Now, melatonin is the opposite of adrenaline. The latter has an effect of making you more aware, short-cutting the rational mind and switching back to your pre-historic instincts. Melatonin, however, is a hormone produced by the pineal gland somewhere in the middle of your brain and leads to calmness and sleepiness.

Normally, the production and re-uptake of melatonin is synchronous with sunset and sunrise. When the sun rises, the blue and to a lesser degree the green light (or more precisely, light with a wavelength above 530nm) on your retina will inhibit the production of melatonin. In the absence of such light, melatonin is produced and makes one sleepy.

Delayed inhibitation

Now, it is not as simple as stated above of course. For one, melatonin is produced from serotonin, a neurotransmitter that is associated with mood. Depression is caused by a lack of serotonin (in many cases because the serotonin re-uptake is too active or due to a lack of physical activity during the day), so it is no surprise that both insomnia and depression go hand in hand.

Some people also have a delayed inhibition, either by some internal cause but usually due to external light. Especially within IT, people tend to stay up late and sit behind their laptop screens. And guess what, these emit the green light inhibiting the production of melatonin!

Reprogramming the brain

There are various methods one could utilize to help the brain stay in sync with the day and night outside. In many countries, melatonin supplements can be bought (over the counter or in higher dosage with a prescription). Since melatonin is a hormone produced by the body, it is relatively safe to take synthesized melatonin from these supplements.

While these can be very effective (I have found very positive effects with a dosage of 3mg, although off-the-shelf dosage is usually around 0.1mg), there has been very little study regarding the long-term effects. Given that the role in the circadian rhythm is just one of many for melatonin, it might be wise to exercise some caution.

Reprogram your brain

A better and more natural way of resetting your biological rhythm is to pay attention to the light in your environment. This starts in the morning (yes, waking up properly is an important condition for a good nights rest). When you wake up, stare outside for 5 to 10 minutes and get a good dose of green light. This will reset your pineal gland, and stop the production of melatonin.

In winter, it might still be dark when you get up. In that case, you might want to consider getting a full-spectrum lamp, or at least a lamp that has as significant amount of greens and blues in its spectrum. Fluorescent lighting might also do the trick, but be aware that these normally produce very narrow spikes in the visible spectrum on the green, blue and red wavelengths and might therefore be less effective.

Software to make you sleep better

In the evening, a good start is to do the inverse: dim the light, use incandescent light which tends to lack greens and blues. But also take a look at your computer or laptop screen. This is a very rich source of green and blue light, so staying up late behind your laptop will inhibit the onset of melatonin production and delay your sleepiness.

One, quite ridiculous, suggestion is to stop working on your laptop an hour before you plan to get to sleep. I know, it’s heretic. Luckily, we can be a bit smarter about it by simply reducing the green and blue emitted from the screen!

Until recently I used the compiz compositing window manager for the sole reason that it let’s me apply a rendering function to my screen. Rendering functions are transformations applied within your graphics card that combine the red, green, blue and alpha value your software draws on the screen into the output you see.

Compiz has a ‘color filter’ plugin, which can be used to apply a rendering filter. I wrote a simple rendering function (in GPU assembly) that averages the red, green and blue channels and then writes this average to the red channel (leaving the blue and green channel dark). This has the effect of making your desktop monochrome, like a black-and-white tv but with red light instead of white.

This worked wonders. Next to dimming the roomlights in the evening, switching to this red view had a great effect on my ability to fall asleep.

But, recently I switched to xmonad; is a much more rudimentary and efficient window manager. It does support compositing somewhat, but only for useless effects such as transparent terminal backgrounds.

After discussing the matter at my hackerspace, I was put onto the path forward. To start with, one can use gamma correction to color-shift the image on the screen. This is a tedious process though, and getting it right requires some insight in how gamma-values actually influence color.

Luckily, there is software that takes care of all of that. The first I tried was f.lux, but it wasn’t optimal. For one, it was not open source, you could only get a binary. But more annoying, I tend to have at least 2 monitors and f.lux only works on one. So while my laptop screen would redshift, my external screen wouldn’t and the effect would be ruined.

But a bit of additional research led me to redshift. This is open-source and available in most linux distributions (for eg., apt-get install redshift in debian, or apt-get install gtk-redshift to get the applet as well).

I start it after I log in to an X session  (a windows version is available as well) and tell it where I am (by specifying latitude and longitude). It then knows when sunset and sunrise take place, and starts shifting the color of my display in small steps towards less green and blue and more red in the evening and back to the normal whiteness again in the morning.

