De bende van 36

Een internationale bende die handelde in creditcardgegevens heeft voor honderden miljoenen verlies gezorgd volgens Amerikaanse aanklagers. Een zijn een 36 tal beschuldigden in deze zaak.
Behalve miljoenen creditcardgegevens werden identiteiten verhandeld en ook malware. Volgens de openbare aanklager waren ze marktleider op het “dark web”. Ze hadden er een online forum met meer dan tienduizend leden geweest zijn.

FOSDEM 2018

Het voorbije weekend ging op de ULB de jaarlijkse editie van FOSDEM door op de Solbosch campus. Duizenden zogenaamde “hackers”, in de betekenis van free en open source software programmeurs, komen er jaarlijks bijeen op een community event. In de gangen van de gebouwen hebben allerlei projecten een infostand, waar ze demonstraties doen en je een praatje slaan met de bezoekers.

Ook heel wat Linux distributies zijn aanwezig, meestal in de vorm van het community project, zoals Fedora, openSUSE, BSD

De sfeer is helemaal anders dan op een commerciële beurs, en er is enkel een uitgeverij van technische boeken aanwezig met een stand waar ze verkopen. Het is één van de sponsers, en de aanwezigheid wordt duidelijk door de bezoekers gewaardeerd, want ze hebben een selectie van (Engelstalige) programmeerboeken bij die je zelden samen ziet.

De lezingen in de zalen zitten meestal nokvol, en de enige die moeten registreren zijn de sprekers. Bezoekers zijn volledig vrij binnen en buiten te lopen, moeten niet op voorhand registreren en ook geen inkom betalen. Je ziet er dan ook heel wat jonge bezoekers van landen over heel de wereld. Er wordt bv opvallend veel Duits gesproken naast de voertaal Engels.
Enekele onderwerpen van de meer dan 600 sprekers en events zijn programmeertalen als Python, Go, Java; PostgreSQL databank, technieken en tools als Virtualisatie, monitoring, toegangscontrole en identiteit, testing en package management.

De hele bijeenkomst neemt inclusief auditoria en werksessies 5 gebouwen op de campus in beslag: gebouw J met grote ronde zaal, K met brede gangen met infostands, H waar het oorspronkelijk begon, U en AW. Dat laatste gebouw AW herbergt traditioneel de hardwarekant, en dit jaar zaten er bv ook radio-amateur die buiten een antenne hadden opgesteld.

Het jaar nul

Wildfire games bouwt al een aantal jaar aan een eigen historisch computerspel, en stond op FOSDEM 2018 met een informatiestand om de huidige stand van het spel te laten zien. Zero A.D. is een open source spel dat volledig vrije software is volgens de definitie van de FSF, en bedoeld voor verschillende besturingssystemen.

Wildfire games is een internationale groep van vrijwilligers die aan het spel bouwen. Ze werken met een online systeem waar allerlei taken opgelijst worden, die ontwikkelaars kunnen aanpakken. Ze zoeken nog altijd nieuwe programmeurs en medewerkers voor geluid, animatie, 3D en landschappen, enz.

Enkele van de laatste ontwikkelingen zijn verbetering van de willekeurige kaarten, met willekeurige richting voor de rivieren, een nieuw instellingen onderdeel waar veel plaats is voor toekomstige uitbreiding, statistieken, multiplayer testen, en de achterliggende AI programma’s. Verder is er ook vooruitgang bij het beeld en geluidwerk.
Behalve de vaste kliek programmeurs is er ook input van de community die opgenomen wordt in het spel, zoals nieuwe geluiden, iconen, kaarten, oppervlaktes enz.

Het spel nadert stilaan de fase waarin ze het officieel willen uitbrengen, maar voorlopig is het dus nog de alfa test versie die je kan downloaden, en kunnen er af en toe problemen opduiken als je het speelt. De download is beschikbaar op hun website op playOad.com, en ze hebben installatie-instructies op de website voor gebruik met
Arch
Chakra
Debian
Fedora
Frugalware
Gentoo
OpenSUSE
Sabayon
Slackware
Ubuntu

In sommige Linux distributies zoals Ubuntu en openSUSE zit het ook in de softwareverzameling opgenomen.

Download 0 A.D.

Overstappen op LibreOffice

De Document Foundation raadt gebruikers aan om over te stappen op LibreOffice voor de typische kantoortaken als tekstverwerking, rekenblad, presentaties en sommig tekenwerk.

Op FOSDEM was dat roepen in de oase; in Linux bv is LibreOffice of broertje OpenOffice het standaard office pakket. Maar voorlopig is er nog altijd meer woestijn, dus voeren ze verder aktie.

Ze verspreiden een folder met de titel “Free Software For All”.
Daaruit blijkt dat LibreOffice zich richt naar alle gebruikers, op zowel Windows, Linux als OSX computersystemen. De uitwisseling van documenten is gegarandeerd. De programma’s zijn gratis en mogen uitgewisseld worden. Je kan altijd gratis upgraden en zo blijven je documenten altijd beschikbaar, ook als je de programma’s minder gebruikt.

Ze richten zich niet alleen naar de eindgebruikers, maar ook naar grote administraties, overheden en grote bedrijven. Daarvoor hebben ze een andere folder gemaakt: “Migrating to LibreOffice for Enterprises and Public Administrations. Daarin maken ze duidelijk dat grote bedrijven en overheidsdiensten er veel bij te winnen hebben, alleen al door de schaal.
Ze beschrijven ook het traject in enkele stappen: Analyse, Uittesten, Opleiding, ondersteuning, installatie en ingebruikname, en opvolgen.

