On hackerspaces, Fox-IT and OHM2013

March 30th, 2013

A recent blogpost by PUSCII lamented the lack of moral fiber in Dutch hackerspaces. While well written, I do think their statements are not fair to all the people currently spending their free time to make the Dutch hackerspace community a vibrant and thriving part of society at large. The resulting mass-hysteria on twitter among German hackers gave me an uncomfortable feeling. My thoughts were torn between ‘if intolerance is leading, fuck the hackerscene’ and ‘there are some very good points being raised here’.

Disclaimer

This blogpost attempts to capture some of my more prevalent thoughts. Note that this blogpost reflects my own personal opinions and obversations, and not those of the OHM2013 organisation as a whole, Fox-IT, any of the hackerspaces I mention in this post nor any other organisation, collective, club or assembly I am part of.

Hackerspaces

There is a theme in PUSCII’s blogpost that reverberates with my own thoughts. Hackerspaces come in many forms. I have visited maybe a hundred of hackerspaces in the past years in a handful of countries, and all are different. In fact, the definition of what constitutes a hackerspace is one that leads to a lot of email threads on the hackerspaces list, many blogposts with varied opinions on the subject, extensive IRC chats. No agreement has been reached.

Within The Netherlands, hackerspaces are a relatively new phenomena. Whereas ASCII and PUSCII may be seen as the earliest hackerspaces in our country, they have always had a more revolutionary perspective on the world. Much like many of the German hackerspaces, they are instruments of the revolution. Many hackerspaces in Germany, really CCC club houses, see it as their mission to provide the infrastructure to help in the greater cause. They have, for example, set up media labs to edit videos that educate the public. They organise ideological discussion meetings.

The current hackerspace movement in The Netherlands is a young one. Sparked by HAR2009, regional groups started to form new initiatives. Initially, these Dutch hackerspaces (when looking at the surface) were mostly places ‘playing with LEDs’. Yet, among those who set up and visit those hackerspaces are many who have the vision that hackerspaces (and in fact, hacker-community) are more than just playgrounds for technophiles.

When I started Revelation Space in The Hague, I had a vision of a hackerspace that would be more like the German CCC club houses. Places where people with a critical view of the world and an inquisitive take on developments surrounding technology, the state and the people gather to engage in (hack)tivism and generally make the world a better place. My ambitions were high, and initially Revelation Space was more of a place where people would just play with LED’s.

Recently though, as the space has matured, I see that activities such as I had envisioned originally, are becoming a part of the daily praxis at Revelation Space. For example, a number of members decided to set up a hotline for hackers, to anonymously report security incidents. They fill in a gap, in a bottom-up way, where our government is failing. The law still puts well-meaning and ethical hackers in a tough spot that discourages reporting issues with security of systems containing privacy sensitive information.

Not only are individual hackerspaces constantly evolving, the hackerspace movement as a whole is changing. More and more hackerspaces open their doors in The Netherlands. Among them are also those of a more reactionary nature, where the focus inherently is more on activism than on tinkering (but never exclusively either one of them). As the hackerspace culture in The Netherlands matures, we will likely see a better balance between pure techno-love and tinkering on the one hand and hard-core hacktivism on the other hand.

OHM2013

I feel sorry that there are people who have expressed they will no longer help out at OHM2013 or no longer visit OHM2013 because of a single sponsor. I don’t feel sorry for OHM2013: it will happen with or without them. And it will be awesome. There will be blinking leds, but there will also be many interesting people. Activists, idealists, pragmatists, all on one field. The sheer potential of useful encounters and discussions that move our thoughts beyond what we can get from experience in isolation alone is awe-inspiring.

Contrary to the German CCC, The Netherlands does not have a structure that allows hackers to organise and meet on a regular basis. The hackerspaces have a role in this, but by nature can not attract the thousands that flock together to the four-yearly hacker camps. And that underlines the importance of the events in the series of OHM2013. They have an important role within the Dutch hacker community.

And of course, there are always people who disagree with the choices made by the group of volunteers putting these conferences together. In 2005, a group of revolutionaries was of the opinion that a community event must be free for all, not something one would have to pay for. Sidestepping the morbid reality of having to pay for equipment to set up an in-promptu network for 3000 hackers, having to pay for tents to house 3000 hackers and those who speak to them, having to pay for showers and toilets to keep 3000 hackers from drowning in their own shit and puke, they set up ‘squat the hack’ and decided that contrary to all the other visitors they did not have to pay for that edition of the camp.

Even in 1989, the Galactic Hacker Party was accused by some more extermist squatters in Amsterdam of being a platform for ‘those evil corporate computer people with their capitalistic computer machines’ (mind you, computers were still something of an oddity back then).

