De onthullingen rond PRISM doen ons geloven dat ook op internet het “recht van de sterkste” geldt. In dit voorbeeld is het de Amerikaanse NSA die massaal telefoongesprekken en internet communicatie tapt en opslaat. Andere geheime diensten doen dit ongetwijfeld eveneens. Dit voorval staat niet op zichzelf, er zijn vele voorbeelden waarin de security van computersystemen in het geding is. Wat kan je hier als bedrijf of individu aan doen? Kan Linux / Open Source Software ons hierbij behulpzaam zijn?

Geen eigenaar, geen bedrijf, geen deals

Commerciële software bedrijven hebben twee nadelen, ten eerste zijn ze gevestigd in een specifiek land en ten tweede worden ze (deels) “geregeerd” door commercie. Doet een Europees bedrijf zaken met een Amerikaans bedrijf dan is de kans groot dat Amerikaanse geheime diensten toegang hebben tot hun systemen en data. Zou het uitmaken dat de specifieke vestiging van dit Amerikaanse bedrijf zich op Europees grondgebied bevind? PRISM leert ons dat de Patriot Act voor alle Amerikaanse bedrijven geldt, waar zij zich ook vestigen. Men kan zich terecht afvragen of dit wenselijk is voor (o.a.) Europese overheidsdiensten. Stellen zij hiermee gegevens van hun burgers aan de Amerikaanse overheid ter beschikking?

Een ander nadeel is het commerciële karakter van veel software bedrijven. Naast – voordelen – strookt de aandacht (en prioriteit) voor security niet altijd met de commerciele belangen van deze bedrijven. Zo worden exploits liefst niet meteen bekend gemaakt. Naast dat bedrijven niet graag “de vuile was” buiten hangen kan een fix meestal niet snel worden gemaakt. De rechtvaardiging hiervan is vaak dan ook dat de onbekendheid van een exploit voorkomt dat daarvan misbruik wordt gemaakt. In de “Open Source wereld” weten we dat deze “Security through obscurity” niet werkt. Mensen die misbruik willen maken van computer systemen zijn gewoon op de hoogte van deze exploits. Microsoft bijvoorbeeld, informeert de NSA over dergelijke exploits zo blijkt nu. Eindgebruikers zijn zo niet in staat hiertegen maatregelen te treffen omdat de exploits voor hen wel onbekend zijn. In tegenstelling, binnen de communities van Open Source Software worden exploits onmiddellijk bekend gemaakt zodat gebruikers maatregelen kunnen treffen en er snel een patch / fix gemaakt kan worden.

Community development

Open Source Software, zoals Linux bijvoorbeeld, kent geen eigenaar die in een specifiek land is gevestigd. Hierdoor is het lastig voor een nationale overheid – Amerikaans of anderzins – hierop grip te krijgen. Bovendien zijn de mensen die aan deze software programmeren vaak wars van dergelijk invloed en zullen zij om die reden daartegen verzetten. Ook is de bron code inzichtelijk voor iedereen die dat wil en vormt daarmee een extra zekerheid dat daarin geen opzettelijke “achterdeurtjes” gemaakt zijn. Het is geen garantie, maar waar zou je voorkeur naar uitgaan?

De bovenstaande punten betekenen niet dat commerciële software slecht is, 
dergelijke bedrijven niet te vertrouwen zijn of dat Open Source Software 
geen exploits zou bevatten. Er zijn voldoende legitieme redenen om wel 
commerciële software te gebruiken. Het is geen argument waarom het 
produceren van commerciële software illegaal of immoreel zou zijn. 
Het is dan ook geen onwil bij commerciële software bedrijven, maar 
eerder een "handicap".

Eerste-hulp

Wanneer bedrijven en eindgebruikers eenmaal met Linux / Open Source Software aan de slag gaan, dan blijkt dat daarvoor een eindeloze hoeveelheid tools (hulpprogramma’s) beschikbaar zijn. De toegankelijkheid is groot omdat ze makkelijk geïnstalleerd kunnen worden (via internet) en er (meestal) geen kosten aan verbonden zijn. Een aanzienlijk deel van deze tools kunnen gebruikt worden om de security van systemen, communicatie en data te verhogen.

Om een indruk te geven, OpenVPN kan gebruikt worden om VPN tunnels te bouwen, iptables is een standaard firewall in Linux, SELinux is een (overigens door de NSA ontwikkelde) methodiek om het security niveau van Linux te verhogen. Mail systemen kunnen beveiligd worden met ClamAV (een virusscanner) en Spamassassin (Spam filter).

