OP CD: VOLLEDIGE VERSIE LIKNO WEB TABS BUILDER T.W.V. € 36 PC-ACTIVE | DEC.2010 | JAN. 2011
DDR4 EN PCI-EXPRESS 3.0 Van 2- naar 4-baans
22
243
34
JAARGANG 23 | 2011
WINDOWS 7
GOOGLE MET GRUYERE 82
Slimme tools en technieken
Leer hoe exploits werken
STREAMEN MET DLNA 52 Standaard met beperkingen
PATCHES VOOR OV-CHIPKAART | DDR4 EN PCI-EXPRESS 3.0 | M2M | WINDOWS 7 TOOLS EN TECHNIEKEN
HET LAB
62
Logical Volume Manager
EXCEL TIPS EN TRUCS 68
PATCHES VOOR OV-CHIPKAART Ontwikkelaars gaan los
78
Voorwaardelijk rekenen
RUBIK-KUBUS
71
74
GEDRAG VOORSPELLEN
Opgelost in 20 stappen
ABORT, RETRY, FAIL?
14
Simulaties op de computer helpen rampen voorkomen
Processors met fouten
STACK TRACKING
46
Hoe TCP/IP werkt
MACHINE-TO-MACHINE 86 Apparaten praten onderling
XBOX360-KINECT
26
Besturen met uw lichaam
SONY NEX-VG10E
16
Primeur: eerste videocamera met verwisselbaar lenssysteem
LEUK OF MEUK
20
4300 mAh penlite-accu?
56
PRIVACY IN GEVAAR 90
USERACCOUNTS BEHEREN
Graven in metadata
Veiligheid en vrijheid
GRATIS
BACK-UP SPECIAL
EXTRA
Likno Web Tabs Builder t.w.v. € 36 Password Memory 2010 Windows 7 Tweaker 2.2.5 HotKeyz 2.8.3 ObjectDock 2.0
Areca Backup 7.1.9 Easus ToDo Backup 1.1 Yadis! Backup 1.9.17 BuddyBackup 2.0.0.7 DirSync Pro 1.31 DriverMax 5.5
90-dagenversie: Trend Micro Titanium Internet Security 2011 30-dagenversie: Nero 10 Multimedia Suite
WWW.PC-ACTIVE.NL NR. 243
JAARGANG 23 | DEC.'10/JAN.'11
€ 6,99
LINUX-MAILSERVER: ALTIJD BAAS OVER UW EIGEN MAIL 100 Cover 243.indd 1
26-11-2010 10:47:47
Meerkanaals geluid. Twee luidsprekerarrays.* Eén USB verbinding. Companion 5 multimedia luidsprekersysteem. ®
Tegenwoordig is de computer een belangrijke bron voor muziek en ander digitaal entertainment. Nu is er een compact luidsprekersysteem dat perfect aansluit op deze audiomogelijkheden van uw computer. Sluit het Companion 5 multimedia luidsprekersysteem Quote gebruikt met toestemming, Stuff Magazine (01/2007).
®
aan en geniet van rijk, gedetailleerd kwaliteitsgeluid dat u lijkt te omringen, zonder gebruik te maken van achterluidsprekers. Uw muziek klinkt helder, gedetailleerd en levensecht, terwijl special effects in films en games overdonderend klinken. Het plug-and-play Companion 5-systeem behoeft geen geluidskaart en geeft geen wirwar ®
aan kabels. Het is audio entertainment, puur en simpel.
“Surround sound uit slechts 2 luidsprekers en een basmodule; dit is wat uw computer nodig heeft” – Stuff magazine
Geniet samen van een magische kerst met kwaliteitsgeluid van Bose
Bose_C5_Xmas_PC_Active_420x297.indd 1 Untitled-2 1
23-11-10 16:41 24-11-2010 10:31:54
®
*En een uit het zicht te plaatsen Acoustimass -module.
a naar u
Bose_C5_Xmas_PC_Active_420x297.indd 2 Untitled-2 1
e oek . ose.nl o autoriseerde ersonal udio dealer ®
23-11-10 16:41 24-11-2010 10:32:30
INHOUD 78 PATCHES VOOR OV-CHIPKAART Ontwikkelaars gaan los In de vorige editie van PC-Active beschreven we hoe iedereen met een beetje Linux-kennis zijn eigen OV-chipkaart kan kraken. Een stortvloed aan reacties was het gevolg. We bekijken de laatste ontwikkelingen.
Stand van zaken Een aantal maanden geleden besloot de redactie van PC-Active een nieuwe koers te gaan varen. Dat resulteerde in een gerestylde versie waarin PC-Active veel technischer, diepgravender en journalistieker van aard is. Daar hebben wij veel positieve reacties van lezers op gehad. Inmiddels hebben wij de cijfers van de losse verkoop van de eerste ‘vernieuwde’ PC-Active (nummer 241) binnen en die zijn veelbelovend. In het tweede ‘nieuwe’ nummer pakten we uit met het hacken van de OV-chipkaart, iets wat ons veel publiciteit opleverde, op onder andere tv. Absoluut goed en leuk voor ons, dat zal ik zeker niet ontkennen. Maar wij hebben ook een journalistieke plicht om dit soort misstanden aan de kaak te stellen. Het kan namelijk niet zo zijn dat een systeem waarmee miljarden zijn gemoeid om zwartrijden tegen te gaan, eenvoudig te kraken is. Ook in dit nummer besteden we er weer aandacht aan, zowel om terug te blikken naar de afgelopen periode alsmede de huidige stand van zaken weer te geven. Soms heb ik het gevoel dat we die beerput pas een beetje hebben geopend. Van alle kanten springt men nu hier bovenop en ook de redactie van PCActive zit niet stil. Uiteindelijk streven we (naïef?) naar een waterdicht systeem. Daarnaast vindt u in dit nummer veel andere artikelen die meer dan de moeite waard zijn om te lezen, zoals hoe computersimulaties van mensenmassa’s rampen kunnen voorkomen. Uit de reacties van lezers en de cijfers uit de losse verkoop blijkt dat u onze ingeslagen weg weet te waarderen. Aan ons de schone taak om ervoor te zorgen dat dat ook zo blijft en dat u niet om PC-Active heen kan.
34 WINDOWS 7 Slimme tools en technieken Stel dat u thuis verschillende Windows XP- en Windows Vista-computers hebt. Deze wilt u wellicht allemaal upgraden naar Windows 7. Dan is een gestroomlijnde installatie van het besturingssysteem een stuk handiger dan telkens een standaardinstallatie uitvoeren. In dit artikel vindt u handige tools en technieken.
