David Sancho, een onderzoeksexpert op het vlak van virussen, malware en worms bij Trend Micro, heeft in een rapport gewaarschuwd tegen de risico’s van een wormaanval die gebruik maakt van RSS-feeds. Hij schildert de ontwikkelingen in het virus- en worm-programmeren in de richting van de toepassing van ‘bot worms’. Het zijn programma’s die als een agent opereren voor een gebruiker of een programma. Ze worden over het algemeen beschouwd als malware die niets vermoedende gebruikers in steeds grotere aantallen treffen. Het is deze ontwikkeling die een grote vlucht zal nemen. Bot worms worden ontwikkeld op een modulaire wijze, wat betekent dat de ontwikkelaar van het programma uit een aantal verschillende aanvalmethoden kan kiezen, zoals het opzoeken van kwetsbaarheden, spam, peer-to-peer misbruik of het stellen voor de parameters ervoor. Het resultaat van dat ontwikkelproces is een worm die speciaal bestemd is voor het stelen van informatie of het controleren van een genfecteerde computer. Een manier om tegen deze bot worms te vechten is om soft- en hardware-systemen in te zetten die specifiek tegen dit soort bot-aanvallen verdedigen. Het ontdekken en blokkeren van de netwerkbestanden die de worm gebruikt om de kwetsbaarheden van het netwerk te exploiteren zijn de beste verdediging. Tot dit soort systemen behoren inbraakdetectiesystemen, inbraakpreventiesystemen en netwerk antivirussystemen. Toekomstige bot worms kunnen gericht zijn op het ‘kapen’ van RSS-feeds. RSS (real simple syndication) is gericht op het updaten van de content van websites, waarbij de bezoekers van de site de nieuwste berichten en publicaties via een RSS-feed client kunnen ontvangen.

Bijna vier weken voordat de eerste berichten op het web verschenen die
aangaven dat sommige muziek-cd’s van Sony BMG uitgerust waren met een
beveiliging die op een rootkit leek, wist het management van de
samenwerking tussen Sony en Bertelsmann dat de Digital Rights
Management-software problematische karaktertrekken had. Het is of een
vlaag van arrogantie of een blijk van volstrekt onbegrip geweest die er
voor heeft gezorgd dat het muziekbedrijf niet ingreep toen het ervan op
de hoogte werd gesteld. Het eind van de nachtmerrie voor het
muziekbedrijf is nu nog steeds niet voorbij, integendeel. Inmiddels
worden rechtszaken tegen het bedrijf aangespannen, zoals op 21 november door de
Amerikaanse staat Texas (via Attorney General Greg Abbott), een Homeland Security-expert die Sony ervan
beschuldigt de computerveiligheid te ondermijnen en scherpt de New
Yorkse procureur Eliot Spitzer zijn messen. Sony BMG is ernstig in
verlegenheid gebracht nu bekend is geworden dat een week nadat het
bedrijf verklaarde alle betreffende cd’s uit de schappen te halen, er
nog steeds
exemplaren te koop te zijn. Wal-Mart, BestBuy, Virgin Megastore
en
andere winkels lijken voorraden weg te werken van niet-teruggehaalde
CD’s. ‘It is unacceptable that more than three weeks after this serious
vulnerability was revealed, these same CDs are still on shelves, during
the busiest shopping days of the year’, zegt Spitzer. ‘I strongly urge
all retailers to heed the warnings issued about these products, pull
them from distribution immediately, and ship them back to Sony.’ Hij
verhoogt de druk op Sony
BMG met de dag.

Blu-ray, een van de nieuwe vervangers van de huisige DVD, blijkt nogal
wat prijsconsequenties te hebben, zo blijkt uit wat publicaties. De
productie van de schijfjes blijkt namelijk nogal kostbaar te zijn, en
dat kan enkel leiden tot hoge winkelprijzen. De berichten zijn
afkomstig van een niet genoemde ‘top manufacturing executive’, die
vertelt dat proeven met productielijnen voor HD-DVD-disks bijna
tweemaal zoveel bruikbare schijven opleveren als tests met
Blu-ray-productielijnen. Hoewel Blu-ray in de strijd om de gunst van de
filmmaatschappijen aan de winnende hand lijkt te zijn, zou het
kostenvoordeel voor HD-DVD de balans weer kunnen doen doorslaan, ook al
omdat Digital Rights Management (wat als een van de grote voordelen van
Blu-ray wordt genoemd) een enorme ‘set-back’ heeft ondergaan door het
Sony BMG-drama. De oorlog tussen beide formaten is dan ook verre van
over. De materiaalkosten voor Blu-ray zijn bijna tweemaal zo hoog als
die voor HD-DVD, en bovendien is voor Blu-ray een speciale folie nodig
die alleen door Sony geleverd wordt.

