Martin @ Blog

Today we visit Strijp S, the former factory buildings of Philips which are now converted into creative studio’s and housing for designers and art artists. This week the Dutch Design Week is taking place in Eindhoven. The yearly event is becoming more and more important for designers in Europe. In the entire city there are expositions and lectures about design and modern art.

More pictures of Strijp S at my Flickr photostream.

Today I fixed a power supply of a LaCie USB-harddisk. The connector from the adapter to the harddisk was broken. On the photo is a so-called ‘third hand’ visible. The power supply is now working again, total costs: 3 euro. (I ruined one connector when soldering). A new power supply costs > 30 euro.

Today I came across a weblog entry of Jorge O. Castro
(whiprush) on Planet Gnome which mentions Google Reader. While I didn’t know this service of Google, I decided to give it a try. I must say, it is a very nice AJAX-based webapplication for following various websites. There are several ‘packages’ available, such as photography (see screenshot below) and Technology (which consits of sites such as Slashdot, Digg, Wired, etc.). It is possible to add other RSS-feeds to the list as well, and you even don’t have to look them up yourself, because you can easily search for them using Google. Even the Tweakers.net RSS-feeds are known by Google. I think this may be the first RSS-reader I will use regularly in the feature because of the ease of use (and also because of the nice pre-package feed-packages).

It is defintive now: NEC laptops are the worst in the world. Yesterday, my laptop, a NEC Versa P520, broke down again. This is the second time within a month, and about the fifth time in three years. The f*cking thing doesn’t do anything at all. When I try to start is using the powerbutton (a rather normal way to start a computer) nothing happens. The powersupply seems to be fine and when the accu is removed, the laptop also doesn’t work.
About three weeks ago, my laptop was also in repair, becaus the screen was broken. The guy from the Notebook Service Center told me that this problem occured quite often which even confirmed my opinion that NEC-laptops suck. They replaced some cable which connects the screen with the rest of the system which solved the problem for now. However, I think it will always be a weak spot and will break again eventually.
About a year ago, my laptop was also in repair for about two months. That time, my laptop sometimes suddenly stops working at all and won’t start again. Shaking or turning it upside down made it work again, but it wasn’t a very comfortable situation. They first thought it was a problem with my memory modules (the went loose or something… a bit strange when memory modules just fall out of their sockets I think, but ok..). That solved the problem for a day. About four repair sessions later, they decided that my motherboard was broken, and replaced it, which solves the problem.
When I got the laptop, about three years ago, the hardisk broke down after two days. Also the modem was broken (I didn’t notice that, but they discovered it while reparing my monitor) and there are dark spots on the monitor, which is appearently caused by the mousepad which isn’t entirely flat. According to the Notebook Service Center, this problem is caused by transporting your laptop in the provided backpack and putting additional stuff in the same backpack. When I bought the laptop, they advertised with the robousness of it, which was exensively tested… oh, and the thing was hardly supported by Linux three years ago.. while for some students it was required to work with Linux… (now, almost all components are supported, exept for the modem.. but who needs a modem anyway).

Newer students got a IBM Thinkpad T42. At least, that is a laptop which can survive the handling of a normal student… but probably they had not enough work at the Notebook Service Center, so they decided to give students again a NEC the year after the IBM… that thing had the same problems. Last year, they decided again to provide new students with a Lenovo (former IBM) Thinkpad. There are two possibilities: the persons who selected NEC laptops are just stupid, or NEC paid a large amount of money to get selected (I wonder why, because it is certainly no ‘free advertisement’).

Google recently introduced Google Codesearch, a search engine for programming code. While Google was already a valuable source of information for hackers (it could be used to find passwords, usernames and so on), Codesearch enables even more possibilities. Obviously, it is quite easy to find patterns of potential vulnerable code, like buffer overflows, backdoor passwords and even proprietary code which is unintentionally published on public accessible websites.

One can think this is ‘bad’ or something, but I think it is very good that flaws in programs are easy to find and exposed to the entire world. This is the only way to prevent companies and individuals from relying on ‘security by obscurity’. And it is good for ‘closed source’ companies to realise that even while there program sources are not widely available, it is very hard to prevent people from getting it anyway. As some people say: ‘there are no secrets, only information you do not have yet’.

A nice list of stuff which can be found using Google Codesearch can be found on a weblog called kottke.org.

Gisterenavond heb ik het volgende artikel geschreven voor Tweakers.net.

De actiegroep ‘Wij vertrouwen stemcomputers niet’, waar onder andere Xs4all-oprichter Rop Gonggrijp initiatiefnemer van is, heeft de huidige stemcomputers die in Nederland worden gebruikt onderzocht. Hieruit bleek dat deze apparatuur niet veilig genoeg is voor de komende verkiezingen.

