Search

Archives

Pages

Op mijn desktop:

Suggesties, commentaar, ... (klik of schrijf zelf:)e-mail webgang

Private

Laatste titels:

Organisch * RISC-V * AV1 * CA * FCC

i-nieuws 6 na 6 ** July 12th, 2018 by wim.webgang **

Organisch

In 1976 landde de Viking 2 op mars, Hij was voorzien van een
spectrometer, en nam er stalen van de bodem. De verwachting was om er
organisch materiaal te vinden, ofwel van mars zelf, ofwel van de vele
inslagen van meteorieten. Maar de metingen leverden geen organisch
materkiaal, niets. Dat was niet alleen een grote teleurstelling, maar
ook een onverklaarbare afwijking van wat al bekend was. 32 jaar later
landde de Phoenix marslander van de NASA op mars, en onderzocht ook de
bodem. Tot verwondering van de wetenschappers werd perchloraat gevonden
in de bodem. En meer recent werd chloorbenzeen gevonden, een restproduct
bij verbranding van organische molecules met perchloraat. De
puzzelstukjes vallen in elkaar: de Viking warmde de bodem op bij het
nemen van de bodemstalen, en door de aanwezigheid van perchloraat werden
andere organische moleculen verbrand, waarbij het chloorbenzeen ontstond.
Perchloraat is explosief bij hoge temperaturen, en wordt op aarde
gebruikt in vuurwerk.

RISC-V

Eén van de hardwarefabrikanten had het er alvast moeilijk mee, en startte
een campagne om het vertrouwen in RISC-V te ondermijnen. Na protest
tegen die campagne, ondermeer uit de rangen van het eigen personeel, werd
die ingetrokken.

https://web.archive.org/web/20180710130206/ https://riscv-basics.com/

(Op deze link is ze nog terug te vinden). De campagne was van AMD.

Andere fabrikanten zijn het idee van een open source processor wel
genegen. RISC-V is een open Instruction Set Architecture die gebruikt
kan worden bij het ontwerpen van een nieuwe chip, of zogenoemde SoC
(System on a Chip). Het project om een open instruction set architecture
te maken gebaseerd op Reduced Instruction Set Computing of RISC, ontstond
in 2010 aan de universiteit van Berkeley (in California). Bij het ontwerp
werd gedacht aan klein en laagvermogen toepassingen. In mei 2017 werd de
versie 2.2 van de specificaties vastgelegd.

Het open source ontwerp, dat beschikbaar is onder een BSD licentie, laat
toe om de processor te onderzoeken op veiligheidsgebreken. Dat is bij
gesloten processorontwerpen zoals die van ARM, intel, enz niet mogelijk,
en dat kwam duidelijk in de aandacht met de veelbesproken meltdown en
spectre bugs.*

Een ander voordeel van het open source ontwerp, is de steun van de open
source community. Er zijn al programmeertools als de GNU Compiler
Collection, en er zijn FreeBSD, NetBSD en Linux kernels. Er is zelfs een
simulator om een RISC-V Linux systeem in een webbrowser te draaien met
behulp van Javascript. (volgens wikipedia).

De eerste hardware zit nu in de pijplijn. SiFive heeft er alvast een
Arduino compatibel systeem mee ontworpen, die met een crowdfunding op de
markt gebracht werd: de HiFive1.

https://www.crowdsupply.com/sifive/hifive1/

https://www.sifive.com/products/hifive1/

Freedom E310, the industry’s first commercially available RISC-V SoC
wordt gebruikt in de HiFive1, die de sneste Arduino compatibele developer
kit wordt genoemd, maar die ook wel iets meer kost dan de Arduino, nl 59
dollar, waar een Arduino rond de 30 euro kost, en een Arduino Mega iets
meer dan 40 euro. Meer op

https://www.sifive.com/products/hifive-unleashed/

Ze hebben ook een uitbreidingskaart met een grafische processor om er een
pc van te maken, ondermeer door de aanwezige ssd en eSATA connectoren.
Het is eerder gericht op ontwikkelaars want het prijskaartje van 2000
dollar zou er wel een dure pc van maken.

* Er zijn volgens Bleepingcomputer trouwens weet twee nieuwe Spectre bugs ontdekt, ze kregen de naam Spectre 1.1 en Spectre 1.2.
En intel heeft in mei aangekondigd in SiFive te investeren.

AV1

De Mozilla foundation is enthousiast over een nieuwe video-standaard voor het web, AV1. De compressie zou beter zijn dan bij huidige videocodecs, en het gebruik van de AV1 codec is niet onderworpen aan betaling, zoals het huidige H.264. Andere videocodecs die als commercieel product zijn ontwikkeld, mogen alleen gebruikt worden mits betaling van licentiegeld. Dat betekent dat alle software die de video kan afspelen een extra kost heeft.

AV1 is ontstaan uit de samenwerking van allerlei belanghebbenden, zowel internetbedrijven als hardwarefabrikanten die videokaarten maken.
Mozilla had zijn Daali project, Google had VP9, en Cisco was bezig met een videoconferentie-standaard. Amazon, Netflix en hardwarefabrikanten vormden AOMedia met Mozilla, Google en anderen, om een open videoformaat te creëren. Ze geraakten het eens over AV1.