Door in het traject te kiezen voor vrije fonts of lettertypen, blijven documenten er overal goed uitzien.
Ze wijzen op het voordeel van de open standaard om documenten uit te wisselen; de ISO standaard “Open Document Format” of afgekort ODF. Door intern odf en in externe communicatie pdf te gebruiken, zijn de documenten bruikbaar op de juiste plaats op de juiste manier.
Ze wijzen op de mogelijkheden om voor deze vrije software ook professionele hulp en ondersteuning in te roepen door gespecialiseerde bedrijven en beroeps-IT’ers.
Verder vermelden ze enkele voorbeelden waar op grote schaal de vrije office software gebruikt wordt: de stad Munchen in Duitsland, de ziekenhuizen van Kopenhagen in Denemarken, de gemeentediensten van Valenciana in Spanje, en de Franse overheid, die zo’n half miljoen pc’s op LibreOffice heeft draaien.

https://wiki.documentfoundation.org/images/3/3c/EN_Migration.pdf

Tijdens webgang wordt opgebouwd voor een nieuwe muziek-set door Glitter Decadence

Muziek uit ex-joegoslavië, in een periode dat je al punker moest zijn om het op te nemen voor vrij denken, vrije liefde, enz.
Veel jaren 80 -en later geluid.

Om nog voort te gaan op het monopolieverhaaltje van het nieuws: Koopt DELL VMware? Of omgekeerd? En waarom?

(meer tekst volgt later)..

Lekkende apps

OnePlus kwam al eens aan bod voor de gegevens die door hun toestellen werden verzameld en naar China gestuurd. Nu blijkt er een tweede ontdekking te zijn van zo’n gedrag, via een andere app.

Elliot Anderson twitterde erover ongeveer als volgt: “de clipboard app van OnePlus bevat een eigenaadig bestand met de naam “badword.txt”. Daarin zitten een aantal aansprekingen van titels als Voorzitter, Ondervoorzitter, Afdelingshoofd, Generaal”. Verder nog termen als “Privé bericht”, “verzendadres”, “adres”, “e-mail” enz. Het clipboard is de plaats waar gegevens tijdelijk bewaard worden als je een knip en plak bewerking doet, dus data kopieert van de ene toepassing naar de andere of de ene schermplaats naar de andere.
Als je zijn verdere tweets volgt, kom je tot de conclusie dat bepaalde clipboard text van Chinese gebruikers naar de TeddyMobile servers gestuurd worden voor interpretatie. TeddyMobile is een Chinees bedrijf dat samenwerkt met fabrikanten van smartphones.
Elliot Anderson is de stichter van fsociety en Frans onderzoeker naar veiligheid van mobiele telefoonsystemen. Hij ontmaskert bv apps die enkel als doel hebben om in Android advertenties op je toestel te krijgen, meestal vermomd als een app van een bekende dienst of bekend bedrijf, zoals een valse whatsapp app. Hij gaat soms apps uiteenpluizen (reverse engineering) om hun werking helemaal te kunnen onderzoeken.

Een ander voorbeeld van ongewenste data die weglekt via een app is de fitness app gegevens verzamelt over het trainingsprogramma van gebruikers, en daarbij ook locatiegegevens opslaat. Met al die locatiegegevens werd een kaart samengesteld, waarop punten gebruikt werden om de sportievelingen anoniem weer te geven.
Maar hoewel de individuele gebruikers misschien niet kunnen geïdentificeerd worden met die kaart, zijn er wel interessante concentraties op te zien. In sommige gevallen verraden die bv de locatie van buitenlandse kazernes van bepaalde Amerikaanse eenheden in gebieden waar weinig andere gebruikers van de app aktief zijn.

Monopolies opsplitsen

Een van de maatregelen om een monopolie te doorbreken als het door de staat te groot beoordeeld wordt, is het bedrijf op te splitsen. In de VS is er het bekende voorbeeld van de telefoonmaatschappij Bell, dat leidde tot het opsplitsen in zogenaamde “baby bells”. Een professor van New York University vindt dat bedrijven als Amazon, Apple, Facebook en Google nu te groot en te machtig zijn geworden, en dat de remedy is ze op te doen splitsen.
Hij denkt dat de macht van die bedrijven wereldwijd zo groot is dat ze misschien net na China en de VS komen.
Hij wijst erop dat ze mee verantwoordelijk zijn voor de verspreiding van Fake News, dat ze het oorspronkelijk staalhard ontkenden, daarna schoorvoetend toegaven dat er miljoenen mensen bereikt werden, en ondertussen is het duidelijk dat er honderden miljoenen mensen bereikt werden.
Amazon is zo groot geworden dat overheden door het slijk kruipen met interessante voorwaarden en kortingen om een hoofdkwartier binnen te halen. Het is daar zo erg dat ongerust burgers al tegenwind beginnen te geven, en poneren dat ze ook wel hun verlanglijstje voor Amazon hebben.
Google controleert zo’n 90 procent van de zoekverrichtingen en heeft immense macht op reklamegebied.
Facebook is zo sterk in de apps op mobiele toestellen die een doorlopende stroom data verstrekken, en andere bedrijven weet buiten te houden of over te nemen.
We zijn op een punt gekomen dat al die bedrijven een hindernis vormen voor de ontwikkeling van creatieve nieuwe bedrijven.
Hij wijst er ook op dat bv een krant in handen komt van een van de grootste monopoliebedrijven in de VS, en dat misschien geen goede ontwikkeling is.
Hij wijst naar de verslavende eigenschappen van sociale media, en dat die misschien aangepakt moeten worden met een verbod voor minderjarigen.

Het is een interessante visie van een man die een groot fan was van de technologiebedrijven en voor enkele van die bedrijven gewerkt heeft.

