Subscriptions

Planet Grep is open to all people who either have the Belgian nationality or live in Belgium, and who actively work with or contribute to Open Source/Free software.

About Planet Grep...

Other planets can be found at the Planet Index.

A complete feed is available in a number of syndication formats: RSS 1.0, RSS 2.0, FOAF, and OPML.

The layout of this site was done by Gregory

July 28, 2014

Mattias Geniar

HTTPd: Cannot load mod_status.so into server: undefined symbol: ap_copy_scoreboard_worker

Red Hat Enterprise Linux has published a new advisory on July 23rd, RHSA-2014:0920-1. This involves a security update for the Apache2 webserver for configurations that use mod_status in combination with ITK. CentOS then mirrored this update to their repositories as well.

However, if you execute the update, your previous configs may be broken due to the following error.

~# service httpd start
Starting httpd: httpd.itk: Syntax error on line 60 of /etc/httpd/conf/httpd.conf: 
Cannot load /etc/httpd/modules/mod_status.so into server:
/etc/httpd/modules/mod_status.so: undefined symbol: ap_copy_scoreboard_worker

[FAILED]

As of yet, there's no known fix, other dan downgrade the HTTPd version to the previous (unsafe) version. First, remove the old versions. Note, this may remove dependencies, such as mod_fastcgi, webalizer, ... whatever you may have. Keep that in mind.

~# yum remove httpd httpd-itk httpd-tools mod_ssl

Then, reinstall with the previous version number.

~# yum install mod_ssl-2.2.15-30.el6.centos.x86_64 httpd-tools-2.2.15-30.el6.centos.x86_64
 httpd-2.2.15-30.el6.centos.x86_64 httpd-itk-2.2.22-6.el6.x86_64

Obviously this is not ideal, but one can argue that a website is worth more online than offline. Keep monitoring the upstream updates for fixes.

by Mattias Geniar at July 28, 2014 08:48 AM

July 27, 2014

Lionel Dricot

Quelle est la valeur de votre temps de cerveau ?

geisha

Lorsque je parle du prix libre, j’explique que la valeur n’est pas liée au prix. Au contraire ! En économie, un agent économique ne va justement payer un prix que s’il estime obtenir une valeur supérieure. Si cela semble évident pour l’échange de biens, appliquer la réflexion à la publicité conduit à une seule conclusion : nous devons éviter la publicité à tout prix et la bloquer dès que possible !

Le prix de la publicité

Le but d’une publicité est de se glisser jusqu’à votre cerveau, que ce soit à travers votre vue ou votre ouïe. Le patron d’une chaîne de télévision avait employé des mots très justes pour parler de la publicité en se déclarant « vendeur de temps de cerveau disponible ».

Les publicitaires paient donc un prix à tout support qui, de manière visuelle ou auditive, va donner accès aux cerveaux. Prenons un exemple dont les chiffres sont entièrement fictifs : admettons qu’une agence de publicité comme Google paie 1 centime aux sites web que vous visitez pour chaque publicité que vous visionnez. Ce centime va dans la poche du blogueur ou de l’auteur de la vidéo que vous consulté. C’est leur salaire pour avoir attiré votre cerveau et l’avoir rendu disponible. Google, de son côté, revend votre temps de cerveau 2 centimes à un annonceur.

Le fait que l’annonceur soit prêt à payer 2 centimes juste pour s’afficher un bref instant dans votre champs d’attention est la preuve que, pour cette annonceur, la valeur de la publicité est supérieure à 2 centimes. Si, par mois, vous êtes exposé à 100 publicités de cet annonceur, c’est qu’il est convaincu que vous allez augmenter ses bénéfices de plus de 2€ par mois. Sans doute de 3€ ou 4€ par mois.

Si l’annonceur vend un produit ou un service qui coûte 20€ et sur lequel il fait 10% de bénéfice net (le reste allant aux matières premières, à l’emballage, à la production, aux transports, aux salaires et à la vente), cela signifie que l’annonceur est certains que vous allez acheter au moins 2 produits par mois. Bref que vous allez dépenser 40€ par mois là où l’annonceur a dépensé 2€ et où votre blogueur favori a reçu 1€.

Je vous vois hocher la tête en disant que vous, vous n’achetez pas comme ça. Mais si. Vous le faites sinon l’annonceur ne paierait pas. Mais vous ne vous en rendez même pas compte ! C’est là toute la force de la publicité.

Le coût de la publicité

Tout cela n’est rendu possible que parce que vous avez réalisé un échange économique avec votre blogueur favori : vous lui donnez le contrôle de votre cerveau plusieurs minutes par jour en échange de son contenu. C’est aussi simple que cela.

Rappelons-nous que le temps, c’est la vie. Notre vie n’est faite que de temps. Notre cerveau, c’est nous, notre identité, notre personnalité. Ce que nous échangeons contre un article ou d’une courte vidéo est donc bien un morceau de notre vie et de notre personnalité. Bref, nous bradons notre bien le plus précieux : notre vie, notre personnalité !

Le premier effet est, bien évidemment, de nous faire dépenser notre argent. Dans cet exemple ce sont 40€ que nous aurions pu économiser en nous passant d’un achat inutile ou en préférant une alternative bon marché.

Mais pour arriver à ce résultat, notre personnalité, notre perception a du être modifiée. En bref, après une publicité, nous ne sommes plus les mêmes. Nous avons transformé notre identité en suivant inconsciemment les directives de l’annonceur.

Cela vous semble exagéré ? Tiré par les cheveux ? N’oubliez pas que l’annonceur donne une grande valeur à ce temps de cerveau auquel vous, vous n’accordez que peu d’intérêt ! C’est la base de l’échange économique : vous cédez ce que vous n’utilisez pas ou ne voulez pas utiliser. Votre cerveau et votre vie.

Certains annonceurs veulent faire interdir les logiciels anti-publicité ? Hormis la dangereuse absurdité technique, j’estime qu’ils devraient, au contraire, être obligatoire ! Mon cerveau, ma vie et ma capacité à penser par moi-même ne sont pas à vendre !

La valeur de la publicité

Ce constat est tellement effrayant que beaucoup refusent de l’admettre et se bercent d’illusions : « moi, je ne me laisse pas influencer par la publicité » ou « j’aurais de toutes façons acheter ce bien ». Malheureusement, toutes les études démontrent le contraire : la publicité a un effet tellement profond que même les publicitaires le sous-estiment.

Pour moi, la conclusion est sans appel : je fuis comme la peste les supports publicitaires. Je n’ai pas la télévision ni la radio. Je ne vais plus au cinéma. Et je ne surfe jamais sans Adblock. Si une vidéo Youtube commence par une publicité, je me pose la question : « Ce contenu mérite-t’il vraiment mon temps de cerveau ? ». Sans surprise, la réponse est toujours « non ». C’est même devenu un indicateur : s’il y a une publicité alors la vidéo a une grande probabilité d’être inutile.

Ce régime strict demande une certaine discipline mais, après quelques semaines, lorsque je suis confronté à une publicité, je ne peux qu’être estomaqué par la violence visuelle et auditive qui est infligée quotidiennement à notre cerveau. Une violence que je n’avais jamais remarqué auparavant. La publicité est comme le sucre de notre alimentation : invisible mais retirez-le pendant un mois et, une fois votre corps déshabitué, il vous dégoûtera.

Et ceux qui vivent de la publicité ? Et bien, comme je l’ai déjà dit, leur business model n’est pas mon problème.

Je soutiens les échanges réciproques de valeur. Je suis prêt à soutenir, flattrer ou faire un don à tout contenu qui m’apporte de la valeur. Si le créateur du contenu se rémunère par la publicité, c’est que ce n’est pas à moi qu’il cherche à apporter de la valeur ! Par essence, le fait d’introduire la publicité va pervertir le contenu.

Lorsqu’un créateur de contenu demande ou exige de son public qu’il fasse ce qu’ils n’ont pas envie de faire (désactiver Adblock), lorsqu’un business en est réduit au chantage moral pour justifier sa survie, fuyez !

Je n’arrive peut-être pas à gagner ma vie avec mon blog. Mais je sais que chaque paiement, chaque contribution à ce blog a été envoyée parce que le lecteur avait envie de le faire, parce qu’il se sentait engagé avec moi dans un échange de valeur réciproque.

Les publicitaires ont tout à gagner du fait que vous soyez abrutis, que votre cerveau perde sa capacité à réfléchir. Cela augmente votre docilité et, par extension, la valeur de votre temps de cerveau. Par opposition, mon intérêt sur ce blog est tout autre. Plus mes lecteurs sont intelligents, plus ils lisent, plus ils découvrent et plus je gagne de l’argent ou des contributions. Leur temps de cerveau m’est donc infiniment précieux !

Alors, à quel type d’échange souhaitez-vous participer ? À quel prix êtes-vous prêt à vendre votre temps de cerveau, votre vie et votre capacité de penser ?

À vous de choisir !

 

Photo par Stevie Gill.

Merci d'avoir pris le temps de lire ce billet librement payant. Pour écrire, j'ai besoin de votre soutien. Suivez-moi également sur Twitter, Google+ et Facebook !

Ce texte est publié par Lionel Dricot sous la licence CC-By BE.

flattr this!

by Lionel Dricot at July 27, 2014 04:56 PM

July 26, 2014

Dieter Plaetinck

Beautiful Go patterns for concurrent access to shared resources and coordinating responses

It's a pretty common thing in backend go programs to have multiple coroutines concurrently needing to modify a shared resource, and needing a response that tells them whether the operation succeeded and/or other auxiliary information. Something centralized manages the shared state, the changes to it and the responses.


read more

July 26, 2014 05:22 PM

July 25, 2014

Lionel Dricot

Printeurs 20

drone
Ceci est le billet 20 sur 20 dans la série Printeurs

Printeurs est un feuilleton hebdomadaire. Les 19 premiers épisodes sont disponibles sous forme d’ebook.

Noir. Néant. Douleur. Sensation d’étouffer.

J’ai l’impression d’avoir été soudainement englué dans une masse huileuse et sombre. Mon corps hurle de douleur, brûle, se consume. Je suis aveugle. Dans la fureur du désespoir je donne des violents coups de pieds, j’agite les bras sans savoir dans quel univers je suis.

Une chute. Fracas de verre brisé, de métal entrechoqué. Mon corps se tord sous les aiguilles de glace brûlante d’une souffrance diffuse. Lumière.

Soudain, sans le moindre éblouissement, je vois. Un halo jaunâtre. Une petite sphère. Une ampoule ! Je suis en train de contempler le plafond ! Lentement, je tente de reprendre contrôle de mon corps. L’insoutenable douleur qui me parcourait semble s’atténuer. Je me tâte les membres et, prudemment, je tente de bouger la tête puis de me relever.

Je suis toujours dans le réduit caché derrière le laboratoire. Autour de moi gisent épars les décombres du scanner multi-modal et de la cuve d’impression dont le liquide robotique s’est répandu dans toute la pièce. Dans la panique, j’ai du la cogner et la renverser. Aussitôt, la lumière se fait dans mon esprit : Max ! Il a trafiqué le scanner multi-modal pour m’étourdir. Son insistance à vouloir me scanner aurait du me paraître suspecte. Le salopard ! De rage, je saisis une plaque de verre que je fracasse à deux mains contre la paroi. L’enflure ! Mais, au fond, était-ce vraiment Max ? Et surtout, pourquoi ? Et s’il voulait se débarrasser de moi, pour quelles raisons suis-je encore en vie ?

Avant toutes choses, il faut que je sorte d’ici, de ce réduit étouffant et sombre. Max a bien entendu refermé la porte camouflée derrière le frigo d’azote. J’essaie de l’ouvrir mais il résiste. Depuis combien de temps suis-je inconscient dans ce réduit ? Je ne ressens aucune faim, aucune soif. Mais je sais bien que ce sont des sensations qu’une simple drogue peut manipuler. Mon inconscience a pu durer un battement de cil comme plusieurs jours.

Prenant mon élan, je m’élance et cogne de tout mon poids la porte derrière laquelle se trouve le frigo. Je rebondis et reste un instant étourdi, comme si je venais de me jeter contre un mur. La porte ne semble pas avoir bougé d’un millimètre.

Calme-toi, respire, fais le vide ! Prends le temps de réfléchir ! L’histoire de l’humanité a prouvé que nos muscles, nos réflexes et nos instincts sont des outils développés pour la vie sauvage dans la jungle ou la savane. À partir de l’époque glaciaire, notre intelligence est devenue l’outil primordial, le seul qui permette de faire la différence. Pourtant, nous gardons encore les stigmates de millions d’années de vie animale. À la moindre contrariété, à la moindre émotion, nous éteignons le cerveau et fonctionnons à l’instinct et à la force physique. Un instinct et une force qui sont bien entendu complètement déplacés dans un monde qui est tout le contraire d’une jungle peuplée d’animaux sauvages.

Réfléchis Nellio ! Réfléchis ! Oublie tes muscles, utilise ton cerveau ! Agis en homme et non plus en animal malgré le cri de tes milliards de cellules !

Si Max ou n’importe qui avait voulu te tuer, tu serais déjà mort. Ce n’est pas le cas. Dans les films, le méchant décide toujours de donner au héros une mort lente et affreuse, le temps pour les scénaristes de lui trouver un échappatoire. Mais nous ne sommes pas dans un film et tu n’es pas un héros. Si on avait voulu te tuer, tu serais mort, point barre. Tout cela ne peut avoir qu’une seule signification : on a simplement voulu te ralentir, te retenir. Donc tu dois pouvoir sortir sans trop de difficulté de cette pièce.

Fort de cette simple constatation, je prends posément le temps d’inspecter la porte. De porte, elle n’a que le nom. Il s’agit plutôt d’un mécanisme qui fait pivoter le frigo tout entier vers l’intérieur. Le frigo est attaché à une paroi qui ne s’encastre même pas dans son encadrement.

Une idée me vient. Ce frigo est un grand parallélépipède posé sur son petit côté. En me jetant dessus, je m’oppose non seulement à leur poids mais également au mécanisme qui s’ouvre vers moi, dans le sens opposé. Par contre, si je pouvais déséquilibrer suffisamment le frigo, il tomberait en avant et emporterait la cloison mobile.

Je pousse un cri de joie et esquisse une danse improvisée. Lorsque tout semble perdu, lorsqu’on est au fond du trou, la moindre idée positive, le moindre espoir semble un bonheur inespéré. Une pointe de fierté m’envahit même à l’idée que l’intelligence a de nouveau pris le dessus sur la force brute.

Rassemblant les débris du scanner, je trouve une longue barre métallique que j’insère dans l’interstice entre le sol et la porte. Afin d’exercer un mouvement de levier, je glisse également une chaise sous la barre. Plein d’enthousiasme, je donne une poussée.

Rien ne bouge.

Aurais-je crié victoire trop tôt ? Prenant une profonde inspiration, je me résous à utiliser les muscles et la force physique. Crachant dans mes mains, je murmure :
— Saint Archimède, donne-moi un levier assez long !

Dans un grand cri, je saute de tout mon poids en m’accrochant au levier. La porte a bougé ! Je hurle, je crie ! La porte bouge ! Encore une fois ! Ho hisse ! Ho hisse ! Aaaaaargh !

Un bruit assourdissement. Je tombe en arrière. Me relevant, je suis un instant ébloui par la lumière du jour qui me parvient à travers les fenêtres du laboratoire. Ça a marché ! Le frigo s’est couché, révélant un espace à un mètre du sol par lequel je m’extirpe sans peine.

La lumière ! L’air frais !

Doucement, j’avance dans les décombres du laboratoire saccagé. Aucune trace de Max. Au fond, quel jour sommes-nous ? Par réflexe, je tente de toucher mes lunettes ou de regarder mon poignet. Soupir ! C’est vrai que je me suis débarrassé de tout objet connecté et que je porte encore ces informes frusques que m’a passées Isabelle.

Prudemment, je sors de l’immeuble et fais quelques pas dans la rue. Personne. La ville semble déserte. Il est vrai que ce quartier n’a jamais réellement brillé par son animation.

Un léger bourdonnement retenti. Machinalement, je lève la tête. Un drone ! Il reste un instant en vol stationnaire, comme s’il me fixait. À travers l’œil de la caméra volante, j’ai l’impression de croiser un regard humain. Un regard fixe, sans haine ni compassion.

Rompant le charme, le drone prend soudain de l’altitude. Comme par réflexe, je porte la main à mon visage pour toucher le maquillage anti-reco… Mon cœur fait un bond ! Le maquillage ! Avec le temps et la sueur, celui-ci s’est dilué. Le drone m’a probablement reconnu.

Paniqué, je lance des regards autour de moi. Derrière moi, une voix mécanique s’élève :
— Nous souhaitons procéder à un contrôle. Veuillez mettre les bras en l’air et ne plus bouger.
Sans réfléchir, je me mets à courir dans la direction opposée. La voix retentit :
— Halte ! Veuillez vous arrêter !
Je m’engouffre dans une ruelle. De toutes mes forces, je me mets a courir, tournant au hasard des croisements, me glissant entre les bâtiments sombres. Mes poumons brûlent mais je continue, sans jamais regarder derrière moi. Une douleur insistante entre mes côtes me force à m’arrêter pour reprendre mon souffle mais, soudain, les formes noires des policiers apparaissent devant moi, la gueule béante des fusils pointée dans ma direction. Je me retourne. D’autres policiers m’ont pris en chasse. Je suis pris au piège, fait comme un rat.
— Nous souhaitons procéder à un contrôle, poursuit la voix. Veuillez être coopératif.
Le bruit des bottes résonne sur les murs étroits de la ruelle. La respiration saccadée, j’hésite une seconde. Le temps semble s’arrêter.

Résigné, je lève des mains tremblantes et m’agenouille d’un geste lent. Le canon d’un fusil vient se poser sur ma tempe.

 

Photo par Duncan Rawlinson

Merci d'avoir pris le temps de lire ce billet librement payant. Pour écrire, j'ai besoin de votre soutien. Suivez-moi également sur Twitter, Google+ et Facebook !

Ce texte est publié par Lionel Dricot sous la licence CC-By BE.

flattr this!

by Lionel Dricot at July 25, 2014 04:05 PM

Wouter Verhelst

Multiarchified eID libraries for Debian

A few weeks back, I learned that some government webinterfaces require users to download a PDF files, sign them with their eID, and upload the signed PDF document. On Linux, the only way to do this appeared to be to download Adobe Reader for Linux, install the eID middleware, make sure that the former would use the latter, and from there things would just work.

Except for the bit where Adobe Reader didn't exist in a 64-bit version. Since the eid middleware packages were not multiarch ready, that meant you couldn't use Adobe Reader to create signatures with your eID card on a 64-bit Linux distribution. Which is, pretty much, "just about everything out there".

For at least the Debian packages, that has been fixed now (I still need to handle the RPM side of things, but that's for later). When I wanted to test just now if everything would work right, however...

... I noticed that Adobe no longer provides any downloads of the Linux version of Adobe Reader. They're just gone. There is an ftp.adobe.com containing some old versions, but nothing more recent than a 5.x version.

Well, I suppose that settles that, then.

Regardless, the middleware package has been split up and multiarchified, and is ready for early adopters. If you want to try it out, you should:

You should, however, note that the continuous repository is named so because it contains the results of our continuous integration system; that is, every time a commit is done to the middleware, packages in this repository are updated automatically. This means the software in the continuous repository might break. Or it might eat your firstborn. Or it might cause nasal daemons. As such, FedICT does not support these versions of the middleware. Don't try the above if you're not prepared to deal with that...

July 25, 2014 11:44 AM

July 24, 2014

Dries Buytaert

The business behind Open Source

A few days ago, I sat down with Quentin Hardy of The New York Times to talk Open Source. We spoke mostly about the Drupal ecosystem and how Acquia makes money. As someone who spent almost his entire career in Open Source, I'm a firm believer in the fact that you can build a high-growth, high-margin business and help the community flourish. It's not an either-or proposition, and Acquia and Drupal are proof of that.

Rather than an utopian alternate reality as Quentin outlines, I believe Open Source is both a better way to build software, and a good foundation for an ecosystem of for-profit companies. Open Source software itself is very successful, and is capable of running some of the most complex enterprise systems. But failure to commercialize Open Source doesn't necessarily make it bad.

I mentioned to Quentin that I thought Open Source was Darwinian; a proprietary software company can't afford to experiment with creating 10 different implementations of an online photo album, only to pick the best one. In Open Source we can, and do. We often have competing implementations and eventually the best implementation(s) will win. One could say that Open Source is a more "wasteful" way of software development. In a pure capitalist read of On the Origin of Species, there is only one winner, but business and Darwin's theory itself is far more complex. Beyond "only the strongest survive", Darwin tells a story of interconnectedness, or the way an ecosystem can dictate how an entire species chooses to adapt.

While it's true that the Open Source "business model" has produced few large businesses (Red Hat being one notable example), we're also evolving the different Open Source business models. In the case of Acquia, we're selling a number of "as-a-service" products for Drupal, which is vastly different than just selling support like the first generation of Open Source companies did.

As a private company, Acquia doesn't disclose financial information, but I can say that we've been very busy operating a high-growth business. Acquia is North America's fastest growing private company on the Deloitte Fast 500 list. Our Q1 2014 bookings increased 55 percent year-over-year, and the majority of that is recurring subscription revenue. We've experienced 21 consecutive quarters of revenue growth, with no signs of slowing down. Acquia's business model has been both disruptive and transformative in our industry. Other Open Source companies like Hortonworks, Cloudera and MongoDB seem to be building thriving businesses too.

Society is undergoing tremendous change right now -- the sharing and collaboration practices of the internet are extending to transportation (Uber), hotels (Airbnb), financing (Kickstarter, LendingClub) and music services (Spotify). The rise of the collaborative economy, of which the Open Source community is a part of, should be a powerful message for the business community. It is the established, proprietary vendors whose business models are at risk, and not the other way around.

Hundreds of other companies, including several venture backed startups, have been born out of the Drupal community. Like Acquia, they have grown their businesses while supporting the ecosystem from which they came. That is more than a feel-good story, it's just good business.

by Dries at July 24, 2014 02:38 PM

July 23, 2014

Lionel Dricot

L’entreprise qui n’existait pas

vide

Vous connaissez le service web JamJam ? Peut-être l’utilisez-vous régulièrement pour envoyer de l’argent à vos amis ou à vos artistes préférés et pour effectuer vos paiements. Il fonctionne très bien, est efficace et surtout pas cher. Il ne coûte que 0,01% de vos transactions !

Mais vous serez peut-être surpris d’apprendre l’histoire derrière la création de JamJam.

En 2015, un programmeur appelé John Am, connu sous le pseudonyme de Jam, a décidé de se simplifier la vie pour les paiements en ligne en programmant une petite application qui accepterait tous les types de paiement existants et accepterait de payer vers tous les systèmes. Virement bancaires, cartes de crédit, Paypal, bitcoins furent les premiers à être implémenté.

Pour Joh Am, l’objectif initial était évident : en tant qu’indépendant, il recevait des paiements de ses clients sur de multiples systèmes et effectuait lui-même des achats à travers ce que les sites marchands voulaient bien accepter. Il devait donc jongler entre tout ces comptes. JamJam était, au départ, une simple couche d’abstraction doublé d’un plugin Firefox/Chrome qui transformait n’importe quel moyen de paiement en bouton JamJam.