56 GEBRUIKERSACCOUNTS IN WINDOWS Evenwicht tussen veiligheid en vrijheid Om te bepalen wie wat kan doen op de computer hanteert Windows de gebruikersaccounts. Accounts zorgen voor veiligheid, maar beperken tegelijkertijd ook uw vrijheden op de pc. Bovendien heeft u vooral onder Windows 7 en Vista last van hinderlijke meldingen. Hoe vindt u de juiste balans?
Rob Coenraads Hoofdredacteur PC-Active
[email protected]
101 inhoud blad.indd 4
26-11-2010 10:48:48
86 GPRS-COMMUNICATIE Apparaten die onderling praten Wat zou er gebeuren als machines met elkaar kunnen praten? De printer bestelt automatisch nieuwe inkt als die bijna op is, een auto belt zelf 112 na een botsing en de elektriciteitsmeter geeft rechtstreeks de stand door, zodat u exact betaalt voor wat u verbruikt. Dat kan met ‘M2M’. Wat is dat, hoe werkt het en wat is er nu al mee mogelijk?
ALGEMEEN 6 PC-ANTWOORD 10 LINUX-NIEUWS
MeeGo 1.1 en Fedora 14
12 BEVEILIGINGSNIEUWS
De chipknip
14 ABORT, RETRY, FAIL?
Fouten in processors
19 WORD NU ABONNEE
En ontvang een cadeau
62 HET LAB
Logical Volume Manager
66 INHOUD CD 97 WAMMES’ COLUMN
Dieventuig
OP PAGINA 66 VINDT U DE INHOUDSOPGAVE VAN DE GRATIS CD-ROM BIJ PC-ACTIVE
98 COLOFON & LEZERSSERVICE
HARDWARE 16 SONY NEX-VG10
Eerste consumentenvideocamera met verwisselbaar lenssysteem
20 LEUK OF MEUK?
71
4.300 mAh penlite-accu
GEDRAG VOORSPELLEN Simulaties voorkomen rampen In de zomer van 2010 ging het op de Parade in Duisburg behoorlijk mis. PC-Active vroeg zich af in hoeverre computersimulaties van mensenmassa’s deze ramp had kunnen voorkomen.
22 DDR4 EN PCI-EXPRESS 3.0
Van twee- naar vierbaans
26 KINECT VOOR XBOX360
Uw lichaam is de controller
SOFTWARE 28 PASSWORD MEMORY 2010
Opslag voor al uw wachtwoorden
30 BACK-UPTOOLS
Handige freeware
34 WINDOWS 7 INSTALLEREN
Slimme tools en tips
40 EEN EIGEN LINUX-MAILSERVER
Beheer uw e-mail voortaan zélf
46 TCP/IP STACK HACKING
Van de fysieke laag naar de netwerklaag
52 MEDIA STREAMEN MET DLNA
Een standaard met beperkingen
20
56 GEBRUIKERSACCOUNTS BEHEREN
LEUK OF MEUK? 4.300 mAh penlite-accu?
68 HAAL MEER UIT EXCEL
Op de HCC-dagen vonden we op meerdere stands pakjes van vier stuks herlaadbare NiMH-batterijen – voor maar € 5 – die met de ronduit ongeloofwaardige claim schermden 4.300 mAh aan energie aan te kunnen. Uitermate twijfelachtig en dus ‘Leuk of Meuk’waardig.
Evenwicht tussen veiligheid en vrijheid Rekenen onder voorwaarden
ACHTERGROND 71 MENSENMASSA ONDER CONTROLE
Computer voorspelt gedrag
74 DENKWERK
Computer lost Rubik-kubus op
78 PATCHES VOOR OV-CHIPKAART
Ontwikkelaars gaan los
82 GOOGLE GRUYERE
Hoe werken exploits?
86 GPRS-COMMUNICATIE
Apparaten die onderling praten
90 GEVAREN IN METADATA
Privacy in gevaar
101 inhoud blad.indd 5
26-11-2010 10:49:45
INBOX MAIL VAN LEZERS
HENK VAN DE K AMER KO VAN ZEEL AND
REAGEREN? Surf naar ons forum “Ik heb een probleem!” [1] en stel uw vraag. Dit kan zonder registratie, alleen als u op de antwoorden wilt reageren is aanmelden noodzakelijk. Vragen over deze rubriek kunt u sturen naar
[email protected].
OV-chipkaarthack: dieptreurig! Met alle respect die erbij hoort, ik vind het dieptreurig dat de hackmethode van de OV-chipkaart (zie PC-Active 242) door u op straat wordt gelegd. Een verantwoorde omgang zou zijn de methode (met toegevoegde bezwaren) te leggen bij het ministerie dat over de OV-chipkaart gaat. Naam bij redactie bekend, e-mail In het artikel leggen wij uit dat er gebruik is gemaakt van de kraak die eind 2007 op het CCC bekend werd gemaakt. Ons eigen TNO heeft dit bestudeerd en aangegeven dat men vermoedde dat het over twee jaar door iedereen gedaan kon worden. Een vermoeden dat exact is uitgekomen. Kortom, onze regering en ook Trans Link Systems wisten beide exact dat dit er aan zat te komen. Omdat in hoog tempo de ‘alleen in het laboratorium’ gekraakte OVchipkaart door onze strot wordt gedrukt, kunt u niet van ons verwachten dat wij medelijden hebben met de personen die hiervoor verantwoordelijk zijn. Sterker nog, de website van de door ons gebruikte handleiding is, zoals de maker zelf aangeeft [2], uitgebreid bestudeerd door het ministerie en Trans Link Systems (HK).