Een andere stem, zelfs van binnen de sektor, vindt dat Facebook zou moeten bekeken worden als een tabaksfabrikant. Zelf is hij baas van SalesForce, ook een groot technologiebedrijf. Maar hij vindt het normaal dat de maatschappij controle uitoefent en regels oplegt, ook aan technologiebedrijven; “we zijn niet beter dan een ander, vergelijk bv met de financiële sektor, voedselindustrie, enz. De overheid moet haar verantwoordelijkheid nemen.

Vergeten satelliet

Scot Tilley, een amateur-astronoom die op zoek was naar Zuma, vond een andere satelliet, en niet Zuma, de verloren gegane militaire satelliet van het Amerikaanse defensie.
Bij de lancering van Zuma, begin januari, ging er iets fout. De Zuma werd op een Falcon 9 raket van prive-onderneming SpaceX gemonteerd voor lancering in Florida. Het was een geheime missie, dus er werd zo goed als niet over gecommuniceerd. De lancering had plaatsgevonden en pas nadien kwamen de geruchten dat de satelliet verloren was gegaan, terwijl de lancering oorspronkelijk gelukt leek. Het ministerie van defensie gaf geen commentaar op de vraag of de geheime Zoma missie geslaagd of mislukt was. En SpaceX deelde enkel mee dat de lancering fase 1 en fase 2 normaal verlopen zijn, maar gaf geen details over het geheel van de lancering of het bereikte doel. Er blijft dus vooral veel ruimte voor speculatie, en uit de aangewakkerde nieuwsgierigheid gaan amateur astronomen dan zelf op zoek naar antwoorden. Een eerste vraag daarbij is: is de Zuma tijdens de lancering verloren gegaan, en opgebrand in de dampkring, of hangt hij ergens daarboven rond te draaien?
Hij zette apparatuur in om de zogenaamde “high orbit” te scannen. Hij onderzocht de data van 20 januari, en vond hij iets helemaal anders. Met behulp van een tool om satellieten te identificeren ontdekt hij dat het opgevangen signaal waarschijnlijk van “IMAGE” is, een satelliet van de NASA die diende om de magnetosfeer te onderzoeken. Hij werd gelanceerd in 2000, en in 2005 verloor NASA onverwacht het contact, mogelijk door één of andere contstructie of berekeningsfout.
Het Goddart centre van de NASA bevestigde nu dat het inderdaad IMAGE zou kunnen zijn. Er was ooit, rond 2007, een kans om IMAGE te herstarten, maar die poging bleek mislukt en nadien gaf NASA het op en hoorde niets meer van IMAGE.
Nu is de vraag of de hardware en energievoorziening van de satelliet nog werken. Indien wel, kan opnieuw geprobeerd worden om contact te maken en of hij nog bestuurd kan worden.
Maar ze moeten eerst op zoek naar de juiste apparatuur en programma’s om te proberen of ze kunnen communiceren met de teruggevonden satelliet die gebouwd werd in het vorige millennium.

Misschien kan FreeDOS nog van pas komen…

De spannende zoektocht kan je volge op o.m.

NASA’s Long Dead ‘IMAGE’ Satellite is Alive!

Terug een live-set met (anonymous) in webgang overclocked. (19 +- 20:30) op donderdag 1 februari!

FreeDOS
Er bestaat een vrije dos, en al wel 23 jaar! Ze gaven er een boekje over uit, en wij installeerden hem …

(maar wisten daarna niet wat we ermee zouden kunnen doen) – foto: webgang

Smart spy?

Wat heb je het liefst: een spion die je overal volgt of een spion die in je huis zit?
Dat is zowat de keuze die de consument maakt als hij kiest tussen een smartwatch en een smartspeaker.

In de VS wordt geschat dat zo’n 10 procent van de volwassenen een smartwatch of andere draagbare tracker dragen. En meer dan 1 procent van de Amerikaanse gezinnen zou een smartspeaker in huis hebben, en daar wordt een grote stijging verwacht.

Vooral als die systemen gecombineerd worden met smart home toepassingen, zoals voor bewaking, sturing van de verwarming, enz.

Smartspeakers zijn goedkoper en dus lijken ze voorlopig het pleit te winnen. De smartwatch behoort tot de categorie van de draagbare electronica, en die markt groeit minder hard dan voordien volgens eMarketer.

De meest succesvolle apparaten daar zijn de gezondheids- en fitness apparaten, eerder dan de smartphones. De smartwatch heeft ook te veel overlap met de smartphone (die je er meestal ook bij nodig hebt), die door zijn groter scherm toch onovertroffen blijft voor veel toepassingen.

In de markt van de draagbare apparaten was Apple met zijn smartwatch in 2017 maar een kleine speler; de grootste is Fitbit, dan Xiaomi, en kleinere als Garmin en Fossil volgens “marketwatch”. Maar de helft van de draagbare markt bestaat uit “andere”. Daar zitten ook de nieuwe horloges van luxemerken bij, die meestal op Android Wear 2.0 draaien.

Swatch blijft daar koppig zijn eigen weg gaan met zijn eigen “Swiss OS”. Dat zal niet gemakkelijk zijn, want ze moeten opboksen tegen bestaande systemen die soms een eigen “ecosysteem” hebben zoals bij Apple en Google’s Android.
De Zwitsers kunnen zich misschien concentreren en profileren op privacy. Zelf willen ze een systeem dat minder energieverslindend is, en onafhankelijk van Google en Apple, zodat ze het ook kunnen laten gebruiken door andere fabrikanten van smartphones en kleine apparaten zoals de IOT categorie.