Le système ayant été rendu public, JamJam pouvait optimiser au mieux les flux d’entrées et de sortie grâce à un algorithme intelligent autonome. L’algo minimisait les conversions entre plateformes. Lorsqu’on demanda à John Am d’intégrer d’autres moyens de paiement, il répondit avec une API simple avec laquelle tout le monde pouvait programmer un nouveau moyen de paiement pour JamJam. Les sites de vente commencèrent à se simplifier la vie en ajoutant un simple bouton JamJam qui permettait à l’utilisateur de choisir le moyen de paiement de son choix. Y compris le transfert direct entre compte JamJam.

À 0,01%, JamJam n’était pas rentable. Pas encore. Mais cela ne gênait pas John Am qui avoua sur un forum n’avoir jamais envisagé d’en faire un business. Par contre, il souhaitait se détacher de la maintenance de JamJam. Victime de son succès, la plateforme nécessitait en permanence l’adjonction de ressources supplémentaires. Le site, au design très simple et épuré, n’était par contre plus modifié. Et, comme le soulignait Joh Am, les utilisateurs eux-mêmes introduisaient les nouveaux moyens de paiement ou les adaptaient lorsqu’un fournisseur modifiait son API.

Après plusieurs semaines de silence, John Am annonça avoir développé un algorithme dans JamJam qui analysait les tarifs des différents prestataires d’hébergement de type cloud, comme Amazon S3. L’algo commandait les ressources en fonction des besoins et migrait automatiquement vers le prestataire le plus intéressant. Le renouvellement du nom de domaine et sa gestion était également inclus. Les paiements se faisaient automatiquement grâce au peu d’argent que JamJam générait.

Un an plus tard, John Am annonça fièrement n’avoir plus touché à JamJam pendant près d’un an. Il n’avait strictement rien fait. Pourtant, le site continuait à tourner, à être utilisé et, mieux, avait même généré un bénéfice important ! Histoire de s’amuser, John Am avait lancé un petit programme de trading automatique qui achetait des actions ou des actifs et les revendait. Le programme était même capable de créer plusieurs comptes sur les différentes plateformes de trading. L’algo jonglait avec les produits dérivés et les plateformes de trading installées dans les pays où les vérifications d’identité n’étaient pas strictes. Jam annonça que, pour cet algo, il avait même ouvert des comptes à numéro dans plusieurs paradis fiscaux. Les bénéfices y seraient versés. Une simple blague de potache, selon John Am.

En quelques années, JamJam est devenu l’une des plateformes de paiement les plus importantes au monde. Son chiffre d’affaire est un mystère total mais certains chercheurs l’estiment à plusieurs dizaines de millions de dollars par mois. Le chiffre de cent millions mensuels a même été avancé. JamJam est donc une société commerciale extrêmement importante.

John Am, de son côté, avait complètement disparu de la circulation. Plus le moindre message, plus la moindre annonce. De temps en temps, un blogueur se plaisait à l’imaginer sur une île paradisiaque ou dépensant son argent en fêtes et jets privés. Son visage n’étant pas connu du grand public, il pouvait être partout !

Il y a quelques mois, un groupe de blogueurs annonça avoir retrouvé la trace de John Am qui ne serait autre que John Armsbrough, un jeune hacker anglais qui vivait dans une banlieue cossue de Londres. Les premiers utilisateurs de JamJam qui l’avaient rencontrés ou qui avaient discuté avec lui en vidéo conférence le confirmèrent sans hésitation : John Am était bien John Armsbrough. Sous son vrai nom, il tenait également un blog de poésie dont l’analyse sémantique ne laissa aucun doute : l’auteur du blog et l’auteur des communiqués de JamJam ne faisaient qu’une seule et même personne.

Cependant, il y avait un problème. Et de taille ! John Armsbrough était décédé deux ans plus tôt dans un stupide accident, une semaine après s’être offert une puissante voiture de sport pour son vingt-neuvième anniversaire. Si quelques rares amis proches avouèrent être au courant qu’il était à l’origine de JamJam, personne n’avait la moindre idée de comment fonctionnait JamJam ni comment étaient gérés les bénéfices. JamJam semblait exister sur plusieurs plateformes d’hébergement et, en cas de suppression de compte sur l’une, migrait automatiquement sur l’autre avant de recréer des comptes sous différents pseudonymes.

Où vont ces bénéfices aujourd’hui étant donné que JamJam ne paie aucun salaire, aucun bâtiment ? Ni même aucun impôt vu que JamJam n’existe dans aucun pays ! Personne ne le sait avec certitude. Certains pensent qu’ils s’accumulent. D’autres que John Am a bel et bien implémenté son robot trader et que l’argent est investi de manière continue. Dans les milieux financiers, JamJam est devenu une légende. Face à certains mouvements inexplicables, les traders ont désormais coutume de dire « Encore un coup de JamJam ! ».

Sur le web, certains fanatiques tentent désormais d’analyser les mouvements financiers. Ils se basent également sur des statistiques d’achats des sites utilisant JamJam et des sondages auprès des internautes. Selon certaines estimations, le trésor accumulé par JamJam serait colossal et ne ferait que croître. D’ici quelques années, JamJam deviendrait probablement une des entreprises les plus riches de la planète. Contrôlant une transaction sur 10 dans le monde, tout moyen de paiement confondu, elle serait à elle seule propriétaire de près de 1% des actions des entreprises du Fortune 500. Elle serait également dans le top 10 des plus gros propriétaires d’or, d’argent et de bitcoins.

Le seul problème est qu’aucun être humain n’est plus lié à JamJam. Tant du point de vue juridique que géographique, l’entreprise n’existe pas !

 

Photo par Thomas Guignard.

Merci d'avoir pris le temps de lire ce billet librement payant. Pour écrire, j'ai besoin de votre soutien. Suivez-moi également sur Twitter, Google+ et Facebook !

Ce texte est publié par Lionel Dricot sous la licence CC-By BE.

flattr this!

by Lionel Dricot at July 23, 2014 04:26 PM

Frank Goossens

Music from Our Tube; Fela Kuti live in Germany

I Guess I first heard Fela Kuti a couple of years ago on a Gilles Peterson show. Just now KCRW played My Morning Jacket’s version of “Trouble Sleep”, there’s also a nice version by Taj Mahal & Baaba Maal and the original version is here. But eventually I stumbled on this video of a Fela concert in Germany from 1978, which I think you should really see and hear;

YouTube Video
Watch this video on YouTube or on Easy Youtube.

by frank at July 23, 2014 02:56 PM

July 19, 2014

Bert de Bruijn

GEM WS2 MIDI System Exclusive structure and checksums

MIDI is the standard for communication between electronic music instruments like keyboards and synthesizers. And computers! While tinkering with an old floppy-less GEM WS2 keyboard, I wanted to figure out the structure of their System Exclusive memory dumps. SysEx is the vendor-specific (and non-standard) part of MIDI. Vendors can use it for real-time instructions (changing a sound parameter in real-time) and for non-real-time instructions (sending or loading a configuration, sample set, etc.).

In the GEM WS2, there's two ways of saving the memory (voices, globals, styles and songs): in .ALL files on floppy, and via MIDI SysEx.

The .ALL files are binary files, 60415 bytes long. The only recognizable parts are the ASCII encoded voice and global names. The SysEx dumps are 73691 bytes long. As always in MIDI, only command start (and end) bytes have MSB 1, and all data bytes have MSB 0. The data is spread out over 576 SysEx packets, preceded by one SysEx packet with header information.

Each SysEx data packet starts with these bytes (decimal representation):



Because the original data (the WS2 memory and the .ALL file) has 8 bits per byte, and MIDI SysEx bytes can only have 7 bits (MSB 0), GEM uses an encoding to go from one to the other:
Seven 8-bit bytes have their LSB stripped, and the LSB's form byte number 8, from the first of seven bytes in the LSB of byte number 8, to the last of seven bytes in bit number 7 (128 decimal value).
Using this encoding, a group of 7 bytes from the .ALL format is transformed into a group of 8 SysEx bytes.

The length byte in each data packet indicates how many of those byte groups there are in the current data packet. Data is sent per 15 byte groups., resulting in a 127 byte SysEx packet, with the last data packet containing the remaining 6 byte groups. There's only five bytes in the .ALL format to fill the last byte group of the last data packet, and that byte group is padded with two FF(255) bytes.

The checksum byte is calculated as the XOR of all other bytes in the SysEx data packet, excluding the 240 and 247 start and stop bytes. When receiving a SysEx dump, the total XOR checksum of the bytes between 240 and 247 should therefore always be 0. (NB this is substantially different from the Roland way of doing SysEx checksums).

With this knowledge, I wrote a Perl script to convert .ALL files to SysEx (known as .syx) bytestreams. Owners of GEM WS1/WS2/WS400 keyboards who find themselves without floppies or without a working floppy drive can now load their .ALL files via a computer (with e.g. MIDI-OX or SysEx Librarian). If interested, send me an e-mail!




by Bert de Bruijn (noreply@blogger.com) at July 19, 2014 10:10 AM

July 17, 2014

Lionel Dricot

Escale sur Samantha

samantha

Télécharger « Escale sur Samanta » :

Format .epub - Format .pdf

 

Jim reprit son passeport biométrique des pattes velues d’un douanier indigène de type arachnéen. D’un pas rapide, il rejoignit son collègue qui faisait le pied de grue, deux sacs aux couleurs de la Spatiale sur les épaules.
— Nom d’une nébuleuse Jim, qu’est-ce que t’as encore foutu ?
— Cette saloperie d’araignée devait me trouver louche je suppose; tu me refiles mon sac ?
— Bon, on a deux mille cycles à tuer avant le rembarquement et le retour.
— Deux mille cycles ? Une pleine semaine terrestre ? Bon sang, ça fait pas deux heures qu’on est là et ces espèces d’araignées me foutent déjà le cafard.
— Ah non, les cafards, c’était sur Sygmalia, en trente-deux.
— La fois où une partie de la cargaison a éclos pendant le déchargement ? Ne m’en parles pas, par pitié…
Les deux humains se faufilèrent vers la sortie parmi la masse grouillante du spatioport, se fiant aux symboles Universels tracés sur les murs. Le voyageur de l’espace inexpérimenté est toujours saisi par la foule cosmopolite d’un spatioport, ne pouvant parfois pas retenir son dégoût face à une Morue Larvaire du système Aural ou son étonnement face aux bulles irisées et fantomatiques que sont les Esprits de Nar.

Mais Jim et Tom parcouraient le cosmos depuis maintenant près de trente années terrestres. La faune de l’espace avait pour eux autant d’intérêt qu’un morceau de tarmac pour un chauffeur de camion. Ils respiraient l’atmosphère disponible sans sourciller pourvu qu’elle soit fournie en oxygène, ils mangeaient ce qu’on leur servait avec une moue blasée pourvu que cela contienne des protéines. Néanmoins, comme tout astronaute qui se respecte, il était un aspect des coutumes locales qu’ils ne se lassaient pas de découvrir dès que le temps entre deux chargements le permettait.

Tom franchit les portes battantes et renifla l’atmosphère extérieure de Samantha.
— Vingt-six mille cycles qu’on est dans cette boîte à conserve de malheur. Et encore le même nombre pour le retour. Je sens que je vais me payer une tranche de bon temps avant d’embarquer !
— Ouaip, je me demande ce qu’ils ont comme coutumes exotiques dans le coin.
— Quoi qu’il en soit, ça ne peut pas être pire que les espèces de cactus rêches de la mission passée. Absolument inadaptés à un mode de reproduction humanoïde.
— Tu crois qu’ils ont les fameuses limaces baveuses de Shling ? demanda Jim avec un petit sourire.
— Ah, les limaces de Shling. Qu’est-ce qu’elles puent celles-là.
— Clair, mais une fois que tu as passé ce stade, nom d’un réacteur, c’est diantrement bon.
— Oh oui ! Un peu dégueulasse mais, waw, les terriens ne savent pas ce qu’ils ratent.
— Tu m’as donné envie. Sors le guide et regarde si, à tout hasard, ils n’auraient pas un établissement avec des limaces de Shling dans ce bled pourri.
Tom sortit un petit ordinateur de sa poche et tapota rapidement.
— Raté. Mais il fallait s’y attendre. Samantha n’est pas exactement ce qu’on pourrait appeler une planète développée.
Une mandibule tira sur la manche de Jim.
— Permettez-moi de vous importuner, honorables visiteurs, je me présente, F’thang, guide touristique.
L’être étrange ressemblait à un scarabée qui aurait appris à se déplacer comme un bipède. Ses deux pattes inférieures se séparaient en plusieurs pieds très fins qui devaient lui assurer une grande stabilité. Sa voix sortait en curieux glapissements depuis un orifice situé sur son abdomen. Il avait prononcé son nom comme une onomatopée caverneuse rappelant le bruit d’un ressort qui se détend.
— J’ai cru comprendre que vous êtes à la recherche de nouveaux frissons d’ordre reproductif. Puis-je savoir de quelle planète vous êtes originaires ? Les modestes connaissances de F’thang vous guideront à travers les plaisirs insoupçonnables que recèlent Samantha.
— Combien ? demanda immédiatement Jim, en voyageur interstellaire aguerri.
— Seulement cinquante crédits votre magnificence.
Tom ne pût retenir une exclamation. Cinquante crédits ? Une paille ! La compagnie leur allouait mille crédits par journée d’étape. Cette planète bien loin des circuits traditionnels n’avait pas encore connu l’inflation consécutive à l’entrée dans la Fédération.
— Dix, dit calmement Jim d’un ton sans appel.
— Votre honneur, nous sommes en dehors des parcours touristiques et les étrangers sont bien rares sur Samantha. Je ne descendrai pas en dessous de quarante crédits. J’ai une couvée sur le point d’éclore et…
— Quinze maintenant et quinze à la sortie, si nous sommes satisfaits.
Jim tendit trois plaques aux couleurs de la Spatiale qui disparurent immédiatement sous la carapace chitineuse.
— Mes chers amis, poursuivit le scarabée, c’est un plaisir de faire affaire avec vous.
— Nous sommes de la planète Terre, étoile Solaire, quatrième quadrant. Qu’as-tu à nous proposer ?
— Ah, la Terre ! Merveille des merveilles. Suivez-moi formidables amis. C’est un honneur pour F’thang de guider des terrestres sur Samantha.
— Minute Machin, où nous emmènes-tu ?
De par leur métier, les astronautes sont une race d’hommes prudents. La ridicule somme de quinze crédits pouvait très bien n’être qu’une façon de gagner leur confiance pour les entraîner dans un recoin isolé afin de les dépouiller ou de les vendre comme esclaves, bien que la constitution de la Fédération l’interdise formellement. Ceci dit, la même constitution interdisait également la prostitution.
— Il n’est point besoin d’être méfiant mes valeureux voyageurs. Nous avons sur Samantha une race particulière, les Religieuses. Les Religieuses possèdent un mode de reproduction étonnant.
— Tom, vérifie dans le guide.
— Il a raison Jim. Le guide indique : « Les Religieuses de la planète Samantha possède un mode de reproduction particulièrement intense qui redéfinit la notion même d’orgasme et de plaisir. L’acte sexuel rappelle celui des Terrestres mais avec une magnitude d’un ordre de grandeur supérieure. Il est dit que plus d’un mâle a perdu la tête dans une bouffée orgasmique grâce au savoir-faire des Religieuses de Samantha. À réserver aux voyageurs expérimentés. »
— Ça me semble très appétissant tout ça.
— J’ai toujours rêvé de me faire une religieuse, murmura Tom, tu crois qu’elles ont des voiles ?
— Tais-toi, tu m’excites tellement que je vais me faire le scarabée avant même d’être arrivé.
Les deux compères éclatèrent d’un rire gras qui résonna dans les ruelles de la ville.
F’thang les introduisit dans un petit bâtiment à l’allure discrète. Le hall d’entrée était chaud et accueillant. Ce qui semblait être un banc était grossièrement sculpté à même le sol, des couloirs rayonnaient dans toutes les directions vers des niches évoquant les chambres d’un internat ou d’un monastère.
— Si mes honorables amis veulent bien se donner la peine, annonça F’thang en montrant un couloir d’une de ses pattes.
— Minute Truc, l’interrompit Jim. Nous n’allons pas ensemble. Pour notre espèce, la copulation se fait de manière individuelle. Nous exigeons une Religieuse pour chacun.
Le scarabée fit mine de réfléchir.
— Je ne sais pas si cela est possible. F’thang est très triste mais…
Jim tendit de nouveau trois plaquettes de cinq crédits. Elles disparurent aussi prestement que la première fois.
— …mais je pense que F’thang a une solution pour ne pas trahir la confiance des honorables étrangers.
Il prit Jim par le bras et lui désigna un couloir.
— Dans ce couloir, vous découvrirez le frisson ultime de l’extase et de la sensualité des Religieuses mon ami. F’thang est de retour dans une fraction de cycle pour indiquer un couloir libre à votre compagnon.
Le gros scarabée s’éclipsa.
— Qu’est-ce qu’on fait Tom ? On attend ?
— Vas-y Jim, je sais que t’en meurs d’envie. J’attendrai mon tour.
— T’es un pote toi tu sais.
Jim donna une claque virile sur l’épaule de son compagnon et s’engouffra dans le couloir avec un sourire concupiscent. Tom le regarda s’éloigner en s’asseyant sur le banc.
— Sacré Jim…
Un hurlement fît bondir Tom. La cigarette aux herbes qu’il était en train de préparer se répandit à ses pieds.
— Tiens bon Jim !
Le hurlement se changea en gargouillis visqueux et infâme. Tom se rua dans le couloir et sortit de sa botte un mince poinçon effilé. La Fédération interdisait et contrôlait strictement le port d’armes dans tous ses territoires, ce qui avait grandement contribué à la paix galactique. Néanmoins, un astronaute avait toujours un « outil » sur lui, au cas où…

La fine tige de métal serrée dans son point, Tom fit irruption dans une cellule aux murs nus et sans mobilier apparent. Devant lui se dressait un gigantesque corps insectoïde verdâtre. De gros yeux globuleux noirs se détachaient sur une petite tête perchée à plus de deux mètres du sol. Quatre pattes reposaient sur la terre battue mais les deux membres supérieurs se repliaient en une pince effilée de plus d’un mètre de long.

Tom resta bouche-bée une seconde.
— Nom d’un Quasar…
Il recula et son pied buta contre une petite masse compacte et sanglante qui le fixait dans un rictus de surprise. La tête de Jim !
— Par tous les cratères, Jim, ce cafard le paiera…
Il aperçut derrière la créature le corps décapité de son compagnon, affaissé dans une posture grotesque. Un éclair se fit dans son esprit.
— Lupanar ! Nous n’avions pas précisé à quelle race de terrestres nous appartenions ! Pour ces espèces de cloportes puants, la terre est avant tout un paradis d’insectes parasité par quelques humains encombrants.
Résolument, il fit face et tendit son outil dérisoire en direction de la Mante Religieuse géante.

F’thang remontait le long du couloir en appelant de sa voix stridulante.
— Honorable étranger, un autre couloir vous attend !
La tête de Tom vint rouler à ses pieds. Il la ramassa et contempla le visage contracté par la haine.
— Êtes-vous satisfait merveilleux ami ? Les religieuses de Samantha sont réputées pour donner les sensations les plus intenses de la planète. C’est un privilège rare que nous n’accordons qu’aux visiteurs les plus exigeants. F’thang lui-même n’a jamais vraiment compris ce mode de reproduction consistant à désolidariser le membre vertical supérieur du corps locomoteur. Votre race est bien particulière pour les pauvres yeux inexpérimentés de F’thang.
Devant le peu de réaction du crâne qu’il tenait entre les mains, il le replaça à l’entrée de la cellule, non loin du cadavre dégoulinant.
— Votre corps est ici tout près, je ne sais si vous en avez encore l’utilité. J’espère que vous n’oublierez pas les modalités de notre accord. Quinze crédits ne seraient pas de trop pour aider le pauvre F’thang et pour le remercier des splendeurs sublimes des Religieuses.
Pendant quelques secondes, il se dandina d’une patte sur l’autre. Dans la cellule, la Mante le regardait sans bouger. Pris d’une inspiration subite, il s’exclama :
— F’thang comprend ! Les étrangers ont mué et abandonné cette carcasse au cours de l’acte. F’thang soliloquait avec un corps vide. Les étrangers ont abusé de la crédulité de F’thang. Pauvre F’thang !
Il battit en retraite et s’éloigna dans le couloir en marmonnant.
— Pauvre F’thang. Pauvre, pauvre F’thang ! Voilà ce qui arrive de faire confiance à des étrangers aux moeurs incompréhensibles. F’thang se démène pour rendre service et F’thang se fait escroquer de quinze crédits. Pauvre, malheureux F’thang qui aurait tant eu besoin de quinze crédits. Misérable F’thang…

 

Waterloo, 15 janvier 2008. Photo par Iñaki Martinez de Marigorta. Soutenez l’écriture de mes mini-livres sur Patreon.

Merci d'avoir pris le temps de lire ce billet librement payant. Pour écrire, j'ai besoin de votre soutien. Suivez-moi également sur Twitter, Google+ et Facebook !

Ce texte est publié par Lionel Dricot sous la licence CC-By BE.

flattr this!

by Lionel Dricot at July 17, 2014 08:13 AM

July 16, 2014

Frank Goossens

Uploaded to Our Tube; IDRchitecture remixed by Nathan Fake

I love to listen to DJ-sets which are made for the radio (or the web) instead of the dancefloor. The music tends to be a lot more diverse if the DJ isn’t focused on keeping the crowd in the groove. Soundcloud is a treasure trove for such DJ sets and a couple of months ago I bookmarked Nathan Fake’s 6 mix as aired on BBC Radio 6 in December 2012.

Great stuff, but there was one track that I specifically enjoyed listening to; an unreleased remix of (Sign of the Fish) by IDRchitecture. I didn’t know the band, didn’t know the song -which reminds me of The Chills, somehow-, but the clicks and ticks in this remix are just mesmerizing.

So now it is on YouTube as well;
YouTube Video
Watch this video on YouTube or on Easy Youtube.

by frank at July 16, 2014 03:12 PM

Lionel Dricot

Les prédictions de Goldman Sachs

yacht

Avant le début de la coupe du monde de football, la célèbre et influente banque Goldman Sachs avait tweeté son pronostic pour le déroulement de la compétition, prédisant une finale Brésil-Argentine. D’où vient cette prédiction ? Et quelles ont été les conséquences ? Une passionnante enquête de Ploum, agent-blogueur-secret !

prediction

Grâce à quelques billets adroitement placés dans les poches de certains portiers, j’ai pu me faufiler jusqu’à la fête célébrant la finale que donne Isidor Side sur son yacht privé. Isidor Side, le gourou « Market & Prediction » de chez Goldman Sachs. Rendu particulièrement volubile par les coupes de champagnes, il m’invite à venir prendre l’air sur le pont. C’est là que je décide de rentrer dans le vif du sujet.
— Alors, ces prédictions pour la coupe du monde ? Comment as-tu fait ?
— J’ai utilisé le même modèle que pour les simulations de l’économie mondiale. Tous les facteurs sont pris en compte, y compris les probabilités de corruption, les sautes d’humeur des joueurs. En fait, c’est même beaucoup plus facile que l’économie car il n’y a que trente-deux équipes !
— Et ça marche ?
— Infaillible ! C’est infaillible !
Il titube un instant sur le pont et adresse un regard lubrique à deux créatures qui sont au féminisme ce que Goldman Sachs est à la lutte des classes. Je tente de réaccaparer son attention.
— Pourtant les résultats…
— Avait-on prédit l’Argentine en finale, oui ou non ?
— Oui, reconnais-je à contre-cœur. Mais après avoir battu l’Équateur, le Portugal et l’Espagne. L’Espagne, elle, aurait battu l’Italie et la Croatie. Toutes des équipes qui n’ont même pas passé le premier tour !
— Avait-on prévu une demi-finale Allemagne-Brésil, oui ou non ?
— Oui mais votre modèle prévoyait la victoire du Brésil.
Je vois qu’il commence à s’énerver. L’alcool le désinhibe et il fait de grands moulinets avec ses bras. Il me tend brusquement son smartphone.
— Regarde ! Ce sont les statistiques du match Allemagne-Brésil !

gerbra

Il commence à déclamer sur un ton véhément :
— 51% de possession de balle pour le Brésil. 18 tirs au but dont 13 cadrés pour respectivement 14 et 12 à l’Allemagne. 7 corners à 5. Et le gardien brésilien n’a du faire que 5 arrêts pour 12 au gardien allemand. Cela prouve bien que le Brésil était la meilleure équipe sur le terrain. Notre modèle est donc parfaitement juste !
Étonné, je jette rapidement un œil sur mon propre smartphone.