Maar ook zijn er: Tripwire (een systeem waarmee wijzigingen van configuratiebestanden gedetecteerd kan worden), Snort (een intrusion detection system) en Fail2ban (een systeem waarmee onterechte inlogpogingen op systeem processen geweerd kunnen worden).

Bovenstaande producten zijn kosteloos te gebruiken, op een paar is commerciële (betaalde) support te verkrijgen en de meesten zijn prima gedocumenteerd. Ze zijn vaak onderling te combineren en deze lijst is verre van compleet!

Ladder en breekijzer

Linux / Open Source Software “gedraagt” zich eerder als een gereedschapskist met onderdelen, dan een “kant en klaar product”. Het nadeel hiervan is dat er meer kennis en ervaring nodig is om daarmee te bereiken wat je wil. Daar staat tegenover dat systemen volledig naar behoefte te configureren zijn. Dit stelt bedrijven en gebruikers in staat bijvoorbeeld alle potentiële hulpmiddelen voor hackers te verwijderen. Een systeem kan worden teruggebracht tot de basisonderdelen die echt nodig zijn. Alle overbodige software en services voor het specifieke toepassingsgebied zijn te verwijderen. In vergelijk, wie laat er een ladder en breekijzer bij zijn voordeur liggen?

Wie niet sterk is…

Voorbeelden zoals PRISM kunnen ons het gevoel geven dat het “recht van de sterkste” geldt. Wie kan er op tegen de financiële kracht en kennis van de NSA? Linux / Open Source Software geeft ons gelukkig de mogelijkheden daar het “recht van de slimste” tegenover te zetten. Het is aan ons eindgebruikers (en bedrijven / zakelijke gebruikers) om deze handschoen op te pakken of ervoor te kiezen ons over te geven aan een ieder die misbruik wil maken van onze systemen.

update d.d. 26-08-2013

Interessant AIVD rapport over dit onderwerp… AIVDrapport2013

ICT professionals houden zich bezig met alles dat digitaal is. De (gevolgen voor de) fysieke wereld vergeten we nog wel eens. Toch staan we aan de vooravond van een revolutie die de digitale- en fysieke wereld dichter tot elkaar brengt. Ik denk overigens wel dat u het leuk zult vinden.

President Obama noemde 3D-printen tijdens de laatste “State of the Union” een veel belovende “jonge” bedrijfstak waarin veel nieuwe banen zijn te verwachten. Ook kan je lezen over medische toepassingen waarbij een schedeldak is geprint en waarin aderen, oren en tanden (kronen) geprint worden. Er zijn commerciële toepassingen van 3D-printen, zoals het printen van een huis en maar ook controversiële zaken zoals het printen van een geweer. Wat is dat toch met dat 3D-printen?

Raketonderdelen

Drie dimensionale voorwerpen printen is niet nieuw. Het stamt al uit de jaren 70, maar werd voornamelijk industrieel en op kleine schaal toegepast. Aanvankelijk werd het  hoofdzakelijk gebruikt voor Rapid Prototyping en nog niet voor Rapid Manufactering. Er was maar een kleine groep mensen (en bedrijven) mee bezig, het was nog te duur. Vanaf 2010 kwam hier verandering in. Er kwamen DIY (Do It Yourself) 3D-printers beschikbaar en mede hierdoor daalde de prijs sterk (deze kwam onder de 1000 euro). Het gevolg was dat er een snel groeiende groep enthousiaste hobbyisten actief werd. En hiermee stimuleerden zij de ontwikkelingen weer. Hoewel deze groep mensen zich vooral richtte op het printen van eenvoudige, veelal plastic voorwerpen, werd ook de industrie opnieuw geprikkeld gezien de medische toepassingen. Blijkbaar zien grote bedrijven nu ook het potentieel van 3D-printen. Zelfs de NASA print tegenwoordig raketonderdelen (middels Selective Laser Melting en Selective Laser Sintering – SLM / SLS). 3D-printen is een techniek waarvan de tijd is gekomen.

Weaponwiki

De grote interesse voor 3D-printen is echter niet zonder controverse. Onlangs kwam er een Amerikaan in het nieuws die een geweer had geprint. Hiermee kon succesvol zes schoten gevuurd worden voordat het geweer van plastic kapot ging (te vinden op Youtube). Het ontwerp van dit geweer (AR-15 Assault Rifle) was nog veel controversiëler, want dit was vrij te downloaden van Weaponwiki. Op deze site konden hobbyisten het ontwerp met elkaar delen en verbeteren. Het idee dat iedereen dit ontwerp kon downloaden en (goedkoop) zelf kon printen maakte dat veel mensen zich hier ongemakkelijk bij voelden. Het printen van een geweer is dan ook verboden (in Amerika tenminste). De site is (inmiddels) niet meer bereikbaar. De betreffende Amerikaan heeft nu een bedrijf gestart en ziet toch nog kansen. Maar er zijn ook zorgen om het intellectuele eigendom (Intellectual Property – IP) van ontwerpen. Er is scanner te verkrijgen waarin voorwerpen gescand kunnen worden die vervolgens geprint kunnen worden. Het behoeft geen uitleg dat de risico’s voor IP groot zijn.