Of het systeem gebaseerd is op iets bestaands of echt vanaf nul ontwikkeld is, is niet duidelijk. Een eigen systeem van nul ontwikkelen klinkt nogal onrealiseerbaar, zeker gezien de euh – tijd tikt.

Maar Swatch group kwam wel even in de aandacht in 2017 omdat ze de kleinste bluetooth chip ontwikkeld hebben, met de minste energieconsumtie. En hij heeft ongeziene opstarttijden.

De IOT combinatie klinkt als een interessante insteek, maar de vraag is of eender wat Swatch doet, niet onmiddellijk zal overgenomen worden in de “grotere” systemen, bv in de vorm van een app. Dat systeem van app-ontwikkeling door externe ontwikkelaars maakt die systemen erg flexibel.

En als het enige waarmee je kan uitpakken met je smartwatch is dat ze een maand niet aan het stopcontact moet, zou dat wel eens te weinig kunnen zijn als verkoopsargument.

LWN 20

Linux Weekly News viert zijn twintigste verjaardag. In 1997 startten Jonathan Corbet en Liz Coolbaugh een wekelijkse nieuwsbrief over Linux, om zich wat bezig te houden terwijl ze wachtten op antwoord van Red Hat, waar ze zich kandidaat hadden gesteld voor het “support partner” programma.
De nieuwsbrief werkt met abonnementen en bestaat nog steeds.

Het eerste nummer ging redelijk ongemerkt voorbij, maar voor de uitgave van het tweede nummer hadden ze een bericht gepost op de linux-announce mailing list, en op de eklektix.com website. De huidige website is lwn.net.

Daartussen zaten de nodig ups en downs: de nieuwsbrief werd in de hoogdagen van de dotcom bubble opgekocht, en kwam na het barsten van de bubble terug op de straatstenen terecht. In 2002 zaten ze zo diep dat ze aankondigden ermee op te houden. Gelukkig waren er ondertussen genoeg lezers die wel geld verdiend hadden, en spontaan geld bijeen brachten. Daardoor probeerde LWN een doorstart met een systeem van abonnementsgeld, dat nu zo’n 7 dollar per maand bedraagt. Na een korte sperperiode – een week lijkt het nu te zijn – komt het nieuws dan op de website terecht.

Programmeren is te moeilijk

De baas van Apple, Tim Cook, heeft zich op een opvallende manier uitgelaten over programmeren. Hij sprak tegen kinderen die een Swift programmeercursus volgden in een Apple Store in Canada, en vertelde hen dat programmeertalen vroeger te “geeky” waren, tot Apple de Swift programmeertaal lanceerde in 2014. Dat was de programmeertaal die even gemakkelijk te leren was als hun producten te gebruiken zijn, volgens Cook.
Het is duidelijk dat Cook de Swift taal met hun “Everyonde Can Code” workshops wil promoten; in Canada is een groot overheidsprogramma bezig om de jeugd aan het programmeren te krijgen en de grote bedrijven proberen een graantje mee te pikken.

Bij de Swift taal hoort ook een “playground”, waarin je de programma’s kan uitproberen op een tablet. Je kan Lego Mindstorms ermee besturen.
Of je maakt er “Xcode” programma’s mee voor iOS, macOS, watchOS, tvOS en … Linux!
Apple heeft van Swift een “open source” taal gemaakt gemaakt, en ze hopen zeker dat dat bijgedraagt aan het succes ervan.

Ze hebben zich laten inspireren door één van de veelgebruikte talen op Linux: Python, maar volgens Apple is Swift sneller.

Linux programmeurs zijn waarschijnlijk niet snel geneigd om een programmeeromgeving van één bepaalde fabrikant/leverancier te gaan gebruiken.
Bovendien is de openheid van Apple toch maar beperkt met een runtime voor Ubuntu, terwijl er zoveel andere distributies zijn.
Linux programmeurs hebben ook moderne gemakkelijk te leren programmeertalen zoals Gambas, waarmee ze echte Linux desktop, server, en commandolijnprogramma’s kunnen maken.

En de echt aantrekkelijke evolutie zat de laatste jare toch eerder in veel onafhankelijker gestarte projecten als Raspberry Pi.

Swift zou wel eens over zijn hoogtepunt heen kunnen zijn (dat was maart 2017 volgens de Tiobe index).

Eelo

Your data is Your data, zegt Gaël Duval met een Frans accent in een youtube filmpje over zijn nieuw project “Eelo”. Gael Duval startte ooit een eigen Linux distributie: Mandrake. Dat was een gebruiksvriendelijke Europese Linux distributie met een KDE desktop, die uiteindelijk verdween in de fusie-distributie Mandriva.

Nu start hij de non-profi Eelo om een privacy-vriendelijke smartphone te maken. Een tweeduizend volgers kreeg hij met de eerste berichten daarover op https://eelo.io/. Hij wil vertrekken van bestaande open source software om een open source smartphone systeem te maken, gebaseerd op Linux, met de bedoeling Android programma’s te kunnen draaien. Privacy staat voorop en daarom wil hij als standaard messaging app Telegram gebruiken, en voor sociale media denkt hij aan Mastodon.

Duval opende een crowdfunding project op kickstarter om Eelo te financieren, en na een goede twee weken had hij al het dubbele bedrag binnen van wat hij vooropgesteld had. Er is dus interesse voor een meer privacy gevoelige smartphone. Toch van die incrowd die op de hoogte was van zijn crowdfunding.

Eelo wil niet alleen smartphones leveren, maar ook “web services”, om alternatieven te bieden voor de diensten die de grote bedrijven aanbieden; mail, online opslag enz. Eén van de problemen die opgelost moeten worden is de aanmelding; OpenID ziet hij als een mogelijkheid, maar hij vindt dat er nog een brainstorm over nodig is.

