Search

Archives

Pages

Op mijn desktop:

Suggesties, commentaar, ... (klik of schrijf zelf:)e-mail webgang

Private

Laatste titels:

Tekenmarathon

Uitzending do 18:00 ** February 20th, 2020 by wim.webgang **

(nee niet de bloedzuigers)

Live uitzending vanuit de Academie van Antwerpen waar de tekenmatathon on/off doorgaat.

Een ruimte met echo met serieuze latency…

Lift ^ | Lift v | Comments Off

Watervos * Meer-verkeer-app * Python geheim

i-nieuws 6 na 6 ** February 20th, 2020 by wim.webgang **

Watervos

Een van de vele projecten die begonnen zijn op basis van de Mozilla Firefox browser code, heet Waterfox, dat startte in 2011. Deze browser hield vast aan de vroegere Firefox, zowel wat uitzicht als functionaliteit betrof.
Zo had die bv nog afgeronde tabblad-titels, in plaats van de huidige recht afgesneden vorm. Ook deed hij niet alle datacollectie die Firefox deed, en hij raadde zijn Waterfox aan als sneller en privacy-vriendelijk.

Critici merken op dat je als alternatief voor de gewone Firefox ook Firefox ESR kan gebruiken, waarop de code van Waterfox trouwens gebaseerd is. Bovendien merken ze op dat Waterfox trager is in het uitvoeren van beveiligingsupdates, en hoe meer Waterfox begint af te wijken van de originele Firefox, hoe ingewikkelder het zal worden om die integratie te doen.

De programmeur van Waterfox haalde inkomsten voor de ontwikkeling uit de zoekfunctie van de browser, die hij naar System1 leidde, dat er voor betaalde. Dat bedrijf heeft het Waterfox project nu helemaal overgenomen, zodat de ontwikkelaar zich kan toeleggen op de verder ontwikkeling van Waterfox. Het bedrijf had al verschillende andere open source projecten, die meestal te maken hadden met de taal R. Dat is zelf een vrije softwareomgeving en programmeertaal voor data-analyse en grafische weergave, en wordt veel gebruikt voor statistiek. System1 heeft allerlei projecten lopen zoals database en andere tools om te koppelen met de R programmeertaal. Ze doen zelf analyse op web-inhoud, gebruik, advertentiepraktijken, bot-detectie, enz. Voor Waterfox gebruikers op de verschillende platformen zou er niets veranderen volgens de ontwikkelaar.

Meer-verkeer-app

De nieuwe hippe vormen van vervoer, als Uber en Lyft, begint onder vuur te liggen. Steeds meer steden in de VS hebben hun vragen bij het voordeel voor de maatschappij van die diensten. Sommigen hebben ook al conclusies getrokken: diensten als Uber en Lyft nemen zorgen niet voor minder autoverkeer, maar juist voor meer. Dat staat in sterk contrast met wat de baas van Uber een paaar jaar geleden beweerde dat Uber mee het verkeersinfarct zou oplossen.
In Chicago en New York werd er al een heffing ingevoerd op de diensten. Het systeem heeft niet het samenrijden bevorderd, maar er eerder voor gezorgd dat Uber-chauffers doelloos rondrijden, wachtend op een nieuwe rit. Tot 40 procent van hun tijd. Bovendien trekken de diensten gebruikers weg van het openbaar vervoer, waarbij ze ook minder te voet gaan.
De stad van San Francisco gaf cijfers vrij waarin een studie van een universiteit meer dan een jaar geleden al tot de conclusie kwam dat de helft van de verkeerstoename van die diensten komt, en meer dan de helft van de vertraging door files in de stad te wijten is aan de nieuwe rittendeel-diensten. Bovendien wordt er weinig gedeeld, meestal is er slechts 1 passagier en niet 3 of 4. Dat heeft te maken met de keuze van de gebruikers, die liever meer betalen dan met meer in een auto te kruipen.

https://uknow.uky.edu/research/uber-lyft-contributing-congestion-major-us-city-according-uk-researcher

Python geheim

Een nieuwsgierige programmeur in de VS gebruikte een wet over openbaarheid van bestuur om het handboek voor Python van het NSA op te vragen.