Illegaal? Wat het bekijken van televisieprogramma’s uit het buitenland betreft (zie PC-Active 242), hoeft u wat mij betreft echt niet zo terughoudend te doen! Ik heb me onlangs doodgeërgerd toen ik in Spanje het programma ‘Holland Doc’ wilde bekijken en vervolgens een idiote mededeling te zien kreeg dat dit niet toegankelijk was omdat ik mij in het buitenland bevind! En dat van een publieke omroep waar ik via belasting kijkgeld voor betaal! Nu heb ik inmiddels een weinig stroom verbrui-
6
kende server gebouwd met het Asus AT3N7A-1 minimoederbordje. Dat servertje laat ik een volgende keer thuis aanstaan terwijl ik naar Spanje afreis. Maar hoe pak ik dit verder aan? En nog interessanter, kan ik via deze machine ook e-mails versturen zodat de ontvanger niet direct kan zien of ik mij wel of niet in het buitenland bevind? Ik zou dit zelf uit willen zoeken, maar ik loop steeds vast. Onno, forum Gevoelsmatig geven wij u helemaal gelijk, maar desondanks moeten wij aangeven of iets zich in een grijs gebied bevindt of niet. U geeft helaas niet aan welk besturingssysteem u geïnstalleerd hebt op de Asus. In het genoemde artikel gaan we uit van Linux omdat we een server gingen huren in het land waar we uitzendingen willen bekijken. Een server met Windows kost al snel € 25 extra per maand. Mocht u voor thuis ook voor Linux hebben gekozen, dan kunt u gewoon het artikel gebruiken. Het enige wat u extra moet doen, is de router instellen zodat deze de benodigde poorten intern aflevert. Wat mail betreft, is er ook genoeg keuze als u Linux gebruikt. Zelf kiezen we meestal voor Postfix en deze kunt u instellen als MSA (Mail Submission Agent). Het luistert dan op poort 587 zodat de blokkade op poort 25 die veel providers hanteren ook meteen wordt omzeild. Een ander voordeel is dat het verkeer naar de server toe gewoon versleuteld is, zodat niemand stiekem kan meeluisteren. Alleen kan iemand met kennis van zaken wel achterhalen dat u in het buitenland zit. Een testje via mijn server toont dit aan:
Received: from [192.168.178.21] (ip4da31a2c.direct-adsl.nl [77.163.26.44]) by smtp.armorica.tk (Postfix) with ESMTP id A316A3C04A0 for
; Mon, 8 Nov 2010 16:53:55 +0100 (CET)
PC-ACTIVE | Nr. 243 – 2010
200 pc-antwoord.indd 6
24-11-2010 10:15:53
INBOX
Mijn mailclient draait op het interne netwerk en geeft die dus door aan de mailserver. Deze controleert het en dat staat tussen haakjes. Die controle is ook handig om het echte ip-adres te achterhalen van spam, want dat kan niet zo gemakkelijk vervalst worden omdat het door mijn eigen server wordt gedaan. In Postfix kunt u aangeven dat alle mail moet worden doorgestuurd naar de mailserver van uw provider. Als u echt niet wilt laten zien dat u in het buitenland bent, dan moet u via VPN of tunnel inloggen op uw server en dan daar poort 587 aanspreken. Maar dan is het net zo makkelijk om meteen de mailserver van uw provider te benaderen. Kortom door een server thuis aan te laten staan, kunt u de rest van de wereld om de tuin leiden en denken dat alles in Nederland gebeurt (HK).
Overzetten mail Ik werk met Windows Vista en maak voor mijn mail gebruik van Windows Mail. Aangezien dit programma beperkingen heeft, bijvoorbeeld geen spellingcontrole, wil ik overstappen naar Microsoft Office Outlook. Mijn vraag is of ik de mail en contactpersonen kan overzetten van Windows Mail naar Outlook? En als dit mogelijk is uiteraard de vraag hoe dan? André Houwen, e-mail Het antwoord op deze vraag is redelijk eenvoudig. Gewoon installeren en zodra u Outlook voor de eerste keer opstart, wordt gevraagd of u het tot uw standaardmailpakket wilt maken. Als u daar bevestigend op antwoordt, komt de volgende vraag of u de mail en dergelijk wilt laten importeren van Windows Mail naar Outlook. Als u ook hier met ‘Ja’ antwoordt en tevens de e-mailaccounts laat importeren, is het enige wat u zelf weer zult moeten invoeren het wachtwoord van de verschillende accounts. Als u het Windows-adresboek gebruikt, moet u deze zelf importeren via Bestand | Importeren / Exporteren en dan de keuze Gegevens uit een ander Programma of bestand importeren. In het daarop volgende scherm kunt u helemaal onderaan het persoonlijk adresboek kiezen. Als u het adresboek van Windows Mail hebt gebruikt, wordt deze automatisch geïmporteerd en kunt u de laatste stap vergeten (KZ).
PROBEER NU!
bezorgd! Ik zag u al op rubberzolen over een nylon vloerbedekking lopen, gekleed in een nylon stofjas, naar een plastic bureaustoel achter een tafel met een formica blad om daar met een geaarde soldeerbout in een bordje met chips te gaan porren. Gezien uw technische achtergrond neem ik aan dat u niet echt zo’n verwoestende ESD-slag aan die arme antieke elektronica hebt uitgedeeld, maar veel van uw lezers zullen niet op de hoogte zijn van de gevaren van statische elektriciteit, dus dat had best even vermeld mogen worden! Omdat niet iedereen over een professionele antistatische werkplek beschikt, hier een paar tips: • draag geen synthetische kleding • leg een vel pink poly (dat roze antistatische plastic waarin veel electronica verpakt is - opengeknipte zak van een moederbord, o.i.d.) op de tafel • draag een polsbandje (overal verkrijgbaar voor een habbekrats) • aard pink poly, polsband en soldeerbout aan hetzelfde punt • houd plastic zakken (die zijn niet antistatisch) ver uit de buurt • laat dingen in hun antistatische verpakking zolang ze niet nodig zijn, leg ze nooit op tafel, alleen op dat vel pink poly • verpak ze NOOIT in een gewone plastic zak
DRIE DAGEN GRATIS
PROBEER NU! P DRIE DAGEN GRATIS
D
Persoonlijk adresboek importeren
Nachtmerrie Uw artikel over het solderen aan oude printplaten (zie PC-Active 241) heeft me een acute nachtmerrie
Beste usenet-provider van Nederland!!
www.hitnews.eu
Beste usenet-provider van Nederland!!
www.hitnews.eu 200 pc-antwoord.indd 7
Be
w 24-11-2010 10:16:09
INBOX
Dit is nog steeds niet ideaal, maar het voorkomt een grote hoeveelheid schade. Doe hetzelfde als u kaartjes in een computer prikt. U hebt werkelijk geen idee hoeveel er mis kan gaan als u het niet doet! In plaats van pink poly is gemetalliseerd plastic natuurlijk ook goed. Vergeet nooit dat u zelf het geladen voorwerp bent. Als u normaal door een kamer loopt, is een lading van 100 kV niet uitzonderlijk. Als u een tik van de deurkruk of van de autosleutel krijgt, zit u al op 250 kV of meer! Geen chip die dat overleeft. Het zou niet zo gek zijn voor een blad als PC-Active om er eens een artikel aan te wijden. Statische elektriciteit is nog steeds de grootste bron van elektronicastoringen. Cor Lulof, e-mail Al het werk is uitgevoerd op een antistatische mat die keurig geaard is. Het geheel wordt via de aardpin van een stopcontact aangesloten op de aardpen buiten. In mijn jaren dertig huis was boven nergens aarde aanwezig, dus tijdens de verbouwing zijn alle leidingen vervangen en weet ik dat de circuits goed zijn aangesloten. Tot slot is de aardpen bij het vervangen van de meterkast opnieuw geslagen [3]. Kortom, over mij hoeft u zich geen zorgen te maken! Maar u hebt absoluut een punt. Ik zie te vaak mensen rommelen in pc’s zonder dat men de juiste voorzorgsmaatregelen neemt. Helaas was de ruimte te kort om op bovenstaande in te gaan, maar u hebt absoluut gelijk dat een verhaal hierover niet zou misstaan in PC-Active. Ik kan het u nog sterker vertellen, we zijn ooit bezig geweest om hier een verhaal van te maken. Alleen konden we toen niet de foto’s krijgen waarop de gevolgen van ESD voor iedereen duidelijk zouden zijn. Mocht een lezer een ingang hebben om alsnog aan dit soort foto’s te komen, houden wij ons aanbevolen (HK).