Zijn driejarenplan ziet er zo uit: 1e jaar opzetten van het project, 2e jaar ontwikkelen van het mobiele systeem en de webdiensten, en een eelo OS voor de pc! Dat jaar moet de structuur van de non-profit ook op punt staan.
3e jaar: De webdiensten en het smartphone systeem in een tweede versie klaarhebben. De hardware ontwikkelen ze niet zelf, er is een voorlopige lijst bekend (hier: https://eelo.io/img/supporteddevices.txt)

Hun kickstarter campagne is voorbij, en op hun website staat nu een oproep aan programmeurs om mee te werken. Ze zoeken hackers met kennis van Android, Linux algemeen en development op Linux, webdevelopment, GitMaster (een GitHub client), en Lineage. Waarschijnlijk gaat het over LineageOS, opvolger van CyanogenMod. Dat is een onafhankelijk open source operating systeem/ROM voor smartphones en tablets, dat een alternatief biedt voor de gewone commerciële Android die onder controle staat van Google.
Gaël Duval heeft dus een hele open source erfenis beschibaar om op verder te bouwen.

Net Neutrality in New York

De gouverneur van New York heeft een uitvoeringsbesluit getekend om Net Neutrality te verplichten voor providers die staatscontracten hebben.
Daarmee is het maar één van de vele staten die maatregelen namen om het voortbestaan van Net Neutrality te garanderen. Toch is het niet zeker dat dit veel effect zal hebben, want de FCC had bepaald dat staten niet eigen regels mochten instellen.

De telecoms reageren niet allemaal even consistent. Zo is er de open brief van de baas van AT&T, die aan het congres vraagt om een soort internetgrondrechtenwet te maken. Die moet openheid, neutraliteit, transparantie, niet-discriminatie en privacy rechten garanderen aan alle Amerikaanse internetgebruikers. Hij verklaart ook dat AT&T zelf geen verkeer blokkeert of op een andere manier de toegang tot inhoud op internet bemoeilijkt.
Dat lijkt in tegenspraak met hun lobby-aktiviteiten tegen regelgeving door de FCC. Daarin nemen ze standpunt in tegen Net Neutrality, en ze besteedden vorig jaar meer dan 15 miljoen dollar aan lobbywerk, het jaar van de voorbereiding van het afschaffen van de net neutraliteit door de nieuwe baas van de FCC.

Die procedure verliep trouwens niet zonder strubbelingen. Er wordt voorzien in het verzamelen van feedback bij zo’n voorstel. En die feedback kwam er, want er waren enorm veel tegenstanders van het nieuwe voorstel. Die commentaren konden ingediend worden via – natuurlijk – internet. Hoewel het niet duidelijk is of er rekening gehouden is met de commentaren, zaten er een verrassend grote hoeveelheid voorstanders bij de 22 miljoen binnengekomen commentaren.
Nader onderzoek leverde mogelijk grootschalig misbruik van identiteiten op; er werden bv afzendergegevens gebruikt van mensen die overleden zijn, valse e-mail adressen enz. Er is sprake van miljoenen verdachte commentaren. Een aantal parlementsleden vragen nu een onderzoek door het GAO (Government Accountability Office). Dat gaat kijken of het genoeg volk bijeenkrijgt om over vijf maanden te kunnen starten met een onderzoek.

Uit onderzoek van een consulting bedrijf dat werkt voor een groep van breedbandleveranciers bleek dat een meerderheid tegen het opheffen van Net Neutrality was; zo’n 60 procent.
Als ze alle standaardformulieren er uit filteren, en alleen naar uniek geschreven berichten kijken, die minder dan 10 procent van de commentaren uitmaken, zien ze een ander beeld. Van die mensen zijn meer dan 98 procent tegen het opheffen van de Net Neutrality.

Techno
Onze zwaar gevulde Webgang wordt gecompenseert door een uurtje “traktor”-set door Elle.M

Thanks!

(foto: webgang overclocked broadcast time)

Meltdown en Spectre

Eliteteam Google

Google heeft zijn eigen eliteteam dat onderzoek doet naar de veiligheid van computersystemen: het “team Zero”. Dit team ontdekte de fouten in de intel processoren, en wilde die op een verantwoorde manier naar buiten brengen week x. Maar omdat er stilaan een geruchtenmolen aan de gang was, hebben vervroegd gecommuniceerd over het ontdekte probleem, of beter, problemen in het brein van computers.
Die problemen kregen de koosnamen “Meltdown” en “Spectre”.

Volgens de onderzoekers zijn de risico’s duidelijk: programma’s kunnen misbruik maken van de fouten in de chip om data van andere programma’s, of nog erger, van andere gebruikers op het systeem, te lezen. Voor een bedrijf dat leeft van de cloud een nachtmerrie.
De eer van de ontdekking gaat naar Jann Horn.

Optimisme

Na het publiek worden van de bugs in de intel processor, postte het bedrijf vorige donderdagavond (4 jan) een optimistisch bericht:
“Intel has already issued updates for the majority of processor products introduced within the past five years. By the end of next week, Intel expects to have issued updates for more than 90 percent of processor products introduced within the past five years.”
(citaat)

Ze juichen dat ze “al” updates klaarhebben voor de meerderheid van de processoren. Of toch die van de laatste vijf jaar. Dus voor de andere niet. Of wacht, ook niet alle van de laatste vijf jaar, dat willen ze bereiken tegen het einde van de daaropvolgende week, ongeveer nu donderdag 11/1 dus.