In 2009, some people accused the HAR2009 organisation of being corporate sell-outs who only were in it for the money. Despite the fact that I personally, as one of the driving forces behind that edition, nearly went bankrupt because I chose to work on HAR2009 instead of doing paid work.

And now we have a group of people condemning the entire event based on rumours about a single sponsor. So be it. One cannot please everyone at the same time, yet having this conference is paramount to the further maturing of the Dutch hackerscene. Not only that, it gives the newer generations of hackers a chance to meet the older generations. And to meet the many passionate individuals who fight for their causes and ideals.

So, all in all, if you do decide not to come to OHM2013 because your leaders tell you it is considered bad form to do so, then that is your loss. You will miss out on a unique opportunity to educate others on your ideals and to be exposed to radical new ideas that may broaden your mind.

Fox-IT

About a year ago I was contacted by Walter from Fox-IT. He saw my skills and my ideals and thought they would make a good match with those of Fox-IT. At first I was skeptical, but after the first few talks my opinion turned around.

Some now believe I have become a slave of the dark side. That is ok, for I know it is not the case. Working on ‘the inside’, I can see that among those people making up Fox-IT are also the same idealists that I am. There has always been a lot of debate about, for example, Replay (the so-called ‘wire-tapping’ software which is basically a pimped sort of wireshark without the capturing abilities). Not because of the software, but of the possible business decisions made at the time.

I would invite all the critics, those who click ‘retweet’ on tweets full of allegations, to come to OHM2013 and meet Fox-IT. Talk to the people who work there. You will find out they are not all that different from yourself.

As an example, recently someone brought up the subject of a ‘police trojan’ on the internal nerds mailing list. He had heard something about it, and thought Fox-IT could develop such a tool to aid in catching cyber-criminals. It made me feel warm and fuzzy inside to see the outspoken ‘NO we can not develop such software’ present in all the replies to that thread. My colleagues, like me, are intrinsically against such practices for all the same reasons that the criticasters are.

Heck, talking to Ronald Prins (CEO of the company, and for some the personification of evil on this world) you might even find out his opinions are much more balanced than the impression you might get when you let the media filter his statements for you. Note that I do not feel inclined to defend his opinions here or anywhere, as I myself sometimes vehemently disagree.

I have seen that the consciousness of Fox-IT is a very active and vocal one, and is formed by the moral fiber (to use an overloaded term) of those who work there. Even before the fefe-isation of this discussion, my colleagues expressed doubts and worries about Replay (sold in 2011 and no longer a product of Fox-IT). When the German community went into a dogmatic stance against OHM2013 because of the sponsorship, the discussion within Fox-IT naturally increased as well. I have spent many hours the last few days at my desk, in the hallways and the canteen. I am impressed by the insightful and intelligent remarks and questions.

Yes, Fox-IT develops tools that help the police catch bad guys. If you are radically against any form of authority, that might rub against your fur. I am not a big fan of the police and their more violent nature myself, having spent a fair amount inside police cells. I have walked in demonstrations where the police clubbed down demonstrators without provocation. But I have also been glad the police was around when a pretty fucked-up individual was about to attack me. Those two police officers might very well have prevented that I ended up bleeding to death on platform 12 of Amsterdam Central station.

So there are two sides to every story. And while some of you may think Fox-IT is engaged in activities that don’t jive with your morality, I believe (from observation and discussion) that this is not the case. Ronald Prins has a vocal opinion, but in expressing it he may not always act in accordance with the larger group of people that make up Fox-IT. Personally, when I disagree with his statements I will tell him (and in fact, he consults me and many others within Fox-IT on a regular basis). I do not see Fox-IT engage in activities that I am vehemently opposing: “state-sponsored malware”, making products to listen in on phone calls or internet traffic, prosecute hackers who are on the good side or otherwise participate in far-reaching violations of basic civil rights. If I would see such activities, I would have terminated my employment without further thought.

Conclusion

I am not one to make decisions based on popular opinion. That makes me a loner. I choose to work for Fox-IT, a company perceived by many of my peers to be at the wrong side of the sharp line dividing good and evil. It has led to intolerant and outward hostile reactions from some of them. Still, I am at peace with that decision. Even though people may not understand, I am where I need to be: in peace with myself, my decisions and my ideals. I wish everyone the same.

Flattr this

Zullen ze het dan nooit snappen? (groene hart)

November 30th, 2012

Allerlei nieuwsberichten en roddels doen momenteel de ronde rondom een serieus beveiligingsincident bij het Groene Hart ziekenhuis. Dit ziekenhuis had gegevens van om en nabij ene half miljoen patienten op een onveilige plek opgeslagen. Dit kwam aan het licht nadat een hacker dit had ontdekt en het via een journalist wereldkundig maakte.

