In de Utrechtse jaarbeurs vond op 8 en 9 december 2010 de Cloudstorm plaats. Het bleek een Belgisch initiatief. Veel van de sprekers waren Belgen, exponenten van een generatie jeugdige ondernemers. Hun werk is volgens mij spinoff van Universitair onderzoek. Diverse kleine ondernemingen, die een bepaald aanbod hebben in de explosief groeiende markt van het internet en de cloud.
Al met al vond ik deze Cloudstorm achteraf meer in een storm in een glas water.
Diverse sprekers wisselden elkaar af met snelle elevatorpitches, wel een leuke formule overigens. Het gaat snel en ze brengen wel degelijk de essentie van hun aanbod voor het voetlicht.
Bedrijf Beemaster was de eerste spreker. Sinds 2003 bieden zij hun diensten aan. Volgens mij bieden zij een portal om naar diverse rekencentra te gaan die zij hebben gecontracteerd. Ze bemiddelen dus eigenlijk in computercapaciteit. Voor kleinere bedrijven is het een hele stap om hun automatisering in de cloud onder te brengen. De functie van Beemaster is, dat zij deze vraag bundelen en onder brengen in de cloud. Zo interpreteer ik althans hun aanbod. In een wereld van 'disintermediation' is dat een uitdaging voor deze club.
Bedrijf Contact Office presenteerde zich met een veelheid van office-functies achter hun portal. Je kunt een jaar gratis een account proberen. Op hun klantenlijst vind je 10 grote onderwijsinstellingen en een tiental Belgische bedrijven. Het lijkt mij een vergelijkbare intermediairfunctie als het hiervoor genoemde Beemaster. Met het verschil, dat zij wel officepakketten selecteren en de klant helpen om uit het aanbod een geschikte selectie te kiezen. Daar is dus duidelijk sprake van toegevoegde waarde, omdat de klant geen personeel hoeft te hebben om selectie en beheer van officefunctionaliteit uit te voeren.
Racktivity meet de harde laag; wat er allemaal gebeurt in de hardware. De spreker stelt, dat die harde laag het minst wordt bemeten, daarentegen de meeste energie gebruikt en de meeste CO2 produceert. Dat is een interessante gedachte. Ik weet niet wat de impact is op de business, maar intussen is het wel zo, dat de energieconsumptie (hoewel laag per apparaat) van onze apparaten gigantisch is, eenvoudigweg omdat er zo veel apparatuur is in onze samenleving. TV's, radioos, lampen, computers, randapparatuur.
Vasco introduceert een beveiligingsoplossing met een reader. Dat aanbod kan ik niet beoordelen. Wellicht dat ik er in de toekomst nog aan zal denken, als het terugkomt in het brede spectrum van oplossingen voor security in gebouwen en in ICT.
Runmyprocess is een workflowapplicatie via de cloud. Een francophoon type in zeer frans engels deed de uitleg hierover. Ik begrijp, dat je niet alleen je applicaties in de cloud kunt brengen, maar ook met deze applicatie je processamenhang in de cloud kunt regelen. Lijkt me zinvol. Workflowmanagement wordt vaker toegepast in bedrijven en het lijkt logisch, dat je bij verhuizing naar de cloud ook workflowmanagement wilt behouden.
Ik zie dit als een portal waar je makkelijk je workflow kunt ontwerpen en op allerlei punten googleapps en oracle crm en salesforce kunt inpluggen met plugins.
Het bedrijfsmodel is Pay per use.
Het zijn allemaal oplossingen die er vanuit gaan dat klanten via internet (de cloud) hun oplossingen willen implementeren.
De beursvloer buiten de zaal, waar de pitch-presentaties werden gehouden, was dun bezet, met veel lege stands. Met name vond je daar de bekende leveranciers van hardware. Het valt mij op, dat iedereen zijn bestaande produkten als cloud-oplossingen aanprijst.
En dat is wel erg kort om de bocht. Zoals altijd zijn de hardwareleveranciers te veel techniekgedreven en zien over het hoofd, dat er binnen het bedrijf een aantal andere essentiële stappen moeten worden gezet, voordat je in de cloud gaat werken.
Zenith is de sponsor van het cloudstormseminar. Met een vestiging in België. Het seminar wordt sowieso geleid door Belgen; die blijken ondernemend op dit terrein.
