Using the procedure as described here, all seemed to work well: I could read the flash memory, dump it to a file, mount the file, replace some stuff, write it back, but then – nothing.

Re-reading the file that I just wrote gave me a different file. So in fact, there might be something in the newer RK3066 firmware that prevents rkflashtool from working. It seems to work – but it does not.

Reading the same blocks of memory always gave me the same results (and the first time, the block seemed a correct Linux filesystem), so I don’t think the problem is in the reading. Writing back the flash memory however was problematic: writing a block and reading it back would not give me the same information. Unfortunately, I don’t have the time to find out what’s wrong – I don’t own Windows machines and subsequently gave away my X5 to a RK3066-Linux-developer (that was never heard of afterwards, but that’s another story).

Luckily for some, there’s always the original RK3066 firmware flasher: from within Windows, you can easily flash a firmware – even if you completely bricked your tablet. But for those working with free software, the possibilities are fewer: you might need to turn to a friend who does run Windows to unbrick your RK3066.

The U30GT is a nice tablet. It only cost me about 180 euros (€150 tablet + shipping, €30 VAT or “BTW” as it’s called in the Netherlands). Value for money!
Now the reason I bought this very tablet is that it’s specs are nearing older Intel “Atom” chips, which could mean that this €180 tablet is actually a €350 laptop – minus keyboard. So the first thing to do here was to root the thing.
Here is the step-by-step instructions for rooting this tablet under Linux. Usual disclaimers apply: do not try this at home; if you break your tablet, it’s broken; no guarantees. It worked for me, quite easily, but it may not work for you.

2012-04-12 I received some reports of non-bootable machines, please read the update.

1. get the rkflashtool source code from sourceforge.net/projects/rkflashtool.
2. Add USB identification for the RK3066 chip, 0×2207, 0x300a. Your code will now look like:
   if (!(h = libusb_open_device_with_vid_pid(c, 0x2207, 0x290a)))
if (!(h = libusb_open_device_with_vid_pid(c, 0x2207, 0x281a)))
if (!(h = libusb_open_device_with_vid_pid(c, 0x2207, 0x300a)))
   fatal("cannot open device\n");
3. Install libusb-1.0-0-dev and compile:
sudo apt-get install libusb-1.0-0-dev
gcc -o rkflashtool rkflashtool.c -lusb-1.0 -O2 -W -Wall -s
4. Turn off your U30GT. Insert the USB cable. Hold the “volume +” button, then push the “power” button for about 5 seconds. Afterwards, “lsusb” should show the U30GT identification, something like Bus 001 Device 007: ID 2207:300a
5. Read the partition information for your U30GT:
   sudo ./rkflashtool r 0x0000 0x2000 > /tmp/parm
6. in /tmp/parm you will find something like:
   CMDLINE: console=ttyFIQ0 androidboot.console=ttyFIQ0 init=/init initrd=0x62000000
,0x00800000 mtdparts=rk29xxnand:0x00002000@0x00002000(misc),0x00004000@0x00004000
(kernel),0x00008000@0x00008000(boot),0x00008000@0x00010000(recovery),0x00100000@0
x00018000(backup),0x0003a000@0x00118000(cache),0x00200000@0x00152000(userdata),0x
00002000@0x00352000(kpanic),0x00100000@0x00354000(system),-@0x00454000(user)
   It’s the “(system)” partition that we’re after. In this case: 0×00100000@0×00354000
7. Use rkflashtool again, with our newly found parameters:
   sudo ./rkflashtool r 0x00354000 0x00100000 > /tmp/system.loop
8. Save this file in a safe place, it is your original!
9. From hereon, it’s rather trivial. Mount the image, change whatever you like and write it back. Something like:
   sudo mount -o loop /tmp/system.loop /mnt
cd /mnt/app
cp ~/Download/Superuser.apk /mnt/app
cp ~/Download/su.arm /mnt/bin/su
   There are lots of other things that you may want to do, like removing buyu.apk CCCCACDE.apk com.chaozh.iReaderFree_145459.apk cube.0.3.0_v2963.apk es.apk Galaxy4.apk hd.apk HoloSpiralWallpaper.apk MagicSmokeWallpapers.apk qq_hd_1.7.0.apk uc.apk, change the bootanimation.zip and mess around freely. You did copy your image in step 8, didn’t you?
10. Write back and reboot: sudo umount /mnt
sudo ./rkflashtool w 0x00354000 0x00100000 < /tmp/system.loop
sudo ./rkflashtool b

That's all, folks!