Opgepakt

Het ziekenhuis heeft, op aanraden van het NCSC en beveiligingsbedrijf Fox-IT aangifte gedaan en naar aanleiding hiervan is een arrestatie verricht. Of de gearresteerde persoon dezelfde is als degene die het lek wereldkundig maakte, is nog niet bekend.

Als dit wel zo blijkt te zijn, ontstaat er een vervelende situatie. In eerste instantie zou ik geneigd zijn te denken dat wanneer iemand een lek als dit vindt, en dit (na op de hoogte stellen van het ziekenhuis en het NCSC) wereldkundig maakt, dat deze persoon te goeder trouw handelt en geen misbruik van de gegevens heeft willen maken. Kortom, dat we hier met een ethisch hacker te maken hebben.

Wie is hier nu de dader?

Het oppakken van iemand die te goeder trouw een ernstig lek meldt, is de omgekeerde wereld. Een ziekenhuis, dat bij uitstek zorgvuldig om zou moeten gaan met medische gegevens van patienten, dat op totaal onverantwoordelijke wijze prive-gegevens van patienten verwerkt zou flink moeten worden aangepakt.

De hacker die het beveiligingslek vond is nu de gebeten hond: opgepakt en waarschijnlijk een strafblad aan zijn broek. Immers: computervredebreuk is verboden. Of je nu met criminele motieven inbreekt of dat je een lek netjes meldt zonder er misbruik van te maken.

Het bedrijfsleven lost het wel op…

Een tijd terug pleitte ik al voor een platform waar ‘ethische hackers’ een melding kunnen doen van een gevonden lek. Een platform dat onafhankelijk is van overheden of bedrijven,

Destijds was een veelgehoorde reactie van politici dat er bedrijven in Nederland zijn die prima dit soort zaken kunnen aanpakken. Zo’n platform zou dus overbodig zijn, en ethische hackers beschermen zou nergens voor nodig zijn. Want het zijn gewoon criminelen, aldus de politici.

Deze zaak maakt pijnlijk duidelijk waarom dat wel belangrijk is. Het ziekenhuis had een van deze bedrijven (Fox-IT) in de hand genomen om de beveilging op orde te krijgen. Nu is mij niet bekend wat de exacte opdracht van het ziekenuis aan Fox-IT is geweest, maar vast staat dat als je iemand inhuurt je geen ‘silver bullet’ in huis haalt.

Zo was er maanden geleden een incident bij de gemeente Amsterdam, op een site waar burgers digitaal een paspoort konden aanvragen en dergelijke. Daarvoor was al een ander incident in dezelfde infrastructuur aan het licht gekomen. De gemeente had een beveiligingsbedrijf in de arm genomen om het lek te dichten en na te gaan of dat specifieke lek was misbruikt. De conclusie was dat dat niet het geval was, en de gemeente jubelde ‘alles is weer veilig’.

Een kapitale vergissing natuurlijk, want de zeer beperkte opdracht die de gemeente aan het beveiligingsbedrijf gaf rechtvaardigde de conclusie in het geheel niet. En dus was er snel weer een ander lek gevonden. Totdat de gemeente het hele systeem onder de loep neemt (of daar opdracht toe geeft) is er niets te zeggen over de totale veiligheid van het systeem.

Autonome hackers

En daarom is het zo belangrijk dat autonome hackers, die in hun vrije tijd lekken ontdekken, hier zorgvuldig mee omgaan en veilige ICT als doel hebben niet als misdadigers worden behandelt. Want dat schrikt af, en een ethisch hacker zal zich wel twee keer bedenken alvorens een ontdekt lek te melden bij de lekkende organisatie of een overheidsinstelling als het NCSC. En dat betekent dat lekke systemen lek blijven, en dat de kwaadaardige hacker (die uiteraard nergens melding van maakt) onopgemerkt zijn gang kan gaan en (zoals in dit geval) fijn misbruik kan maken van onze medische gegevens.

Gelukkig is er inmiddels een initiatief (dat in de kinderschoenen staat, dat moet gezegd worden) waar hackers anoniem terecht kunnen om melding te maken van gevonden lekken. Bij het hackmeldpunt kunnen dit soort incidenten gemeld worden. Dit initiatief is opgezet door een aantal leden van hackerspace RevSpace in Den Haag en heeft al bijgedragen aan het voorkomen van incidenten waar privacy-gevoelige gegevens op straat lagen. Zonder media-circus, zonder arrestaties. Schoon en doelmatig.

