Tuesday, November 27, 2012

Wederwaardigheden van Open Source

Op 28-10-10 schreef ik een posting 'setbacks voor open source' naar aanleiding van het terugdraaien van open source keuzen door de Duitse overheid. Bij deze nog eens een opsomming van gebeurtenissen. Er blijven tegengestelde bewegingen optreden.
In 2006 werd in de Nederlandse Tweede Kamer de motie Vendrik aangenomen. Open Source moest van overheidswege gestimuleerd worden. Daartoe werd het project OSOSS opgestart, later opgevolgd door het programma NoiV. Ook in andere landen zijn van overheidswege initiatieven geweest om open source te promoten. In Amerika wordt het gezien als een middel voor federale en lagere overheden om hun ICT-kosten te verlagen. In Duitsland en Frankrijk zijn grote overheidsdiensten overgegaan op open software. En in Engeland wordt het door de Tories gezien als het wondermiddel om een open, voor de burger gemakkelijk toegankelijke overheid te bouwen.
Aanleiding voor deze posting is het rapport van de Algemene Rekenkamer over Open Source. In maart 2011 heeft de Rekenkamer aan de minister gerapporteerd, dat het overgaan op open source maar een minimale kostenbesparing zal opleveren. Wellicht is dat ook de reden, dat het programma NoiV na de zomer 2011 zal stoppen. Voorstanders van open source wijzen erop, dat de focus op (licentie)kosten een veel te beperkte insteek is geweest van de Rekenkamer.
Rolf Zaal betoogt in Automatiseringsgids van maart 2011, dat er een politieke denkfout wordt gemaakt. De politiek denkt bij Open Source aan 'lekker gratis' en de Rekenkamer 'sukkelt daar kritiekloos in mee'. En berekent dat licentiekosten maar 4% van de totale ICT-kosten van het Rijk vertegenwoordigen. Volgens Zaal zit het voordeel van Open Source er vooral in, dat je als gebruiker zelf de verdere koers van de software kunt medebepalen. Je krijgt meer businessfit en komt nooit in een vendor lock-in. Zelf zie ik dat vendors als Microsoft alleen meebewegen als het moet (bijvoorbeeld wanneer ze druk van open software voelen, zoals bij Open Office). En anders is het toch hun eigen winstdoelstelling, die bepaalt welke aanpassingen in software wel of niet gedaan zullen worden. Je ziet aan Windows en Office, dat Microsoft steeds betere produkten levert, maar je moet je inderdaad afvragen, of dat verder gaat, zodra de druk van concurrentie (zoals open source software) wegvalt.
Het lijkt erop, dat open source een nicheprodukt wordt. Voor de liefhebbers en principiëlen. Dat geldt althans voor operating systems en voor officeprodukten. Voor sommige produkten, zoals de browser Firefox en serversoftware zoals Apache, heeft open software juist een sterke positie veroverd. Soms lijkt het, dat instellingen Microsoftplatformen kiezen uit gemakzucht of door handig manoevreren van Microsoft. (Denk bijvoorbeeld aan het feit, dat het Duitse ministerie van Buitenlandse Zaken van open platformen terugconverteert naar Windows. ) Anderzijds worden de produkten van Microsoft steeds beter, zoals ik zelf ervoer met het verkrijgen van Windows 7. Daarom ben ik afgestapt van Linux Ubuntu in mei 2011 toen ik een nieuwe laptop kreeg. Om nu, in november 2012, Ubuntu weer te installeren, omdat Windows na een hersteloperatie helemaal is vastgelopen.
Ben benieuwd, hoe die strijd zich ontwikkelt op de markt van smartphones en tablets. Apple is natuurlijk een fenomenale vernieuwer, maar wel ontzettend van de proprietary software. Apple standaarden worden bijvoorbeeld keihard vastgehouden, zodat Apple via zijn Appstores enorm kan verdienen aan de verkoop van apps. De open standaarden van Android winnen echter snel terrein. Ik houd het erop, dat Apple net als Microsoft bij de pc's zal moeten inbinden. Hoewel het daar nu, november 2012, helemaal nog niet op lijkt. Het begint erop te lijken, dat 'open' en 'proprietary' voorlopig naast elkaar zullen blijven bestaan. Elke optie kan in bepaalde omstandigheden de voorkeur verdienen.