Aansluiten en klaar? Ik ben teleurgesteld over het artikel over de Pogoplug in het oktobernummer van PC-Active. Ik las nergens dat de Pogoplug onbruikbaar is als er met vaste ip-adressen wordt gewerkt. Op dat moment laten de o zo vriendelijke servicedeskmensen van de Pogoplug u in de steek en krijgen we voor eigen risico een in Linux te programmeren optie aangeboden waarmee het zou kunnen werken, en dat is het dan. Als u vervolgens aangeeft geen programmeur te zijn en niets van
8
Linux weet en wil weten, dan blijft het stil. Toen ik jullie lovende artikel in het oktobernummer las, dacht ik bij mezelf ‘zal ik toch maar even de schaduwzijde van de Pogoplug aan de redactie melden?’, maar ik deed dat niet omdat voor november een hack werd aangekondigd. Helaas wederom niet wat ik verwachtte. Is het hebben van vaste ip-adressen zo bijzonder dat Pogoplug en uw redactie hieraan voorbij gaan? Toch lang niet iedereen werkt met dhcp? Waarom dan geen kritisch woord hieromtrent of nog beter een echt stapvoor-stapuitleg hoe dit wel te bereiken is? Daar zitten wellicht meer mensen op te wachten dan op een hobbyistisch gecreëerde bewakingscameraset. Juist omdat de Pogoplug zonder voorbehoud wordt aangeboden als ‘aansluiten en klaar’ mogen we van de leverancier verwachten dat dit ook in nagenoeg alle gevallen zo werkt! Ik hoop dat een kritisch woord in uw blad nieuwe kopers van de Pogoplug behoedt voor aanschaf als zij werken met vaste ip-adressen. Ik hoop nog meer dat uw redactie in een volgende editie hier aandacht aan geeft en stap voor stap uitlegt hoe dit voor een leek toch te realiseren is. Ronald van Vliet, e-mail Hoe ga ik dit op een nette manier brengen? Als eerste maar eens over dat dhcp. Die optie is ideaal voor mensen die niets van netwerken weten, ofwel exact het publiek waarop de makers van de Pogoplug zich richten! Op alle routers/modems die tegenwoordig verkocht worden staat dhcp standaard aan. U moet vaak serieus uw best doen om dat uit te zetten om overal op uw netwerk vaste ip-adressen te kunnen instellen. Omdat dhcp zo algemeen verspreid is, gebruiken wij dat standaard dus ook op ons testnetwerk en we denken er verder eigenlijk niet meer over na. Kortom, de Pogoplug voldoet nog steeds aan het aansluiten-en-klaar-principe en het is ook logisch om standaard dhcp te gebruiken en de moeilijke vaste ip-adressenoptie ver weg te verstoppen. Als de Pogoplug geen dhcp had gebruikt, waren we daar zeer waarschijnlijk wel over gevallen. Want dat had afbreuk gedaan aan wat de fabrikant wil uitstralen. Dan uw kritiek – tenminste zo voelt het – over de hack. Zoals gezegd in ons eerste artikel zou de PCActive-redactie – zeker in de nieuwe koers – een zo simpel overkomend
PC-ACTIVE | Nr. 243 – 2010
200 pc-antwoord.indd 8
24-11-2010 10:16:57
INBOX
apparaat als de Pogoplug gewoon negeren. Omdat echter duidelijk was dat er veel meer mee kon, hebben we het aangeschaft. In het eerste artikel wilden we onze lezers vooral wijzen op de naar onze mening gevaarlijke optie dat alles via de servers van de makers gaat. Als zij stoppen, hebt u weinig meer aan het apparaat. Tenzij u net zoals ons ziet dat de standaardsoftware gemakkelijk verwijderd kan worden en er opeens een fantastisch experimenteersysteem ontstaat. Omdat deze brievenrubriek tijdens de deadline wordt geschreven, is er geen tijd om uit te zoeken of wij een eenvoudige handleiding voor u kunnen maken. Al vrees ik dat het inderdaad inloggen via ssh wordt en dan een paar bestandjes aanpassen. Hoe dan ook, die houdt u van mij tegoed voor de volgende maand (HK).
Nog sneller In het kader ‘Glasvezel’ van het artikel ‘Snelheid is één ding’ van Jeroen Horlings in PC-Active 241 staat een foutje. De lichtsnelheid in vacuüm is 299.800 km/s en niet de vermelde 299,8 km/s. Dit geldt in het luchtledige, voor de snelheid in een materiaal moet dit nog gedeeld worden door de brekingsindex van in dit geval de glasvezel. Ik ken deze brekingsindex niet, maar ze is in ieder geval kleiner dan 2. De lichtsnelheid in glasvezel is dus minstens 150.000 km/s. Deze snelheid heet ook wel de fasesnelheid. De snelheid waarmee het signaal zich verplaatst door de glasvezel zal kleiner zijn dan deze fasesnelheid omdat we dan te maken krijgen met de zogenoemde ‘groepssnelheid’ van het licht. Het gaat te ver om hier dieper op in te gaan. Het zou mij echter zeer verbazen als die groepssnelheid een factor duizend kleiner is dan de fasesnelheid. W. Winter, e-mail De lichtsnelheid is enorm en de auteur heeft mogelijk de 299.800 km/s gelezen als het gebruikelijke meters per seconde en zo een extra factor duizend ingevoerd? Hoe dan ook, zelfs als de computers op de maan zouden staan, lijkt het nog alsof het geheel naast elkaar staat. Wie trouwens meer wil weten over de fase- en groepssnelheid kan beginnen in Wikipedia [4] (HK).
