Archive for the 'Language' Category
Wednesday, October 5th, 2011
PostgreSQL Conference Europe 2011 starts 2 weeks from today in the beautiful city of Amsterdam in the Netherlands. This is the fourth annual conference hosted by PostgreSQL Europe, following on from extremely successful events in Prato (Italy), Paris and Stuttgart, and is aimed at developers, DBAs, technologists and decision makers either using, or considering using the world’s most advanced Open Source database.
This year we have four days on the schedule, with a kick-off day of training sessions hosted by respected PostgreSQL developers such as Greg Smith, Bruce Momjian, Magnus Hagander, Guillaume Lelarge and more. Topics will cover performance tuning, application development, database administration, replication & high availability and geospatial. The training sessions are available on their own, or as part of a regular conference attendance at additional – but very reasonable – cost.
We had a record number of talk proposals submitted this year but we’ve resisted the urge to host even more sessions in parallel – in fact we’ve reduced the number of parallel sessions to three as we all know how frustrating it can be when more than one that you want to see are at the same time. Instead we’ve extended the conference by a day to accomodate over 40 different sessions, which has the added bonus of allowing an additional night of social activities – always a great way to discuss the latest technologies, trends and ideas with other Postgres users over a beer or two.
We’ve got a great range of topics for this year, covering new features in PostgreSQL 9.1 and beyond, developing applications, running Postgres in the cloud, hacking PostgreSQL internals, tools and add-on products and managing large databases, presented by a wide cross-section of users and developers, including a number of this year’s Google Summer of Code students who will talk about their work. You can view the complete schedule on the conference website: http://www.postgresql.eu/events/schedule/pgconfeu2011/
Our opening keynote this year will be presented by Ram Mohan, EVP and CTO of Afilias who manage the .info, .org and .mobi top level domains using Postgres. Ram will be discussing the business decisions and strategy around their use of PostgreSQL. Our closing keynote will be presented by Ed Boyajian, President and CEO of EnterpriseDB who will discuss PostgreSQL’s role in the post-Oracle era.
So, if you haven’t done so already, head on over to the website at http://2011.pgconf.eu/registration/ to register as an attendee to avoid missing out on what promises to be an outstanding conference in an fantastic location. See you in Amsterdam!
Posted in English, Europe, Science 'n stuff | No Comments »
Thursday, September 22nd, 2011
Naar aanleiding van het idee van PvdA kamerlid Pierre Heijnen om hackers bescherming te bieden als zij te goeder trouwe handelen, en een beveiligingsfout melden aan de verantwoordelijke organisatie (hetzij overheid, hetzij bedrijfsleven) heb ik heel wat meningen voorbij zien komen. De een is het er roerend mee eens, de ander vindt het niet ver genoeg gaan en een enkeling is bang dat de bescherming een vrijbrief zou zijn voor criminelen. Het is erg vroeg om nu al conclusies te trekken: het voorstel moet in de komende maanden nog worden uitgewerkt en pas dan is een zinnige beoordeling te maken.
Uitgangspunt in de regeling zou mijns inziens moeten zijn dat onafhankelijke toetsing van een ICT-systeem bijdraagt aan de algehele veiligheid. De overheid als opdrachtgever bestaat vooral uit juristen en boekhouders. De opdrachtnemers, de bedrijven die voor de overheid ICT verzorgen, zijn commerciële instellingen die simpelweg winst willen (moeten) maken.
ITsec industry per definitie niet onafhankelijk
Een veelgehoord argument tegen de regeling is dat er voldoende bedrijven met verstand van zaken zijn. Een organisatie kan deze bedrijven inhuren om de veiligheid van haar systemen te onderzoeken en een rapport uit te brengen. Dit is de huidige praktijk. Een recent voorbeeld is het digitale loket van Amsterdam. Dit bleek lek te zijn, het was mogelijk om zonder wachtwoord of gebruikersnaam de inhoud van de site te wijzigen en gebruikers naar een andere site te leiden. De gemeente Amsterdam nam een beveiligingsbedrijf in de arm, en verklaarde na een oppervlakkig onderzoek dat alles veilig was. De dag erop werd opnieuw een lek gevonden en de procedure herhaalde zich.