Lastige definitie

Tot slot zou ik nog kort (te kort) in willen gaan op het begrip ‘ethisch hacker’. Want aan de extreme kanten kunnen we ons er wel iets bij voorstellen: iemand die een lek vindt, er niets mee doet en het netjes meldt is ethisch bezig. Iemand die een lek vindt, alle gegevens download, en deze verkoopt aan de oost-Europese mafia is niet ethisch bezig.

Maar iemand die een lek vindt, perongeluk de server laat crashen door een inefficiente download-opdracht uit te voeren om 20GB aan bestanden te verkrijgen, is die ethisch bezig? Had die hacker niet kunnen volstaan met 1 of 2 voorbeelden om zijn bevinding kracht bij te zetten (want helaas worden serieuze meldingen ook vaak weggewimpeld)?

Wat het nog extra ingewikkeld maakt, is dat er naast een hoop lieve mensen in de hacker-gemeenschap ook af en toe een blaaskaak rondloopt, met een te klein ego. Met een motivatie om het eigen ego op te blazen door stoer te doen over wat je allemaal wel niet voor nare dingen op andermans servers kunt uithalen (en ook de daad bij het woord te voegen) bij je in mijn ogen ook niet ethisch bezig.

Om af te sluiten, als blijkt dat de gearresteerde persoon wel degelijk fout bezig is geweest dan lijkt mij arrestatie en bestraffing terecht. We zullen moeten afwachten hoe of wat, want zolang het onderzoek loopt zijn we aangewezen op flarden ‘feiten’ (al dan niet gekleurd door ontbrekende context of ‘journalistieke creativiteit’) en kunnen we dus eigenlijk niets zinnigs zeggen.

Disclaimer

Overigens ben ik zelf niet bij het meldpunt betrokken, mochten de wat meer paranoide lezers onder u denken dat ik als r&d developer bij Fox-IT stiekem meldingen doorspeel. En, deze blog verwoord mijn persoonlijke inzichten en standpunten, niet die van RevSpace, Fox-IT, OHM2013/IFCAT of enige andere organisatie waar ik in welke hoedanigheid dan ook bij ben betrokken.

Flattr this

De hacker gehackt?

November 3rd, 2012

Het is inmiddels alweer oud nieuws: begin augustus was er veel ophef in de media over uitspraken van Ronald Prins, directeur van IT beveligingsbedrijf Fox-IT. Prins pleit voor een vergaand recht voor de Nederlandse opsporingsdiensten om ‘terug te hacken’ wanneer in het buitenland computers worden ingezet voor het uitvoeren van criminele activiteiten gericht op Nederlandse burgers. Een controversieel standpunt, dat natuurlijk op de nodige reacties kan rekenen (uiteraard in niet meer dan 140 karakters).

Nadat minister Opstelten (digibeet pur sang) een brief aan de kamer schreef met vergelijkbare plannen, sloeg de vlam natuurlijk helemaal in de pan. Bits of Freedom besteedde aandacht aan de brief op haar website, waarbij net als in de uitspraken en de brief die de aanleiding vormen voor deze reactie wel erg kort door de bocht wordt geredeneerd.

Het voorstel

In de brief van Opstelten aan de kamer wordt voorgesteld om te onderzoeken of de Nederlandse politie en het Openbaar Ministerie meer bevoegdheden kunnen worden gegeven om beveiliging van computers te doorbreken met als doel hier bewijsmateriaal te verzamelen of criminele activiteiten stop te leggen. Ook wordt het ‘helen’ van digitale gegevens, het verkopen van gegevens verkregen door onrechtmatig toegang tot computers of systemen te verkrijgen, genoemd. Dit alles ook, of juist, als het gaat om computers of systemen in het buitenland.

De achtergrond is gelegen in een toenemende overlast van cybercriminaliteit. Diefstal uitgevoerd in het digitale domein, door vaak erg professionele en georganiseerde bendes in met name Oost-Europese en Aziatische landen. Landen waar Nederland, een erfenis uit het verleden, traditioneel weinig juridische samenwerking mee geniet. Opstelten, die zelf geen enkel idee heeft hoe het internet werkt en zich moet behelpen met analogieën in de fysieke wereld om zich een idee te vormen van het digitale domein, constateert met Prins terecht dat de traditionele opsporingsdiensten machteloos staan tegenover deze bendes.

