Open source software helpt lekken voorkomen

Het zal je niet zijn ontgaan dat veel overheidsinstanties en gemeenten onder vuur liggen vanwege gebrekkige ict-beveiliging. Verschillende websites blijken gevoelig te zijn voor kwetsbaarheden en onvolkomenheden in de software waardoor de controle over sites kan worden overgenomen. Ook kunnen er gegevens buit gemaakt worden. Voor bedrijven en overheden levert dit imagoschade op.

In de media worden deze beveiligingslekken uitvoerig beschreven en naar buiten gebracht. Maar wat kan aan aan de beveiligingslekken gedaan worden. En, in relatie tot dit expert topic, welke rol kan open source software hierbij spelen?

Laat het duidelijk zijn, ict-security is iets dat niet alleen in de software kan geregeld kan worden. Security moet je op alle vlakken aanpakken, zowel procedureel, fysiek, op hardware als in de software (hierbij kan de software zelfs nog gesplitst worden in de applicatie en systeemsoftware zoals operating systeem, database en webserver). Zo’n integrale aanpak zorg ervoor dat je niet alleen de voordeur dichttimmert, maar ook de achterdeur goed vergrendeld.

In de meeste voorbeelden in de media zijn websites het doelwit. In mijn ogen is dit niet schokkend. In de meeste gevallen betreft het informatie die toch al met de buitenwereld gedeeld wordt. Ik zou het veel kwalijker vinden wanneer er informatie verkregen wordt die de betreffende organisatie of het bedrijf niet wilde delen. Het lijkt me dat je daarom data zou moeten classificeren, bijvoorbeeld in drie niveaus van vertrouwelijkheid. Op elk niveau kunnen passende maatregelen getroffen worden. Daarnaast zou bij zelfbouw van applicaties security in het design mee genomen moeten worden. Strikte regels en afspraken tijdens het programmeren helpen security risico’s te verkleinen of ze (later) eenvoudiger te verhelpen.

Wat mij in de meeste berichten opvalt is dat de sites al zo’n lange tijd ‘lek’ blijken te zijn. Dat suggereert dat de sites niet of niet goed beheerd worden. Of in ieder geval dat de beheerder niets in de gaten heeft gehad. Goed beheer is dan ook een erg belangrijke voorwaarde voor security. Een goede beheerder weet wat er zich op de systemen afspeelt. Hij (of zij) heeft bijvoorbeeld een adequate update policy. Software wordt regelmatig van updates voorzien en security updates worden met voorrang doorgevoerd. Het spreekt vanzelf dat kennis en ervaring noodzakelijk zijn voor goed beheer.

Maar kan open source software helpen? Voor wat betreft het software-deel kan dat naar mijn idee zeker. Er zijn verschillende open source softwaretools beschikbaar die gebruikt kunnen worden om de mate van security te verhogen. Nu zal je misschien denken, zijn dat niet dezelfde tools die ook door de hackers gebruikt worden? Dat zou best kunnen, maar in mijn ogen is dat juist een extra reden er kennis van op te doen en ze te gebruiken.

Prijskaartje

Vanwege de vaak lagere kosten kan open source software de financiële bezwaren wegnemen om dergelijke tools te gaan gebruiken. Geen aanschafprocedure en niet-techneuten die daarover moeten beslissen, gewoon downloaden. Open source-software is daardoor laagdrempelig. Veel van de tools maken ook nog standaard deel uit van een (Linux) distributie en dat maakt het gebruik nog eenvoudiger. Voorbeelden hiervan zijn Linux gebaseerde firewalls zoals Shorewall en bijvoorbeeld tcpdump waarmee het netwerkverkeer van een interface kan worden bekeken. In het verleden heb ik daar veel gebruik van gemaakt. Naar verloop van tijd wordt je handig in het gebruik ervan. Een ander mooi voorbeeld is SELinux. Dit is een systeem dat in veel Linux distributies aanwezig is en waarmee het systeem veiliger kan worden gemaakt. Met SELinux kunnen bijvoorbeeld de mogelijkheden van een server proces, zoals de webserver, om het filesysteem te benaderen geminimaliseerd worden. Indien de webserver gehackt zou worden, blijven de mogelijkheden dit te misbruiken beperkt. Ook denk ik aan Nessus, een open source netwerkscanner die het netwerk doorlicht op bekende kwetsbaarheden. Wat weerhoudt organisaties ervan dergelijk producten te gebruiken?