En dit is waar de schoen wringt. Ik weet dat het bedrijf in kwestie over voldoende kennis en kunde beschikt om een systeem compleet door te lichten. Maar wat een bedrijf kan en wat er van hen gevraagd wordt zijn natuurlijk twee verschillende zaken. In het bovenstaande voorbeeld is het bedrijf uitsluitend gevraagd om te onderzoeken of het ontdekte lek misbruikt is. Dat de rest van het systeem mogelijk ook zo lek is als een mandje wordt buiten beschouwing gelaten. Daar wordt het betreffende bedrijf niet voor betaald, en elke ondernemer weet dat het zakelijk onverstandig is om structureel meer te doen dan waar je voor wordt betaald.
De hacker echter is niet gemotiveerd door commerciële belangen, maar ontdekt beveiligingsfouten vaak in zijn of haar vrije tijd. Hackers zijn ook gewoon burgers, en moeten paspoorten of toeslagen aanvragen. Wat de hacker echter onderscheidt van de rest van de wereld, is zijn nieuwsgierigheid en opmerkzaamheid. Een hacker ziet al snel patronen in een onschuldig ogend invulformulier van de gemeente, en gaat verder zoeken. En komt dan vaak tot de ontdekking dat er van alles rammelt.
Goed gedrag bestraft
Nu zijn er twee soorten hackers: zij die net als ieder ander besef hebben van wat moreel juist is en zij die net als criminelen daar minder precies in zijn. De laatste groep vormt, net als in de rest van de samenleving, een minderheid. Hackers uit de eerste groep willen net als ieder ander misstanden melden in de hoop dat er iets aan gedaan wordt. Vergelijk dit met een toevallige passant die getuige is van geweld op straat. Ieder weldenkend mens zal dit terstond melden aan de politie, en zichzelf later als getuige beschikbaar stellen. Misschien zelfs proberen om escalatie te voorkomen door de aanvaller tegen te houden.
Het rare is dat dit bij de beveiliging van ICT-systemen heel anders ligt. Wie ontdekt dat er een beveiligingsprobleem is en dit netjes meldt, kan vaak rekenen op dreigementen. De eerste reactie is vrijwel altijd in termen van juridische maatregelen. Oftewel: degene die een probleem constateert en meldt krijgt straf. Zou het niet raar zijn als je als getuige van geweld op straat zou worden aangeklaagd door de overvaller, omdat je zijn broodwinning onmogelijk maakt? Ik zou me wel drie keer bedenken voor ik me in het vervolg nog zou bekendmaken als getuige.
En dat is precies wat nu gebeurd. Waar de opdrachtgevers en -nemers falen en beveiligingsproblemen laten liggen, zijn het hackers die onafhankelijk en ongevraagd deze problemen wel ontdekken. Helaas worden de problemen zelden gemeld, simpelweg omdat het inmiddels duidelijk is dat men dan kan rekenen op minstens een paar maanden onzekerheid en dreigende veroordeling. Daarnaast wordt het lastig om nog een baan te vinden bij de overheid of in de ICT industrie, want een verklaring van goed gedrag kan je op je buik schrijven.
Dat hackers problemen niet meer durven te melden is kwalijk. Immers, als hackers die te goeder trouw handelen deze problemen kunnen vinden, dan kunnen hackers met minder moreel besef dat ook. En die zullen al helemaal niet geneigd zijn het lek te melden, maar zullen het ten volste misbruiken voor eigen gewin. Vaak had dat voorkomen kunnen worden. Het is eigenlijk een simpel rekensommetje: de goede hackers zijn in de meerderheid. De kans dat een probleem dus eerder door een ‘white hat’ (de informele term voor een goede hacker) wordt ontdekt is groter dan dat een ‘black hat’ (kwade hacker) datzelfde probleem als eerste ontdekt.
Lastige maar noodzakelijke klus
De regeling die wordt voorgesteld zou bovenstaand probleem moeten adresseren. En ja, wanneer handelt iemand te goeder trouw? Dat is inderdaad soms een ‘tough call’, maar vaak ook compleet evident. Wie, zoals aangehaald in een blogpost vanuit de beveiligingsindustrie, een botnet moet inzetten om iets aan te tonen gaat te ver. Wie pas ver na het ontdekken van de problemen melding maakt, had misschien andere motieven. Het lijkt mij dat dit echter, net als bij alle andere juridische aangelegenheden, op individuele basis door een rechter getoetst kan worden.
