Is Open Source veiliger dan Closed Source? Een moeilijk te beantwoorden vraag, omdat er tienduizenden open source en honderdduizenden closed source projecten zijn. Eén van de nadelen van closed source is dat je nooit weet of het veilig is, simpelweg omdat je er niet in kan kijken.
Het NIST (United States National Institute of Standards and Technology) adiviseert expliciet tegen ‘security through obscurity’ en stelt: ‘system security should not depend on the secrecy of the implementation or its components’. Met andere woorden, security die geheim moet blijven, is niet veilig. Een voordeel van open source is juist, dat je kan bestuderen hoe het systeem werkt, en daardoor de veiligheid er van kan testen. In gesprekken met bankmedewerkers op Curaçao hoor ik vaak dat open source niet veilig is voor banken, omdat iedereen kan zien hoe de beveiliging werkt. Niets is minder waar. Juist omdat iedereen kan kijken, worden problemen en fouten eerder opgespoord. Althans dat is de theorie.
Een gevoelige klap voor de reputatie van open source security was het fenomeen ‘heartbleed’ van begin april. Een door bijna iedereen gebruikt veiligheidsprotocol – OpenSSL – bleek zo lek als een mandje, en dat al bijna twee jaar. Op relatief eenvoudige wijze kon beveiligde communicatie met websites ontsleuteld worden. En hoewel het niet heel simpel is om nuttige informatie te verkrijgen door dit veiligheidslek uit te buiten, is het voor de high-end spionnen en criminelen waarschijnlijk al langere tijd een goudmijn geweest. Dat geeft te denken. Als voorstander van open source verkondig ik dat open source vaak veiliger is dan closed source. Tegenstanders van open source lachen in hun vuistje. Het lek in OpenSSL is ontdekt, en inmiddels verholpen. Maar een lek in closed source wordt misschien nooit ontdekt door de makers. En ook nooit verholpen. Van closed source weet je nooit hoe veilig het is. En daarom is open source inherent veiliger dan closed source.
xkcd.com/1354
en.wikipedia.org/wiki/Heartbleeden.wikipedia.org/wiki/Security_through_obscurity
Rens van der Hammen, journalist bij Radio Hoyer en later bij het Antilliaans Dagblad, vroeg me op 1 maart 2010 om zijn column 'Byte Me' over te nemen. Deze verschijnt elke week in de zaterdagbijlage van het Antilliaans Dagblad (de AD Wikent). Op 20 maart werd het eerste stukje geplaatst.