Is open source software zelf ook veiliger? Mogelijk, maar natuurlijk bevat ook open source software bugs en kwetsbaarheden, het is en blijft software. Wel weten we inmiddels dat ‘security by obscurity’ zoals in de commerciële software wereld gehanteerd wordt niet werkt. Juist openheid over security problemen leidt tot oplossingen en dus tot een veiliger systeem. Bovendien, al zou een oplossing (nog) niet beschikbaar zijn, zodra bekend is dat er een security probleem is, kan je als klant, eindgebruiker of beheerder maatregelen nemen. In het meest extreme geval sluit je een systeem van internet af. Je hebt in ieder geval de keuze.

Ook biedt open source software de mogelijkheid zelf het heft in handen te nemen. Zo werkt een collega van me aan Handshake, een sms-authenticatie portal dat gebruik maakt van OpenVPN. De portal regelt de ‘two factor security’ en OpenVPN de beveiligde netwerkverbinding. OpenVPN is open source software en Handshake wordt dat in de nabije toekomst. De combinatie van beiden is een goed alternatief voor commerciële software die het ‘thuiswerken’ ondersteunen.

Terug naar de vraag, kan open source software mijn ict-security helpen te vergroten? Ik ben van mening dat het dat zeker kan. Toch zal een goede aanpak zich niet beperken tot de software. Een beheerder die van mening is dat de webserver niet gehackt zal worden leeft in een fantasiewereld. Ga ervan uit dat het gebeurd en kijk dan nogmaals naar het systeem, neem security serieus en gebruik de goede tools. En als laatste, zorg voor een calamiteitenprocedure. Welke maatregelen ga jij nemen als je gehackt bent? Wie gaat de communicatie voor zijn rekening nemen? Denk hier goed over nu je daar nog rustig de tijd voor hebt.

Wat ik echter niet begrijp is dat er nog steeds bedrijven zijn die hacks ontkennen en eromheen draaien. Is het inmiddels niet duidelijk dat zoiets niet meer kan? Of vinden we security gewoon niet belangrijk?

Dit artikel is verschenen op de site van Computable op 10-11-2011

 

Patenten als inkomstenbron

Niet zolang geleden las ik op internet dat Microsoft 5 dollar verdient op ieder Android apparaat dat verkocht wordt. Tegelijkertijd is de eigen Windows Phone 7 software geen groot succes. Mogelijk dat de samenwerking met Nokia daar verandering in kan brengen. We zullen moeten afwachten hoe de consument dit beoordeeld.

In mei 2007 maakt Microsoft bekent dat er 235 van haar patenten in Linux zijn te vinden. Het bedrijf weigerde te vertellen om welke patenten het precies ging. Daarmee werd de open source community onder druk gezet. Linus Torvalds was niet onder de indruk. Volgens hem is de kans dat Microsoft zelf patenten van anderen schendt groter dan dat zoiets in Linux gebeurt. Daarnaast was hij van mening dat Microsoft meer te winnen had van de angst die dit met zich meebrengt.

Het heeft er alle schijn van dat Linus Torvalds gelijk heeft gekregen. Microsoft heeft met verschillende bedrijven overeenkomsten gesloten vanwege vermeende patent schending (Velocity Micro, General Dynamics Intronics, Onkyo Corp., HTC en Barnes & Noble). Het gaat in deze gevallen om Android dat op de Linux kernel is gebaseerd.

Onlangs heeft een consortium van bedrijven voor 4,5 miljard dollar Nortel patenten gekocht. Het consortium wordt gevormd door Microsoft, Research In Motion (RIMM) en Apple. Deze Nortel patenten versterken de positie van dit consortium in haar patent rechtszaken.

