Daily Archives: November 10, 2011

Open source software helpt lekken voorkomen

2 Replies

Het zal je niet zijn ontgaan dat veel overheidsinstanties en gemeenten onder vuur liggen vanwege gebrekkige ict-beveiliging. Verschillende websites blijken gevoelig te zijn voor kwetsbaarheden en onvolkomenheden in de software waardoor de controle over sites kan worden overgenomen. Ook kunnen er gegevens buit gemaakt worden. Voor bedrijven en overheden levert dit imagoschade op.

In de media worden deze beveiligingslekken uitvoerig beschreven en naar buiten gebracht. Maar wat kan aan aan de beveiligingslekken gedaan worden. En, in relatie tot dit expert topic, welke rol kan open source software hierbij spelen?

Laat het duidelijk zijn, ict-security is iets dat niet alleen in de software kan geregeld kan worden. Security moet je op alle vlakken aanpakken, zowel procedureel, fysiek, op hardware als in de software (hierbij kan de software zelfs nog gesplitst worden in de applicatie en systeemsoftware zoals operating systeem, database en webserver). Zo’n integrale aanpak zorg ervoor dat je niet alleen de voordeur dichttimmert, maar ook de achterdeur goed vergrendeld.

In de meeste voorbeelden in de media zijn websites het doelwit. In mijn ogen is dit niet schokkend. In de meeste gevallen betreft het informatie die toch al met de buitenwereld gedeeld wordt. Ik zou het veel kwalijker vinden wanneer er informatie verkregen wordt die de betreffende organisatie of het bedrijf niet wilde delen. Het lijkt me dat je daarom data zou moeten classificeren, bijvoorbeeld in drie niveaus van vertrouwelijkheid. Op elk niveau kunnen passende maatregelen getroffen worden. Daarnaast zou bij zelfbouw van applicaties security in het design mee genomen moeten worden. Strikte regels en afspraken tijdens het programmeren helpen security risico’s te verkleinen of ze (later) eenvoudiger te verhelpen.

Wat mij in de meeste berichten opvalt is dat de sites al zo’n lange tijd ‘lek’ blijken te zijn. Dat suggereert dat de sites niet of niet goed beheerd worden. Of in ieder geval dat de beheerder niets in de gaten heeft gehad. Goed beheer is dan ook een erg belangrijke voorwaarde voor security. Een goede beheerder weet wat er zich op de systemen afspeelt. Hij (of zij) heeft bijvoorbeeld een adequate update policy. Software wordt regelmatig van updates voorzien en security updates worden met voorrang doorgevoerd. Het spreekt vanzelf dat kennis en ervaring noodzakelijk zijn voor goed beheer.

Maar kan open source software helpen? Voor wat betreft het software-deel kan dat naar mijn idee zeker. Er zijn verschillende open source softwaretools beschikbaar die gebruikt kunnen worden om de mate van security te verhogen. Nu zal je misschien denken, zijn dat niet dezelfde tools die ook door de hackers gebruikt worden? Dat zou best kunnen, maar in mijn ogen is dat juist een extra reden er kennis van op te doen en ze te gebruiken.

Prijskaartje

Vanwege de vaak lagere kosten kan open source software de financiële bezwaren wegnemen om dergelijke tools te gaan gebruiken. Geen aanschafprocedure en niet-techneuten die daarover moeten beslissen, gewoon downloaden. Open source-software is daardoor laagdrempelig. Veel van de tools maken ook nog standaard deel uit van een (Linux) distributie en dat maakt het gebruik nog eenvoudiger. Voorbeelden hiervan zijn Linux gebaseerde firewalls zoals Shorewall en bijvoorbeeld tcpdump waarmee het netwerkverkeer van een interface kan worden bekeken. In het verleden heb ik daar veel gebruik van gemaakt. Naar verloop van tijd wordt je handig in het gebruik ervan. Een ander mooi voorbeeld is SELinux. Dit is een systeem dat in veel Linux distributies aanwezig is en waarmee het systeem veiliger kan worden gemaakt. Met SELinux kunnen bijvoorbeeld de mogelijkheden van een server proces, zoals de webserver, om het filesysteem te benaderen geminimaliseerd worden. Indien de webserver gehackt zou worden, blijven de mogelijkheden dit te misbruiken beperkt. Ook denk ik aan Nessus, een open source netwerkscanner die het netwerk doorlicht op bekende kwetsbaarheden. Wat weerhoudt organisaties ervan dergelijk producten te gebruiken?

Is open source software zelf ook veiliger? Mogelijk, maar natuurlijk bevat ook open source software bugs en kwetsbaarheden, het is en blijft software. Wel weten we inmiddels dat ‘security by obscurity’ zoals in de commerciële software wereld gehanteerd wordt niet werkt. Juist openheid over security problemen leidt tot oplossingen en dus tot een veiliger systeem. Bovendien, al zou een oplossing (nog) niet beschikbaar zijn, zodra bekend is dat er een security probleem is, kan je als klant, eindgebruiker of beheerder maatregelen nemen. In het meest extreme geval sluit je een systeem van internet af. Je hebt in ieder geval de keuze.

Ook biedt open source software de mogelijkheid zelf het heft in handen te nemen. Zo werkt een collega van me aan Handshake, een sms-authenticatie portal dat gebruik maakt van OpenVPN. De portal regelt de ‘two factor security’ en OpenVPN de beveiligde netwerkverbinding. OpenVPN is open source software en Handshake wordt dat in de nabije toekomst. De combinatie van beiden is een goed alternatief voor commerciële software die het ‘thuiswerken’ ondersteunen.