De actiegroep heeft via een gemeente de beschikking gekregen over een Nedap/Groenendaal ES3B-stemcomputer die momenteel in 90% van de Nederlandse gemeenten wordt gebruikt voor verkiezingen. Volgens Eén Vandaag is het onderzoek naar de veiligheid van de stemcomputer door ‘Wij vertrouwen stemcomputers niet’ het eerste onafhankelijke onderzoek in Nederland. De belangrijkste conclusie is dat de veiligheid van de stemcomputer voornamelijk gebaseerd is op het ontnemen van de fysieke toegang tot de stemcomputer doormiddel van inferieure sloten en ‘security by obscurity’. Zodra een hacker bij de hardware kan, is het een koud kunstje om de verkiezingsuitslag te manipuleren, zo blijkt uit het onderzoeksrapport.

Dit toegang tot de hardware is ook een van de zwakste punten van de huidige stemcomputers. De hardware is namelijk afgesloten met een slot dat kan worden geopend met een standaard sleutel die door iedereen eenvoudig kan worden besteld bij sleutelleveranciers. Bovendien is deze sleutel voor alle stemcomputers in Nederland hetzelfde. Overigens is het slot ook eenvoudig te openen met een paperclip. Om serieuze verkiezingsfraude te plegen is het echter noodzakelijk om een flink aantal stemcomputers te manipuleren. Dit blijkt echter ook niet onrealistisch, omdat bijvoorbeeld in Rotterdam 400 stemcomputers in één ruimte zijn opgeslagen zonder cameratoezicht, bewakers of een alarmsysteem. Dit laatste is overigens niet conform de wet, die strenge beveiliging eist.

[bullet] Nedap ES3B

De Nedap-stemcomputer is gebaseerd op een standaard 68000-processor en voor het uitlezen van de stemcomputer wordt een Windows XP-programma gebruikt op een reguliere pc. Om tijdens de verkiezingen eventuele problemen met de stemcomputer op te lossen is er een zogenaamde ‘maintenance mode’ waarin het onder andere mogelijk is om het geheugen van de stemcomputer uit te lezen. Deze maintenance mode is normaliter alleen toegankelijk voor werknemers van Nedap en daarom beveiligd met een wachtwoord. Dit blijkt echter een zeer eenvoudig wachtwoord te zijn dat hardcoded in het systeem is opgeslagen. Dankzij deze maintenance mode bleek het redelijk eenvoudig te zijn om de werking van het apparaat te ontrafelen.

De actiegroep ontwikkelde Nedap PowerFraud waarmee het mogelijk is om vrijwel ongemerkt de verkiezingsuitslag te beïnvloeden. Hoewel door de regering wordt geclaimd dat het onmogelijk is om frauduleuze software te installeren tijdens de productie van de stemcomputer, omdat dan de kandidatenlijst nog niet bekend is, wordt door Nedap PowerFraud bewezen dat dit wel degelijk mogelijk is. De software kan een vooraf bepaald percentage stemmen naar een bepaalde partij laten gaan door eenvoudigweg te kijken naar de naam van een partij waar de ‘gestolen’ stemmen naar toe moeten, zodra de kandidaatlijsten worden ingevoerd. Door de duur van een verkiezing bij te houden kan de software ook testen of het om een echte verkiezing gaat of een testverkiezing. Verdere verbetering van Nedap PowerFraud zal detectie van frauduleuze software nog ingewikkelder maken, zo beweert de actiegroep. Onder andere door verbetere detectie van testverkiezingen en door de mogelijkheid om de werking van de software te beïnvloeden door de stemknoppen. Het vervangen van de stemsoftware is overigens vrij eenvoudig door het vervangen van een enkele EPROM-chip, dat mede door de lage kwaliteit sloten niet erg ingewikkeld is en binnen een minuut kan worden gerealiseerd.

[bullet] Mogelijke oplossingen

Een snelle oplossing voor de problemen met de stemcomputer is er niet, aldus de actiegroep. Het detecteren van onjuiste software is mogelijk door een hash van het geheugen te maken en deze te controleren. Dit is wel geïmplementeerd in de huidige stemcomputers, maar de manier van hashing is van zeer lage kwaliteit en daardoor eenvoudig te manipuleren. Het zou eventueel mogelijk zijn om door middel van een extern apparaat de inhoud van de EPROM’s te controleren zonder deze te verwijderen. Fysieke beveiliging van de apparaten zou een goed begin zijn, maar dit kan niet voorkomen dat er fraude wordt gepleegd door ‘insiders’. De bewakers die de apparaten moeten beveiligen zijn namelijk weer extra insiders die bovendien ruime mogelijkheden hebben om de stemapparatuur te manipuleren. Ook een zegel zou de fysieke beveiliging kunnen verbeteren, maar dit zegel moet wel van dermate hoge kwaliteit zijn dat ‘vervalsing’ goed te detecteren is. De regering heeft overigens eind september aangekondigd dat alle stemmachines een zegel zullen krijgen.

Een ander probleem dat de actiegroep aan het licht bracht is de mogelijkheid om doormiddel van een eenvoudige scanner en een TomTom-navigatieapparaat te detecteren op welke partij op een bepaald moment wordt gestemd. Deze detectie kan plaatsvinden op een afstand van maximaal 25 meter van de stemcomputer. De detectie is mogelijk dankzij elektromagnetische golven die de stemmachine uitzendt. Deze elektronische ‘lekkage’ wordt veroorzaakt door de controllers die het display van de stemcomputer aansturen. Volgens de actiegroep is het verrassend dat er geen eisen worden gesteld aan de elektrische straling die het apparaat produceert.