Nu is Microsoft ook in gesprek met Samsung. Ook hier gaat het om schending van patenten in Android. Per verkochte smartphone of tablet wil Microsoft een vergoeding van 15 dollar hebben. De onderhandelingen lopen nog, dus mogelijk wordt het een lager bedrag. Ook wordt er gesproken met Motorola. Dat zou Microsoft‘s patenten schenden met de Motorola Droid, XDroid en verschillende telefoons.

Niet alleen Microsoft probeert geld te verdienen middels patent rechtszaken. HTC heeft bijvoorbeeld onlangs het bedrijf S3 Graphics gekocht met als hoofddoel het verkrijgen van diens patenten. Het is immers al bekend dat Apple een aantal daarvan schendt. En ook Oracle mengt zich in deze ‘strijd’. Zo is bij Infoworld te lezen dat Oracle 20 dollars per Android telefoon wil hebben. Dagelijks komen er meer van dit soort voorbeelden bij.

We kunnen naar mijn idee inmiddels een aantal conclusies trekken.

Ten eerste heeft Keith Bergelt, CEO van het Open Invention Network gelijk gekregen toen hij in 2008 beweerde dat er een groot aantal patent rechtszaken zou volgen. Hij noemde het toen ‘De stilte voor de storm’.

Daarnaast lijken Microsoft (en de anderen) zich te richten op open source software in het algemeen. Toch is mijn indruk dat vooral gelet is op concurrenten die geld verdienen aan Linux, daar valt immers wat te halen. Het kost Microsoft ook verder niets, met uitzondering van de inhuur van juristen. Op de korte termijn levert dit Microsoft mogelijk veel geld op, misschien wel meer dan de eigen mobile software. Op de langere termijn is het een slecht bedrijfsmodel, er wordt namelijk geen waarde toegevoegd. Zodra de open source community de software herschrijft en de patenten omzeild werkt dit niet meer.

Ook vraag ik me af of patenten (en rechtszaken daarover) wel goed zijn voor de ict-industrie. Naast hoge kosten regeert angst en achterdocht. Het leidt de aandacht af van hetgeen de industrie zou moeten doen, namelijk mooie en innoverende producten maken.

Ik bekijk het vooral graag positief. Open source software is inmiddels ‘Big business’. De grote it-bedrijven doen wat ze altijd al deden, het gebruiken, er rechtszaken over voeren, er overeenkomsten over sluiten en er veel geld aan verdienen. Open source software is daarmee naar mijn idee volledig geaccepteerd in de zakelijke wereld
.

Dit artikel is verschenen op de site van Computable op 11-07-2011

Business case: Zarafa vs. Microsoft Exchange

In de ict is het gebruikelijk om voor productkeuzes een business case op te stellen. Dit belicht de bedrijfsmatige en vaak financiële kant van de verschillende alternatieven. Zo kan een afgewogen en verstandige keuze gemaakt worden voor bijvoorbeeld een nieuwe applicatie.

In een business case worden zo veel mogelijk aspecten meegenomen die de kosten beïnvloeden. Hierbij kan gedacht worden aan kosten voor hardware, stroom, rackspace en licentiekosten. Ook minder voor de hand liggende aspecten zoals kosten voor implementatie, migratie en beheer moeten in de berekening worden meegenomen. Deze berekening wordt total cost of ownership (tco) genoemd. In de tco zitten alle kosten die het gebruik van een toepassing met zich meebrengt.

Veel organisaties willen financieel profiteren van de mogelijkheden die open source software hen biedt. Een van de mogelijkheden is Microsoft Exchange te vervangen door Zarafa Collaboration Platform. Beiden betreffen mail/groupware-software en kunnen naadloos met Microsoft Outlook werken. De vraag die velen bezighoudt is natuurlijk: hoeveel kan er bespaard worden? Dit artikel beschrijft de business case van Zarafa versus Microsoft Exchange. Voor beide producten is een tco-berekening gemaakt waarbij (nagenoeg) alle denkbare kosten zijn meegenomen.