• track 735607 Kopenhagen
• track 735809 Kopenhagen naar Præstø
• track 735812 Præstø to Rødby
• track 735910 Rødby to Puttgarden e.v.
• track 735912 Fehmarn (Puttgarden – Großenbrode)
• track 735913 Großenbrode – Bad Malente
• track 735935 Bad Malente – Bad Bramstedt
• track 735937 Bad Bramstedt – Hemmoor
• track 735938 Hemmoor – Jade (*)
• track 735939 Jade – Bourtange

(*) track opnieuw geüpload wegens problemen met afbeelden van 735938

De kern van het  bericht luidde ongeveer als volgt:

Rolling Stone Magazine heeft ontdekt dat Neil Young werkt aan een nieuwe standaard genaamd “Pono”, want hij heeft zo’n hekel aan Mp3. Het wachten is enkel nog op de goedkeuring van de patenten maar dan kunnen we dus muziekbestanden in studio-kwaliteit van de interwebs trekken.

U vindt dit bericht misschien niet zo gek klinken, ik wel. Want als je schele hoofdpijn en tinnitus krijgt van Mp3-bestanden (en voor mijn part ook alle alternatieven, zoals Ogg, Flac, AAC, WMV en wat al niet meer), dan is er geen enkele reden om te “wachten op goedkeuring van de patenten”. Sterker nog: die goedkeuring, dat kan wel een paar jaar duren; maar je patent is dan met terugwerkende kracht geldig vanaf de aanvraag.

Gelukkig, u ziet het, stonden de brondocumenten vermeld: Rolling Stone Magazine (niet de minste) en een mij verder onbekende FWD Magazine, die zich (en dat is ietwat verdacht) baseert op datzelfde Rolling Stone Magazine. In de Rolling Stone las ik niks over patenten, maar wel iets over — wat in Nederland heet — merkenbescherming. Young applied for six trademarks (merknamen), om precies te zijn.

Dat maakte het nog vreemder. Je hebt een nieuw, revolutionair muziekformaat ontwikkeld, maar je wacht even tot de merknaam goedgekeurd is? In, nota bene, de USA, waar ze de softwarepatenten hebben uitgevonden?

Er zijn vele alternatieven voor MP3, sommige fabrikant-gebonden (WMV, AAC), sommige vrij beschikbaar (OGG, FLAC). Er zijn vast ook heel wat hobbyisten die NOG betere geluidsformaten ontwikkeld hebben. Maar registratie van de merknaam aanhalen als eerste wapenfeit bij je studio-kwaliteit-glimmend-nieuwe geluidsformaat, dat klinkt als een verlate 1-aprilgrap.

Het werd pas echt schokkend toen ik een beetje ging rondneuzen naar de achtergronden bij dit nieuws. Allerlei serieuze nieuwsmedia hadden de kolder klakkeloos overgenomen, soms zelfs met bronvermelding, er werd hier en daar een eigen draai aan het “nieuws” gegeven maar in de basis was het gewoon het artikel Rolling Stone Magazine, waarbij de vertalers allemaal dezelfde fout gemaakt hadden met het U.S. Patent and Trademark Office.

Radio2: Neil Young patenteert pono,  De Standaard: Neil Young gaat de strijd aan met Mp3, De Telegraaf: Neil Young patenteert nieuw audioformaat, Neil Young wil Mp3 vervangen, hij patenteert nieuw audioformaat, ontwikkelt eigen digitale audio-standaard,  patenteert nieuw revolutionair audioformaat en dat laatste nog een paar keer, bij andere bij de Persgroep aangesloten kranten (Parool, Volkskrant). Met als bron HLN.be, ook van de Persgroep.

De Persgroep citeert dan ook nog eens de bron der bronnen, het persbericht van Blue Rider Press over de aankomende autobiografie van Young, maar maakt daarin een forse vertaalfout: “Young is also personally spearheading the development of Pono, a revolutionary new audio music [sic!] system presenting the highest digital resolution possible” wordt vertaald met “een revolutionair nieuw muziekformaat“. Dat doet zelfs Google Translate beter, met een revolutionaire nieuwe audio-muzieksysteem. Het artikel in Rolling Stone sprak inderdaad van a revolutionary new audio music system en a modern-day iPod for the 21st Century. Een muzieksysteem dus. Een high-end muzieksysteem.

Het ergst van dit alles vind ik niet het non-nieuws over Neil Young. Het ergst vind ik, dat zulk non-nieuws met een kwartiertje fact-checken tot non-nieuws verwordt, maar dat die vijftien minuten blijkbaar bij De Volkskrant, Het Parool, De Morgen en NOS radio 2 en vele anderen niet meer aanwezig zijn.

Want hoe kan ik voortaan weten welke berichten wèl gecontroleerd zijn?

Have fun!

