Nederlander ontdekt beveiligingslekken in vpn-software
Nederlander Guido Vranken heeft vier grote kwetsbaarheden gevonden in OpenVPN, waarmee miljoenen mensen internetverkeer beveiligen.
In zijn vrije tijd speurt Vranken door regels code om te kijken of hij fouten kan ontdekken. Misschien zit er ergens wel een gaatje waarmee de software kan worden gehackt? Als hij een fout vindt, dan meldt hij dat. Het basisprincipe van opensourcesoftware is hierop gebaseerd.
Opensource betekent dat iedereen de programmeercode kan bekijken. Heel veel belangrijke internettechnologieën, zoals OpenSSH, OpenSSL en OpenVPN, zijn opensource, en veel vrijwilligers helpen om die software zo veilig mogelijk te maken.
Zo ook Vranken, die in mei OpenVPN aan de tand wilde voelen. Er waren recentelijk twee onderzoeken naar de veiligheid van OpenVPN geweest, maar hij dacht dat hij er wel een schepje bovenop kon doen. "Ik ben twee weken fulltime bezig geweest en heb vier grote fouten en een berg kleinere foutjes gevonden", vertelt hij over zijn bevindingen.
Fuzzing
Normaal gesproken wordt de veiligheid van software onderzocht door de programmeercode te inspecteren. Vranken pakte het anders aan: hij gebruikte een speciale methode, genaamd fuzzing, om willekeurige data de software in te sturen: "Je kunt het vergelijken met het heel snel invoeren van tienduizenden dingen in de software om te kijken of er iets kapot gaat."
Nou: er ging wat kapot. De grootste kwetsbaarheid maakt het voor een aanvaller mogelijk om code uit te voeren op de server waarmee vpn-gebruikers verbinden. Op die manier zou de aanvaller bijvoorbeeld vpn-gebruikers kunnen afluisteren.
Vranken stuurde OpenVPN een mailtje met zijn bevindingen en ze gingen gelijk aan de slag om de gaten te dichten. "Ze hebben vrij snel gehandeld. Soms meld ik wel eens fouten in software en krijg ik niet eens een reactie."
Het speuren naar kwetsbaarheden noemt Vranken 'een grote puzzel die je op allerlei manieren kunt oplossen': "Sommige mensen maken sudoku's, ik probeer software veiliger te maken." Zo heeft hij naast OpenSSH, OpenSSL en OpenVPN ook de veiligheid van de anonieme browser Tor en Apache (het platform waarop het gros van de websites draaien) verbeterd.
Donaties in bitcoin
Vranken doet dit allemaal vrijwillig: "Ik heb wel een bitcoin-adres op mijn website staan waar mensen een donatie naar kunnen overmaken." In totaal heeft zijn werk met OpenVPN hem 2250 dollar opgeleverd, waarvan 1000 dollar is gedoneerd door de populaire Amerikaanse vpn-dienst Private Internet Access.
"Dat is natuurlijk een mooie beloning voor mijn werk", vertelt hij. "Maar de kroon op mijn werk is dat mensen mijn bevindingen en analyse delen, en dat belangrijke technologieën een stukje veiliger worden."