Het steggelen over de exacte tekst laat ik graag aan juristen. Dat is niet mijn vak. Het is wel belangrijk dat we daarbij niet alleen juristen uit de industrie horen, maar ook juristen die zich meer verwant voelen met de onafhankelijke hackergemeenschap. Ik heb er alle vertrouwen in dat Heijnen en zijn collega’s in de andere 119 zetels die achter dit idee staan bij de uitwerking alle kanten van het verhaal zullen beschouwen.
Dat niet altijd duidelijk is wat nu precies ‘te goeder trouw’ is, en wat nu de definitie van ‘ICT-systeem’ zou moeten zijn lijkt mij geen reden om het hele idee meteen van de tafel te vegen. Het is een moeilijke opgave, maar de bescherming van onze identiteitsgegevens is dat meer dan waard.
Posted in Dutch, Nationaal, Science 'n stuff | No Comments »
Thursday, September 15th, 2011
Zojuist is onderstaande brandbrief in de ronde tafel van de commissie BiZa van de Tweede Kamer uitgereikt. De hackerspaces en organisaties van Nederland spreken zich hier expliciet uit over het gebrek aan besef van ICT-beveiliging bij de Nederlandse overheden. De brief is opgesteld en ondertekent door alle Nederlandse hackerspaces en drie organisaties die de Nederlandse hacker-community verenigen. De brandbrief is tevens verstuurd aan de landelijke media. Wij hackers zijn het simpelweg zat om keer op keer te moeten vernemen dat bij de implementatie van grote ICT overheidssystemen kinderlijke vergissingen worden gemaakt die de privacy van burgers aantast en soms zelfs tot gevaar voor mensenlevens lijdt.
De verenigde Nederlandse hackerspaces en organisaties
Postbus 503
2501 HJ Den Haag
Aan: de leden van de commissie Binnenlandse Zaken van de Tweede Kamer der Staten-Generaal
Betreft: brandbrief van nationale hackergemeenschap inzake ICT-beveiliging overheid
Den Haag, 15 september 2011
Zeer geachte leden van de vaste Tweede Kamercommissie BiZa,
De Nederlandse hackergemeenschap, vertegenwoordigd door de ondergetekende
organisaties, maakt zich zorgen over de beveiliging van ICT-systemen van de
Nederlandse overheid. Keer op keer zien wij hoe basale beveiligingsprincipes
niet worden toegepast binnen bestaande en nieuwe ICT-systemen.
Recente voorbeelden zijn de kwestie rond Diginotar en de SSL-certificaten, de
OV-chipkaart, het elektronisch patiëntendossier (EPD) en nog vele andere
systemen en omgevingen. Wij hebben een omvangrijke lijst van voorbeelden van
overheidssystemen die persoonsgegevens bevatten of persoonsgegevens vragen aan
burgers waar de beveiliging niet op orde is.
Dit zijn geen ingewikkelde hacks, maar fouten die mensen zonder opleiding
kunnen misbruiken. Daarvoor is standaard programmatuur op internet voorhanden.
Het gaat om elementaire beveiligingsprincipes die structureel niet worden
toegepast en een blind vertrouwen in techniek, gestoeld op onvoldoende begrip
van de risico's. Audits en certificeringen zijn papieren tijgers. Er wordt
onvoldoende gekeken naar de systemen zelf en blind vertrouwd op verklaringen
van bijvoorbeeld de ontwikkelaars.
Er wordt niet voldoende getoetst of de beloftes van ICT-bedrijven ingehuurd
door de overheid realistisch zijn en worden nagekomen. Adequate bescherming van
databanken met persoonsgegevens is onvoldoende gewaarborgd. Er wordt niet
nagedacht over mogelijk misbruik van nieuwe systemen. Tegelijk worden aan de
overheid gelieerde instanties zoals het College Bescherming Persoonsgegevens
(CBP) en GOVCERT in onvoldoende mate betrokken bij ICT-trajecten.
De hackergemeenschap voelt zich geroepen deze zaken aan de kaak te stellen.
Echter, er heerst op dit moment een klimaat waarin de boodschapper wordt
gestraft en de betreffende departementen en bedrijven niet tot verantwoording
worden geroepen. Wij zijn daarom terughoudend in het delen van informatie over
deze beveiligingslekken.
