Hanno's blog

Mal wieder ein OpenStreetMap-Presseartikel: Die Zeitschrift Tomorrow brachte in ihrer Septemberausgabe einen Artikel mit dem Titel »Mit offenen Karten«, ich bin dort auch interviewt worden.

Freundlicherweise wurde uns gestattet, den Artikel online zu stellen.

I think I found a new favorite electro-trash-videogame-music compo: Desert Planet

Just have a look at this (on Youtube). There's some stuff to download at their webpage.

They were live at the Alternative Party yesterday.

I just arrived on the Alternative Party in Helsinki. The AltParty is a demoscene party in Finland and it's kind of the smaller splitoff from the Assembly. I was on the Assembly some times in the past.

By saying small, I must say that the AltParty still has about 1000 visitors.

I haven't visited any demoparties for quite a long time and thought it'd be time again as I'm currently involved in the organization of the 0a000h, which will happen again in december.

More pictures and reports will follow.

I'm currently on a ferry trip to Helsinki.

The next days, I'll be on the Nuclear weekEND near the finnish nuclear plant Loviisa. It's a meeting of anti nuclear activists with international participation. Finland is currently trying to build the first nuclear plant since many years in a western country (I say trying, because the Olkiluoto plant is about two years behind it's time table).
There's a german press release about the event.

A week later, I'll visit the Alternative Party, a small demoscene party in Finland. I was on the Assembly some times in the past and always wanted to take the chance some day to see the AltParty.

Ein paar Bilder der heutigen Demonstration in Berlin gegen Überwachung. Leider sind einige davon überbelichtet, weil ich zunächst noch, ohne es zu merken, mit einer Nachteinstellung fotografiert habe.

Tatsächlich waren es wohl noch ein paar mehr Menschen als im Vorjahr (wenngleich die teilweise verbreiteten Zahlen wohl etwas übertrieben waren), was ich schon als ziemlichen Erfolg empfinde und mich auch überrascht hat. Im Gegensatz zu letztem Jahr sind wir diesmal auch in der 20 Uhr Tagesschau. Da hat sich wohl der ein oder andere Redakteur der Peinlichkeit, letztes Mal die Demo komplett ignoriert zu haben, erinnert (was ihnen sicher auch einige böse Mails einbrachte).

International lief wohl auch einiges, wobei ich bislang kaum Berichte gefunden habe, aber es wurde von mehreren tausend Menschen in Den Haag, sowie auch mittelgroßen Demonstrationen in Prag, Paris und an einigen Orten mehr, die ich jetzt vergessen habe, berichtet. Links mit Berichten und Bildern dürfen gerne in den Kommentaren gepostet werden.

In a few days, on 11th October, there will be an international day of action against the growing surveillance.

Starting with 2009, the data retention law will become duty for everyone, also for internet providers (eMail, Dialup). The german constitutional court still has a big complaint running. It's important to set a sign now.

The main demonstration will be in Berlin, 14:00 at the Alexanderplatz.

freedom-not-fear.eu

Am vergangenen Wochenende fand das Jahresseminar der Gruppe Krisis statt. Wem der Name nichts sagt, der kann ja die Wikipedia bemühen oder vielleicht gleich als Einstieg das bekannteste Krisis-Werk lesen.

Es gibt einige sehr improvisierte Mitschnitte. Das ganze war nicht geplant und eher spontan. Zwei Vorträge konnte ich auf Video festhalten, den dritten nur noch halb. »Dank« eines Fehlers in obexftp wurde mir vom letzten Vortrag auch noch die erste Hälfte genommen (wer eine Idee hat, wie man auf den internen Speicher eines Nokia-Handies ein Undelete anwendet, möge sich bitte in den Kommentaren melden). Dafür habe ich heute einiges gelernt über diverse Kommandozeilentools und Methoden, Mediadaten zu verarbeiten.

Kann denn Wissen Ware sein? Zur werttheoretischen Analyse der Informationsgüter – Ernst Lohoff (Nürnberg)
Video Audio Slides
Passender Text: Der Wert des Wissens, Krisis 31

Über- oder Untergang? Die Verknappung der fossilen Stoffe und das System der Warenproduktion – Andreas Exner (Klagenfurt) und Christian Lauk (Wien)
Audio
Webseite der Autoren (social-innovation.org)
Passender Text: Kapitaler Klimawandel, Anti Atom Aktuell 179

Arbeit ohne Wert. Über die Fiktion des „Dienstleistungskapitalismus“ – Peter Samol (Herford)
Video Audio Flipchart 1, Flipchart 2, Flipchart 3

Arbeit am Ganzen. Zur Rolle der allgemeinen Arbeit bei der Produktion von Universalgütern – Stefan Meretz (Berlin)
Video (unvollständig) Audio
Blog-Eintrag auf keimform.de mit erläuterndem Text und Slides