Nucleaire reactor

Naast risico’s brengt 3D-printen ook fantastische mogelijkheden met alleen onze fantasie als beperkende factor. Het ontwerpen van voorwerpen kan nu revolutionair anders. We kunnen voorwerpen printen die we op traditionele wijze onmogelijk kunnen maken, bijvoorbeeld een voorwerp dat “gevangen” zit in een kubus. Zo is er een Belgisch bedrijf dat een kant-en-klare klapstoelen print, inclusief gemonteerde en werkende scharnieren. En met het (digitale) ontwerp in bezit kan iedereen het voorwerp zelf printen. Er zijn tal van DIY 3D-printers te verkrijgen waarmee geïnteresseerden dit ook zelf kunnen doen. Voorbeelden van populaire DYI 3D-printers zijn bijvoorbeeld de RepRap en de Tantillus. De toepassingsgebieden zijn legio, industrieel ontwerpers kunnen de ontwerpen direct printen, wordt er speelgoed, stripfiguren en onderdelen van nucleaire reactors geprint. Zelfs zijn er apparaten waarbij een 3D-printer en een CNC milling (draaibank) gecombineerd worden. Een eerste nederzetting op Mars heeft dan ook meer aan zo’n apparaat dan aan een ruimtevaartuig vol reserve onderdelen.

Copyshop

Maar wat heeft 3D-printen met Open Source Software te maken? De ontwerpen van de DIY printers zijn vaak Open Source (RepRap bijvoorbeeld). De specificaties zijn vrijgegeven onder GNU licentie. Iedereen mag er gebruik van maken (downloaden), maar belangrijker, iedereen kan verbeteringen toevoegen – net zoals dat bij Open Source Software het geval is. De aardigheid is dat de meeste 3D-printers in staat zijn hun eigen onderdelen te printen. Dus heb je eenmaal een kopie 3D-printer voor  iemand gemaakt, dan levert niet alleen een extra printer op, maar ook iemand die zelf 3D-printers kan maken!

De andere invalshoek is nog interessanter. En dat betreft de ontwerpen (designs) zelf. Het is zeer eenvoudig om deze (digitale) ontwerpen te delen met anderen – net als muziek, film en software. Het geeft iedereen de mogelijkheid de ontwerpen te verbeteren en deze verbeteringen wederom te delen. Als mijn stofzuiger kapot gaat, ga ik niet naar de winkel voor een reserve onderdeel, maar ga ik zoeken op internet naar een verbeterde versie van het reserve onderdeel en print ik die zelf. Of wanneer ik geen 3D-printer heb, laat ik die bij de Copyshop printen. Er ontstaat een levendige handel in (digitale) ontwerpen en ook  een enorme markt voor bedrijven de het basis materiaal voor de printers leveren. Ik zie een ontwikkeling waarbij de wetmatigheden van de digitale wereld langzamerhand toepasbaar worden op onze fysieke wereld. De voordelen die Open Source Software ons biedt zijn ook toepasbaar op de fysieke wereld! Ik zie onbegrensde mogelijkheden, onze fantasie is de grens, maar misschien moet ik ook “The People Maker” van Damon Knight nog eens nalezen…

Dit artikel is eveneens verschenen op de site van de Computable op 14 maart 2013.

De in 2011 overleden Steve Jobs zei het al, kannibaliseer jezelf, voordat iemand anders dat doet. Hij vond dat je hier niet bang voor moest zijn. Gelijk heeft hij, je blijft op deze wijze “in het spel” betrokken. Je zou kunnen zeggen dat je met jezelf concurreert.

Bedrijven zien misschien de waarde niet van “met jezelf concurreren” of kunnen dat niet goed in de praktijk brengen. Het gevolg is wel dat men zich dan wel eerder protectionistisch opstelt met alle gevolgen van dien. Er worden “trucs” toegepast zoals bijvoorbeeld “vendor lockin”.