Soms is het erg lastig om een goede tco-berekening te maken. Op verschillende punten zijn applicaties niet vergelijkbaar, bijvoorbeeld omdat de licentiestructuur verschillend is. Bovendien zijn er altijd aspecten die je niet kan kwantificeren. Een voorbeeld hiervan zijn de kosten van incidenten. De eerste vraag die daarvoor beantwoord moet worden, is het gemiddeld aantal incidenten van een applicatie. Hoe is dat objectief vast te stellen? Hoe kan bovendien de schade die een organisatie oploopt door downtime vastgesteld worden? Dit wordt sterk beïnvloed door het belang van de applicatie voor de betreffende organisatie.

Voor de lastig te bepalen aspecten worden aannames gedaan. Alle aannames in deze tco-berekeningen zijn aangegeven. Hierdoor kan de lezer zelf bepalen wat de invloed is als deze aannames gewijzigd worden of komen te vervallen.

De business case

In deze case wordt een fictief bedrijf met vijfhonderd medewerkers gebruikt. Deze organisatie heeft noch kennis en ervaring met Exchange, noch met Zarafa. Men wil het zelf hosten op een enkele fysieke server. De overige aannames zijn:

– De tco-berekeningen zijn gemaakt over een periode van drie jaar en zes jaar.
– Voor de licentiekosten van Exchange is met opzet niet gekozen voor de Software Assurance, dit zou de licentiekosten voor Exchange substantieel hoger maken (50 tot 75 procent hoger). In de berekening van zes jaar worden in jaar vier de licenties nogmaals gekocht omdat er dan net als bij Zarafa niet alleen updates, maar ook upgrades beschikbaar zijn. Zo zijn de alternatieven beter vergelijkbaar.
– Vijfhonderd gebruikers kunnen op een enkele server draaien.
– Voor alle softwareproducten is een versie met support genomen.
– De kosten van incidenten en schade door downtime zijn buiten de tco-berekening gehouden omdat deze niet op voorhand zijn vast te stellen.
– De implementatiekosten voor Zarafa zijn inclusief een testmigratie en fixed price.
– In de tco-berekening is ervoor gekozen de licentiekosten en subscriptiekosten in een keer te voldoen (in plaat van over drie jaar af te schrijven). Dit zal de meest voorkomende situatie zijn.
– Speciale (branche)kortingen en surfcontracten zijn buiten beschouwing gelaten.
– De prijzen voor het Microsoft Exchange-alternatief zijn door een Microsoft-partner aangeleverd.
– Er is geen sprake van een voorkeur voor één van de alternatieven, functioneel acht ik beide producten gelijk.

In de tco-berekening zijn meegenomen:

– Hardware (stelpost voor beiden gelijk gehouden).
– Spare parts (stelpost voor beiden gelijk gehouden).
– Hardware support (stelpost voor beiden gelijk gehouden).
– Stroom (stelpost voor beiden gelijk gehouden).
– Rackspace (stelpost voor beiden gelijk gehouden).
– Licenties en/of subscripties.
– Implementatiekosten (installatie en inrichting).
– Ten behoeve van de berekening van migratiekosten wordt uitgegaan van een migratie van Exchange naar een nieuwe versie van Exchange of van Exchange naar Zarafa).
– Beheerkosten (in beide gevallen kan beheer in vier uur per maand uitgevoerd worden, echter vanwege een lager beheertarief in het Microsoft Exchange-alternatief, vallen de beheerkosten daar lager uit).
– Opleidingskosten (in beide gevallen is gekozen voor certificering van zowel operating systeem als de groupware software).

Natuurlijk kunnen in een specifieke situatie of organisatie de uitgangspunten verschillen. Deze business case is zo generiek mogelijk gehouden om de significante verschillen aan het licht te brengen.

Resultaten

Zarafa vs. Microsoft Exchange

Het eerste vergelijk is over een periode van drie jaar. In dit kostenoverzicht is te zien dat het Zarafa-alternatief goedkoper is over een periode van drie jaar. Ook is te zien dat in beide gevallen de meeste investeringen in het eerste jaar vallen. Dit heeft te maken met de aanschaf van hardware, licenties/subscripties, implementatie en migratiekosten. De subscripties van Zarafa geven recht op updates en upgrades. De licenties van Microsoft geven alleen recht op updates. In deze berekening zien we een besparing van ruim 28 procent in het voordeel van Zarafa.