Note that your phone also is a source of melatonin-production-inhibiting light. If, like me, you tend to check some rss feeds and maybe twitter in bed before you close your eyes, consider using something to redshift your phone display in the evening. Personally, I use an android phone with Cyanogenmod. This aftermarket firmware for your android phone already contains something called ‘rendering effects’. I placed a widget on my home screen that lets me choose between normal and ‘monochrome red’.

Good night, sleep well

The body is an intriguing complex of interacting processes, and while the above tends to work out really well it is not the panacea of sleep problems. There are many other interactions that may interfere with your ability to get a good healthy night of sleep.

For example, depression is known to cause a lack of serotonin and therefore may lead to decreased melatonin production. However, an unhealthy sleep rhythm (not in sync with planetary movement) has again a catalytic effect on depression.

I found that the above techniques (look into the light in the morning, redshift in the evening) greatly increased my ability to sleep at the right times and long enough, and be awake during the day without having to rely on stimulants. I feel more energetic and migraine has become a rare event as opposed to a weekly recurring disaster.

Your mileage may, of course, vary. But just give it a try. And let me know!

Ps: if you use caffeine to wake up in the morning or stay up late, disregard the above entirely; your circadian rhythm is too fucked up and the effects of my advice will likely be unnoticeable.

If your browser does not support video or ogg/theora, you can download the video directly. An overview of ogg/theora capable video players for various platform can be found on the Xiph wiki.

This year we have four days on the schedule, with a kick-off day of training sessions hosted by respected PostgreSQL developers such as Greg Smith, Bruce Momjian, Magnus Hagander, Guillaume Lelarge and more. Topics will cover performance tuning, application development, database administration, replication & high availability and geospatial. The training sessions are available on their own, or as part of a regular conference attendance at additional – but very reasonable – cost.

We had a record number of talk proposals submitted this year but we’ve resisted the urge to host even more sessions in parallel – in fact we’ve reduced the number of parallel sessions to three as we all know how frustrating it can be when more than one that you want to see are at the same time. Instead we’ve extended the conference by a day to accomodate over 40 different sessions, which has the added bonus of allowing an additional night of social activities – always a great way to discuss the latest technologies, trends and ideas with other Postgres users over a beer or two.

We’ve got a great range of topics for this year, covering new features in PostgreSQL 9.1 and beyond, developing applications, running Postgres in the cloud, hacking PostgreSQL internals, tools and add-on products and managing large databases, presented by a wide cross-section of users and developers, including a number of this year’s Google Summer of Code students who will talk about their work. You can view the complete schedule on the conference website: http://www.postgresql.eu/events/schedule/pgconfeu2011/

Our opening keynote this year will be presented by Ram Mohan, EVP and CTO of Afilias who manage the .info, .org and .mobi top level domains using Postgres. Ram will be discussing the business decisions and strategy around their use of PostgreSQL. Our closing keynote will be presented by Ed Boyajian, President and CEO of EnterpriseDB who will discuss PostgreSQL’s role in the post-Oracle era.

So, if you haven’t done so already, head on over to the website at http://2011.pgconf.eu/registration/ to register as an attendee to avoid missing out on what promises to be an outstanding conference in an fantastic location. See you in Amsterdam!

Uitgangspunt in de regeling zou mijns inziens moeten zijn dat onafhankelijke toetsing van een ICT-systeem bijdraagt aan de algehele veiligheid. De overheid als opdrachtgever bestaat vooral uit juristen en boekhouders. De opdrachtnemers, de bedrijven die voor de overheid ICT verzorgen, zijn commerciële instellingen die simpelweg winst willen (moeten) maken.

ITsec industry per definitie niet onafhankelijk

Een veelgehoord argument tegen de regeling is dat er voldoende bedrijven met verstand van zaken zijn. Een organisatie kan deze bedrijven inhuren om de veiligheid van haar systemen te onderzoeken en een rapport uit te brengen. Dit is de huidige praktijk. Een recent voorbeeld is het digitale loket van Amsterdam. Dit bleek lek te zijn, het was mogelijk om zonder wachtwoord of gebruikersnaam de inhoud van de site te wijzigen en gebruikers naar een andere site te leiden. De gemeente Amsterdam nam een beveiligingsbedrijf in de arm, en verklaarde na een oppervlakkig onderzoek dat alles veilig was. De dag erop werd opnieuw een lek gevonden en de procedure herhaalde zich.