Van Vendor lockin is bijvoorbeeld sprake bij de licenties die gemeenten voor Oracle databases moeten hebben / aanschaffen. Deze databases zijn voorwaardelijk voor de specifieke gemeente applicaties. Alle gemeenten moeten die applicaties hebben. Er zijn maar 2 of 3 aanbieders van deze applicaties en de Oracle database is de gecertificeerde database daarvoor. De aanbieders van de gemeente applicaties vinden de status quo prima omdat zij ook geld verdienen aan de licenties, dus waarom zou men hierin verandering aanbrengen? Waarom zou men de applicatie voor een andere (bijvoorbeeld goedkopere open source database) geschikt maken? Geen keuze dus en daarom spreken we van “vendor lockin”. Dit specifieke voorbeeld doet veel gemeenten pijn, want de licentiekosten van Oracle zijn erg hoog. Interessante vraag is, hoe kom je er vanaf?

Hoe je van een dergelijke vendor lockin 
af kan komen is een ander verhaal. Naar 
mijn idee zijn er verschillende oplossingsrichtingen. 
In het beschreven voorbeeld 
kunnen gemeenten de handen ineen slaan. Hierdoor 
staan ze sterker en kan er druk 
op leveranciers worden uitgeoefend. Een andere 
mogelijkheid is "zekerheid" van de certificering 
los te laten. Krijg je de applicatie werkend op 
een andere database en komt het door alle testen heen, 
dan ben je een stap verder.

Overigens zegt een vendor lockin niets over de 
kwaliteit van de software, 
commerciële software kan van goede kwaliteit zijn. 
Lockin gaat over de 
(on)mogelijkheid om architectuur -en productkeuzes 
te maken.

Een ander voorbeeld dat me onlangs opviel is dat van de AppleTV versus de Roku. Beide zijn media player devices. Het verschil is echter dat je bij Apple alleen de door Apple goedgekeurde kanalen mag gebruiken (het zijn er nu een handje vol), terwijl bij de Roku er veel meer mogelijkheden zijn (700 op dit moment van schrijven, in America wel te verstaan…). Je kan bijvoorbeeld ook nog “hidden” of “private” channels aan de Roku toevoegen. Roku kiest er schijnbaar voor aan het device zelf te willen verdienen, niet per sé aan de content. Blijkbaar zijn er weinig obstakels om zelf channels te maken en heeft Roku hierdoor veel mensen (en bedrijven) gemotiveerd dat te doen. Bij Apple zal er meespelen dat zij het liefste wil dat de eindgebruiker alleen content van Apple betrekt. Hiermee houdt Apple veel invloed op de content die beschikbaar wordt gesteld, bijvoorbeeld voor wat betreft de inhoudelijke kwaliteit daarvan. Hiermee wordt bijvoorbeeld pornografische content geweerd, maar ook channels die zouden concurreren met Apple zelf. Dit is vanuit een bedrijfsstandpunt bezien logisch, maar voor eindgebruikers verliest het apparaat nut, je wordt namelijk erg beperkt in de mogelijkheden. Consumenten willen juist extra mogelijkheden benutten zonder daarin beperkt te worden.

Interessant is dat juist Apple hiermee tegen het uitgangspunt van Steve Jobs ingaat. Het lijkt mij dat wanneer je wilt verdienen aan het apparaat, je de mogelijkheid daarvoor content aan te bieden zo makkelijk mogelijk moet maken. Je loopt mogelijk (content) inkomsten mis, maar je stimuleert de acceptatie van het apparaat en zorgt ervoor dat het een succes kan worden. Even zo goed kan je ervoor kiezen het bedrijfsmodel te baseren op het aanbieden van content. Maak dan niet zelf een apparaat, maar sluit je aan bij bestaande initiatieven, zoals Roku bijvoorbeeld. Het is blijkbaar erg lastig van “twee walletjes te eten”. Misschien moet je daarom anderen ook iets gunnen.

Ik zou daarom de uitspraak van Steve Jobs graag willen aanvullen. Kannibaliseer jezelf én gun anderen een “deel van de koek”. Hiermee blijf je zelf “in het spel” wordt “het spel” waarschijnlijk groter (anderen kunnen ook meedoen en verdienen) en profiteer je daarmee van de initiatieven van anderen.

Ter verdediging van Apple moet ik zeggen dat ze dit overigens met hun AppStore wel te doen. Hiervan wordt regelmatig gemeld hoeveel van de omzet naar de developers is gegaan. Toch is er ook hier een strenge controle op welke applicaties in de app store mogen komen.

Uit de voorbeelden die ik in de markt zie, lijkt de “aanval wel eens de beste verdediging” te zijn. Je loopt risico als je met jezelf concurreert, maar je hebt er in ieder geval invloed op. Ruimte voor anderen kan ook bijdragen aan het eigen succes. We gaan meer en meer naar een wereld waarin “delen” de norm wordt. Ik kende ooit iemand die leefde volgens de overtuiging. “Wie deelt heeft meer”.