Hij kreeg die blijkbaar op papier, en begon die in te scannen en om te zetten met OCR naar electronische versies. Dan heeft hij ze ge-upload naar het internet archief. Het levert een pdf op van 118 MB of bijna 400 bladzijden. Hier en daar ontbreken wel stukjes, die er door de censuur van de NSA zijn uitgehaald. Toch kan je er nog interessante vondsten doen, zoals het git platform dat de NSA hiervoor gebruikte (GitLab), en dat ze interne python libraries onderhouden, enz. Een python programmeur die de cursus inkeek concludeerde ook dat ze een Red Hat compatibel Linux systeem gebruiken, mogelijk RHEL of CentOS.

Wie zelf aan de slag wil met Python en een gratis handleiding zoekt, hier is de link:

https://archive.org/details/comp3321/page/n89/mode/2up/search/device

compiled by BCP v.0.4.7

Lift ^ | Lift v | Comments Off

De prijs van het milieu * Slimme mensen * WifiBotnet * Slimme computers * Versleutelde schijf

i-nieuws 6 na 6 ** February 13th, 2020 by wim.webgang **

WifiBotnet

De malware van Emotet was al berucht, maar is nu verder ontwikkeld.
Als een gebruiker besmet is, gaat de malware het mailverkeer bekijken en bestaande mails beantwoorden aan bestaande contacten, met een reply tekst die voor de correspondent dus herkenbaar is.
Aangezien de mail ook komt van een bekende correspondent, is de kans groot dat het slachtoffer niets door heeft en op de mail klikt. Dan wordt hij overgeleverd aan de malware, die bankinformatie verzamelt, andere malware installeert, en zich verder probeert te verspreiden.

Waar de malware vroeger verspreid werd via e-mail, kan ze nu ook gebruik maken van wifi netwerken. Besmette computers gaan alle wifi netwerken in de buurt inventariseren: het kijkt naar de naam van het netwerk, toegangsmethode en sterkte van het signaal. Dan gaat de malware proberen binnen te geraken door veelgebruikte wachtwoorden uit een lijstje te proberen. Eens binnen op het draadloos netwerk gaat de malware op zoek naar alle apparaten die het er kan vinden, met de voorkeur voor opslagapparaten als netwerkdrives. Er wordt gekeken welke gebruikers verbonden zijn met die opslag, en er wordt geprobeerd die gebruikers hun wachtwoord te raden. Als het niet lukt wordt geprobeerd het wachtwoord van de beheerder van het toestel te raden. Volgens onderzoekers is de code al twee jaar geleden gemaakt, maar is ze nu pas verspreid.
Ze lijkt vooral gevaarlijk in dichtbevolkte gebieden, waar buren elkaars netwerk kunnen zien… .

De prijs van het milieu

De natuur rondom de mens levert allerlei diensten voor die mens, en de waarde daarvan wordt pas duidelijk als die verdwijnen. Het Global Futures rapport maakte een voorzichtige schatting van wat dat de wereld gaat kosten over enkele tientallen jaren: 500 miljard per jaar. Dat gaat van koraalriffen die kustgebieden beschermen tegen stormen, insecten die gewassen bevruchten, watervoorraden die niet meer aangevuld worden, uitputting van visbestanden enz.
Het rapport van het WWF beperkt zich bewust tot 6 verschillende diensten die de natuur ons levert, dus het kostenplaatje zou nog kunnen oplopen als je de studie zou uitbreiden. Ze gaan uit van een geleidelijk verderzetten van het huidige menselijke gedrag, ze houden er geen rekening mee dat in sommige ecosystemen een kantelpunt kan overschreden worden waardoor veranderingen plots sneller gaan of een grotere impact hebben. De mens is er in geslaagd om 12 miljoen hectaren regenwoud te vernietigen, en veertig procent van de insecten zijn met uitroeien bedreigd. Op dertig jaar tijd zijn de koraalriffen gehalveerd.
Maar er is ook goed nieuws. Als de mens zijn economie omgooit naar duurzaam, en zich concentreert op het beschermen van de belangrijkste systemen als tropisch regenwoud, koraalriffen enz, dan kan de economie zelfs lichtjes groeien. Maar de beslissingen die nu genomen worden zullen bepalend zijn.
Het ‘Global Futures’ rapport over de werldwijde economische impact van het verlies van natuur verscheen op 12 februari op de site wwf.panda.org.