Zenith is zo'n bedrijf dat zijn bestaande dienstverlenig onder de cloud definitie brengt. Zij bieden managed services voor MKB. Hoofdkwartier in Pennsylvania, Europees hoofdkwartier in Belgie, Network Operations Center in Mumbai met 700 mensen. Zij beheren 500.000 desktops, 150.000 serveromgevingen en 500.000 networkdevices. Werken samen met 4000 IT providers. White label services...inderdaad. Iedereen kan er zijn eigen merk opplakken.
Een organisatie in twee lagen. Zij bieden de infra voor IT leveranciers die dan zelf niet in hardware hoeven te investeren. (Www.zenithinfotech.eu)
Samengevat bieden al deze aanbieders portals of middleware, waardoor ze kanalen aan elkaar verbinden respectievelijk doorgang verlenen naar externe platformen. Het zijn dus vooral tussenpersonen of intermediairs. Ze bieden hun kennis aan, zodat bedrijven kunnen werken in de cloud. Dat werkt natuurlijk alleen zolang die bedrijven zelf niet de weg kunnen vinden naar deze externe platformen. En dat lijkt mij het geval voor veel kleine en middelgrote bedrijven. cloud?
Tuesday, June 28, 2011
Saturday, June 18, 2011
Methoden van computer-inbraak
Op 9 mei 2011 schreef ik een posting over de beurs Infosecurity. Op die beurs werd ook in meer detail beschreven, hoe computer-inbraken worden uitgevoerd. Daarover gaat deze posting.
Een spreker was bij Deloitte manager van een specialistische groep. Hij legt uit, dat inbreken bij bedrijven en websites moeilijker wordt en dat daarom de computer van de klant wordt aangevallen. Deze Gijs Hollestelle houdt zich bezig met zogenaamde ethical hacking en onderzoekt voor opdrachtgevers de zwakke plekken van hun systemen.
Vroeger waren de hackers academici, die de grenzen onderzochten. Nu zijn het steeds meer slimme, criminele figuren.
Er zijn marktplaatsen waar criminelen de buit van computer-inbraak te koop aanbieden. Voorbeelden van wat er zoal te koop is:
1. volledig te controleren bankrekeningen 10dollar
2. creditcardgegevens 5 dollar
3. identiteitsgegevens 2 dollar
4. ebay account 10dollar
5. etc.
De waarde van een gestolen ebay-account is een doordenker. Als je zo'n account hebt, kun je een produkt te koop aanbieden, zonder de intentie, dat je het produkt gaat leveren. Afnemers betalen geld op jouw rekening en daarmee kun je doorgaan totdat het account wordt ontmaskerd als frauduleus en wordt gesloten.
In feite is er een bedrijfskolom of waardeketen van computercriminaliteit. Vooraan in de keten zitten de criminelen die computergegevens stelen. Daarna komen de lieden, die deze gegevens misbruiken om geld en goederen te stelen. Ook 'katvangers' hebben een rol in deze ketens; zij stellen tegen vergoeding hun bankrekening ter beschikking aan criminelen om de geldstroom te kanaliseren.
Welke vormen van inbraak zijn mogelijk?
1. De eerste is 'simple phishing'. Formulier met verzoek om persoonlijke gegevens en bankgegevens op te geven zogenaamd ter controle voor de bank, of met een ander voorwendsel.
Mensen kregen een brief van de belastingdienst (IRS), dat ze geld terugkregen. Ze moesten alleen nog hun bankgegevens doorgeven.
Een andere mogelijkheid is een mail met een zip-file of een link waarop je moest klikken. Deloitte had zo'n mail laten analyseren en er bleek een zeus/zbot in te zitten. http://en.wikipedia.org/wiki/Zeus_%28trojan_horse%29 Deze malware werd maar door enkele van de ingezette virusscanners geïdentificeerd. De virusscanner van McAfee vond hem niet.
2. 'Beyond simple phishing.' Lokken naar een fakewebsite, soms ook een namaak van een echte site, die niet te onderscheiden is. En dan de bezoeker op deze site zijn gegevens laten inkloppen.