• http://ojw.dev.openstreetmap.org/gpx/?gpx=1043314 (Day 1)
• http://ojw.dev.openstreetmap.org/gpx/?gpx=1043316 (Day 2)
• http://ojw.dev.openstreetmap.org/gpx/?gpx=1043317 (Day 3)
• http://ojw.dev.openstreetmap.org/gpx/?gpx=1043321 (Day 4)
• http://ojw.dev.openstreetmap.org/gpx/?gpx=1043324 (Day 5)
• http://ojw.dev.openstreetmap.org/gpx/?gpx=1043328 (Day 7)
• http://ojw.dev.openstreetmap.org/gpx/?gpx=1043333 (Day
• http://ojw.dev.openstreetmap.org/gpx/?gpx=1043334 (Day 9)
• http://ojw.dev.openstreetmap.org/gpx/?gpx=1043335 (Day 9)
• http://ojw.dev.openstreetmap.org/gpx/?gpx=1043336 (Day 10)
• http://ojw.dev.openstreetmap.org/gpx/?gpx=1043339 (Day 11)
• http://ojw.dev.openstreetmap.org/gpx/?gpx=1043340 (Day 11)
• http://ojw.dev.openstreetmap.org/gpx/?gpx=1043341 (Day 11)
• http://ojw.dev.openstreetmap.org/gpx/?gpx=1043342 (Day 12)
• http://ojw.dev.openstreetmap.org/gpx/?gpx=1043344 (Day 13)

A fine example of social media spam this is the Facebook account of Mrs. Laura Augustine. Judging from her Facebook profile picture, she has barely enough money to dress properly, but she does have a web site. Her only Facebook action so far is to encourage you to go view it (View my sexy photos and videos on my site!!): http://twitter.com/mcarabi. And, in turn, Mrs. Augustine, who is now suddenly called Anna Bond, directs you to http://tinyurl.com/2uzlvu9 with an equally inviting message (view my sexy photos and videos). Tinyurl.com isn’t all that innocent, by the way, as it specifically mentions Are you posting something that you don’t want people to know what the URL is because it might give away that it’s an affiliate link? Then you can enter a URL into TinyURL. Anyway, Mrs. Augustine, Carabi, Bond wants you to see http://meganovosti.com/kav.php?gola=nega which, luckily, doesn’t work anymore.

If you are spammer aware, the first time you are invited to become “friends” with a young lady with no money for clothes, you may think that turning her in is a good thing. You may think that clicking on the “report for abuse” or “report for spam” button helps. Unfortunately, it’s not that easy. Reporting Mrs. Augustine will help, but not much. If you simply search Google for http://twitter.com/mcarabi site:facebook.com, you’ll notice that there’s 27 results (most of them not safe for work). Even worse is the fact that I first digitally met Mrs. Carabi/Bond/Augustine in November 2010 – that’s six months ago. And if you search with Google for “view my sexy photos and videos” site:twitter.com, you’ll get even more accounts that probably direct you to the same rubbish.

Another example is random followers that you may have on Twitter. Who is EmmaGamble87 and why is she following me?  Judging from her Twitter account, Emma Gamble is a spam bot, who sends out a new spam link once a day. Use Google to search for that very spam link – minus the random number – and we found another 84 possible Twitter spammers. That is, for every new spam link we find new possible Twitter spam accounts: 93 results, 99 results.

Now should I try to turn in all these Professional coffee enthusiasts, Passionate bacon geeks, hipster-friendly travel lovers, alcohol gurus, hardcore food fanatics, beer scholars and wannabe zombie mavens? Give me a break. If Twitter wants to get rid of spam bots, it should do so by having a mass spam bot reporting tool. (Same goes for Facebook. By the way: ironically enough they now report my mass spammer finding link as abusive, see here).

Social spam will not go away. If you just look at the number of idiots that are following these spam bots on Twitter, you’ll know that automated junk mail has it’s very own audience. But a mass spam reporting tool could improve spam reduction rate twentyfold.

Oh, by the way: please don’t report my examples. I’d have to find new ones, which isn’t hard, but reporting them would defeat the whole purpose of this posting.

Lately, we had a two similar security breaches. One had to do with a problem in the Ubuntu pam settings, where pam will ignore everything, including wrong passwords, bad configurations, account expired and the kitchen sink, the other was a — rather stupid — default password that we left in a testing machine that got upgraded to production. Luckily, no animals were harmed; but we decided it to be time to fence off attackers by searching the log files for attacks.

There are many solutions for this. In the past, we had used logcheck, which had a lot of patterns but was not very good at dissecting them (i.e. you could either have or have not something mailed, but no chance of doing something special with the IP address of the attacker). For easy analysis and security there are fail2ban (written in Python), Sagan (written in C), SSHguard (written in Yacc and C). (If you are looking for a complete (and maybe separate) intrusion detection system you may want to use something like Snort).

The problem I had with these solutions is, that they all have a quite complicated scanning path. If, for example, sshd logs an error message, this message will go to 1) your system log; from there to 2) the analysis program; which will, most likely, 3) spawn a script that, in turn, 4) will execute IPtables.  Eek. There are faster ways: SSHguard will call IPtables right away, but at a cost: it’s written in C, with (as far as I could see) the patterns written in Yacc; so getting a new pattern to work would mean a) writing a Yacc pattern, then b) recompile SSHguard. And while I understand the value of recompiling, I normally rather leave that to BSD users.

