Search

Archives

Pages

Op mijn desktop:

Suggesties, commentaar, ... (klik of schrijf zelf:)e-mail webgang

Private

Laatste titels:

verkiezingen in de vs: probleem opgelost?

Uitzending do 18:00 ** December 27th, 2018 by wim.webgang **

Volg het Chaos computer congres
- Op het ccc congres heb je lezingen als “The Social Credit System”, enz… allemaal terug te vinden op https://media.ccc.de/
- een stukje uit een lezing met de vraag of het verkiezingssysteem klaar is voor de volgende verkiezingen, in de VS en bij uitbreiding in de rest van de wereld:

Election Cybersecurity Progress Report
Will the U.S. be ready for 2020?

(link https://media.ccc.de/v/35c3-9917-election_cybersecurity_progress_report)

Pi Versus Pi
(niet de bananentaart uit het nieuws)
Vergelijking van MagPi’s: Nederlandstalig vs Engelstalig (original).

Tegelijk aangekocht; de Engelstalige MagPi is die van januari, de Nederlandstalige van december. Eerste verschil: het formaat; de Nederlandstalige is in de hoogte zo’n 2 cm kleiner dan A4, terwijl de Engelstalige A4 formaat is (net zoals Linux Format magazine).
Maar ook als je die van dezelfde maand naast elkaar legt, is het duidelijk dat de Nederlandse MagPi niet zomaar een 1 op 1 vertaling is van de Engelse. De inhoud is Creative Commons, en kan dus gemakkelijk gebruikt en verdergegeven worden in de klas, hackerspace (of op de radio)
In de huidige NL-talige MagPi ondermeer het eekhoorncafe (met voederplankje en camera) en een groentetoren in binnenshuis groenten te telen, enz.
De Engelstalige MagPi een overzicht van een aantal “hats” of uitbreidingsbordjes voor de Raspberry Pi, en wat computerspelletjes (om zelf te progrmmeren).

Lift ^ | Lift v | Comments Off

Domeinnaamkampioen * E-commerce in India * Van framboos naar banaan

i-nieuws 6 na 6 ** December 27th, 2018 by wim.webgang **

Domeinnaamkampioen

In de eindejaarslijstjes duikt bij de domeinnamen steevast “.tk” op als één van de kampioenen. Ook het voorbije jaar haalde “.tk” ook weer de meeste domeinnaamregistraties op zijn Top Level Domain, gevolgd door “.cn” als tweede en als derde “.de”.
Dat China tweede staat is niet verwonderlijk als je naar het aantal inwoners kijkt, en dat Duitsland derde staat is niet verwonderlijk als je kijkt naar de economische aktiviteit. Maar dat de eilandengroep Tokelau eerst staat is wel opmerkelijk, het heeft iets meer dan 1400 inwoners, en de kleinste economie ter wereld, die vooral gesubsidieerd wordt door Nieuw-Zeeland. Tien procent van het BNP zou komen uit de opbrengsten van de top level domeinnaam “.tk”. Die is uitbesteed aan een Nederlander, die er een bedrijfje op bouwde dat gratis domeinnamen verstrekt.
Helaas zal je de hoofdomeinakorting “.tk” ook herkennen als afzender van veel spam.

Ps: de tld van Turkije is “.tr”.

E-commerce in India

In India heeft de regering nieuwe regels gepubliceerd voor verkoop via internet. De maatregelen worden van kracht op 1 februari en werden gisteren gepubliceerd, midden in de week tussen kerst en nieuwjaar, een moment dat heel wat bedrijven vakantie hebben. Vroeger al werden grote financiele bedrijven verplicht om de gegevens van de gebruikers op te slaan in India zelf.
Volgens de New York Times zou het de Amazon’s moeilijker maken om te concurreren tegen onafhankelijke winkels. Vanuit Amerikaans standpunt zijn het misschien belemmerende maatregelen, maar misschien zou Europa beter ook eens nadenken over hoe om te gaan met internetmultinationals die de gewone winkeliers doen verdwijnen.

https://dipp.gov.in/sites/default/files/pn2_2018.pdf

Van framboos naar banaan

Hackers en makers zijn vertrouwd met de Raspberry Pi als klein computerbordje waarmee je zelf apparaten kunt bouwen die iets sturen als motoren of licht, of gegevens verzamelen via aangesloten voelers. De Raspberry Pi diende ook als inspiratie voor veel afgeleide bordjes, zoals de beaglebone black, en de Banana Pi.

