WebGang/CityGang

Sourceforge stil

De sourceforge.net website was woensdagochtend in zogenaamde “static offline mode”, m.a.w. niet te gebruiken. Er was wel een vervangsite bereikbaar, met de melding dat tijdelijk slechts een beperkt deel van de site beschikbaar was. Een tweet vermeldde dat sourceforge problemen had, zonder ze in detail te beschrijven. Ze beweren het probleem wel geïdentificeerd te hebben, en hopen tegen de avond terug volledig online te zijn, maar tegen 9 uur leek de site al terug volledig te werken.
In juli 2016 had de site ook een serieuze uitval, die nadien toegeschreven werd aan een combinatie van problemen. Die begonnen toen met disk errors, en gingen tot problemen met de dns load balancers. In geval dat de website grote problemen heeft, communiceren ze via twitter. Dat is een kanaal dat helemaal buiten hun eigen infrastructuur ligt, en daardoor als backup kan dienen voor communicatie die normaal via hun eigen site gaat. Het is een complexe site waar veel elementen aan elkaar gekopppeld zijn, met opslag, download, e-mail, blog, gebruikersbeheer, versioning, enz.
Sourceforge is een site waar open source softwareprojecten op beheerd worden, en de programmeurs kunnen die nu dus niet gebruiken. De site dient ook om documentatie uit te wisselen, en te communiceren over het programmeerproject, dus ontwikkelaars hadden woensdag bijna een dagje vrij kunnen hebben.

https://sourceforge.net/blog/category/sitestatus/

Slashdot stil
Woensdagavond was de slashdot site gedeeltelijk onbereikbaar. Op sommige pagina’s stond er enkel een bericht :

503 – Service Offline
Slashdot is presently in offline mode. Only the front page and story pages linked from the front page are available in this mode. Please try again later.

De voorpagina was inderdaad nog wel bereikbaar, en daarop staan titels en samenvattingen van artikels. Ook
de eerste link kon je nog volgen. Maar het meest recente artikel was van dinsdag, dus het insturen van verhalen en het publiceren ervan lag blijkbaar al even stil. Commentaren op nieuwsberichten waren nog wel gedateerd tot woensdag iets na middernacht.
Veel andere pagina’s, zoals die waar je een verhaal kan insturen of de login pagina waren niet bereikbaar.
De reklame werkte nog wel.
Volgens een site die de bereikbaaarheid van websites meet, was slashdot “down” rond 16:00 onze tijd.
Ze verwijzen op hun site niet naar hun twitter account, maar als je daar gaat kijken vind je op dinsdag rond 13:00 een bericht:

Slashdot.org is experiencing some issues. Cause is identified. We’re working on it & hope to have full capacity back later today.

Je vind er ook recentere artikels dan op de site, maar ze zijn natuurlijk samengevat in 140 letters.
Uit de chronologie op twitter is de uitval gebeurd na de publicatie van een artikel over de NSA die meer dan honderdduizend buitenlanders zou bespied hebben het voorbije jaar, en dat in een tijdelijk programma dat binnenkort eventueel moet verlengd worden.
Dat het tijdstip van de problemen ongeveer overeenkomt met problemen bij Sourceforge is misschien geen toeval. De sites maken allebei onderdeel uit van eenzelfde uitgever.

Equifax afscheid

De topman is plotseling gepensioneerd bij de Amerikaanse kredietwaardigheidsonderzoeker Equifax. Dat bedrijf heb je hier een paar weken geleden nog gehoord met hun login en wachtwoord combinatie admin/admin, en voorheen met het verlies van gegevens en of het op het internet blootstellen van meer dan 140 miljoen VS-burgers waarvan Equifax de kredietwaardigheid onderzoekt. Enkele mede-topmensen van het bedrijf verkochten hun aandelen voor een gezamelijke waarde van 2 miljoen enkele dagen nadat het massale datalek ontdekt was.
Los daarvan waren er ook tienduizenden klachten over foutieve gegevens in de databanken.

Het bedrijf is duizenden medewerkers aktief in een tiental landen. De topman verdiende in 2016 1,45 miljoen dollar, en had een bonus van meer dan het dubbele ervan. Zijn bonus zal hij dit jaar wel kunnen vergeten, maar meestal is er voor het ontslag van zo’n topman een gunstig valnet voorzien. Bij hem zou dat ondermeer zo’n 18 miljoen in pensioenrechten bedragen.
Toch zal hij volgende maand nog een paar dagen moeten werken, want hij is voor een paar comissies gedaagd, onder andere 4 oktober in de senaat.
Equifax zoekt dus een nieuwe CEO.

De gevolgen voor de consumenten zijn ook niet mis: met de gelekte gegevens (inclusief social security number) kan gemakkelijk frauduleus in iemands naam iets gedaan worden als aankopen, rekeningen openen, huren, enz. Daardoor kan diens naam nadien als minder kredietwaardig beoordeeld worden…

Meer Twitterletters
Zoals we al vroeger aankondigden, is twitter begonnen met een beperkte test waarbij ze het aantal tekens uitbreiden naar 280. Daarmee verlies twitter misschien wat van zijn eigenheid, want het was aantrekkelijk omdat het beperkt was. Dat leverde immers niet alleen frustratie op voor wie boven 140 letters uitkwam, maar ook creativiteit, en dat maakte het medium mee hip. Denk bv aan de naam in 2006, die geschreven werd als twttr. In 2009 heette hun conferentie in New York eenvoudigweg “140 characters”. In 2011 is er een twitter client of gebruikersprogramma van een ander bedrijf, TweetDeck. Die brengen in februari dat jaar een versie uit waarbij TweetDeck gebruikers onderling meer letters kunnen gebruiken. Enkele maanden later koopt Twitter TweetDeck op en past de limiet terug aan naar 140.
Later zal men zich misschien afvragen waarom twitter juist 280 tekens toelaat, en niet bv 200 of 300. Twitter denkt dat de gebruikers het gemakkelijk kunnen onthouden omdat het exact het dubbele is van nu, nl 140 tekens. Dus is de vraag waar die 140 dan vandaankomt. Twitter baseerde zich oorspronkelijk op het sms-bericht, en toen ze nog geen twitter programma’s hadden gebruikten ze ook sms berichten als aanvoer. Een sms bericht heeft 160 tekens.
Ze haalden er 20 af voor de afzendernaam en wat controletekens. Dat verklaart ook onmiddellijk waarom een twitter gebruikersnaam beperkt is tot 15 tekens.