3. 'More sophisticated.' Je krijgt bijvoorbeel mail van een airline, dat een vlucht wordt gecancelled of verandert; als je de link volgt om de geboekte reis te kunnen afzeggen of aan te passen druk je op links, waarmee je trojans/ zbots naar binnen haalt in je eigen systeem. De trojans/ zbots hebben technieken tegen scanners en laten zich dus niet opsporen en verwijderen. Ze zijn op afstand bestuurbaar en kunnen andere pc's infecteren. Zo wordt een botnet opgebouwd.
4. 'Man in the browser'. Verandert het scherm dat naar de bank gaat, omdat de indringer de controle heeft over de browser. Verandert bij een betaling bijvoorbeeld de tegenrekening, maar laat op het scherm als bevestiging wel het echte nummer zien.
5. Er is ook het zg typo-squatting. Je typt per abuis www.gogle.com en je komt dan op een andere website waar je wel 'google' wordt voorgespiegeld terwijl je pc intussen geinfecteerd wordt.
Er zijn dus vele manieren, waarop criminelen binnen kunnen dringen in computers en zich meester kunnen maken van gegevens.
Het is opvallend, hoe vaak leveranciers van software 'security updates' moeten rondsturen om gaten in de software te dichten. Vaak is men dan al te laat, want gaten worden voortdurend gezocht en ze zijn geld waard zolang ze nog niet ontdekt en gerepareerd zijn.
Gebrek aan discipline bij gebruikers maakt het nog altijd mogelijk om bestanden via mail binnen te smokkelen, of via besmette usb-sticks of door het lokken van foute websites.
De spreker besluit met de opmerking, dat de I-pad controleert welke applicaties erop staan. Wellicht, dat je in de toekomst moet werken met twee machines: één voor de serieuze applicaties en één voor spelletjes.
Een spreker was bij Deloitte manager van een specialistische groep. Hij legt uit, dat inbreken bij bedrijven en websites moeilijker wordt en dat daarom de computer van de klant wordt aangevallen. Deze Gijs Hollestelle houdt zich bezig met zogenaamde ethical hacking en onderzoekt voor opdrachtgevers de zwakke plekken van hun systemen.
Vroeger waren de hackers academici, die de grenzen onderzochten. Nu zijn het steeds meer slimme, criminele figuren.
Er zijn marktplaatsen waar criminelen de buit van computer-inbraak te koop aanbieden. Voorbeelden van wat er zoal te koop is:
1. volledig te controleren bankrekeningen 10dollar
2. creditcardgegevens 5 dollar
3. identiteitsgegevens 2 dollar
4. ebay account 10dollar
5. etc.
De waarde van een gestolen ebay-account is een doordenker. Als je zo'n account hebt, kun je een produkt te koop aanbieden, zonder de intentie, dat je het produkt gaat leveren. Afnemers betalen geld op jouw rekening en daarmee kun je doorgaan totdat het account wordt ontmaskerd als frauduleus en wordt gesloten.
In feite is er een bedrijfskolom of waardeketen van computercriminaliteit. Vooraan in de keten zitten de criminelen die computergegevens stelen. Daarna komen de lieden, die deze gegevens misbruiken om geld en goederen te stelen. Ook 'katvangers' hebben een rol in deze ketens; zij stellen tegen vergoeding hun bankrekening ter beschikking aan criminelen om de geldstroom te kanaliseren.
Welke vormen van inbraak zijn mogelijk?
1. De eerste is 'simple phishing'. Formulier met verzoek om persoonlijke gegevens en bankgegevens op te geven zogenaamd ter controle voor de bank, of met een ander voorwendsel.
Mensen kregen een brief van de belastingdienst (IRS), dat ze geld terugkregen. Ze moesten alleen nog hun bankgegevens doorgeven.
Een andere mogelijkheid is een mail met een zip-file of een link waarop je moest klikken. Deloitte had zo'n mail laten analyseren en er bleek een zeus/zbot in te zitten. http://en.wikipedia.org/wiki/Zeus_%28trojan_horse%29 Deze malware werd maar door enkele van de ingezette virusscanners geïdentificeerd. De virusscanner van McAfee vond hem niet.
2. 'Beyond simple phishing.' Lokken naar een fakewebsite, soms ook een namaak van een echte site, die niet te onderscheiden is. En dan de bezoeker op deze site zijn gegevens laten inkloppen.