INFORMATIE [1] [2] [3] [4]
forum.pc-active.nl/viewforum.php?f=19 www.ov-chipkaart.org/?p=82 www.vandekamer.com/verbouwing/nieuwe-meterkast nl.wikipedia.org/wiki/Voortplantingssnelheid
Fritz!box Fon WLAN 7270 gewonnen? Als u de afgelopen maanden een abonnement op PC-Active nam, maakte u kans op één van de vijf Fritz!box Fon WLAN 7270-routers. Dit zijn de gelukkigen: J.M.G. Schutt A. Ludwig E. Oversier E. Romeijn B.J. de Groot
Nieuwstadt Kerkrade Amsterdam ’s Gravenhage Delft
Veel plezier met uw gewonnen prijs! PC-ACTIVE | Nr. 243 – 2010
200 pc-antwoord.indd 9
9
24-11-2010 10:19:03
LINUX NIEUWS
TEKST : KOEN VERVLOESEM
MeeGo 1.1: ook voor auto’s Terwijl de eerste versie van MeeGo enkel voor smartphones uitkwam, komt versie 1.1 van het besturingssysteem van Intel en Nokia ook met edities voor auto’s (In-Vehicle Infotainment, IVI) en voor handsets (Handset User Experience). MeeGo 1.1 is gebaseerd op Linux-kernel 2.6.35 en bevat verder X.org Server 1.9.0, Qt Mobility 1.0.2 en Qt 4.7. Eigenaars van de Nokia N900 smartphone die Maemo draait kunnen de nieuwste MeeGo-release proberen in een dualboot scenario. Dit wordt echter niet door Nokia ondersteund en is vooral bedoeld voor softwareontwikkelaars. Er is ook een Handset-versie voor het Aava Mobile Intel Moorestown-platform. De Handsetversie wordt overigens door de ontwikkelaars een ‘technology snapshot’ genoemd, en pas in versie 1.2 (verwacht in april 2011) zou het besturingssysteem echt voor het grote publiek bedoeld zijn. De opvallendste vernieuwing is echter de IVI-versie, die draait op Intel Atom-gebaseerde infotainmentsystemen in auto’s. MeeGo 1.1 voor IVI is een referentieimplementatie waar ontwikkelaars van infotainmentsystemen hun eigen product op kunnen baseren. De release heeft een voorbeeldinterface met taakbalk aan de linkerkant van
het scherm, die kan bestuurd worden met een scrollwieltje, aanraakscherm of muis. Standaard is text-to-speech ingeschakeld in de menunavigatie, geïmplementeerd met het opensource project Festival. Er is ook een rudimentaire support voor spraakherkenning, dankzij het opensource pakket PocketSphinx, en er zijn een aantal commando’s voorgedefinieerd. Als toepassingen zijn er onder andere een videospeler, muziekspeler, fotoalbum en autonavigatie met OpenStreetMap geïntegreerd. Ook handenvrij bellen via Bluetooth is ondersteund. HTTP://MEEGO.COM
10
PC-ACTIVE | Nr. 243 – 2010
204 Linux nieuws.indd 10
24-11-2010 10:37:28
E-BOOKS
| HARDWARE
Fedora 14 Fedora 14 (‘Laughlin’) is gebaseerd op Linux-kernel 2.6.35 en Gnome 2.32, dat de laatste versie van de desktopomgeving is voor de grote sprong naar Gnome 3. Dat betekent ook dat er op dit vlak niet veel vernieuwingen zijn, maar wie geïnteresseerd is in de toekomst van Gnome kan al de preview van Gnome Shell uitproberen. KDE 4.5 is eveneens beschikbaar voor de liefhebbers. Verder zullen gebruikers ook merken dat het openen en opslaan van jpeg-bestanden in heel wat programma’s sneller gaat omdat libjpeg vervangen is door libjpeg-turbo, dat met de MMX- en SSE-instructies van x86- en x86_64processors de compressie en decompressie efficiënter uitvoert. De nieuwe Fedora is vooral interessant voor ontwikkelaars. Zo bevat de distributie Python 2.7 en Python 3 die parallel naast elkaar geïnstalleerd kunnen worden, de Rakudo Star-implementatie van Perl 6, Erlang R14 en een LLVMgebaseerde compiler voor de programmeertaal D. De debugger Gdb heeft een nieuwe functie gekregen voor het analyseren van dynamisch geheugengebruik en verder hebben ontwikkelaars de beschikking over de ontwikkelomgevingen Eclipse 3.6 (‘Helios’) en NetBeans 6.9. Het Fedora-project heeft downloads beschikbaar van de live-cd (Gnome) en installatie-cd’s voor KDE, LXDE en Xfce, evenals een dvd. HTTP://FEDORAPROJECT.ORG
Linux-kernel 2.6.36 Het aantal regels code in de nieuwste Linux-kernel is voor één keer eens niet gegroeid ten opzichte van de vorige versie. Maar dat betekent niet dat er geen nieuwigheden zijn. Linux-kernel 2.6.36 heeft zoals elke versie heel wat nieuwe en verbeterde drivers. Zo kan de KMS-driver voor Radeon grafische kaarten de temperatuursensor uitlezen en ondersteunt ze audio-uitvoer via hdmi op RS600-, RS690- en RS740-chipsets. Verder is er ook een intelligent power sharing (IPS) driver aan de kernel toegevoegd, die de kloksnelheid van een geïntegreerde grafische chip kunnen verhogen in sommige Intel Westmere mobiele processoren op momenten dat de processor het volledige thermische budget niet gebruikt. In de netwerkstack zijn er ook wat drivers verbeterd, en de ipheth-driver ondersteunt nu ook de iPhone 4 voor tethering. Tot slot ondersteunt de nieuwe kernel nu Nvidia’s Tegra-platform, een geïntegreerde Arm-architectuur voor smartphones en smartbooks. Na jaren proberen hebben de ontwikkelaars van AppArmor eindelijk hun beveiligingstechnologie in de kernel gekregen. In 2006 doneerde Novell de AppArmor-code aan de open-sourcegemeenschap, en Ubuntu gebruikt de technologie sinds versie 7.10 (‘Gutsy Gibbon’). Het waren nu ook de ontwikkelaars van Canonical die AppArmor in de kernel kregen door te luisteren naar de feedback van de kernelontwikkelaars. Met AppArmor kan men de acties beperken die toepassingen kunnen uitvoeren, net zoals SELinux dat aanbiedt, dat al veel langer in de Linux-kernel beschikbaar is. HTTP://KERNELNEWBIES.ORG/LINUX_2_6_36
PC-ACTIVE | Nr. 243 – 2010
204 Linux nieuws.indd 11
11
24-11-2010 10:37:55
PRIVACY NIEUWS
TEKST : HENK VAN DE K AMER