En dit is waar de schoen wringt. Ik weet dat het bedrijf in kwestie over voldoende kennis en kunde beschikt om een systeem compleet door te lichten. Maar wat een bedrijf kan en wat er van hen gevraagd wordt zijn natuurlijk twee verschillende zaken. In het bovenstaande voorbeeld is het bedrijf uitsluitend gevraagd om te onderzoeken of het ontdekte lek misbruikt is. Dat de rest van het systeem mogelijk ook zo lek is als een mandje wordt buiten beschouwing gelaten. Daar wordt het betreffende bedrijf niet voor betaald, en elke ondernemer weet dat het zakelijk onverstandig is om structureel meer te doen dan waar je voor wordt betaald.

De hacker echter is niet gemotiveerd door commerciële belangen, maar ontdekt beveiligingsfouten vaak in zijn of haar vrije tijd. Hackers zijn ook gewoon burgers, en moeten paspoorten of toeslagen aanvragen. Wat de hacker echter onderscheidt van de rest van de wereld, is zijn nieuwsgierigheid en opmerkzaamheid. Een hacker ziet al snel patronen in een onschuldig ogend invulformulier van de gemeente, en gaat verder zoeken. En komt dan vaak tot de ontdekking dat er van alles rammelt.

Goed gedrag bestraft

Nu zijn er twee soorten hackers: zij die net als ieder ander besef hebben van wat moreel juist is en zij die net als criminelen daar minder precies in zijn. De laatste groep vormt, net als in de rest van de samenleving, een minderheid. Hackers uit de eerste groep willen net als ieder ander misstanden melden in de hoop dat er iets aan gedaan wordt. Vergelijk dit met een toevallige passant die getuige is van geweld op straat. Ieder weldenkend mens zal dit terstond melden aan de politie, en zichzelf later als getuige beschikbaar stellen. Misschien zelfs proberen om escalatie te voorkomen door de aanvaller tegen te houden.

Het rare is dat dit bij de beveiliging van ICT-systemen heel anders ligt. Wie ontdekt dat er een beveiligingsprobleem is en dit netjes meldt, kan vaak rekenen op dreigementen. De eerste reactie is vrijwel altijd in termen van juridische maatregelen. Oftewel: degene die een probleem constateert en meldt krijgt straf. Zou het niet raar zijn als je als getuige van geweld op straat zou worden aangeklaagd door de overvaller, omdat je zijn broodwinning onmogelijk maakt? Ik zou me wel drie keer bedenken voor ik me in het vervolg nog zou bekendmaken als getuige.

En dat is precies wat nu gebeurd. Waar de opdrachtgevers en -nemers falen en beveiligingsproblemen laten liggen, zijn het hackers die onafhankelijk en ongevraagd deze problemen wel ontdekken. Helaas worden de problemen zelden gemeld, simpelweg omdat het inmiddels duidelijk is dat men dan kan rekenen op minstens een paar maanden onzekerheid en dreigende veroordeling. Daarnaast wordt het lastig om nog een baan te vinden bij de overheid of in de ICT industrie, want een verklaring van goed gedrag kan je op je buik schrijven.

Dat hackers problemen niet meer durven te melden is kwalijk. Immers, als hackers die te goeder trouw handelen deze problemen kunnen vinden, dan kunnen hackers met minder moreel besef dat ook. En die zullen al helemaal niet geneigd zijn het lek te melden, maar zullen het ten volste misbruiken voor eigen gewin. Vaak had dat voorkomen kunnen worden. Het is eigenlijk een simpel rekensommetje: de goede hackers zijn in de meerderheid. De kans dat een probleem dus eerder door een ‘white hat’ (de informele term voor een goede hacker) wordt ontdekt is groter dan dat een ‘black hat’ (kwade hacker) datzelfde probleem als eerste ontdekt.

Lastige maar noodzakelijke klus

De regeling die wordt voorgesteld zou bovenstaand probleem moeten adresseren. En ja, wanneer handelt iemand te goeder trouw? Dat is inderdaad soms een ‘tough call’, maar vaak ook compleet evident. Wie, zoals aangehaald in een blogpost vanuit de beveiligingsindustrie, een botnet moet inzetten om iets aan te tonen gaat te ver. Wie pas ver na het ontdekken van de problemen melding maakt, had misschien andere motieven. Het lijkt mij dat dit echter, net als bij alle andere juridische aangelegenheden, op individuele basis door een rechter getoetst kan worden.

Het steggelen over de exacte tekst laat ik graag aan juristen. Dat is niet mijn vak. Het is wel belangrijk dat we daarbij niet alleen juristen uit de industrie horen, maar ook juristen die zich meer verwant voelen met de onafhankelijke hackergemeenschap. Ik heb er alle vertrouwen in dat Heijnen en zijn collega’s in de andere 119 zetels die achter dit idee staan bij de uitwerking alle kanten van het verhaal zullen beschouwen.