Wilde westen

Lang geleden, toen het internet nog in de kinderschoenen stond, werd het wel eens vergeleken met het Wilde Westen. Een onontgonnen wereld. De verwachtingen waren hoog; een heel nieuw virtueel landschap dat niet gebonden was aan landsgrenzen zou een platform worden voor het vrije woord. Idealisten voorspelden een gouden toekomst. Van het vrije woord is inmiddels niet zo veel meer over op het internet. Maar de landsgrenzen zijn nog altijd irrelevant, en criminelen maken daar dankbaar gebruik van. Je hoeft niet langer naar Nederland om geld van Nederlanders te stelen, als geheime dienst hoef je niet langer een spion naar Nederland te sturen om allerlei interessante informatie over de Nederlandse burgers en de Nederlandse staat te verzamelen.

Justitie en politie blijven echter achter, en zijn gebonden aan de landsgrenzen. Bij strafbare feiten jegens Nederlandse burgers of de Nederlandse staat zijn zij afhankelijk van de samenwerking met vergelijkbare diensten in andere landen. En die verloopt niet altijd soepel, of wordt ronduit geweigerd. Tegen de tijd dat een verzoek om hulp aan het buitenland wordt beantwoord, is de crimineel al lang gevlogen. Het internet is dus voor de criminelen nog steeds het Wilde Westen: een vacuüm waarbinnen de kwaadwillende ongehinderd zijn snode plannen kan uitvoeren, met hier en daar een machteloze sheriff die krampachtig zijn stadje probeert te verdedigen tegen het boeventuig.

Terughacken

Het is dan ook niet zo vreemd dat Opstelten graag iets wil doen om ons, Nederlandse burgers maar natuurlijk ook de staat, te beschermen tegen dit boeventuig. Het is ook niet vreemd dat Prins, directeur van Fox-IT, graag ziet dat er kan worden opgetreden tegen deze praktijken. Wie zich wil beschermen, en daarbij hulp zoekt van bijvoorbeeld bedrijven als Fox-IT, ITSX, Madison Gurkha en noem ze maar op krijgt vaak nee op het rekest. De bedrijven worden overspoeld door verzoeken van bedrijven en organisaties die last ondervinden van cybercriminaliteit en hebben geen ruimte meer voor nieuwe klanten. Maar ook de autonome hackers merken dat er veel behoefte is aan bescherming, via bijvoorbeeld hackerspaces.nl krijg ik regelmatig verzoeken van instellingen die hulp willen bij het beveiligen van IT infrastructuur. Er is simpelweg niet genoeg mankracht beschikbaar om de tsunami (om maar eens een klassieke woordkeuze te gebruiken) te stoppen.

Door alleen de symptomen aan te pakken (beetje patchen hier, pentestje daar, adviesje zus, audit zo) sla je geen bres in de aanhoudende golf van oplichterij en computerinbraken. Is terughacken dan wel een oplossing? Het is mijns inziens wel een verruiming van de blik in de goede richting. Niet naar de gevolgen kijken, maar naar de bron. Immers, zolang de bron niet opdroogt blijft het dweilen met de kraan open.

Toch vind ik de voorstellen op zijn minst vreemd te noemen. Op de site van Fox-IT wordt een vergelijking getrokken met het internationaal zeerecht. Wanneer in de internationale wateren, die volgens internationale afspraken niet bij het grondgebied van een bepaald land horen, misdaden worden gepleegd is een land gerechtigd daar tegen op te treden. Deze vergelijking gaat, zoals zo veel vergelijkingen die proberen het digitale uit te leggen door vergelijkingen te maken met het fysieke, echter mank. Het voorstel gaat niet over internationale wateren, maar gaat expliciet in op het plegen van strafbare feiten door Nederlandse ambtenaren op buitenlands grondgebied.

Terecht geeft Bits of Freedom in haar reactie aan dat dit precedenten schept, en wel eens tegenaanvallen zou kunnen provoceren. Maar tegelijkertijd spreekt uit de reactie van Bits of Freedom een hoop naïviteit, door te denken dat er nu al niet door buitenlandse mogendheden actief informatie wordt verzameld (van economische of politieke aard) door op Nederlandse systemen in te breken. Het gros van de computers bij mensen thuis is voorzien van 1 of meerdere virussen, waardoor hele maffia-organisaties letterlijk mee kunnen kijken met je banktransacties.

Hypocriet

Het is eigenlijk een beetje een raar spelletje geworden. Een jaar terug riepen we vanuit de Nederlandse hackergemeenschap nog om een vergelijkbare bevoegdheid. Goedbedoelende ethische hackers durven vaak geen bevindingen te melden over systemen die slecht beveiligd zijn, uit angst voor juridische represailles. Ik liep zelf voorop in de roep om een juridische bescherming voor deze consciëntieuze hackers. Vanuit overheidswege en de grote bedrijven was het protest niet van de lucht. “Een vrijbrief om te hacken”, daar was de gevestigde orde bang voor.