De eerste Banana Pi Single Board Computer dateert van 2015, het jaar dat er al meer dan 5 miljoen Raspberry Pi’s verkocht werden. De Banana Pi bordjes volgden zo’n beetje de evolutie van de Raspberry Pi modellen, zoals de Zero en de Compute Module. Ze draaien ook hetzelfde besturingssysteem Raspbian, naast verder Android, Ubuntu, Debian en andere Linux distributies.

Later kwamen onder de naam Banana Pi ook bordjes uit met een specifiek doel, zoals de R1, de R2 of de R64, die 4 extra netwerkaansluitingen en een ingebouwde switch hebben zodat je er een eigen router mee kan bouwen. Deze kunnen de speciale router Linux distributie OpenWRT draaien.

Nu zou de firma achter Banan Pi bezig zijn aan een eigen moederbord (volgens hothardware.com). Er is een filmpje te zien van een server die Ubuntu 18.04 draait. De processor zou ook van het ARM-type zijn, zoals in de Pi bordjes. In het filmpje is niet veel te zien behalve de voortgang van het compileren van een Linux kernel. Kenners zullen daar misschien op zien dat de 24 processorkernen van de server worden ingezet.

https://hothardware.com/news/banana-pi-server

compiled by BCP v.0.3.6

Lift ^ | Lift v | Comments Off

FRAP, CRAP en CCC

Uitzending do 18:00 ** December 20th, 2018 by wim.webgang **

CCC

35C3
27. bis 30. Dezember 2018
Leipzig, Messe

5 zalen streaming? Maak je keuze op hun agenda in FRAP.

FRAP

FRAP: conference management systeem.
Ook de CCC gebruikt dit systeem, zij noemen het hun fahrplan:

https://fahrplan.events.ccc.de

Toekomst uit de geschiedenis

We hoorden ook een stukje van https://www.youtube.com/watch?v=M5PgQS3ZBWA, met experimentele muziek in de achter/voorgrond (van..?)

Schutting
En we lezen voor uit de broncode van een stukje JDK, die volgens een maandag-rapport teveel schuttingtaal zou bevatten…
Don' fuck with it!

Lift ^ | Lift v | Comments Off

Asus verandert * Domotica-stop * Toekomstvoorspelling toen * Een Bug verdomme! * Goed verstopt

i-nieuws 6 na 6 ** December 20th, 2018 by wim.webgang **

Asus verandert

Asus verandert van richting, en daar hoort een verandering van CEO bij. De oude, Jerry Shen is vorige donderdag afgetreden. Hij was de man die de Eee pc lanceerde, het kleine laptopje dat populair werd als netbook met Linux.

Het merk gaat zich meer richten op de gamers en op de zware gebruikers.

Domotica-stop

Begin december kwam er een update van Logitech beschikbaar voor hun Harmony Hub toestellen, die voor sommige gebruikers een stille Harmony werd.

Gebruikers van de Logitech Harmony Hub die het apparaat voor meer gebruikten dan de bijgeleverde luidsprekers, en hem bv gebruikten voor Domotica toepassingen, kunnen daar mogelijk problemen mee krijgen, want met die update worden sommige verbindingen onmogelijk gemaakt.

De Homeseer and Home Assistant APIs waren de veelgebruikte uitbreidingen voor het besturen van de TV, stereo-installaties, en andere systemen.

De update gebeurde uit veiligheidsoverwegingen, en volgt op een waarschuwing die Logitech kreeg van een externe beveiligingsfirma.

Er zal voor de creatieve gebruikers dus niets anders opzitten dan hun domoticasysteem aan te passen, en eventueel een andere hub te installeren.