De conclusie van de actiegroep is dat de huidige stemcomputers onveilig zijn om een democratische gang van de verkiezingen te waarborgen. De problemen liggen echter vooral bij de eisen die de overheid stelt aan de stemapparaten, aangezien de Nedap-stemmachines aan alle eisen voldoen die de overheid stelt. Overigens is Nederland niet het eerste land waar de problemen met stemcomputers aan de orde worden gesteld. Ierland, die dezelfde stemcomputers gebruikt, heeft al besloten om voorlopig het gebruik van de stemcomputers te staken als gevolg van vergelijkbare bevindingen door veiligheidsexperts in dat land. Nedap stelt in een reactie op zijn site dat de betrokkenen die het onderzoek hebben gedaan, constateren dat de stemmachine precies doet wat hij moet doen. Volgens Nedap zou de naam van de actiegroep dan ook moeten worden veranderd van ‘Wij vertrouwen stemcomputers niet’ in ‘Wij vertrouwen mensen niet’. Op de vraag of de stemmachines te manipuleren zijn, reageert Nedap met de opmerking ‘alles is te manipuleren’.

[bullet] Nedap Chess

Om te bewijzen dat de stemcomputers in Nederland gewoon ‘standaard computers’ zijn, onwikkelde de actiegroep een schaakspel voor het systeem. Dit initiatief werd ook gemotiveerd door een opmerking van de directeur Jan Groenendaal van het bedrijf Groenendaal dat de software voor de stemcomputers heeft ontwikkeld. Hij stelt in een persbericht (PDF) over de actiegroep: ‘De bewering dat je met onze stemmachine ook kunt schaken zou ik graag eens gedemonstreerd zien. […] Wij begrijpen dat er bezwaren kunnen zijn tegen inzet van op normale PC’s gebaseerde stemmachines […] onze stemmachine is echter een zgn. Dedicated Special Purpose Machine, d.w.z. uitsluitend gemaakt om mee te stemmen en verder niets.’ Nedap Chess is inmiddels realiteit en dankzij de vele knoppen op een vlakke plaat is het zelfs mogelijk om met normale schaakstenen te schaken. De grootste uitdaging bleek om ‘Tom Kerrigan’s Simple Chess Program’, de software waarop Nedap Chess is gebaseerd, in het geheugen van 16KB te krijgen. Wel geeft de actiegroep toe dat door de beperkte rekencapaciteit de schaakprestaties van de stemcomputer niet al te hoog zijn.

Momenteel is er een reportage op Nederland 2 van Netwerk over de Partij voor naastenliefde, vrijheid en democratie. Over deze partij was (enigszinds terecht) veel ophef omdat de partij de seksualiteit met kinderen legaal wil maken. Veel partijen, waaronder de CDA blijkens een reactie van een CDA kamerlid, willen dat het verboden zou moeten worden om een partij op te richten die controversiële dingen promoot. Dat vind ik dus zeer zorgwekkend.

De vrijheids van meningsuiting en de democratie in Nederland maakt het mogelijk dat in principe iedereen kan zeggen wat hij of zij denkt. Ook het oprichten van minder populaire partijen moet mijnsinziens kunnen. Het blijkt ook dat de huidige regelgeving en dergelijke ruim afdoende is, omdat uit de reportage blijkt dat de partij slechts 16 leden heeft en nog geen 100 handtekeningen om deel te kunnen nemen aan de verkiezingen van 22 november. Dit is ruim 600 (of zo) handtekeningen te weinig en de kans dat ze dus mee kunnen doen is vrijwel nihil. Toch hebben ze door alle aandacht van de media ontzettend veel ophef weten te veroorzaken en heeft iedereen er over gediscussieerd. In essentie hebben ze dus gewoon bereikt wat ze nastreefden.

Waarom heeft de media zoveel aandacht aan dit soort controversiële personen gegeven? Hun standpunt zullen weinig mensen onderschrijven. Sommigen draagden het argument aan dat mensen die in hun jeugd seksueel zijn misbruikt, door de uitlatingen van de Pnvd mogelijk gekwetst zouden kunnen worden. Maar de enige manier waarop deze mensen op de hoogte van deze uitlatingen zou komen, is doordat de media er aandacht aan besteed. Angst wordt voor een groot deel door de media gevoed, omdat er voortdurend aandacht wordt besteed aan ‘bedreigende’ dingen.

Nu kun je je afvragen, moeten we dit soort partijen gaan verbieden? Wanneer je namelijk een ding verbiedt, is de stap om ook andere standpunten te verbieden al snel een stuk kleiner. Als de media de Pnvd gewoon had genegeerd, wat mijnsinziens de beste benadering zou zijn geweest, had niemand zich er over druk gemaakt en hadden ze net zo min aan de verkiezingen deelgenomen als dat ze nu zullen doen. Bovendien had Nederland dan niet een kleine stap tegen de verdere beperking van de meningsvrijheid genomen.