Nuttige HAM
Radio Amateurs, in de VS met de afkorting “HAM” aangeduid, zijn opgeroepen door het rode kruis om zich aan te melden om als vrijwilliger te gaan werken in Puerto Rico. Daar zouden ze twee a drie weken nuttig werk kunnen verrichten, omdat de meeste communicatie infrastructuur-stilligt. Radio-amateurs kunnen medische berichten en andere belangrijke communicatie uitwisselen die kan helpen bij reddingsakties .
De Amerikaanse radio-amateurs zijn verenigd in de National Association for Amateur Radio, ARRL.

Goodbye Levy
Het Amerikaanse Duke Energy heeft jaren besteed aan onderzoek naar de bouw van de Levy County kerncentrale. De kerncentrale moest 2.2 Gigawatt gaan produceren, dat komt in de buurt van het groepje reaktoren in Doel. In 2008 werd het plan voorgesteld, en sindsdien werd er voor honderden miljoenen voorbereidend werk gedaan. Maar het werd stilaan duidelijk dat er weinig kans was dat ze er ooit een dollar aan zouden verdienen. Bovendien bleek het ook niet meer zo gemakkelijk om aan de nodige vergunningen te geraken, en het doel van produceren rond 2017 kwam in het gedrang. In augustus 2013 zegden ze de overeenkomst op, met voorbehoud van op die site in Levy County en Florida toch ooit een nucleaire aktiviteit te ontwikkelen in de toekomst. Daarop volgde een rechtszaak, eerder een reeks rechtszaken, die nu eindigden in een overeenkomt met een verrassende wending. De kosten van het nucleaire onderzoek worden afgeschreven, en het bedrijf investeert in 700 MegaWatt zonne-energie-installaties. Dat wordt gecombineerd met slimme meters en een tarief dat afhankelijk is van het moment van de dag. En ook wordt er geïnvesteerd in een mega-capaciteit aan batterijen. Uiteindelijk zullen de klanten waarschijnlijk beter af zijn, want de uit de pan rijzende kosten voor de nucleaire centrale zou een serieuze prijsverhoging hebben veroorzaakt. Nu blijven ze normaal rond het gemmiddelde prijsniveau van andere staten.

Open routers
Veiligheidsonderzoekers in de VS hebben weer een combinatie modem-operator gevonden waar modems die de klanten thuis hebben staan om hun internetverbinding te leveren, bijzondere onveiligheden vertoonden.
Daardoor zou met een eenvoudige aanval en een beetje malware de controle over de router kunnen overgenomen worden. De onderzoekers wijzen op de geschiedenis van veiligheid negeren van één van de betrokken bedrijven, Arris. De toestellen werden verdeeld door een dienst van AT&T.
De onderzoekers publiceerden een rapport onder de naam “Sharknatto” waarin ze uitgebreid ingaan op de problemen. Eén van de vermeldingen gaat over een vast ingestelde combinatie gebruikersnaam en wachtwoord voor ssh toegang.

https://www.nomotion.net/blog/sharknatto/

Open Cloud
Voor wie nog niet overtuigd is van de voordelen van de “Cloud”: het argument dat er snel iets fout kan gaan, met grote gevolgen wordt kracht bijgezet door een pijnlijk voorval in de VS. Een hele berg profielen van mensen met het veiligheidsstatuut dat nodig is om voor de geheime dienst te werken, is op het internet terechtgekomen, in het bereik van iedereen. De fout gebeurde door het bedrijf dat de sollicitaties afnam, een onderaannemer van een beveiligingsbedrijf. Die gebruikten een cloud service S3 van Amazon, meer bepaald een “bucket” om de gegevens op te slaan. Die bleek verkeerd geconfigureerd te zijn, waardoor iedereen aan de gegevens kon. In principe is (volgens de handleidingen) zo’n bucket privé bij het aanmaken, dus het lijkt dat de fout nadien gebeurd is.
Bijna tienduizend documenten waren te vinden in dat uitgelekt emmertje. En aangezien het gaat over mensen die voor de geheime dienst kunnen gaan werken, is het een zeer pijnlijke zaak. Soms bevatte ze naast contactgegevens ook bv de opdrachtengeschiedenis van militairen.

Steenkooltijdperk
Finland werkt aan wetgeving om steenkool buiten gebruik te stellen. Ze zullen daarvoor de taxen opvoeren en andere maatregelen nemen, om uiteindelijk in 2030 steenkool volledig te verbieden. Momenteel draait nog zo’n tien procent van de energieproduktie op steenkool in Finland.

Plat werk
Eén van de mensen die beseften hoe weinig privacy en/of zekerheid er bestaat over eender welke data op je harde schijf, was de schrijver Terry Pratchett. Hij had in zijn testament bepaald dat als hij zou sterven, zijn computer met een pletwals moest overreden worden om alles waar hij op dat moment aan het werken was definitief te vernietigen.
Hij stierf twee jaar geleden, en nabestaanden hebben nu gevolg gegeven aan zijn wens. Ze postten een foto op twitter met zijn harde schijf en op de achtergrond een stoompletwals. Even later werd een foto gepost van de platgereden harde schijf. Die zal nadien tentoongesteld worden in een museum.

Dit is pas echte een “harde schijf”: https://twitter.com/terryandrob/status/901037198665019392

Nova

In de nacht van 11 maart dook in de zuidkoreaanse lucht een licht op, plotseling.