Screenshot_2014-07-09-13-45-23

Tout est juste ! Ses statistiques sont exactes. Curieusement, je constate qu’il lui manque le score final. Pour ne pas le vexer, je tente d’enchaîner.
— Et l’Espagne ? Le modèle la voyait en demi-finale et elle a probablement été une des grandes déceptions de ce tournoi.
Il me lance un regard excédé avant de pousser un profond soupir d’exaspération.
— Bon sang, ce n’est quand même pas la mer à boire ! C’est comme l’économie mondiale ! Nous produisons des modèles étudiés, précis, millimétrés. Tout le monde est d’accord : les pays, les banques, les grandes entreprises, les dirigeants. Tout le monde reconnait notre expertise. Mais si les joueurs n’y mettent pas un peu du leur et commencent à faire ce qu’ils veulent, comme ils veulent, on n’arrivera nulle part. Chacun doit faire un effort sinon cela deviendra le chaos, que dis-je, l’anarchie !
Il est complètement exalté, transfiguré.
— On se tue à faire tourner l’économie et quelques anarchistes qui s’auto-proclament « le peuple » veulent détruire toute la société ! Des paresseux, des feignants ! S’il y a des règles et des gouvernements, c’est pour les respecter. Nous sommes en démocratie !
Dans un sinistre gargouillement, il ponctue sa tirade d’un vomissement par dessus le bastingage. Il se relève en essuyant sa bouche et me regarde d’un air étonné. Il semble avoir recouvert une partie de sa lucidité.
— Mais au fait, qui êtes-vous ? Comment êtes-vous monté sur mon bateau ?
Je réponds d’un rire nerveux mais je sens que le moment est venu de tirer ma révérence. Alors qu’il se retourne pour appeler la sécurité, j’arrache ma chemise de smoking, révélant ma combinaison d’apnée. D’un geste, j’enjambe le bastingage et saute dans les flots noirs avant de disparaître dans la nuit.

 

Photo par Vanessa Hall. Pour mes prochaines enquêtes, n’hésitez pas à contribuer à mes frais de smoking et champagne. Et puis, pour rester dans le sujet, je vous invite à lire ce billet sérieux au sujet des observables.

Merci d'avoir pris le temps de lire ce billet librement payant. Pour écrire, j'ai besoin de votre soutien. Suivez-moi également sur Twitter, Google+ et Facebook !

Ce texte est publié par Lionel Dricot sous la licence CC-By BE.

flattr this!

by Lionel Dricot at July 16, 2014 02:00 PM

Wouter Verhelst

Reprepro for RPM

Dear lazyweb,

reprepro is a great tool. I hand it some configuration and a bunch of packages, and it creates the necessary directory structure, moves the packages to the right location, and generates a (signed) Debian package repository. Obviously it would be possible to all that reprepro does by hand—by calling things like cp and dpkg-scanpackages and gpg and other things by hand—but it's easy to forget a step when doing so, and having a tool that just does things for me is wonderful. The fact that it does so only on request (i.e., when I know something has changed, rather than "once every so often") is also quite useful.

At work, I currently need to maintain a bunch of package repositories. The Debian package archives there are maintained with reprepro, but I currently maintain the RPM archives pretty much by hand: create the correct directories, copy the right files to the right places, run createrepo over the correct directories (and in the case of the OpenSUSE repository, also run gpg), and a bunch of other things specific to our local installation. As if to prove my above point, apparently I forgot to do a few things there, meaning, some of the RPM repositories didn't actually work correctly, and my testing didn't catch on.

Which makes me wonder how RPM package repositories are usually maintained. When one needs to maintain just a bunch of packages for a number of servers, well, running createrepo manually isn't too much of a problem. When it gets beyond own systems, however, and when you need to support multiple builds for multiple versions of multiple distributions, having to maintain all those repositories by hand is probably not the best idea.

So, dear lazyweb: how do large RPM repositories maintain state of the packages, the distributions they belong to, and similar things?

Please don't say "custom scripts" ;-)

July 16, 2014 10:43 AM

Thomas Vander Stichele

morituri 0.2.3 ‘moved’ released!

It’s two weeks shy of a year since the last morituri release. It’s been a pretty crazy year for me, getting married and moving to New York, and I haven’t had much time throughout the year to do any morituri hacking at all. I miss it, and it was time to do something about it, especially since there’s been quite a bit of activity on github since I migrated the repository to it.

I wanted to get this release out to combine all of the bug fixes since the last release before I tackle one of the number one asked for issues – not ripping the hidden track one audio if it’s digital silence. There are patches floating around that hopefully will be good enough so I can quickly do another release with that feature, and there are a lot of minor issues that should be easy to fix still floating around.

But the best way to get back into the spirit of hacking and to remove that feeling of it’s-been-so-long-since-a-release-so-now-it’s-even-harder-to-do-one is to just Get It Done.

I look forward to my next hacking stretch!

Happy ripping everybody.

flattr this!

by Thomas at July 16, 2014 04:01 AM

July 15, 2014

Xavier Mertens

Offline Malware Analysis with Host-Only VirtualBox Networks

OfflineFollowing the presentation that I made at the RMLL 2014 last week, I slightly changed my malware analysis setup. The goal is to make it fully operational “offline“. Indeed, today we are always “on“, Internet is everywhere and it’s easy to get a pipe. However, sometimes it’s better to not send packets to the wild Internet, even more when playing with malwares. We can be connected to a network with restricted access and some “exotic” ports won’t be authorized (ex: IRC). By allowing malicious code to connect to the world, we could trigger some firewalls, IDS or IPS if working in a corporate environment. If the malware is targeting a specific company or country, it can be suspicious to flood the C&C or any other resource with suspicious traffic (in this case, we are suspicious for the attacker). In short, “to live happy, live hidden;-)

My setup is running on IOS because I’m always carrying my MB with me but it is easily reproducible in a classic Linux environment. To capture all traffic and redirect to fake services, you just need to run a shinkhole DNS which will answer to all queries with a configured IP address. To run the DNS and the services, the best tool (IMHO) is called INetSim or “Internet Services Simulation Suite“. It’s a Perl script which can emulate all basic network services (HTTP, SMTP, FTP, etc) and even respond with valid transactions. No need to deploy the Perl script and all its dependencies, just install a special Linux distribution called REMnux. It is a specific Linux image bundled with plenty of tools to perform malware analysis and one of them is… INetSim of course!

As suggested in the Cuckoo documentation, I’m using a host-only network (192.168.38.0/24) for communications between Cuckoo and its guests. My first idea was to deploy REMnux in the same network but… For VirtualBox, a host-only network is very specific and hosts are talking directly to each others. It’s not possible to put an interface in promiscuous mode and sniff the traffic! Michael Boman is a blogger very active in the Cuckoo community and he wrote last year an interesting article which describes how to sniff remotely. Interesting but I prefered to test another configuration as seen on the figure below:

Cuckoo Network

(Click to enlarge)

I created in VirtualBox a second host-only network (192.168.39.0/24) and moved the REMnux host to this network. At OSX level, I enabled the IP forwarding to allow packets to be routed across the two subnets. The Cuckoo guest was reconfigured to use the new REMnux IP address as DNS resolver. I have now the following config:

INetSim is configured to always return the REMnux IP address and to respond (+log) to all classic services. Cuckoo is still configured to sniff on the first host-only network (vboxnet0) but, strange behavior, it sees only the incoming traffic (fortunately which is the most important for DNS request – HTTP(S) GET/POST). I’m still looking for tips or ideas to capture packets in both direction. OSX has also a pecific syntax for tcpdump to allow the packet capture to run on multiple interfaces:

  # tcpdump -i pktap,vboxnet0,vboxnet1 ...

But Cuckoo does not work with a sniffing interface format like this (the reporting fails and aborts). If somebody has an idea… Anyway, this setup allows me analyse malicious pieces of code without sending any traffic to the Internet.

Note: when you completed the analysis, saved the guests and exited Cuckoo, don’t forget to disable IP forwarding!

by Xavier at July 15, 2014 09:27 PM

Tom De Vylder

Creating a bunch of Gitlab group projects using a Ruby wrapper

Quick and dirty way to create a bunch of group projects using the Gitlab API.

by Tom at July 15, 2014 02:54 PM

Frank Goossens

WP DoNotTrack whitelist & WordPress/ Jetpack stats

Although the number of pageviews of this blog already decreased from approx. 2100 pageviews per week before mid May to 1300 pv/week after (I never thought I’d ever be hit by a Panda), yesterday was an absolute disaster. Turns out that Automattic changed the domain of the Jetpack stats tracking pixel to pixel.wordpress.com, which WP DoNoTrack (for which I pushed out a small update in May) blocked as that domain was not whitelisted. The downside of white- instead of blacklisting.

by frank at July 15, 2014 01:54 PM

July 12, 2014

Lionel Dricot

Le copyright vaut désormais plus que la vie humaine

crashtest

L’industrie du copyright a réussi un tel lavage de cerveau avec ses campagnes contre le piratage que nous en perdons tout sens commun. Au point d’être prêt à sacrifier des vies au nom du sacro-saint copyright. Aujourd’hui, dans notre pays. La propriété intellectuelle tue.

Vous avez peut-être déjà vu cette vidéo néo-zélandaise visant à sensibiliser les automobilistes sur les conséquences d’une vitesse inappropriée. La campagne a fait un buzz et la sécurité routière française a donc décider de reprendre l’idée pour une campagne similaire en France.

Au fond, cela semble très logique. Si une idée fonctionne bien dans un pays pour sauver des vies, autant tenter de faire pareil partout dans le monde. N’importe quel humaniste irait même jusqu’à applaudir les Français pour avoir pensé à aller chercher ailleurs des idées qui ont fait leur preuve.

Du moins c’était avant que, vingt années durant, l’industrie du copyright nous assène à longueur de films, à longueur d’introductions de DVD, à longueur d’attaques en justice que « copier, c’est voler ».

La preuve avec cet article, même pas un éditorial mais bien un article journalistique publié sur le site lalibre.be. Sous le titre « La sécurité routière française en manque d’inspiration ? Il reste le plagiat ! », le journaliste attaque vertement la sécurité routière française et conclut par ces mots :

Manifestement pas gêné de repomper à ce point sur leurs confrères néo-zélandais, Jean-Robert Lopez, délégué interministériel à la sécurité routière, explique au Figaro que « c’est une campagne qui a bien marché en Nouvelle-Zélande, qui a eu un gros retentissement ». Et de légitimer en une phrase, au nom de l’efficacité d’une campagne, un plagiat éhonté.

Le ton est clair. La vie et la dignité humaine ont complètement disparu de l’esprit des défenseurs du copyright. Nous sommes donc entrés dans la dernière phase du deuil d’une industrie : la plus violente, celle où tous les coups sont permis. Celle où l’humain ne compte plus face à la sauvegarde d’un business model périmé. Ne tentons même pas de souligner qu’il s’agit de la reprise d’une idée assez générique, même pas du film lui-même. Le copyright a détruit les cerveaux et les cœurs, il fonctionne en mode zombie.

J’aurais été heureux, en tant que citoyen néo-zélandais, de savoir qu’une partie de mes impôts avait servi à créer une telle campagne publicitaire. J’aurais été heureux, en tant que citoyen français, de voir mes impôts servir à réaliser une belle adaptation. Je suis honteux, citoyen belge, de voir mes impôts soutenir une presse qui, chaque jour, nous rappelle sa nocivité.

J’ai vu des professeurs refuser de partager leurs notes de cours avec des collègues sous prétexte de « propriété intellectuelle ». Aujourd’hui, la santé de Peter Sunde se dégrade de façon alarmante car il est en prison pour… pour quoi encore ? Il ne le sait pas, son acte d’accusation ne le mentionne pas (une longue histoire que je vous invite à lire). Et aujourd’hui, je viens d’avoir la preuve définitive que les vies humaines, la logique rationnelle ne compte plus dès qu’il s’agit de plagiat.

Le plagiat ou le piratage, moi je l’appelle « partage ». Et, comme vient de le démontrer l’inhumanité de ce journaliste, il peut sauver des vies. Il peut rendre le monde meilleur.

Nous ne sommes pas les mannequins de crash test de l’industrie du copyright. Nous ne pouvons accepter que des intérêts financiers limitent la diffusion des idées qui sauvent des vies. Penser au monde que nous construisons pour nos enfants et pour l’humanité est peut-être plus important que nos mesquins petits intérêts financiers à court terme.

Alors je réagis avec mon seul pouvoir : mon portefeuille. Je ne vais plus au cinéma. Je n’achète plus aucun bien culturel lié à l’industrie du copyright. Je fuis les médias subventionnés. Je fais en sorte de ne pas donner un seul centime, à part mes impôts obligatoires, à tout ceux qui pervertissent l’humanité en tentant d’endiguer le partage naturel et bénéfique. À la place, je donne à ceux qui partagent librement. Bref, je suis un pirate. Par humanisme. Par nécessité. Parce que ne pas l’être est devenu intolérable.

 

Photo par Aaron Brazell.

Merci d'avoir pris le temps de lire ce billet librement payant. Pour écrire, j'ai besoin de votre soutien. Suivez-moi également sur Twitter, Google+ et Facebook !

Ce texte est publié par Lionel Dricot sous la licence CC-By BE.

flattr this!

by Lionel Dricot at July 12, 2014 03:47 PM

Dieter Adriaenssens

GetBack GPS 0.3 is released

Get the latest version on F-Droid.
Arrow pointing to destination and compass indicating North

GetBack GPS v0.3 is now available. It adds a realtime compass and detects your travel direction. This way the arrow pointing to your destination will still point in the right direction, even when travelling backwards.
And there are some small UI improvements.

The app is now also available in Danish, Brazilian Portuguese, Traditional Chinese and French. A big thanks to the translators and supporting services!

A complete list of features and available languages is available on the website.


by Dieter Adriaenssens (noreply@blogger.com) at July 12, 2014 11:15 AM

July 11, 2014

Dieter Adriaenssens

Remove bars from Android screenshots

How to remove the Status Bar at the top and return/home/screens button bar on the bottom/side from Android screenshots, using commandline ImageMagick.

Portrait screenshot

Command :

convert -size 1080x1920 -extract 1080x1700+0+75 original_screenshot.png screenshot_after.png

1080x1920 is the original size of the image (portrait)
1080x1700 is the new size, +0+75 the x and y offset where the extraction starts
(sizes may differ if you have a phone with a different screensize and resolution)


Result:
Original portrait screenshot, before cropping
After cropping

Landscape screenshot

Command :

convert -size 1920x1080 -extract 1792x1005+0+75 original_screenshot.png screenshot_after.png

1920x1080 is the original size of the image (landscape)
1792x1005 is the new size, +0+75 the x and y offset where the extraction starts

(sizes may differ if you have a phone with a different screensize and resolution)


Result:

Original screenshot (landscape), before cropping

After cropping

by Dieter Adriaenssens (noreply@blogger.com) at July 11, 2014 01:40 PM

July 09, 2014

Xavier Mertens

RMLL 2014 Security Track Wrap-Up

RMLL 2014I’m just back from Montpellier where was organised the 2014’s edition of the RMLL (“Rencontres Modiales des Logiciels Libres”) or LSM in English (“Libre Software Meeting”). This is a huge event similar to the FOSDEM in Brussels where people who love free software exchange views, researches and make some networking. The event location changes every year and this edition was organised in the south of France… not a bad place! The event is huge and is organized across a whole week, attracting a few hundreds of people. Within the main event, other small events are organised and talks are divided in multiple topics like:

And, of course, security! I attended the security talks presented on Monday and Tuesday. Here is my quick wrap-up.

I started the Monday with an exception: My first choice was not in the security track but looked very interesting to me: Christophe Hamerling performed some drone hacking. The presentation title was “Hackin the (AR-)Drone” and focussed on the well-known Parrot device. In fact, the drone was a good opportunity for Christophe to learn how to use the Node.js platform. After a small introduction, he explained that the protocol used by the drone to communicate with the remote controller was reverse-engineered and a framework was created based on Node.js to take control of it. The rest of the presentation was based on demos how to take control of the drone and get interesting data from his sensors:

AR-Drone

Another interesting project is called ardrone_autonomy. It allows you to script actions which will be performed by the drone. It can be compared to a Logo game from the 80’s. The materiel presented by Christophe is available here. It was a entertaining presentation to start the day but nothing related to really “hacking” the drone. It was more programming but the effect is present when you click on “Take off” in a web interface and the drones executes.
Then I moved for the rest of the day to the security track which was mainly dedicated to Netfilter and IDS/IPS during the first afternoon. Pablo Neira presented the successor of Iptables: Netfilter from a user perspective. What will change with Netfilter? Compared to Iptables, it has a nice API, do not have code duplication like Iptables, is expendable outside kernel space and allows more flexible configurations. Today, ~35% of the Iptables features have already been implemented in Netfilter. It is included in the Linux kernel since version 3.13 (October 2013) and remains under active development. It offers also a nice CLI interface and gets rid of the “—“ parameters. Multiple chains can contain tables without specific semantic and chains are fully configuration.
nftables Command Line
Netfilter has multiple selectors:
Pablo gave many useful information about Netfiler which might soon replace our good old Iptables with all the fancy new features! The project is still under heavy development and Pablo asked to download the code, test it and report bugs. More information is available here.

To continue with Netfilter, Arduro Borrero presented his project called “nft-sync”. The idea is to have a good tool to properly (and safely) distributed Netfilter configuration across multiple firewalls (ex: a cluster of x nodes) or to manage multiple policies for multiple firewalls. The tool has already a public API for remote management. Its main features are:

nft-sync is still a proof-of-concept supported by Google as a GSoC project. More information is available here.

Eric Leblond made two presentations. The first one was an overview of the integration of Netfilter with an IPS. To follow on the same subject, Eric demonstrated how easy it is to configure Netfilter to talk with an IDS like Suricata.

Eric on Stage

The old way (with Iptables) was to use NFQUEUE and configure “nfq” in Suricata (forget Snort which does not implement this feature). On the other side, Netfilter can do this easily by defining a new chain dedicated to filtering. It’s easy as creating two chains with different priorities. After a short coffee break, Eric came back with his second presentation about a very important topic when you create and manage firewall policies: logging! Iptables had already some feature to log via Syslog but it’s not very sexy and remains difficult to parse. The next generation of solution to log Iptables events was via ulog & ulogd. The daemon has many ways to output events. The most common being into a SQL database and to a PCAP file. With ulogd2, new features were introduced like an improved DB support. ulogd2 can also log volumes of data (interesting if you need to perform some accounting) and can log NAT transformations. Eric also demonstrated how to sent Netfilter events into Kibana to produce nice dashboards.

Next talk was presented by Victor Julien, the lead developer of the Suricata project. Again, Netfilter was addressed and Victor reviewed how to integrate Netfilter with Suricata. This IDS has so many features that it’s impossible to list them. The complete list in available here.

Victor on Stage

Balazs Scheidler presented an open source software called Zorp. It’s an proxy firewall which is able to filter up to the application layer. Keep in mind that today:  “HTTP is new TCP”. We have to deploy tools to inspect the HTTP traffic and not only on port 80! An interesting feature, New Zorp features can be added using Python. Balazs gave as example an module to inspect the Facebook chat sessions.

Balazs on Stage

And, to close the first day, Victor Julien came back to present his Iptables based firewall manager called “Vuurmuur”. For the story, “Vuur” means “Fire” in Dutch and “Muur” means “Wall”. This project was started a long time ago when Victor decided to learn programming. The second goal was to provide to his colleagues who did not have a strong Iptables background, a nice tool (nurses based) to manage the firewalls by themselves. The tools is not upgraded often (the last release is from 2009) but Victor has still some ideas to add features. This closes the first day.

The second day started with Stéphane Bortzmeyer (from the AFNIC) who spoke about DNSSEC. He started with a small review of the DNS. It provides:

Stéphane on Stage

DNS suffers of many threats. Two first cannot be mitigated by DNSSEC:

But the following are addressed by DNSSEC:

First (but old) improvement, TSIG (“Transaction SIGnature”) protects you against malicious zone transfers. It’s already commonly used. TSIG a shared secret, so it’s difficult to deploy massively. It cannot protect the “last mile” (distributing the shared secret to all clients is unmanageable). The DNSSEC basics are:

Tip: DNSviz.net is useful to see the chain of trust. Example: http://dnsviz.net/d/dns.be/dnssec/. Of course, free software support DNSSEC:

Based on Stéphane’s experience with DNSSEC, the main problem is not the “technical” deployment of DNSSEC. It can be achieved in a few minutes – there are tutorials everywhere on the Internet – but the procedures that must be implemented around DNSSEC. Example: Don’t forget your signature expiration. It is mandatory to have a good planning:

A good overview of DNSSEC by Stéphane!

The next talk was about the Haka language by Mehdi Talbi. Haka is an open source security oriented language. The context where Haka can be interesting: Today we need to develop network parsers to analyse new attacks and interact with network flows (log them, generate alerts or modify them on the fly).The idea behind Haka is also to allow people to write such filters without writing C code. Haka has the following security rules:

The Haka Architecture

Haka works with LUA scripts. Here is an example of rule which replace images by lolcats in an HTTP stream:

  local image_ext = { '.png', '.jpg', '.gif' }
  
  haka.rule{
      hooks = { 'http-request' },
      eval = function (self, http)
          local request = http.request
          local path = request:split_uri()['path'] or ''
          for _,ext in pairs(image_ext) do
              if string.match(path, ext .. '$') then
                  -- Ready to lolcat the web? :)
                  -- Redirect request to server hosting a lolcat image
                  request.uri = "http://myserver/lolcat.jpg"
                  break
              end
          end
      end
  }

Another nice demo was injecting Javascript in HTML code. Nice demo: injectponies.lua http://panzi.github.io/Browser-Ponies/. This is a very interesting tool to play with if you already have a server capturing your network traffic (or on a proxy).

After a short coffee break, Eric Leblond came back on stage with a third topic: How to use IDS/IPS to effectively perform attack detection. Interesting features, file extraction, TLS handshake analysis (to prevent bad stories like Diginotar). Lot of logging: HTTP request, TLS certificate log, DNS logging and Lua scripting allow to write rules in a easier way. Suricata rules can become very complex. Suricata 2.0 has new features:

Eric analysing passwords

The new feature that was reviewed by Eric is how to improve logging and reporting. By combining the new EVE logging feature with ELK (Elasticsearch, Logstash and Kibana), it is possible to build very sexy dashboards (as Eric said: “Defensive security can also be sexy!”). Eric demonstrated how easy it is to get interesting stats. His example was based OS detection. In the RFC’s, the start value of a TCP window is not specified. It means that each operating systems is free to use any value. By example, Windows 7 SP1 uses a TCP window of 8192 bytes. This information can be used to authenticate the different OS which are sending traffic to your network. Using Kibana, it’s easy to play the TCP windows and he detected some unusual accesses like Chines in his demo. This highlighted connection from China to the port 22 but always from the same port (6000). The scanner used was based on raw sockets and connections were not initiated by the OS itself. The next step was to write a honeypot in SSH to log all probes. Eric called this the “French hospitality”. Excellent example to demonstrate how to get most of your IDS and logs!