Als je dat omgekeerd leest betekent dat dus dat alle processoren van meer dan 5 jaar oud -wie weet trouwens hoe oude de processor op zich is die in zijn of haar computer zit? – niet voorzien zijn van een oplossing. En volgens Google zijn zelfs alle processoren sinds 1995 kwetsbaar. Maar zover terug hoef je niet te gaan; hoeveel computers van tussen de 5 en de 10 jaar oude zijn er?

En dan nog; die oplossing wordt niet vanzelf toegepast natuurlijk. Computerbeheerders die aktief hun security opvolgen *kunnen* die toepassen. Thuis iemand?

Veel belangrijker is waarschijnlijk het zinnetje:

“System updates are made available by system manufacturers, operating system providers and others.”

Je moet het dus hebben van een update van je besturingssysteem, dat rond de fouten heen werkt, en daardoor je computer een beetje trager laat lopen; niet dat je daar veel van zal merken op een pc.

Bv, Linux systemen die een besturingssysteem draaien dat nog onderhouden wordt door de distributie die ze uitgeeft, hebben met de gewone updates hun aanpassingen al binnengekregen.

Het optimisme van Intel zit waarschijnlijk in de toekomstige verkoop van processoren waarin het veiligheidslek is opgelost.

—

Als je het effect van één van de bugs wil zien, kan je terecht op mashable.com/2018/01/03/…
Daar hebben ze een filmpje gepost van de “Meltdown” bug in aktie, met een memory dump.
er wordt getoond dat een script gstart wordt met de naam “./meltdown”.

Voor het filmpje werd Debian Linux gebruikt. In het geval van zo’n bug is een besturingssysteem dat open source is, een groot voordeel. Iedere onderzoeker kan zelf aanpassingen maken aan het systeem om de bug te onderzoeken, de gevolgen ervan te onderzoeken, en mogelijke oplossingen uit te proberen. Onderzoekers van bedrijven zoals Google, die erin slagen om het probleem tijdelijk te omzeilen kunnen het al toepassen op hun eigen systemen, in afwachting van de definitieve oplossing.
Iedereen met een closed source systeem moet wachten tot zijn leverancier met een oplossing komt.

—

Industrie wint

Microsoft zegt dat hou ouder de systemen, dus zowel de computer zelf, als de Windows die er op draait, hoe meer je het verlies aan snelheid zal voelen. Oudere versies van Windows zoals Windows 7 en Windows 8 hebben een groter verlies aan snelheid omdat bv de berekeningen die te maken hebben met het weergeven van lettertypes, getroffen worden. Nog oudere krijgen al helemaal geen update, dus die blijven eenvoudigweg onbeschermd achter.
En een aantal gebruikers van computers met een AMD processor geraakten door de update helemaal in de problemen, omdat hun systeem na de update blokkeerde. Microsoft beschuldigde AMD van een gebrek aan samenwerking. Het is is afwachten wanneer daar een oplossing voor komt.
Dan dook een tweede probleem op: incompatibiliteit met de antivirussoftware. Microsoft houdt de updates van de intel problemen tegen voor wie niet een speciale update van zijn antivirussoftware gedaan heeft, waarbij die een speciale sleutelwaarde in het Windows register maakt. Zonder die key komen ook de volgende Windows updates niet meer binnen.
Voor Linux gebruikers is er geen probleem; die gebruiken meestal al helemaal geen antivirussoftware.

Wie wordt er beter van?

Conclusie: de gebruiker wordt sterk in de richting geduwd van nieuwere computers en nieuwere besturingssystemen. Wie wint daarbij: Microsoft, die hiermee een ongeziene kans krijgt om alle gebruikers te dwingen om up te graden naar een nieuwere versie, ook al “werkt” de oude nog. En de computerbouwers, die nieuwe hardware kunnen verkopen. En de processorfabrikanten, waarbij intel zelf er dus nog voordeel uit haalt tov concurrent AMD.
En de antivirusfabrikanten, want zonder de laatste antivirusupdate kan je de patch niet gebruiken.

—

De technieken, de namen

Meltdown en Spectre zijn eigenlijk de namen van de methode om een aanval uit te voeren op de processor, waardoor geheime informatie van een gebruiker gestolen kan worden.

Spectre

Het begine van het woord Spectre, “spec” verwijst mogelijk naar het woord “speculatief”. De Spectre aanval heeft te maken met het speculeren van de processor op de volgend uit te voeren bewerkingen. Als het systeem nog bezig is met iets anders, en daar op moet wachten, gaat het op sommig gebied een verondersteld resultaat al voorzien, en daarop vooruitlopen. Een gokje als het ware. Als dat achteraf dan fout bleek, wordt het gewoon weggegooid, maar als het wel juist is, kan vooruitgesprongen worden, omdat het voorziene resultaat al klaar is.
Dit systeem van het weggooien van resultaten die foute gokjes bleken, noemen de onderzoekers “transient instructions”, en daar kunnen we de “tr” uit halen, waardoor we “spectr” krijgen, en we in uitspraak dus “Spectre” hebben (voor de leesbaarheid in Engelstalig gebied komt er nog een “e” bij).
De onderzoekers bleken in staat om de processor te verleiden om gokjes te wagen die niet verantwoord zijn voor de veiligheid van het systeem. Die bv ertoe leiden dat geheime informatie van ergens uit het geheugen, gelekt wordt naar buiten, bv via de cache. De cache is een buffertje waar de processor tijdelijke resultaten opslaat.