Dat niet altijd duidelijk is wat nu precies ‘te goeder trouw’ is, en wat nu de definitie van ‘ICT-systeem’ zou moeten zijn lijkt mij geen reden om het hele idee meteen van de tafel te vegen. Het is een moeilijke opgave, maar de bescherming van onze identiteitsgegevens is dat meer dan waard.

De verenigde Nederlandse hackerspaces en organisaties
Postbus 503
2501 HJ Den Haag

Aan: de leden van de commissie Binnenlandse Zaken van de Tweede Kamer der Staten-Generaal

Betreft: brandbrief van nationale hackergemeenschap inzake ICT-beveiliging overheid

Den Haag, 15 september 2011

Zeer geachte leden van de vaste Tweede Kamercommissie BiZa,

De Nederlandse hackergemeenschap, vertegenwoordigd door de ondergetekende
organisaties, maakt zich zorgen over de beveiliging van ICT-systemen van de
Nederlandse overheid. Keer op keer zien wij hoe basale beveiligingsprincipes
niet worden toegepast binnen bestaande en nieuwe ICT-systemen.

Recente voorbeelden zijn de kwestie rond Diginotar en de SSL-certificaten, de
OV-chipkaart, het elektronisch patiëntendossier (EPD) en nog vele andere
systemen en omgevingen. Wij hebben een omvangrijke lijst van voorbeelden van
overheidssystemen die persoonsgegevens bevatten of persoonsgegevens vragen aan
burgers waar de beveiliging niet op orde is.

Dit zijn geen ingewikkelde hacks, maar fouten die mensen zonder opleiding
kunnen misbruiken. Daarvoor is standaard programmatuur op internet voorhanden.
Het gaat om elementaire beveiligingsprincipes die structureel niet worden
toegepast en een blind vertrouwen in techniek, gestoeld op onvoldoende begrip
van de risico's. Audits en certificeringen zijn papieren tijgers. Er wordt
onvoldoende gekeken naar de systemen zelf en blind vertrouwd op verklaringen
van bijvoorbeeld de ontwikkelaars.

Er wordt niet voldoende getoetst of de beloftes van ICT-bedrijven ingehuurd
door de overheid realistisch zijn en worden nagekomen. Adequate bescherming van
databanken met persoonsgegevens is onvoldoende gewaarborgd. Er wordt niet
nagedacht over mogelijk misbruik van nieuwe systemen. Tegelijk worden aan de
overheid gelieerde instanties zoals het College Bescherming Persoonsgegevens
(CBP) en GOVCERT in onvoldoende mate betrokken bij ICT-trajecten.

De hackergemeenschap voelt zich geroepen deze zaken aan de kaak te stellen.
Echter, er heerst op dit moment een klimaat waarin de boodschapper wordt
gestraft en de betreffende departementen en bedrijven niet tot verantwoording
worden geroepen. Wij zijn daarom terughoudend in het delen van informatie over
deze beveiligingslekken.

Wij maken ons zorgen over het feit dat de beveiligingslekken dermate elementair
zijn, dat het vrijwel zeker is dat mensen met kwade bedoelingen zich hiervan
bewust zijn en deze fouten kunnen uitbuiten. Zoals de recente kwestie met de
Iraanse overheid heeft laten zien.  Wij roepen derhalve op om de kwestie
Diginotar niet als incident te zien, maar als een symptoom van een gebrek aan
controle op de veiligheid van ICT-systemen bij de overheid. Het is tijd dat de
leden van de Tweede Kamer, zij die het volk vertegenwoordigen en geacht worden
het volk te behoeden voor dit soort vergissingen, zich realiseren dat er sprake
is van een structureel probleem.

De Nederlandse hackergemeenschap beschikt over de kennis en kunde met
betrekking tot bovengenoemde zaken, en deelt deze graag met de
volksvertegenwoordigers.