3. 'More sophisticated.' Je krijgt bijvoorbeel mail van een airline, dat een vlucht wordt gecancelled of verandert; als je de link volgt om de geboekte reis te kunnen afzeggen of aan te passen druk je op links, waarmee je trojans/ zbots naar binnen haalt in je eigen systeem. De trojans/ zbots hebben technieken tegen scanners en laten zich dus niet opsporen en verwijderen. Ze zijn op afstand bestuurbaar en kunnen andere pc's infecteren. Zo wordt een botnet opgebouwd.
4. 'Man in the browser'. Verandert het scherm dat naar de bank gaat, omdat de indringer de controle heeft over de browser. Verandert bij een betaling bijvoorbeeld de tegenrekening, maar laat op het scherm als bevestiging wel het echte nummer zien.
5. Er is ook het zg typo-squatting. Je typt per abuis www.gogle.com en je komt dan op een andere website waar je wel 'google' wordt voorgespiegeld terwijl je pc intussen geinfecteerd wordt.
Er zijn dus vele manieren, waarop criminelen binnen kunnen dringen in computers en zich meester kunnen maken van gegevens.
Het is opvallend, hoe vaak leveranciers van software 'security updates' moeten rondsturen om gaten in de software te dichten. Vaak is men dan al te laat, want gaten worden voortdurend gezocht en ze zijn geld waard zolang ze nog niet ontdekt en gerepareerd zijn.
Gebrek aan discipline bij gebruikers maakt het nog altijd mogelijk om bestanden via mail binnen te smokkelen, of via besmette usb-sticks of door het lokken van foute websites.
De spreker besluit met de opmerking, dat de I-pad controleert welke applicaties erop staan. Wellicht, dat je in de toekomst moet werken met twee machines: één voor de serieuze applicaties en één voor spelletjes.
Monday, June 6, 2011
'Aan de slag met de BAG'
Ministerie van VROM organiseerde op 29 en 30 november 2010 twee workshopdagen om de implementatie van de Basisadministratie Gebouwen (BAG) te stimuleren. De BAG is één van de bouwstenen van het Nationaal Uitvoeringsprogramma NUP, waarover ik regelmatig heb geschreven op deze weblog. De bijeenkomsten waren in de Galgewaard in Utrecht en werden druk bezocht, heel veel uitvoerende mensen van lagere overheden, precies degenen waarvoor de workshops waren bedoeld.
Er was een hele goede keynote van Arre Zuurmond op de eerste dag.
Zuurmond neemt als academicus afstand van het hijgerige en stelt fundamentele vragen. Een verademing vergeleken met de hype-verhalen die bijvoorbeeld trendwatchers verspreiden.
Hij stelt de vraag waarom we eigenlijk basisadministraties willen maken en noemt voorbeelden uit het verleden. De volkstelling van Keizer Augustus, waarvoor Jozef met zijn vrouw Maria naar Bethlehem moest, is zo'n voorbeeld. Want de keizer wilde registreren, hoeveel mensen er in zijn rijksdelen woonden. En Nederland kreeg in de tijd van Napoleon de Burgerlijke Stand en andere samenhangende registraties. Veel mensen moesten toen nog een familienaam bedenken; de anekdotes daarbij kennen we. In beide voorbeelden wilde de staat vooral belasting heffen en manschappen recruteren.
Zuurmond noemt de middelen die de staat heeft om macht uit te oefenen:
recht
geld
mensen
informatie.
Registraties vormen rechtsfeiten. Een Geboorteakte is bijvoorbeeld een rechtsfeit. Zonder akte en inschrijving besta je niet!
Een Rechtsfeit heeft gevolgen. En registraties hebben voor individuen ook een beschermende werking. Als je vroeger in een pand een succesvolle zaak opzette, kon het plaatselijke hoofd van politie of een andere machtsfiguur zich die zaak toeëigenen. Want nergens lag vast, dat er een zaak bestond en dat jij daarvan de eigenaar was. Door de vastleggingen krijg je een bepaalde rechtspositie, met rechten en met plichten.