Luckily, there is an alternative. Syslog-ng has got its own on board pattern recognition logic. That simplifies the path enormously: from sshd to the system logger; and, with a bit of trickery as outlined below, straight to the IPtables firewalling, without calling an external command. Here is what I built.

Step 0. Install syslog-ng

Easy enough.  On our Ubuntu Lucid servers, I added the “backports” repository and installed syslog-ng 3.1 from there. Please note that you do need version 3.1 or newer for the patterndb logic to work.

Step 1.  Get a pattern.

To get started, get the sshd pattern from the Balabit git web frontend:

wget -O sshd.pdb http://git.balabit.hu/?p=bazsi/syslog-ng-patterndb.git;a=blob;f=access/sshd.pdb;hb=HEAD

Put it in /etc/syslog-ng/patterndb.d/, then run

pdbtool merge -D /etc/syslog-ng/patterndb.d/ -p /var/lib/syslog-ng/patterndb.xml

Step 2: setup syslog-ng

Add, in the appropriate sections of your /etc/syslog-ng/syslog-ng.conf file:

# a destination; we have a dual destination here, a file to see the
# blocked hosts, and an iptables-destination in /proc to block them.
destination d_syslogblock { file("/proc/net/xt_recent/syslogblock"
    template("+${usracct.device}\n")); file("/var/log/syslogblock"); };
# a parser for the pattern-DB we made in step 1
parser pattern_db {
    db_parser( file("/var/lib/syslog-ng/patterndb.xml")); };
# a filter to filter the parser results
filter f_syslogblock { tags("secevt") and match("REJECT"
    value("secevt.verdict")); };
# and finally, the log itself:
log { source(s_src); parser(pattern_db); filter(f_syslogblock);
destination(d_syslogblock); };

Step 3. Setup firewalling.

A minimalistic firewall could look like:

ip6tables -A INPUT -i lo -j ACCEPT
ip6tables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
ip6tables -A INPUT -m state --state INVALID -j DROP
ip6tables -A INPUT -m recent --rcheck --name block \
    --seconds 3600 -j DROP   # see note (1) below
ip6tables -A INPUT -m recent --rcheck --name syslogblock \
    --seconds 900 --hitcount 15 -m recent --name block --set \
    -j LOG --log-prefix "syslogblocked: "

Step 4. Repeat for IPv4

Now repeat step 3, but use “iptables” instead of “ip6tables”. (I used ip6tables on purpose, because it’s time you get ready for IPv6 if you aren’t).

Ready.

Not too hard, isn’t it? It works as follows. Syslog-ng will put the IP-address of any wrong password or username into the /proc/net/xt_recent/syslogblock file, with a “+” in front of the address. This is the iptables way of telling the recent module it should add a certain address. Now the IPtables rules tell, that if someone is seen in this “syslogblock” list more that 15 times within 15 minutes, then (s)he will be added to the “block” list.

The double “-m recent …. -m recent” logic works because iptables does so called “short circuit” evaluation, If someone is not 15 times in the “syslogblock” list, then iptables won’t even bother to evaluate the rest of the line, i.e. it won’t call the “-m recent –name block” test. However, if someone is 15 times there (and it all happened within the last 15 minutes), only then it will see if “-m recent –name block –set” evaluates to “true” as well. And, by definition, it does, because an xt_recent “set” command is always true.

Once you’re in the “block” list, you will be blocked for an hour. Note (1): if you replace the “–rcheck” here with an “–update” statement, the block will last even longer. The “–rcheck” option says: we will block you the next hour. While “–update” says: we don’t want to see you for an hour, but if we see you again during this time, we’ll block you again. So the latter means that you actually need to be quiet for 60 minutes to be able to log in again.

There is only one potential problem in this whole setup: if  syslog-ng inadvertedly sends garbage to the /proc/net/xt_recent/syslogblock file, then this file will be closed. Syslog-ng will reopen it after the “reopen” timeout, so your message will probably come through; but should something change in the working of syslog-ng, like should syslog-ng try to re-send potentially broken messages, then this will, effectively, block the rest of the blocking messages. (I don’t think this will happen, because “fprintf” is not a reliable transport, so to say, but you’ll never know).

I’ll implemented this solution successfully for a couple of servers; I also added a profile for asterisk SIP scanning and I’ll be adding more servers and more profiles in the coming weeks.

Some final remarks: xt_recent has a default tables size of 100 IP addresses, so it won’t eat up all your computer memory. However, this means that having IPv6 addresses in syslogblock may or may not be an advantage. As most of these IPv6 netblocks are /48 or /64, an attacker can easily change source addresses for every connection, thus slowly flushing your syslogblock file. I haven’t seen any IPv6 scans so far, but you might want to keep an eye on the /var/log/syslogblock file. Also, this file is not rotated by default and you may want to change that, too.

