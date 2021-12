Kleine maar cruciale bouwstenen in onze gigantische internetstructuur worden onderhouden door vrijwilligers. Het Log4j-beveiligingslek legt opnieuw bloot dat daar risico’s aan verbonden zijn. ‘Dit is de tragedy of the commons.’

Ook als de Amerikaanse softwareontwikkelaar Gary Gregory niet werkt, zit hij voor zijn computer. Koffie bij de hand, hond Bella nooit ver weg. Als vrijwil­liger bij de Apache Software Foundation stond hij deze week in het middelpunt van de belangstelling. In Log4j, een van de programma’s die hij samen met enkele vrij­willigers beheert, was een onrustwekkend beveiligingslek gevonden. Zijn mailbox werd overladen met e-mails van honderden bedrijven die om hulp vroegen.

Log4j is een kleine maar belangrijke bouwsteen van ons internet. Het systeem vereenvoudigt - zoals de naam doet vermoeden - het registreren of loggen van handelingen in computersystemen die

geschreven zijn in de programmeertaal Java. Dat is handig voor ontwikkelaars die zo kunnen kijken of de programma’s die

ze schrijven functioneren zoals het hoort.

De software, die meer dan tien jaar oud is, bleek veel meer te doen dan handelingen te registreren. Log4j probeerde die ook uit te voeren. Handig voor hackers die zo kwaadaardige software kunnen opladen of data kunnen stelen bij organisaties.

Allergrootsten

‘We hadden meteen door dat het om een gevaarlijk probleem ging’, zei Gregory in The Wall Street Journal. Niet alleen de aard van het beveiligingslek - hackers konden makkelijk misbruik maken - maar ook de popula­riteit van Log4j baarde hem zorgen. Het stukje software wordt in onnoemelijk veel programma’s gebruikt, alleen weet niemand exact waar.

De gevolgen van deze beveiligingslek zullen pas binnen enkele weken, maanden of jaren duidelijk worden. Zahier Madhar Security engineer bij Check Point Software

Ook de allergrootsten in de software­wereld maken gebruik van Log4j. Apple, Microsoft, Twitter, IBM en Tesla dreigden slachtoffer te worden van een beveiligings­lek in een beperkt stukje software. Wereldwijd gaan IT-departementen sinds vorige week vrijdag na of ze gebruikmaken van Log4j en hoe ze snel kunnen updaten.

Check Point Software, gespecialiseerd in cyberveiligheid, deelde cijfers over de gevolgen in België. Het bedrijf registreerde ruim 2,8 miljoen pogingen wereldwijd om de Log4j-kwetsbaarheid te misbruiken. 46 procent kwam van bekende hacker­groepen. Tot donderdagavond zou ruim 60 procent van de bedrijfsnetwerken in België een poging tot misbruik te verwerken hebben kregen. Andere experts spreken van een onderschatting. ‘De gevolgen worden pas binnen enkele weken, maanden of jaren duidelijk’, zegt Zahier Madhar, security engineer bij Check Point Software.

Een ongelukje

Het is niet de eerste keer dat een vrijwil­liger met goede bedoelingen in het oog van een beveiligingsstorm terechtkomt. In 2014 lag de Duitse informaticus Robin Seggelmann aan de basis van Heartbleed, wat toen het grootste veiligheidslek aller tijden werd genoemd. Twee derde van alle websites ter wereld gebruikten OpenSSL om paswoorden te beveiligen. Seggelmann was een nieuwe versie aan het maken om een lek weg te werken, maar creëerde daarbij een nieuw lek.

Log4j zet het hele probleem rond open source software opnieuw op de voorgrond. Gary Gregory Softwareontwikkelaar die Log4j beheerde

Seggelmann noemde het een ongelukje en hoopte dat Heartbleed een eyeopener zou zijn voor de sector. ‘Het is ongelukkig dat miljoenen mensen van die software afhangen, terwijl slechts enkelen eraan meewerken. Als meer mensen meewerken, worden de fouten sneller gevonden en wordt die software een stuk beter.’

Gregory reageerde gelijkaardig deze week. ‘Log4j plaatst het probleem rond opensourcesoftware (waarvan de broncode te bekijken en onder bepaalde voorwaarden te gebruiken is, red.) weer op de voorgrond.’ Op Twitter werd een cartoon van de striptekenaar Randall Monroe, bekend als xkcd, duchtig gedeeld. Die toont hoe onze digitale moderne structuur steunt op een haast anoniem project dat een kerel in Nebraska in 2003 ontwikkeld heeft en nog altijd

zonder morren onderhoudt. Als dat stukje software valt, stort de hele infrastructuur van het internet in elkaar.