Terug naar de vraag, kan open source software mijn ict-security helpen te vergroten? Ik ben van mening dat het dat zeker kan. Toch zal een goede aanpak zich niet beperken tot de software. Een beheerder die van mening is dat de webserver niet gehackt zal worden leeft in een fantasiewereld. Ga ervan uit dat het gebeurd en kijk dan nogmaals naar het systeem, neem security serieus en gebruik de goede tools. En als laatste, zorg voor een calamiteitenprocedure. Welke maatregelen ga jij nemen als je gehackt bent? Wie gaat de communicatie voor zijn rekening nemen? Denk hier goed over nu je daar nog rustig de tijd voor hebt.

Wat ik echter niet begrijp is dat er nog steeds bedrijven zijn die hacks ontkennen en eromheen draaien. Is het inmiddels niet duidelijk dat zoiets niet meer kan? Of vinden we security gewoon niet belangrijk?

Dit artikel is verschenen op de site van Computable op 10-11-2011

 

Patenten als inkomstenbron

Leave a reply

Niet zolang geleden las ik op internet dat Microsoft 5 dollar verdient op ieder Android apparaat dat verkocht wordt. Tegelijkertijd is de eigen Windows Phone 7 software geen groot succes. Mogelijk dat de samenwerking met Nokia daar verandering in kan brengen. We zullen moeten afwachten hoe de consument dit beoordeeld.

In mei 2007 maakt Microsoft bekent dat er 235 van haar patenten in Linux zijn te vinden. Het bedrijf weigerde te vertellen om welke patenten het precies ging. Daarmee werd de open source community onder druk gezet. Linus Torvalds was niet onder de indruk. Volgens hem is de kans dat Microsoft zelf patenten van anderen schendt groter dan dat zoiets in Linux gebeurt. Daarnaast was hij van mening dat Microsoft meer te winnen had van de angst die dit met zich meebrengt.

Het heeft er alle schijn van dat Linus Torvalds gelijk heeft gekregen. Microsoft heeft met verschillende bedrijven overeenkomsten gesloten vanwege vermeende patent schending (Velocity Micro, General Dynamics Intronics, Onkyo Corp., HTC en Barnes & Noble). Het gaat in deze gevallen om Android dat op de Linux kernel is gebaseerd.

Onlangs heeft een consortium van bedrijven voor 4,5 miljard dollar Nortel patenten gekocht. Het consortium wordt gevormd door Microsoft, Research In Motion (RIMM) en Apple. Deze Nortel patenten versterken de positie van dit consortium in haar patent rechtszaken.

Nu is Microsoft ook in gesprek met Samsung. Ook hier gaat het om schending van patenten in Android. Per verkochte smartphone of tablet wil Microsoft een vergoeding van 15 dollar hebben. De onderhandelingen lopen nog, dus mogelijk wordt het een lager bedrag. Ook wordt er gesproken met Motorola. Dat zou Microsoft‘s patenten schenden met de Motorola Droid, XDroid en verschillende telefoons.

Niet alleen Microsoft probeert geld te verdienen middels patent rechtszaken. HTC heeft bijvoorbeeld onlangs het bedrijf S3 Graphics gekocht met als hoofddoel het verkrijgen van diens patenten. Het is immers al bekend dat Apple een aantal daarvan schendt. En ook Oracle mengt zich in deze ‘strijd’. Zo is bij Infoworld te lezen dat Oracle 20 dollars per Android telefoon wil hebben. Dagelijks komen er meer van dit soort voorbeelden bij.

We kunnen naar mijn idee inmiddels een aantal conclusies trekken.

Ten eerste heeft Keith Bergelt, CEO van het Open Invention Network gelijk gekregen toen hij in 2008 beweerde dat er een groot aantal patent rechtszaken zou volgen. Hij noemde het toen ‘De stilte voor de storm’.

Daarnaast lijken Microsoft (en de anderen) zich te richten op open source software in het algemeen. Toch is mijn indruk dat vooral gelet is op concurrenten die geld verdienen aan Linux, daar valt immers wat te halen. Het kost Microsoft ook verder niets, met uitzondering van de inhuur van juristen. Op de korte termijn levert dit Microsoft mogelijk veel geld op, misschien wel meer dan de eigen mobile software. Op de langere termijn is het een slecht bedrijfsmodel, er wordt namelijk geen waarde toegevoegd. Zodra de open source community de software herschrijft en de patenten omzeild werkt dit niet meer.

Ook vraag ik me af of patenten (en rechtszaken daarover) wel goed zijn voor de ict-industrie. Naast hoge kosten regeert angst en achterdocht. Het leidt de aandacht af van hetgeen de industrie zou moeten doen, namelijk mooie en innoverende producten maken.

Ik bekijk het vooral graag positief. Open source software is inmiddels ‘Big business’. De grote it-bedrijven doen wat ze altijd al deden, het gebruiken, er rechtszaken over voeren, er overeenkomsten over sluiten en er veel geld aan verdienen. Open source software is daarmee naar mijn idee volledig geaccepteerd in de zakelijke wereld
.

Dit artikel is verschenen op de site van Computable op 11-07-2011