CA

Wie kent nog software bedrijf Computer Associates? Het bedrijf maakte software voor mainframes, en ging bijna ten onder in een een wirwar van overnames, fraude en een overheidsonderzoek ernaar, en kabbelde nog voort onder de naam CA. Door de vele overnames is het wel een groot bedrijf, met een omzet van miljarden, vooral in de mainframe en enterprise markt. Het werd nu overgenomen door Broadcom, een bedrijf uit Singapore, een mimi-schiereilandje onder Maleisië. Broadcom maakt chips, zoals gebruikt voor netwerkkaarten en internet of things bordjes. Zo bevat de Raspberry Pi bv een Broadcom system-on-a-chip. De makers van de Raspberry Pi hadden zelf voor Broadcom gewerkt, en konden door die connecties op een goedkope manier aan de cpu geraken. De miljoenen Raspberry Pi’s die ondertussen verkocht werden zullen Broadcom dus geen windeieren gelegd hebben, maar het bedrijf is bekender van zijn serieuze producten, ondermeer voor de smartphonemarkt.
Broadcom was op overnamepad, en probeerde de Amerikaans chipfabrikant Qualcomm over te nemen. Dat werd in maart nog verhinderd door Trump, die daar Nationale Veiligheid voor inriep.
Door de schaal van Broadcom zullen alle overnamepogingen in de hardwaresector onder de loupe komen van regulatoren, zelfs nu ze hun hoofdzetel naar de VS verplaatst hebben. Met dit overnamebod mikken ze in een totaal andere richting, nl software en cloudinfrastructuur. Het prijskaartje zou rond de 19 miljard liggen.

FCC

Na het gevecht om net neutraliteit rezen er heel wat vragen over de rol van de FCC, de regulator en toezichtshouder op communicatie in de VS.
Er waren veel reakties gekomen op de voorstellen om de net neutraliteit op te heffen, veel klachten via hun website: meer dan 22 miljoen. Eigenaardig genoeg kwamen de reakties die de net neutraliteit verdedigden niet aan bod in het eindrapport van de FCC over de zaak. Ze deden de commentaren af als niet relevant, niet waardevol, en niet juridisch gefundeerd. Bovendien bleek het systeem gebukt te gaan onder een toevloed van commentaren met valse identiteiten.

De baas van de FCC, die uit de Verizon stal komt, is tegenstander van de
net neutraliteit, en hij versoepelde eerder ook al de regels voor de
concentratie van tv zenders. Hij werd aangesteld door Trump en zijn
ingrepen lijken eerder bepaalde bedrijven hun belangen te dienen dan die
van de burgers of de consumenten. Als reaktie op de kritiek op het
systeem waarmee het publiek kan reageren op voostellen via een website,
stelde hij voor budget te vragen om dat te fixen. Weinig kans dat dat
budget er komt. En ondertussen heeft Trump een nieuwe rechter voorgesteld
voor het Supreme Court, het hooggerechtshof, die duidelijk tegen
netneutraliteit is; Brett Kavanaugh. Hij vindt dat de kabelbedrijven de
vrije hand moeten krijgen in wat voor internetinhoud ze doorlaten, en aan
welke voorwaarden.

compiled by BCP v.0.3.4

Lift ^ | Lift v | Comments Off

Wachtwoorden tellen * Stijlloze plugin * Probeer Firefox * Abonnementsmodel voor Java

i-nieuws 6 na 6 ** July 5th, 2018 by wim.webgang **

Wachtwoorden tellen

Een beveiligingsonderzoeker postte een tweet met de kryptische inhoud

Apple IOS <= 12 Erase Data bypass, tested heavily with iOS11, brute force 4/6digit PIN's without limits (complex passwords YMMV) https://vimeo.com/276506763 - demo of the exploit in action.

Je zou uit "Erase Data bypass" kunnen afleiden dat hij een manier gevonden heeft om het wissen van de data te omzeilen. Dat wissen van de data gebeurt als iemand te dikwijls probeert om een wachtwoord in te geven. Het toestel gaat er dan van uit dat iemand probeert in te breken, en het wist uit voorzorg alle data. Hij zou dus een manier gevonden hebben om zo dikwijls hij wil wachtwoorden te kunnen proberen, waardoor de beveiliging niet werkt.

Hij zou de wachtwoorden niet op het toestel zelf ingeven, maar via een extern toetsenbord. Zijn truukje is de pincode pogingen allemaal in één keer te sturen, waardoor het maar als één poging telt. Na het checken van de eerste code is het toestel klaar voor de volgende, en aangezien de input string nog steeds tekens bevat, worden die nog verwerkt zonder het als volgende poging te tellen, is de veronderstelling.

Apple reageerde dat de manier van testen niet correct was, en dat er geen probleem was.

De onderzoeker ging terug aan de slag en ontdekte dat het toestel door de reeks toegezonden tekens af en toe even overbelast geraakt, en dan een reeks tekens die als pogingen gelden, niet verwerkt. Ze worden dus niet geprobeerd, en tellen dus ook niet mee.
En hoewel Apple zegt dat er geen probleem is, gaan ze toch een speciale USB Restricted Mode voorzien in hun volgende iOS 12 update.

Stijlloze plugin

De browserplugin Stylish is verbannen uit de platformen van Firefox en Google’s Chrome, omdat hij data van gebruikers zou verzamelen en doorspelen naar het achterliggende bedrijf. De browserplugin was een zeer gesmaakte uitbreiding van de browser die toelaat om de manier hoe je een website bekijkt te veranderen; je kan het uitzicht van websites restylen. De plugin heeft miljoenen gebruikers. Hij kwam in 2016 in handen van een andere eigenaar. Die ging op zoek naar middelen een partnerschap aan met een marketingbedrijf dat Similarweb heet. Ze doen data-analyse en marktonderzoek. Vanaf dan kreeg de nieuwe versie van Stylish voor Chrome een nieuwe setting, waarin het delen van informatie een opt-out is; dwz de standaardinstelling is delen van je informatie. De Firefox plugin kreeg nog geen update, dus daar is niets zichtbaar in de settings.