De officiële mededeling staat hier:

https://support.myharmony.com/en-de/release-notes

Toekomstvoorspelling toen

Douglas Engelbart deed in 1968 een gewaagde, maar achteraf verrassend correcte Toekomstvoorspelling over ons computergebruik, waaronder de grafische desktop en
voorspelde hij een soort internet
Een paar jaar voordien had hij al een paper geschreven over dat onderwerp. Daarin beschrijft hij een denkbeeldige toekomstige architect. Die werkt niet als zijn soortgenoten uit de jaren 60 met potlood, pen, gradenboog en T-lat.
Nee, die werkt op een scherm, bestuurt de computer met de muis, geeft met een toetsenbord waarden in, en bekijkt het opbouwend beeld op zijn scherm. Hij bekijkt doorsneden, plaatst het object in een omgeving, enz

En hij wist dat niet alleen architecten verregaand gebruik zouden maken van de mogelijkheden van de computer, hij schreef:
“Every person who does his thinking with symbolized concepts (whether in the form of the English language, pictographs, formal logic, or mathematics) should be able to benefit significantly.”

Hij geeft een voorbeeld van de versnelling van de mens bij het schrijven met een typmachine in vergelijking met geschreven tekst. Op een typmachine van toen duurde het 7 seconden om een bepaalde zin neer te zetten, terwijl het met de hand geschreven twintig seconden duurt.

https://www.youtube.com/watch?v=M5PgQS3ZBWA

Augmenting Human Intellect: A Conceptual Framework:

http://dougengelbart.org/content/view/138/000/

Een Bug verdomme!

In het systeem om fouten de melden in de OpenJDK software, dook onlangs een opvallende bugmelding op: de aanwezigheid van een vloek in de broncode. Eigenlijk de aanwezigheid van meer vloekwoorden, de melder telde er een twaalftal.

OpenJDK source has too many swear words:

https://bugs.openjdk.java.net/browse/JDK-8215217

Aangezien OpenJDK veel gebruikt wordt in een werkomgeving, is het ongepast om de gevonden 12 termen in de broncode te laten bestaan.

Bugs zijn normaal fouten in een programma, die te maken hebben met de werking van het programma, de teksten die verschijnen tijdens het draaien van een programma, of andere onvolkomenheden die de goede werking van een programma kunnen aantasten. Dat is hier niet het geval, de woorden komen enkel voor in de broncode, en een eindgebruiker van de gemaakte software krijgt die nooit te zien. Zelfs programmeurs moeten al moeite doen om ze op te sporen.

De klager ontdekte de foute woordenschat ondermeer in stukjes tekst die dienen om iets te testen. Op een andere plaats ergert hij zich aan de naam die een programmeur gegeven heeft aan een type in de code, namelijk het Common Region for Access Protection type.
Niets mis mee denkt u?
Hebt u zich al eens afgevraagd hoe de afkorting hiervan er uit zou zien? Inderdaad, CRAP. En elders in de broncode wordt al eens met de afkorting verwezen naar het type.

Je zou denken dat met zo’n bugmelding enkel eens smakelijk gelachen wordt, of hoogstens eens schouderophalend geglimlacht, maar nee, de fout kreeg een nummer toegewezen: JDK-8215217, werd opgevolgd en op 4 dagen tijd opgelost.

De programmeur die zich bezighield met de opvolging, bracht verslag uit als volgt: Na overleg in de community werden drie overeenkomsten bereikt:
- ten eerste zijn Crap en Damn geen vloekwoorden.
- drie van de vier f-woorden zitten in jszip.js, wat code is die buiten dit project gemaakt wordt, en daar dus moet opgelost worden.
- twee overblijvende gevallen, waarvan 1 een f-woord, moeten wel verwijderd worden.

Ps: de bug werd gemeld op een maandag. Door dezelfde programmeur die de bug daarna opvolgde, mogelijk werd hij aangsproken door derden.