Friday, November 9, 2012

Verrassende inzichten in computerbeveiliging

Onlangs schreef ik over het Open Overheids Congres op 31 mei 2012. Eén van de inleidende sprekers was Bart Jacobs, hoogleraar Computerbeveiliging aan de Radboud Universiteit. Zijn verhaal vond ik de moeite waard om een aparte posting aan te wijden.
De titel van zijn spreekbeurt was 'open standaarden en security'. Daar kan namelijk een frictie in ervaren worden. Sommigen maken volgens hem ten onrechte het punt, dat security minder sterk is, als hij open is, dat wil zeggen, als er veel informatie bekend is over de aard van de beveiliging.
Hij poneert twee stellingen:
=Het openlijk publiceren van designs en protocollen draagt bij aan de veiligheid van de beschermde systemen.
=No security through obscurity.
Vervolgens illustreert hij dat met “security through obscurity” blunders. Die van de Nederlandse OV-chip was mij bekend. Studenten van de Radboud toonden aan, dat je de OV-chip kon manipuleren om gratis te reizen. De gebruikte chip is een oud ontwerp uit de jaren negentig (Mifare Classic chip), die volgens Jacobs vol zit met cryptografische stupiditeiten. Ik kan mij herinneren, hoe de verantwoordelijke OV-instanties in het NOS-journaal bleven draaien om te vertellen, dat de OV-kaart betrouwbaar was en zelfs de krakers in de verdachte hoek zetten. Maar dit lijkt me duidelijk weer een voorbeeld van ethisch hacken. De krakers tonen zwaktes aan om de maatschappij daardoor beter te maken. Als ik google op Mifare-chips, dan blijken er toch ruim een miljard te worden gebruikt. Ze worden toegepast voor RFID tags (radiofrequency identification), waarmee je bijvoorbeeld containers op afstand kunt identificeren. Wellicht is het niet handig geweest om die chip ook te kiezen voor toepassingen, waarvan misbruik profijtelijk is, zoals OV-pas en toegangspassen. Er zijn dus aanvullende beveilingsmaatregelen nodig; ik ben er benieuwd naar welke maatregelen dat dan moeten zijn. Als ander voorbeeld noemt hij GSM. Dat is in het geheim ontwikkeld, maar na uitlekken van algorithmen bleek GSM gemakkelijk af te luisteren. Hij vertelt, dat de opvolger UMTS wél gebaseerd is op open protocollen en standaarden.
Hij introduceert het voor mij onbekende attribuut-georienteerde authenticatie en authorisatie. Voorbeeld: Je moet je ID laten zien om sterke drank te kopen, terwijl alleen de leeftijdscheck daar van belang is. Hij constateert, dat vaak identiteiten worden gebruikt ipv attributen. Dat bedreigt de privacy en gaat in tegen het minimale data vereiste. Andere toepasbare attributen zijn bijvoorbeeld geslacht, beroep, student en postcode. In het project IRMA (I Reveal My Attributes) wordt gewerkt aan een kaart waarop attributen worden opgeslagen. Issuers kunnen attributen aan de kaart toevoegen.
Argumenten voor open systemen:
Snelle detectie en herstel van bugs. Programmeurs produceren betere code als iedereen kan meekijken. Minder risico op backdoors. Meer flexibiliteit: partiële installaties zoals afgeslankte versies; onafhankelijkheid leveranciers voor patches; iedereen kan kwaliteit controleren.
Tegen gesloten: vals gevoel van veiligheid; assumptie is dat het verborgene een goed produkt is gefalsificeerd; source lekt toch uit; het verborgene geeft geen gevoel van vertrouwen.
Voor de volledigheid nog even de definitie van 'open' volgens het College Standaardisatie: Hij vindt dat een cryptografische standaard pas wordt geaccepteerd na een competitie. De organisator is de NIST. (National Institute for Standardisation and Technologies) Voorbeelden zijn AES en SHA-3.
Goed optreden van een academicus met objectieve, diepgaande inzichten over computerbeveiliging.