Christian Perez and Solange Gentil reviewed their practical experience with Snort in a real environment at the CEA Cadarache. I found this presentation very interesting because it described a real implementation of a free solution with real (read: business) constraints. Usually, talks presented during security conferences are based on proof-of-concepts, studies. In this case, it was based on real facts.

Solange on stage

The goal of the Snort deployment was multiple:

Once the architecture in place, they faced some recurrent threats:

To improve the detection of suspicious traffic, Solange explained that Snort is feed with the following rule sets:

They also added IP reputation and geo-localisation. For internal IP addresses reconnaissance, they used the existing CMDB. This proves that your logs must be correlated with external sources to increase the detection accuracy! Solange and Christian’s talk demonstrated that, properly deployed, a Snort (read: an IDS) instance can be very useful. However:

A very nice practical return of experience!

After a sunny lunch break outside, Ninon Eyrolles talked about the obfuscation of code or “know your enemy!”. Usually obfuscation is used to “hide” some code. This aspect is at the opposite of the message broadcasted by the RMLL – the code must be free and open. But she demonstrated that understanding how obfuscation is used and how to detect it can be very helpful.

Ninon on stage

In fact, obfuscation is found at many levels: In malwares, in DRM implementation (protection of sensitive data) and is also doing cool stuff on encryption. To break something, you need to understand how it is made. Ninon gave more focus will be on two obfuscation techniques:

Ninon reviewed different techniques likes loop unrolling, inlining of functions, junk code insertion. And, for each technique, she explained the weaknesses and some detection techniques. This is not a key topic for me but the presentation was very clear and didactic!

The next slot was assigned to… myself. I made a presentation about malware analysis based on a free toolbox. It was not only the analyse of malicious code but also how to automate the scanning process and how to extract juicy information to correlate them with your other security solutions (IDS, firewalls, SIEM, etc). My slides are available here.

Lunar followed me with a presentation about Tor. But the presentation quickly switched to a Q&A session regarding Tor. The topic was very interesting and the room assigned to the security track crowded with many people sitting on the ground. A good proof that Tor remains a very hot topic. Some numbers about Tor:

There was very interesting questions and the conversations were really good. Some important information if you’re a Tor user (or plan to start your own exit node):
  • Don’t run a node personally (run it under an association)
  • Don’t run a node at your home, run it in a datacenter / on a VPS
  • Don’t use a browser other than TorBrowser. Regular browser have weaknesses which will disclosed sensitive information about you.

Lunar speaking about Tor

A classic issue when nodes and exit-nodes are deployed: they are hosted in big autonomous systems (as seen on the Tor Diversity map). This increases the chances to use multiple hops in the same network. If the starting and exit points are controlled by the same network, this is risky. Conclusions: new nodes must be deployed on new networks!

The last talk of the day was the one of Daniel Faucon who spoke about the instant messaging clients and their lack of privacy. Often, instant messaging users say “Why encrypt? Why privacy? I’ve nothing to hide!”. This is of course a complete fail! As said Daniel, for most of us, our primary threat is not the NSA but our ex-boy|girlfiriend, our employer, parents or neighbours! Another example, in some countries, the disclosure of a sexual orientation can be vey dangerous. Why is chat an interesting target? Because it is a main communication media between people and that generates a lot of qualitative information about you. And “qualitative” information means at a certain point “quantitative” information…

Daniel speaking about security IM

Daniel reviewed the history of cryptography to come to the conclusion that current tools are excellent from a security point of view but they suxx for average users. Think about PGP: it’s not easy to understand how it works for non-IT people. Daniel explained the basics of OTR (“Off-the Record Messaging”) and how it can improve our privacy. OTR advantages are:

Based on this, OTR leads to “Plausible deniability” which can be helpful in case of a court trial but not always! Finally, Daniel reviewed some clients which are OTR compatible (or have an existing plug-in):
  • Instant messaging clients: Pidgin, Jitsi
  • IRC clients: irsii-otr, weechat-otr , chatsecure (IOS or Android)

But the main restriction of OTR is that it protect 1-2-1 conversations only. Multiparty-OTR is one of the solution. Crypto.cat software currently use the Multiparty Protocol for group conversations. If solutions exist, they’re not intensively used. Why? Like PGP, it remains complex. Skype & Facebook are so easy and one click away from you. Daniel’s conclusions are:

In the evening, a security track dinner was organized with all the speakers. Another good opportunity to meet people and have very interesting converstations.
Security track dinner

Unfortunately, I was not able to attend the third day. I flew back to Belgium this morning. You can watch the live stream and on-demand videos (soon) on video.rmll.info. Except a small glitch with the room reservations, the event was well organized, kudos to the security track team: @cbrocas, @doegox and @moutane.

by Xavier at July 09, 2014 09:58 AM

July 08, 2014

Wouter Verhelst

HP printers require systemd, apparently

printer-driver-postscript-hp Depends: hplip
hplip Depends: policykit-1
policykit-1 Depends: libpam-systemd
libpam-systemd Depends: systemd (= 204-14)

Since the last in the above is a versioned dependency, that means you can't use systemd-shim to satisfy this dependency.

I do think we should migrate to systemd. However, it's unfortunate that this change is being rushed like this. I want to migrate my personal laptop to systemd—but not before I have the time to deal with any fallout that might result, and to make sure I can properly migrate my configuration.

Workaround (for now): hold policykit-1 at 0.105-3 rather than have it upgrade to 0.105-6. That version doesn't have a dependency on libpam-systemd.

Off-hand questions:

All this feels like another case of overengineering, like most of the *Kit thingies.

Update: so the systemd package doesn't actually cause systemd to be run, there are other packages that do that, and systemd-shim can be installed. I misread things. Of course, the package name is somewhat confusing... but that's no excuse.

July 08, 2014 06:15 PM

July 07, 2014

Christophe Vandeplas

Mactime magic with ELK

This is an article of a series to show the power of Elasticsearch, Kibana and Logstash (ELK) in the domain of Incident Handling and forensics.

This article contains what you need to import mactime data in your ELK setup.
If you don't have a running ELK, you can install it in 20 minutes with the help of this article.

All the files are stored on my github repository: https://github.com/cvandeplas/ELK-forensics

Mactime search GUI

As you can see in the screenshot below the aggregations and graphs give you a lot better view on your timeline. In a glimpse of an eye you'll see what are the top file names and extensions for your search, you'll see how the MACB characteristics are distributed over the search results and will be able to locate evilness a lot faster... 

Read below to see how this can be done in less than 5 minutes.

Logstash configuration

Create the mactime configuration by placing this file in your /etc/logstash/conf.d directory.

To import data, execute the following command:
cat /home/chri/computername.mactime | nc -vv -n 127.0.0.1 18001
Then reload the configuration by executing restart logstash.

Kibana dashboard

First download the json dashboard file from here.
Now open the Kibana webinterface. On the top right click the load/open icon, then hover over "Advanced". Now select the file you would like to import.
Then click on the save icon to store it in your database and you're ready to go!

Using the dasbhoard / Examples

The following terms can be used for searching:

by Christophe Vandeplas (noreply@blogger.com) at July 07, 2014 05:35 AM

July 06, 2014

Frank Goossens

Terug uit Kreta

zwembad, zon en boekenErg van een weekje verlof in Kreta genoten. Het was er wel heel erg warm, er zaten tientallen oorverdovende krekels rond het zwembad en het landschap was betrekkelijk dor.

Maar ik heb een fantastisch boek gelezen (“Het Puttertje” van Donna Tartt), heb me op mijn 45-ste eindelijk over mijn angst om in een zwembad te duiken heen kunnen zetten (al was het nog geen schoonspringen) en genoot er van om elke dag naar de winkel te fietsen; bijna 4km kilometer bergaf, een dubbele espresso aan de zee, wat eten kopen en dan weer 4km zwetend, puffend maar uiteindelijk zegevierend bergop.

En met vrouw en dochter in en aan het zwembad hangen en ‘s avonds samen lekker gaan eten, hoe ontspannend kan een vakantie zijn?

by frank at July 06, 2014 10:11 PM

July 05, 2014

Lionel Dricot

Comment je suis devenu le pire gardien de but du monde

passoire

Des lecteurs mes demandent régulièrement comment on devient blogueur ou comment on devient futurologue. Dans le cadre du Summer of Fail lancé par Alias, je vous propose une réponse : en devenant pas gardien de but.

Un gardien prometteur

Tout petit, j’adorais le foot. Dans la cour de l’école primaire, je ne ratais aucune occasion de jouer. Et si je montrais une maladresse certaine à diriger un ballon du pied, je me rattrapais avec succès au poste de gardien.

Je n’avais en effet aucune crainte à plonger sur le dur pavé de l’école pour protéger le garage à vélo qui servait de goal. Je me jetais sans scrupule dans les pieds des attaquants. J’apprenais à réduire les angles, à serrer les genoux pour ne pas encaisser honteusement entre les jambes, à repousser du poing.

Lors d’un anniversaire chez un camarade de classe, alors que nous jouions au jardin, j’entendis même le père du copain en question parler à mes parents : « Il est vraiment bon votre fils, il a d’excellents réflexes ! Il faudrait l’inscrire dans un club ! ». Mes parents rigolèrent.

Ma première compétition sportive

Devant notre enthousiasme pour le football, l’école décida d’inscrire une équipe au tournoi inter-scolaire de la région. Le jour dit, une quinzaine de gamins se présentèrent tout sourire au bord du terrain. Le prof de gym accompagnant sortit une caisse dans laquelle se trouvait des t-shirts en gros coton éponge au couleurs de l’école.

Les t-shirts, issus d’un surplus des années 30, empestaient le renfermé et nous arrivaient aux genoux. Mais ce n’était pas plus mal car ils cachaient nos shorts dépareillés. Nous étions là, en baskets qui glissaient sur l’herbe, sans protège-tibias, les mains cachées dans des manches trop longues. Moi, au gardien, je n’avais même pas de gants (car, à l’école, nous étions forcés de jouer avec une balle en mousse).

L’équipe adverse se présenta sur le terrain et nous regarda d’un air étonné. Ils étaient tous en tenue impeccable, chaussures à crampons et vareuse spéciale pour le gardien. Un entraîneur élaborait une tactique et les encourageait. Chez eux, chaque joueur avait un rôle précis : défenseur, attaquant, milieu.

De notre côté, nous avions 10 libéros qui couraient après le ballon comme des poules sans tête et moi, un gardien qui se rendit vite compte qu’un ballon en cuir botté par un joueur entraîné en souliers adaptés, c’est vachement plus douloureux qu’un ballon de mousse balancé par un copain en sandalettes.

Chaque fois qu’un attaquant adverse se présentait devant moi, et cela arrivait souvent vu que toute mon équipe jouait désormais en attaque, je multipliais les parades et les plongeons… pour éviter à tout prix la balle qui faisait un mal de chien ! Dans cet exercice d’évitement, je démontrai d’ailleurs un réel talent : je ne touchai presque pas le ballon !

Ce match, nous le perdîmes 15-0. Le suivant 16-0. Et le dernier 18-1 car, profitant d’un fou rire de l’équipe adverse, nous avions réussi à égaliser. Exaspéré, mes camarades me remplacèrent successivement au poste de gardien avant de se rendre compte qu’ils ne faisaient pas un meilleur travail que moi et que j’étais encore pire qu’eux à l’attaque.

Si Marc Wilmots est devenu « Le taureau de Dongelberg », j’avais tout pour être « La passoire de Waterloo ». Ce tournoi tua dans l’œuf une carrière pourtant prometteuse de gardien de but. 49 goals en 3 matchs officiels, je pense sincèrement que mérite une page Wikipédia avec la mention « pire gardien de but de l’histoire du football ».

Changeant de sport, je me tournai vers le judo où je fis partie de l’équipe junior championne de Belgique en 94 (j’étais remplaçant, je ne fis qu’un combat, que je perdis mais je fus le seul de l’équipe à perdre). Je participai également au championnat de Belgique d’escalade en salle où, dans ma catégorie, je terminai 23ème. Sur… 22 participants (une erreur d’impression sur le résultat final). En soi, mon palmarès sportif est digne d’un film de Leslie Nielsen.

Les prémices du blogueur futurologue

Abandonnant tout espoir de carrière sportive, je me tournai vers les sciences et la technologie. Je voulais être chirurgien, physicien, pilote et astronaute. Dévorant les revues de vulgarisation scientifique et les livres de science-fiction, j’en vins naturellement à m’essayer aux prédictions.

Vers 96 ou 97, un ami me montra pour la première fois ce fameux « Internet » dont même les journaux traditionnels se faisaient l’écho. À l’époque, il fallait encore payer à la minute. Je testai un peu, visitai quelque site et déclarai haut et fort : « C’est juste une mode lancée par les journaux. C’est comme les Flippos, ça n’a aucun avenir. » (ceux d’entre vous qui viennent de murmurer « Les flippos ! J’avais complètement oublié, j’en ai encore dans le grenier ! » me paient une citronnade).

Une fois qu’Internet entra dans la maison chez mes parents, en 98, je m’empressai immédiatement d’oublier cette prédiction pour réaliser mon premier site rempli de gifs animés et dont chaque page possédait un fond sonore au format midi. Et des titres défilants grâce à la balise « marquee ». Une grande carrière de webdesigner s’ouvrait à moi.

Lorsque les blog devinrent à la mode, vers 2002-2003, j’annonçai d’un air très sûr de moi que « Un blog, ce n’est jamais qu’un site comme un autre. C’est un mot à la mode mais plus personne n’utilisera ce mot dans un an ou deux ». Pour l’anecdote, je devais faire exactement la même prédiction avec le mot « podcast » qui n’était, après tout, jamais qu’un MP3.

Ceci dit, étant curieux et grand lecteur du Standblog, je décidai en 2004 d’installer un blog Dotclear, juste pour tester. Ce blog ne devait jamais être important et je ne pris même pas la peine d’acheter un nom de domaine séparé (il faudra attendre 2008 pour que je répare enfin cette erreur, pour dire à quel point j’étais visionnaire).

En termes de contenu, j’avais élaboré un plan machiavélique : je mélangerais du contenu de promotion du logiciel libre avec des blagues. Comme les internautes aiment les blagues, ils viendront sur le blog, trouveront des articles qui parlent de Linux et seront convaincus. Imparable, non ? Je pensais même intituler le blog « Évangéblog, le blog d’un évangéliste Linux » mais une boutade privée entre une amie (Valérie, candidate Pirate à Ottignies-Louvain-La-Neuve en 2012) et moi fit que je l’intitulai « Where is Ploum? ». De toutes façons, ce n’était qu’une blague et le blog ne devait pas exister très longtemps…

Moralité

Suivant ce point de vue, le blog que vous lisez aujourd’hui n’est, finalement, que le résultat d’une série d’échecs. La preuve : Il m’est parfois reproché de ne plus parler du tout des logiciels libres et j’ai remplacé mon intérêt pour le football par une passion pour le hockey subaquatique, l’un des sports les plus cons selon le journal l’Équipe. Et mes premières analyses technologiques se sont révélées aussi désastreuses que ma carrière de football.

Pourtant, je n’ai jamais l’impression d’avoir échoué. J’ai à mon actif des dizaines de créations. Alors, certes, j’ai été recalé deux fois au permis de conduire et j’ai du recommencer certaines années d’université mais je n’ai jamais échoué. J’ai juste suivi un chemin différent que celui qui était prévu. Et je suis arrivé dans des endroits imprévus. J’ai réussi à faire des choses dont je n’osais même pas rêver.

L’échec, c’est un mur. Et dans la vie, le seul mur c’est la mort. Le reste, ce ne sont que des déviations, des chemins de traverse qui ne sont pas toujours sur les cartes. Mais qui ont pour eux le charme merveilleux de la découverte.

Finalement, le seul risque que l’on prend dans une vie, c’est celui de découvrir des nouvelles choses. D’apprendre et de s’améliorer. Vu comme ça, l’échec est un concept qui n’existe même pas.

 

Photo par Hyperact.

Merci d'avoir pris le temps de lire ce billet librement payant. Pour écrire, j'ai besoin de votre soutien. Suivez-moi également sur Twitter, Google+ et Facebook !

Ce texte est publié par Lionel Dricot sous la licence CC-By BE.

flattr this!

by Lionel Dricot at July 05, 2014 07:53 AM

Christophe Vandeplas

BlueCoat Proxy log search and analytics with ELK

This is an article of a series to show the power of Elasticsearch, Kibana and Logstash (ELK) in the domain of Incident Handling and forensics.

This article contains what you need to import BlueCoat proxy logs in your ELK setup.
If you don't have a running ELK, you can install it in 20 minutes with the help of this article.

All the files are stored on my github repository: https://github.com/cvandeplas/ELK-forensics

BlueCoat Proxy search GUI

As you can see in the screenshot below the aggregations, graphs and maps give you a LOT better view on the log data. In a glimpse of an eye you'll see weirdness popping out of your logs, and you'll be able to dig deeper and deeper in a few clicks. You will notice that log data can be enriched by not only geoip, user-agent extraction but also nice other features like reverse DNS, and grouping hosts by remote site. All these things will help you a LOT, (been there, done that) while searching for evilness...

Read below to see how this can be done in less than 5 minutes.
Do not forget that the logformat of BlueCoat Proxies is variable, so you might probably have to modify the Kibana dashboard to add or remove some blocks, or perhaps change your proxy log output to give you more data...


Logstash configuration

This is the most complicated part. As the BlueCoat log format is dynamic I cannot give you a ready-made configuration. However I can give you a script that builds the configuration for you.
Download the script, and run it against one of your "uncompressed" proxy files.

$ git clone https://github.com/cvandeplas/ELK-forensics.git
cd ELK-forensics
./proxy-bluecoat.py -h
./proxy-bluecoat.py -l ../SG_fwd_main__20115020800
Discovered columns in logfile: date, time, time_taken, c_ip, s_supplier_name, s_supplier_ip, sc_status, s_action, sc_bytes, cs_bytes, cs_method, cs_uri_scheme, cs_host, cs_uri_path, cs_uri_query, s_hierarchy, rs_content_type, cs_user_agent, sc_filter_result, sc_filter_category, s_ip, s_sitename, cs_x_forwarded_for, s_computername, cs_version, r_port

Logstash configuration file updated.

The script will automagically modify the existing configuration file.
Then copy the file to in the /etc/logstash/conf.d directory of your system. Then restart logstash by executing restart logstash.

To import data, execute the following command:
cat /home/chri/SG100-* | nc -vv -n 127.0.0.1 18002 

Kibana dashboard

First download the json dashboard file from here.
Now open the Kibana webinterface. On the top right click the load/open icon, then hover over "Advanced". Now select the file you would like to import.
Then click on the save icon to store it in your database and you're ready to go!

Do not forget that the logformat of BlueCoat Proxies is variable, so you might probably have to modify the Kibana dashboard to add or remove some blocks, or perhaps change your proxy log output to give you more data...

by Christophe Vandeplas (noreply@blogger.com) at July 05, 2014 06:09 AM

July 04, 2014

Lionel Dricot

Le blog d’un condamné, un an après

canoe

Il y a exactement un an, je postais le dernier billet sur Le blog d’un condamné. Une aventure littéraire et philosophique qui m’est venue du fond des tripes et qui a suscité de vives réactions. Pour connaître tous les détails de cette histoire, sa genèse et ses retombées, consultez ce billet.

Aujourd’hui, un an a passé. Alors que les détracteurs m’ont oubliés, que les poursuites en justice contre moi n’ont pas abouties (je vous jure qu’il y a eu des tentatives mais qui n’ont pas été plus loin que le stade des menaces fermes) et que le buzz inattendu s’est complètement calmé, je peux tirer un bilan serein.

Le blog d’un condamné a changé ma vie. En bien. Il a changé ma manière d’exister et de voir le monde. J’ai été bouleversé par cette expérience et je commence seulement à en percevoir les effets. Vous aussi si vous avez suivi mes billets de fiction ou ma série Printeurs qui sont une conséquence directe du blog d’un condamné. Et j’espère publier de plus en plus de billets dans la catégorie « Lifehack » afin de partager mon apprentissage.

Je suis fier d’avoir accompli cette expérience. Je suis fier, un an après, de me sentir grandi. Je suis fier d’être encore en contact avec des lecteurs qui, eux aussi, ont amélioré leur vie grâce à ce texte.

Les critiques, les insultes sont oubliées. Le cerveau est un outil merveilleux pour effacer les événements négatifs. La leçon est simple : si vous voulez avoir un impact durable sur vous, votre vie et le monde, soyez positifs ! Le négatif s’efface et se dilue. Ignorez ce qui ne vous plait pas et encouragez ce que vous aimez ! C’est en y réfléchissant que j’ai créé deux pages Facebook pour ceux qui aiment Un bon bouquin et le Prix libre.

Lorsque je repense au premiers jours du blog d’un condamné, aux doutes qui m’assaillirent, une citation me revient pas à l’esprit : « N’oublie jamais que lorsque tu voudras faire quelque chose tu auras contre toi ceux qui voulaient faire le contraire, ceux qui voulaient faire la même chose et l’immense majorité de ceux qui ne voulaient rien faire. » Un an après, force est de constater que seul le résultat compte. Lorsque l’écho des critiques s’est éteint, seule la création et la fierté du créateur existent encore. D’ailleurs, le billet annonçant toute l’histoire reste l’un des plus « flattés » de ce blog.

Afin de faciliter la (re)lecture, j’avais publié le « Blog d’un condamné » avec un recueil de très courtes nouvelles intitulé : « C’est la vie ». Un an après la fermeture du blog, je vous invite à le (re)découvrir :

C’est la vie !

Télécharger au format .epub - format .pdf

Les nouvelles composant ce recueil ont, pour la plupart, été publiées sur ce blog.

Merci pour votre soutien, ponctuel et régulier, au cours de cette dernière année et bonne lecture !

 

Photo par Michael Quinn.

Merci d'avoir pris le temps de lire ce billet librement payant. Pour écrire, j'ai besoin de votre soutien. Suivez-moi également sur Twitter, Google+ et Facebook !

Ce texte est publié par Lionel Dricot sous la licence CC-By BE.

flattr this!

by Lionel Dricot at July 04, 2014 08:13 AM

July 03, 2014

Wouter Verhelst

Docking and Undocking with LVM

I have a number of USB hard disks. Like, I suppose, mostly everyone who reads this blog. Unlike many people who do, however, for whatever reason I decided to create LVM volumes on most of my USB hard disks. The unfortunate result is that these now contain a lot of data with a somewhat less than efficient partitioning system.

I don't really care much, but it's somewhat annoying, not in the least because disconnecting an LVM device isn't as easy as it used to be; originally you could just run the lvm2 init script with the stop argument, but that isn't the case anymore today. That is, you can run that, but it won't help you because all that does, effectively, is exit 0.

So what do you do instead? This:

Voila, your LVM volume group is no longer available, and you've not suffered data loss. Kewl.