Hieronder een stukje uit de broncode waar het misschien over gaat (en zoniet een voorbeeld van hoe het kan voorkomen elders):

http://www.docjar.com/html/api/org/apache/xalan/xsltc/dom/BitArray.java.html

/**
130 * This method returns the Nth bit that is set in the bit array. The
131 * current position is cached in the following 4 variables and will
132 * help speed up a sequence of next() call in an index iterator. This
133 * method is a mess, but it is fast and it works, so don’t fuck with it.
134 */
135 private int _pos = Integer.MAX_VALUE;
136 private int _node = 0;
137 private int _int = 0;
138 private int _bit = 0;
139
140 public final int getBitNumber(int pos) {

compiled by BCP v.0.3.6

Lift ^ | Lift v | Comments Off

(todo: uitzending van 13/12)

Uitzending do 18:00 ** December 13th, 2018 by wim.webgang **

De gegevens van deze uitzending zijn verloren gegaan.

Als ik me niet vergis hebben we ondermeer enkele artikels uit een Duitstalig IT magazine gelezen.

Lift ^ | Lift v | Comments Off

Goed verstopt

i-nieuws 6 na 6 ** December 13th, 2018 by wim.webgang **

Goed verstopt

Digitale kaarten op internet, zoals Google Maps, hebben bezorgdheid gewekt ivm de veiligheid, en daarom worden ze verondersteld niet te veel informatie te verstrekken over gevoelige locaties. Voorbeelden daarvan zijn militaire installaties, die op satellietfoto’s herkenbaar kunnen zijn. Dus moeten op de kaarten de installaties verborgen worden, en dat loopt niet altijd van een leien dakje. De Russische Yandex.com kaarten bv, deden dat door militaire gebouwen en installaties wazig te maken. Maar omdat ze geen groot gebied wazig maken, wordt de locatie juist heel precies aangegeven, en valt ze meer op dan op een gewone foto.

Lift ^ | Lift v | Comments Off

Hackerspaces on the move

Uitzending do 18:00 ** December 6th, 2018 by wim.webgang **

Marthe heeft het wifi bereik van haar laptop uitgebreid (foto) met een kleine usb-stick…
Hackerspace Antwerpen gaat naar CCC congres

Hackerspace Brussel gaat naar CityGate.
hsbxl.be laat de wiki achter en gaat git (met Hugo?).

Mechelen? Gent? Hasselt? …

Muziek
Jacobus – The Hallucination Celebration
reaman – djinn wheels

Lift ^ | Lift v | Comments Off

RISC-V en Linux * Hoe encrypted? * Infiltratie * Persoonlijke informatie * Niet vergezocht

i-nieuws 6 na 6 ** December 6th, 2018 by wim.webgang **

GitGebruiken

Australië lijkt van plan om zijn politiediensten toegang te geven tot versleutelde berichten op WhatsApp en gelijkaardige diensten. Er werd een overeen komst gesloten tussen regering en oppositie om een wet goed te keuren in die richting. De internetbedrijven kunnen verplicht worden te helpen met het ontsleutelen, of achterdeurtjes in te bouwen voor de politie.

De eerste minister van Australië zegt dat de nieuwe wetgeving nodig is om terrorisme en georganiseerde misdaad te bestrijden.

Tegenstanders zeggen dat de veiligheid van het internet hiermee ondermijnd wordt, en de privacy in het gevaar komt.

Hoe encrypted?

Het project van Node.js module met de naam event-stream had te maken met infiltratie, die leidde tot binnengesmokkelde malware code. De event-stream module is miljoenen keren gedownload, en het was de bedoeling van de infiltrant om bitcoins te stelen van de cmoputers van eindgebruikers waar de module zou terechtkomen.

In een eerste stap werd versie 3.3.6 aangevuld met een oorspronkelijk onschuldig stukje code met de naam “flatmap-stream”.
In een tweede stap, een paar maanden later, werd dit onderdeel geupdate met kwaadaardige code om bitcoins te stelen van computers die een wallet van Copay gebruiken. De gestolen bitcoins werden naar Kuala Lumpur gestuurd, in Maleisië.

Het bedrijf van de wallet geeft aan dat gebruikers met versies tussen 5.0.2 en 5.1.0 moeten upgraden naar 5.2.0.

Programmeurs die in hun programma de event-stream module gebruiken, hadden zelf geen last van de aanval, want die was niet tegen hen gericht. Wel tegen de code die deze programmeurs afleverden, daar werd de malware onmerkbaar voor de programmeur, in ingebouwd.