Geen slechte software

Cartoons dienen om de zaken scherp te stellen. Maar er zit een deel van waarheid in volgens computerwetenschapper Jeroen Baert. ‘Het mooie aan software ontwik­kelen is dat je niet telkens het wiel moet heruitvinden. Je bouwt verder op waar een ander is geëindigd of je combineert stukjes software met elkaar. Als er al een logtooltje bestaat, waarom zou je dat dan zelf uit­vinden?’ Hij geeft als voorbeeld Spotify. ‘Denk je dat de ontwikkelaars het mp3-­bestand hebben uitgevonden of dat ze de code voor streaming schreven?’

Het mooie aan software ontwikkelen, is dat je niet telkens het wiel moet heruitvinden. Je bouwt software verder op het stuk waar een ander is geëindigd of je combineert stukjes software met elkaar. Jeroen Baert Computerwetenschapper

Open broncode heeft ook veiligheidsvoordelen. ‘Iedereen kan meelezen en mee zoeken naar fouten in de code. Er staat een community klaar die alles laat vallen als iets misloopt’, zegt Madhar. ‘Dat is anders bij commerciële software, die bedrijven liever geheimhouden.’ Als in de software van Apple of Microsoft een bug zit, moeten de IT-departementen van die bedrijven het puin ruimen. Ze hebben de verantwoordelijkheid om de bug op te lossen. Externe bedrijven, programmeurs of ethische hackers kunnen de bug hooguit aanduiden en tips geven. Ze krijgen geen toegang tot de broncode.

Honderden Belgische bedrijven kregen eerder dit jaar met de Microsoft Exchange-

hack te maken. ‘Dat probleem is relatief lang onder de radar gebleven’, zegt Davy De Waele, IT-architect bij het software­bedrijf Ixor. ‘Het is belangrijk te onder­strepen dat opensourcesoftware niet gelijk staat aan slechte software. Er bestaat een rijk netwerk waarin zowel vrijwilligers als tech­bedrijven actief zijn en met elkaar overleggen. Alles gebeurt erg transparant en er is meer flexibiliteit om problemen met software zelf op te lossen.’

Hypotheek op veiligheid

Het manke aan opensourcesoftware? Door al die lagen software over elkaar heen te bouwen verliezen bedrijven het overzicht. ‘Vergelijk het met een weg door de stad waar men een laag asfalt overheen heeft gegoten’, zegt Eddy Willems, beveiligingsspecialist bij G Data. ‘Dat rijdt zachter en vlotter, maar de fundamentele problemen onder die kasseien kan je maar beter goed in kaart gebracht hebben.’

Het probleem met Log4j werd in 2016 al aangekaart op een cyberconferentie en toch heeft men dat toen niet aangepakt Tom Van de Wiele F-Secure

Dat gebeurt volgens beveiligingsexperts veel te weinig. Een bedrijf dat een beroep doet op opensourcesoftware neemt volgens Tom Van de Wiele van het beveiligingsbedrijf F-Secure een hypotheek op veiligheid. ‘Vaak laat je dan het onderhoud en de beveiliging van een deel van je software over aan een groepje mensen dat bijna geen incentive heeft om bugs op te lossen. Het probleem met Log4j werd in 2016 aangekaart op een cyberconferentie en toch heeft men dat toen niet aangepakt.’

Dat neemt niet weg dat Van de Wiele veel respect heeft voor de inspanningen van opensourcevrijwilligers. ‘Het probleem is dat veel bedrijven de code integreren zonder enige compensatie of met weinig tot geen verantwoordelijkheidsgevoel.’

Tragedy of the commons

Volgens beveiligingsspecialist Bart Preneel (KU Leuven) kreunt de opensourcesoftwarewereld onder de ‘tragedy of the commons’ (waarbij individuele gebruikers, die vrije toegang hebben tot een bron, handelen volgens hun eigenbelang en niet volgens het algemeen welzijn van alle gebruikers, wat leidt tot de uitputting van de bron, red.). ‘Alle grote technologiebedrijven maken gebruik van software waarvan de broncode open op het web staat. Dat mag, maar het zou normaal moeten zijn dat ze ontwikkelaars ter beschikking stellen aan de opensourcegemeenschap of de vrij­willigers beter ondersteunen. Dat kan ongeluk­ken als Log4j of Heartbleed voor­komen.’ Bedrijven zien opensourcesoftware nog te veel als een manier om de kosten in de productie te drukken en de opbrengsten zo groot mogelijk te houden.

Alle grote technologiebedrijven maken gebruik van software waarvan de broncode open op het web staat Bart Preneel Beveiligingsexpert (KU Leuven)