Note: I don't know what the lvm2 init script used to do. I suspect there's another way which doesn't require the --refresh step. I don't think it matters all that much, though. This works, and is safe. That being said, comments are welcome...

July 03, 2014 09:53 PM

July 02, 2014

Dries Buytaert

Fostering inclusivity and diversity

Topic: 

The past few weeks, I've been thinking over and over again trying to rationalize how to best foster a culture of inclusivity and diversity. This in the context of creating a productive work climate of trust and respect.

I think it is fair to say we all want other people to feel welcome and respected. Where that gets difficult is that feeling welcome and respected means something different to different people. What seems harmless to you could be hurtful to another. For example, some people tend to be more concerned about the use of crude or sexual language than others. It's a complex issue based on a range of factors including gender, race, age, geographical location and more. There is also a lot of academic research about the fact that derogatory and vulgar language or sexually graphic behavior creates a hostile environment. These two facts combined, makes it a popular topic in the context of diversity and inclusion.

However it is not just a popular topic, it is also a very difficult topic. Why do we feel defensive and argumentative when confronted with a value and belief system different from our own? It is one thing to challenge someone's take on, say, a country's healthcare system, it is another thing to challenge someone's beliefs. Challenge someone's beliefs, and you challenge their sense of self.

Given all this, is it possible to be inclusive of everyone? For example, can we be inclusive of those who are easily put off by sexually graphic or vulgar language and at the same time be inclusive of those who often use crude or sexual language? Does supporting one group of people mean turning away others? I hope not, but I'm not sure. Can we find a balance when we have conflicting behaviors? Sometimes we need to change behavior (eg. tone down or refrain from using bad language), and other times we need to understand when no offense was intended, and try to accept and accommodate cultural differences.

Answering these questions to define our culture is very difficult. It is even harder to put them into written rules. I strongly believe that being inclusive is a mindset first. It is about wanting to be a good person to all other people. Once you have it in your mind that you want to make others feel respected and comfortable around you, you'll find that you'll be looking for ways to do so. The key is to be appreciative of our differences. If you show respect and sincerity and remain open to hearing differing opinions, we will automatically become more aware of how our actions affect people different from ourselves. We'll automatically become more inclusive and more diverse.

By the same token, being appreciative of how we are different also means you should be willing to give the benefit of the doubt in case you are offended. It's only through fostering an environment where it is safe to make mistakes and learn from each other that we can achieve diversity and inclusiveness in our community.

Last but not least, it also presents a tremendous opportunity to learn about new cultures. I hope to learn from people who are different than me and talk honestly about our differences. If you are one of these people, I hope to ask you questions respectfully to learn more about how your values differ, and would love to find out how you want to be treated.

I'll continue to think about how to best foster a culture of inclusivity and diversity, but I wanted to stop and listen first ...

by Dries at July 02, 2014 06:16 PM

Lionel Dricot

Publier, c’est rendre public !

tatoo

Régulièrement, des auteurs et des artistes s’indignent du « piratage » ou de la copie de leurs œuvres. Ils demandent le contrôle total de la diffusion de leurs créations, que ce soit pour des raisons bassement pécuniaires ou parce que, en tant qu’artistes, ils estiment avoir le droit de contrôler la manière dont l’œuvre doit être consommée ou perçue.

Je comprends tout à fait ce réflexe. Après tout, j’ai refusé de publier des textes de fiction sur le net pendant des années simplement parce que je ne voulais pas être un onglet parmi d’autres dans un navigateur mais bien être lu avec attention. Lorsque je réalisais des courts-métrages, j’exigeais que la projection se fasse dans le noir et le silence. Une rumeur prétend également que Georges Lucas exigeait que « Le Retour du Jedi » soit diffusé dans les salles certifiées THX !

Et pourtant… Ce sentiment que connaissent la plupart des créateurs n’est-il pas parfaitement irrationnel, contre-productif voire dangereusement stupide ?

Contrôler la diffusion

Étymologiquement, publier signifie « rendre public ». C’est un fait. Vous pouvez choisir de diffuser confidentiellement une création à l’unique condition de faire confiance aux heureux élus qui composent votre public restreint. Mais à partir du moment où vous choisissez de publier une œuvre, celle-ci est publique. Elle fait partie du patrimoine culturel de l’humanité. Si cela ne vous convient pas, abstenez-vous de publier.

Quoi que vous puissiez faire, une œuvre sera toujours perçue différemment. En fonction du contexte, de l’histoire de l’individu, de sa réceptivité dans un moment particulier. Chaque diffusion est donc unique et échappe complètement à son créateur. Et c’est d’ailleurs tout l’intérêt de l’art !

L’irrémédiabilité de la copie

Dès le moment où le créateur publie son travail, ce dernier lui échappe. Chaque écoute d’une musique, chaque lecture d’un livre est une copie. Qu’il s’agisse de produits chimiques altérés par la lumières, de bits sur un disque magnétique, d’encre sur du papier ou de neurones interagissant, l’œuvre vit. Le support n’est pas l’œuvre, il n’est qu’un intermédiaire possible.

Mais à chaque projection d’un film, il y a autant de copies que de paires d’yeux dans la salle. À chaque lecture d’un livre, une nouvelle copie se crée. Lorsqu’un père raconte une histoire à ses enfants, lorsqu’un adolescent raconte à son pote le dernier épisode d’une série pendant la récré, une nouvelle copie est née.

Certains artistes exigent le respect dû à l’œuvre. Mais avant l’œuvre, ne faut-il pas respecter les hommes ? L’artiste ne doit-il pas le respect à ceux qui donnent à son œuvre ce que les humains ont de plus limité et de plus précieux : leur temps ! N’est-il pas inconcevablement prétentieux et irrespectueux d’exiger qu’un homme « respecte une œuvre » selon la définition purement arbitraire que le créateur a donné au mot « respect » ?

L’évolution de la copie

Historiquement, les copies étant assez inexactes ou difficiles à produire, les producteurs se sont concentrés sur la vente de supports avec des copies relativement fidèles et ont réussi à faire croire aux créateurs que leur œuvre était intiment liée à cet artefact matériel.

Or, la technologie permet aujourd’hui de rendre ce processus de copie plus facile, plus exact, moins sujet à l’interprétation. Plutôt que de te raconter un film, je t’envoie un lien pour que tu le visionnes par toi-même. Mais le principe reste le même : partager une émotion, une œuvre. La faire vivre.

D’ailleurs, il est à présent possible de reconstituer, très imparfaitement, des images ou un court film en analysant l’activité du cerveau. L’époque où le simple visionnage d’un film sera équivalent à copier un DVD n’est plus très loin.

Oui, un cerveau est un outil de copie ! Si vous souhaitez empêcher la copie, il faut renoncer à tout public. Un lecteur m’a récemment envoyé cet extrait d’un guide touristique qui interdit expressément toute mémorisation par procédé chimique ! Bref, la lecture en est interdite pour peu que vous ayez des neurones ! Rigolo, non ?

publie_public

La dangereuse illusion du contrôle

Vouloir contrôler la copie entre individus porte un nom : le totalitarisme. Il n’y a pas d’alternative, pas de juste milieu. Si l’on souhaite éviter la copie non-autorisée, si l’auteur veut avoir la main-mise totale sur la diffusion, il n’existe qu’un système : la dictature absolue, le contrôle de la pensée. Chaque communication entre chaque citoyen doit être analysée et jugée comme légale ou non. Et bientôt chaque pensée !

Critiquer la copie de ses œuvres, vouloir l’empêcher c’est, tout simplement, demander la mise en place d’un système totalitaire. En critiquant la copie et en exigeant des mesures, certains artistes sont devenus les meilleurs porte-paroles d’un Internet censuré sous contrôle étatique. Soit par ignorance soit par pure hypocrisie.

La beauté de la liberté partagée

Pourtant, une œuvre n’existe que par la copie. Publier, c’est chercher à atteindre, c’est conquérir un public. J’entends certains artistes se plaindre de leurs faibles revenus dû à leur manque de visibilité et, en conséquence, accuser le piratage sur le net. Donc, ces artistes se plaignent de ne pas être diffusés alors qu’eux-mêmes font tout pour empêcher la diffusion de leurs œuvres !

Pourtant, amis artistes, votre public est généralement avide de vous soutenir ! Si vous lui donnez la liberté de consommer votre œuvre, alors il prendra la liberté de vous payer. Le plaisir et la liberté seront partagés. Mais le premier pas doit venir de vous. Car, entre nous, qui aime être obligé de payer ? Si vous n’offrez pas la liberté et le respect à votre public, celui-ci ne vous respectera pas.

Si, au contraire, votre public se sent respecté, il vous aidera, vous protégera. Il se détournera de ceux qui abusent de vos œuvres, par exemple en s’en appropriant la paternité. Bref, votre public vous rendra plus justice que cet avocat que vous n’avez de toutes façons pas les moyens de payer.

En conclusion

Si votre business model repose sur la privation de libertés d’autrui et sur le fait de brider l’évolution technologique, vous n’avez tout simplement pas de business model. Il est temps d’en changer.

Et si votre business est de publier, n’oubliez pas que publier, c’est rendre public. C’est perdre le contrôle. Vouloir publier sans être public relève de la schizophrénie. Mais perdre du contrôle, c’est gagner en liberté !

Et offrir de la liberté est le plus beau cadeau qu’un homme puisse faire à un autre ou à lui-même. D’ailleurs, d’une manière ou d’une autre, celui-ci vous le rendra

 

Photo par Aimee Heart.

 

Merci d'avoir pris le temps de lire ce billet librement payant. Pour écrire, j'ai besoin de votre soutien. Suivez-moi également sur Twitter, Google+ et Facebook !

Ce texte est publié par Lionel Dricot sous la licence CC-By BE.

flattr this!

by Lionel Dricot at July 02, 2014 04:25 PM

July 01, 2014

Frank Goossens

Music from Our Tube; Song for Horace Silver’s father

Jazz-pianist and composer Horace Silver passed away a couple of weeks ago. This is a long, swinging live-version of one of his best-known tunes, Song for my Father. I’ll let him explain the origin;

YouTube Video
Watch this video on YouTube or on Easy Youtube.

by frank at July 01, 2014 05:19 AM

June 30, 2014

FOSDEM organizers

Call for participation: main tracks and developer rooms

We now invite proposals for main track presentations and developer rooms. FOSDEM offers open source developers a place to meet, share ideas and collaborate. Renowned for being highly developer-oriented, the event brings together some 5000+ geeks from all over the world. The fifteenth edition will take place on Saturday 31 January and Sunday 1 February 2015 at the usual location: ULB Campus Solbosch in Brussels. We now invite proposals for main track presentations and developer rooms. Previous editions have featured tracks centered around security, operating system development, community building, and many other topics. Presentations are expected to be 50舰

June 30, 2014 03:00 PM

Mattias Geniar

PHP-FPM environment variables are limited to 1024 chars

Here's something I didn't know: environment variables passed via PHP-FPM to PHP code, are hard-limited to 1024 characters. Not a very big problem per se, but if your environment variables pass the length of 1024 characters, you'll find yourself scratching your head why the PHP-FPM pool won't start.

This problem has now been filed as an enhancement request for PHP-FPM, #67846: Environment variables passed via php-fpm are hardlimited to 1024 chars.

If you have an environment variable longer than 1024 chars, you will find it silently truncated to the first 1024 characters. If you happen to have a string value, surrounded by quotes, that'll end up causing parsing errors as the trailing quote is stripped.

$ cat /etc/php-fpm.d/pool.conf
...
env[TEST_VAR] = 'abc ... 1024 chars later ... xyz'

The above, given that TEST_VAR exceeds 1024 characters, will be truncated, causing the actual environment variable that is being read to be:

$ cat /etc/php-fpm.d/pool.conf
...
env[TEST_VAR] = 'abc ... 1024 char

The characters greater than 1024 are cut off, and you suddenly have an invalid string value, as it is missing its ending quote.

If you start your PHP-FPM daemon this way, you'll see errors like:

$ /etc/init.d/php-fpm start
Starting php-fpm: PHP:  syntax error, unexpected $end in Unknown on line 1
[30-Jun-2014 14:01:22] ERROR: failed to load configuration file '/etc/php-fpm.d/site.conf'
[30-Jun-2014 14:01:22] ERROR: FPM initialization failed              [FAILED]

The only solution, until feature #67546 gets approved, is to limit your configs to 1024 characters per environment variable. The offending piece of code can be found in /sapi/fpm/fpm/fpm_conf.c of the PHP source.

int fpm_conf_load_ini_file(char *filename TSRMLS_DC) /* {{{ */
{
	int error = 0;
	char buf[1024+1];
....
		memset(buf, 0, sizeof(char) * (1024 + 1));
		for (n = 0; n < 1024 && (nb_read = read(fd, &c, sizeof(char))) == sizeof(char) && c != '\n'; n++) {
			buf[n] = c;
		}
....
}

Hopefully someone that knows more about C coding can pick this up. :-)

by Mattias Geniar at June 30, 2014 12:04 PM

June 29, 2014

Thomas Vander Stichele

mach 1.0.3 ‘moved’ released

It’s been very long since I last posted something. Getting married, moving across the Atlantic, enjoying the city, it’s all taken its time. And the longer you don’t do something, the harder it is to get back into.

So I thought I’d start simple – I updated mach to support Fedora 19 and 20, and started rebuilding some packages.

Get the source, update from my repository, or wait until updates hit the Fedora repository.

Happy packaging!

flattr this!

by Thomas at June 29, 2014 09:09 PM

June 28, 2014

Wouter Verhelst

NBD

When I took over maintenance of the nbd userland utilities, I decided not to do a full rewrite, even though that might have been a good idea. I've managed to keep things running, but the code isn't very pretty. Unfortunately I've also made a few mistakes. Yes, I know. No, I can't say it won't happen again.

Still, the "design", for lack of a better word, of the nbd-server code was problematic, to the extent that some needed performance improvements could not be done, or would require so much work that it would be better to just throw everything out and start over. The unfortunate result of this has been that those who did want to try to do something new with NBD did just that, rather than contributing back to the reference implementation.

Over the years, I've sometimes tried to come up with ways to improve the way in which things work. Most of these efforts haven't gone very far, either because they turned out to be dead ends, or because I just didn't have the time to finish it, and that by the time I could finally work on the branch again, the main branch had diverged so much that the branch was so outdated that I would almost have to start over if I was ever going to make it useful again.

The most recent of those efforts is the io_transaction branch. This branch has two main goals:

  1. Make nbd-server somewhat more modular, so that it would be possible to a different backend per export, if necessary
  2. Improve upon the way we handle select() and friends, so that the server can deal with requests more efficiently.

Today, I've reached the (fairly significant) milestone with that branch that on my machine, it seems to pass the "read" part of the test suite. What's more, the second part of the above two means it actually did so at a much higher speed than it does, on average, on the main branch.

Of course, reading is only half of the story, and no, write doesn't seem to work yet. After that, there's also a lot of work still to be done if I want to get this branch "on par" with the main branch, feature-wise.

But there's a light at the end of the tunnel. Finally.

June 28, 2014 07:51 AM

June 27, 2014

Lionel Dricot

Comment l’entraîneur belge a « hacké » les règles du football à la coupe du monde

foot

Je suis conscient que, en ce moment, le football vous sort peut-être par les oreilles et ce blog est l’un des derniers endroits où vous espériez qu’on ne vous parlerait pas d’une coupe du monde éthiquement très discutable. Mais j’ai remarqué un phénomène très intéressant avec l’équipe de Belgique et je trouvais dommage de ne pas le partager avec vous.

Si vous n’aimez pas ou ne connaissez pas le foot, je vous encourage à continuer malgré tout votre lecture.

Lors du premier tour de cette coupe du monde, durant lequel chacune des 32 équipes joue trois matchs, seules quatre équipes ont réalisé trois victoires. Il y a tout d’abord l’Argentine et la Colombie, deux équipes considérées actuellement parmi les meilleures du monde et qui ont eu la chance d’être confronté à trois adversaires de niveau nettement inférieur. Il y a également les Pays-Bas, qui sont dans une forme éblouissante et se permettent de battre 5-1 les champions du monde en titre. Enfin, la Belgique. Qui a offert des matchs mornes, sans grand intérêt. Une Belgique qui n’a jamais clairement maîtrisé ses adversaires, qui ne semble marquer qu’in extremis, à la toute fin des matchs, par chance. Mais qui a néanmoins tout gagné.

La raison ? Selon moi, l’entraîneur Marc Wilmots a « hacké » les règles du football. Il a réussi à contourner les règles implicites que chaque équipe s’impose inconsciemment pour, tout en respectant les règles écrites, s’offrir un avantage indéniable sur les autres équipes. Un état d’esprit duquel nous pouvons tous nous inspirer.

Les règles de base du football

Chaque équipe de football se compose de 10 joueurs de champ et d’un gardien de but. Les matchs se déroulent en deux mi-temps de 45 minutes séparés par une pause d’un quart d’heure. Durant les 90 minutes d’un match, les joueurs, à l’exception du gardien, courent en moyenne une petite dizaine de kilomètres.

Ces 11 joueurs sont traditionnellement appelés les « titulaires ». Ils représentent l’équipe, les stars. Ils sont ceux que les supporters s’attendent à voir sur le terrain en début de rencontre.

Cependant, chaque joueur possède également une doublure : le remplaçant. Le remplaçant est, en théorie, disponible en cas de blessure, d’épuisement ou d’interdiction de match du joueur titulaire. Le gardien, qui est un rôle très spécifique, dispose lui de deux remplaçants. Au total, chaque équipe vient donc à la coupe du monde avec 23 joueurs.

La tactique classique

En règle générale, un entraîneur commence toujours un match avec ses titulaires, son « onze de base ». Ces dernières années, on peut parfois observer des variations au départ du match. L’entraîneur peut en effet vouloir exploiter certaines qualités d’un remplaçant en fonction de l’adversaire. Par exemple, un remplaçant qui est un peu moins bon techniquement mais très rapide sera aligné contre une équipe connue pour un jeu plus lent. Mais l’esprit du onze de base et de la claire séparation titulaires/remplaçants est toujours bien présente.

Jusqu’à 20 minutes de la fin du match, la tactique de remplacement est habituellement très simple : les remplacements ne sont utilisés qu’en cas de blessure. Il faut en effet les conserver précieusement car si les trois remplacements sont effectués et qu’un joueur se blesse, il ne peut plus être remplacé. L’équipe finit donc le match à 10 !

Lorsqu’on arrive dans les 20 dernières minutes, les entraîneurs décident généralement de faire leurs remplacements pour changer de tactique en fonction de la physionomie du match. Si l’équipe mène et doit conserver son score, on va remplacer un attaquant par un défenseur. Si, au contraire, l’équipe doit absolument marquer, on va remplacer un défenseur par un attaquant. On va également se permettre d’éventuellement remplacer un joueur trop épuisé ou que l’on souhaite épargner. La plupart du temps, seuls deux remplacements sont effectués, le troisième n’intervenant pas ou seulement dans les toutes dernières minutes. Il est gardé en réserve pour les cas de force majeure.

Les faiblesse de l’approche classique

Dans un match de foot, les joueurs se donnent pendant 45 minutes. Puis reprennent leur souffle pendant 15 minutes et se remettent à courir. Seulement, le regain d’énergie n’est généralement que de courte durée. Après 15 ou 20 minutes, la fatigue accumulée commence à se faire sentir. C’est pour cela que les matchs peuvent complètement changer de physionomie vers la fin.

Les remplaçants, qui, traditionnellement, n’arrivent qu’après 25 ou 30 minutes dans la seconde mi-temps, ont souvent besoin d’un certain temps pour « rentrer » dans le match. Certes ils sont frais, ils ont l’énergie mais ils ne sont pas vraiment échauffés, pas vraiment habitués à l’adversaire. En un quart d’heure, il est rare qu’ils renversent réellement la vapeur.

Enfin, sur les 23 joueurs officiels que comporte une équipe de coupe du monde, seule une quinzaine foule réellement la pelouse des stades. Les autres peuvent faire toute la compétition assis sur le banc de réserve et devenir champion du monde sans avoir touché un seul ballon !

Ce double problème est assez paradoxal : d’un côté on a des joueurs épuisés et de l’autre des joueurs qui ne jouent pas.

Le « hack » de Marc Wilmots

Marc Wilmots, l’entraîneur de l’équipe belge, est sans doute arrivé à cette même conclusion. Et il a décidé de trouver une solution créative.

Puisqu’on peut venir avec 23 joueurs à la coupe du monde, considérons l’équipe comme étant les 23 et non plus 11 avec 12 réservistes. En ce sens, l’équipe belge désoriente tous les journalistes : il n’y a plus de « 11 de base ». En 3 matchs, 20 des 23 joueurs belges ont déjà joué ! Seul un joueur de champ, Laurent Ciman, et les deux gardiens réservistes n’ont pas encore joué de match ! C’est un fait assez original et peut-être unique en coupe du monde.

Le fait de disposer d’une équipe de 23 encourage Marc Wilmots à effectuer des changements très tôt. Sur les 3 matchs, les 9 changements disponibles ont été effectués et 7 ont été faits avant la 65ème minute ! Un seul sur les 9 a été fait dans le dernier quart d’heure là où s’effectuent traditionnellement l’intégralité des changements.

La tactique est donc en fait relativement simple : pendant la première mi-temps, les joueurs belges jouent de manière classique, sans réel avantage. Mais dès le début de la seconde période, alors que la fatigue commence à se faire sentir des deux côtés, Marc Wilmots va remplacer les éléments les plus fatigués, souvent à l’attaque, par des joueurs tout frais et très rapides.

Ceux-ci pèsent donc très soudainement sur l’équipe adverse qui n’a pas encore fait ses changements. Les réservistes ont également bien le temps de rentrer dans le jeu et de s’adapter à l’adversaire. Sur les 4 goals marqués, tous l’ont été après la 70ème minute. 3 l’ont été directement par les réservistes fraîchement montés au jeu. Le quatrième, contre la Corée, n’a été possible que grâce au tir d’un réserviste qui jouait depuis moins de 20 minutes.

Le résultat de cette stratégie est sans appel : en jouant relativement mal et sans grande dépense d’énergie, la Belgique a gagné 3 matchs sur 3.

Quels enseignements peut-on en tirer ?

Si je vous parle de foot aujourd’hui, vous vous doutez que ce n’est pas pour le plaisir. C’est que j’estime que l’on peut tirer de merveilleux enseignements de cette stratégie.

Premièrement, il faut souligner à quel point nous nous mettons nos propres barrières. Chaque équipe dispose de 23 joueurs mais, au final, n’en utilise que 11 plus une poignée. Parce qu’on a toujours fait comme ça. Parce que le règlement dit « 11 sur le terrain » donc on ne joue qu’à 11. En remettant en question cette barrière, l’équipe belge a donné l’impression qu’elle était réellement composée de 23 joueurs.

La première leçon est donc : quelles sont les règles, les barrières que je m’impose à moi-même ? Quelles sont les ressources qui sont à ma disposition que je n’utilise pas parce que je me suis moi-même imposé de ne pas les utiliser ?

Le second enseignement fondamental est la prise de risque. Toute la stratégie classique des remplacements est centrée sur le fait qu’un joueur blessé doit absolument pouvoir être remplacé. C’est pour cette raison qu’un entraîneur attend souvent si longtemps : il ne peut pas prendre de risque, il veut être sûr de garder un remplacement de réserve.

Or, objectivement, le fait qu’un joueur soit blessé au point d’être remplacé est un phénomène relativement rare. De plus, être réduit à 10 ne signifie pas la catastrophe absolue. En fait, stratégiquement, il est préférable d’être réduit à 10 en menant 1-0 que d’être une équipe complète sans avoir marqué !