Vervolgens gaat Zuurmond in op de netwerken van basisregistraties die zijn gevormd. Deze netwerken zijn inmiddels met elkaar verbonden en sectoren wisselen zo gegevens met elkaar uit. De privacyridders worden hier natuurlijk zenuwachtig van, maar het verbetert het functioneren van overheden en ontlast de burger van allerlei gegevensuitvraag. Hij noemt als sprekend voorbeeld het RDW (registratie kentekens), dat veelvuldig wordt geraadpleegd. RDW heeft een budget, dat voor 25% opgaat aan ICT, maar zonder hun vergaande automatisering hadden ze 6000 fte meer in dienst moeten hebben! Over de baten van ICT gesproken...
Een ander belangrijk winstpunt voor overheden is de identificatie-koppeling. Voordien konden kleine variaties in schrijfwijze van de naam een match voorkomen, zodat allerlei vormen van misbruik van sociale voorzieningen ongezien konden gebeuren. En het opgeven van een niet bestaand huisnummer bij aanvraag van een gemeente-uitkering is ook niet meer mogelijk, omdat basisregistraties dat onmiddellijk zullen signaleren.
Kortom, Zuurmond onderbouwt waarom goede basisregistraties cruciaal zijn voor goed functionerende overheden en ik ben dat volkomen met hem eens.
In een volgende posting zal ik nog verslag doen van workshopsessies, die ik heb bezocht, met verschillende verhalen over BAG-implementaties.
Er was een hele goede keynote van Arre Zuurmond op de eerste dag.
Zuurmond neemt als academicus afstand van het hijgerige en stelt fundamentele vragen. Een verademing vergeleken met de hype-verhalen die bijvoorbeeld trendwatchers verspreiden.
Hij stelt de vraag waarom we eigenlijk basisadministraties willen maken en noemt voorbeelden uit het verleden. De volkstelling van Keizer Augustus, waarvoor Jozef met zijn vrouw Maria naar Bethlehem moest, is zo'n voorbeeld. Want de keizer wilde registreren, hoeveel mensen er in zijn rijksdelen woonden. En Nederland kreeg in de tijd van Napoleon de Burgerlijke Stand en andere samenhangende registraties. Veel mensen moesten toen nog een familienaam bedenken; de anekdotes daarbij kennen we. In beide voorbeelden wilde de staat vooral belasting heffen en manschappen recruteren.
Zuurmond noemt de middelen die de staat heeft om macht uit te oefenen:
recht
geld
mensen
informatie.
Registraties vormen rechtsfeiten. Een Geboorteakte is bijvoorbeeld een rechtsfeit. Zonder akte en inschrijving besta je niet!
Een Rechtsfeit heeft gevolgen. En registraties hebben voor individuen ook een beschermende werking. Als je vroeger in een pand een succesvolle zaak opzette, kon het plaatselijke hoofd van politie of een andere machtsfiguur zich die zaak toeëigenen. Want nergens lag vast, dat er een zaak bestond en dat jij daarvan de eigenaar was. Door de vastleggingen krijg je een bepaalde rechtspositie, met rechten en met plichten.
Vervolgens gaat Zuurmond in op de netwerken van basisregistraties die zijn gevormd. Deze netwerken zijn inmiddels met elkaar verbonden en sectoren wisselen zo gegevens met elkaar uit. De privacyridders worden hier natuurlijk zenuwachtig van, maar het verbetert het functioneren van overheden en ontlast de burger van allerlei gegevensuitvraag. Hij noemt als sprekend voorbeeld het RDW (registratie kentekens), dat veelvuldig wordt geraadpleegd. RDW heeft een budget, dat voor 25% opgaat aan ICT, maar zonder hun vergaande automatisering hadden ze 6000 fte meer in dienst moeten hebben! Over de baten van ICT gesproken...
Een ander belangrijk winstpunt voor overheden is de identificatie-koppeling. Voordien konden kleine variaties in schrijfwijze van de naam een match voorkomen, zodat allerlei vormen van misbruik van sociale voorzieningen ongezien konden gebeuren. En het opgeven van een niet bestaand huisnummer bij aanvraag van een gemeente-uitkering is ook niet meer mogelijk, omdat basisregistraties dat onmiddellijk zullen signaleren.
Kortom, Zuurmond onderbouwt waarom goede basisregistraties cruciaal zijn voor goed functionerende overheden en ik ben dat volkomen met hem eens.
In een volgende posting zal ik nog verslag doen van workshopsessies, die ik heb bezocht, met verschillende verhalen over BAG-implementaties.
Subscribe to:
Posts (Atom)