Een meerderheid
van de Commissie Burgerlijke Vrijheden, Justitie en Binnenlandse Zaken
(LIBE) in het Europarlement, heeft voor invoering van de bewaarplicht
gestemd. Er stemden 33 parlementarirs voor en acht tegen het plan om
internetgegevens zes tot twaalf maanden op te slaan. Vijf
parlementarirs onthielden zich van stemming. Op 13 december stemt het
complete Europees parlement over het voorstel.
Providers worden volgens het compromis in de commissie verplicht om
IP-logs (van de tijden waneer klanten contact maken met de
internetaanbieder) te bewaren. Een meerderheid van de commissie was ook
voor het opslaan van e-mail- en internettelefoniegegevens, maar
Europarlementarir Kathalijne Buitenweg (GroenLinks) maakte op procedurele gronden met succes bezwaar tegen het in stemming brengen van dat voorstel.

Microsoft heeft bekendgemaakt
dat het een voorstel indient bij de internationale
standaardiseringsorganisatie ECMA International voor de acceptatie van
zijn Office Open XML-formaat als industriestandaard. Wanneer ECMA het
voorstel goedkeurt, komen Office-formaten zoals Word, Excel en
Powerpoint beschikbaar voor derde partijen. De ontwikkeling zou een
einde maken aan de noodzaak om over Microsoft Office software te
beschikken om Office-documenten te kunnen bewerken, en zou reverse
engineering overbodig maken bij de ontwikkeling van alternatieven zoals
Open Office. Daarnaast zouden anderen bedrijven inspraak krijgen in de
specificatie van het formaat, dat wel eigendom blijft van Microsoft.
Een technische commissie, waar leden van de ECMA zitting in hebben,
dient akkoord te gaan met veranderingen in het gestandaardiseerde
formaat. Tegen de tijd dat Office 12 wordt uitgebracht, naar
verwachting over ongeveer een jaar, zou de standaard geaccepteerd
moeten zijn. De ECMA-goedkeuring zou dan als basis kunnen dienen voor
standaardisering door de ISO. Het initiatief is een duidelijk een
poging van Microsoft om het wantrouwende publiek te verzekeren dat het
XML-gebaseerde documentensysteem open zal zijn en niet onderworpen aan
Microsofts beleid.

Hitachi Maxell brengt in samenwerking met InPhase in de tweede helft
van 2006 een holografische schijf op de markt. Deze datadragers zullen
uiteindelijk (zeg rond 2010) in totaal 1,6 terabyte aan data kunnen
bevatten en maken snelheden tot 120 MB per seconde mogelijk. Dat is
echter bij de introductie nog lang niet het geval. Het kan dan 300 GB
opslaan met een snelheid van 20 MB per seconde. Dat betekent 1.2 GB per
minuut en dus 72 GB per uur. Het duurt dus ongeveer vier uur voordat de
eerste schijf volgeschreven is. Dat betekent dat de schijven alleen nog
maar te gebruiken zijn voor oplossingen die lage snelheden vereisen.
Bij 120 MB per seconde duurt het drie uur om een schijf van 1,3 TB te
vullen. De schijf zal dan (ook dankzij de grote opslagcapaciteit) de
‘ultieme’ drager worden van digitale archiefdocumenten en -data. Ook al
omdat wordt aangegeven dat de holografische schijven meer dan vijftig
jaar meegaan, zodat ze een veilige oplossing voor de archivering van
data zijn.

Geruchten willen dat Google een nieuwe overname op stapel heeft staan:
het gaat dit keer om het (bijna-) bedrijf Riya (onderdeel van Ojos Inc.) dat software ontwikkeld
die in staat is gezichten op foto’s te herkennen. Met deze techniek kan
de computer automatisch bepalen wie er op een bepaalde foto staat. Een
voor beheerders van foto-collecties zeer interessante techniek,
waardoor het zoeken naar een foto met een bepaald persoon erop
eenvoudiger wordt. De overnameberichten berusten echter enkel op
geruchten, Google wil namelijk niet reageren op de geruchten. Het
officile antwoord van Google: ‘Your inquiry is about rumor and
speculation and we’re not able to respond to questions of this type.’