Probeer Firefox

De New York Times beschrijft de herontdekking van de Firefox webbrowser. In de ondergang van het internet, veroorzaakt door de aanslag op je privacy, opdringerige advertenties, nagemaakte websites en malware, is er een lichtpuntje met Firefox. Een paar jaar geleden kwamen een zestal Firefox ontwikkelaars samen om de toestand van het internet te bespreken. Ze kwamen tot de conlusie dat de gebruikers hun vertrouwen in het web kwijt raakten, en dat het web zo zijn gebruikers zou kwijtraken.
En het resultaat van die overwegingen is te merken in de laatste versie van Firefox, die voor de rest ook niet moet onderdoen voor zijn concurrenten. Maar de weldoordachte privacy-instellingen overtuigden de New York Times redakteur om de browser vast te gaan gebruiken. Chrome heeft wel goede veiligheidsvoorzieningen, maar het zakenmodel van moederbedrijf Google is adverteren. We moeten dus niet verwachten dat ze iets zullen doen dat de adverteerders schaadt of het hen moeilijker maakt.

Abonnementsmodel voor Java

Het verschil tussen Java en echte vrije software technologiën is weer aangetoond door Oracle. Dat laat het niet-commerciële gebruik van java nog wel vrij maar begint zijn politiek aan te passen voor de Java Standard Edition met ondersteuning voor bedrijven. Dat krijgt een abonnementsmodel ter vervanging van de aankoop van een licentie. De prijzen liggen rond 25 dollar per maand per processor voor servers en 2,5 voor pc’s, met allerlei volumekortingen.

Het probleem is natuurlijk wat er gebeurt als je je abonnement stopzet. Kunnen je programma’s dan blijven draaien? Kunnen ze je je verbieden om je eigen programma’s te blijven draaien?
Oracle heeft daar iets op gevonden. Ze raden aan om alvorens je abonnement stop te zetten, de overgang te maken naar de OpenJDK binaries. Daar zit volgens hun site een GPL+CPE licentie op (CPE is Continuing Professional Education).

Je ziet hoe Java een product is waar Oracle meer grip op heeft dan de database MySQL. Daar werd al snel een afsplitsing gemaakt, MariaDB. Ook OpenOffice kreeg direct een clone, LibreOffice. In beide gevallen waren de nieuwe projecten erg succesvol.

compiled by BCP v.0.3.3

Lift ^ | Lift v | Comments Off

Het ontbrekend zakenmodel van Open Source * Data bescherming

i-nieuws 6 na 6 ** June 28th, 2018 by wim.webgang **

Data bescherming

De hele databeschermingswet heeft geleid tot nieuwe creativiteit bij de datasnoepers. De Noorse consumentenvereniging heeft de taktieken onderzocht die grote internetbedrijven gebruiken om de gebruikers te verleiden tot het afgeven van hun gegevens of het bevestigen van zo veel mogelijk toegang tot hun gegevens.

Een klassieker is natuurlijk de standaard instellingen. Als je de standaardinstellingen voor je krijgt, en je wil met zo weinig mogelijk moeite of werk verder geraken, is er veel kans dat je gewoon de aangeboden instellingen bevestigt.
De mogelijkheden bij die instellingen dienen dikwijls enkel om de gebruikers een illusie van keuze of controle te geven. De echt belangrijke keuzes die een gebruiker zou willen maken, komen meestal niet eens voor bij de keuzemogelijkheden.

Keuzes die het bedrijf wel aanbiedt, maar liever niet ziet gebruiken, worden begraven onder opeenvolgende schermen met tekst waar niemand door wil ploeteren.

Ook kleur, layout en andere sfeer-elementen worden gebruikt om de gebruikers in een bepaalde richting te sturen. De kleur groen, een bevestigende lamp, enz zullen altijd wijzen in de richting die het bedrijf wil, de minder aantrekkelijke kleuren en keuzebeschrijvingen zijn die in het voordeel van de gebruiker.
Bv “Ok en ga verder” op een groene knop, en “Beheren van de gegevensinstellingen” op een grijze knop.

Eens in de instellingen geraak je met vier kliks door de instellingen als je zowat alles met je data laat gebeuren (gepersonaliseerde advertenties aanvaardt, enz.). Wil je je data maximaal beschermen dan heb je 13 kliks nodig eer je er helemaal doorbent.

Het ontbrekend zakenmodel van Open Source

Tech Crunch besteedde aandacht aan de toestand van veel open source programmeurs, die niet betaald worden voor hun werk. Sommigen zijn aan het einde van hun latijn, en regelmatig wordt de vraag gesteld: wat nu? Sommigen gaan op zoek naar een manier om toch minstens wat kosten te kunnen recuperen, bv van hosting, en vragen vrijwillige bijdragen.
En er bestaat een platform voor creatieve artiesten dat probeert een abonnementssysteem voor fans te lanceren. Het is de bedoeling dat die een kleine abonnementsbijdrage betalen per maand of bij elke uitgave van werk, die de creatieveling een stroom van inkomsten geeft. In ruil geeft hij zijn abonnees inkijk achter de schermen en allerlei extraatjes. Internetartiesten die video’s en webcomics maken gebruiken het vaak. Het bedrijf is opgericht door een muzikant. Het had een zware storm te verduren toen in 2015 ingebroken werd en zowel broncode van het platform als de gegevens van gebruikers gestolen werden.

Lift ^ | Lift v | Comments Off

Half hernieuwbaar * NoCAN * Mol bij Tesla

i-nieuws 6 na 6 ** June 21st, 2018 by wim.webgang **

Half hernieuwbaar

De wereld stevent af op energieproductie die gemiddeld voor 50 procent bestaat uit hernieuwbare energie. Het lijkt goed nieuws, maar dat “afstevenen” kan nog wel meer dan 30 jaar duren.
Eén van de typische problemen, de opslag van electriciteit, wordt stilaan verholpen door goedkopere batterijen.
Serktste klimmers zijn wind en zonne-energie.
En voor Trump: het vooruitzicht voor steenkool zit nog rond de 11 procent, nucleair daalt langzaam, olie verdwijnt bijna, en gas blijft stabiel. Samen zitten de fossiele brandstoffen dan nog tegen de dertig procent in 2050. De voorspellingen komen uit een Bloomberg rapport.

https://about.bnef.com/new-energy-outlook/

NoCAN

NoCAN is een idee voor een bedraad platform voor IOT. Het zit nog in de opstartfase, en verzameld startkapitaal op kickstarter.
Ze stelden als doel om 4750 euro in te zamelen van deelnemers-inversteerders, maar ze zijn al voorbij 6000 euro en de campagne loopt nog bijna een maand.