La seconde leçon est donc : quels sont les risques que je refuse de prendre ? Serait-ce vraiment tellement dramatique si je prenais ce risque ? Est-ce que le bénéfice n’est pas beaucoup plus important ? Est-ce que, finalement, le refus de prendre un risque n’est pas plus négatif que les pires conséquences si j’avais accepté de prendre le risque ?

Enfin, il est très intéressant de remarquer les réactions de la presse et des observateurs. La Belgique n’est pas convaincante, elle n’a pas un beau jeu. Wilmots se fait critiquer pour garder sur le banc des buteurs comme Origi. Pourquoi ne pas les « titulariser » pour les faire marquer dès le début du match ? Si vous m’avez lu jusqu’ici, il doit vous sembler évident que si un joueur comme Origi marque, c’est justement parce qu’il était sur le banc et est arrivé tout frais contre une équipe qui a 60 minutes de jeu dans les pattes. Le faire jouer au coup de sifflet ne l’aiderait pas, au contraire !

Tout cela prouve à quel point la remise en question des règles est difficile. La Belgique a gagné 3 matchs sur 3 et se fait pourtant critiquer. La raison est toute simple : la majorité est tellement habituée à respecter des règles qu’elle s’auto-impose qu’elle ne comprend pas comment la Belgique gagne. Elle critique parce qu’elle observe à un phénomène qui lui semble incompréhensible : une équipe qui joue mal et dont les joueurs changent tout le temps gagne tous ses matchs !

Et c’est ma troisième leçon : lorsque vous aurez décidé de ne pas respecter des règles implicites qui n’ont aucune raison d’être respectées si ce n’est la force de l’habitude, lorsque vous aurez accepté de prendre des risques que personne ne prend tout simplement parce que vous avez compris que ne pas prendre de risques est, paradoxalement, plus risqué, et bien, à ce moment-là, vous essuierez un feu de critiques. Vous ne serez pas félicité pour vos succès mais vous serez accueilli avec une incompréhension totale.

La stratégie de Marc Wilmots deviendra probablement une norme dans le football moderne. Les critiques seront oubliées et peut-être sera-t-il perçu comme un visionnaire.

Alors tenez bon ! Car, dans quelques années, seuls vos succès resteront dans les mémoires.

Photo par Jared Polin.

Merci d'avoir pris le temps de lire ce billet librement payant. Pour écrire, j'ai besoin de votre soutien. Suivez-moi également sur Twitter, Google+ et Facebook !

Ce texte est publié par Lionel Dricot sous la licence CC-By BE.

flattr this!

by Lionel Dricot at June 27, 2014 12:43 PM

Xavier Mertens

Hack in Paris 2014 Wrap-Up Day #2

Hack in Paris stageAnd we are back to the Disneyland conference centre for the second day of Hack in Paris… It looks that the night was very short for many people (who hacked all night long?) because the planning started with a delay!

The second keynote was presented by Jayson E. Street. Like Winn who presented the opening keynote yesterday, Jayson is a regular speaker and comes always on stage with interesting ideas. This time, his talk title was “Around the World in 80 Cons!”. Last year, the talk was more technical (about spear phishing), this year it’s more about the “community”. Jayson likes to travel but not like a classic tourist. He like to meet people. A few months ago, he had the idea to make a survey about how hackers and the hacking culture is seen in different regions. What are the different culture around the globe? He started by reviewing some charts and numbers from different incident report papers released by vendors. The way information is presented can clearly have an impact on our views. That’s why disclaimers are important. The numbers presented are only a “tip of the iceberg” and my reveal false ideas about some countries.

Jayson on stage

Think about China. They are often accused:

In the same reports, even neutral or pacific countries are hosted hostile servers (C&C). Then Jayson reviewed the results of his survey which was based on three main questions:

The following regions were covered: Asia, Europe, South America, Africa, Middle East and North America. One fact: it seems that in most areas, hacking remains assimilated to crime. People came to hacking from different landscape and for different reasons (ex: some had to evade nation states’ controls). But, all are sharing the same passion for information security. Note that hacking is not new and famous hackers are:
Famous hackers

Another fact, hackers aren’t … equally to other criminals. Jayson resumed the situation with two slides which compared years of jail for hacking related crime and traditional crime performed by really bad guys (murder, rape, …). Hackers are sentenced up to 20 years of jail. Other criminals get between 3 to 6 years! Think about Aaron Swartz story! The perception of hacking is very important. Why are hackers always shown in dark rooms wearing black sweats? The media have a major impact on how hackers are seen. It’s also our role to “be a voice” and broadcast the right message about what hacking really is. Also, think about the future, our kids must understand what hacking is and be aware! It was an awesome keynote (as usual for Jayson).

Mario Heiderich started today’s set of talks with one about JavaScript MVC or “Model View Controller”. The website describes it as an open-source framework containing the best ideas in jQuery development. Why speak about this? Because such frameworks become more and more popular, but are they really secure? Their usage is clearly growing. They are written in JavaScript and are huge and complex.

Mario on stage

They allow lot of crazy stuffs that change ways how developers work with JavaScript (you don’t work in the classic way – interfacing with browsers). Amber, KnockOut, Ember are well known frameworks. On the websites, we can find lot of marketing messages like “they increase productivity”, “they are simple and intuitive“, etc. With some examples, Mario showed how it is possible to write apps with only a few lines of code. Then, he demonstrated how code execution is still possible. eval() remains intensively used. This talk was presented during an OWASP Belgium chapter meeting and I already covered it here.

After a short coffee break, we go further with Alvaro Alexander Soto who presented “Extreme Forensics Reloaded 2Q/2014”. The goal of the presentation was to explain how to work beyond traditional forensic tools. Digital forensics evolved from PC’s to cloud computing.

Hard drive forensics

New tools and software must be developed to face all the cases. By the way, if you deploy a forensic lab, Alvaro recommends to make it ISO 17025 compliant (which will make it compatibe with scientific procedure). Forensics tools and procedures must evolve with all new technologies (which are more and more complex). Some future paths were reviewed by Alvaro:

Of course, new tools must also b deployed:

Alvaro make an interesting demonstration of a tool to read data from a broken hard drive. One think to keep in mind: modern tools are able to make some “magic” and read data from corrupted or broken devices, it looks awesome. Finally some recommendations if you are busy with forensics investigations:

Due to a last minute change in the planning, “Plunder pillage and print” was presented earlier by Deral Heiland and Pete Arzamendi, both are pentesters at Rapid7. Their topic focused on “MFP” (Multi Function Printers). All started with a fact: What want pentesters? Usernames and passwords to get “sheeeeeells” or course!

Abusing MFP

In 2010 they owned some printers and got access to Windows AD user accounts with a success rate of 10-15%. In 2014, the security did not change and chances to find juicy information is even higher. Why?

First step: plunder! What can we expect from such printers? Via the web interface, we have access to interesting data depending on the printer models:

Step two: pillage! Printers need to communicate with users. Why not try to perform an adress book extraction attacks (usernames, email addresses and passwords!) Two examples were described by the speakers:

Then, another type of attack was explained: The “pass-back-attacks”. It targets printers which support authentication services like LDAP. Once connected to the printer web interface, change the LDAP server address to ours and trigger a LDAP query: credentials sent to us in clear text! Up to now, most examples in this presentation were not high level. The speakers were just asking the printer to give us some information. The next demo targeted Xerox printers. A rogue document was created and once sent to the printer over port 9100 (JetDirect), a root shell is started to a remote netcat listener. Amazing! The next step was of course to automate the attacks. To achieved this, a new tool has been developed and is called Praedasploit (Praeda + Metasploit). It works in four steps:

Some modules have already been created like a Xerox LDAP pass-back module or a Konica address book extract module. The tool is available here if you’re interested. So how to protect against such attacks?

As you can see, there is nothing brand new right? This is exactly what was discussed yesterday during the talk about “BPT” (Basic Persistent Threat)!

After some junk food with friends, Sebastien Andrivet started the last set of talks with “C++ 11 Metaprogramming technics applied to software obfuscation”. As introduction, Sébastien made an awesome video looking like an Hollywood movie trailer, awesome!

Sébastien on stage

What’s the problem with obfuscation? He started with a demo of a well-known MDM (“Mobile Device Manager”) client used normally to enforce the security of a device. Sebastien demonstrated how easy it is to find the code responsible of jail break detection. How? Just be searching the string “Cydia” (the well-known alternative app market for jailbroken devices) in the code, it’s quickly solved. The application is just searching for some well-known application. If one if found, the device is considered as  jailbroken. Easy to patch and return always “false”. That’s why obfuscation can be helpful even if the principel of “security by obscurity” is not considered as the best one. The goal of obfuscation is to create code that can’t be easily understand. How be transforming the source code or the binary code. Sebastien explained how to use C++ instantiations to obfuscate the code. He reviewed C++ templates and why they will be helpful in the obfuscation process:

Then demonstration with details followed:

I’m not a developer and some concept were too complex for me but the principle looks very interesting!

The next speaker, Cyril Brunschwiller talked about “Energy Fraud and Orchastrated Blackouts: Issues with Wireless Metering Protocols (wM-Bus)”. After a quick review of the Smart Grids architecture, Cyril explained why Smart Metering will be mandatory in a near future.

Cyril on stage

Collerctors are part of the infrastructure and support multiple protocols (GPRS, Ethernet, WLAN, WiMax). Meters are talking to collectors. Wireless M-Bus is used to exchange information between the collector and the meter. It’s used across Europe (15M devices deployed today). Cyril explained the different layers of the protocol with frame structures (with lot of details). Good news, encryption is available but is it properly implemented or “Are we safe using AES?” he asked. According to Cyril, no! He demonstrated how the encryption is badly implemented and could disclose interesting information for an attacker. As an example: Encryption packets are the same if there is no energy consumption. So, it’s easy to detect if somebody is at home or not. The integrity of packets can also be abused! Which means that potential attacks could introduce wrong tariffs or false reporting…

He performed some demonstrations of energy fraud. There exists sender sniffer and simulator devices which is handy for demos and labs. The first demo was re-injecting an old packets into the network. It was accepted! The scond one was replacing the device string ID with a funny one: “Hack in Paris“. But more critical scenario could happen: What about war-driving into a city and broadcasting disconnect messages to smart meters? Think about this! We are close to Die Hard 4! If you’re interested, have a look at Cyril’s blog for more info.

The last talk was presented by Solomon Sonya: “Splinter the RAT Attack: Create your Own Botnet to Exploit the Network”. Solomon’s motivation for this talk were multiple: network defense is always behind! It’s very difficult to address emerging threats.

Anatomy of an attack

First, Salomon reviewed some botnet terminology:

The concept of dropper is to be as smallest as possible (exploit, malicious PDF, SE toolkit, malicious insider, …) and install the implant. Then Salomon explained the principle of the “Beacon bot“: to minimise footprint and detection on the network (by avoiding very long sessions like MetaSploit does). It works with the following steps: wake up, check-in, download & execute commands, sleep, recurse.

Salomon performed lot of demos of his own botnet:

Nice research and good presentation, the code is available here.

And finally, to close the event, we had a very interesting (and unique!) panel with the following people:

The moderator was Winn Schwartau and the (hot) topic: “Global surveillance: Security VS Privacy“. Immediately, we saw that the panel was split in two camps: the pro-privacy and the pro-security. In fact, there was three camps: Annie & Hans defended the privacy, Dave defended the security and Eric, due to his current position (working for the French Gendarmerie Nationale), was a little bit in the middle…

Security VC privacy panel

As expected the debate was intense and both parties had great arguments in favor on privacy or security. There was interesting questions from the audience. Hopefully, the key point for all the panelists was the same: We need more transparency!

This is over for me, I’m already back in Belgium. Unfortunately, I won’t attend the 2014 edition of la Nuit du Hack. Thank you to Sysdream for the great organization and see you next year…

by Xavier at June 27, 2014 06:54 AM

June 26, 2014

Frank Goossens

WordPress-as-a-service tip: Flywheel

flywheelAt work I was asked to provide advice on WordPress hosting. As we don’t have in-house LAMP-experience and as I didn’t want to have to take care of server operations myself (been there, done that), I decided to look into WordPress as a service solutions. To make things a tad more complicated, hosting had to be in a European data-center as we wanted optimal performance for our local customers and as our Privacy Officer requires all company data to be in Europe.

I contacted several US companies, but eventually Flywheel came out on top; they confirmed they could host in Europe (Amsterdam), seemed pretty eager, had a great package and they could provide me with a test-account to play around with their solution. And so I did; I set up a stock WordPress 3.9.x with Autoptimize and WP YouTube Lyte (call me prejudiced, but I like my own plugins), imported a bunch of posts from this blog and had WebPageTest be the judge.

The results were quite impressive;

Document Complete Fully Loaded
Load time First byte Start render DOM elems Time Reqs Bytes In Time Reqs Bytes In
First View (Run 3) 0.457s 0.120s 0.292s 926 0.457s 4 73 KB 1.008s 12 152 KB

0.120s until first byte, 0.292s start render and 0.457s doc complete? Sweet! So yeah, given those numbers, their offering and the fact they can deploy to a datacenter in Europe I do think Flywheel is a great choice for those who are looking for WordPress-as-a-service (well, PAAS really) solution!

by frank at June 26, 2014 09:48 PM

Xavier Mertens

Hack in Paris 2014 Wrap-Up Day #1

HIP Main RoomToday started the 2014 edition of Hack in Paris, a French security conference held in Disneyland Resort Paris – a very nice place for such kind of event! The conference started with a sunny sky over the conference centre in the New York hotel. I arrived just in time to register and to grab some coffee. Here is my wrap-up for the first day. Happy reading!

The opening keynote was presented by Winn Schwartau, a regular speaker at HIP! This time, he spoke about “Beyond Information Warfare: Hack Early, Hack Hard”. The main message delivered by Winn was: “We are still defending against the past. To defend, you have to know how to attack”.

Winn's Keynote

As explained by Winn, he grew up “analog” (read: with no bits nor bytes). At the beginning, he had to build everything by his own. In the nineties, the message broadcasted by authorities was: “No, we don’t have to worry about hacker!”. The government was there to protect us. Some predictions from 1991:

Everybody thought  that it will never happen and guess what? Today, we have a convergence between privacy and security based on three domains: cyber, physical and… people! Winn’s message was to focus on future stuff. Ok, XSS or SQLi are still a major threat but it’s old techniques. We must focus on the next generation or we’ll loose. We have a life cycle curve of technology containing the following steps:
  • The initial idea
  • Test/lab
  • Commercial
  • Consumerize
  • Adapt malware
  • Hostile
  • Weapons
Some examples of evolving technologies that we could further test: chat bots (calling computers), autonomous driving cars and, of course, mobile devices. They follow the same path as our first generation computers, they are facing the same issues. The story repeats again and again with the same failure … that we already know! Winn used a nice acronym: “IoT” is not the “Internet of Things” but the “Internet of Terror” ;-). Another example? UAV’s (or drones): companies start to develop nice services using drones (like pizza delivery) but who evaluated the risks? Starting from simple devices, we add more and more features and they become unsafe. Think about old mobile phones: we added texting features (SMS), then they connected to the Internet (TCP/IP stack added), became PDA’s and today they replace computers for most of our tasks. Winn’s conclusions: We are making the same mistakes again and again. Security must be addressed at the early stage of a new technology development. Avoid the “we’ll fix it later” or “Don’t worry, we’ll be fine”.

The first regular speaker was Paul Coggins with a presentation called “Digital Energy – BPT”. If Winn explained in his keynote that we must look further and take care of new technologies, Paul explained how critical infrastructures are still owned today using old fashioned attacks. For me, the keynote and this talk went in opposite directions.

Paul on stage

The fact that critical infrastructure are easily compromised today is called “BPT” or “Basic Persistent Threat” (at the opposite of APT). Most critical infrastructures suffer of very basic security issues: Internet access is available at multiple levels, default passwords are used, vendors need remote access, … It’s not uncommon to see a dual-home Windows box used between a corporate and a SCADA environment. Paul reviewed some (nightmare) stories where infrastructure were compromised using simple attacks like:

Paul finished his presentation with some recommendations to improve your network security. Nothing brand new intact: implement MPLS & VRF for management networks, implement 2FA, log everything, strict policy, ACL, strong remove vendor access, etc… Even better is an out-of-band management network. This talk did not bring new stuff…

After a first coffee break, Thomas Lei Wang, from Baidu – the Chinse search engine, presented “Breaking Through the Bottleneck: A look at mobile malware spread”. The talk started with an impressive number: Mobile threats increased by 957% over past year! The top goal of malware developers is to steal money (71%). Our mobile devices have money and privacy. It can be very harmful if compromised.

Mobile Malwares Stats

The goal of the presentation was to describe how malwares spread? Thomas reviewed 12 (!) ways:

  1. via an official app store (ex: Google Play). By example, DropDialer.A evades Google controls and download a new package once installed.
  2. via a 3rd-party app stores (ex: softandrtoid.ru)
  3. via a text message (ex: Worm!Samsapo.A send SMS with a link to a malicious package)
  4. via femtocell (ex: FakeCMCC.A)
  5. via QR code (ex: JiFake.A)
  6. via Bluetooth (ex: Obad.A)
  7. via 3rd-party ROMs (ex: Oldboot)
  8. via Social networks (Opfake.B) Facebook / Twitter
  9. via Mobile Ad Network (BadNews.A)
  10. via IM (Priyanka)
  11. via drive by download (compromised website) NotCompatible.A)
  12. via USB (Droidpack.A@Windows -> FakeBank.A@Android

To summaryze the talk: malwares spread via different techniques across regions/countries. The main infection vector remains the 3rd party app sotres and forums, femtocell increases rapidly and USB is the most dangerous way! If you want to have a look at some malicious code for mobile phones, Thomas has an online archive containing all the malware samples mentioned in his talk: hxxp://pan.baidu.com/s/1c06E7T2 (password: HIP2014Thomas). This talk was very interesting!

 Then Joseph Pi Rodriguez & Pedro Guillen Nuhez presented “Fuzzing, reversing & maths”. The talk title was not clear because they focused their research on backup solutions and more precisely the communications between clients and servers. Why backup solutions? Because it’s a critical component of IT infrastructure, all companies have one and they are sold as a security product (they are trusted). A first remark: vendors of backup solutions do not focus on security!

Fuzzing & Maths

Joseph & Pedro found a lot of 0-day vulnerabilities and contacts with vendors were not very successful. The explained in details how they reverse engineered different solutions and found interesting vulnerabilities. The “victims” were:

Backup solutions are interesting targets for attackers. Why? Usually, they contain sensitive data (copy of all files). They are trusted in the infrastructure. They can execute commands when backup are completed. They presented several demos to abuse client/server authentication processes, to list files from the C: drive or even make a permanent DoS!
After a cool lunch break in Disney Village, Francis Alexander presented “Pentesting NoSQL Exploitation Framework”. The talk started with a review of NoSQL DB features. Francis reviewed different flavours of NoSQL from the open source landscape and how they can be abused. If you’re interested, have a look at the framework developed by Francis: “NoSQL Exploitation Framework” available at www.nosqlproject.com.
Francis on stage

Krzysztof Kotowicz, working for Google, presented his research about JavaScript crypto:  “Bitting into the forbidden fruit, lessons from trusting Javascript crypto”. It started with a question towards the audience: Who think that doing crypto is JS is a good/bad idea? A lot of people already discussed about this topic but Krzystof performed his own research. Usually, Javascript crypto considered harmful:

JS Crypto History

Some examples of applications using JavaScript crypto? We have crypto.cat, mailvelope.com or openpgpjs.org. The talk was a complete demonstration that the language has many weaknesses which impact crypto operations. The process was:

JavaScript has many weaknesses like this one:

Math.min() > Math.max()

Developers don’t use types and this could cause problems with crypto. Cryptocat was given as an example. Krzysztof explained how a user  “__proto__” could break the chat! JavaScript has also silent errors and out of bound array access to not throw an error! The next issue is the context within JavaScript code is execute: in the browser! It runs in a JS engine with different API’s, different restrictions/policies (Same Origin Policy, iframe sandbox, etc). Browser have a nice attack surface (network stack, HTML parser, JS engine). For JS crypto, the browser is the OS and the browser security = host security. With a difference: the application delivery: we don’t install websites like apps. For Krzysztof, the best way to reduce the attack surface is to run JavaScript crypto code as a browser extension! This was a very good talk, very didactic!

After the afternoon coffee break, John Butterworth came to talk about UEFI (“Unified Extensible Firmware Interface”). His talk title was “Defeating UEFI/Win8 secure boot”. Old PC’s use a BIOS to initialize the system and boot the OS. This BIOS is very old and lack of security controls but modern platforms implement controls to protect the firmware.

John on stage

UEFI BIOS is the successor of the classic PC BIOS. It implements a feature called “secure boot”. The security is better but it cannot prevent the inimitable malicious write to the boot loader. John explained deeply how secure boot can be abused. Starting with Windows 8, Microsoft provides an API to interact with secure boot. Here are some attack scenario’s explained by John:

The talk was very very technical and slide presented very quickly, very difficult to follow.

Finally, Thomas Roth presented “ARM Arch64 – writing exploits for the next ARM architecture”. Thomas is one of those guys who have a very strong knowledge of their topic. He reviewed the new ARM 64bits architecture and how to write exploit for this kind of CPU. I was lost ;-)

ARM CPU History

And, this is it for the first day, stay tuned for the second day!

 

by Xavier at June 26, 2014 05:20 PM

FOSDEM organizers

FOSDEM 2015: 31 January & 1 February 2015

FOSDEM 2015 will take place at ULB Campus Solbosch on Saturday 31 January and Sunday 1 February 2015. Further details and calls for participation will be announced in the coming weeks and months (likely around the end of August). Have a nice summer!

June 26, 2014 03:00 PM

FOSDEM 2015: 31 January & 1 February 2015

FOSDEM 2015 will take place at ULB Campus Solbosch on Saturday 31 January and Sunday 1 February 2015. Further details and calls for participation will be announced in the coming weeks and months (likely around the end of August). Have a nice summer!

June 26, 2014 03:00 PM

June 25, 2014

Lionel Dricot

La véritable richesse

cart

À travers l’histoire de l’humanité, on observe que la notion de richesse évolue de manière constante. Pour chaque besoin, la richesse se définit d’abord comme avoir assez pour survivre. Puis beaucoup, trop et, enfin, plus du tout. Les classes pauvres suivent la même évolution avec un temps de retard sur les riches qui ont elles-mêmes un temps de retard sur les très riches.

Ce temps de retard entraîne une recherche perpétuelle de la pauvreté dans l’illusion d’une vaine recherche de richesse. Notre société est donc axée sur la recherche de la pauvreté maximale.

La nourriture

Pendant des millénaires, ne pas connaître la faim et disposer d’assez de nourriture était le privilège d’une minorité puissante, les riches. Comme semble l’indiquer la Vénus de Willendorf, les humains capables de s’engraisser étaient considérés comme un idéal sans doute inatteignable pour la grande majorité. Avoir beaucoup à manger était un signe absolu de richesse, de pouvoir. Quelques millénaires plus tard, les orgies permettaient aux riches romains de démontrer qu’ils avaient trop à manger ! Ce symbole de richesse s’est perpétué jusqu’à nous et à nos grands-parents voire nos parents pour qui une fête ne s’imagine pas sans « trop manger ».

Mais le productivisme du vingtième siècle a brusquement amené une nouvelle notion : tout le monde peut à présent trop manger. Et si être gras représente un atout dans une société où les famines sont courantes, cela représente un handicap dans une société où la faim a presque disparu mais où l’on peut espérer vivre centenaire.