Over de “spectre attack” kan je informatie vinden op spectreattack.com/ in het document spectre.pdf
De onderzoekers spreken over de processoren waarvoor de aanvallen werken: intel Ivy Bridge, Haswell en Skylake. AMD’s Ryzen processor, en sommige processoren van Samsung en Qualcomm (gebaseerd op ARM architectuur), deze laatste zijn veel gebruikt in smartphones.

Meltdown

Meltdown is een aanval op een moderne processor, die gebruik maakt van “out of order execution”. Door een probleem van een “privileges-uitbraak” bij intel processoren kan van die “out of order execution” informatie weglekken, omdat er iets fout is met de bescherming van het geheugen tegen ongewenst lezen van bepaalde geheugenplaatsen van het systeem, de kernel, door een gebruikersprogramma (userspace). Bovendien wordt er gebruik gemaakt van de verschillende niveaus van “cache”, tijdelijke geheugen opslagplaatsen, die blijkbaar niet allemaal even goed afgeschermd zijn. En van het verschil in snelheid tussen het gebruik van cache en het ophalen van data uit gewoon geheugen.

Ik stel het even voor door een verhaaltje. Stel dat je wil weten welke boeken je lief gereserveerd heeft in de bibliotheek.

De bibliothekaris is bezig met een aantal briefjes, waarop de naam van gebruiker staat, en de bibliotheeknummers van de titels die ze willen.

Hij gaat de bibliotheek in, en telkens als hij de boeken gevonden heeft, legt hij ze op zijn tafel, en zet met potlood een vinkje bij de persoon. Als hij alle boeken van die persoon bij elkaar heeft, legt hij ze in een bakje achter de balie, buiten zicht.

Je ziet het lijstje op de balie liggen, je ziet dat de boeken van je lief al gevonden zijn want er staat een vinkje bij. Als je hem zou vragen welke boeken je lief besteld heeft, zal hij dat niet willen zeggen.

Wat doe je dan? Terwijl hij weg is om boeken te halen, neem je het gommetje op de achterkant van het potlood, en gomt het vinkje bij de naam van je lief weg.

De bibliothekaris komt terug van zijn zoektocht, legt de gevonden boeken weg, en kijkt welk briefje hij nog moet doen. Hij neemt dat van je lief, noteert de nummers, en gaat de boeken halen. Je ziet hem de boeken een voor een afvinken op het lijstje, en je weet genoeg.

De bibliothekaris gaat met de boeken naar het vakje, en zal opmerken dat er al boeken klaarliggen, dus hij zet ze in het karretje om terug te zetten.

De leiding van de bibliotheek geeft nu de bibliothekaris andere procedures om te vermijden dat zo informatie kan uitlekken. Hij mag geen hulplijstje meer bij de balie bijhouden, maar moet telkens naar de vakjes gaan om te checken of de boeken al klaarliggen voor een gebruiker. Daardoor duurt het tussen 10 en 30 procent langer om de boeken klaar te leggen.

Voor meltdown werd de KAISER patch ontwikkeld

De patches, de namen

(zie Linux Kernel Mailinglist en de “koosnaampjes” die ervoor bedacht werden; zie LKM).
Voor programmeurs is het natuurlijk bijzonder frustrerend om hun eigen programmeerwerk te moeten omgooien, om de knoeiboel van iemand anders te moeten opruimen. Dat merk je aan de oorspronkelijke naam voor de “patch”. (Een patch is de extra code die programmeurs moeten toevoegen als oplossing van een probleem. In dit geval is het meer een omleiding rond een probleem).
De naam van de patch beschrijf meestal kort het probleem of het concept van de oplossing; zoals het voorstel in dit geval: “Forcefully Unmap Complete Kernel With Interrupt Trampolines”. Linus Torvalds had er wel begrip voor, maar drong toch aan op een andere naam nadat hij de afkorting maakte: “FUCKWIT”, en hij kreegt er de naam “Kernel Page Table Isolation” door, met de politiek correctere afkorting “kpti”.

Schade beperken

Oorspronkelijk deed intel er nogal luchtig over, en stelde dat de gewone gebruiker nauwelijks wat zou merken. Ze stelden dat de processor normaal werkte (“as designed”). In de eerste communicatie sprak intel ook onmiddellijk over “intel en andere fabrikanten” om de concurrenten mee in het bad te trekken.

Linus Torvalds vond dat iemand toch eens in de spiegel moest kijken bij intel, en dat is naar zijn normen zeer beleefd uitgedrukt (er zijn dan ook enkele collega kernel programmeurs die afgevaardigd zijn door intel).

De tweede week van januari brengt Intel een bericht uit dat uit metingen blijkt dat het effect van de patches op de snelheid van pc’s niet meer is dan 10 procent, en meestal minder. Intel vertelt daarmee niets nieuws, want anderen hadden die cijfers al “geschat”, nl van 10 procent op de desktop tot 30 procent bij servers.
De goede toehoorder begrijpt dat intel hier vooral iets “NIET” zegt, nl wat de impact is op servers. Daarvoor zullen ze later met cijfers komen, stelden ze.

Op “the register”, die iets meer afstand kunnen nemen, verscheen een artikel met de titel “We translated Intel’s crap attemt to spin its way out of CPU security bug PR nightmare”.

(prints)

—

Een aantal patches brachten ondertussen hun eigen problemen mee. Sommige processoren gingen spontaan herstarten na het installeren van de patch.
Apple bracht een ptach uit voor iOS 11.2.2 op de iphone 6, en een gebruiker draaide daarna testprogramma’s waaruit bleek dat het toestel tot 40 % vertraagde.

—

Eind goed … ?