CONTANT GELD VERBIEDEN De laatste jaren begint het een trend te worden om contant geld uit te bannen. Uiteraard heeft de politiek een fraaie smoes bedacht: de gewelddadige overvallen op winkeliers. Nu wens ik natuurlijk niemand zo’n overval toe, maar in de voorgestelde oplossing vergeet men één belangrijk ding. Wij hebben de overheid het geweldsmonopolie gegeven om ons burgers te kunnen beschermen tegen dit soort individuen. Het uitbannen van contant geld zou dus niet nodig moeten zijn als de overheid het gegeven mandaat correct zou toepassen. Ik moet dus concluderen dat de overheid geen greep meer heeft op de situatie of – en dat geeft het woordje smoes al aan – dat er een verborgen agenda is. Contant geld heeft voor een Big Brother-overheid een gigantisch nadeel: het is controleerbaar anoniem. Als ik op de terugreis uit Haarlem in Amsterdam op het station snel even een vette hap uit de muur trek, kan niemand mij daar op aanspreken. Ik weet dat het ongezond is, maar na een vermoeiende dag ook een traktatie om even van te genieten. Ik hoef in ieder geval niet bang te zijn dat ik in de toekomst hierover verantwoording hoef af te leggen. Stel nu dat die automaten voortaan alleen nog maar met een chipknip opengaan. Is dat anoniem? Men zegt het, maar in ieder geval niet door mij controleerbaar. Sterker nog, ik ben bijna zeker dat in ieder geval de bank exact kan achterhalen dat ik af en toe zondig tegen een gezond voedingspatroon. Die chipknip heeft tenslotte een nummer en dat zal gekoppeld zijn aan mijn naam. Nu kan ik natuurlijk met iemand ruilen en zo de database vervuilen, maar uiteindelijk moet het saldo een keer worden opgeladen en dan wordt het de bank al snel duidelijk dat er een ruilhandel heeft plaatsgevonden. En als dat niet is gebeurd, zal ik mij moeten gaan verdedigen voor wat iemand anders met mijn chipknip heeft uitgespookt. De chipknip is vermoedelijk – nogmaals ik kan niet controleren welke gegevens allemaal aan de winkelier worden overhandigd bij een transactie – wel ano-
12
Beveiliging.indd 12
niem in een winkel, maar zodra u moet pinnen, is het natuurlijk meteen gedaan met uw privacy. Tenminste, ik ga ervan uit dat op de afschriften van de winkelier exact zal staan van wie het geld afkomstig was. Maar eigenlijk doet dit niet ter zake; zoals gezegd weet uw bank in ieder geval alles over uw doen en laten. En aangezien de banken gewoon aan wetgeving moeten voldoen, is het een kleine moeite voor een overheid om inzage te krijgen. U gelooft het niet? Moet u volgend jaar eens liegen over uw spaargelden in de aangifte. Grote kans dat men meteen bij u op de stoep staat. Kortom, voor onze overheid is dat contante geld alleen maar lastig en als ze dus met een goede smoes komen waar het grootste deel van de bevolking zonder morren mee akkoord gaat, zullen zij dat niet laten. En ik zie nauwelijks protesten dat de overheid veel meer moet doen om de overvallers het leven flink zuur te maken in plaats van ons nette burgers te willen bespioneren. Nu wilt u vast net als ik weten of er niet controleerbaar anoniem digitaal geld bestaat. Het antwoord is ‘ja’ en via de hyperlink onderaan dit stukje kunt u lezen dat dit reeds in 1992 is bedacht. Het systeem gebruikt cryptografie voor het maken van een blinde handtekening. In feite zet de bank dus een handtekening op een betalingsopdracht, zonder dat zij die te zien krijgen. Vervolgens geeft u dat door aan de winkelier en die kan het geld innen, waarbij de bank wederom niet weet waarvoor het geld nodig was. Kortom de bank doet exact dat waarvoor zij ooit in het leven zijn geroepen: het beheren van ons geld. Het feit dat we nu gedwongen worden om traceerbare financiële handelingen te verrichten in plaats van dat men de afgelopen 18 jaar heeft gebruikt om een beter en ook nog eens anoniem systeem in te voeren, moet u toch minimaal aan het denken zetten. Het systeem is trouwens op nog veel meer gebieden toepasbaar om onze privacy terug te krijgen. Maar dat is stof voor een heel artikel. en.wikipedia.org/wiki/Anonymous_internet_banking
PC-ACTIVE | Nr. 243 – 2010
24-11-2010 07:03:21
Betrouwbare webhosting voor een scherpe prijs. • • • •
Geef je homepage een thuis. Geef je internetprojecten een thuis. Geef je data een thuis. Geef je ideeën een thuis.
TE HUUR
50% KORTING
op s g n la m o K ? n e t e Meer w
l n . e m o h m o k l www.we
STR1210_AZ_Welkom-Home_A4_NL 1 Untitled-7 1
22.11.10 10:27 24-11-2010 12:21:46
FOUTEN IN PROCESSORS
ABORT, RETRY, FAIL? TEKST : KOEN VERVLOESEM
Computerbugs worden niet altijd veroorzaakt door software. Soms zitten de fouten veel dieper, in de hardware zelf. Iedere fanatieke computergebruiker zal wel eens met een nukkige ram-chip te maken hebben gehad, maar zelfs in het hart van de computer, de processor, zitten wel eens fouten. Gelukkig komt het niet zo vaak voor dat het echt ernstig is.
D
e bekendste fout in een processor is de zogenaamde Pentium FDIV bug in de FPU (floating point unit) van de Intel Pentium-processor. Sommige berekeningen met drijvende-kommagetallen gaven incorrecte resultaten. De fout werd in 1994 ontdekt en publiek beschreven door de Amerikaanse professor Thomas Nicely. Hij had computerprogramma’s geschreven om priemgetallen te berekenen, priemtweelingen (twee priemgetallen die slechts 2 van elkaar verschillen), en nog heel wat andere collecties van priemgetallen. Zijn software kon deze berekeningen met verschillende pc’s uitvoeren. Vlak nadat hij in juni 1994 een computer met een Pentium-processor aan zijn computerlab had toegevoegd, begon hij inconsistenties in zijn berekeningen te zien. Met name zijn berekening van de constante van Brun (de som van de omgekeerden van priemtweelingen) bleek in de soep te lopen. In deze berekening moest hij voor heel wat priemgetallen p de waarde 1/p berekenen, en alhoewel hij dit met kommagetallen in dubbele precisie (64 bits) deed, bleken de berekende waarden slechts accuraat te zijn tot op enkele precisie (32 bits). Hij probeerde de bron van de fouten te achterhalen en dacht eerst aan een fout in zijn eigen programma, daarna aan de compiler of het besturingssysteem, en tot slot probeerde hij een Pentium met een ander moederbord. Tevergeefs. In oktober was hij er uiteindelijk van overtuigd dat het aan de processor lag (want de fout trad niet op bij zijn 486’s), en hij rapporteerde het probleem aan Intel. Toen hij geen nuttig antwoord van Intel kreeg, verspreidde hij zijn rapport ook onder onderzoekers, en zo kwam het uiteindelijk terecht op het CompuServe-netwerk en de nieuwsgroep comp.sys.intel. Als testcase gaf hij de
14
203 Bugs.indd 14
berekening (824.633.702.441,0) * (1 / 824.633.702.441,0), dat normaal gelijk aan 1 moet zijn of door afronding slechts in de laatste decimaal ervan afwijkt, maar op een Pentium was het resultaat 0,999999996274709702. Andere onderzoekers schreven testprogramma’s om de fout te detecteren en ontdekten getallen 1/N met grote fouten.
