Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

Veiligheid bestaat niet: het gelijk van Linux

  • Door
  • Jeroen Mulder
  • geplaatst op
  • 12 november 2015 08:00 uur

Linux is niet veilig en zal ook nooit veilig worden. Een opmerking die behoorlijk wat stof deed opwaaien. Niet in de laatste plaats omdat de opmerking werd gemaakt door de bedenker van de Linux-kernel, Linus Thorvalds. In een artikel in de Washington Post laat hij optekenen dat geen enkel systeem ooit perfect kan zijn en dat veiligheid van systemen altijd moet worden afgewogen tegen zaken als snelheid en flexibiliteit. Conclusie van de krant: Thorvalds is gek geworden. Gevaarlijk gek, aangezien de man de toekomst van het internet in zijn handen heeft.

Diverse media besteedden vervolgens ruim aandacht aan de opmerkingen. Even de feiten op een rij. Ja: Linux maakt deel uit van een groot deel van systemen in datacenters en in de cloud. Sterker, vermoedelijk is Linux – in enige vorm – het meest gebruikte besturingssysteem in de cloud. Maar om Linux en meer specifiek haar geestelijk vader daarmee de toekomst van het internet in de schoenen te schuiven, gaat veel te ver.

En laten we eerlijk zijn: heeft Thorvalds echt ongelijk? Volmondig: nee. Absolute veiligheid bestaat niet en zal nooit bestaan op internet. Er zullen altijd gaten zijn in diverse lagen van de stack. Dat kan in het netwerk zijn, in de applicaties, in de gehele configuratie en inderdaad ook in de operating systemen. Sterker: besturingssystemen zijn in de cloud niet meer 1-tot-n. Servers draaien met diverse systemen op een hypervisor. De architectuurlaag op het bare metal is in de afgelopen jaren ook in complexiteit toegenomen. De Linux-kernel is nog wel het meest meegegroeid in deze ontwikkeling, niet in de laatste plaats omdat het open-source is.

Thorvalds heeft dus gewoon gelijk: veiligheid op internet is een dogma. Zoals veiligheid altijd een dogma is zodra er een verbinding ontstaat tussen entiteiten, in welke vorm dan ook. Bovendien zegt Thorvalds niet dat we er niets tegen kunnen en moeten doen. Dat begint met erkenning.

a) Geen enkel system is waterdicht.
b) Er zullen altijd mensen zijn die gewin hebben bij het feit dat ze ergens binnendringen waar ze niet horen te komen.

Tegen beide zaken moet je je wapenen. Branchebreed en internationaal. Hosters, datacenters, providers, software- en systeemontwikkelaars hebben een belang om a in elk geval na te streven. Aan b kunnen we – helaas – niet veel veranderen. Dat is van alle tijden en volledig technologie-agnostisch.

Het probleem is veel meer dat Linux wordt gezien als veilig OS. Zijn de veiligheidslekken niet altijd op Windows-platformen? Het is een imago waar Microsoft al jaren mee worstelt, gebaseerd op feiten die al lang achterhaald zijn. Microsoft-platformen zijn anno 2015 net zo veilig of onveilig als welk ander platform ook. Inclusief Linux. Dankzij het open-source karakter waren (wellicht zijn) lekken sneller te achterhalen en te dichten. Maar veiligheid gaat dan sowieso veel verder dan alleen de server. Security moet per definitie holistisch zijn. Er moeten processen beschreven zijn in de vorm van Incident Response. Op alle lagen moeten maatregelen zijn genomen en in alle domeinen van het internet. Van de internetknooppunten tot de applicatielaag.

Dan zijn we terug bij de kern van de opmerking van Thorvalds. Al deze maatregelen kosten geld. Heel veel geld. Die afweging moet de gehele branche maken, wereldwijd. Hoe ziet de businesscase eruit als we alles echt waterdicht maken? Hoe flexibel zijn we dan nog in de cloud? Weegt die toegevoegde complexiteit op tegen bijvoorbeeld het razendsnel kunnen deployen van applicaties en infrastructuur?

Conclusie: Linus Torvalds stelde de juiste vragen.

Jelter, 12 november 2015 9:48 am

Beste Jeroen, wil je god wel op de juiste manier schrijven: Torvalds :-) Je verhaal klopt zeker. Het probleem is dat iedereen een servertje tegenwoordig kan afnemen (zonder goede baseline, onderhoud etc etc) en dan ben je hoster. Het maakt niet uit of er windows of linux op staat. De mens is vaak de zwakste schakel in deze.

Rogier, 12 november 2015 12:03 pm

Linus is een god-achtig figuur, maar zijn achternaam is Torvalds niet Thorvalds. :)

Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.