En quelques décennies à peine, une fraction de seconde à l’échelle de l’histoire de l’humanité, l’idéal de richesse s’est soudainement transformé. La nourriture écœure. Les riches veulent avoir un corps respirant la santé et font des régimes. Ils mangent moins. Payent pour exercer une activité physique, cette dernière ayant été durant des siècles l’apanage des classes populaires. Par réaction, l’idéal féminin devient squelettique avant de se rééquilibrer doucement. La grande cuisine se définit comme d’immenses assiettes vides où se perd une microscopique feuille de salade. Quand à l’obésité, elle devient le symptôme le plus visible de la pauvreté. Trop manger est un réflexe de pauvre.

Les biens matériels

Lorsque l’humain commença à abstraire la notion de richesse, un homme riche pouvait transporter toute sa fortune avec lui : coquillages, outils, colliers d’os. Au fur et à mesure de la diversification des besoins, les riches firent construire des habitations de plus en plus grandes afin d’héberger leurs biens matériels de plus en plus variés et de plus en plus nombreux.

Par réflexe, les pauvres firent de même, accumulant tout ce qui pouvait l’être. L’idée étant d’utiliser un bien si un jour cela s’avère nécessaire ou de le revendre.

Mais, encore une fois, le productivisme a changé la donne. Jetez un œil sur des photos de maisons de riches. Ou dans un catalogue de maisons très chères conçues par des professionnels de la décoration. Ce qui est frappant est le vide, l’absence de biens matériels, l’espace.

En effet, le coût de stockage est loin d’être nul. Un bien est encombrant, nécessite parfois de l’entretien, occupe de l’espace et, pire, se révèle coûteux à évacuer lorsqu’il est inutile ! L’accumulation de biens à également tendance à neutraliser tout bénéfice potentiel : on ne sait même plus qu’on possède un bien ou, pire, on ne le retrouve plus lorsqu’il est nécessaire. Il est donc bien plus confortable de n’avoir que très peu de biens et d’acheter ou louer ce dont on a besoin au moment ou on en a besoin.

L’accumulation de biens est donc un réflexe… de pauvres ! Une caractéristique que l’on retrouve encore une fois chez nos grands-parents dont les maisons se révèlent un cauchemar à vider. Les vides greniers se font d’ailleurs payer très chers. L’accumulation de biens appauvrit !

La possession d’un moyen de transport

Le fait que la possession d’un bien appauvrisse le propriétaire s’illustre parfaitement avec les moyens de transports.

Historiquement, un humain ne s’éloignait jamais plus de quelques dizaines de kilomètres de son lieu de naissance. Les riches possédaient des chevaux ou des esclaves qui leur permettaient de s’affranchir de ces contraintes et de commercer, de s’informer dans des contrées lointaines.

Le moyen de transport était donc une source d’enrichissement. À tel point que le fait de posséder un cheval devint le symbole d’une caste noble : les chevaliers.

La voiture succéda au cheval mais les fabricants automobiles conservèrent précieusement cette symbolique. La voiture est une richesse et un signe extérieur de richesse. À chaque classe de richesse correspond une marque automobile.

Mais ne nous y trompons pas : la voiture, avant toute chose, appauvrit son propriétaire à cause de son coût de fonctionnement extrêmement élevé mais astucieusement camouflé en divers postes très différents.

Les riches se vantent de posséder une belle voiture ? Mais jetons un œil du côté des très riches. Les très riches ont des chauffeurs et n’ont généralement que faire de la marque de leur voiture. Ils souhaitent aller d’un point A à un point B et ne s’occupent pas de la manière d’y parvenir tant qu’ils peuvent continuer leurs activités. Ce sont leurs employés qui s’occupent de ces détails.

La possession d’un moyen de transport est donc, subtilement, en train de devenir la marque d’une moins grande richesse. L’arrivée des voitures autonomes ne fera que confirmer cette tendance.

L’information

L’information suit exactement le même cycle. Tellement rare et inexistantes pendant des millénaires qu’un voyageur était généralement bien accueilli en échange du simple fait de raconter son voyage. Une profession est née autour du fait de transmettre de l’information : les troubadours itinérants. Car, oui, déjà à l’époque, information et divertissement se mélangeaient étroitement.

Aujourd’hui, l’information est tellement disponible que nous devons apprendre à la filtrer, à ne consommer que celle qui est pertinente. Un phénomène très bien compris des classes « riches » qui, depuis des décennies, emploient des personnes chargées d’effectuer ce travail sous forme de revues de presse, d’analyses, de rapports. Dernièrement, un métier a même vu le jour : celui de curateur. Les très riches vont jusqu’à s’isoler régulièrement en chargeant des secrétaires de les avertir en cas d’informations réellement pertinentes.

Les personnes intellectuellement riches apprennent à se concentrer sur l’essentiel alors que les « pauvres » sont assaillis de faits divers et d’anecdotes qui leur donne des poussées émotionnelles mais qui les empêchent de réfléchir et de garder le contrôle de leur vie. Comme pour le reste, l’information appauvrit. Se gaver d’informations diverses en temps réel est devenu… un symbole de pauvreté.

Le travail

Il est important de constater que l’appauvrissement des individus va de pair avec un appauvrissement général de la société. La surproduction d’aliments ou de biens matériels, le passage du tout à la voiture ont des répercussions écologiques mais également humaines profondes. La société toute entière s’appauvrit !

Il s’ensuit que production économique = pauvreté.

La recherche du plein emploi ou de la croissance économique est donc une recherche de la création de pauvreté ! Le travail est producteur de pauvreté !

C’est finalement très logique : nous pensons que pour être riche, il faut beaucoup de nourriture, beaucoup de biens matériels, une grosse voiture et beaucoup de travail. Or, quelle est la classe la plus oisive ? Quels sont ceux qui peuvent se permettre de ne pas travailler ? Les riches ! Quel est l’idéal d’une société riche ? Une société dans laquelle personne ne doit travailler ! Que feriez-vous si vous gagnez au Loto ? Pour beaucoup : arrêter de travailler !

L’erreur fondamentale

Il est effrayant de voir à quel point notre société se fourvoie. L’erreur est tellement fondamentale, tellement cruciale que la majorité refusera de l’admettre. Tout comme grand-maman refuse d’admettre que je n’ai plus faim, qu’une portion de plus ne me fera pas du bien, au contraire ! Il faut pourtant se rendre à l’évidence : nous sommes bel et bien en train de sacrifier nos vies pour générer plus de pauvreté ! Nous valorisons le travail qui n’est rien d’autre que notre propre destruction !

La raison, encore une fois, réside dans le simple choix de mauvaises observables : PIB, rendements économiques, salaires, taux d’emploi, heures de travail ne sont pas des indicateurs de richesse mais bien de pauvreté ! Nous sommes à tel point aveuglés qu’une hypothétique société idéale dans laquelle personne ne travaillerait nous fait peur !

Mais cette société idéale, nous pouvons déjà la commencer : en travaillant moins, en consommant moins. En arrêtant de glorifier le creusage de trous et en nous comportant, tout simplement, comme des riches. Finalement, les philosophes nous l’enseignent depuis des millénaires : la richesse n’est pas la possession mais l’absence de besoin.

Alors soyons paresseux, l’avenir de la société en dépend !

 

Photo par Pavel P.

Merci d'avoir pris le temps de lire ce billet librement payant. Pour écrire, j'ai besoin de votre soutien. Suivez-moi également sur Twitter et Facebook !

Ce texte est publié par Lionel Dricot sous la licence CC-By BE.

flattr this!

by Lionel Dricot at June 25, 2014 11:55 AM

June 24, 2014

Dieter Adriaenssens

File recovery using foremost

Quick note on using foremost to retrieve files from a harddrive with a faulty partition table :

sudo foremost -dT -i /dev/md2 -t jpeg -o /path/to/restore2/

This scans /dev/md2 hd, looking for jpeg files and puts the restored files in /path/to/restore2/
Foremost can retrieve a lot of different file types (including images, MS Office files, PDF's and zipfiles), look at the man pages for a complete list. It is also possible to define your own filters.

Modify (or copy first) the foremost.conf file and add a line  for every file type fe. :

ex1   y   4096000  \x50\x4b\x03          \x74\x78\x74
ex2   y   4096000  \x50\x4b\x03???\x44 \x74\x78\x74

where you specify :
The pattern can be in hex code or ASCII, use a ? as a wildcard for one character. In the second example above, a wildcard for 3 characters is added.

Now run foremost, using the custom config file :


sudo foremost -dT -i /dev/md2 -c /tmp/foremost.conf -o /path/to/restore2/

This scans /dev/md2 hd, using the rules in /tmp/foremost.conf and puts the restored files in /path/to/restore2/

by Dieter Adriaenssens (noreply@blogger.com) at June 24, 2014 09:04 AM

June 23, 2014

Wouter Verhelst

The art of soccer, and ivory towers

Twenty years ago, I was sixteen and in high school. The school at the time, if memory serves right, was the "Kunsthumaniora voor muziek en woord van het gemeenschapsonderwijs" in Brussels (which translates approximately to "art high school for music and word of the communal educational branch"... that's not entirely right, but it's late and I'm too tired to look for a dictionary). I was taking drama classes there. No, I'm not making this up. Except maybe the sixteen bit—I might be off by one or two years.

Hey, I did a lot of things during high school. Stop looking at me like that.

At one point in time during my stint in drama, a group of educational interns—the sort of people who would be teaching some sort of stuff somewhere after their graduation—cooperated with our school to come up with a whole day of classes around one subject. I'll never forget the title: "Can art rescue the democracy?" If that sounds pompous and silly, that's because it was. However, I was at art school, fer crying out loud, so I drank it up like it was cool-aid. Which it wasn't. It was worse.

At the end of the day (literally, that is), the educational interns had booked some hot shot art person for a debate. I've since completely forgotten his name. He must've been not that hot shot after all, since I never even once read anything about him in the next few years. Of course I can't exclude the most recent decade, not remembering him and all, but whatever. I also don't remember whether he was a hot shot art critic, a hot shot artist, or just some random hot shot person who writes about art, but doesn't actually do it himself. Whatever.

One of the main topics during the whole day was the point about how artsy people find it extremely difficult to define what art actually is. I mean, it's all they do all day, but they can't come up with a decent definition of the damn thing.

During the afternoon break, just before the debate with this maybe-sortof-semi hot shot art person, I walk around the playground and think about the whole thing. And come up with some personal definition of art. My definition.

As the time of the debate comes up, the hot shot art person sits in the front of the gym behind some table, and the whole school (literally) is sitting in chairs in the rest of the gym. Some questions are asked. Many of those are just shot down.

At some point, I raise my finger when it's asked if anyone has further questions. I walk up to the microphone. I ask him:

"Could we maybe define art as that thing that, though it might be easy to reproduce, in no case is easy to produce?"

He sits (he never got up, really). He thinks. I stand, and wait. After a few seconds of this, he answers. He seems impressed. His reply is something along the lines of "that's not a perfect definition, but it's pretty good. There's a lot to be said for that, and I urge you to write about art when you grow older".

I never followed his advice. I got a bit more interested in art, but quickly found out that art consists of one group of people who spend their time doing things other people find pretty, and another group of people who spend their time doing things that makes other people "think", whatever that is. They may not have a brain, they may be silly as hell, but they still want to "think". It's not for me, it's never been. Art, that is -- not the think bit. That is something I don't mind doing.

Don't get me wrong. I still like art. I like going to museums from time to time; I like the performing arts. I mean, I play the flute. Not the piano, not the guitar, not the flipping drums, the flute. Which I like, for what it's worth.

But if the intent is to make people think, there are better ways to do that. If I want to make people think, I'm not going to make some obscure object that may or may not have a message, in the hope that a millionaire with no better use for his money would buy it just to make his friends jealous, after which he's going to put it in a safe for a few years so he can sell it at a higher value. Without thinking about it. If I want to make people think, I'm not going to write a play or piece of music that's so obscure it will make people all confused, so they can fill their evening afterwards drinking cocktails at a reception, claiming it was all nice and thought-provoking, quoting little parts of it to people they've never met, just so they can make their social status look more than it actually is.

Good thing I never finished drama school, I suppose.

No, if I want to make people think, I'll try doing so where it actually matters. Like, say, in politics. Not that I have any political ambitions, mind you. But I think the answer to that question of twenty years ago should be a firm "no." Art cannot rescue democracy. Not if they don't have a lot of interesting things to say to anyone but themselves. Maybe the reverse is true, though; maybe democracy can rescue art. Not that I care much.

Why is all this relevant today?

A few days ago, as I was driving somewhere, there was some show on the radio relating to the current exploits of the Belgian national soccer team. There are a lot of them these days. Radio shows about that subject, that is—not Belgian national soccer teams. I suppose having a lot of competition makes it hard to find a new angle to come up with, and still keep things interesting. I also suppose having a lot of stuff going on about that squad gets people annoyed if they're not the least bit interested. I suppose that could be a new angle. Presumably that radio host supposed the same, because he'd been looking for, and asking questions of, people who didn't like soccer and who weren't going to watch the match. Most of them said they weren't interested and added one or two words about what they were going to be doing instead.

One of them said that "they" would be better off spending money on "art and culture", rather than on soccer. No, I don't know who "they" were, he didn't say. Never mind that, let me go on now.

I don't know who this dude was; they—the radio people—didn't say. He sounded like someone between 50 and 65, and had a somewhat tenor-y voice. I suspect he had two kids, and a mercedes. Yes, I just made that up. The part about the kids. And the car. No, it doesn't matter. But it's still likely. He sounded like that sort of guy.

Whoever this dude was, though, I'd like to just say one thing: Dude, you're an idiot. There's a time and a place for everything.

The time and place for art is "everywhen", and "in any random art gallery, opera house, or theatre, out of the public eye". Not because the rest of us doesn't want to deal with art, but because artsy people like it that way. They like to feel all pompous and important, and therefore use difficult words. Words that nobody except those along with them in their ivory tower like to use. Words that don't actually mean anything. But in doing so, they make this Art thing uninteresting to look at for people who don't care about their pompous and silly words. And strengthen the walls of their ivory tower. Only to complain later on that nobody ever shows up at art galleries, and that the really good ones keep going out of business.

The time and place for the world championship soccer is "once every four years", and "everywhere". Not because soccer people want to annoy you—although, yes, I'll grant you that the KBVB has gone a little overboard with the merchandising this time around—but rather because it's so simple. You kick the ball, and you hit the goal. There, done. Everyone can do it. Yes, true, there are some pompous people talking about it on TV, too. And yes, true, some people are better at it than others. But nobody claims you can't do soccer unless you're part of the "in" club. There are plenty of people who claim you can't do art unless you are. And if everyone can do it, then everyone can understand it. If you can understand it, it's easier to enjoy it. This is why so few people enjoy cricket or baseball outside of the few countries where it's popular.

That's also why so few people enjoy art: because you make it so difficult. And people just don't care. They want to be entertained.

I'm not saying that soccer is the best sport in the world, or that watching it is the most entertaining thing one can do. It isn't. In fact, beyond the national team, I'm not really following it all that well myself. If through some weird spacial anomaly the world championship would suddenly cease to exist and I would be the only person alive remembering it, I don't think I'd spend a lot of time trying to get it back.

But don't compare it to art. Because, well, in the grand scheme of things, neither of those two really matters all that much.

That is all.

June 23, 2014 11:31 PM

June 22, 2014

Serge van Ginderachter

New GPG Key

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1,SHA512

Date: 22 JUNE 2014

For a number of reasons[0], I've recently set up a new OpenPGP key,
and will be transitioning away from my old one.

The old key will continue to be valid for some time, but i prefer all
future correspondence to come to the new one. I would also like this
new key to be re-integrated into the web of trust. This message is
signed by both keys to certify the transition.

the old key was:

sec 1024D/0x8CC387DA097F5468 2004-07-14
Key fingerprint = 0FAC 6A6C D9D5 134C C87E 4FF3 8CC3 87DA 097F 5468

And the new key is:

sec 4096R/0xD08FC082B8E46E8E 2014-06-22 [expires: 2019-06-21]
Key fingerprint = F744 94B0 7042 6B14 BB90 D283 D08F C082 B8E4 6E8E

To fetch the full key from a public key server, you can simply do:

gpg --keyserver keys.riseup.net --recv-key

If you already know my old key, you can now verify that the new key is
signed by the old one:

gpg --check-sigs 0xD08FC082B8E46E8E

If you don't already know my old key, or you just want to be double
extra paranoid, you can check the fingerprint against the one above:

gpg --fingerprint 0xD08FC082B8E46E8E

If you are satisfied that you've got the right key, and the UIDs match
what you expect, I'd appreciate it if you would sign my key. You can
do that by issuing the following command:

**
NOTE: if you have previously signed my key but did a local-only
signature (lsign), you will not want to issue the following, instead
you will want to use --lsign-key, and not send the signatures to the
keyserver
**

gpg --sign-key 0xD08FC082B8E46E8E

I'd like to receive your signatures on my key. You can either send me
an e-mail with the new signatures (if you have a functional MTA on
your system):

gpg --export 0xD08FC082B8E46E8E | gpg --encrypt -r '$your_fingerprint' --armor | mail -s 'OpenPGP Signatures' serge@vanginderachter.be

Additionally, I highly recommend that you implement a mechanism to keep your key
material up-to-date so that you obtain the latest revocations, and other updates
in a timely manner. You can do regular key updates by using parcimonie to
refresh your keyring. Parcimonie is a daemon that slowly refreshes your keyring
from a keyserver over Tor. It uses a randomized sleep, and fresh tor circuits
for each key. The purpose is to make it hard for an attacker to correlate the
key updates with your keyring.

I also highly recommend checking out the excellent Riseup GPG best
practices doc, from which I stole most of the text for this transition
message ;-)

https://we.riseup.net/debian/openpgp-best-practices

Please let me know if you have any questions, or problems, and sorry
for the inconvenience.

If you have a keybase account and if you are into it, you can also check my
keybase page[1].

Serge van Ginderachter

0. https://www.debian-administration.org/users/dkg/weblog/48
1. https://keybase.io/svg

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1
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=evlZ
-----END PGP SIGNATURE-----

by Serge van Ginderachter at June 22, 2014 01:07 PM

June 20, 2014

Wouter Verhelst

Supporting the eID

Since about a month, I've been working for a customer whose customer is FedICT, and am now helping out with maintaining the official software for the Belgian electronic ID card (eID). One of the first things I did was revamp the way in which the official Linux binaries are built and distributed, and also made work of the (somewhat overdue) new release for Linux.

Previously, the website contained downloadable packages for a number of distributions: two .deb files (one for i386 and one for amd64, for all .deb-based distributions), and a number of RPM files (one each for fedora 15, 16, and red hat enterprise 5, also for both architectures).

The builds as well as the supported distributions were somewhat outdated. This was a problem in and of itself, as eID cards issued since March 2014 are signed by the new government CA3 certificate rather than the older CA2 one, which required minor updates for the middleware to work. Since the Linux packages available on the website predated the required change, they wouldn't work for more recent cards.

Moreover, the actual distributions that were supported were also outdated—Fedora 16 hasn't been supported in over a year by the Fedora project, for instance—and there was a major gap in our list of supported distributions, in that openSUSE RPMs were not provided.

If you check out the install on Linux pages now, however, you'll see that the installation instructions have been changed somewhat. Rather than links to packages to install, we now pass you an 'eid-archive' package that you can install; this package adds relevant configuration for your distribution, after which you can install the packages you need—eid-mw for the PKCS#11 library and the firefox and chrome plugins; eid-viewer for the graphical viewer application to view and possibly print data from your id card.

Apart from the fact that there are now repositories rather than just single-file downloads, the repositories (and in case of RPM packages, the RPM files themselves) are now also signed with an OpenPGP key. Actually, they are signed with two OpenPGP keys; the first one is for officially released builds (i.e., builds that have seen some extensive testing before they were deemed "working"), while the second one is for automatic builds that are generated through a continuous integration system after each and every commit. These untested packages are also in a separate repository that is disabled by default. In addition, there's also support for openSUSE now—which required more work than I expected, but wasn't a major problem.

Enjoy!

(for clarity: while I now work at FedICT, there's an obvious reason why I'm publishing this on my blog and not on any .belgium.be website—don't assume this is an official Belgian message or anything...)

June 20, 2014 12:12 PM

June 19, 2014

Frederic Hornain

[ManageIQ] The wait is over. ManageIQ is now open source!

ManageIQ2

The wait is over—ManageIQ is now open source!

http://manageiq.org/




To see more video, please go to http://manageiq.org/documentation/top-tasks/
Frederic


by Frederic Hornain at June 19, 2014 02:42 PM

Lionel Dricot

Vers la fin de la publicité ?

noads

Le paradoxe Google

Depuis quelques temps, je dis que Google est devenu son principal concurrent. Dans la recherche en ligne, core business historique de Google, le problème est évident à cause des pubs : soit le moteur de recherche de Google est très bon et le premier lien correspond à la pub affichée (donc la pub est inutile) soit ils ne correspondent pas et cela signifie que Google n’est pas bon.

Disons que je cherche « Acheter chaussures les moins chères ». Le premier lien affiché par Google est CheapShoes. Mais une pub s’affiche pour NotSoCheapShoes.

Si CheapShoes est bien le moins cher, la pub est trompeuse et me fera perdre ma confiance en Google et je vais acquérir le réflexe d’éviter à tout prix les annonceurs. Si NotSoCheapShoes est moins cher, alors c’est que le moteur de recherche n’est pas parfait en me renvoyant CheapShoes. Et si les deux liens sont les mêmes, c’est que la pub était inutile. Dans tous les cas, Google et les annonceurs sont perdants. C’est d’ailleurs pour cette raison que j’estime le concept de SEO comme condamné à termes. Le SEO n’est en effet qu’une exploitation des défauts de Google, défauts que Google corrigera avec le temps. Dans le monde de Google idéal, lorsque je cherche « Acheter chaussures les moins chères », Google me trouvera les moins chères indépendamment de toutes les optimisations SEO des différents vendeurs.

Et si Google vendait du vent ?

Google a perçu ce conflit d’intérêt depuis très longtemps et s’est diversifié en affichant des pubs ailleurs. Google a été jusqu’à développer Android dans le seul but d’afficher des pubs sur votre smartphone. Mais il s’avère que, en grande majorité, les pubs sur Android ne sont pas des pubs destinées à vendre. Leur seul et unique rôle est de vous ennuyer pour que vous passiez à la version payante de l’app. Je considère cela comme un véritable racket immoral : “Paye ou on continue à te pourrir la vie”. Cette fonctionnalité d’Android est même devenue un moment l’un des arguments majeurs en faveur de Apple. Google a donc effectué un véritable travail de reconversion pour qu’Android devienne, comme iOS, une plateforme de consommation (musique, jeux, livres, films) et non plus un support publicitaire.

En dernier lieu, il reste les pubs sur les sites (AdSense). Mais, ô surprise, une étude semble démontrer qu’elles ne sont peut-être pas du tout efficaces. L’observable utilisée (le clic) ne serait absolument pas liée au désir d’achat.

Ça me fait plaisir de le lire car ça fait des années que j’en ai l’intuition sans pouvoir le démontrer. Le but d’une pub est d’être vue, pas d’être cliquée. Rémunérer les supports au clic est donc une belle manière d’entuber les supports (10.000 personnes ont vu la pub mais seulement 100 ont cliqué, par inadvertance, donc on te paie 100).