Wij maken ons zorgen over het feit dat de beveiligingslekken dermate elementair
zijn, dat het vrijwel zeker is dat mensen met kwade bedoelingen zich hiervan
bewust zijn en deze fouten kunnen uitbuiten. Zoals de recente kwestie met de
Iraanse overheid heeft laten zien. Wij roepen derhalve op om de kwestie
Diginotar niet als incident te zien, maar als een symptoom van een gebrek aan
controle op de veiligheid van ICT-systemen bij de overheid. Het is tijd dat de
leden van de Tweede Kamer, zij die het volk vertegenwoordigen en geacht worden
het volk te behoeden voor dit soort vergissingen, zich realiseren dat er sprake
is van een structureel probleem.
De Nederlandse hackergemeenschap beschikt over de kennis en kunde met
betrekking tot bovengenoemde zaken, en deelt deze graag met de
volksvertegenwoordigers.
Hoogachtend,
Koen Martens
Namens de verenigde Nederlandse hackerspaces en organisaties:
Stichting Hack42 te Arnhem
Stichting ACKspace te Heerlen
Stichting TkkrLab te Enschede
Stichting Bitlair te Amersfoort
Stichting Revelation Space te 's-Gravenhage
Stichting Randomdata te Utrecht
Stichting Frack te Leeuwarden
Stichting Sk1llz te Almere
Stichting eth0
2600nl.net
Stichting HXX
Posted in Dutch, Nationaal | 2 Comments »
Friday, August 19th, 2011
Recently at the Chaos Communication Camp I sat down with a group of ‘queer geeks’. We shared, with the world, our experience with and our feelings surrounding being queer in the hacker-scene. We convened in the middle of a rainy night in a make-shift studio in a tent and had a very profound discussion on the camp radio Binary Voice. I have not really expressed myself in that session a lot, but listening back to the recording I can not help but wanting to elaborate.
At the end of the show I say I think it is fantastic to be queer. While that sounds like an easy thing to proclaim, I have not always thought so. In fact, up until around 20 I really hated myself for being gay. My environment constantly gave me a lot of signals that being gay is somehow wrong, and although I never had to endure the physical violence that, for example, Mitch Altman had to endure it did scar me psychologically.
I denied that part of myself until I ended up with suicidal tendencies with a psychiatrist. During those sessions I first explored this part of my identity. By then, I had reverted to substance abuse (alcohol, weed, xtc, hallucinogens, you name it) to aid in the impossible task of pretending I had no sexual preference for boys. I mean, sexuality is such an integral part of our being, to deny that is like to deny that one breathes.
Imagine the constant struggle, fantasizing about boys and falling in love with your male classmates while at the same time strongly believing it is wrong and must never surface. That’s hard. Really hard. I don’t think I can aptly describe what that did to me to anyone who has not gone through the same struggle.
When I came out to friends and family and labelled myself gay, I thought I was there. I partied like mad in the local gay scene, thought I was complete. Yet, the years of denial and coping mechanisms were not easily dismissed. Somehow, the feeling it was somehow wrong persisted. It was hard for me to assimilate within a new group and tell them I am queer. It really felt like an obstacle, I feared I would not be accepted for who I am.
The way the world was treating me still lead to a lot of frustration. The Dutch word ‘homo’ was (and still is) being used as a derogate term. It is a word some reserve for their worst enemies, for the people they deject the most. I got really angry about that, but instead of using that anger to change things in a positive way I let it build up inside me like a cancer.
I still feel hurt when people use the word ‘gay’ as a derogate term. Within certain subcultures of the hacker scene, especially those where kids measure their hacking abilities bragging about their conquests in some sort of nerdy masochism, it is socially acceptable to use language that hurts people. It is encouraged even. Bashing queers is, unfortunately, an easy way to get accepted within certain peer groups.
Usually the usage of the word gay as a way of dismissing someone is out of carelessness though. I have rarely found anyone who really has problems with queerness. It is habitual use of language, no conscious speech act. I tend to say something when I observe this. I try to explain how that same careless use of words almost drove me to end my life, kill myself.
I hope that will make people think. I know it has made people think. And I hope that with that I can contribute in making it easier for young kids out there who have similar issues as I did have.
For myself, I have found peace in that regard. I am openly queer, and will take every opportunity I can to let the world know. I love my life as such, and while I am still struggling with the psychological scars and addictive behaviour left from that time I do celebrate my queerness every opportunity I get.