Happy blocking!

Het Centraal Bureau voor de Statistiek, CBS, heeft als missie het samenstellen en publiceren van onbetwiste, samenhangende, actuele statistische informatie die relevant is voor praktijk, beleid en wetenschap. Deze missie vereist dat de kwaliteit van de statistische informatie gegarandeerd is.

Sinds ongeveer vier jaar wordt de statistische dataverzameling afgehandeld met een door of voor het CBS ontwikkeld softwarepakket, genaamd “CBSquest.exe”. Om dat pakket te kunnen gebruiken, moet je het installeren op Microsoft Windows. (De fans van statistische methodenleer beginnen nu te gniffelen, want zij begrijpen het probleem, maar voor de geïnteresseerde leek zal ik de zaak nog even grondig uitleggen).

Een van de mooiste voorbeelden van foutieve statistische dataverzamelingen vind ik nog altijd de anekdote over de eerste telefonische enquete, in de Verenigde Staten, over de uitkomst van de presidentsverkiezingen. De uitslag zat er falikant naast. Waarom? Alleen de zeer rijken hadden destijds een telefoontoestel! De voorspelling had dan ook een overweldigende afwijking in de richting van de Republikeinen. (Anekdote trachten te verifiëren; niet gelukt, mogelijk een verdraaiïng van het verhaal over de peilingen van Literary Digest).

Zo geldt ook het aanleveren van statistische gegevens met behulp van een Windows-programma als een wat onhandige manoevre. Niet zozeer omdat verstandige mensen een Mac of Linux-computer hebben, maar simpelweg omdat het CBS ook de vraag beantwoordt of er in de organisatie open source software gebruikt wordt. In de publicatie De Digitale Economie 2009 staat letterlijk: “Kleine bedrijven maakten zoals gezegd veel minder gebruik van open source software dan grote bedrijven en dit geldt vooral voor de open source besturingssoftware.”

Of bovenstaand waar is, weet ik niet. Maar het CBS weet het denk ik ook niet. Want wat doet een Linux- of een Apple-specialist wanneer een vragenlijst begint met: “Open Internet Explorer. Werkt u daar niet mee? Bel ons dan even”? Ik gooide de enquete weg, stiekem hopend op een boete, die ik dan in gezelschap van een paar ICT-journalisten zou gaan aanvechten bij de rechtbank.

De boete kwam niet, en andere mensen hadden al een leuke column geschreven, de statistische blunder kon me niet zoveel schelen, dus toen liet ik het maar zo.

Tot ik bij toeval ontdekte dat de dataverzameling van het CBS lek is: je kunt de vragen van iemand anders beantwoorden; je kunt zelfs je eigen enquete op de site van het CBS hosten!

Eerst maar eens even uitleggen hoe het CBS het bedoeld heeft. De eigenlijke handleiding is een Microsoft-Word-document, maar het kan gelukkig ook simpel op een webpagina:

1. U gaat naar https://formulieren.cbs.nl/downloads, gaapt naar de website, en downloadt vervolgens http://formulieren.cbs.nl/downloads/CBSquest_setup.exe.
2. Eenmaal gedownload, installeert u het. (Linux-gebruikers: wine is het codewoord).
3. Daarna gaat u naar https://formulieren.cbs.nl/vlviewer/Login.aspx en daar moet u uw gebruikersnummer en uw toegangscode invullen. (De toegangscode staat in de uitnodigingsbrief). U kunt nu (met een tussenstap, als ik het me goed herinner) de vragenlijst downloaden. Terzijde: omdat je alleen je eigen toegangscode kent, kun je alleen je eigen vragenlijst ophalen.
4. Je start het (onder punt 2 geïnstalleerde) programma CBSQuest en je opent daarmee de (onder punt 3 opgehaalde) vragenlijst.
5. Je beantwoordt alle vragen en kiest voor “verzenden”.

Het programma maakt nu, lokaal op je eigen computer, een HTML-document aan met de naam “CBSquest.htm”. Het staat in een tijdelijke map, bijvoorbeeld in C:\windows\temp\~CBSquest\QNR97229\$Temp\CBSquest.htm. Dat document wordt geopend met Internet Explorer en dan ziet het er ongeveer zo uit:

Jaarstatistiek Computerservice bureaus

Verzenden vragenlijst via het internet

Let op:

Als u op dit moment geen internetverbinding heeft, breng dan eerst deze verbinding tot stand.

Het is niet van belang welke internetpagina u opent / open heeft staan.
Klik nu op de knop ‘Verzenden’ om de vragenlijst naar het CBS te versturen.

