Securitysoftware moet beschermen tegen digitale dreigingen en heeft daarvoor diepgaande rechten nodig. Daardoor wordt securitysoftware zelf doelwit. Bovendien valt er op de kwaliteit wel wat aan te merken.
Onlangs was het weer raak: de veelgebruikte wachtwoorden-app LastPass ging voor de bijl. Gatenjager Tavis Ormandy van Googles speciale security-onderzoeksteam Project Zero had diverse bugs in LastPass ontdekt. Het was daarlangs mogelijk om op afstand kwaadaardige code uit te voeren. Na stille melding heeft LastPass de fouten verholpen en zijn de kwetsbaarheden geopenbaard.
“Zeer onder de indruk van hoe snel @LastPass reageert op meldingen van kwetsbaarheden”, tweette Ormandy na zijn openbaarmaking in maart. “Waren alle leveranciers maar zo responsief”, verzuchtte hij daarbij. De beruchte beveiligingsexpert van Google krijgt namelijk uiteenlopende reacties op zijn meldingen. Project Zero onderzoekt veelgebruikte software en systemen, om de ict-wereld uiteindelijk veiliger te maken.
Het gevaar van bescherming
Eerder al beoordeelde Ormandy diverse veelgebruikte securitypakketten als ondermaats. Achtereenvolgens zijn grote namen als Symantec, Kaspersky Lab, Palo Alto Networks, McAfee, Trend Micro, Avira, Comodo, AVG, FireEye, ESET, Avast en anderen geïnformeerd dat hun securityproducten voor insecurity zorgen. Dit trof Windows en in sommige gevallen ook macOS. Dit betreft geen zeldzame incidenten. Sterker nog: de meeste securityproducten zijn makkelijker te misbruiken dan eindgebruikers, stelt ict-onderzoeksbureau Forrester.