Slimme mensen

Om bij complexe problemen als de klimaatverandering de juiste onderzoeken te laten doen en de juiste beslissingen te nemen heeft een overheid slimme mensen nodig, en die kosten geld.
De regering van Trump vindt de voorwaarden die gesteld worden voor het aanwerven van overheidspersoneel een belemmering. Het duurt allemaal veel te lang en kost te veel. Ze willen de aanwervingen meer gaan doen als in de prive. Het witte huis vindt ook dat er te veel belang wordt gehecht aan diploma’s. Maar je zou het ook kunnen omdraaien, in de overheidsdiensten zitten dubbel zo veel slimme mensen als in de prive. Maar ook binnen de diensten zelf wordt geklaagd dat de aanwerfprocedure van 90 dagen voor bv IT en technologie-gerelateerde functies te lang zijn. Het talent is al gevlogen met zo’n trage aanwerfprocedures. In de voorstellen voor de begroting van 2021 wil de regering van Trump de aanwerf-frustratie aanpakken.

Slimme computers

Om voorspellingen te doen over complexe systemen zoals bepaalde ecosystemen of het wereldwijde klimaat heb je krachtige berekeningen nodig. En hoewel supercomputers ingezet kunnen worden, blijven het berekeningen die ook daarop uren duren. Er worden emulatoren gebruikt om gedetaileerde simulaties te benaderen, en die worden uitvoerig getraind om ze af te stellen. En nu wordt ook Kunstmatige Intelligentie ingezet om het proces te versnellen. De KI kan de emulatoren maken en doet dat sneller dan de mens. De nieuwe emulatoren worden gebaseerd op neurale netwerken, en die hebben veel minder training nodig dan de klassieke emulatoren. De nieuwe methode wordt DENSE genoemd, Deep Emulator Network Search, en moet nog onderworpen worden aan onderzoeken van andere wetenschappers om de techniek te bevestigen. Met de huidige resultaten kunnen de uitkomsten van simulaties veel nauwkeuriger worden of tot meer dan 100.000 keer sneller verkregen worden, en leiden tot het live modelleren met de data van een proef die gaande is, om zo de proef bij te sturen.
De toepassingsgebieden zijn fysica, sterrenkunde, geologie, klimaatwetenschappen.

Versleutelde schijf

Een man in de VS was bij een onderzoek opgepakt en werd gevraagd de code te geven om zijn in beslag genomen harde schijven te kunnen lezen. Die waren versleuteld zodat de politie de bestanden niet kon bekijken. Hij weigerde of beweerde dat hij zich de wachtwoorden niet meer kon herinneren, en werd voor deze belemmering van de rechtsgang vastgehouden.
Het probleem is ook dat de man niet extra beschuldigd kan worden van iets concreets, want daarvoor moet de politie eerst de harde schijven kunnen lezen.
Nu, na vier jaar cel, vind men het welletjes en werd de man terug losgelaten. Normaal kan je maximaal 18 maanden vastzitten voor het niet ontsleutelen van gegevens oordeelde een rechter nu in deze zaak.
Het is juridisch een moeilijke zaak: hoe lang mag een verdachte vastgehouden worden die geen toegang wil geven tot gegevens?

Voor een verdachte zelf zou de afweging kunnen zijn of de straf voor het niet geven van een wachtwoord groter is dan de straf die hem wacht bij het vinden van bezwarend materiaal. Maar aan de andere kant moet ook altijd rekening gehouden worden met de mogelijke onschuld.
In een afpersingszaak in Florida hadden beide verdachten van afpersing gezegd dat ze zich het wachtwoord van hun in beslag genomen smartphones niet kunnen herinneren.

compiled by BCP v.0.4.6

Lift ^ | Lift v | Comments Off

Fosdem 20 * Schatkamer 7 * Genomineerd * Spelgeheimen

i-nieuws 6 na 6 ** February 6th, 2020 by wim.webgang **

Fosdem 20

Zoals de naam doet vermoeden is het de 20e uitgave van Fosdem. Dat werd gevierd door gewoon weer een goede en gratis bijeenkomst van open source en free software programmeurs van over heel Europa en verder te organiseren. De locatie is hetzelfde gebleven: de universiteitscampus van de ULB, de Franstalige tegenhanger van de VUB.
In het overzicht van de video’s vind je een doorsnee van de lezingen die je kon bijwonen en die later op youtube zullen verschijnen.
Zo was er zondagmiddag een lezing met de -een beetje uitdagende- titel: Why the GPL is great for business.