Grausame Heuschrecken – Gierige Manager – Geheime Mächte. Ist Krisenverarbeitung zwangsläufig regressiv? – Lothar Galow-Bergemann (Stuttgart)
Audio (unvollständig)
Passender Text: Die Geister, die sie rufen, konkret 12/07

Einen Bericht vom Seminar gibt's bei keimform.de, zum Vortrag von Norbert Trenkle gibt es leider keinen Mitschnitt, aber auch einen Text: Weltmarktbeben - Über die tieferliegenden Ursachen der aktuellen Finanzmarktkrise

Alle Dateien sind in OGG Vorbis (Audio) bzw. Theora (Video) kodiert. Wer Probleme mit dem Abspielen hat, kann den freien VLC Mediaplayer nutzen.

Recently there were some News that Lenovo does not like Linux any more. This was supported by comments like this at Lenovoblogs (by a Lenovo engineer):

»Again, what’s the incentive for us to start providing all of this intellectual property for free to the Linux community? You may say it drives support for Linux on ThinkPads and people would buy more ThinkPads as a result. I think that’s a dubious assertion at best.«
(the subject was driver support for switchable graphics on modern thinkpads and brings up some common urban legends about linux and driver support)

Sadly, I experienced one more place where Lenovo seems to shift away from a Linux friendly viewpoint: I tried to return the windows license of my new Thinkpad with a pre-made form by Lenovo itself (I got this from someone else by eMail, not from Lenovo directly). In the net, you can find tons of reports that it was easy for people to get money back for their windows licenses by Lenovo.

Though what I got was this:
»Leider können wir Ihrem Wunsch nach Rückerstattung der Kosten für das auf Ihrem Lenovo Produkt vorinstallierte Microsoft-Betriebssystem nicht entsprechen, da das Betriebssystem aus unserer Sicht einen integralen Bestandteil des jeweiligen Lenovo Produkts darstellt.«
(rough translation: We won't refund your windows-license, because we think it's an integral part of the product)

I find it hard to understand why Lenovo makes this shift. When running around on linux conferences in recent months, the number of thinkpads is hughe. While many other vendors shift to a much more free software friendly behaviour (think of AMD/ATI), Lenovo seems to go the different direction. It's especially strange because Lenovo is probably one of the few vendors that has a notable market share in the linux community.

By the way, I welcome any hints how I should continue with the windows refunding. I'd prefer not to capitulate yet (like I did with my last laptop by Samsung), and I assume the law is clearly on my side.

Update: As some of you asked, here is the form by Lenovo, though you'll probably just get the same reply I got.

Probably interesting, here you can find all EULAs from Microsoft. They are quite clear on the subject and say that you MUST return the windows license to the vendor if you don't agree to the EULA.

In the meantime, I wrote several messages about the issue to various people and instutitions. The FSFE is also working on the subject.

Dieses Plakat war mir schon öfters aufgefallen und ich fand es heute einen passenden Anlaß, einen Vorschlag für eine veränderte Version zu unterbreiten.

Zur Moorburg-Entscheidung erspare ich mir jeden Kommentar, weil das komplett für sich spricht. Ich erlaube mir aber, ein paar andere Kommentare zum Verhältnis Grüne / Kohlekraft zu verlinken:

• Wir Klimaretter: Grünes Licht für Moorburg
• telepolis: Grüne geben Klimaschutz auf
• Kommentar von Henrik Paulitz / IPPNW, nicht zur aktuellen Entscheidung, aber lesenswert

Recently, two publications raised awareness of a problem with ssl secured websites.

If a website is configured to always forward traffic to ssl, one would assume that all traffic is safe and nothing can be sniffed. Though, if one is able to sniff network traffic and also has the ability to forward the victim to a crafted site (which can, e. g., be just sending him some »hey, read this, interesting text« message), he can then force the victim to open a http-connection. If the cookie has not set the secured flag, the attacker can sniff the cookie and take over the session of the user (assuming it's using some kind of cookie-based session, which is pretty standard on today's webapps).

The solution to this is that a webapp should always check if the connection is ssl and set the secured flag accordingly. For PHP, this could be something like this:

if ($_SERVER['HTTPS']) session_set_cookie_params( 0, '/', '', true, true );

I've recently investigated all web applications I'm using myself and reported the issue (Mantis / CVE-2008-3102, Drupal / CVE-2008-3661, Gallery / CVE-2008-3662, Squirrelmail / CVE-2008-3663). I have some more pending I want to investigate further.

I call security researchers to add this issue to their list of common things one has to look after. I find the firefox-extension CookieMonster very useful for this.