De naam NoCAN verwijst naar de CAN-bus, Controller Area Network. Dat is een seriële databus om onderdelen van industriele machines te verbinden, of electronische componenten in een auto. Het is bestand tegen de electronica-onvriendelijke omstandigheden met veel electromagnetische storingen. De knooppunten in het netwerk hebben een voorafbepaalde prioriteit, en het berichtenverkeer gehoorzaamt aan die prioriteit, waardoor het verkeer real-time toepassingen mogelijk maakt.

Het NoCAN project bouwt voort op dat betrouwbaar bus systeem, en maakt twee soorten Omzio bordjes: één is de “master”, en dient om op een raspberry pi te monteren vanwaar het systeem gestuurd wordt. De andere kant zijn de Omzio CANZERO bordjes, de “things” die iets meten, iets sturen, enz. Die bordjes worden gemaakt op basis van het Arduino ontwerp. Daardoor kan het hele Arduino eco-systeem gebruikt worden om de “nodes” te programmeren.

Het NoCAN project probeert met zijn ontwerp twee problemen op te lossen. Het eerste is de voeding: veel IOT apparaatjes hebben ofwel een voeding met een eigen adapter nodig, ofwel batterijen die steeds vervangen en/of opgeladen moeten worden. Door de draad van de canbus, die alle onderdelen verbindt, wordt ook de stroom geleverd voor de aangesloten nodes.

Ten tweede is er de communicatie. Soms is de veelgebruikte wifi geen optie omdat het moeilijk is een goede stabiele signaalkwaliteit te verkrijgen, of wil men bewust geen wifi gebruiken, bv uit veiligheidsoverweging. Met het CANbus systeem wordt de informatie doorgegeven via die bus.

Mol bij Tesla

Tesla heeft het moeilijk, en niet alleen omdat het geen winst maakt en omdat het zijn produktie-deadlines niet haalt. Ze ontdekten dat één of meer werknemers de boel van binnenuit belazeren.
De topman spreekt ronduit van sabotage. Het bedrijf heeft een ex-werknemer aangeklaagd voor bedrijfsspionage. De man, die waarschijnlijk een goed half jaar voor Tesla werkte, wist binnen te geraken in het Produktie besturingssysteem. Hij zou daar gigabytes aan data uit hebben gehaald.
Hij was zo slim om zijn aktiviteiten te verbergen. Hij gebruikte de computers van een drietal andere werknemers waar hij een soort malware op installeerde die hem daarbij hielp. Die malware bleef ook zonder hem verder lopen, en bezorgde data aan een niet genoemde derde partij buiten het bedrijf.
De man bracht ook na zijn ontslag nog schade toe aan Tesla. Hij vertelde verhalen aan de media die niet bleken te kloppen, en die systematisch Tesla in een slecht daglicht stelde, zoals over slechte batterijen, vertragingen en gegenereerd afval.
Uit de klacht blijkt dat hij zich binnen het bedrijf negatief begon te manifesteren na een overplaatsing, en dat hij zich voordien ook reeds ontevreden toonde over de hem aangeboden functie.
Tesla onderzoekt nog de draagwijdte en impact van de zaak, en er kan een zware schadeclaim verwacht worden, een bedrag werd nog niet genoemd. Evenmin werd duidelijk naar welke derde partij de data gestuurd werden, of wie de eindbestemmeling was.

https://www.documentcloud.org/documents/4529155-Gov-Uscourts-Nvd-131251-1-0-2.html

compiled by BCP v.0.3.1

Lift ^ | Lift v | Comments Off

Premies en heffingen * Tanzania registreert * iCrypto * Geldloze maatschappij

i-nieuws 6 na 6 ** June 14th, 2018 by wim.webgang **

Geldloze maatschappij

Zweden stevent af op een geldloze maatschappij, het is het land waar cash geld volledig aan het verdwijnen is. Maar dat levert ook weer zorgen op, bv voor oudere mensen die niet mee zijn met de digitale revolutie. Het wetgevend comite maakt zich ook zorgen wat er zou gebeuren als het digitale betaalsysteem plots zou crashen. Een werkgroep stelde voor om banken met een bepaalde grootte te verplichten van cash geld te voorzien. Ze moeten klanten van genoeg mogelijkheden voorzien om geld uit een automaat te halen.

Premies en heffingen

In Belgie daalde de aanvraag van premies voor isolatie van bestaande gebouwen, en ook de isolatie-sektor meldde een afname van de na-isolatie nadat. Dat lijkt mee te gaan met het verminderen van de overheidssteun en wegvallen van fiscaal voordeel. Binnen twee jaar, in 2020 zouden we een eerste stap in de vermindering van broeikasgassen moeten gezet hebben, en het ziet er niet naar uit dat we dat gaan halen. Honderdduizenden woningen zijn nog niet geïnstalleerd, en tegen het huidig tempo gaat het dus nog 20 jaar duren. En de doelstellingen tegen 2050 zijn nog ambitieuzer; dan zouden zowat alle bestaande woningen ook de normen van nieuwe woningen moeten halen.

In de VS stegen de tarieven voor de invoer van zonnepanelen, maar desondanks worden er nog altijd even veel zonnepanelen geïnstalleerd als vorig jaar. Er zijn heel wat projecten opgezet waar burgers participeren in grotere installaties als een soort zonnevelden. In het eerste kwartaal van 2018 was zonne-energie de nummer één op gebied van nieuwe electriciteitsopwekking; 2.5 gigawat zou er geïnstalleerd zijn. Daarmee steekt het windenergie en gasturbinens de loef af. Tegen het einde van het jaar zou het meer dan 10 gigawat moeten worden.

