Een aantal ict-bedrijven slaat de handen ineen om een nieuw Heartbleed te voorkomen. Onder andere Facebook, Microsoft en Google investeren in een fonds dat moet voorkomen dat er opnieuw een dergellijk beveiligingslek kan ontstaan. Het pact moet nieuw leed voorkomen en is omgedoopt tot het Core Infrastructure Initiative. Het initiatief is bekendgemaakt door de Linux Foundation. Bedrijven steken samen ten minste 3,6 miljoen dollar in het fonds.
Naast de genoemde bedrijven hebben ook Amazon Web Services, Dell, Fujitsu, NetApp, RackSpace en VMware hun steun toegezegd. In eerste instantie richt het initiatief zich op verbetering van de fundering van OpenSSL. Het open-source programma dat zich in het middelpunt van de Heartbleed-bug bevond, wordt door 66 procent van de web servers gebruikt en kan worden teruggevonden in duizenden hardware devices en applicaties die aan klantzijde worden gebruikt.
Begin april 2014 werd bekend dat een ernstig beveiligingslek in de OpenSSL-softwarebibliotheek zorgt voor een groot beveiligingsrisico voor websites. Hackers kunnen het ssl/tls-protocol kraken en versleutelde informatie stelen. De fout zit al sinds 2011 in de code, maar nu trekt het OpenSSL-projectteam aan de bel omdat de omvang van het beveiligingsrisico mogelijk groot is. Het lek met de officiële naam CVE-2014-0160 wordt Heartbleed genoemd.
Computable-expert Gert Jan Wolfis legt in het artikel 'Wat is Heartbleed en hoe bescherm je jezelf?' de vinger op de zere plek.
Wat is de Heartbleed-bug?
Reacties
Een goed initiatief dat moet leiden tot een betere en adequater optreden bij gevonden lekken. Het is duidelijk dat dit een kat en muisspel is tussen programmeurs, producenten en hackers aan se andere kant.
Wat ik ook steeds vaker constateer is een enorme kwalitatieve neergang van de kwaliteit op verschillende onderdelen in de gehele IT keten. Dat betekend dus, heel voorspelbaar, dat wanneer men de IT keten niet duidelijk volgt, volgens minimale standaard, men kwaliteit geweld aan doet.
Wanneer je producten voor release niet uit en te na test, zelfs als men het heeft over betaversies, dan is het niet zo moeilijk dat zelfs het kleinste gaatje tot een exploit kan uitgroeien. Tevens mogen wij natuurlijk niet vergeten dat het nog steeds mensenwerk blijft uiteraard.
De volgende link is voor Numoquest wellicht interessant:
http://thevarguy.com/open-source-application-software-companies/041614/coverity-scan-says-open-source-code-better-quality
Er is voor beide routes iets te zeggen en het gaat mij niet zo zeer waar men zelf voor kiest. Punt hier is dat men stelselmatig de meest basale procesmatige IT routines uit het oog verliest waardoor fouten en de gevolgen zich manifesteren.
Dat geld voor zowel open source als niet open source.