We zijn ondertussen weken na het ontdekken van de bugs en de mogelijke gevolgen. Alle Linux gebruikers die een recent systeem hebben en de updates niet uitgeschakeld hebben, zagen bij de regelmatige updates al verschillende keren de “intel” bugs vermeld staan in de beschrijving van een update, bv van de Linux kernel.
Maar zo loopt het niet overal. Betanews beschrijft een studie van Bridgeway over Britse organisaties hun smartphone beheer.

Er blijkt maar zo’n 4 procent werkelijk de juiste upgrades te hebben gekregen.

De overgrote meerderheid van de apparaten dus niet. Daarbij zijn er een aantal apparaten waarvan niet juist geweten of vastgesteld is in hoeverre ze getroffen zijn, eventueel slechts gedeeltelijk.

Zo’n 24 % van de apparaten behoren tot een categorie waarvoor geen patch meer ontwikkeld wordt, omdat ze zogezegd te oud zijn.

Kortom, minstens twee derde van de apparaten blijft kwetsbaar achter, en waarschijnlijk zelfs richting 90%.

Nieuwe_Kerncentrales

Het IREA, International Renewable Energy Agency, publiceerde een rapport over de evolutie van de kostprijs van hernieuwbare energie.

Daaruit blijkt dat de hernieuwbare energie fossiele brandstof inhaalt wat kostprijs betreft. De energie opgewekt door zonnepanelen en windmolens op land is nu al goedkoper dan die van fossiele brandstof, blijkt.
De electriciteit van windmolens op zee en zonnecentrales zit er nog iets boven, maar evolueert ook naar goedkoper.
Zonnecentrales gebruiken een stuk land met spiegels die gericht zijn op een centrale as, waar ze water opwarmen tot stoom, om een generator te doen draaien die electriciteit maakt. Een bekend voorbeeld zie je in het zuiden van Spanje, bij Sevilla, waar er twee staan, de PS10 en de PS20.
In zuid-australië worden nu plannen gemaakt voor de grootste zonnecentrale die ooit gebouwd werd. In dezelfde regio heeft Tesla al de grootste lithium ion batterij van de wereld gebouwd. In dezelfde regio heeft een kwart van de huizen zonnepanelen op het dak, en komt al 40 procent van de energie van wind en zon, tegen 2030 zou dat 100 procent kunnen zijn. Zuid-australië heeft de ambitie om wereldleider te zijn in hernieuwbare energie.

De Belgische minister van energie laat ondertussen een studie maken naar de mogelijkheid om een nieuwe kerncentrale te bouwen.

https://hardware.slashdot.org/story/18/01/15/2222258/renewable-energy-set-to-be-cheaper-than-fossil-fuels-by-2020-says-report

Net-neutrality

Het einde van de net neutrality zoals ze door de Amerikaanse Federale FCC is in het vooruitzicht gesteld, is toch niet helemaal zeker.
Behalve het vele protest, waaronder dat van 50 senatoren, zijn er ook concrete akties, zoals staten die plannen een eigen wetgeving maken die net neutrality oplegt.
Er is ook een rechtszaak in gespannen door 22 staten tegen de afschaffing van de net neutrality regel, die dateert van het Obama tijdperk.
Er zijn ook nog andere organisaties die een klacht indienden bij de federale rechtbank, één van de ondersteunende organisaties is trouwens Mozilla, dat de Firefox browser maakt.
Op www.freepress.net verschijnt een

De medewerkkers van Freepress.net bestaan uit 12 mannen en 19 vrouwen:
https://www.freepress.net/staff

Getuigenissen van stagairs .. https://www.freepress.net/internships

Openbare_dienst_openbare_code

Onder het motto “public money, public code”, is het bestuur van Barecelona een tijd geleden begonnen met een pilootproject om open source te gaan gebruiken in zijn administratie. Het pilootproject bestond uit 1000 pc’s met Ubuntu.
Het resultaat lijkt positief, want er zijn nu concrete plannen gemaakt om alle diensten over te schakelen. Dat zou midden 2019 rond moeten zijn. Ze gaan Open-Xchange als e-mail software gebruiken, en verder Firefox en LibreOffice. Over de Linux distributie die ze gaan gebruiken is nog geen informatie gegeven, mogelijk dezelfde als het pilootproject.
Barcelona bespaart er licentiegeld mee, en wordt minder afhankelijk van leveranciers, waar ze soms voor tientallen jaren aan vastzaten.
Nu gaan ze zelf 65 mensen in dienst nemen, en samenwerken met lokale kmo’s, zegt Francesca Bria, die verantwoordelijk is voor technologie en digitale vernieuwing in Barcelona.

De Free Software Foundation lanceerde het idee van Public Money, PUblic Code.
Ze ijveren ervoor dat software die met overheidsgeld ontwikkeld wordt, open source gemaakt wordt. Dat laat betere controle toe, stimuleert samenwerking en hergebruik, en levert besparingen op.

Ze publiceerden een open brief, en verzamelen handtekeningen om hun eis te kracht bij te zetten, en druk uit te oefenen op Europa.
In de VS is er al een regel die zegt dat van minstens 20 % van door overheid betaalde softwareontwikkeling de broncode moet vrijgegeven worden onder Vrije of Open Source licenties, maar dat vindt de EFF (Electronic Frontier Foundation) niet voldoende; 100 % publiek betaald is 100 % publiek vrijgeven.

https://www.eff.org/deeplinks/2017/10/public-money-public-code-show-your-support-free-software-europe

De petitie: https://publiccode.eu/#action

OX Community Edition is GPL2 software.
https://en.wikipedia.org/wiki/Open-Xchange

Op 12 oktober 2017 ging de open-xchange conferentie door in Brussel:
https://www.open-xchange.com/summit/oxs17-bruxelles/