Tanzania registreert

De overheidsdienst in Tanzania die de regelgeving voor telecommunicatie doet, heeft regels uitgevaardigd die bepaalt dat bloggers zich moeten registreren. Ook wie een online forum heeft draaien moet zich registreren, maar ook andere media als online radio en tv-stations. De overheidsdienst argumenteert dat het de wildgroei van anonieme verwerpelijke onlineaktiviteiten moet tegengaan. Een registratie kost geld; zo’n 900 dollar, en het lijkt bijna een tax op online publiceren.

iCrypto

Apple heeft de politiek in zijn app store aangepast, om stiekeme bitcoinminers te bannen. Onder de titel Cryptocurrencies zijn regels opgesteld over wat wel en niet mag binnen apps voor de toestellen met macOS, iOS, tvOS enz. Het probleem was ontstaan dat makers van apps er een stukje programma inbouwen dat stiekem de rekenkracht van het toestel gebruikt om bitcoins te maken voor de app developer. Het nadeel voor de gebruikers is dat hun batterij sneller leegloopt, en dat hun toestel mogelijk trager is bij gebruik.
De haat-liefde verhouding met cryptocurrencies speelt ook bij de banken: een Amerikaanse bank uit San Francisco heeft aangekondigd dat haar klanten geen bitcoins meer kunnen kopen met hun credit card. Er zou te veel gespeculeerd worden op de cryptocurrencies en zowat een vijfde van de “investeerders” of “speculeerders” gebruikte zijn creditcard om de aankoop te doen. Door de sterke schommelingen met sterke waardeverminderingen kunnen ze soms daarna hun schulden niet afbetalen. De bank lijkt het volume te groot te vinden en wil de risico’s verminderen, één vijfde van die “impulsaankopers” kwam in betaalproblemen.

compiled by BCP v.0.3.2

Lift ^ | Lift v | Comments Off

Router-malware * Het kwaad is terug! * Microsoft stort in oceaan * Naam gestolen

i-nieuws 6 na 6 ** June 7th, 2018 by wim.webgang **

Router-malware

In de VS heeft malware voor routers eind mei een kleine ravage aangericht. Duizenden routers werden besmet met de zogenaamde VPNFilter malware. Na de ontdekking werd duidelijk dat honderdduizenden netwerkapparaten van Linksys, Microtik, Netgear, QNAP en TP-Link besmet waren.

De malware zou afkomstig kunnen zijn van Fancy Bear. Het FBI nam al een domeinnaam in beslag die gebruikt zou zijn door de malwaremakers.

De malware is aanwezig in het werkgeheugen van het toestel, dus afzetten en terug aanzetten verwijdert hem uit het geheugen, maar het besmette toestel zal proberen de malware opnieuw te laden van een bepaalde webserver op ToKnowAll.com. Het is de domeinnaam van die webserver die het FBI in beslag nam. Zij kunnen aan het verkeer naar die server de omvang van de besmetting inschatten.

Verder onderzoek toonde ondertussen aan dat ook andere fabrikanten getroffen zijn: D-Link, Asus, Huawei, ZTE enz.

De malware werkt in drie stappen, en die derde stap blijkt te bestaan uit een systeem van plugins. Daarvan zijn weer nieuwe varianten gevonden. Er zou interesse uit blijken voor industriële toepassingen met Modbus TCP/IP.

Op onderstaande link vind je een lijst met apparaten die zeker getroffen zijn:

https://www.bleepingcomputer.com/news/security/vpnfilter-can-also-infect-asus-d-link-huawei-ubiquiti-upvel-and-zte-devices/

Evil is back!

De open source en free software programmeercommunity stond het voorbije weekend op zijn kop toen het bericht opdook dat Microsoft Github zou willen kopen.

Veel programmeurs uiten hun teleurstelling en verontwaardiging. Ze dreigen het platform te verlaten als de koop doorgaat.

De programmeurs vertrouwen Microsoft niet, en denken dat het nadelige gevolgen gaat hebben voor hun werk.

Er wordt minstens gevreesd dat er meer advertentiesdruk zal komen op het platform, en dat Microsoft de gebruikers meer zal gaan volgen.

Bovendien zullen ze het waarschijnlijk gaan combineren met andere diensten die ze hebben, en de github gebruikers in de richting duwen van die diensten, zoals LinkedIn. LinkedIn is trouwens zelf ook een bedrijf dat overgenomen werd door Microsoft, en het is er niet op verbeterd daardoor, en denk ook aan de overname’s van Skype, Nokia enz.

Github is een waardevol platform geworden door de gebruikers en hun projecten. Maar hun mening is niet gevraagd, en aan de online commentaren te zien zijn ze niet gediend met de overname.

Kunnen ze ergens anders naartoe? Ja, er is ook nog GitLab, een concurrent van GitHub. En er is nog de oudere SourceForge, al lijkt die het ook niet gemakkelijk te hebben.

Microsoft stort in oceaan

Microsoft heeft een container met servers in de zee gedumpt boven Schotland. Het is niet bekend welk operating systeem draait op de servers, maar het logo op de container is het Windows logo.

Ze hebben een manier bedacht om hun computerpark gemakkelijker te koelen; ze bouwen een datacentrum in een metalen cylinder, brengen er lange stroom en netwerkkabel aan, en laten de boel zakken in de zee. Gratis koelwater!
Of dat voor het milieu zo goed is blijft de vraag. Enerzijds warmen ze rechtstreeks het zeewater op, met alle gevolgen vandien voor het ecosysteem in het water.
Anderzijds lijkt het ook niet erg duurzaam op gebied van hardware; het is namelijk onmogelijk om een defecte server te gaan herstellen. De container heeft geen deur, en blijft vijf jaar doorlopend op de zeebodem rusten. Eens een server in de container kapot wordt die gewoon niet meer gebruikt, maar blijft die wel zitten. Microsoft noemt het project Natick.

Hopelijk is de container niet even lek als hun software.