Astronomen namen nota van het voorval, maar hadden geen verklaring. Nu zou je misschien denken aan een raket van NoordKorea, maar dit verschijnsel vond plaats in maart van het jaar 1437, dus lang voor de scheiding van noord en zuid korea.

Dat licht, als van een ster, bleef zo n twee weken staan schijnen. Daarna verdween het even plots als het gekomen was.
Astronomen van nu hebben wel een verklaring gevonden. Ze zijn er wel 30 jaar mee bezig geweest om de oorzaak te vinden, maar nu hebben ze het.

Er vond een cosmische explosie plaats, veroorzaakt door ster die een andere verslindt. Dat gebeurt in een systeem met twee sterren, waar de witte dwerg over een tijd van honderdduizenden jaren gassen aantrekt van de andere ster. Na verloop van tijd leidt dat tot een explosie met de kracht van 300.000 keer onze zon. Nu zou er enkel nog een gloeiende massa gas en stof van overblijven van de nova.

Electrische truck

Terwijl Tesla droomt en praat over een electrische vrachtwagen, is er een bedrijf dat een concept van een electrische truck klaar heeft. Het is de trekker van een vrachtwagen van 22 ton, en heet aeos. De batterij zorgt voor 140 kWh energie, en dat is eerder geschikt voor 160 km stadsritjes dan voor kilometers vreten op de snelweg.
Het bedrijf dat de truck maakt mikt niet enkel op electrische trucks, ze maken ook uitvoeringen met gas en dieselmotoren. De electrische moet in 2019 in productie gaan.

Privacy grapjes

Uber heeft een goede grap bedacht. Ze gaan je toelaten de instellingen van de uber app te wijzigen zodat je niet verder bespioneerd wordt nadat je bent uitgestapt van je Uber rit. Je moet dan wel de instelling veranderen.

Wie zich ook thuis wil laten bespioneren kan zich wenden tot de vele digitale assistenten, zoals die van Google. Daar werd aangekondigd dat andere fabrikanten van luidsprekers hun Assistant gaan ondersteunen. Nog meer data te verzamelen…

Achterdeurtjes

Google is nog altijd bezig zijn app store uit te kuizen. Ze hebben nu enkele honderden apps verwijderd nadat onderzoekers ze aanwezen als “achterdeurprogramma’s”. De meesten bevatten een advertentieplugin die gebruikt wordt om spyware binnen te halen.
De programma’s zelf werden aangeboden als reisplanners, leerapps, apps voor het opvolgen van je gezondheid, fitnessprestaties, weer, enz.
De onderzoekers die het ontdekten zagen dat de malware apps samen miljoenen downloads haalden.
Sommige app ontwikkelaars die niet beseften dat ze een malware toolkit gebruikten, kregen kans om hun app uit te kuisen. Het probleem was een tool die eerst wel goed werkte, maar zo geprogrammeerd was dat hij daarna zichzelf update. Met die update werd de malware geïnstalleerd. Dus niet alleen de gebruikers van die apps waren slachtoffers, maar ook de ontwikkelaars van die apps.

Chrome verdediging
Google heeft ook zijn Chrome browser aangepast om gebruikers beter te beschermen tegen malware. De browser waarschuwt nu als er iets verandert aan de proxy instellingen. Via die proxy instellingen kan malware het internetverkeer van een gebruiker ongemerkt afleiden naar eigen servers. Dat doen malware makers bv om advertenties in te lassen om daar geld mee te verdienen. Met de waarschuwing komt ook een keuzeknop om de instellingen terug standaard te zetten, zodat gewone gebruikers zonder veel kennis van zaken de situatie met één klik kunnen rechtzetten.
De proxy verdediging is een jaar lang getest, en gaat nu breder verspreid worden via Google Chrome met bijnaam Canary en versienummer v62.x.

Mini antennes
Een onderzoeker aan de universiteit van Boston heeft een studie uitgegeven waaruit blijkt dat er een nieuw type antenne ontwikkeld kan worden die veel kleiner is dan de huidige. Het systeem gebruikt een combinatie van piezo-magnetisch en piezo-electrisch materiaal.
Labo-proeven tonen aan dat de antennes tot honderdduizend keer efficiënter zijn.
De antennes kunnen zeer klein zijn, tot millimeters, en laten weer heel wat nieuwe toepassingen toe.
Natuurlijk is het nog afwachten wat het effect zal zijn van een normale electrische-magnetisch-akoustisch gemengde omgeving in plaats van een speciaal afgeschermd labo.

Privacy in India
Het hooggerechtshof in India heeft unaniem beslist dat privacy een grondrecht is. Die uitspraak is belangrijk, want India is bezig met het uitrollen van een groot programma om iedereen te identificeren. De overheid had zich niet al te veel zorgen gemaakt over de privacy, want ze beschouwde dat niet als een verworven recht. Vroeger waren er ook al klachten over het slecht uitgebouwde en slecht beheerde systeem.

Roku OS nummer 1

Linux is niet alleen het meestgebruikte besturingssysteem voor smartphones, maar ook voor streaming media spelers. De Roku media player is nummer één geworden in de VS, voor Amazon en Chromecast. Roku bracht bijna tien jaar geleden zijn eerste netflix player uit, gebouwd op een Linux kernel.
De Roku players zijn echter gesloten apparaten, de Linux die erin zit is niet rechtstreeks bereikbaar voor de gebruikers. Ze noemen het Roku OS. Ze voldoen wel aan de licentieafspraken van Linux, en publiceren ook de nodige softwarewijzigingen die ze doen aan het systeem op roku.app.box.com.

Maar Roku doet het dus steeds beter, en ze zijn volgens de Wall Street Journal onderweg naar een beursgang.

Hieronder de link naar de Open Source software

https://roku.app.box.com/v/RokuOpenSourceSoftware

https://www.roku.com/separatelylicensedcode

Krantenwinkel of museum?