Nu zijn de rollen omgedraaid. De gevestigde belangen hebben door dat het allemaal niet zo zwart-wit is gesteld, en willen nu zelf rechtsbescherming voor iets wat in feite op hetzelfde neerkomt. En vanuit de hackercommunity en privacy-voorvechters horen we nu hetzelfde “Een vrijbrief om te hacken! Schande!”.

En nu?

En nu wacht ik bevend op het wetsvoorstel dat Opstelten (mocht hij zoals verwacht in het nieuwe kabinet wederom aan de bak mogen als minister van Justitie & Veiligheid) gaat presenteren. Voorstanders van dit proefballonnetje herhalen regelmatig dat een dergelijke wet zorgvuldig moet worden toegepast, en alleen in ernstige gevallen mag worden aangeroepen. De vraag is dan automatisch wat een ernstig geval is. Of belangrijker nog: wie bepaalt wanneer een geval een ernstig geval is.

En hoe denken voorstanders van deze wet over andere landen die mogelijk ook zo’n wet aan gaan nemen? Accepteren wij als land dan dat bijvoorbeeld China bij ons mag inbreken om de daar geldende wetten te handhaven? Dat betekent dan dus dat bijvoorbeeld het verwijderen van informatie die kritisch is tegen het Chinese regime ook fair game is. Is dat wenselijk? Ik denk het niet.

De wet is in mijn ogen dan ook een slecht idee, en Opstelten is de laatste die ik vertrouw om hier een zorgvuldig en werkbaar voorstel van te maken. Toch zie ik wel een lichtpuntje. Het voorstel, en de bijbehorende provocerende stellingen van bijvoorbeeld Prins, kunnen gebruikt worden als een aanknopingspunt om nu eens echt na te denken over cybercriminaliteit.

Tegen, maar dan?

Hackers zijn er in alle soorten en maten, en binnen de gemeenschap loopt het spectrum uiteen van knutselaars tot sterk ideologisch gemotiveerde politieke dieren. De techneut voert echter de boventoon, en vanuit die hoek is cybercrime vooral een technische puzzel. Het ontbreekt wat dat betreft erg aan visie over het grotere geheel, in mijn ogen. Want wat is het antwoord op cybercrime vanuit de hackercommunity? Zero-days vinden? Linux installeren? Lachen om die domme gebruikers die hun computer niet goed kunnen beveiligen?

Dus, hackers, wat vinden we? Ja, we zijn tegen dit ondoordachte en gevaarlijke wetsvoorstel. Maar zijn we meer dan alleen tegen? Ik heb het vaker gezegd: hackers vormen het technologisch geweten van de samenleving. Welnu, wat vind ons geweten van de wetteloosheid die het internet mogelijk maakt? Hebben we een antwoord op een reëel probleem: identiteitsdiefstal en oplichting. Of vinden we het eigenlijk wel prima, en is het een prijs die we graag (laten) betalen voor privacy?

Flattr this

Resistance is futile

July 10th, 2012

This afternoon over lunch, my company at the table was discussing blogging and thus I was remined of my lack thereof. Of course, it is the most prevalent cliche excuse abound, but yes: I’ve been busy. Let me quickly fill you in on the past months and then go into my current most addictive passion: OHM2013 (the sequel to HAR2009). Just to be sure, as this is my personal blog the below is all my own opinion & observations and doesn’t reflect the opinion of my cats, the companies I work for, the board of Stichting IFCAT Foundation or any deity whatsoever.

What have I been doing?

Last month I started a new job. No more freelancing for me, I was totally fed up with the acquisition part of it and needed some stability income-wise. I’m now developer crypto & high security with Fox-IT, a move I had not anticipated a few months ago. Although I should have seen it coming, since about half of my friends and acquaintances seem to have been recruited by them in recent months. Anyway, that meant I had to finish up some important work at the Digital Methods Initiative, where I was part-time employed before. In between, the usual stream of requests from journalists and documentary makers, being an extra in the upcoming Blender open movie (codenamed Mango) and more distractions.

So that had me tied up for a while, and at the same time things were gearing up for OHM2013. At first we kinda took it slow, but now we’re switching to full pre-event modus. And that means that apart from the $dayjob, any spare hour I can find is spent preparing for this next edition of the 4-yearly Dutch hackercamps. Meanwhile, I had some other projects that demanded plenty of time. There was Limesco. The radioshow. Electronics- and software-projects I was working on. But time has come: I’m suspending all activity on other projects to focus fully on OHM2013 now.