Hoogachtend,

Koen Martens
Namens de verenigde Nederlandse hackerspaces en organisaties:

Stichting Hack42 te Arnhem
Stichting ACKspace te Heerlen
Stichting TkkrLab te Enschede
Stichting Bitlair te Amersfoort
Stichting Revelation Space te 's-Gravenhage
Stichting Randomdata te Utrecht
Stichting Frack te Leeuwarden
Stichting Sk1llz te Almere

Stichting eth0
2600nl.net
Stichting HXX

Connected the USB between phone and laptop, then enabled tethering (this is Cyanogen 2.2 on a G1, rooted). This brings up the usb0 nic on both ends with some default ip’s. Then went into the terminal on the phone (probably can do this with adb shell as well) and checked I could ping:

# ifconfig usb0
usb0: ip 192.168.42.129 mask 255.255.255.0 flags [up broadcast running multicast]
# ping 192.168.42.137
PING 192.168.42.137 (192.168.42.137) 56(84) bytes of data.
64 bytes from 192.168.42.137: icmp_seq=1 ttl=64 time=0.519ms

With that running, it is time to enable forwarding on my linux laptop:

sysctl -w net.ipv4.ip_forward=1

And enable some firewall rules to have traffic from the phone get NATTED on the outgoing tunnel endpoint on my laptop (tap0, remember usb0 is the usb nic that connects to my phone):

iptables -A FORWARD -i tap0 -o usb0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A POSTROUTING -t nat -o tap0 -j MASQUERADE
iptables -A INPUT -i usb0 -j ACCEPT
iptables -A FORWARD -i usb0 -o tap0 -j ACCEPT

Then I set the default route:

route add default gw 192.168.42.137

And finally, I need to tell the android that my nameservers are 194.109.6.66 and 194.109.9.99:

# setprop net.dns1 194.109.6.66
# setprop net.dns2 194.109.9.99

And we’re done!

One of the things I have always wanted to do is visit Vienna and attend Ninjacon (previously known as Plumbercon). So when I learned that this years Ninjacon is actually going to be the last one (it will continue as B-sides Vienna, you know, B-sides, the next hippest thing since sliced bread), I had a crazy idea: let’s just drive down to Vienna, stop at some hackerspaces along the way and attend!

As it is with me and crazy ideas, I then stopped thinking and just did it. So here I am writing from a comfy couch in Das Labor. This hackerspace in Bochum (Germany) is my first stop on the way to Vienna, and I must say: not a bad choice at all. But more on that later.

In about an hour, I will be heading out to Kassel where there is Flipdot. From there on to Weimar (Maschinenraum) and Prague (brmlab). And then I will hit Vienna just in time to unload and set-up the audio gear for Ninjacon. Yes, the audiogear. You know how these things go. You plan a quiet vacation, but before you know it your car is full of equipment or fiber or what-have-you. So in this case, the crew at Ninjacon asked if I could bring some audio gear, since that was one of the things they had not covered yet.

So with all the audio gear of the Signal studio (graciously sponsored by Hxx of course) and some borrowed PA speakers I will do the audio at Ninjacon. Great, I won’t get bored then! Luckily, i’m staying an extra day to leave on Monday again. Of course I want to check out Metalab and the city and whatever else Socialhack is going to show me!

From Vienna, it is on to Munich (I hope, haven’t yet heard back from then) and then Stuttgart, where I will revisit Shackspace. Well, that is, visit their new location because they have moved since my first (and also last) visit there about 6 months ago. And then it’s Luxembourg, for that long-due visit to syn2cat. En passant, I will join celebrations of the duke’s birthday (sort of like queensday back home, but with dukes and duchesses instead of queens and princes).

If that’s not enough, after a day of recovery, I’m heading to Charleroi in Belgium to arrive in time for the opening weekend of a fresh new hackerspace by the name of Wolfplex.

So yeah, quite the trip. I haven’t planned much, just announced my arrival at certain dates in certain cities and hope I will be able to find a place to crash. I mean to spend the days contemplating and reflecting. I’m due for a re-evaluation of all my projects, priorites and life. What better way to do so than lounging at all those hackerspaces!

Looking forward to all of it. And I hope I will find a 74HC125N along the way somewhere to complete my USBTinyISP. Stay tuned for updates.

Just try one for free

It started like so many addictions. You try one of their samplings. In my case, it started with google docs. I don’t remember what my first google doc was. I was participating in some project or the other and someone offered to share a document with me (and the rest of the team). Relucantly, I created a google account (with some feigned name and custom email address to keep up the pretence of anonymity) and went into the document. All went well, we shared information, changed the document collaboratively and that was it.

Yet, after a while, someone on another project wanted to share a document. So I created a new account, went in, and did the rest. Well, after a while I had 20 google accounts for as many documents. It became a nuisance, I had to log out and log in again to get to another document. So I crossed a line. I merged all the documents into one account.

Later, I bought my android phone (the HTC Dream aka G1) directly from the pusher. I created another google account to activate it, thinking I would miss out if I would use the phone without. I know that if you don’t use any of googles services, it is fine not to use a google account on your phone (after some hackery). But I was curious, ok??