In de “broncode” van dit document staan de antwoorden op alle vragen, klaar om verzonden te worden. Ook je gebruikersnummer staat erin. De toegangscode ontbreekt. Oftewel: het CBS accepteert je antwoorden zonder dat je je hoeft te legitimeren. Daar mailde ik het CBS over; de afdeling persvoorlichting antwoordde het volgende:

Wij achten de kans klein dat een berichtgever/respondent daarbij een (ander) valide gebruikersnummer invult als zeer klein. Dit nummer is random gegenereerd en toegewezen aan een respondent/berichtgever. Het gebruiksnummer is enkel bekend bij de bijbehorende persoon/bedrijf bekent en het CBS controleert binnenkomende berichten op het valide zijn van dit nummer. Wanneer dit nummer niet overeenkomt dan wordt de data vernietigd en bovendien krijgt de berichtgever een rappel op het nog niet inzenden van zijn informatie.

Nou moet ik zeggen: ik acht de kans dat een respondent een ander nummer invult, ook uiterst klein en bovendien geheel irrelevant. Het gaat er hierbij om, dat een willekeurige derde een of ander nummer invult. Een weblog-lezer, bijvoorbeeld. (Nee, u niet natuurlijk). Bovendien is het lariekoek, dat “random nummer”. Mijn enquetenummer was zoiets als 1447859. Ik heb heel wat willekeurige nummers gezien in mijn leven — bijvoorbeeld 42 of 12 — en ik kan u verzekeren dat 1447859 absoluut niet erg random is. Anders gezegd: er  is ook een respondent met gebruikersnummer 1447857, 144758 en 1447860 en 1447861.

Maar het wordt nog onnozeler. Want niet alleen controleert de server van het CBS het wachtwoord niet, “CBSQuest.htm” formuleert ook, vooraf, het bedankje dat het CBS je straks gaat geven. Op je eigen computer staat dus de volgende tekst te wachten:

“Dank u wel<b> </b>voor het invullen van de vragenlijst.<br><br>Uw antwoorden zijn op @@datum om @@tijd door het CBS ontvangen;<br>Ingevulde vragenlijst: Jaarstatistiek Computerservice bureaus Jaar 2011<br><br>Uw correspondentienummer is: 12345678<br>Uw inzendkenmerk is: @@kenmerk<br><br>Maak een afdruk van deze ontvangstbevestiging voor uw eigen administratie.<br><br><b>Afsluiten<br></b>U kunt nu dit scherm en ook het volgende scherm sluiten met het kruisje rechts bovenin.<br><br><b>Heeft u nog vragen? <br></b>Neem dan contact op met onze medewerkers van het CBS Contact Center:<br>via onze website (www.cbs.nl/contactcenter) of via de telefoon: <br>(045) 570 64 00 voor inhoudelijke vragen (op werkdagen van 9-17 uur)”

Ook die tekst kun je zelf aanpassen. Je kunt de CBS-server bijvoorbeeld laten zeggen:

<script type=’text/javascript’ />
<!–
document.write(‘Hallo Wereld’);
//–>
</script>”

En dan is, werkelijk, het eind zoek. Het betekent namelijk, dat iedereen die dat wil, willekeurige content op de CBS-site kan publiceren. Enfin, over cross-site-scripting (XSS) zijn hele boekwerken geschreven, dus dat ga ik u niet voorkauwen.

Wel nog dit. De CBS-server controleert wèl of u een formulier meestuurt. Dat formulier mag helemaal leeg zijn, maar het moet wel aanwezig zijn. Wilt u dus uw eigen enquete publiceren op de site van het CBS, wacht u dan even op de uitnodiging om met CBSquest.exe aan de slag te gaan.

Naschrift. Het CBS is begin november 2010 van dit probleem op de hoogte gesteld – met het verzoek om te reageren. Het XSS-probleem lijkt opgelost: door alle de client-PC aangeleverde HTML-tags, behalve <b> en <i>, worden nu keurig met “&gt;” gecodeerd in de HTML-broncode. Of hun Windows-probleem ook uit de wereld is, weet ik niet. Reageren, daar doen ze namelijk niet aan.

Begin december las ik in een nieuwsbericht, dat het ministerie van Justitie zou overwegen om internet permanent te “tappen”. Als reden daarvoor werd – volgens het nieuwsbericht op Webwereld – opgegeven dat de overheid zo kinderporno een halt kan toeroepen. Nou wordt er in Nederland wel meer permanent getapt – we hebben in absolute aantallen meer getapte telefoons dan de gehele Verenigde Staten bij elkaar – dus heel bijzonder vond ik het allemaal niet.

De afgelopen weken was ik bovendien druk op zoek naar computervirussen, voor een presentatie voor de Bondsraad van de Consumentenbond. Daar wilde ik laten zien, hoe sites met nep-virusscanners soms bedriegelijk echt lijken. Als je als goedwillende gebruiker op een dergelijke site klikt, moet je van goeden huize komen om niet, geheel per ongeluk en voor je het weet, een kwaadaardig programma te installeren.

