Enkele security mythes ontkracht aan de vooravond van Halloween
Aan de vooravond van Halloween komt security vendor Sophos terug met drie wetenswaardige veiligheidsmythen die stuk voor stuk worden ontkracht.
Mythe #1: Macs krijgen geen malware
Mac-computers krijgen wel degelijk malware binnen, hoewel ze er grotendeels van gespaard blijven. We horen Mac-evangelisten wel eens zeggen dat Macs wel malware kunnen krijgen, maar geen virussen… En virussen zijn inderdaad een speciaal onderdeel van malware die zichzelf kunnen verspreiden. Maar de waarheid is dat de meeste malware bedreigingen non-viraal zijn. Natuurlijk, zodra wachtwoorden worden gekopieerd en bestanden worden gestolen wordt het zelf-verspreiden van virussen en malware via cybercriminelen grotendeels onbelangrijk. Men zegt wel eens ‘Macs zijn veiliger want het is gebaseerd op Unix’. Dat was ook het geval met de ‘Morris Worm’, ’s werelds eerste snel verspreidende internetvirus van 2 november 1988….
Mythe #2: Vele ogen voor weinig bugs
Als we het over Unix hebben, kunnen we meteen ook Linux aanhalen. Hoewel de twee niet gelijkaardig zijn, komen ze toch in de buurt. Linux is alleen open-source, wat betekent dat je de source code kunt bekijken. Het is open source onder GNU Public License (GPL) wat betekent dat wanneer je deze code mengt met je eigen software, je je eigen broncode ook publiek moet maken. Een groot voordeel van deze GPL-software-projecten, is dat het geen vervelende geheimen kan verbergen. Iedereen die toegang heeft tot de code, kan die bekijken en zou de bugs moeten vinden waardoor niemand er nog mee weg kan komen. Wat in werkelijkheid gebeurt, is dat iedereen ervan uitgaat dat ‘een ander’ de bugs wel zal vinden…
Mythe #3: Windows XP is goed genoeg
Windows XP kwam vijftien jaar geleden op de markt, zonder stack bescherming, data preventie, adres randomisatie, heap bescherming, etc. Zelfs al betekenen deze termen niets, het enige wat telt is te weten dat XP een eerder beperkte mogelijkheid had om zichzelf te beschermen tegen buggy software. Windows zou tot op zekere hoogte beschermen, maar criminelen vonden al snel de gaten. Sommige mensen zeggen zelfs dat malware eigenlijk Microsofts schuld was. En dat elke beveiligingssoftware ervoor zorgde dat Microsoft in gebreke kon blijven, in plaats van zijn vijanden te trotseren. Het is ook zo dat de meeste andere besturingssystemen op dat moment zeer vergelijkbaar waren met Windows, en dezelfde zwakheden deelden. Daarom begrijpen we niet dat er in 2016 mensen zijn die zeggen dat Windows XP het beste besturingssysteem ooit is, en dat de nieuwere versies minder goed zijn. Dat het gewoon een truc is opdat mensen 120 dollar gaan spenderen om een upgrade te krijgen.
En nu?
Halloween dankt zijn naam aan de avond voor Allerheiligen, een feest om de doden te eren en te herinneren, op een positieve manier. Laten we dan ook proberen om een soortgelijke visie op de veiligheidshoudingen van het verleden te houden. Weet dat we nu veel meer weten én zorgdragen over veiligheid en laat de houdingen van vroeger in vrede rusten.
Wat te doen?
We kunnen wel grapjes maken over het feit dat veiligheid een reis is en geen bestemming, maar we moeten echt leren om de veiligheid, privacy en gegevensbescherming meer serieus te nemen. Ook al brengt dit ons op gespannen voet met bedrijven die wegens commerciële redenen erop uit zijn om alsmaar meer te weten te komen. Hetzelfde geldt voor regeringen die aandringen op het verzamelen van meer en meer persoonlijke gegevens en daarbij stellen dat die nooit misbruikt zullen worden.
Laten we daarom de drie mythes zoals hierboven beschreven in vrede rusten.