De verborgen ‘rootkit’ van Sony BMG blijft de gemoederen beheersen. Het
wordt steeds meer een soap, maar wel een met grote consequenties. Nu
blijkt het programma deels gebaseerd te zijn op programmeercode van
niemand minder dan ‘DVD’ Jon Johansen, de Noor die bekend werd als de
man die de encryptie op DVD’s doorbrak. Wederom wordt Sony BMG
slachtoffer van hackers en veiligheidsexperts. Nadat Mark Russinovich
het bestaan van het programma onthulde, besloten enkele anderen om de
code van de rootkit te analyseren. Het resultaat is funest voor Sony
BMG, ook al heeft die de betreffende software gekocht van het Britse
Internetbedrijf First4Internet. De makers blijken namelijk code te
hebben ‘geleend’ van allerlei open source-projecten, zonder echter hun
eigen code te publiceren. Dit is echter een vereiste van de General
Public Licence en het broertje daarvan, de GNU Lesser General Public
License. Volgens de Fin Matti Nikko bevat de rootkit stukken van LAME
(een open MP3-encoder), FAAC (een open audiocodec) en code die door
Johansen voor het VLC-project werd geschreven. Zijn bevindingen worden
ondersteund door de Duitse hacker Sebastian Porst op zijn weblog.

Volgens het meest recente onderzoek van Good Technology vormt email het
grootste beveiligingsgevaar voor mobiele apparaten, als mobiele
telefoons, blueberries e.d. Het bedrijf ondervroeg tijdens het
onderzoek 600 IT-professionals over hun hoop, vrees en zorgen inzake
het steeds toenemende gebruik van mobiele apparatuur onder de
medewerkers van hun organisaties. 79 % van de ondervraagden beschouwde
email als het allergrootste veiligheidsrisico. Een volgende 26 %
beschouwen intranetapplicaties (en het gebruik daarvan) de grootste
kwetsbaarheid van het informatiebeveiligingsbeleid van hun bedrijven.
‘The enterprise mobile email and handheld computing markets have grown
exponentially over the past five years. But this growth has created a
corresponding surge in security vulnerability over the same time
period’, zo stelt Rick Osterloh van Good Technology.

Het College Bescherming Persoonsgegevens (CBP) heeft in een brief van
25 oktober 2005 aan de Tweede Kamer kritiek geuit op de invoering van
het Burgerservicenummer (BSN). Het CBP is niet tegen het nummer maar vraagt in de brief aandacht voor de belangen
van de individuele burger. ‘De redenering dat een burger altijd baat
heeft bij een efficinte overheid en dus bij een algemeen
registratienummer, miskent de verstrekkende gevolgen van de introductie
van het Burgerservicenummer’, aldus het College. Minister Pechtold van
Bestuurlijke Vernieuwing en Koninkrijksrelaties heeft het voorstel voor
de Wet Algemene Bepalingen
Burgerservicenummer in oktober naar de Tweede Kamer gestuurd. Pechtold
wil het BSN al per 1 januari 2006 invoeren. Het zal het huidige sociaal-fiscaal nummer (sofinummer) vervangen en
wordt een algemeen, uniek persoonsnummer voor alle burgers. Daardoor
kan het BSN ook gebruikt worden in het elektronisch patintendossier.
Het BSN zal binnen de verschillende domeinen steeds een andere naam
dragen. Zo krijgt hetzelfde persoonsnummer in de gezondheidszorg de
naam Zorg Informatie Nummer (ZIN) en binnen het onderwijs de naam
Onderwijsnummer. Het voorstel schiet volgens het CPB ernstig tekort als
het gaat om de beperking van de risico’s verbonden aan invoering en
gebruik van een dergelijk nummer.