Zarafa vs. Microsoft Exchange

 

 

In een grafiek is een en ander als volgt voor te stellen.

 

 

 

Zarafa vs. Microsoft Exchange

Het tweede vergelijk betreft een periode van zes jaar. In dit tweede vergelijk is het verschil tussen Microsoft Exchange en Zarafa groter geworden, zowel absoluut als procentueel. Ook hier geeft de Zarafa-subscriptie recht op zowel updates als upgrades. De gekozen licenties van Microsoft geven alleen recht op updates. Om toch een eerlijk vergelijk te maken worden daarom in jaar vier de Microsoft-licenties opnieuw gekocht zodat ook een upgrade kan worden uitgevoerd. Dit verklaart de extra kosten bij Exchange in jaar vier. Indien deze strategie niet wordt gevolgd, zou na zes of zeven jaar een break even-punt bereikt kunnen worden. De consequentie is dan dat dezelfde versie zes of zeven jaar te gebruiken is, zonder te (kunnen) upgraden. In deze berekening is de besparing van het Zarafa-alternatief ruim 36 procent.

Zarafa vs. Microsoft Exchange

 

 

In een grafiek is een en ander weer als volgt af te beelden.

 

 

 

Conclusies

De tco-berekening laat zien dat deze business case aantoont dat met Zarafa kosten kunnen worden bespaard in vergelijk met Microsoft Exchange (25 procent over drie jaar en 36 procent over zes jaar). Hoewel deze verschillen procentueel klein lijken, gaat het om ruim 24.000 euro over drie jaar en ruim 53.000 euro over zes jaar. Dit zijn bedragen waarmee zinvolle dingen te doen zijn, zoals betere apparatuur aanschaffen, extra support inkopen of opleidingen volgen.

Naast de bovenstaande conclusie zijn er enkele relevante kanttekeningen te maken:

– Los van de kosten van licenties en subscripties zijn er veel open source softwaretools te vinden die het operationeel houden van Zarafa kunnen vereenvoudigen en verbeteren. Bijvoorbeeld monitoring tools (zoals Nagios of OpenNMS), deployment tools (Cobbler, Coan) of ten aanzien van configuratiemanagement (Puppet).
– Als een organisatie per se gebruik wenst te maken van een van de alternatieven, dan is een financieel vergelijk zinloos. Een duidelijke voorkeur zal bepalend zijn voor de keuze.
– In de tco-berekening is uitgegaan van gelijke (fysieke) hardware. Microsoft Exchange-experts houden als ‘vuistregel’ een maximum van vijfhonderd gebruikers per fysieke server aan. Zarafa doet met IBM samen op dit moment onderzoek naar duizend gebruikers per fysieke server.
– Verwacht wordt dat de verschillen bij een multi-servers set-up (bijvoorbeeld wanneer er meer dan vijfhonderd gebruikers zijn of wanneer er maatregelen getroffen worden voor een hoge beschikbaarheid) groter worden in het voordeel van Zarafa.
– De Zarafa-subscripties geven recht op support van Zarafa zelf. Het aantal supportverzoeken is gekoppeld aan het aantal subscripties dat wordt afgenomen. Een dergelijke support is niet standaard bij Microsoft Exchange inbegrepen.
– De kwaliteit van de alternatieven (als in het aantal incidenten, gemiddelde incidentduur en bedrijfsschade als gevolg van downtime) zijn in deze tco-berekening, zoals gezegd, buiten beschouwing gelaten. Van deze gegevens was geen data beschikbaar. Uit mijn ervaringen van weet ik dat Zarafa ook op dat punt zeker niet achterblijft.

Een goed vergelijk op basis van een tco-berekening blijft erg moeilijk. Er zijn altijd wel verschillen te benoemen die aanleiding kunnen zijn tot een discussie. In deze business case is geprobeerd een zo zuiver mogelijk vergelijk te maken en de aannames te verwoorden. In antwoord op de vraag uit de inleiding kan gesteld worden dat er aanzienlijk bespaard kan worden door over te stappen van Microsoft Exchange naar Zarafa.

Dit artikel is verschenen op de site van Computable op 22-02-2011