Grote fouten Een van hen was Tim Coe, die zelf al een FPU ontworpen had voor het bedrijf Vitesse Semiconductor. Uit de beschrijving van de foute resultaten zag hij onmiddellijk in wat de oorzaak was en hij realiseerde zich dat de fouten niet alleen bij berekeningen van de vorm 1/N voorkwamen, maar ook bij berekeningen van de vorm M/N en dat daar de fout zelfs groter was! Hij construeerde de berekening 4.195.835 / 3.145.727 die volgens hem een grote fout moest geven. En inderdaad, de fout bleek op zijn voorspelde berekening groter te zijn dan de afronding van een getal in enkele precisie. Deze fout kwam niet bij veel getallen voor, maar als ze voorkwam, was de fout wel vrij groot. De fout zat zoals gezegd in de processorinstructie om drijvende-kommagetallen te delen (FDIV is de machinetaalinstructie voor Floating point DIVision). Dat was heel eenvoudig te testen: normaal moet een getal vermenigvuldigd met en daarna gedeeld door hetzelfde getal resulteren in het originele getal, maar bij processors met de FDIV-bug was dit niet het geval. Zo is bijvoorbeeld (3.145.727 * 4.195.835) / (3.145.727 ) = 4.195.835, maar processors met de fout gaven als je dit in de Windows-rekenmachine of in Microsoft Excel ingaf als resultaat van (3.145.727 * 4.195.835) / 3 .145.727 = 4.195.579.
PC-ACTIVE | Nr. 243 – 2010
24-11-2010 09:49:33
Omdat de fout zo groot kon zijn (in het vierde significante cijfer), besloten de makers van het wiskundige programma MATLAB om de berekeningen in hun software FDIV-foolproof te maken. Eerst dachten ze om na elke deling z = x / y te controleren of x – y * z = 0 gold en indien niet (de Pentium met de FDIV gaf als resultaat bij bepaalde getallen 256) de berekening op softwarematige manier uit te voeren, maar dat zou de berekeningen te veel vertragen. Ze konden bewijzen dat de fout enkel voorkwam bij bepaalde bitpatronen in beide getallen in de deling, en dat dit gevaar week als beide getallen vermenigvuldigd werden met 15/16. Deze vrij efficiënte oplossing (ongeveer 20 % trager) implementeerden ze in MATLAB, en wie over een processor zonder de fout beschikte, kon de oplossing natuurlijk uitschakelen. Intel gaf toe dat de fout bestond in de 60, 66, 75, 90 en 100 MHz Pentiums, maar meende dat de meeste gebruikers er geen last van hadden omdat het maar bij 1 op de 9 miljard berekeningen fout liep. En als de fout optrad, kwam dit meestal in de negende of tiende decimaal voor, en slechts in 1 op de 360 miljard berekeningen in het vierde significante cijfer. Intel beloofde oorspronkelijk om processors te vervangen door nieuwe voor gebruikers die konden aantonen dat ze last hadden van de fout. Na kritiek op deze aanpak (enkel professors in de wiskunde en computernerds kunnen dit aantonen, hoewel heel wat anderen ook de gevolgen van foute berekeningen dragen zonder dat ze het zelf kunnen aantonen) gaf Intel toe en bood aan om elke Pentium-processor met de fout te vervangen voor wie dit wenste. Voor de gemiddelde gebruiker, die niet zo snel software gebruikt voor berekeningen met drijvende-kommagetallen met grote nauwkeurigheid, had de fout inderdaad niet zo’n grote impact. Bovendien had niemand in het jaar tussen de introductie van de Pentium en Nicely’s rapport de fout ontdekt. Bovendien heeft Nicely daarna twee Pentium-pc’s met de fout vijf jaar lang beschikbaar gesteld en een beloning uitgeloofd voor iedereen die er een foute berekening op zou tegenkomen zonder dit op een kunstmatige manier op te roepen; niemand heeft de beloning opgeëist!
Opnieuw berekenen Voor wiskundigen, wetenschappers, ingenieurs en voor gespecialiseerde software was de fout echter wel degelijk een groot probleem. Aan verschillende universiteiten moesten promovendi hun berekeningen van gegevens voor hun thesis opnieuw uitvoeren als voorwaarde om te kunnen promoveren, omdat ze een computer met de foute Pentium-processor hadden gebruikt. Dat ging in sommige gevallen zelfs om zes maanden werk dat opnieuw moest worden gedaan. Enkele producenten van medische apparaten, evenals farmaceutische bedrijven die medicijnen ontwikkelden, moesten hun analyses opnieuw uitvoeren voordat hun producten door de Food and
E-mail die Nicely stuurde naar aanleiding van het probleem
Drug Administration toegelaten werden. De FDIVbug heeft dus niet alleen Intel veel geld gekost... Onder computernerds ontstonden er al vlug grappen over de FDIV-fout, zoals het nieuwe motto van Intel: At Intel, Quality is Job 0.99989960954. Of Hoeveel Pentium-ontwerpers zijn er nodig om een gloeilamp in te draaien? Antwoord: 1,99904274017, maar dat is dicht genoeg voor niet-technische mensen. Ook een goede: waarom gaf Intel zijn Pentium-processor niet de naam 586, in lijn met zijn voorgangers? Het antwoord: Omdat ze 486 bij 100 optelden op de eerste Pentium en als resultaat 585,999983605 kregen. Overigens had Intel de FDIV-bug zelf al wel ontdekt voordat Nicely hem rapporteerde, maar zonder Nicely zou er niet zoveel ruchtbaarheid aan gegeven zijn. Het toont aan dat al die nerdactiviteiten zoals priemgetallen berekenen en andere wiskundige hoogstandjes nog wel hun nut hebben. Zonder de wiskundige uitspattingen van Nicely had Intel zijn fout waarschijnlijk in de doofpot gestopt.
