs vandaag heeft Moxie Marlinspike nog een paar minuten gesnift en hij daarbij heeft hij al een aantal wachtwoorden te pakken gekregen, die hij groot in zijn presentatie liet zien. Een aantal daarvan zagen er heel veilig uit. "Staat uw wachtwoord erbij, verander het dan. Maar niet hier!" Hij vond het ongelooflijk dat mensen die zich met beveiliging bezighouden niet wat beter oppassen, zeker in een vijandige omgeving als Black Hat.
Grote bugMaar al die bugs zouden in het niet vallen bij de grote 'internetbrede' bug, waarvan iedereen de impact zou voelen. Die zou op deze conferentie bekend gemaakt worden. Aanvankelijk zou er om vijf uur een persconferentie gehouden worden. Maar die ging niet door. Jeff Moss, de directeur van Black Hat, vertelde dat de leverancier de patch nog niet klaar heeft. "Ik weet wie het zijn en ik ken hun reputatie. Als zij zeggen dat het groot is, dan is het groot." Zelfs de naam van de leverancier wil hij niet geven, omdat zelfs dat gevaar zou opleveren. De bug is al langer dan drie maanden bekend. Als het goed is moet er nu binnen een maand een patch zijn. "In ieder geval voor juli", aldus Moss.
Bron: Techworld