So all went fine. I had my google docs account. I had my android phone account. I tried to take care and not leave any traces that would link the two together. I would never log in to google from my desktop with the android account and vice versa.

Meanwhile, I was running some web-based groupware suite to keep track of my appointments. This had some disadvantages though: it was clunky to use on my phone. Also, it was a nuisance to have yet another tool to maintain, keep track of security updates and what have you. I mean, an agenda should increase producitivty, right, not get in the way of productivity.

So I made a next big step, I decided I wanted to try google calendar. It came integrated on my phone by default and had a usable interface on the web so I could use it on my desktop as well. So after a few tentative test-runs I switched and decommisioned the groupware suite.

From there, it all went down-hill for me.  I started using google latitude to share my location on my blog during my trip through the US, used google voice to make cheap international calls from the us back home, started using google tasks to keep track of my todo items, initiated new google docs myself and even had a short period where I (unwillingly) experimented with google wave.

Antagonizing realization

But all this time I had stayed far from the one google service that symbolizes, for me at least, the summum of giving up any privacy one has: google contacts. I would not, never, share my contacts with google! But then  I wanted to upgrade my phone to cyanogen mod. Well, I actually had to flash the device because I broke the dalvik cache and it would not execute any app anymore. I had somehow deleted all the permission definitions. I could not even install new apps anymore. With no sensible way to backup my contacts, I started to contemplate the uncontemplateable: google contacts! Because of course, google apps still had all the permissions they needed.

So I broke. Synced my contacts, flashed the device and restored them again. And discovered how convenient google contacts actually is. I am now even looking into integrating google contacts into mutt.

And there you have it. That is the story of how I turned from a decent google opponent into a fully integrated cell of the great google information collection agency. I use google services to organize my life. And I like it.

Healing

Now, some people, when they hear I am addicted to google services, sigh “Oh you fool, I can do without just fine!”. Yeah well, that’s nice for them. But those are either the people that are impossible to work with because they always forget what they promised to do by when and need constant reminders to get even the silliest little thing done. Or they are the people with nice unconvoluted lives who generally are not that full of initiative or commitment.

For the rest of us, the people who operate on the same high level of energy as myself, tools like described above are essential to keep track of the many things going without keeping it all in your head and going insane. Some use apple’s crap but most are also on google.

I would love to kick this habit!

But their applications are so damn easy to use. They do what I want, without getting in the way. They are not overly complex. They don’t require me to maintain a server, keep track of security issues with the zillion of dependencies and keep an eye on the hardware. I can access them from wherever I want, on whatever device I want. I get reminders on the desktop and on the phone, so that whatever I’m doing I’m not going to miss an appointment.

Now, I can see a few ways out here. The first would be to reverse-engineeer some of their protocols. This should not be too hard, as it all works browser-based. It just takes time.

Another thing I could imagine to prevent google from looking at your contacts and tasks would be to write custom applications to access those but store everything encrypted. Looking at google tasks for example, I could simply write a desktop application and an android application that both use the same encryption algorithm and key to store each individual task encrypted. I could build an android contacts store to store my contacts encrypted, or on another server. It just takes time.

And oh, I could try and implement the google calendar backend protocol in a relatively simple daemon that would not require lots of dependencies and thus would be easy to maintain. Then redirect calendar traffic from my phone to my own backend server, and use sunbird as a frontend. It just takes time.

And there you have it. Google’s services are there. There is no open alternative for any of those services that is as easy to use, as integrated as googles services, cross-platform and without the hassle of maintaining dozens of packages.

Who knows. Now that I am aware of my problematic addiction, I might work up the energy to start a project to provide a more open alternative with privacy and encryption as the driving design forces, instead of data-mining and dollar signs. A suite where you have a choice to host it yourself, or on community-operated servers. Or perhaps even a non-profit that you pay a little amount towards keeping the software and hardware running for you.

I could see this kick off. Now all I need is a little time (or money so I don’t have to worry about making a living while making this work).

Addendum

By the way, in case you are wondering: I’m not entirely stupid. I do make my own backups of everything I stuff in their cloud.

Het is niet de eerste keer, en zeker niet de laatste, dat een overheidssite slecht in elkaar blijkt te zitten. Vorig jaar al kondigde een andere bevriende hacker de ‘mogbug’ (‘month of government bugs’) aan. Hij/zij had in maar liefst 30 verschillende overheidssites lekken gevonden die toegang gaven tot persoonsgegevens of mogelijk gebruikt konden worden om bezoekers te misleiden en hun gegevens prijs te geven. Het gaat dan om elementaire fouten zoals SQL-injectie of cross-site scripting (XSS). Dit zijn fouten die een beginnend programmeur nog mag maken, maar bij een professioneel ICT-bedrijf simpelweg niet mogen voorkomen. En al helemaal niet bij een bedrijf dat door de overheid wordt betaald om systemen te ontwikkelen.

