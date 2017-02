Linux heeft stilletjes de wereld veroverd. Het is nu de drijvende kracht achter cloudapplicaties en diensten met enorme datacenters die dit afleveren en het is het OS bij voorkeur voor internetverbonden apparaten (IoT) en mobiel (Android). Zelfs systemen die het internationale ruimtestation ISS draaiende houden, doen dat met behulp van Linux.

Achter de feiten aan

Kernelbeveiliging heeft de hoogste prioriteit, omdat Linux zo alomvertegenwoordigd is. Een issue in de kernel heeft een enorme impact die door vrijwel iedereen wordt gemerkt. Het vinden van bugs is maar één aspect van de kernel, nog belangrijker is het flexibel verstevigen ervan zodat de Linux-basis bestand is tegen aanvallen.

"Eerlijk gezegd lopen updates altijd achter de feiten aan", zegt Linux-bedenker en pionier Linus Torvalds. "Een van de redenen dat we werken aan het verstevigen van de kernel is om updates van minder kritiek belang te maken, zodat zelfs als er een securitylek is, de beschermende aanpak ervoor zorgt dat de impact niet zo acuut is."

Oorlog winnen

Er zijn een heleboel mensen die grondig naar de kernel kijken om kwetsbaarheden te vinden en te repareren. Vorig jaar werden er meer dan 200 gevonden, inclusief een kritiek use-after-free-gat waarmee aanvallers zonder authenticatie code konden uitvoeren in kernels ouder dan versie 4.5.2 (CVE-2016-7117). In januari loste Android een bufferoverloopissue op in kernel 3.18 (CVE-2016-8459) en in de aankomende versie van de kernel, 4.10, moeten meer security-fixes zitten.

Maar het oplossen van bugs is geen strategie waar je de oorlog mee wint, omdat veel systemen die Linux draaien niet worden bijgewerkt naar een nieuwe kernel. Kwetsbaarheden die later worden opgelost, worden geïmplementeerd op servers en pc's, omdat IT'ers de updates direct van distributiemakers krijgen.

Misbaksel zonder update

Dat geldt niet voor Android en veel IoT-apparatuur, die laat of zelfs helemaal geen updates krijgen krijgen. Apparatuur als routers, switches en IP-camera's zijn lang verbonden met netwerken en worden niet veel bijgewerkt. Er zijn ook maar weinig mensen die eraan denken om regelmatig iets als internetverbonden garagedeuren bij te werken.

"Het kan heel frustrerend zijn om te zien dat mensen oude en waarschijnlijk onveilige gebruiken, enkel en alleen omdat de leverancier het lastig of onmogelijk heeft gemaakt om updates op een normale manier uit te rollen", zegt Torvalds. "Misschien was het omdat ze ergens een stukje hardware gebruiken met een propriëtaire driver of eentje die niet beschikbaar meer is in een later stadium - er is ergens wel een misbaksel die geen updates krijgt."