OHM2013

Rumour has it that various interested parties are observing a lack of info coming forth the current OHM2013 core group, and I must agree. That has been intentional though: there are a few brilliant camps coming up these months (of which I’ll visit haxogreen, eth0:2012 summer and EMFcamp, and so should you!) and I think they deserve the full beam of the spotlight. However, I can also understand that people are eager to know more about what’s going on. I will try to keep up with some informal blogs from time to time on what I am doing with regards to OHM2013, to hopefully fill that gap.

The first part of such an event is as always: location, location, location. Together with a great bunch of volunteers, we have been looking over many potential event locations. It’s been difficult, surprisingly, to find the perfect location but I believe we have settled on one that comes close. It is a bit too early to tell you all where it will be, what with the negotiations still going on at this point. However, keep an eye on the OHM2013 site, it is quite realistic that the official announcement will be on there within weeks.

Also not official, but pretty much decided is the date. If all goes well, we should end up with july 31st until August 4th 2013. Statistical data seems to suggest these days give the best probabilities for nice weather, so what could possibly go wrong? This also doesn’t overlap with too much other relevant events.

So currently, I am mostly busy finalizing the formal details regarding the terrain: a contract, permit and what have you. Meanwhile, the proto-NOC is already putting focus on finding out options for the uplink. Preparations for the program committee (nay, content committee) are also well under way and various people are joining the effort to bring a diverse and inspiring line-up of lectures and workshops. One thing I wanted to try this time, and has been met with approving nods so far, is an ‘off the record’ track. Lectures to be scheduled in a tent where there is no recording equipment, no P/A and a strong request to not record or report on the content of the lectures. This will hopefully accommodate those lectures that bring some interesting and hard-core content, but are reluctant to jump on the fully open and public space that these events have become over the decades. Curious to see how that is going to work out, and if there is even a demand for such a stage among potential speakers.

Community

I have said it before, but I will repeat it once more: it is great to see all the enthusiasm among the community about OHM2013. Even better is that when thinking about the essential teams that it is not difficult to find the people with experience to head those teams. Slowly, the team-leads are reporting for duty. If all is well, Eelco (who is in charge of leading the teamleads :) will soon put more info on that on the wiki.

After HAR2009 we have witnessed a huge growth in hackerspaces being founded in The Netherlands and Belgium specifically. I have no doubt this can be led back to the great fun those founders had at HAR2009. This network of ‘hacker branch offices’ provides an awesome backbone to our community. And I have made it my personal mission to have OHM meetings in each and every Dutch hackerspace in the next months. So far we have had board meetings at Sk1llz, RandomData, Bitlair and  RevSpace. At TechInc we have had a location team meetup, and of course there was the kick-off party at Hack42.

Apart from all the volunteers in those teams, these events never happen without the sponsorship of a number of friends. Now that we have more concrete plans regarding the location, date and (as a corollary) the budget, efforts to secure enough support to make ends meet and keep ticket prices well-affordable are about to start up.

And now..

..i’m going back to work! Plenty of things to organize. Hope you enjoyed this blog post and that it squelched some of that thirst for information!

Flattr this

How lack of sleep turned my vision red (or: combating insomnia with science)

October 22nd, 2011

If, like me, you tend to suffer from sleeplessness you will know it can be exhausting; being awake until the early morning, knowing the number of hours until the alarm buzzes is rapidly decreasing. Staying up late and waking up late might seem like a solution, but it only gets more exhausting. As it turns out, knowing the role a hormone named melatonin plays in your natural wake-sleep cycle enables you to take action to change some of your habits to induce better, more and healthier sleep.

Now, melatonin is the opposite of adrenaline. The latter has an effect of making you more aware, short-cutting the rational mind and switching back to your pre-historic instincts. Melatonin, however, is a hormone produced by the pineal gland somewhere in the middle of your brain and leads to calmness and sleepiness.

Normally, the production and re-uptake of melatonin is synchronous with sunset and sunrise. When the sun rises, the blue and to a lesser degree the green light (or more precisely, light with a wavelength above 530nm) on your retina will inhibit the production of melatonin. In the absence of such light, melatonin is produced and makes one sleepy.

Delayed inhibitation

Now, it is not as simple as stated above of course. For one, melatonin is produced from serotonin, a neurotransmitter that is associated with mood. Depression is caused by a lack of serotonin (in many cases because the serotonin re-uptake is too active or due to a lack of physical activity during the day), so it is no surprise that both insomnia and depression go hand in hand.

Some people also have a delayed inhibition, either by some internal cause but usually due to external light. Especially within IT, people tend to stay up late and sit behind their laptop screens. And guess what, these emit the green light inhibiting the production of melatonin!