Naam gestolen

James Halliday, alias substack is een aktieve ontwikkelaar van software die hij op github vrijgeeft: Stream handbook, minimist, node-optimist, tape, dnode, en node-mkdirp zijn enkele van zijn JavaScript werkstukjes.
Een nieuw bedrijf dat probeert geld te verdienen met electronische nieuwsbrieven heeft nu de naam en de domeinnaam substack geregistreerd.

Vrije en Open Source software projecten (FOSS) hebben het niet gemakkelijk om hun naam te beschermen. Als ze een catchy naam hebben bestaat de kans dat een ander bedrijf die naam al dan niet toevallig inpikt zonder dat het project de middelen heeft om dat tegen te houden.

Daarvoor zijn allereerst registraties nodig, zoals de naam als beschermde merknaam en van de domeinnaam.

FOSS projecten steken daar geen tijd en geld in, omdat het voor hen commerciëel niet belangrijk is. Zelfs een website is dikwijls niet nodig omdat ze via online platformen als GitHub werken waarop hun code gedeeld wordt.

Maar daardoor maken commerciële bedrijven soms wel gebruik van de naamsbekendheid om de naam te recupereren voor een eigen produkt, al dan niet bewust.

Lift ^ | Lift v | Comments Off

Open Source succes * Geen computerworm * Overdreven Encryptie * Heen en weer

i-nieuws 6 na 6 ** May 24th, 2018 by wim.webgang **

Open Source succes

Open Source lijkt een onstuitbare opgang te maken in allerlei computertoepassingen. Het hoogst is het open source aandeel in IOT toepassingen, waar het tot meer dan 75 procent oploopt, in andere software dikwijls tot de helft of meer.
Het gebruik van Open Source lijkt niet altijd even bewust of legaal te verlopen. Als het op een illegale manier in een systeem wordt opgenomen is er dikwijls niet voorzien in een upgrade of opvolging van de software. Dat betekent dat als er beveiligingsproblemen worden gevonden voor de softwareonderdelen, ze niet gerepareerd worden. Bij vrije software als Linux distributies is bv wel een upgrade systeem voorzien, waarbij automatisch en gratis alle upgrades aangeboden worden aan de gebruiker. Eender welke software heeft onderhoud nodig, en wie iets bouwt moet dat inrekenen, en heel wat organisaties zullen hun houding daarover moeten aanpassen.

Geen computerworm

In Frankrijk circuleren sinds een paar jaar foto’s van een vieze slijmerige slangachtige worm met afgeplatte tweeledige staart. Het leek een typische internet-”prank”, opgezet spel, of fake news. Nader onderzoek leert echter dat het wel degelijk om een soort worm gaat, die waarschijnlijk afkomstig is uit Azie, want in Frankrijk komt hij normaal niet voor. De afgeplatte hamerachtige vorm is niet de staart maar wel de kop. Ze worden tot meer dan 20 cm lang, en voeden zich met kleinere wormen. Na het in kaart brengen van de meldingen blijkt het vooral stedelijk gebied in het zuiden van Frankrijk te zijn waar de wormen voorkomen. Mogelijk zijn ze door de invoer van planten in Frankrijk geraakt.

Overdreven Encryptie

Het FBI heeft toegegeven dat de cijfers over encryptie die hun direkteur verspreidde, schromelijk overdreven waren. Hij had gezegd dat ze meer dan zevenduizend toestellen niet konden gebruiken voor hun onderzoek omdat ze versleuteld waren. Nu moest het FBI toegeven dat het over ten hoogste duizend à tweeduizend toestellen gaat. De combinatie van drie gegevensverzamelingen leidde tot het dubbeltellen van een paar toestellen. Bij een controle in 2016 werd dat niet opgemerkt.

Heen en weer

E-commerce moest in het begin het vertrouwen van de klanten winnen om op afstand te kopen, zonder het produkt te kunnen bekijken, vasthouden, of passen, en daarom werd het “terugsturen als het niet voldoet” ingevoerd. In sommige studies is er al op gewezen wat het effect is van het heen en weer sturen van pakketjes, voor transport, milieu en de rendabiliteit van de webshops. Amazon lijkt nu dat laatste aspect aan te pakken. Ze hebben een aantal klanten geweigerd omdat ze blijkbaar te veel pakjes terugstuurden. Uit klachten van klanten blijkt dat ze dikwijls niet op de hoogte waren van de oorzaak van hun verbanning. Mogelijk was er iets fout met het waarschuwingssysteem, maar het is duidelijk dat Amazon sinds maart ongeveer zijn klantenbestand aan het uitkuisen is; honderden gebruikers zoudan al gebannen zijn. Volgens Amazon gaat het enkel om gebruikers die misbruik maken van de mogelijkheid. Het is software die op basis van parameters de klanten uitfiltert. In getuigenverslagen doken de mails op die sommige klanten kregen, en die hen zowel vragen naar de reden van het regelmatig terugsturen en geld terugvragen, als subtiel onderaan wijst op de voorwaarden voor het gebruik van hun diensten.
Die voorwaarden zeggen niet hoe dikwijls je dingen mag terugsturen, hoeveel per jaar of hoeveel procent, maar bepalen enkel dat Amazon ten alle tijde een account kan afsluiten als ze daar reden toe zien.

Lift ^ | Lift v | Comments Off

Binnengeneratie * Verkiezingshack * Wachtwoord * Kraak van de maand * Einde van een monopolie

i-nieuws 6 na 6 ** May 17th, 2018 by wim.webgang **

Binnengeneratie

Een YouGov rapport roept ons uit tot de binnengeneratie.
Als ons gevraagd wordt hoeveel tijd we binnen doorbrengen, schatten we dat op een goede 65 procent van de tijd. Maar als er geteld wordt blijkt het 90 procent van de tijd te zijn. Op tweehonderd jaar tijd zijn we van 90 procent buiten naar 90 procent binnen geëvolueerd. Er werd ook gekeken naar de effecten van het binnenleven, onder meer de invloed van daglicht, slaapkwaliteit enz.

