Volledig scherm
De Duitse software-ontwikkelaar Robin Seggelmann noemt zijn fout 'vrij triviaal'. © Thinkstock

Deze man veroorzaakte met 'vrij triviale fout' Heartbleed

De Duitse software-ontwikkelaar Robin Seggelmann is verantwoordelijk voor Heartbleed, het deze week ontdekte lek in de opensourcesoftware die op veel websites gebruikt wordt om een vertrouwelijke uitwisseling van gegevens mogelijk te maken. De man laat weten dat hij, in tegenstelling tot wat sommigen beweren, dit niet met opzet deed.

Het is volgens Seggelmann zelfs 'eenvoudig uit te leggen' hoe de bug in het wereldwijd veelgebruikte beveiligingscertificaat terechtkwam.

Wachtwoorden beschermen
Na het nieuws dat het lek ontdekt was, volgde al snel het bericht dat het lek ook weer gedicht was. Het ging om een lek in OpenSSL, populaire software die wordt gebruikt om internetverbindingen te beveiligen en af te schermen voor kwaadwillenden.

Het gebruik van OpenSSL is te herkennen aan het groene slotje dat naast het internetadres in de browser verschijnt. Naar schatting maakt de helft van alle webservers er gebruik van, bijvoorbeeld om wachtwoorden en inloggegevens af te schermen. In Nederland maakt onder meer iDeal gebruik van OpenSSL.

'Helaas niet ontdekt'
Dr. Robin Seggelmann uit Münster in Duitsland reageert voor het eerst in de media. Hij laat weten dat de bug 'helaas' niet tijdig door hem en degene die zijn code moest controleren op fouten werd ontdekt toen hij twee jaar geleden werkte aan een aanvulling op OpenSSL.

'Ik was druk met het verbeteren van OpenSSL en ik verwijderde meerdere bugs en voegde nieuwe functies toe,' vertelt Seggelmann aan The Sydney Morning Herald. 'Voor een van deze nieuwe functies miste ik, helaas, de validatie van een variabele.'

Ernstige impact
Na het invoeren van de nieuwe codes in de nieuwe functies zag ook degene die zijn werk controleerde 'blijkbaar het ontbreken van de validatie niet', aldus de software-ontwikkelaar. 'En zo kwam de fout van de ontwikkelingstafel in de uiteindelijke software die werd uitgebracht, terecht.' Volgens Seggelmann is de fout 'vrij triviaal, maar de impact wel ernstig'.
 
Complotheorie
Na de bekendmaking van het nieuws suggereerden sommigen dat de bug kwaadwillig in de software was opgenomen. Volgens Seggelmann is het 'verleidelijk' dat te denken, zeker nadat Edward Snowden bekendmaakte dat de NSA (National Security Agency) in de VS wereldwijd spionage activiteiten uitvoert.

'Maar in dit geval was het een simpele programmeringsfout van een nieuw functie. Een fout die helaas opdook in een onderdeel dat relevant is voor de veiligheid. Dit was helemaal niet de bedoeling, zeker niet gezien het feit dat ik eerdere OpenSSL bugs zelf heb verwijderd en ik probeerde bij te dragen aan het project.'

Volgens Seggelmann is het goed mogelijk dat nationale veiligheidsdiensten er al die jaren toch van het lek gebruik hebben gemaakt.

'Het is een mogelijkheid, en het is altijd beter om van het slechtste uit te gaan dan het beste als het aan komt veiligheid, maar ik wist niet van het bestaan van de bug totdat deze werd ontdekt en ik heb geen banden met veiligheidsdiensten. Ik kan alleen speculeren.'

Voordelen van de ontdekking
Volgens Seggelmann is de ontdekking van de bug een eyeopener voor iedereen die werkt aan de codering van opensourcesoftware om altijd alert te blijven. 'Het is ongelukkig dat de software gebruikt wordt door miljoenen mensen, maar dat er maar een paar mensen zijn die er een bijdrage aan leveren.'

'Het voordeel van opensourcesoftware is dat iedereen de code kan controleren. Hoe meer mensen er naar kijken, hoe beter, zeker in het geval van software als OpenSSL.'

Snel maatregelen
Ondertussen heeft een Amerikaanse toezichthouder vandaag een oproep gedaan aan banken snel maatregelen te nemen. Dat meldde de zakenkrant Financial Times (FT). Zij moeten voorkomen dat het grote lek in de beveiliging van websites door criminelen wordt gebruikt om wachtwoorden voor internetbankieren te stelen.

Bedrijven kunnen dat doen door hun software te vernieuwen. De toezichthouder roept banken op daar snel werk van te maken.