Dat deze fouten toch keer op keer de kop op steken heeft een aantal redenen. Om te beginnen is er bij de gemiddelde ‘brood-programmeur’ weinig besef van beveiliging. Er wordt gekeken naar de functionele eisen aan het systeem, en wanneer het geschreven programma daar aan voldoet is het ‘af”. De functionele eisen worden oogkleppen, de programmeurs bezien hun noeste arbeid slechts in het licht van normaal gebruik. Voer het systeem onverwachte input, en er gebeuren ineens vreemde dingen.

Er zijn enkele basis-principes die een programmeur kan aanhouden om dit soort voor de hand liggende maar verstrekkende fouten te voorkomen. De principes zijn geen goed bewaard geheim, wie een simpele google query doet naar “how to build secure web applications” is al een heel eind. Het hoeft niet meer dan een half uur te kosten om programmeurs bewust te maken van de meest voor de hand liggende risico’s. Wie dan ook nog eens een paar uurtjes steekt in het lezen van bijvoorbeeld de vrij beschikbare OWASP development guide zal niet snel meer met open ogen in de oude valkuilen lopen.

Kortom, met een kleine hoeveelheid basis-kennis en een dosis gezond verstand kunnen de keer op keer weer gemaakte beginnersfouten worden voorkomen. Echter, er is meer nodig. Veiligheid is niet iets dat achteraf aan een systeem kan worden toegevoegd. Voor een veilig systeem is het nodig reeds in de beginfase al na te denken over mogelijke aanvallen op het systeem. ‘Security by design’ moet het uitgangsprincipe zijn. Wanneer het systeem ontworpen wordt, moeten de architecten en ontwikkelaars al nadenken over de risico’s en hoe deze zo klein mogelijk te maken.

Een goed ontwerp maken dat ook rekening houdt met alle mogelijke aanvallen die het systeem kunnen breken kost natuurlijk wel wat meer tijd dan wanneer men uitsluitend let op de functionele eisen. Een gebrek aan inzicht in beveiliging leidt er toe dat overheidsinstellingen dit niet voldoende meenemen in aanbestedingen van grote software-projecten. Hierdoor zal, bij gelijke aandacht voor de functionele eisen, de partij die wel ‘security by design’ toepast duurder uitpakken dan de partij die dit onder het tapijt schuift.

Tot slot is het belangrijk dat een opgeleverd systeem door een derde, onafhankelijke partij wordt getoetst. Het is eigenlijk niet zo heel ongewoon. Wanneer de overheid een pand laat bouwen, wordt na oplevering een bouwkundige inspectie uitgevoerd. Een opgeleverd ICT-systeem wordt echter klakkeloos in bedrijf genomen. De partij die het systeem heeft ontwikkeld mag het ook installeren en uitrollen. Er is geen inspecteur, die kijkt of het systeem veilig is gebouwd. Er is niemand die kijkt of niet weer de gebruikelijke fouten zijn gemaakt.

Gelukkig beschikt Nederland over een gezonde en bloeiende hacker-community, mensen met een idealistische drijfveer. Mensen zoals in mijn inleiding al genoemd. Zij kijken ongevraagd met een kritische blik naar alle systemen die de overheid uitrolt. Zij vinden de voor de hand liggende, en minder voor de hand liggende fouten. En rapporteren het resultaat van hun onderzoek onbetaald aan de overheid. Jammer genoeg is dat vaak aan dovemansoren gericht, en worden de bezwaren onder het tapijt of in de doofpot geveegd. “We willen niet de indruk geven dat we onzorgvuldig met gegevens van burgers omgaan”, “er is al zoveel geld uitgegeven, we kunnen dit nu niet meer terugdraaien”, en andere excuses om het eigen falen te verbloemen zijn niet van de lucht. In uitzonderlijke gevallen kreeg de goedbedoelende klokkenluider zelfs te maken met juridische intimidatie om toch vooral stil te houden dat er iets fundamenteel niet deugt.