Hoe kom je aan een nep-virusscanner? Meer algemeen: hoe kom je aan kwaadaardige programmatuur? Ik zocht op Google en op Bing, maar zonder resultaat. Niet eens opmerkelijk, gegeven het feit dat ze bij Google (en bij Microsoft heus ook) een heuse afdeling Anti-Malware hebben.

Ik klikte al mijn spam aan (toch zeker 40 per dag, ondanks greylisting, ik heb er nog zo’n 2300 ongelezen staan) en ik probeerde alle als spam geklassificeerde verwijzingen in de commentaren op mijn blog. Helaas: zonder resultaat. Of beter gezegd: met een onverwacht resultaat. Wat ik vond, was op te delen in drie categorieën.

• De eerste: nagemaakte merkartikelen. Vermeldenswaardig is, dat de meeste namakers op hun site trots vermelden dat ze replica’s verkochten. Rolex, Gucci: vooral het duurdere proletenwerk.
• De tweede categorie: verwijzingen-om-de-verwijzingen. Zoekmachines zoals Google en Bing hechten meer waarde aan een site naarmate er vaker naar verwezen wordt. Die verwijzingen worden tegenwoordig vaak geautomatiseerd aangelegd, opdate de waarde van de doel-site stijgt. Zo valt ook mijn blog ten prooi aan geautomatiseerd aangemaakte onzin-berichten, die als enig doel hebben het plaatsen van een verwijzing naar een andere site.
• En de derde categorie: medicijnen van dubieuze herkomst. Voornamelijk Viagra trouwens, maar ook allerlei andere spullen voor “Energy for romantic affairs”. De Klisjeemannetjes zouden nog wat kunnen leren van de vele metaforen voor een grote stijve piemel — in de hoop om ongemerkt door de spamfilters te komen: “dude piston”, “your zipper knight”, “big package”, “switch up to 20 positions per night”, “concrete firmness”, “huge tool for everyone” of gewoon en een beetje saai “get rid of bad health”, wat op internet nooit gaat over verkoudheid of droge hoest.

Maar waar het om begonnen was, een virussite vinden, dat lukte niet.

Toen begon er toch wat te knagen. De overheid gaat kinderporno stoppen — op internet. Laat ik nu altijd gedacht hebben dat het probleem van kinderporno was, dat er kinderen voor misbruikt worden, maar nee, het ministerie van Justitie stopt kinderporno “op internet”. Daartoe heeft het Openbaar Ministerie een account aangemaakt op Second Life is de gelukkig nog net ontbrekende mededeling. Maar het is wel de bedoeling dat we geen smerige plaatjes kunnen bekijken. Justitie zal het zo wel niet bedoelen, en misschien dat het woord “stoppen” door de journalist van Webwereld in het artikel geplaatst is. Ook besef ik dat je niet geestelijk gezond bent als je kiddieporn wilt zien, maar merkwaardig is het wel, dat internet afgeluisterd moet worden om kinderporno, vieze plaatjes dus, op internet te stoppen. Doe je best om kinderseks te stoppen, dat lijkt me heel wat zinniger.

Zo ook die anti-malware-flauwekul. Miljoenen worden er gepompt in campagnes die ons vertellen dat we onze computer van een virusscanner en een firewall moeten voorzien. Wat niet waar is (ik heb al tien jaar geen virusscanner), maar veel merkwaardiger is het feit, dat illegale medicijnensites bij het gros toegankelijk zijn. Is gewone gezondheid tegenwoordig ondergeschikt aan computergezondheid?

Als je de berichtgeving de laatste dagen volgt, is die conclusie bijna onontkoombaar. Het ene na het andere feit over de handel en wandel van de Verenigde Staten ziet het licht, maar waarover gaat de discussie? Of Wikileaks wel legaal bezig is. Of je die informatie wel mag publiceren.

Wat u in de echte wereld doet, moet u zelf weten, maar op internet, daar dient u zich te gedragen. Justitie ziet u!

Zelf proberen? Dat kan. Dankzij een klant van Open Office, die de melding op haar scherm kreeg, lukte het me toch nog om een valse antiviruswaarschuwing te verkrijgen. De website met de merkwaardige naam “alolipololi.osa.pl” wordt — zo lang als het nog duurt — gebruikt als doorstuur-knooppunt door de makers van nep-virusscanners. Klik en huiver: het ziet er fantastisch gelikt uit, je zou zweren dat je met je Windows Vista en Internet Explorer 7 aan tientallen virusbesmettingen lijdt.

Let op: de site stuurt je niet altijd door, het kan ook zijn dat je op een geheel onschuldige zoekmachine-achtige website belandt, dat betekent dat de virusmakers je even geen virus willen toezenden. Computers met Microsoft Windows zijn vatbaar voor de griep die deze lieden verspreiden. Als je toch klikt, kom dan niet klagen als je besmet bent. Eigen schuld, er is keuze genoeg, had je maar Apple, Ubuntu, Android, BSD, Red Hat of SuSE moeten gebruiken.