It really makes me cry when I think of those young ones out there who might be gay, bisexual or whatever and are going through what I went through. I want to help them become themselves. I am glad that The Netherlands has the COC, an organisation that furthers queer emancipation but also supports anyone who is going through the process of coming out of the closet. I know some of my friends take issues with their political ways, but for me the real value of the COC is the sheer support one gets from being safe among peers who have had similar issues. When I finally acknowledged my homosexuality at 20, it helped me so much just to be able to go there and talk, listen and make friends with like-minded people. I have deep respect for the volunteers going into the classrooms, educating adolescents about the rich tapestry of queerness.
A few years after I came out, I had a profound experience. A friend whom I knew from the hardcore scene (gabber, speed, happy is for homos) called me, and started talking about how he heard about my coming out. To my surprise, he told me he was gay too. I had never expected this to come from that particular peer group, yet just by being openly queer it all of a sudden became acceptable for others as well. And that, for me, acknowledges the fact that just by being myself I can help.
I am therefore very proud of the show we did at CCC. We had a unique gathering of queer geeks at the table, openly talking about their deepest feelings, most horrible experiences and also the joy of being who you are. I really hope kids (and adults!) out there who struggle with their own sexual identity listen to it and can find support in the wise words spoken. Already a day after the show, Mitch told me about people coming out right there and then.
As a final thought, I want to emphasize that just putting the label ‘gay’ on myself is not the end but merely the beginning of the exploration of my own sexuality. Yes, I really like guys. And for a while I even went to the other extreme: I would deny every feeling I could possibly have for someone of the female (or whatever other) sex. I am slowly coming around, and realize things aren’t binary.
I have several friends who also do not tend to fit in the dominant social paradigm (to quote Mitch from the aforementioned show) of the monogamous heterosexual relationship, and are finding ways to deal with that while still existing within that dominating model. It is hard sometimes, but it is a lot of fun as well. And true hapiness, I believe, can only be found by following ones heart without regarding what others might think or judge you by.
Anyway, I encourage each and everyone (also if you do not consider yourself to be queer) to go and download that recording. And most of all, I encourage everyone out there to be themselves. And if that is hard somehow, know that there are a whole bunch of persons that have gone through it already and that are more than willing to talk. To listen. Do not hesitate to contact any of us on the panel (me, Mitch, Jimmy, Maha, Socialhack, Willow, Fabien and Tomate).
Be excellent!
Posted in English, General | 2 Comments »
Friday, June 17th, 2011
Since I’m on a road-trip and don’t have a SIM-card with data for every country I’m visiting (I’m fine in Germany and Belgium, but did not get a SIM-card for the Czech republic where i’m just for 24 hours) and never connect with my phone to an untrusted wifi network, I thought i’d do the reverse of tethering: connect my phone to my laptop (which has a tunnel to my server-rack in the datacenter) and surf through that. So mostly as a note for myself, here’s what I did:
Connected the USB between phone and laptop, then enabled tethering (this is Cyanogen 2.2 on a G1, rooted). This brings up the usb0 nic on both ends with some default ip’s. Then went into the terminal on the phone (probably can do this with adb shell as well) and checked I could ping:
# ifconfig usb0
usb0: ip 192.168.42.129 mask 255.255.255.0 flags [up broadcast running multicast]
# ping 192.168.42.137
PING 192.168.42.137 (192.168.42.137) 56(84) bytes of data.
64 bytes from 192.168.42.137: icmp_seq=1 ttl=64 time=0.519ms
With that running, it is time to enable forwarding on my linux laptop:
sysctl -w net.ipv4.ip_forward=1
And enable some firewall rules to have traffic from the phone get NATTED on the outgoing tunnel endpoint on my laptop (tap0, remember usb0 is the usb nic that connects to my phone):
iptables -A FORWARD -i tap0 -o usb0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A POSTROUTING -t nat -o tap0 -j MASQUERADE
iptables -A INPUT -i usb0 -j ACCEPT
iptables -A FORWARD -i usb0 -o tap0 -j ACCEPT
Then I set the default route:
route add default gw 192.168.42.137
And finally, I need to tell the android that my nameservers are 194.109.6.66 and 194.109.9.99:
# setprop net.dns1 194.109.6.66
# setprop net.dns2 194.109.9.99
And we’re done!
Posted in English, Science 'n stuff | No Comments »
|
|