Je kan in zo’n kranten en tijdschriftenwinkeltje hier (Wimereux, Rue Carnot 50 denk ik, blauw tijdschriften en allerlei rommelwinkeltje op een hoek) nog wel eens een oud tijdschrift vinden. Helaas zijn er een aantal uitgaven waarop GEEN DATUM vermeld staat. Redelijk ergerlijk, zeker als je ze dan koopt zonder door te hebben dat het al een nummer van jaren geleden is. En ook zonder uitleg, verklaring, of er een korting op te krijgen. Bv “Linux Pratique”, “Hors-série 30″ thema-nummer over Raspberry Pi: zonder blozen verkocht voor 12,90 €. Er is nu inderdaad zo’n themanummer uit, met dezelfde kleuren, maar dat draagt wel het nummer 38!

Omgekeerde piraterij
Het is eigenlijk omgekeerde piraterij: mensen die geld willen uitgeven voor een papieren versie van up-to-date informatie (terwijl ze er eindelijke eens tijd voor hebben – op vakantie) worden geript.
Ik zoek me een breuk naar mijn betaalbewijsje tot ik me herinner dat ze geen betaalkaart aanvaardden, alleen cash. Alleen het ooglapje ontbrak nog…

Piratenvlag?
Pas bij het buitengaan zie ik dat op het naambord boven de deur twee dikke zwarte strepen geplakt zijn over wat waarschijnlijk ooit de naam “Mag Press” geweest is (G. Streetview) Bones?.

Pirate Informatique
Wie wat wil bijlezen over Linux in het Frans en er geen geld wil uitgeven: Eén van de hier te vinden publicaties heet: “Pirate Informatique”, maar er zijn heel wat meer tijdschriften te vinden, waaronder het hierboven voor volle prijs gekochte “LES GUIDES DE LINUX PRATIQUE, HORS-SéRIE N° 3O: RASPBERRY PI”.
Meest recente werk is van rond 2015, soms is het meer geschiedenisles over Linux in het Frans, terug in de tijd tot 2001!

https://doc.lagout.org/operating%20system%20/linux/GNU_Linux_Magazine/

Piratenindustrie
Groot mediabedrijf Warner heeft gebruik gemaakt van het systeem van YouTube om misbruik van auteursrechtelijk beschermd werk te claimen, het YouTube’s Content ID System. https://support.google.com/youtube/answer/6013276?hl=en. Via dat systeem kan de eigenaar van auteursrechtelijke beschermd werk, meestal de muziek die bij youtube filmpjes gebruikt wordt, rechten doen gelden op zijn werk. Dat kan betekenen het gebruik verbieden, het filmpje blokkeren, maar ook bv reklameinkomsten eisen uit het vertonen van het werk. Dat kan dan betekenen dat er reklame getoond wordt voor, of tijdens je filmpje, en dat de uitgeverij van de muziek daar de inkomsten uit krijgt. Alle inkomsten meestal. Het is bijna een luxe geworden voor de uitgeverijen: wacht tot iemand iets creatiefs doet waarin je muziek voorkomt, selecteer op het moment dat het een interessant aantal hits krijgt, en stuur dan via een webplatform je claim.
Soms een beetje te gemakkelijk, want het populaire kanaal Auralnauts kreeg een vreemde claim. Ze hadden een tribute gemaakt voor de schrijver van de filmmuziek van een Star Wars film, en maakten een montage waarin ze het belang van de muziek wilden aantonen. Dat deden ze door de muziek er juist helemaal uit te halen, maar wel enkele banale geluiden als kuchen en handklappen er in te laten.
Nu kregen ze dus een claim voor de muziek bij dat filmpje:

https://www.wired.com/story/the-star-wars-video-that-baffled-youtubes-copyright-cops/

Vastgezet
In de VS heeft de FCC een regel ingevoerd die fabrikanten van draadloze toestellen oplegt om de gebruikers niets te laten veranderen aan het zender deel, mer bepaald bij wifi routers.
De fabrikanten zouden dan een aanpassing moeten doen waarbij ze het stuk met de zendfrequenties en de zendsterkte apart houden. Maar in de praktijk doen de fabrikanten niet die moeite, en ze sluiten gewoon heel de toegang tot de firmware af.
Gevolg: nu kunnen de gebruikers helemaal niets meer veranderen aan het systeem dat op de wifi routers draait. Hiermee schiet de maatregel zijn doel ver voorbij, en is hij zelfs strijdig met de “right to repair” principes. Het is een totale trendbreuk met wat gaande was: open source software als Tomato, DD-WRT , OpenWRT enz, die geïnstalleerd kon worden door gebruikers op standaard routers. De fabrikanten van de routers markeerden hun producten soms zelfs als “open source Ready” of “compatible”, en sommige producten verkregen hun roem doordat er een open source systeem voor bestond.
Gebruikers vrezen nu dat dat gaat verdwijnen, hoewel de FCC heeft geantwoord dat dat helemaal niet hun bedoeling was. In de praktijjk blijkt het in ieder geval niet meer mogelijk die open source systemen te installeren op nieuwe apparaten. Niet alleen in de VS, maar ook in Europa, want de luiheid van de fabrikanten maakt geen onderscheid voor ons. De FCC gaf wel toe dat hun tekst naar fabrikanten misschien aanleiding gaf tot foute interpretatie, en ze beloofden die aan te passen, maar ondertussen is het kwaad al geschied. Ontwikkelaars van de open source versies wijzen op verschillende problemen, zoals de veiligheid van onze internet en netwerkverbindingen, die zonder de open source systemen niet meer gegarandeerd kan worden. Denk maar aan fabrikanten die “backdoors” inbouwen, die nadien misbruikt worden door criminele botnets..