Ook het hele schema met 870 events is nog na te lezen op https://fosdem.org/2020/schedule/events/

Schatkamer 7

Deze week werd de jury samengesteld voor een rechtszaak in de VS over het uitlekken van geheime informatie over hacking tools van de CIA naar WikiLeaks. Een vroegere werknemer van de CIA die zelf werkte op de afdeling waar de inbraaksoftware werd ontwikkeld, staat terecht.
De beschuldigde had ruzie met een collega en diende daar zelfs klacht tegen in wegens bedreigingen. Hij werd overgeplaatst naar een andere afdeling die niet dit soort software maakte, en hij verloor ook de toegangsrechten tot die systemen. Dat wist hij echter te omzeilen, en hij geraakte toch binnen en begon bestanden af te halen.
Meer dan 8000 pagina’s zou WikiLeaks in handen krijgen in een zaak die Vault 7 genoemd werd. Die werden in 2017 gepubliceerd.
Veel moeite om Joshua Schulte te klissen hadden ze niet. Hij kopieerde code van CIA werk naar een persoonlijke account op een publieke server voor open source code, GitHub. Hij deed dat onder een afkorting van zijn eigen naam, josh, en noemde de directory OSB Project Wizard.
Natuurlijk kan dat Project Wizard ook origineel code van hem zijn, van voor hij bij die afdeling van de CIA werkte. Hij had ook nog een groepje kameraden waarmee hij allerlei dingen deelde op een website die hij zelf registreerde en The Crypt noemde. In ieder geval is zijn online aktiviteit gemakkelijk te volgen want hij postte bv veel screenshots over zichzelf, waarin soms ook gegevens over zijn andere aktiviteiten staan zoals zijn pseudoniemen, en een overzicht van mails van zijn persoonlijke mailbox. Hij stak ook zijn aktivisme in wapenverspreiding niet onder stoelen of banken, evenmin als zijn rechtse en rascistische ideeën.

Verschillende getuigen van de CIA zelf zullen enkel achter gesloten deuren getuigen om hun identiteit te beschermen.

https://heavy.com/news/2019/09/valerie-plame-cia-agent-campaign-ad/

Spelgeheimen

In Californie heeft een man bekend de servers van Nintondo te hebben gekraakt. Hij gebruikte gegevens van een werknemer om binnen te geraken op de servers van Nintendo. Daar ging hij op zoek naar de plannen voor de toekomst van de spelfabrikant. Het is zeker dat hij nog een compaan had, maar die is voorlopig niet publiek geïdentificeerd.
De FBI zou de man gepakt hebben volgens documenten van het ministerie van justitie van december van vorig jaar. Daarin is te lezen dat hij beschuldigd wordt van Computer fraude en misbruik; dat hij succesvol wist binnen te dringen in de computers en servers van Nintendo of America.
Hij gebruikte valse identiteiten en gestolen certificaten om zijn slag te slaan.
Hij haalde duizenden bestanden af, en ging op zoek naar bestanden van de programmeurs en informatie over nog in ontwikkeling zijnde produkten.
Hij misbruikte die data zelf om Nintendo spelconsoles aan te passen, en hij speelde de gegevens ook door aan anderen, waarschijnlijk puur om er mee uit te kunnen pakken en zijn ego op te vijzelen. Zijn apparatuur, bestaande uit een paar Nintondo consoles, een macbook, een harde schijf en nog wat bijhorende spullen zijn in beslag genomen. Hij zou een paar honderdduizend dollar schadevergoeding moeten betalen aan Nintendo, en hij riskeert drie jaar cel.