Sony BMG komt met de toegepaste kopieer-beveiliging van CD’s (de
‘rootkit-methode’) in steeds zwaarder weer terecht. Na juridische
stappen in Itali worden nu ook in de Verenigde Staten de eerste
procedures tegen het bedrijf aangespannen. Ondanks de snelle reactie
van Sony op het ‘rootkit’-schandaal – het bedrijf kwam met een (helaas
geen geweldige) patch tegen zijn gewraakte kopieerbeveiliging – is Sony
allerminst van de sores verlost. De Italiaanse
digitale-burgerrechtenorganisatie ALCEI-EFI (Association for Freedom in Electronic Interactive Communications – Electronic Frontiers Italy) heeft een klacht tegen Sony
ingediend bij de Italiaanse justitie, waarin wordt gesteld dat de
DRM-software de computerveiligheidswetten van het land overtreedt.
Indien de de klacht gegrond wordt geacht (en de
cybercriminaliteitsafdeling van de Italiaanse politie dient daarover
een uitspraak te doen), dan is justitie verplicht Sony te vervolgen,
aldus voorzitter Andrea Monti van ALCEI-EFI. De ‘rootkit’-software
wordt op zo’n twintig titels uit de Sony BMG-stal gebruikt, en
installeert onzichtbare software op de PC van de gebruiker waarbij van
technieken gebruik wordt gemaakt die eigen zijn aan kwaadaardige
software; reden voor Computer Associates om zowel de DRM-software als
de patch als malware te beschouwen.

SCO heeft eindelijk bij de rechtbank in Salt Lake City bewijs laten
bezorgen voor haar bewering dat IBM code uit Unix gestolen en in Linux
gebruikt heeft. SCO claimt de licentierechten van Unix te bezitten en
eist al in een lange reeks van processen betaling van die licenties
door IBM. Het bedrijf heeft globaal bekendgemaakt wat aan de rechtbank
aan bewijs is verstrekt. Volgens SCO heeft IBM op minstens 217 punten
zijn licenties voor het gebruik van Unix-code geschonden. De precieze
inhoud van het bewijs is echter niet aan het grote publiek beschikbaar
gesteld, maar wel te vinden in de stukken die bij de rechtbank zijn
ingeleverd. Dit is opvallend omdat de eerste beschuldigingen en
bewijzen ongeveer een jaar geleden door SCO wel breed werden uitgemeten
in de media. SCO stelt dat het ingediende materiaal dient ‘to identify
the technology that has been improperly disclosed, where possible who
made the disclosure, and the manner in which the disclosure was made,
the location of the technology in a Unix derivative, or modified
product in which SCO claims proprietary rights, and the manner in which
the disclosure has been contributed to Linux.’ Om het bewijs te leveren
zijn ‘several thousand pages of materials’ ingediend. Dit materiaal
geeft aan, zo stellen de advocaten van SCO, ‘the numerosity and
substantiality of the disclosures reflects the pervasive extent and
sustained degree as to which IBM disclosed methods, concepts, and in
many places, literal code, from Unix-derived technologies in order to
enhance the ability of Linux to be used as a scalable and reliable
operating system for business and as an alternative to proprietary Unix
systems such as those licensed by SCO and others.’

De Britse rechter Kenneth Grant van het Wimbledon Magistrates Court
heeft geoordeeld dat het platleggen van een mailserver door er een
overvloed aan e-mails naar toe te sturen die geen ‘unauthorized changes’
hebben aangebracht, niet strafbaar is. Deze uitspraak werd gedaan in de
strafzaak tegen een tiener, die de server van zijn ex-werkgever had
laten crashen door er vijf miljoen e-mails naartoe te sturen. Hij was
aangeklaagd wegens overtreding van afdeling 3 van de Computer Misuse
Act uit 1990 (over ongeautoriseerde toegang tot of aanpassing van
computer systemen), maar de rechter oordeelde dat hij niets strafbaars
had gedaan.

Amazon kondigde op 3 november aan dat het digitale boeken in zijn
boeken-assortiment gaat opnemen en dat het bij wijze van concurrentie
met Google ook aparte pagina’s en hoofdstukken gaat aanbieden. Amazon
was het eerste grote Internetbedrijf dat het mogelijk maakte in boeken
te zoeken. Google (en in mindere mate Yahoo) kregen recent echter
nogal wat mediabelangstelling. In de media-aandacht kreeg Google echter
ook heel wat kritiek te verduren van uitgevers en auteurs die het
digitaliseren van boeken als een inbreuk op hun auteursrechten zien en
vrezen voor misbruik. Het Amazon-programma bestaat uit twee onderdelen.
Amazon Pages biedt de gebruikers de mogelijkheid een pagina, een
hoofdstuk of een volledig boek aan te kopen. Amazon Upgrade biedt de
consument die een boek in fysieke vorm bij Amazon gekocht heeft online
toegang tot dat werk tegen een ‘geringe meerprijs’. Jeff Bezos,
directeur van Amazon, is van mening dat dit voor zowel Amazon, de
uitgevers als de consumenten een stap voorwaarts is, maar wilde geen
commentaar geven op Googles plannen. Wat Amazon wel beter heeft gedaan
is dat zowel de uitgevers als de schrijvers zelf achter de plannen
staan. Amazon heeft dus geen rechtzaken te vrezen, die Google er tot nu
toe van weerhouden auteursrechterlijk beschermd werk toegankelijk te
maken.