Zullen fabrikanten de moeite en/of investering doen om de nieuwe regels te gebruiken in toekomstige apparaten? Dat hangt mogelijk mee af van de reakties van de klanten. Uiteindelijk leverde de snel evoluerende open source systemen voor de wifi routers dikwijkls correcties op fouten in het originele systeem, meer mogelijkheden zoals een echt werkende ipv6, garandeerde updates enz.

fcc reaktie, en de reakties daarop:

https://www.fcc.gov/news-events/blog/2015/11/12/clearing-air-wi-fi-software-updates

Backhack

Microsoft heeft zware tijden nu steeds meer computerinbraken leiden tot negatieve publiciteit voor hun systeem. Van een aantal aanvallen die vanuit Rusland schijnen te gebeuren, hebben ze het meeste last, en de groep erachter wordt “elegante beer” genoemd.
Eens die groep in een computer binengeraakt, en erin slaagt om malware te installeren om die computer vanop afstand opdrachten te geven, wordt die computer een slaafs deel van hun botnet. Door al die slaaf-computers tegelijk een bepaalde server aan te laten vallen, krijgt de “elegante beer” groep een computerkracht die een veelvoud is van wat ze zelf zouden kunnen. Bovendien gebeurt de aanval niet rechtstreeks vanop hun eigen systeem, en blijven ze zelf buiten schot.

Er lijkt niet veel tegen te beginnen, maar één van de zwakke punten zit in de weg langs waar de elegante beer de andere coputers commando’s stuurt. Ze gebruiken daarvoor zogenaamde “command and control” servers, dat zijn de meesters waar de slaven naar luisteren. De slaaf-computers contacteren regelmatig hun meesters door instructies te vragen aan de command en control servers. Die vraag gaat over het internet, en net zoals bij e-mail en websites wordt daarvoor een internet naam gebruikt. Elegante beer registreert daarvoor overal ter wereld goedkope domeinnamen, die lijken op namen van bestaande internetdiensten, computerbedrijven of software. Als iemand dan het internetverkeer controleert lijkt er niets verdacht te gebeuren; internetverkeer naar bv “livemicrosoft.net of rsshotmail.com ziet er normaal uit, je weet immers niet wat microsoft vanuit zijn windows systeem allemaal doet en doorstuurt.
Microsoft zet nu zijn juridische diensten in om via de rechtbank de domeinnamen op te eisen. Ze gebruiken immers bestaande geregistreerde merknamen van Microsoft producten of diensten. Na een succesvolle procedure wordt de controle over de domeinnaam overgedragen aan Microsoft, die dan al het verkeer naar die servers afleidt naar hun eigen servers. Daar kunnen ze dan statistiekjes bijhouden van de vragen die aankomen, wat een beeld geeft op het aantal besmette computers.

Voorlopig niet gedocumenteerd, maar hiermee lijkt het perfect mogelijk dat Microsoft in plaats van enkel maar te luisteren naar de vraag om commando’s, en ze te tellen, ook effectief commando’s gaat sturen naar de besmette computers. Ze zouden ze dan kunnen inzetten voor een tegenaanval tegen Elegante beer, maar dat zou juridisch waarschijnlijk niet te verantwoorden zijn. Een andere optie is dat ze de een upgrade sturen om de besmette computers beter te beveiligen, enventueel speciale code om de malwaret te verwijderen en de computer terug clean te maken. Daarmee zouden ze het probleem oplossen en toekomstige problemen voorkomen. Maar ook hier blijft de vraag of dat zomaar kan zonder instemming van de eigenaar van de computer. Misschien moeten ze het voorzien in de toekomstige gebruikersvoorwaarden, de kleine lettertjes die niemand leest. Of misschien is het al voorzien? …

Ether gestolen
Een computerinbreker is aan de haal gegaan met meer dan 153.000 ether, goed voor dertig miljoen dollar. Die zaten in een Ethereum portefeuille programma, een software waarmee de digitale munt bewaard wordt.
Die software, Parity client 1.5, had echter een kleine onvolkomenheid, en dat werd door de hacker uitgebuit.
Maar Parity, het bedrijf dat de parity client software maakt, ontdekte onmiddellijk dat er een probleem was.
Ze publiceerden een waarschuwing op hun website.

Maar dat houdt misbruik van andere kwetsbare gebruikers natuurlijk niet tegen.

Al snel bleek dat een groot aantal andere portefeuilles met dezelfde software versie ook leeg waren. Maar dat zou zijn gebeurd door een groep zoganaamde white hat hackers die samenwerken met het bedrijf Parity.
Als de beveiliging is hersteld zouden ze het digitale geld terugstorten. Het gaat over meer dan 300.000 ether, wat overeenkomt met 76 miljoen dollar.

Sporen van de diefstal-transactie zijn terug te vinden op de Etherscan website:

https://etherscan.io/address/0xb3764761e297d6f121e79c32a65829cd1ddb4d32

[SECURITY ALERT] See Parity multi-sig wallet vulnerability post @ParityTech https://goo.gl/JZVdYc

De oprichter van ethereum, een blockchain systeem vergelijkbaar met bitcoin, maar toch verschillend, waarschuwt voor zeepbel-effecten rond de Ethereum.
Digitaal ethereum-geld, ook wel ether genoemd, is het laatste jaar spectaculair in waarde gestegen, liefst 1700 procent. Dat is mogelijk in gang gezet door een andere munt, de bitcoin, die een hoge waarde heeft gekregen in vergelijking met zijn beginperiode. Daardoor trekt een nieuwere digitale munt als ethereum speculatieve investeerders aan. De oprichters zijn daar eigenlijk niet zo blij mee.
Een medeoprichter noemde het al een tikkende tijdbom.

https://www.ethereum.org/

Buitenlandse werknemers in Trumpland

Wie herinnert zich nog de Trump campagne waarin die afgaf op goedkope buitenlandse werkkrachten? Al het werk moest toch terug naar Amerikanen gaan? IT-ers keken misschien reikhalzend uit naar zijn beleid, want in de IT sektor sneuvelden veel banen door het uitbesteden van programmeer- en ander IT werk. En nu dan de feiten; het ministerie van “Homeland Security” heeft bekend gemaakt dat ze 40 procent meer buitenlandse werknemers gaan toelaten met H-2B visa’s. Dit is een tijdelijk programma, geldig voor dit jaar, en gericht op de tourisme, bouw- en visvangstsektor; IT-ers moeten dus niet bang zijn. Bovendien moeten de bedrijven die een aanvraag indienen argumenteren dat ze een onherstelbaar verlies zullen leiden als ze geen extra H-2B werknemers kunnen inschakelen in 2017.