Reprogramming the brain

There are various methods one could utilize to help the brain stay in sync with the day and night outside. In many countries, melatonin supplements can be bought (over the counter or in higher dosage with a prescription). Since melatonin is a hormone produced by the body, it is relatively safe to take synthesized melatonin from these supplements.

While these can be very effective (I have found very positive effects with a dosage of 3mg, although off-the-shelf dosage is usually around 0.1mg), there has been very little study regarding the long-term effects. Given that the role in the circadian rhythm is just one of many for melatonin, it might be wise to exercise some caution.

Reprogram your brain

A better and more natural way of resetting your biological rhythm is to pay attention to the light in your environment. This starts in the morning (yes, waking up properly is an important condition for a good nights rest). When you wake up, stare outside for 5 to 10 minutes and get a good dose of green light. This will reset your pineal gland, and stop the production of melatonin.

In winter, it might still be dark when you get up. In that case, you might want to consider getting a full-spectrum lamp, or at least a lamp that has as significant amount of greens and blues in its spectrum. Fluorescent lighting might also do the trick, but be aware that these normally produce very narrow spikes in the visible spectrum on the green, blue and red wavelengths and might therefore be less effective.

Software to make you sleep better

In the evening, a good start is to do the inverse: dim the light, use incandescent light which tends to lack greens and blues. But also take a look at your computer or laptop screen. This is a very rich source of green and blue light, so staying up late behind your laptop will inhibit the onset of melatonin production and delay your sleepiness.

One, quite ridiculous, suggestion is to stop working on your laptop an hour before you plan to get to sleep. I know, it’s heretic. Luckily, we can be a bit smarter about it by simply reducing the green and blue emitted from the screen!

Until recently I used the compiz compositing window manager for the sole reason that it let’s me apply a rendering function to my screen. Rendering functions are transformations applied within your graphics card that combine the red, green, blue and alpha value your software draws on the screen into the output you see.

Compiz has a ‘color filter’ plugin, which can be used to apply a rendering filter. I wrote a simple rendering function (in GPU assembly) that averages the red, green and blue channels and then writes this average to the red channel (leaving the blue and green channel dark). This has the effect of making your desktop monochrome, like a black-and-white tv but with red light instead of white.

This worked wonders. Next to dimming the roomlights in the evening, switching to this red view had a great effect on my ability to fall asleep.

But, recently I switched to xmonad; is a much more rudimentary and efficient window manager. It does support compositing somewhat, but only for useless effects such as transparent terminal backgrounds.

After discussing the matter at my hackerspace, I was put onto the path forward. To start with, one can use gamma correction to color-shift the image on the screen. This is a tedious process though, and getting it right requires some insight in how gamma-values actually influence color.

Luckily, there is software that takes care of all of that. The first I tried was f.lux, but it wasn’t optimal. For one, it was not open source, you could only get a binary. But more annoying, I tend to have at least 2 monitors and f.lux only works on one. So while my laptop screen would redshift, my external screen wouldn’t and the effect would be ruined.

But a bit of additional research led me to redshift. This is open-source and available in most linux distributions (for eg., apt-get install redshift in debian, or apt-get install gtk-redshift to get the applet as well).

I start it after I log in to an X session  (a windows version is available as well) and tell it where I am (by specifying latitude and longitude). It then knows when sunset and sunrise take place, and starts shifting the color of my display in small steps towards less green and blue and more red in the evening and back to the normal whiteness again in the morning.

Note that your phone also is a source of melatonin-production-inhibiting light. If, like me, you tend to check some rss feeds and maybe twitter in bed before you close your eyes, consider using something to redshift your phone display in the evening. Personally, I use an android phone with Cyanogenmod. This aftermarket firmware for your android phone already contains something called ‘rendering effects’. I placed a widget on my home screen that lets me choose between normal and ‘monochrome red’.

Good night, sleep well

The body is an intriguing complex of interacting processes, and while the above tends to work out really well it is not the panacea of sleep problems. There are many other interactions that may interfere with your ability to get a good healthy night of sleep.

For example, depression is known to cause a lack of serotonin and therefore may lead to decreased melatonin production. However, an unhealthy sleep rhythm (not in sync with planetary movement) has again a catalytic effect on depression.

I found that the above techniques (look into the light in the morning, redshift in the evening) greatly increased my ability to sleep at the right times and long enough, and be awake during the day without having to rely on stimulants. I feel more energetic and migraine has become a rare event as opposed to a weekly recurring disaster.

Your mileage may, of course, vary. But just give it a try. And let me know!

Ps: if you use caffeine to wake up in the morning or stay up late, disregard the above entirely; your circadian rhythm is too fucked up and the effects of my advice will likely be unnoticeable.

Flattr this