Steeds vaker hoor ik om mij heen dat mensen overstappen naar “alternatieve” software. Dit zie ik bijvoorbeeld veel bij gebruikers van Adobe Reader met de reden: “het is zo lek en wordt traag gepatched”.

Nu ontken ik niet dat er veel lekken zitten in software van de grotere softwareboeren (Microsoft, Adobe,  Google, etc..) en deze niet altijd even vlot zijn in het patchen van deze lekken. Maar ik vraag mij af, wat schieten we op door over te stappen?

Een aantal jaar terug in het Internet Explorer 6 tijdperk zag je steeds meer mensen om verschillende redenen overstappen naar Mozilla Firefox. Een van die redenen was vaak dat Firefox veiliger zou zijn.

Nu is het ene softwarepakket niet per sé veiliger dan het andere software pakket. Firefox zou veel meer beveiligingslekken kunnen hebben dan Internet Explorer 6. Het gaat erom waar een aanvaller het meeste kans maakt op een geslaagde aanval.

Als 80 procent van de internetgebruikers gebruik maken van Internet Explorer dan ben je naar mijn idee als aanvaller wel gek om een andere browser te gaan onderzoeken naar lekken en manieren te vinden om deze uit te buiten. Ook al heeft Mozilla Firefox veel meer beveiligingslekken (zowel bekend als onbekend), omdat er veel minder gebruikers zijn (en dus minder kansen om een geslaagde aanval uit te voeren) is het voor een aanvaller veel minder interessant om zich te richten op Firefox.

Dát gegeven zorgt voor een soort van veiligheid voor de Firefox gebruikers. Maar wat je nu ziet gebeuren is dat steeds meer mensen Firefox gaan gebruiken, daardoor zou het voor een aanvaller interessanter kunnen worden om Firefox gebruikers aan te gaan vallen, en dán is er een groot probleem. Microsoft is er aan “gewend” om elke maand een flink aantal lekken te dichten, een organisatie als Mozilla misschien wel niet.

Wat ik hiermee wil zeggen? Het overstappen naar alternatieve software kan een vorm zijn van schijnveiligheid. Het zou in een extreem geval zelfs kunnen leiden tot een groter risico voor de gebruikers. Laten we voordat we zoals Verizon gaan roepen “Adobe dumpen maakt bedrijven veiliger” eerst eens nadenken of een alternatief softwarepakket met hetzelfde marktaandeel niet net zo “lek” is als het bestaande softwarepakket.