- Door
- Jeroen Mulder
- geplaatst op
- 12 november 2015 08:00 uur
Linux is niet veilig en zal ook nooit veilig worden. Een opmerking die behoorlijk wat stof deed opwaaien. Niet in de laatste plaats omdat de opmerking werd gemaakt door de bedenker van de Linux-kernel, Linus Thorvalds. In een artikel in de Washington Post laat hij optekenen dat geen enkel systeem ooit perfect kan zijn en dat veiligheid van systemen altijd moet worden afgewogen tegen zaken als snelheid en flexibiliteit. Conclusie van de krant: Thorvalds is gek geworden. Gevaarlijk gek, aangezien de man de toekomst van het internet in zijn handen heeft.
Diverse media besteedden vervolgens ruim aandacht aan de opmerkingen. Even de feiten op een rij. Ja: Linux maakt deel uit van een groot deel van systemen in datacenters en in de cloud. Sterker, vermoedelijk is Linux – in enige vorm – het meest gebruikte besturingssysteem in de cloud. Maar om Linux en meer specifiek haar geestelijk vader daarmee de toekomst van het internet in de schoenen te schuiven, gaat veel te ver.
En laten we eerlijk zijn: heeft Thorvalds echt ongelijk? Volmondig: nee. Absolute veiligheid bestaat niet en zal nooit bestaan op internet. Er zullen altijd gaten zijn in diverse lagen van de stack. Dat kan in het netwerk zijn, in de applicaties, in de gehele configuratie en inderdaad ook in de operating systemen. Sterker: besturingssystemen zijn in de cloud niet meer 1-tot-n. Servers draaien met diverse systemen op een hypervisor. De architectuurlaag op het bare metal is in de afgelopen jaren ook in complexiteit toegenomen. De Linux-kernel is nog wel het meest meegegroeid in deze ontwikkeling, niet in de laatste plaats omdat het open-source is.
Thorvalds heeft dus gewoon gelijk: veiligheid op internet is een dogma. Zoals veiligheid altijd een dogma is zodra er een verbinding ontstaat tussen entiteiten, in welke vorm dan ook. Bovendien zegt Thorvalds niet dat we er niets tegen kunnen en moeten doen. Dat begint met erkenning.
a) Geen enkel system is waterdicht.
b) Er zullen altijd mensen zijn die gewin hebben bij het feit dat ze ergens binnendringen waar ze niet horen te komen.
Tegen beide zaken moet je je wapenen. Branchebreed en internationaal. Hosters, datacenters, providers, software- en systeemontwikkelaars hebben een belang om a in elk geval na te streven. Aan b kunnen we – helaas – niet veel veranderen. Dat is van alle tijden en volledig technologie-agnostisch.
Het probleem is veel meer dat Linux wordt gezien als veilig OS. Zijn de veiligheidslekken niet altijd op Windows-platformen? Het is een imago waar Microsoft al jaren mee worstelt, gebaseerd op feiten die al lang achterhaald zijn. Microsoft-platformen zijn anno 2015 net zo veilig of onveilig als welk ander platform ook. Inclusief Linux. Dankzij het open-source karakter waren (wellicht zijn) lekken sneller te achterhalen en te dichten. Maar veiligheid gaat dan sowieso veel verder dan alleen de server. Security moet per definitie holistisch zijn. Er moeten processen beschreven zijn in de vorm van Incident Response. Op alle lagen moeten maatregelen zijn genomen en in alle domeinen van het internet. Van de internetknooppunten tot de applicatielaag.
Dan zijn we terug bij de kern van de opmerking van Thorvalds. Al deze maatregelen kosten geld. Heel veel geld. Die afweging moet de gehele branche maken, wereldwijd. Hoe ziet de businesscase eruit als we alles echt waterdicht maken? Hoe flexibel zijn we dan nog in de cloud? Weegt die toegevoegde complexiteit op tegen bijvoorbeeld het razendsnel kunnen deployen van applicaties en infrastructuur?
Conclusie: Linus Torvalds stelde de juiste vragen.