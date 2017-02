Dat software obscuurder is, betekent niet dat het beter is beveiligd.

Als aanvallers op zoek gaan naar kwetsbaarheden, kijken ze uiteraard naar populaire software. Waarom zou je immers fouten zoeken in applicaties die bijna niet worden gebruikt? Een vriend van me gebruikt om die reden een third-party programma om pdf'jes te openen in plaats van Adobe Acrobat en een ander gebruikt browser Maxthon omdat de meeste exploits zich richten op populaire browsers.

Kleiner risico

Verkleint het gebruik van minder populaire software echt de risico's? Ja, een klein beetje wel. De reden dat we voor bepaalde software kiezen heeft meestal niet zoveel te maken met beveiliging, maar meer met features, compatibiliteit, ondersteuning, enzovoorts. De best beveiligde software staat meestal laag in de lijst van populaire producten, zelfs als ze gratis en erg functioneel is.

Zo ben ik zelf gecharmeerd van OpenBSD. Beveiliging heeft de hoogste prioriteit bij dit besturingssysteem en heeft minder gepubliceerde bugs dan ieder ander OS, maar het blijft een obscuur product. Zelfs als je desktopversies van Linux-, BSD- en Unix-systemen bij elkaar pakt, kom je op een totaal gebruik van niet meer dan 2 procent. Verschillende versies van BSD zijn maar een klein percentage van dat kleine percentage en het stukje OpenBSD is werkelijk minuscuul.

Beveiligde software

Ik ben net begonnen met Qubes OS, een supercool hypervisor-gedreven OS dat is ontworpen met vrij strikte scheiding van functionele domeinen. Qmail en DjbDNS van Dr. Daniel J. Bernstein (die veel beveiligde software maakte) is de sterkst beveiligde gratis software die je maar kunt vinden en ze worden weinig gebruikt. Qmail is een heel veilige e-mailserver, maar vindt er maar eens eentje die redelijk nieuw is en ná 2007 is opgezet. In dat jaar piekte de populariteit met ongeveer 5 procent van alle SMTP-servers. In dit cloudtijdperk is dat aandeel waarschijnlijk een flink stuk kleiner geworden.

Maar dat gezegd hebbende, in de meeste gevallen betekent obscure software dat je features en ondersteuning verliest. Als er net zo snel nieuwe, interessante features werden toegevoegd als bij populaire concurrenten, zou het niet meer obscuur zijn.

M'n moeder en xubuntu

Dan heb je het probleem met ondersteuning. Jaren geleden was ik het zat dat mijn moeder steeds haar Windows XP-machine besmette, dus ik gaf haar Xubuntu, waar de interface wat Windows-achtig is. Ik installeerde een beveiligde browser, een e-mailprogramma en Patience, het programma waar ze zo dol op was. Ik maakte alles net zo makkelijk of zelfs eenvoudiger dan met Windows XP het geval was en installeerde VNC zodat ik haar op afstand kon helpen.

Ik kreeg niet veel vragen om hulp, totdat ze me op een dag vroeg om Windows XP terug te zetten. Ik vroeg haar waarom en ze antwoordde dat als ze iets wilde weten haar vrienden haar niet konden helpen. Ze kon de software die zij gebruikten niet installeren. Ik ben een groot voorstander van open source, maar iedereen die je wijsmaakt dat open source-software gemakkelijker is om te gebruiken, is waarschijnlijk high.

Probleem niet de bug zelf

Wil ik dat je obscure software gaat gebruiken? Nee. Anders zou het trouwens ook niet meer obscuur zijn. Het simpele feit is dat het probleem met populaire software niet zozeer ligt in de bugs zelf, maar het probleem is dat die fouten niet snel gepatcht worden. Combineer dat met gebruikers die vatbaar zijn voor social engineering en je ziet het probleem.

Hierna: de beste exploit is de eindgebruiker, ongeacht de software.