Privacy in Trumpland

De administratie van Trump had een oproep gedaan naar het Amerikaanse publiek om per e-mail melding te doen van fraude en/of onregelmatigheden in verband met de verkiezingen.
Ze richtten daarvoor de “Voter Integrity Commision” op.
Die heeft nu een rapport gepubliceerd op de site van het witte huis. In dat rapport zitten meer dan honderd e-mails van burgers. In die e-mails staan soms namen, e-mail adressen, soms zelfs telefoonnummers enz. Waarschijnlijk hadden de klagers niet verwacht dat hun gegevens in een rapport zouden gepubliceerd worden. Maar het viel wel op dat de naam en het e-mail adres van de ambtenaar die de mails behandelde en het dossier opstelde, wel onleesbaar gemaakt werd.
De commissie kwam al eerder in de aandacht omdat ze alle gegevens van de kiezers, inclusief kiesgeschiedenis, opvroeg van de staten. Sommige staten weigerden gewoon de gegevens in te sturen.

Malware aktief

Internetbedrijven krijgen het steeds moeilijker met malware op hun systemen. Zo had twitter te maken met een systematische aanmaak van valse twitter accounts, meer dan tachtigduizend. Die werden geruime tijd geleden gemaakt en sluimerden onopvallend tot ze onverdacht door de controlesystemen van twitter glipten. Daarna werden ze gebruikt via een botnet dat probeerde verkeer te genereren naar dating en “romance” websites. Waarschijnlijk was het opgezet om gebruikers te lokken voor betalenden porno websites.
Het succes van het botnet kon afgelezen worden via een google dienst, van ze verstopten hun website adressen achter korte links van Google. Daardoor worden de kliks echter geteld door Google; het zou zo rond dertig miljoen clicks gaan.
Ondermeer Brain Krebs, bekend van ander onderzoek naar frauduleus internetgebruik, heeft er over geschrven in een artikel: “Inside a Porn-Pimping Spam Botnet”

https://krebsonsecurity.com/2017/06/inside-a-porn-pimping-spam-botnet/

Malware aktief II

Ook Google had last van een grote phishing aanval op zijn Docs dienst. Er werd een mail verstuurd van een valse afzender, en de ontvanger werd verleid om te klikken op een link die naar Google Docs leidde, waarvoor hij dan zijn wachtwoord moest ingeven. Daarna werd het adresboek leeggezogen en gebruikt om spam naar te sturen.

Google gaat nu een strengere controle inbouwen op apps die toegang krijgen tot de docs van de gebruiker. Google Chrome zal aangeven dat een website “rood” uitslaat als hij niet vertrouwd wordt, en ook sommige apps zullen een test moeten doorstaan. Zo moet je bv zelf letterlijk “continue” typen in de advanced settings om door de beveiliging van een niet-zeker app te geraken.

Eeuwig jonge kernel
OpenBSD is een nieuwe manier van werken met de kernel aan het testen. Ze willen dat de kernel van OpenBSD steeds anders is na het opstarten. Telkens wordt een nieuwe kernel gegenereerd, die binair iets zal verschillen van de vorige keer dat gestart werd. Behalve bv updates die erin verwerkt zullen zijn, zal ook de volgorde van een aantal onderdelen van de kernel anders zijn, doordat ze in een willekeurige volgorde worden gelinkt. Het systeem word KARL genoemd, Kernel Address Randomized Link, en is ontwikkeld door Theo de Raadt en Robert Peichaer.
Deze eigenaardigheid maakt het moeilijker voor malware om het systeem aan te tasten. Het is onmogelijk om te weten op welke locatie in het geheugen een bepaalde kernel functie zit.
Experten schijnen het een goed idee te vinden, en hopen dat het ook door andere besturingssystemen overgenomen wordt.

Wat andere systemen al wel doen is hun geheugengebruik willekeurig maken.

Nieuwe taart
Er is een nieuwe NonoPi Neo Plus2 uitgebracht, een klein computerbord voor inbouw in eigen projecten. De naam doet denken aan de Raspberry Pi, en daarop is het inderdaad gebaseerd. Maar dit bord is van een andere fabrikant, nl FriendlyARM. Die bracht vroeger al de compacte NanoPi bordjes uit, die compatibel waren met de Raspberry Pi.
Dit nieuwe bord is een rechthoek van 5 op 4 cm. Daarop zit een 64 bit processor; de Allwinner H5. Het heeft 1 Gb RAM geheugen (tov van 512 MB RAM vroeger), en twee USB poorten, (één meer dan zijn voorganger). Het heeft ook nog 8GB eMMC opslagruimte en een gigibit ethernet poort, wat mooie eigenschappen zijn die de vergelijking met de Raspberry Pi 3 kunnen doorstaan. Bovendien is het 10 dollar goedkoper, het zou hier rond 25 euro kosten.
Andere eigenschappen zijn micro-sd kaartlezer, micro-usb voor stroomvoorziening, en wifi en bluetooth draadloze voorzieningen.

http://wiki.friendlyarm.com/wiki/index.php/NanoPi_NEO_Plus2

Wat heb je niet op school geleerd?

In Florida is door een republikeinse gouverneur een nieuwe wet aangenomen die ouders meer inspraak geeft in wat kinderen leren op school. De school moet een onbevooroordeelde ombudsman aanstellen om mogelijke klachten te behandelen.
De klachten kunnen gaan over al het educatief materiaal, dus niet alleen over de schoolboeken.

De republikeinse afgevaardigde die de wet steunde, zegt geen specifieke onderwerpen op het oog te hebben.
Niet alleen de ouders die er kinderen op school hebben, kunnen klagen, iedere inwoner van de county kan een klacht indienen.

De ombudsman kan dan het bezwaarde materiaal laten verwijderen uit de lessen.