Het ontkoppeld zijn van de buitenwereld zou een negatieve invloed hebben op onze slaapkwaliteit. De lucht in huis zou dikwijls ook van slechtere kwaliteit zijn dan de lucht buiten, en de slaapkamer is soms de slechtst verluchte plek in huis.

Ook interessant: de studie werd gesponsord door een fabrikant van ramen en dakramen.

Verkiezingshack

Natuurlijk hebben de Russen zich niet bemoeid met de verkiezingen die door Trump gewonnen werden. Maar hij lijkt wel bevreesd te zijn dat het in volgende verkiezingen zou kunnen gebeuren. Het minsterie van “Homeland security” heeft een nieuwe strategie ontwikkeld om de nationale veiligheid te verzekeren. De grote baas daar zegt dat ze op een historisch kantelpunt staan in de evolutie van cyberberdreigingen. In 2018 zijn er tussentijdse congresverkiezingen.
Ondertussen heeft Facebook ook verklaard bijna * 600 miljoen * valse accounts te hebben gesloten in het eerste kwartaal van 2018 alleen al.

Wachtwoord

Slechte wachtwoorden zijn van alle tijden en alle plaatsen. En ook van alle intelligentieniveaus. In de Filippijnen deden ze er een studie over, en het resultaat was dat briljante studenten niet zoveel veiligere wachtwoorden gebruikten als slechte studenten. Er is wel een licht verschil, en een andere vaststelling was geruststellend: bijna alle studenten gebruikten lange wachtwoorden, dwz 8 tekens of langer, en meer dan de helft gebruikt zelfs meer dan tien tekens, een vierde meer dan 12. Natuurlijk zijn het steeds meer de websites en andere systemen die de gebruiker verplichten om lange en veiligere wachtwoorden te gebruiken.
Voor de studie werden gegevens van vroeger gelekte wacthwoordbestanden gebruikt; daarmee werd gecheckt of vroeger gekraakte wachtwoorden nog voor huidige accounts gebruikt werden.

Kraak van de maand

De baas van de Centrale bank in Mexico heeft deze week toegegeven dat er een aanval was gebeurd op het betalingsverkeer van de banken.

Daarbij zouden aanzienlijke bedragen verduisterd zijn. Er werd niet gezegd over welke banken het gaat, wel dat het waarschijnlijk een vijftal zijn. Er gebeurden eerst vervalste transacties, en later werd het geld afgehaald. De cyberdieven gebruikten waarschijnlijk onvolkomenheden in de systemen van sommige aangesloten banken, mogelijk met hulp van binnenuit. Het centrale uitwisselsysteem zou niet aangetast zijn.
Toch zou op een alternatief systeem zijn overgestapt om beter te kunnen controleren, waarbij de transacties ook trager zullen verlopen.

Einde van een monopolie

Waaraan kan je het einde van een monopolie herkennen? Aan kleine dingen soms..

Notepad, het eenvoudige tekstprogramma voor Windows .txt bestanden, is gemaakt met de eigen EOL conventies van Microsoft. In de Unix wereld was er een standaard manier om het einde van een tekstregel aan te geven in een tekstbestand, nl “Line Feed”, maar Microsoft week daarvan af en gebruikte een andere methode: “Carriage Return + Line Feed”. Daardoor Is een eenvoudig .txt bestand gemaakt op Windows niet compatibel met één gemaakt op Unix; als je de tekst opent op het andere systeem kloppen het einde van de lijn niet, en heb je bv het effect dat er telkens een overbodige lege lijn staat, of dat de tekst gewoon doorloopt in plaats van op een nieuwe lijn te beginnen.

Ps: het oude Mac systeem gebruikte enkel CR.

De unix-manier wordt gebruikt in alle unix-achtige systemen als Linux, de BSD’s, Mac OS-X, enz.
Daar, en in de open source/free software wereld was het verschil met Windows geen groot probleem, ze hielden er gewoon rekening mee dat in de Windows wereld anders gewerkt werd. Linux programma’s kunnen die bestanden lezen, en omzetten.

Microsoft bleef echter ontkennen dat er andere systemen bestaan. Tot nu. De volgende versie van Notepad zal teksten normaal kunnen openen en weergeven die gemaakt zijn op unix-achtige systemen.

Dat was bijzonder irritant voor Windows gebruikers die meer en meer open source en free software begonnen te gebruiken die hun oorsprong hebben in de Linux wereld, zoals bv de Apache webserver, MySQL enz. Als ze de configuratiebestanden daarvan openen in hun Notepad wordt de tekst weergegeven als oneindig lange lijnen.

Microsoft heeft nu toegegeven aan de druk van de gebruikers, en zal unix teksten kunnen openen en terug bewaren.


Waarom dat van 1985 tot 2018 geduurd heeft? Niet willen? Waarom ze dan toch toegegeven hebben?
Ondermeer door Raspberry Pi maken toch veel Windows gebruikers kennis met Linux, dat daarop het standaard systeem is, en als ze zien wat op zo’n licht computerbordje zoveel software kan draaien, inclusief desktop met LibreOffice, Gimp tekenprogramma, spelletjes enz wordt de verleiding groot om op de desktop over te stappen.

Lift ^ | Lift v | Comments Off

Zonnig Californie * E-commerce * Begrafenissen * Doodstraf nieuw leven ingeblazen

i-nieuws 6 na 6 ** May 10th, 2018 by wim.webgang **

Zonnig Californie
Terwijl Trump probeert terug te keren naar steenkook, heeft de staat Californie beslist dat alle nieuwe huizen vanaf 2020 moeten voldoen aan nieuwe energienormen. Ieder jaar komen er zo’n tachtigduizend woningen bij. Eén van de voorwaarden is het leggen van zonnepanelen op het dak. Nu zou nog niet 1/5 van nieuwe gezinswoningen over zonnepanelen beschikken. En de markt in de hele VS leek in 2017 te stagneren.
In Californie willen ze dus een serieuze stap vooruit zetten en dat kadert in een ruimer mileu-programma.
Californie wil tegen 2030 zijn uitstoot van CO2 verminderen met 40 procent.