The result of my reports was quite mixed. While the gallery team took the issue very serious (and even payed me a bounty for my report, many thanks for that), the drupal team thinks there is no issue and did nothing. The others have not released updates yet, but fixed the issue in their code.

And for a final word, I want to share a mail with you I got after posting the gallery issue to full disclosure:
for fuck's sake dude! half of the planet, military, government, financial sites suffer from this and the best you could come up with is a fucking photo album no one uses! do everybody a favor and die you lame fuck!

Vergangenen Samstag war ich auf einer Demonstration in Benken gegen das dortige Atommülllager. Auf Indymedia habe ich direkt danach schon kurz berichtet.

Für die, die es nicht wissen: Benken ist sozusagen das Schweizer Gorleben. Obwohl es (ebenso wie das französische Bure) aus meiner Sicht weit näher wie Gorleben ist, ist es doch deutlich weniger bekannt. Langfristig soll hier ein Atommüllendlager für die Schweiz entstehen.

Um die Situation zu erläutern, erstmal ein paar Dinge zur Schweizer Politiklandschaft, die doch grundsätzlich anders ist als in Deutschland. Einmal ist die Schweiz sehr stark von direktdemokratischen Mitteln geprägt (dazu später mehr), zum anderen gibt es in der Schweiz üblicherweise Regierungen, die aus allen großen Parteien bestehen und keine Koalitionen (Konkordanzdemokratie). Die Parteienlandschaft ist auch nicht mit der hiesigen vergleichbar.

Der Standort Benken ist vor allem aus politischen und nicht aus sachlichen Gründen der momentan einzige Standort für ein Atommülllager in der Schweiz. In Nidwalden wurde 2002 durch ein Volksbegehren ein geplantes Endlager verhindert. Aus der Befürchtung heraus, nun würden alle Kantone mit potentiellen Endlagerorten sofort ähnliche Volksbegehren starten, wurden durch eine Gesetzesänderung derartige Volksentscheide verhindert. Relativ schnell legte man sich dann auf Benken fest, was einerseits in einer dünn besiedelten Region liegt und zum anderen an der Grenze zu Deutschland - und grenznahe Endlager sind sowieso international sehr beliebt (gilt auch für Gorleben, nur dass die Grenze eben heute nicht mehr existiert).

Neben diesen Volksbegehren auf lokaler Ebene gab es zwei Bemühungen, das Thema durch bundesweite Volksentscheide voranzubringen, die aber beide im Jahr 2003 scheiterten. Dazu ist noch zu sagen, dass Volksbegehren in der Schweiz eine sehr lange Vorlaufzeit haben - die Initiativen starteten nach einem größeren Störfall im AKW Mühleberg - der längst vergessen war, als es um die Abstimmung ging.

Nach den gescheiterten Volksbegehren gab es kaum noch eine Anti-Atom-Bewegung in der Schweiz - ein frühzeitiges Abschalten der bestehenden Reaktoren schien aussichtslos, an neue AKWs dachte niemand. Das änderte sich 2006, als Pläne bekannt wurden, die bestehenden AKWs durch neue zu ersetzen.

Aus oben genanntem ergibt sich, dass die Schweizer Anti-AKW-Bewegung schon deutlich anders konstituiert ist, als man das von Demos etwa in Deutschland oder auch Frankreich gewohnt ist. Deutlich bürgerlicher, deutlich Parteienlastiger.

Die Demonstration war geprägt von vielen PolitikerInnen am Redepult - im weitesten Sinne der Anti-Atom-Bewegung sind in der Schweiz wohl die SP, die Grünen und die sogenannten Grün-Liberalen zuzuordnen. Die SP ist politisch wohl am ehesten zwischen der hiesigen SPD und Linkspartei anzusiedeln, die Grünen sind tendenziell etwas bunter als hier und bestehen in den meisten größeren Städten aus mind. 3 Untergruppierungen (da es lange Zeit keine bundesweite grüne Partei in der Schweiz gab) und die Grün-Liberalen sind eine Art Mischung aus FDP und Grünen. Aus Deutschland flog (!) Rebecca Harms von den Grünen extra ein.

Die Essensversorgung bestand aus einer Würstchenbude und einem Stand mit Süßgebäck - für Vegetarier schon anstrengend, für Veganer komplett unbrauchbar. Die Schweizer Linke scheint sich kaum für das Thema zu interessieren - mein Bericht auf Indymedia brachte mir dann gleich auch ein paar abfällige Kommentare ein.