Ov-chipkaart.nl only mentioned that MFOC “is not very stable” and suggested decreasing the “distance” (-T option in MFOC).

I decided to dig further. Strangely, adding various “sleep” calls did seem to improve the stability of the reader – but only for a very short time. Also, the source code was full of reconfiguration calls, it would even turn the “field” (meaning the wireless signal meant to communicate with the card) off, reconfigure the reader, turn the field on again, then try to re-establish communication with the card again:

void mf_configure(nfc_device_t* pdi) {
 nfc_initiator_init(pdi);
 // Drop the field for a while, so can be reset
 nfc_configure(pdi,NDO_ACTIVATE_FIELD,false);
 // Let the reader only try once to find a tag
 nfc_configure(pdi,NDO_INFINITE_SELECT,false);
 // Configure the CRC and Parity settings
 nfc_configure(pdi,NDO_HANDLE_CRC,true);
 nfc_configure(pdi,NDO_HANDLE_PARITY,true);
 // Enable the field so more power consuming cards can power themselves up
 nfc_configure(pdi,NDO_ACTIVATE_FIELD,true);
}

followed by a call to

void mf_anticollision(mftag t, mfreader r) {
 const nfc_modulation_t nm = {
 .nmt = NMT_ISO14443A,
 .nbr = NBR_106,
 };
 if (!nfc_initiator_select_passive_target(r.pdi, nm, NULL, 0, &t.nt)) {
 fprintf(stderr, "\n\n!Error: tag has been removed\n");
 exit(1);
 }
}

This all seemed a bit unnecessary, so I started weeding out calls to mf_configure() and mf_anticollision(). That did not seem to harm MFOC reading the signal – although stability did, at first, not improve.

Then I noticed a call to mf_enhanced_auth that was followed by “fprint(); fflush(); mf_configure(); mf_anticollision()”, and afterwards, the reader would crash; but if I turned things around (mf_authenticate; mf_configure; mf_anticollision; fprint), it would be much more stable.

// Try to authenticate to exploit sector and determine distances (filling denonce.distances)
mf_enhanced_auth(e_sector, 0, t, r, &d, pk, 'd', dumpKeysA); // AUTH + Get Distances mode
printf("Sector: %d, type %c, probe %d, distance %d ", j, (dumpKeysA ? 'A' : 'B'), k, d.median);
// Configure device to the previous state
mf_configure(r.pdi);
mf_anticollision(t, r);

Aha. A timing issue.

Then I figured: if these calls to mf_configure are unnecessary (apart from the ones that enable key calculation), I might as well put them inside mf_enhanced_auth:

crypto1_destroy(pcs);
// Let reader handle parity & CRC again.
for (i=0;!nfc_configure(r.pdi, NDO_HANDLE_PARITY, true) && i < 10; i++)  {
  zsleep (100);
  printf("Parity");
}
if (i==10) { fprintf(stderr,"10 config errors, aborting now.\n"); exit (EXIT_FAILURE); }
for (i=0;!nfc_configure(r.pdi, NDO_HANDLE_CRC, true) && i < 10; i++) {
  zsleep (100);
  printf("CRC");
}
if (i==10) { fprintf(stderr,"10 config errors, aborting now.\n"); exit (EXIT_FAILURE); }
return 0;

This greatly improved stability: the reader wouldn’t crash anymore after the “d” part of mf_authenticate. However, it would after the “m” part. Now what?

Ironically, during a train ride, it struck me. The “m” part of mf_authenticate is heavily influenced by the “T” option: a higher value for “T” will increase the time until MFOC reconfigures the reader to it’s default settings (CRC and parity calculation done by the reader):

if (!nfc_initiator_transceive_bits(r.pdi, AuthEnc, 32, AuthEncPar,Rx, &RxLen, RxPar)) {
 fprintf(stdout, "Error requesting encrypted tag-nonce\n");
 exit(1);
 }
// followed by the calculation done by the computer:
for (m = d->median-d->tolerance; m <= d->median+d->tolerance; m +=2) {
// there is no more communication with the reader here!
}

The suggestion of having a low value for “tolerance” would help getting the reader being reconfigured in time, which would help the reader not crash. This also means that the faster your processor, the higher your “T” value can be. My MFOC tuning was done on a rather low-end machine with an Intel Atom processor, which is probably why even 1 or 2 for “T” would not finish calculations.

Anyway, here is the revised mfoc.c. It’s still a bit rough; you’ll need to tune mfoc.h a bit (remove mf_configure), but hey, your card reader will not crash anymore!

It’s not perfect. MFOC will, sometimes, still crash. Reconfiguring the parity/CRC at the end of mf_enhanced_auth will sometimes still stop the calculations. But so far, I haven’t seen my reader stop communicating anymore. Those of you who don’t have a crashing ACR122U are most welcome to test this source, too, to see if it doesn’t pose new problems. Please let me know your findings.