Dit systeem wordt een supply chain attack genoemd. Een ander voorbeeld deed zich voor in het python ecosysteem. Er werden maar liefst 12 besmette libraries aangetroffen.

De makers van de malware gebruikten een aantal bekende en veelgebruikte modules. Die kopieerden ze en registreerden ze onder een andere naam, maar wel één die dicht bij de originele naam ligt, bv colour met ou en color met o. Een programmeur die dan de originele librarie aanroept vanuit zijn programma, maar zich mistikt heeft in zijn code, kan dus eigenlijk de malware code importeren. Die werkt exact als de originele, zodat niemand wat merkt, maar heeft ook nog wat extra functies ingebouwd.
Dit systeem wordt typo-squatting genoemd.

Infiltratie

Een paar computermisdaadzaken in de VS vertoonden een opvallende gelijkenis. De eerste is een afpersingszaak, waarbij militairen werden geviseerd. Die werden benaderd via datingsites, en er werd contact opgebouwd met verzonnen personen. Na het uitwisselen van foto’s werden ze dan afgeperst omdat het over minderjarigen zou gaan. De apersers maakten zo minstens een half miljoen dollar buit.

De tweede zaak gaat over het gebruiken van gestolen creditcard gegevens om via mobiele applicaties geld af te halen. Het geld werd doorgesluisd naar derden om er aankopen mee te doen.

In beide gevallen had de politie niet veel moeite om de daders achter de tralies te krijgen. Ze bleken te werken vanuit de gevangenis.

Niet vergezocht

In Brazilië kwam persoonlijke informatie van klanten van de telecom Sky Brasil beschikbaar op internet. Een beveiligingsonderzoeker vond gegevens van meer dan dertig miljoen klanten. De gegevens bevatten: naam, voornaam, straat, e-mail adres, login wachtwoord, ip adres, telefoonnummer , enz. De onderzoeker is zelf ook klant bij dat bedrijf en verwittigde het bedrijf, en dat stelde een wachtwoord in, waardoor de gegevens niet meer op te vragen waren. Maar ze waren al redelijk lang beschikbaar, en het zou dus kunnen dat ze al werden gekopieerd.

Persoonlijke informatie

RISC-V en Linux slaan de handen in elkaar. De Linux Foundation werkt daarvoor samen met de RISC-V Foundation. RISC-V Instruction Set Architecture is een pupulaire processor architectuur voor toepassing in IOT, embedded devices, enz.

Fabrikanten van apparaten houden van de open source RISC-V, die hen meer garanties geeft op onafhankelijkheid van processorfabrikanten, en die niet dichtgetimmerd is met patenten.
Bovendien moeten ze niet zoals bij andere commmercieel verkrijgbare RISC produkten bang zijn dat het specifieke model dat ze gebruiken door de fabrikant uit de handel wordt genomen en hen met het probleem achterlaat. Van de open architectuur kunnen verschillende fabrikanten hun uitvoering maken. NVIDIA en Western Digital zouden bv geïnteresseerd zijn om RISC-V te gaan gebruiken in hun produkten.

https://github.com/riscv/riscv-linux

RISC-V en Linux

RISC-V en Linux slaan de handen in elkaar. De Linux Foundation werkt daarvoor samen met de RISC-V Foundation. RISC-V Instruction Set Architecture is een pupulaire processor architectuur voor toepassing in IOT, embedded devices, enz.

Fabrikanten van apparaten houden van de open source RISC-V, die hen meer garanties geeft op onafhankelijkheid van processorfabrikanten, en die niet dichtgetimmerd is met patenten.
Bovendien moeten ze niet zoals bij andere commmercieel verkrijgbare RISC produkten bang zijn dat het specifieke model dat ze gebruiken door de fabrikant uit de handel wordt genomen en hen met het probleem achterlaat. Van de open architectuur kunnen verschillende fabrikanten hun uitvoering maken. NVIDIA en Western Digital zouden bv geïnteresseerd zijn om RISC-V te gaan gebruiken in hun produkten.

https://github.com/riscv/riscv-linux

Hoe encrypted?

