Torvalds noemt beveiligingscircus 'geschift'

Linus Torvalds, de schepper van de Linux kernel, heeft schoon genoeg van wat hij het ‘security circus’ noemt rond zwakke plekken in software, en de hype die daar door de beveiligingssector omheen wordt gecreëerd.

Torvalds lichte afgelopen week zijn standpunt toe in een mailwisseling met onze collega’s van NetworkWorld. Daarbij gaat hij onder meer in op zijn kritische opmerkingen die afgelopen maand nogal wat stof deden opwaaien in het IT-circuit.

Afgelopen maand schreef Torvalds in een posting: “Een van de redenen dat ik weiger me in te laten met het hele beveiligingscircus is dat het volgens mij een verheerlijking is (en daarmee een stimulans) van het verkeerde gedrag. Het maakt ‘helden’ van beveiligingsmensen, alsof de mensen die gewoon de normale bugs oplossen niet belangrijk zijn. In feite zijn al die saaie normale bugs vele malen belangrijker, al was het maar omdat er zo veel meer van zijn.”

Torvalds, die zelden moeite heeft met een pittige woordkeuze, voegde daar nog een verbale aanval op de OpenBSD gemeenschap aan toe: “Die OpenBSD-club is net een stel masturberende apen: ze gaan zo ver in hun kabaal over veiligheid, dat ze zo’n beetje zelf toegeven dat niets anders ze nog interesseert.”

Deze week liet Torvalds weten dat hij maar met één persoon uit de OpenBSD gemeenschap contact heeft gehad over het apen-incident, en dat die persoon er om kon lachen, maar hij erkent wel dat anderen er waarschijnlijk aanstoot aan hebben genomen.

In zijn email legt hij zijn afschuw van beveiligingsmensen verder uit.

Volgens hem is ‘beveiliging’ maar al te vaak verdeeld in twee kampen: het kamp dat gelooft in het stilhouden van problemen tot de bug is opgelost, en het kamp dat “niets mooiers weet dan gaten onthullen in softwarebeveiliging omdat dat ze sterkt in hun overtuiging dat leveranciers corrupt en slecht zijn, wat ze trouwens nog zijn ook”. Torvalds voegt er aan toe dat wat hem betreft beide kampen geschift zijn.

“Beide kampen hebben hun eigen redenen om zichzelf te schande te maken, en beide kampen wijzen naar elkaar om hun eigen bestaansrecht te verdedigen,” stelt Torvalds. Volgens hem wordt veel activiteit uit beide kampen ingegeven door publiciteitsgeilheid.

Geen van beide kampen zit volgens hem op de juiste koers; een middenweg, waarbij problemen zo vroeg mogelijk worden opgelost zonder een hoop rumoer, heeft zijn voorkeur. “Problemen moeten zo vroeg mogelijk worden aangepakt, en dat vereist een zekere mate van openheid bij de ontwikkelaars,” stelt Torvalds. “Maar het is ook niet nodig er een grote show van te maken.”

Torvalds is er niet gelukkig mee dat updates en veranderingen aan Linux worden gepresenteerd als beveiligingsoplossingen. “Wat levert dat beveiligingsetiket nou helemaal op? Behalve dan munitie voor die beide idiote PR-kampen die voortdurend hun eigen agenda aan het vullen zijn?” Volgens hem is het niet meer dan een verspilling van middelen en versterkt het slechts “die hele foute mind-set”.

Hij wijst erop dat het niet juist is te kiezen uit volledige en onmiddellijke openbaarmaking of het negeren van bugs die leveranciers mogelijk in verlegenheid brengen. “Iedere situatie waarin het de leverancier mogelijk wordt gemaakt weken of maandenlang een bug onder de pet te houden is onacceptabel, net als iedere situatie waarin het voor mensen die problemen vinden lastiger wordt om in contact te komen met technische mensen.”

Torvalds heeft vraagtekens bij gesynchroniseerde releases die gebaseerd zijn op een embargo op informatie rond de kwetsbaarheid van software tot het moment dat een oplossing voor handen is. Dat proces ontmoedigt nadenken over veranderingen in het design die het moeilijker maken om sowieso nog beveiligingsbugs te krijgen, zegt Torvalds. “Die hele ‘embargo’s zijn goed’ mentaliteit is gewoon verloedering bij de leveranciers,” stelt hij, “maar aan de andere kant moet openbaarmaking niet het doel zijn.”

Volgens Torvalds gelooft hij “in geen van beide kampen”. In plaats daarvan staat hij een model voor “waarin beveiliging eenvoudiger is door te voeren; het Unix-model dus. En maak het dan makkelijk voor mensen om bugs te rapporteren, zonder embargo, maar wel vertrouwelijk.” De Linux kernel beveiligingslijst is volgens hem ‘vertrouwelijk’ in die zin dat “we dingen verder niet hoeven te laten lekken” om een bepaald softwareprobleem op te lossen. Volgens hem biedt het proces ruimte voor een embargo van vijf dagen (al wordt dat niet aangemoedigd), en “dan nog stuur ik het door naar technische mensen als dat nodig is, want zelfs dat geheimzinnige embargo is geen belachelijk absoluut ding.”