La dramatique absurdité de la publicité inefficace

Cette situation entraîne plusieurs problèmes. Premièrement, les sites qui affichent de la pub font désormais tout ce qui est en leur pouvoir pour faire cliquer les gens, même de manière malhonnête (le faux bouton pour fermer la pub par exemple). Et les contenus deviennent les plus courts possibles. Je me répète mais, lorsque que nous choisissons une mauvaise observable, nous pervertissons le système et obtenons une situation absurde. Un site qui affiche de la pub n’est pas un site qui cherche à apporter de la valeur à ses lecteurs, c’est un site qui cherche à leur faire acheter quelque chose.

Mais le problème de la publicité est bien plus large que quelques conflits d’intérêts : le web devenant de plus en plus important, il n’est plus juste un point de passage avant d’aller faire ses courses dans un vrai centre commercial comme l’espéraient les publicitaires. Une personne qui passe sa journée sur le web, qui est bombardée de pub pendant 12h ne pourra pas honorer toutes les pubs. Elle s’achètera un sandwich et, une ou deux fois par mois, quelques vêtements et accessoires high-tech mais guère plus.

Ces achats sont de moins en moins suffisants pour financer tous les sites visités pendant la journée. Car, rappelons-le, le modèle de la pub est qu’en faisant vos achats, vous financez les sites qui vous ont montré des pubs. Et ce modèle est en train d’atteindre ses limites.

Les premières victimes sont, sans surprises, les supports, les sites vivant de la pub. Sans aucune explication, ils voient leurs revenus fondre comme neige au soleil, ils voient leur compte AdSense bloqué. Comme toute industrie sur le déclin, ils paniquent et, au lieu de se remettre en question, se rabattent sur l’argument moral en vous accusant vous, lecteurs, d’être la cause de tous les maux en utilisant AdBlock. Mais la fin du scénario est inéluctable : la publicité sera de moins en moins rentable et de plus en plus envahissante.

L’espoir du prix libre

C’est pour cette raison que je suis très optimiste quant à l’avenir du prix libre et que je vous invite, si vous souhaitez accélérer cette évolution du web, à soutenir volontairement vos sites web préférés. Contactez les auteurs et offrez leur un petit don avec, en message « En espérant la fin des publicités ». Conseillez-leur d’installer Flattr !

Personnellement, je l’avoue, j’ai beaucoup d’affection pour ceux qui vivent de la publicité mais, comme Numerama ou Korben, tentent autre chose, essaient le prix libre, reconnaissent que pour le moment c’est encore trop anecdotique par rapport aux revenus publicitaires mais ne ferment pas la porte à une transition. Au fond, j’ai le sentiment que eux aussi aimeraient ne plus servir la soupe à un intermédiaire mais apporter directement de la valeur à leurs lecteurs.

Oui, vous avez la possibilité de changer le monde, d’accélérer cette transition. Cela ne tient qu’à vous. Bloquez les pubs et consacrez un budget mensuel pour soutenir les contenus en ligne que vous appréciez. C’est aussi simple que cela…

 

Photo par Daniel Oines. Relecture par Sylvestre.

Merci d'avoir pris le temps de lire ce billet librement payant. Pour écrire, j'ai besoin de votre soutien. Suivez-moi également sur Twitter et Facebook !

Ce texte est publié par Lionel Dricot sous la licence CC-By BE.

flattr this!

by Lionel Dricot at June 19, 2014 10:40 AM

June 18, 2014

Frederic Hornain

Red Hat to Acquire eNovance, a Leader in OpenStack Integration Services

ENovance

More detail at http://www.redhat.com/about/news/press-archive/2014/6/red-hat-to-acquire-enovance

KR
Frederic


by Frederic Hornain at June 18, 2014 07:43 PM

Dries Buytaert

Drupal 6 support

Topic: 

The policy of the Drupal community is to support only the current and previous stable versions of Drupal. If we maintain that policy, Drupal 6 support would be dropped the day that Drupal 8 is released. We'd only support Drupal 8 and Drupal 7.

We're changing that policy slightly as there are still around 200K known Drupal 6 sites in the wild, and we want to ensure that sites that wish to move from Drupal 6 to Drupal 8 have a supported window within which to upgrade.

The short version is that Drupal 6 core and modules will transition to unsupported status three months after Drupal 8 is released. A three month extension is not a lot, but continuing to support Drupal 6 is difficult for many reasons, including lack of automated test coverage. This gives Drupal 6 users a few options:

  1. Upgrade to Drupal 7 any time between now and 3 months after Drupal 8.0.0 is released.
  2. Upgrade to Drupal 8 after it is released, but before Drupal 6 is not supported anymore. There's already a Drupal 6 to Drupal 8 migration path in core which can be used for testing. Keep in mind though that if your site relies on contributed and custom modules, you may need to port the code and write the migration paths yourself if they're not done by the community in time for Drupal 8's release.
  3. Find an organization that will provide extended support for Drupal 6. We hope that organizations that rely on Drupal 6 will step up to help maintain it after community support winds down. The Drupal Security Team will provide a method for companies or individuals to work together in the private security issue queue to continue developing updates, and will provide a reasonable amount of time for companies to provide patches to Drupal 6 security issues that also affect Drupal 7 or Drupal 8.

You can read the details on https://drupal.org/node/2288521.

by Dries at June 18, 2014 05:08 PM

Frank Goossens

Music from Our Tube; The Preatures

Pure, uncomplicated pop from down under;

YouTube Video
Watch this video on YouTube or on Easy Youtube.

(The Preatures, Is this how you feel)

by frank at June 18, 2014 09:52 AM

Wouter Verhelst

Belgium vs Algeria

Yesterday, the Belgian team played against Algeria, and won 2-1. Before the match, there was some criticism about coach Wilmots' decision not to field a number of top players in the team at the start of the match. Today, some journalists -- including, apparently, some Russian journalists -- seem to think that the team didn't play all that well, and that the Belgian team could be beaten by a better team.

I don't think that's the case; I think the strategy of Wilmots was a stroke of genius.

The Algerian coach fielded a wall of 5 defenders, and played a pretty good counter game. When the Belgian team had posession -- for about 65% of the time during the entire match -- the Algerians returned every man to their own half of the field. Whenever one of the Belgian strikers came close to the Algerian penalty area, at least two Algerian players would be near and block them off.

How does one win from a team that doesn't want to give you a millimeter of room? One way is to wear them out, and that's exactly what the team did: by keeping the pressure on the Algerian defense, the Algerian defense had to run a lot. Running a lot makes you tired, and if you're tired you make mistakes, or you can't follow a fresh substitute player.

During half-time, it was reported that Wilmots had relayed the message to his players that "the bench will make the difference". And indeed it did; some time into through the second half, Wilmots substituted three players -- two strikers and one offensive midfielder -- with the top players he'd kept on the bench. Two of these three players made the difference, scoring two goals to end up with 2-1.

Reading some articles today, it seems like many analysts think that this was a spur of the moment thing by Wilmots; but I think it's more likely that this was a deliberate strategy. Making the opposing defense run a lot is certainly a good strategy; but the downside of that is that your own offensive players will need to run a lot, too. If you can swap those out for top players on the bench...

It'll be interesting to see the next matches.

June 18, 2014 06:32 AM

June 17, 2014

Wouter Verhelst

Trying out bash completion

I've never liked the contents of the bash-completion package. I've found its results to be confusing, mildly buggy, and therefore terribly annoying. As such, for the longest time, one of the first things I used to do when installing a new system was to just remove it entirely -- or add "complete -r" or similar to my .bashrc on systems where I did not have sysadmin powers.

However, that's not to say that I don't understand the reason for programmable completion. Filename completion is nice, but it's great if one can have things like command option completion, etc. As such, I've resolved to give the bash-completion another shot for, say, a month or so, and to actually file bugs when things happen that I think should not.

Of course, it's very well possible that in the time since I last tried it, all those annoyingly small confusing bugs have been fixed. But somehow, I doubt that.

I guess we'll find out.

June 17, 2014 05:59 AM

June 16, 2014

Wouter Verhelst

/etc/hosts is mine, dammit

I try to use Debian everywhere. Not because I think it's perfect, but it's close. But if I had to point out one misdesign that I hate, it would be the fact that applications care about the contents of /etc/hosts.

If I don't put the FQDN on the line containing 127.0.0.1 in /etc/hosts, then one set of (proprietary) applications stops working.

If I do put the FQDN on the line containing 127.0.0.1 in /etc/hosts, then another set of (proprietary) applications stops working.

I want to kill people.

I've been considering writing a custom NSS module which changes the return value of gethostbyname() and friends depending on who's calling the function. That would be ugly, but I suppose it could work. But I really, really, really don't want to start doing this.

Grrr.

June 16, 2014 01:01 PM

June 14, 2014

Lionel Dricot

Au fond, qu’est-ce que le travail ?

torture

Alors qu’on parle sans arrêt d’emploi, de chômage, de licenciement voire de plein-emploi, il est peut-être important de se poser une question de base, essentielle : qu’est-ce que le travail ?

Car si le concept paraît évident, il s’avère que la définition est floue et varie très fort d’une personne à l’autre. Est-ce qu’un fonctionnaire qui a une place de planqué et qui ne fait rien de la journée travaille ? Est-ce qu’un rentier qui fait fructifier son argent travaille ? Est-ce qu’un chômeur qui cultive son potager travaille ?

Le postulat Travail = Revenu

Si on prend la peine d’y réfléchir un instant, on se rend compte que nous avons assimilé la notion de travail avec celle de revenu. Un pauvre qui mendie mettra sur sa pancarte « Je n’ai pas de travail ». Un parent au foyer, actif dans l’associatif et qui touche le chômage ou qui n’a pas de revenu sera assimilé à un « fainéant qui ne travaille pas » alors qu’il est au contraire tout à fait honorable de vivre de ses rentes, de « faire travailler son argent ».

Nous avons été éduqués pour accepter l’équivalence travail = revenu. Quelqu’un qui n’a pas de revenu est quelqu’un qui ne travaille pas. Et il faut tout faire pour travailler, c’est-à-dire gagner de l’argent.

Il s’ensuit également que les personnes qui gagnent énormément d’argent ont l’impression de beaucoup travailler ou, en tout cas, de fournir un travail d’une grande valeur. Et comme l’unité de travail est l’heure, on arrive à l’aberration que plus on est lent pour effectuer un travail, plus on gagne de l’argent. Encore un coup des observables.

Le paradoxe du chômage

Le seul bémol nous vient des chômeurs. Le chômage est en effet un revenu destiné à ceux… qui ne travaillent pas. Mais si travail = revenu, le chômage est un paradoxe. Ce paradoxe est résolu tout simplement en scandant un slogan abrutissant : le travail d’un chômeur est de chercher du travail. Le chômeur doit donc, à plein temps, se consacrer à la recherche d’un travail. Il sera contrôlé, surveillé et devra se plier à des règles absurdes juste pour que sa situation s’apparente à un travail.

Mais si la recherche d’un travail est un réel travail, ne pas en trouver est un échec. Le chômeur qui n’a pas trouvé de travail, forcément car il est chômeur, est donc stigmatisé par le reste des travailleurs, rejeté, conspué, accusé de tous les maux et sert confortablement de bouc émissaire à une frange du spectre politique. La raison de cette haine du chômeur est tout simple : il est la preuve vivante que, non, le travail ne correspond pas à l’argent, que ce postulat fondamental de notre société est faux. Il en résulte un très bel exemple de dissonance cognitive : face à la contradiction, l’humain cherche à simplement se débarrasser du symptôme : le chômeur.

C’est également pour cela que le principe du revenu de base se heurte si souvent à un mur : il n’est pas compatible avec le postulat revenu = travail.

Les conséquences d’un postulat erroné

Pourtant, les bénévoles, les parents, les artistes, les gens actifs savent tous qu’on peut travailler sans revenu. Et tous les riches savent qu’on peut avoir un revenu sans travailler. Une fois qu’on a accepté de se débarrasser de ce postulat, la plupart des mouvements sociaux et leurs réponses politiques nous apparaissent comme grotesques.

strikers

Mais alors se pose une question angoissante qui n’a plus vraiment de réponse toute faite : qu’est-ce que le travail ? La notion même de travail est-elle encore nécessaire ? N’est-elle d’ailleurs pas en train de disparaître pour être remplacée par la notion « d’activité » ? On observe en effet de plus en plus de personnes devenir indépendantes et mêler joyeusement activités rémunérées ponctuellement, activités bénévoles voire, comme ce blog, activités qui sont dans la zone grise entre les deux. Même le sacro-saint CDI est complètement remis en question.

Quand on sait que le mot « travail » signifiait à l’origine « tourment » ou « souffrance » et qu’il provient d’un mot latin désignant un engin de torture, quand on observe que seulement 13% des travailleurs de la planète apprécient leur travail, ne peut-on pas se réjouir que la société se débarrasse du travail ?

Mais pour 87% de la population, il faudra accepter avoir souffert toutes ces années. Il faudra accepter de se remettre en question. Il faudra supporter dans le regard des enfants ce questionnement naïf : « Mais enfin, papa et maman, pourquoi vous avez passé 30 ans de votre vie à vous rendre dans un endroit que vous n’aimiez pas afin de faire quelque chose qui vous stressait et vous rendait irritable ? ». Au fond, c’est peut-être plus facile de traiter les chômeurs de fainéants et d’inculquer à nos enfants la valeur de la souffrance au travail.

 

Post Scriptum : Entre nous je vous l’avoue, le slogan « Travail, Famille, Patrie » a toujours représenté une conception de la société que j’abhorrais, ma dystopie ultime. Or, nous sommes en train de faire voler en éclat la notion de patrie avec internet. Nous avons, malgré l’opposition de quelques réactionnaires, redéfini la famille comme une entité mouvante, dynamique, complexe et affranchie des règles arbitraires du passé. N’est-il pas temps de s’attaquer au concept de travail ?

 

Photo par Anguskirk.

Merci d'avoir pris le temps de lire ce billet librement payant. Pour écrire, j'ai besoin de votre soutien. Suivez-moi également sur Twitter et Facebook !

Ce texte est publié par Lionel Dricot sous la licence CC-By BE.

flattr this!

by Lionel Dricot at June 14, 2014 10:55 PM

Frederic Hornain

Red Hat Forum 2014 – Antwerp – 23 June

Take your IT to a higher level and learn all about IT innovation Red Hat Forum Antwerp | June 23rd | 08:30 – 17:30 hrs Register via antwerp.redhat-forum.com


Antwerpen

Frederic


by Frederic Hornain at June 14, 2014 12:46 PM

June 13, 2014

Dries Buytaert

About today’s Drupal Association Board resignation

Today Morten Birch Heide-Jørgensen stepped down from his role on the Drupal Association's Board of Directors. The Drupal Association's Board of Directors supports Morten’s decision. The Drupal Association and the Drupal community value inclusivity and diversity, and our leadership must demonstrate those values as well.

We want to thank Morten for his service; he came to the board with a mission to foster improved transparency and communication. He helped both the board and staff embrace those principles in a way that will carry into the future.

Today’s development underscores the need for a broader discussion that we need to have about inclusivity and diversity. Creating and maintaining the right culture and environment is vital to Drupal's success. Therefore, we have asked the Community Working Group to define a process to help our community address these issues and identify positive, proactive, and concrete steps we can take to ensure that everyone feels welcome in Drupal.

Morten is vacating a community elected seat. The Board of Directors will discuss how and when to fill this vacancy at the next board meeting.

Respectfully,

Drupal Association Board of Directors

by Dries at June 13, 2014 05:52 PM

June 12, 2014

Frederic Hornain

Red Hat Forum Antwerp – Jun 23 2014

59fa059a-f158-11e3-875d-22000a9780da-140611060554-phpapp01_95_slide-1-638

Take your IT to a higher level and learn all about IT innovation Red Hat Forum Antwerp | June 23rd | 08:30 – 17:30 hrs Register via antwerp.redhat-forum.com

See you there.
Frederic


by Frederic Hornain at June 12, 2014 03:45 PM

June 10, 2014

Frank Goossens

Music from Our Tube; Fatima’s “Do Better”

Fatima is a renowned female vocalist who has been working with Floating Points’ Sam Shepherd for a couple of years already. “Do Better” is a Shepherd-produced track off of “Yellow Memories”, her new album which is out on Eglo Records:

YouTube Video
Watch this video on YouTube or on Easy Youtube.

by frank at June 10, 2014 03:53 PM

June 09, 2014

Lionel Dricot

Ceci est heureusement une fiction

businessman

Pour le grand public, Jean est un inconnu. Si son nom est régulièrement cité dans les journaux car il fait partie de certains conseils d’administration, Jean préfère se tenir loin des caméras. Car Jean ne cherche pas la visibilité mais le pouvoir. D’ailleurs, il fait partie des personnes les plus puissantes de son pays.

Jean n’a que faire de la politique. Droite ? Gauche ? Ce ne sont que des mots qui servent le marketing électoral. Tout en restant dans l’ombre, Jean soutient le parti qui, dans son pays, est au pouvoir depuis plus de trente années. Il pousse des jeunes loups ambitieux qui cherchent la célébrité et l’illusion du pouvoir. Il les encourage. Il fait d’eux des politiciens reconnus qui lui sont redevables.

Il ne demande rien en échange. Enfin, pas directement. Il se contente de pointer aux différents gouvernements certains investissements nécessaires. Et de faire en sorte que les sociétés dans lesquelles il possède des parts remettent des offres pour ces investissements.

Jean jongle avec les sociétés publiques, dans lesquelles il touche principalement des jetons de présence, et les sociétés privées, dans lesquelles il touche des dividendes. Parfois, la différence est ténue, la frontière s’estompe.

Les amis proches de Jean, qu’il retrouve généralement dans une villa discrète de la côte d’Azur, l’ont félicité pour le mécanisme qu’il a mis en œuvre. En effet, il a fait en sorte qu’une intercommunale où il siège devienne actionnaire dans une de ses sociétés spécialiste en conseil informatique. Or, le principal client de cette société est justement l’intercommunale en question ! Il s’ensuit que l’argent public initialement injecté dans l’intercommunale passe très simplement à la société informatique, via un contrat tout à fait réglementaire avant de retourner à l’intercommunale sous forme de dividendes. L’argent tourne donc en boucle mais, à chaque étape, une partie se dilue sous forme de parts, de jetons de présence, de contrats de consultance et d’intérêts qui vont à Jean et certains de ses amis reconnaissants. Jean parle de la « boucle d’évaporation ». Elle est tout à fait légale et, de toutes façons, extrêmement difficile à détecter.

Jean n’a rien à se reprocher : tout est parfaitement légal et ce ne sont pas les ingénieurs de sa société informatique qui vont se plaindre d’avoir un emploi. Et si Jean ne faisait pas ce qu’il fait, d’autres le feraient certainement à sa place. Avec moins d’éthique et peut-être plus d’abus. Au fond, heureusement que Jean est là.

Mais aujourd’hui, Jean est un peu inquiet. Le parti qu’il a toujours soutenu semble baisser dans certains sondages confidentiels. Il pourrait ne plus être complètement au pouvoir. D’habitude, il suffit d’investir quelques millions en campagne de communication et en marketing. Mais, cette année, cela pourrait ne pas être suffisant. Le risque est faible mais existant.

Jean réfléchit. Sa société est justement celle qui fournit les ordinateurs de vote pour le prochain scrutin. C’est d’ailleurs Jean qui avait poussé ses amis politiques à adopter le vote électronique dans l’optique de créer de toutes pièces un marché juteux. Le développement du système en question a coûté environ 1 million d’euros. Mais Jean en a facturé 5 au gouvernement. Les quatre millions restant sont, en ce moment même, dans sa fameuse boucle d’évaporation. Mais ne peut-on pas tirer un autre profit de ce contrat ?

Un jeune ingénieur, fraîchement nommé chef de l’équipe de développement, a justement fait remonter par la voie hiérarchique un rapport soulevant une inquiétude concernant le fournisseur des disquettes utilisées dans le processus de vote. Jean a fait sonder l’ingénieur, appelé François, avant de le rencontrer de manière discrète. Les deux hommes se sont mis d’accord : François mettrait en place une procédure qui fasse en sorte qu’absolument aucun des membres de l’équipe n’aie accès à la totalité des résultats en cas de recomptage. Et avant de transmettre des résultats publics, il devrait les valider discrètement avec Jean. Jean a insisté sur le fait qu’il s’agissait d’assurer la confidentialité du processus de vote. La démocratie était à ce prix et cela faisait, selon Jean, partie du contrat de la société avec le gouvernement ! Si François accomplissait bien son boulot et garantissait la confidentialité, il n’était pas impossible qu’on aie besoin de lui pour un poste bien rémunéré dans le sud de la France.

Jean s’est également rendu en Chine, chez le fabricant de disquettes. Il a obtenu, en graissant quelques pattes, que les disquettes fournies soit des ratés, des pièces mises au rebut en raison d’un problème de conception et ayant une très grande probabilité d’erreur. Jean a même obtenu une remise de prix sur cette commande. Le fabricant Chinois était trop heureux de se débarrasser de ce stock. Il n’y a pas de petits profits.

Comme Jean l’avait espéré, beaucoup de disquettes ont été corrompues. Il y a eu recomptage. L’équipe de François réussit à lire certaines mais pas toutes. Comme promis, François s’est adressé directement à Jean avec les résultats partiels qui pouvaient être déchiffrés ainsi qu’avec les disquettes qui étaient définitivement perdues. Jean remercia François et lui expliqua qu’une équipe complètement indépendante allait vérifier tout cela. C’est pour garantir l’indépendance que cette seconde équipe était secrète. Le lendemain, Jean demanda à François de vérifier certains chiffres de l’équipe secrète. François, qui avait un moment eu un doute sur le processus, fut rassuré : les chiffres correspondaient aux siens, du moins pour les disquettes qu’il avait réussi à lire.

La société de Jean annonça publiquement que 2000 votes n’avaient pas pu être déchiffrés. Comme Jean l’avait prévu, l’opinion publique se braqua sur ces 2000 votes et sur l’importance qu’ils avaient. Personne ne discuta les autres chiffres qui furent publiés en même temps. Ils annonçaient une remontée surprise mais plausible du parti soutenu par Jean. Celui-ci devenait, de toute justesse, incontournable pour une législation de plus mais « perdait » malgré tout les élections. Même François ne s’interrogea pas et se mit à discuter le fait que les 2000 votes n’auraient pas changé le cours des élections tout en soutenant le travail de son équipe.

Jean, qui avait créé ces chiffres sur base des résultats papier des autres circonscriptions, pensa en son for intérieur que les électeurs avaient peut-être réellement voté de cette manière. Après tout, personne ne pouvait le dire, les disquettes étaient définitivement hors service.

Cependant, il n’était pas question de faire ce coup-là chaque année. Cela deviendrait suspect. Il était temps pour Jean de s’investir dans les contacts avec l’autre parti important. Ce n’était pas vraiment un problème : il les connaissait bien, ils fonctionnaient de la même manière et ses représentants étaient dans les mêmes conseils d’administration. Mais il fallait tout de même assurer ses arrières.

Heureusement, ce texte est une fiction. Jean n’existe pas. Du moins, je l’espère. Plus rien ne nous le garantit.

 

Photo par Hartwig HKD.

Merci d'avoir pris le temps de lire ce billet librement payant. Pour écrire, j'ai besoin de votre soutien. Suivez-moi également sur Twitter et Facebook !

Ce texte est publié par Lionel Dricot sous la licence CC-By BE.

flattr this!

by Lionel Dricot at June 09, 2014 10:47 AM