Genomineerd

IT is weer in het nieuws dankzij de chaos bij de voorverkiezingen van de democratische partij in Iowa in de VS. Want ofwel kunnen de samenzweringstheorieën worden bovengehaald en heeft iemand het systeem gehackt om schade te berokkenen of de uitslag te beïnvloeden. Ofwel was er een probleem met de kwaliteit van de software of de opleiding van de gebruikers. Het is natuurlijk altijd spannend om een nieuw systeem te beginnen gebruiken bij iets heel belangrijks, zonder het op grote schaal getetst te hebben. In ieder geval waren er zo veel problemen dat resultaten telefonisch moesten doorgegeven worden, en waarschijnlijk manueel geteld. De democraten benadrukken wel dat ze bewust gezorg hebben voor een backup op papier, en dat ze daar nu perfect op kunnen terugvallen om de resultaten te tellen of na te tellen. Alleen het verzamelen van resultaten en berekenen van de uitslag is een probleem gebleken met de nieuwe software.
Kandidaat Joe Biden kon er in ieder geval niet mee lachen en sprak over ernstige tekortkomingen.
Aan de kant van de republikeinen werd wel gelachen, want Trump haalde een communistische uitziende score van meer dan 97 percent.

Maar veel van de vermoedens die verspreid werden, dat de systemen gehackt waren bv, bleken niet te kloppen. De website motherboard wist de hand te leggen op de app waar het over gaat, IowaReporter genaamd, in de vorm van een Android .apk bestand. Ze stapten ermee naar een aantal professionele veiligheids en softwarespecialisten, en lieten de app onderzoeken. Je zou denken dat zo’n belangrijke app op voorhand onderzocht wordt op de veiligheid ervan, en dat is ook wat het ministerie voor binnenlandse veiligheid in de VS had aangeboden, maar de democraten van Iowa moesten daar niets van weten.

Het bedrijf dat de app ontwikkelde heet Shadow Inc., en die verdedigen zich nu. De baas daarvan zegt dat er wel controles zijn gebeurd. Hij zegt dat de app op zich ok was, dat de data die uit de app kwam ok was, dat de berekeningen die in de app gedaan werden ok waren. Maar dan, bij de volgende stap, waarbij de data naar een server ging voor controle, ging het fout. En dat had te maken met de formattering van de gegevens.

Bovendien deden ook veel gebruikers een fout. Ze gaven de verkregen inlogcode op de verkeerde plaats in, waardoor de app niet werkte. De drie soorten gegevens die ze moesten invoeren waren allemaal 6 tekens lang, en veel onvoldoende medewerkers vergisten zich, of begrepen gewoon niet welke code diende voor wat.

Het bedrijf startte in augustus met de ontwikkeling van de app en had dus maar een paar maanden tijd. Ze hielden de app bewust eenvoudig, want complexiteit maakt de dingen maar erger.

De experten die de app in handen kregen, gingen met reverse engineering en andere technieken aan het werk om de app te onderzoeken. Ze hebben zo hun opmerkingen.

Voor de basis van de app werd gebruik gemaakt van een open source platform van Facebook, React Native.

De app moest de voorzitters laten inloggen met een toegangsnummer, een pin code en two factor authentication, wat een extra beveiliging is. Dan gaf de app wat basisinformatie.

De voorzitters moesten dan het totaal aantal aanwezigen ingeven. Dan moesten ze de resultaten van de eerste ronde ingeven, en die van de tweede ronde. Dan zou de app berekenen hoeveel afgevaardigden iedere kandidaat zou krijgen. Die resultaten moesten dan doorgestuurd worden naar een server.

De server bleek een cloud dienst van Google te zijn, opgezet door hetzelfde bedrijf dat de app ontwikkelde, shadow.

Tot daar alles goed volgens de betrokkenen. Maar die resultaten moesten dan doorgestuurd worden naar een server van de Democratische partij, die de data zou kontroleren.

Bij het klaarmaken van de data voor verzending ging er dan iets fout. De controles bij de server waar het binnenkwam gaven foutmeldingen. En dan begon het zoeken.

Twee weken voor de verkiezing waarschuwde John Sebes, chief technology officer van het Instituut voor Open Source Verkiezingstechnologie de democraten nog in een artikel op nbcnews:

https://www.nbcnews.com/tech/security/iowa-caucus-app-sparks-election-security-concerns-n1121581

Als je zelf eens wil kijken naar “the App that Blew Up the Iowa Caucus”

https://vice-sundry-assets-cdn.vice.com/sites/iowa-caucus-app/iowa-caucus-app.apk

compiled by BCP v.0.4.6

Lift ^ | Lift v | Comments Off