E-commerce

Walmart, de grote supermarktketen in de VS, heeft een meerderheid verworven in een grote Indische onlinewinkel Fllipkart. De Indische onlinemarkt, zal net als alle andere, sterk groeien in de komende jaren, en daarmee verwerft Walmart wat tegenwicht voor het Amerikaanse Amazon. Helaas voor Walmart maakt Flipkart nog geen winst, dat wordt ten vroegste binnen een paar jaar verwacht.

Begrafenissen

- Net neutrality VS
In de VS wordt de Net Neutraliteit officieel begraven op 11 juni. De FCC kondigde dat vandaag aan. De wetten voor een open internet dateren van 2015.

- Datacenter Ierland
Ook nog begraven: de plannen van Apple voor een datacenter in Ierland. De oorzaak zouden de jarenlange vertragingen zijn, veroorzaakt door bezwaarschriften. Die procedure ging al door een beroepsfase, en zit nu bij het hooggerechtshof in Ierland. Apple had in 2015 zijn oog laten vallen op een gebied met goede aansluiting op natuurlijke energie in het westen van Ierland.

- Chinese ZTE
De sancties tegen Iran die president Trump aankondigde, hebben al een voorgeschiedenis. Het Chinese bedrijf ZTE, dat in Amerika aktief is, heeft volgens het ministerie van handel in de VS, de toenmalige sancties tegen Iran en Noord-Korea overtreden, door ondermeer telecommunicatieapparatuur te leveren aan die landen. Daar worden ze nu voor gestraft met een verbod van 7 jaar voor Amerikaanse bedrijven om handel te doen met ZTE.
ZTE maakt ondermeer smartphones met Android, en nu vragen ze zich af of ook daar een probleem kan rijzen, omdat Android van Google komt. En hoewel het Android besturingssysteem grotendeels free software en open source is, horen er natuurlijk ook diensten bij als de mail en toegang tot de app store. ZTE was de vierdegrootste smartphonefabrikant in de VS, en de tweedegrootste in China. Ze waren ook de enige fabrikant die in de VS een “Android Go” toestel verkocht. Dat werd samen met Google ontwikkeld speciaal voor goedkopere smartphones met minder geheugen. Een redacteur van Arstechnica kon er één kopen op de dag van de lancering – waarop die ook uitverkocht was- en belooft alsnog een bespreking, voor een toestel dat niet meer te koop zal zijn in de VS.
Vroeger al kreeg een ander Chinees smartphone bedrijf ook te maken met een ban van de VS: Huawei.

Misschien schuilt hier een kans voor Sailfish?

Doodstraf nieuw leven ingeblazen
In de VS zoeken ze naar een manier om de doodstraf nieuw leven in te blazen, nu steeds meer fabrikanten weigeren hun geneesmiddelen te leveren om een doodstraf uit te voeren met een injectie. Een aantal staten die nogal aktief zijn op dit gebied, hebben nu goedkeuring gegeven aan het gebruik van stikstof. Stikstof is een reukloos en kleurloos gas, dat mensen doet stikken door zuurstoftekort. Als de concentratie van stikstof groot genoeg is, neemt het de plaats van zuurstof in in het bloed, en sterft een mens in minder dan een minuut tijd. Het zou ook redelijk pijnloos zijn, omdat het gas geen reaktie opwekt, zoals bij een teveel aan koostofdioxide. Bij een teveel aan koostofdioxide krijg je het gevoel dat je stikt en snak je naar adem, bij stikstof niet.

Lift ^ | Lift v | Comments Off

Lek in de auto *

i-nieuws 6 na 6 ** May 4th, 2018 by wim.webgang **

Lek in de auto

Computest, een Nederlands bedrijf gespecialiseerd in computerveiligheid, heeft het nieuws uitgebracht dat er een lek zit in de amusementselectronica voor auto’s van volkswagen. Het is een externe partij die dat systeem maakt, waarschijnlijk van Harman of RIM. Dat draait op het real time operating systeem QNX. Dat is een Unix achtig systeem dat een totaal andere benadering heeft van de kern van het systeem. In tegenstelling tot bv Linux, heeft QNX geen monolytische kern, maar een micro-kernel systeem van aparte processen die onderling communiceren. Dat kan zelfs met kernels op een ander systeem. QNX werd gestart in de jaren 80, en vooral gebruikt als ingebouwd systeem in apparaten die real-time eigenschappen nodig hebben.
Later, in 2010, werd het ook gebruikt in de tablet van Backberry, en later dus in de entertainment systemen van auto’s. De onderzoekers merkten op dat ze niet alleen binnen konden geraken in het entertainment systeem, maar dat ze ook verbindingen opmerkten naar de rest van de electronica van de auto. Dat zou gevaarlijk kunnen worden, maar ze hebben dat niet verder onderzocht zeggen ze.
Waar ze wel aan konden geraken is root toegang op het QNX systeem. Dat demonstreren ze met een screenshot waarop je inhoud van het syteem van een QNX Neutrino ziet. Met root toegang tonen ze de directory inhoud. De terminal toont na de root login een lettertekening die een “Audi MIB” logo op het scherm zet.
De onderzoekers gebruikten telnet om in te loggen, en geraakten binnen via de wifi functie van het systeem.
Met die root rechten konden ze die micro van de mobiele telefoonkit aan en af zetten, gesprekken beluisteren, het telefoonboekje opvragen enz.

Computest: https://www.computest.nl/en/pressrelease-en/volkswagen-group-models-vulnerable-to-hackers/

Lift ^ | Lift v | Comments Off

« Previous Entries