Ik denk dat de privacy van burgers gebaat is bij het structureel toepassen van controle door ter zake kundige beveiligingsexperts. Huur hiervoor een gerenommeerd ICT beveiligingsbedrijf in, of beter nog zorg voor een eigen overheidsdienst met mensen die snappen waar het over gaat. Zorg dat elk systeem eerst aan een uitgebreide controle wordt onderworpen, waardoor de elementaire vergissingen nog voor ingebruikname worden gesignaleerd. Betrek deze controleurs al vroeg bij het bedenken, uitwerken, implementeren en uitrollen van systemen zodat zij ook mee kunnen denken over de aanbesteding en al tijdens het uitvoeringstraject aan de bel kunnen trekken.

Het frappante is, er bestaan al een aantal organen die deze rol zouden kunnen (of moeten) vervullen. Enerzijds is er GOVCERT. Deze overheidsorganisatie heeft als missie ‘het voorkomen en afhandelen van ICT-veiligheidsincidenten’. In de praktijk blijkt dit een papieren tijger. Het team wordt niet tijdig bij grote aanbestedingen betrokken. Maar ook wanneer ze worden geconfronteerd met lekken in bestaande systemen, staan ze met de handen op de rug gebonden. Ze hebben geen macht, maar kunnen slechts advies geven.

Hetzelfde geld eigenlijk voor het College Bescherming Persoonsgegevens (CBP). Zij is ingesteld om toe te zien op de naleving van de wet bescherming persoonsgegevens. Hoewel ze advies kunnen geven, is het niet verplicht bij de implementatie van een systeem om ook de veiligheid hiervan te laten toetsen door het CBP (dit even los van de vraag of het CBP uberhaupt over de technische know-how beschikt om hier een deskundig oordeel over te kunnen vormen).

Dus zowel de officiele instanties zoals GOVCERT en het CBP alsmede de hacker-community lopen voortdurend achter de feiten aan. Pas als het eigenlijk al te laat is, krijgen zij de kans om lekken in de software te onderzoeken en te signaleren.

Ik pleit er daarom voor dat beveiliging van systemen een principieel uitgangspunt wordt bij de start van een nieuw groot overheidsproject. GOVCERT moet hierin een belangrijke rol krijgen. Dit betekent ook dat zij vooraanstaande experts op het vakgebied meer moeten betrekken, of wellicht zelfs in dienst moeten nemen. Ook moeten de bevoegdheden worden uitgebreid. Van vrijblijvend advies moet een fiat van GOVCERT een vereiste worden bij aanbestedingsprojecten en uitrol van nieuwe systemen.

En blijft de overheid falen? Dan is het aan ons, hackers van Nederland, om ons nog meer dan voorheen in te zetten om het falen aan de kaak te stellen. WOB de ontwikkeltrajecten, stel lijsten op van software-huizen die keer op keer onveilige systemen hebben afgeleverd, spreek top-ambtenaren publiekelijk aan op hun verantwoordelijkheid voor onze privacy, leg de zaken uit aan politici, benader de pers en blijf de overheid hacken. Wij zijn het technologisch geweten van de samenleving.

There is no name yet, there is no location yet. Heck, there is no organisation yet. But I know there will be a next edition, and I know Hxx will be behind it.

As with HAR2009, I am already stirring up the fire. Just a little. I mean, seriously, doing such a thing as HAR2009 is an enormous task to take on, and starting just one year before the actual event has proven to be effective yet kinda stressful. Anyway, I am not yet hashing out details such as where the next edition will be or what the name will be. We can sort that out later, can’t we? No, I am still contemplating the bigger picture: what will be the timeframe, who will pull the cart.

With HAR2009 I got help from Fenrir early on. I am very glad Mischa got him on board, as he has proven to be instrumental in getting the job done. I have learned a lot from this seasoned hacker-event veteran. For that matter, things would never have happened had Mischa not been there. Sadly, as things are now, they will not be in a position to take a half-year break from work to concentrate on the event this time. So that leaves me.

Of course, they will be there in their roles as board members of the foundation, but the day-to-day stuff will be down to me. Yet, it is a lot for one person to take on. Experience shows that you need two people full-time during crunch-time. So now a daunting task has been imparted on me: find someone that gets along with me, has a healthy dose of intelligence, a bunch of social skills, is a doer and available full-time for the first half year of 2013. That narrows it down quite a lot.

Meanwhile, the clock is ticking. Sure, let us first enjoy the ccc camp, which is going to be a blast if the signs are any indication. I mean, shit, a hacker space program? But not long after that, the hunt for a location is on! And then, mid-2012 when we have found the most awesome location, we can get down to the details.

I am already looking forward to have the honour of working with such an amazing group of volunteers again. Both the recidivists as well as the greenhorns. You all inspire me to do what I do. Thanks in advance, guys & gals. I love you all!