Sony is hevig bekritiseerd vanwege het gebruik van tactieken van virus
schrijvers om het illegaal kopiren van CD’s tegen te gaan. En systeem
van kopieerbeveiliging, geanalyseerd door Mark Russinovich van Sysinternals, gebruikt
bestanden, die zich op plaatsen binnen Windows nestelen en verbergen,
zonder dat ze door de gebruiker gevonden kunnen worden. Volgens
Russinovich gaat deze vorm van bescherming veel te ver, ook al heeft
Sony een patch aangeboden die de verborgen bestanden ‘zichtbaar’ maakt.
Russinovich, een programmeer-expert, kwam het Sony BMG-systeem tegen
toen hij zijn computer scande met een door hem mede-ontwikkelde utility
die ‘rootkits‘ zoekt. Rootkits worden gebruikt door een aantal
virus-programmeurs, omdat zij toelaten dat ‘vijandige’ code diep in het
Windows-besturingssysteem wordt geplaatst. De rootkits worden niet
opgemerkt door de meeste anti-virusprogramma’s. Na uitgebreide analyse
realiseerde Russinovich dat de rootkit genstalleerd was toen hij
luisterde naar de CD ‘Get Right With the Man’ bij de country-rockband
Van Zant.

Een anonieme hacker heeft de code van de allereerste worm voor Oracle
databases geplaatst op een mailing list, met als onderwerp ‘Trick or
treat Larry’, een duidelijke verwijzing naar Oracle’s topman Larry
Ellison. Beveiligingsexperts hebben de code al geanalyseerd en hebben
bevestigd dat het inderdaad een worm is en dat deze eveneens zijn weg
binnen Oracle databases weet te vinden, tenminste alle databases met
default gebruikersnamen en wachtwoorden. Alexander Kornbrust, oprichter
en directeur van Red-Database-Security, beschrijft de publicatie van de
code als ‘a serious wake up
call’, en waarschuwde dat de code makkelijk kan worden aangepast om zo
grote schade te veroorzaken. ‘This version of the worm is not dangerous
but anyone can use this as a
framework and inject a more malicious payload’, stelt Kornbrust in een
interview met Ziff Davis Internet.

Het eerste Enterprise Content Management (ECM) systeem gebaseerd op
open source is te downloaden. Alfresco is gebaseerd op moderne,
service-georinteerde technologien en standaarden van vandaag de dag.
De meeste ECM-systemen zijn tien jaar of meer geleden ontwikkeld en
hebben in principe nog steeds een oude kern, waardoor voortdurend
interfaces en lagacy technologie moet worden ingepast in nieuwe
modulen. Alfresco heeft daar geen last van en maakt gebruik van Spring,
Hibernate, Lucene en Web Services, JSR 168, JSR 170 en MyFaces. Deze
dragen er aan bij dat de kosten aanzienlijk kunnen worden verlaagd en
dat de complexiteit van implementatie en gebruik aanzienlijk
vermindert.

De eerste schok over Sarbanes-Oxley is voorbij, maar veel managers zien
nog niet hoe ze zonder extra middelen in geld en personeel kunnen
voldoen aan alle eisen die compliance aan hen oplegt. Accenture gaf
dinsdag de eerste resultaten vrij van een onderzoek onder 304 ICT- en
financile managers van (Amerikaanse) bedrijven met een omzet van
minimaal 1 miljard dollar. Het onderzoek toonde dat de betreffende
functionarissen wel veel beter met elkaar samenwerkten dat voorheen om
de problemen aan te pakken, maar er wordt ook geconstateerd dat zij
betere en meer efficinte tools willen om duurzaamheid te creren voor
hun archieven, waarvan ze afhankelijk zijn om compliance te kunnen
aantonen. Meer dan 60 % van de respondenten onder de financile
managers vinden dat de technologische tools om compliance te
ondersteunen niet of nauwelijks effectief zijn. Dit lijkt er op te
wijzen dat het ‘omdopen’ van reeds bestaande software-oplossingen tot
‘compliance’-tools (een regelmatig gebruikte praktijk in de
ICT-industrie) niet blijkt te werken.