Insgesamt eine durchaus interessante Erfahrung - und allemal sollte man der Bewegung in der Schweiz viel Solidarität zukommen lassen - in den nächsten Jahren wird sich dort entscheiden, ob die bestehenden AKWs durch neue ersetzt werden, oder ob man verstärkt auf erneuerbare Energien setzt. Kohlekraftwerke - die ja im Moment der zentrale Konfliktgegenstand der Energiedebatte in Deutschland sind - gibt es in der Schweiz nicht, die Energieversorgung wird zu etwa gleichen Teilen durch Atom- und Wasserkraft geleistet. Wind- und Sonnenenergie sind noch kaum genutzt, zwar besitzt die Schweiz inzwischen wohl auch eine dem EEG vergleichbare Einspeisevergütung, diese ist jedoch von der Menge gedeckelt.

Im Nuclear Heritage Wiki habe ich eine Seite zu Benken angelegt - dort gibt's dann auch Links zu dort aktiven Gruppen und Presseberichten. Bilder gibt's hier.

If you didn't know it, today is Software Freedom Day.

Just noticed that, when you surf to http://cgi.softwarefreedomday.org/map.shtml to look if there's something happening around you on SFD, you'll get a proprietary google map.

It seems that the organizers of the SFD can't look beyond one's own nose. I often saw this behaviour in parts of the free software movement (being ignorant about proprietary stuff if it's not software), but found this example especially frightening, as we have a well working alternative.

Today my new IBM/Lenovo Thinkpad T61 8895WFJ laptop arrived. While my P30 did a good job, it really was time to replace it.

I'm currently in the phase of installing Gentoo and getting used to the device, but I think it was a very good choice.

Beside the fact that Lenovos are probably popular for a reason, the 1400x1050-resolution, the well Linux-supported Intel-graphics and a quite acceptable weight (2,4 kg) were reasons for this model. I'm still in favour of 4:3 screens, because if you wanna have a 16:10 one with a decent resolution (e. g. > 1000 pixels height) they become either very expensive or very heavy. I still wonder why no vendor seems to produce 4:3 screens any more (from my research, not a single Montevina laptop has 4:3).

Some time soon you'll probably find some documentation about Linux on the T61 8895WFJ at http://www.int21.de/t61/.

Ich überlegte heute, hier die bisherige DSL-Installation (Buffalo-Router mit DD-Wrt und uraltes Telekom-DSL-Modem) durch eine FritzBox zu ersetzen. Dabei versuchte ich insbesondere, den Stromverbrauch im Auge zu behalten.

Die FritzBox schluckt cirac 8 Watt Strom, was schon etwas mehr ist als der Buffalo (5 Watt), beide jeweils mit WLAN. Die FritzBox hat zudem nur zwei Netzwerkanschlüsse (zu wenig), weswegen noch ein Switch dazukommt. Der Switch verbraucht jedoch nur erfreulich wenig (2 Watt).

Erschrocken bin ich aber dann doch beim Messen des Verbrauchs des alten Telekom-DSL-Modems. Das dürfte noch eines aus der ersten Generation sein, als die noch nicht Pink waren. Es schlug allein mit ganzen 7 Watt zu Buche. Da die Fritzbox ein selbiges integriert hatte (was mir vermutlich auch etwas mehr Geschwindigkeit bringt, da inzwischen DSL 6000), schluckt die neue Kombination nun ca. 10 Watt, im Vergleich zu vorher 12.

Wohlgemerkt, das geht alles sicher noch deutlich besser, aber das hier war jetzt nur mit Hardware, die ich sowieso rumstehen hatte. Der Verbrauch hat doch häufig nicht ganz unerhebliche Unterschiede, besonders wenn man bedenkt, dass es sich bei DSL-Modems und Routern üblicherweise um Dauer-Stromverbraucher handelt. Die Ersparnis beträgt (mit Ökostrom aus Schönau) ungefähr 4 EUR im Jahr.

Kleiner Wehrmutstropfen: Für die FritzBox Fon WLAN 7050 gibt es aktuell wohl keine freie Alternativfirmware.

Im übrigen lohnt es sich, an dieser Stelle darauf hinzuweisen, dass das EU-Energielabel sich nebst anderer Probleme nur auf einen Bruchteil der im Handel befindlichen Gerätschaften bezieht - und IT-Spielzeug praktisch komplett ausgenommen ist. Was eigentlich angesichts der aktuellen Klimaschutzdebatte ein ziemlicher Skandal ist.

I recently played around with the possibilities of fuzzing. It's a simple way to find bugs in applications.

What you do: You have some application that parses some kind of file format. You create lots (thousands) of files which have small errors. The simplest approach is to just change random bits. If the app crashes, you've found a bug, it's quite likely that it's a security relevant one. This is especially crucial for apps like mail scanners (antivirus), but pretty much works for every app that parses foreign input. It works especially well on uncommon file formats, because their code is often not well maintained.

My fuzzing tool of choice is zzuf.

I am impressed and a bit shocked how easy it is to find crashers and potential overflows in common, security relevant applications. My last discovery was a crasher in the chm parser of clamav.