Er wordt gevreesd dat er vooral klachten zullen ingediend worden tegen cursussen over de klimaatopwarming en de evolutietheorie.

Banken zijn veilig

https://news.slashdot.org/story/17/07/04/0030213/65-percent-of-major-us-banks-have-failed-web-security-testing-says-report

Huisbrandolie verwarmt huizen

Noorwegen is een van de grootste gas en olieproducenten buiten het midden oosten.
Ze hebben nu beslist om tegen 2020 te stoppen met het gebruik van deze fossiele brandstoffen voor de verwarming van hun huizen. De bedoeling is de uitstoot van broeikasgassen te verminderen met een paar honderdduizend ton per jaar.

De bus rijdt

De bedoeling van een futuristische file-bus was een voertuig dat over de auto’s zou rijden.
Er werd een model gemaakt van een soort bus op hoge poten, die links en rechts met wielen in sporen zou rijden. Door die hoge poten zou ze over de auto’s rijden, en zo geen last hebben van de file. En hoewel er een proefrit gebeurde met het model, blijkt nu dat het allemaal opgezet spel was om frauduleus geld van investeerders af te troggelen. De bus op poten staat stil, de sporen van de proefrit worden afgebroken, en de politie roept gedupeerde investeerders op om een klacht in te dienen. Het model van de “Trans Elevated Bus” was tot voor kort te zien in Qinghuangdao in China.

Vogelvrijland

Vorige donderdag publiceerde wikileaks documenten over een programma van het CIA om informatie van Linux servers los te peuteren. Het programma had de naam “OutlawCountry”. Doel van het programma was om al het uitgaande verkeer van zo’n server te kunnen omleiden naar een computer van het CIA. Daarvoor werd een speciale kernel module ontworpen die een verborgen netfilter zou opzetten op de server. Die netfiter zou dan met de juiste kennis ingesteld kunnen worden om doelgericht verkeer om te leiden zonder dat de eigenaar van de server iets door heeft. Verdere details over het hoe en wat zijn niet voorhanden, maar er is sprake van één bepaalde kernel module voor een bepaald systeem. De aanvaller moet eerst nog binnengeraken en erin slagen om die kernel module te laden in het systeem, maar daar heeft het CIA ook wel een heel arsenaal van middelen voor.
Als dat gelukt is zijn er nog beperkingen:
- het doel moet een red-hat compatibel systeem draaien.
- het moet een 64 bits systeem draaien.
- het moet een standaard Linux kern zijn.

Van Wikileaks: https://wikileaks.org/vault7/#OutlawCountry

Datalek kost geld
Een ziekteverzekeringsbedrijf in de VS heeft toegestemd in een minnelijke schikking waarbij ze meer dan honderd miljoen dollar betalen. Het geld dient om slachtoffers van de ingraak in de databank van de verzekering te vergoeden. De gegevens van bijna 80 miljoen verzekerden werden gekopieerd uit de database van het bedrijf. Daarin stonden het sociale zekerheidsnummer, geboortegegevens, adres, e-mail en gegevens over het inkomen van die mensen.
Hoewel de schikking over een reuzebedrag gaat, vertegenwoordigt het toch maar amper meer dan 1 euro per persoon.
Het bedrijf moet ook zijn werkwijze aanpassen. Het moet een aantal gegevens versleuteld opslaan, en de archieven beter afschermen.
De inbraak in hun computersysteem gebeurde in 2015. Het bedrijf ontkent dat er van de gelekte informatie misbruik werd vastgesteld. Over wie achter de inbraak zat en hoe die juist in zijn werk ging blijft het bedrijf ook stil. Op Fortune werd geopperd dat een phishing e-mail werd gebruikt, waarbij een gebruiker malware binnenhaalde door op een link te klikken. Een buitenlandse mogendheid zou achter de inbraak zitten.

Live raket
Op zondag werd een raket van SpaceX gelanceerd om 10 communicatiesattelieten in de ruimte te brengen. Het gebeuren is live te volgen op de website van SpaceX.
Wie zondag niet kon kijken krijgt waarschijnlijk nog wel eens de kans, want er volgen nog 6 dergelijke lanceringen in het Iridium programma.
SpaceX is een prive-bedrijf dat erin geslaagd is om een succesvol model op te zetten. Voor hun vluchten gebruikten ze trouwens tweedehandsonderdelen. Een deel van de stuwraket wordt niet zomaar als afval in zee gedropt, maar gaat proberen te landen op een onbemand schip dat vanop afstand bestuurd kan worden.
Daarop is een landingsplatform aangebracht waarop de raket mooi rechtop landt. Dat heeft twee voordelen: de raket kan zijn brandstof bijna volledig gebruiken voor de lancering; er is geen brandstof nodig om terug te vliegen naar de basis, enkel een beetje om te landen op het platform. En als er iets fout gaat valt het ding met een onschuldige plons in zee, en niet op de kop van de vluchtleiding. Als het wel lukt kan de raket hergebruikt worden, wat tot nu toe al 7 keer op 9 lukte.
SpaceX heeft twee van die onbemande landingsschepen, en ze kregen de namen: Just Read the Instructions en “Of Course I Still Love You”. “Of Course I Still Love You” is een mooie naam voor een platform dat een raket laat hergebruiken.
Het andere platform, “Just Read The Instructions” is een vervanging voor een platform dat verloren ging bij een mislukte landing in 2016. Alhoewel de landing op zich wel lukte, klapte een van de poten niet goed uit, waardoor de raket kantelde, omviel en ontplofte.
“Just read the instructions”, inderdaad, en daarmee werd ook duidelijk waarom het landingsvaartuig onbemand is.

https://www.space.com/37303-spacex-iridium-satellite-launch-watch-live.html

Word programmeur
Vorige week werd Tim Cook ontvangen op het witte huis, op een meeting met verschillende groten van technologiebedrijven.

https://www.youtube.com/watch?v=dKUU9VavTjE

Een van de dingen waarop hij aangedrongen heeft, is meer programmeerles op school. Cook vindt dat op alle openbare scholen programmeren op het programma zou moeten staan.
Technologiebedrijven die elkaar op allerlei manieren bestrijden, zijn het daar blijkbaar allemaal mee eens. Ze hebben een fonds opgericht om het programmeren te stimuleren.