Australië lijkt van plan om zijn politiediensten toegang te geven tot versleutelde berichten op WhatsApp en gelijkaardige diensten. Er werd een overeen komst gesloten tussen regering en oppositie om een wet goed te keuren in die richting. De internetbedrijven kunnen verplicht worden te helpen met het ontsleutelen, of achterdeurtjes in te bouwen voor de politie.

De eerste minister van Australië zegt dat de nieuwe wetgeving nodig is om terrorisme en georganiseerde misdaad te bestrijden.

Tegenstanders zeggen dat de veiligheid van het internet hiermee ondermijnd wordt, en de privacy in het gevaar komt.

Infiltratie

Het project van Node.js module met de naam event-stream had te maken met infiltratie, die leidde tot binnengesmokkelde malware code. De event-stream module is miljoenen keren gedownload, en het was de bedoeling van de infiltrant om bitcoins te stelen van de cmoputers van eindgebruikers waar de module zou terechtkomen.

In een eerste stap werd versie 3.3.6 aangevuld met een oorspronkelijk onschuldig stukje code met de naam “flatmap-stream”.
In een tweede stap, een paar maanden later, werd dit onderdeel geupdate met kwaadaardige code om bitcoins te stelen van computers die een wallet van Copay gebruiken. De gestolen bitcoins werden naar Kuala Lumpur gestuurd, in Maleisië.

Het bedrijf van de wallet geeft aan dat gebruikers met versies tussen 5.0.2 en 5.1.0 moeten upgraden naar 5.2.0.

Programmeurs die in hun programma de event-stream module gebruiken, hadden zelf geen last van de aanval, want die was niet tegen hen gericht. Wel tegen de code die deze programmeurs afleverden, daar werd de malware onmerkbaar voor de programmeur, in ingebouwd.

Dit systeem wordt een supply chain attack genoemd. Een ander voorbeeld deed zich voor in het python ecosysteem. Er werden maar liefst 12 besmette libraries aangetroffen.

De makers van de malware gebruikten een aantal bekende en veelgebruikte modules. Die kopieerden ze en registreerden ze onder een andere naam, maar wel één die dicht bij de originele naam ligt, bv colour met ou en color met o. Een programmeur die dan de originele librarie aanroept vanuit zijn programma, maar zich mistikt heeft in zijn code, kan dus eigenlijk de malware code importeren. Die werkt exact als de originele, zodat niemand wat merkt, maar heeft ook nog wat extra functies ingebouwd.
Dit systeem wordt typo-squatting genoemd.

Persoonlijke informatie

In Brazilië kwam persoonlijke informatie van klanten van de telecom Sky Brasil beschikbaar op internet. Een beveiligingsonderzoeker vond gegevens van meer dan dertig miljoen klanten. De gegevens bevatten: naam, voornaam, straat, e-mail adres, login wachtwoord, ip adres, telefoonnummer , enz. De onderzoeker is zelf ook klant bij dat bedrijf en verwittigde het bedrijf, en dat stelde een wachtwoord in, waardoor de gegevens niet meer op te vragen waren. Maar ze waren al redelijk lang beschikbaar, en het zou dus kunnen dat ze al werden gekopieerd.

Niet vergezocht

Een paar computermisdaadzaken in de VS vertoonden een opvallende gelijkenis. De eerste is een afpersingszaak, waarbij militairen werden geviseerd. Die werden benaderd via datingsites, en er werd contact opgebouwd met verzonnen personen. Na het uitwisselen van foto’s werden ze dan afgeperst omdat het over minderjarigen zou gaan. De apersers maakten zo minstens een half miljoen dollar buit.

De tweede zaak gaat over het gebruiken van gestolen creditcard gegevens om via mobiele applicaties geld af te halen. Het geld werd doorgesluisd naar derden om er aankopen mee te doen.

In beide gevallen had de politie niet veel moeite om de daders achter de tralies te krijgen. Ze bleken te werken vanuit de gevangenis.

compiled by BCP v.0.3.6

Lift ^ | Lift v | Comments Off