Active Directory-gebruikers werden onlangs verrast door een vijftien jaar oude bug, die Microsoft pas na een jaar wist te patchen. Deze bug is niet het enige oudje dat nog springlevend is. Bovendien heeft Microsoft niet het patent op antieke bugs.
Niet alleen nieuwe technologie bevat fouten en bugs. Scherper onderzoek en nieuwe technieken brengen bugs uit oude en vertrouwde technologie aan het licht als serieuze kwetsbaarheden. Een voorbeeld is een grote bug van vijftien jaar oud in Active Directory die begin dit jaar is onthuld, maar die een jaar eerder in stilte was gemeld aan Microsoft. De onthulling en de patch voor deze zogeheten Jasbug konden zodoende gelijktijdig plaatsvinden.
De leeftijd van Jasbug wekt verbazing, maar het is niet eens een recordhouder. Zo heeft Microsoft in de zomer van 2013 een Windows-gat gedicht dat toen twintig jaar oud was. Sinds Windows NT in 1993 is uitgekomen, heeft in die code een gat gezeten dat pas jaren later is ontdekt. De ontdekker is de beruchte security-expert Tavis Ormandy, die in dienst is van Google.
Complex, veelgebruikt, weinig gekeurd
Het is echter lang niet alleen Microsoft-software die met langlopende, oude bugs heeft te kampen. Ook de door voorstanders zo veilig geachte open source software is herhaaldelijk geraakt. De theorie van open source is dat de softwarecode veel veiliger zou zijn, doordat er veel meer ogen naar kunnen kijken. Elke ontwikkelaar kan open source doorspitten op bugs en die aanmelden of direct zelf fixen. In de praktijk blijken er stukken code te zijn die te complex zijn voor veel developers of waar lange tijd niet of nauwelijks naar is gekeken met een scherpe securityblik.
De Linux-kernel en kerncomponenten zijn voorbeelden van complexe code waarin eerder al antieke bugs zijn ontdekt. Ormandy heeft in 2009 en 2010 gaten onthuld die al jaren in dat open source besturingssysteem schuilden, waarmee Linux-servers waren te compromitteren. Een voorbeeld van code waar niet goed naar is gekeken qua security, is OpenSSL.
Die open source library voor het versleutelen van beveiligde verbindingen is een jaar geleden geraakt door de Heartbleed-bug, een kwetsbaarheid die toen nog geen 2,5 jaar oud was. Heartbleed heeft heel internet geraakt, aangezien OpenSSL een veelgebruikt stuk software is. Alleen komt de ontwikkeling ervan neer op de schouders van een klein team developers.
26 jaar oud
Recent nog zijn it-beheerders opgeschrikt door een wel erg oude bug in een veelgebruikt component voor besturingssysteem Unix. Het gaat om de Bash-shell waar sinds eind 1989 een ernstige bug in zat. Dit is de Shellshock-bug die dankzij Bash-gebruik in veel andere software een brede impact had. Shellshock heeft Unix-varianten, Linux, het van Linux afgeleide Android en ook Apples Mac-besturingssysteem OS X geraakt. Niet al die besturingssystemen waren in default configuratie kwetsbaar, maar het duurde even voordat duidelijk was wat er wel en niet kwetsbaar was.