Niet alleen vragen ze om de leerprogramma’s aan te passen, maar ze richtten de website code.org op, met een onderdeel waarop kinderen zelf rechtstreeks aan de slag kunnen.
Er loopt een programma met de naam “Hour of code”, waar jongeren een inleiding in programmeren kunnen volgen. Er bestaat ook een NL-talige versie van trouwens: https://hourofcode.com/nl

Onder de sponsors van meer dan een miljoen zitten bedrijven als Microsoft, Google, Facebook en Amazon. Maar ook al dan niet bekende individuele sponsors komen vlot met een miljoen of meer over de brug: nobele onbekenden als Ali en Hadi Partovi, die een investeringsfonds hebben, Diane Tang (blijkbaar een soort visualisatiespecialist en netwerk bolleboos bij Google Research), John Doerr (ooit aktief bij intel maar daarna vooral aktief als investeerder), Drew Houston (stichter van Dropbox), Sean Parker (die als 16 jarige hacker zijn computer in beslag genomen zag worden door het FBI, en die nadien Napster oprichtte en nog later mee Facebook uitbouwde) en de bekendere Jef Bezos (oprichter van Amazon) en Mark Zuckerberg van Facebook. Het is blijkbaar een erezaak om in dat lijstje te staan, en Bill Gates is de slimste geweest door op twee manieren te sponsoren: uit eigen naam, en vanuit de Bill en Melinda Gates stichting. Hij staat dus twee keer in het lijstje van de gouden sponsors.
Toch is zijn opvolger bij Microsoft, Steve Balmer, erin geslaagd er nog boven te staan; uit het gezinsbudget gaf hij meer dan 3 miljoen, waardoor hij helemaal bovenaan staat bij de Platina sponsors.

Afpersing met afbetaling

Een bedrijf dat webservers verhuurt zag zijn computersysteem gekraakt worden door een ransomware bende.
Meer dan 150 servers werden aangetast en duizenden websites van klanten werden getroffen.
Volgens de TrendMicro website werd de Erebus ransomware software gebruikt. De serversoftware die het bedrijf gebruikte was misschien lang niet geupdate, er is sprake van een Linux kernel van 2008 en webserversoftware van 2006.
De afpersers eisten meer dan 500 bitcoins om de sleutel te geven om de bestanden terug te ontsleutelen. Misschien klinkt 500 niet veel, maar de waarde daarvan zit rond 1,5 miljoen dollar. De hosting provider had die niet zomaar rondslingeren, en begon te onderhandelen met de afpersers. Ze kwamen tot een akkoord dat eerder rond 1 miljoen dollar lag, en het bedrijf kreeg de mogelijkheid om in 3 schijven te betalen.
Over de achtergond van de afpersers is nog niets geweten, maar politiek zou een rol kunnen spelen, de getroffen provider was immers een Zuid-Koreaans bedrijf. Ze hebben hun eigen website wel (nog/terug) online: www.nayana.com

Linux gebruikers moeten niet denken dat ze vanzelf veilig zijn..

Terugkijken op een heel, heel eigenaardig jaar bij Uber
Dat was de titel van een blog-post van Susan Fowler, die erin vertelde wat ze meemaakte toen ze een jaar lang bij Uber werkte. Vanaf de eerste dag dat ze in haar team terechtkwam werd ze al door een manager onder druk gezet en kreeg ze te maken met sexuele intimidatie. Haar verhaal verscheen op 19 februari, en zorgde ondertussen voor een kettingreaktie, waarbij uiteindelijk CEO aftrad. Er werden verschillende onderzoeken opgestart, en er werden ondertussen al 20 mensen ontslagen. Het was na onderzoek duidelijk dat de hele bedrijfscultuur dat gedrag afdekte, en dus lag de verantwoordelijkheid bij de top. Gisteren trad dan de CEO, Travis Kalanick af, onder druk van andere aandeelhouders.
Ze willen dat er een ommezwaai gebeurt in het bedrijf. Uit de blog bleek dat er bij Uber nog maar 3 % vrouwen overbleven in de technische jobs.

Susan Fowler, één van de onderzoeksters bij Uber hield zich bezig met “microservices”, en ze pleitte ervoor om in de wildgroei van microdiensten een standaard op te stellen. Zo moet het gemakkelijker worden om de micro-diensten te gebruiken, en met elkaar of andere software te laten communiceren. Stabiliteit, betrouwbaarheid, beschikbaarheid, schaalbaarheid, snelheid zouden er wel bij varen.
Ze schreef er een boek over, en sprak op verschillende gelegenheden. Ondanks haar kennis is ze ondertussen vertrokken bij Uber, waarna ze een artikel schreeef op haar blog over de sfeer bij Uber: “Reflecting on one very, very strange year at Uber”.

De blog is nog te lezen op: https://www.susanjfowler.com/blog/2017/2/19/reflecting-on-one-very-strange-year-at-uber
Interview met Susan Fowler over microservices:
https://www.oreilly.com/ideas/why-you-should-standardize-your-microservices

Slimme huishoudapparaten
Het lijkt erop dat de fraude van de autofabrikanten met hun dieselmotoren geen alleenstaand geval is. Europa kijkt nu naar huishoudapparaten, en die zouden meer energie verbruiken dan ze aangeven in hun documentatie. Bovendien zouden sommige apparaten ook software hebben die herkent dat er een test wordt uitgevoerd, en op dat moment het energieverbruik verlagen.
Een tv zou bv kunnen herkennen dat er een bepaalde test word uitgevoerd doordat het de beelddata herkent. Dan schakelt het een aantal parameters lichtjes om naar meer energiezuinige waarden, bv minder helder beeld, om een beter testresultaat te krijgen.