INFORMATIE Nicely’s e-mail http://www.trnicely.net/pentbug/bugmail1.html Nicely’s FAQ http://www.trnicely.net/pentbug/pentbug.html FDIV Replacement Program http://www.intel.com/support/processors/pentium/fdiv/ Grappen over de FDIV bug http://www.netjeff.com/humor/item.cgi?file=PentiumJokes
PC-ACTIVE | Nr. 243 – 2010
203 Bugs.indd 15
15
24-11-2010 09:49:53
VIDEOCAMERA MET VERWISSELBARE LENS
SONY NEX-VG10E TEKST : ERIC VAN BALLEGOIE
Digitale fotocamera’s met verwisselbare lenssystemen zijn populair. Naast de bekende spiegelreflexmodellen winnen ook van compacte systeemcamera’s zónder spiegel snel terrein. Diezelfde technologie wordt door Sony nu voor het eerst ook toegepast in een videocamera. De NEX-VG10 is daarmee het eerste consumentenmodel met een verwisselbaar lenssysteem.
B
egin dit jaar introduceerde Sony de NEX-3en NEX-5-compact systeemcamera’s. Deze fototoestellen hebben de afmetingen van een normale compactcamera, maar bieden de mogelijkheid om verschillende lenzen te gebruiken, iets wat normaal alleen bij spiegelreflexcamera’s mogelijk is. Sony is hier overigens niet uniek mee, ook Panasonic, Olympus en Samsung hebben dit soort spiegelloze camera’s in hun assortiment. Al deze camera’s hebben gemeen dat ze een grote beeldsensor gebruiken, die direct achter de lens geplaatst is. Sony’s nieuwe videocamera, de NEX-VG10, lijkt technisch sterk op de NEX-3- en NEX-5-fotocamera’s, maar is gegoten in de vorm van een camcorder die voor videogebruik beter in de hand ligt dan de NEX3 en NEX-5. Wat verder meteen opvalt is dat de VG10 is voorzien van een hoogwaardige microfoon én een viewfinder, twee functies die de NEX-3 en NEX-5 moeten missen. De NEX-VG10 kan standaard gebruik maken van Sony’s E-mount lenzen, maar middels
adapters kunnen ook lenzen uit Sony’s Alpha-serie, en zelf 35mm lenzen gemonteerd worden.
Sensor Hét grote voordeel van de NEX-VG10 boven standaardcamcorders is – naast de vrijheid om verschillende lenzen te kiezen – zijn grote beeldsensor. De gebruikte Exmor HD APS-C sensor meet maarliefst 23,4×15,6 mm en is daarmee bijna 20 keer groter dan een 1/2.88 inch sensor zoals deze in veel andere videocamera’s wordt gebruikt. Het grote voordeel hiervan is dat u de mogelijkheid krijgt om met scherptediepte te spelen en zo alleen op het onderwerp dat u filmt scherp te stellen. Met de NEX-VG10 is het op deze manier mogelijk om prachtige ‘filmachtige’ shots te maken. De camera kan naar keuze in de ‘P’-modus wordt gebruikt, waarbij de camera alle instellingen zelf regelt en standaard kiest voor een vrij grote scherptediepte. Daarnaast zijn ook modi beschikbaar waarbij
Het idee van een compacte spiegelloze fotocamera (NEX-5 – links) vertaald naar een camcorder (NEX-VG10 – rechts)
16
301 camera.indd 16
PC-ACTIVE | Nr. 243 – 2010
24-11-2010 09:39:48
SONY NEX-VG10E
u naar keuze de sluitertijd (S-modus) of het diafragma (A-modus) zelf instelt, terwijl de camera de overige waarden bepaalt. Voor wie graag alles zelf in handen heeft, biedt de M-modus uitkomst: hierbij kunnen diafragma, sluitertijd én gain (digitale versterking) handmatig worden ingeregeld. De sluitertijd kan gekozen worden van 1/4 tot 1/4000 seconde, de gain kan ingesteld worden tussen 0 en 27 dB. De diafragma-instellingen zijn afhankelijk van de lens, met de meegeleverde kitlens ligt het bereik afhankelijk van de zoom tussen F3.5 – F22 en F6.3 – F40. Wanneer gekozen wordt voor een grote diafragmaopening, ontstaan prachtige plaatjes met een kleine scherptediepte. Hiermee is het mogelijk om de aandacht van het publiek specifiek op één onderwerp te richten.
Kitlens Een gemis waar menigeen die een camcorder gewend is moeite mee zal hebben, is de afwezigheid van motorische zoom. Op de body van de NEX-VG10 zult u tevergeefs zoeken naar een tuimelschakelaar om in en uit te zoomen. De meegeleverde SEL18200-kitlens met een bereik van 18 tot 200 mm, biedt gelukkig wél een grote zoomring om handmatig in en uit te zoomen. In de praktijk blijkt het vrijwel onmogelijk om dit net zo mooi gelijkmatig te doen als met een goede motorzoom. De zoomring vereist namelijk behoorlijk wat kracht om rond te draaien, waardoor het vrijwel lastig is om dit te doen zonder de camera ook (een beetje) te draaien, wat in beeld meteen zichtbaar is. Nu geldt voor serieuze videofilmers dat in- en uitzoomen eigenlijk sowieso uit den boze is, maar in sommige omstandigheden kan het toch fijn zijn om de mogelijkheid te hebben een langzaam in- of uitzoomshot te maken. Met de NEX-VG10 is dit eigenlijk alleen mogelijk wanneer de camera op een statief wordt gebruikt, en ook nog eens pas na enige oefening. Maximaal ingezoomd komt het binnenste deel van de lens overigens zo’n 7 cm naar buiten, wat de totale lengte van de camera op ruim 31 cm brengt!
25p Een opvallende eigenschap van de NEX-VG10 is dat deze video opneemt met 25 beelden progressive beelden per seconde, 25p dus. Omdat het apparaat beelden opslaat in avchd-formaat waarbij officieel geen ondersteuning wordt geboden voor 25p, worden deze beelden verpakt in een avchd-1.080i50-container. Feitelijk betekent dit dat het progressive beeld van de sensor interlaced wordt opgeslagen, maar dat het bij afspelen door middel van zogenaamde ‘2/2 pulldown’ weer progressive wordt weergegeven met de originele beeldsnelheid van 25 beelden per seconden. Dit is niet meer dan een trucje om toch van het avchd-bestandsformaat gebruik te kunnen maken, in de praktijk is het effect hetzelfde als wanneer de beelden gewoon in 1.080p25-formaat zouden worden
| HARDWARE
Eenvoudig te vervangen lens
opgeslagen. Voordeel van de 25p-opname van de NEX-VG10 – boven 50i bij andere avchd-camera’s – is dat elk beeld alle beeldlijnen bevat en dus gestoken scherp is, ook bij snelle bewegingen in beeld. Nadeel is echter dat de zogenaamde temporele resolutie, het aantal beelden per seconde, de helft is van normale avchd-camcorders die in 1.080i50-formaat opnemen. Vooral bij snel bewegende beelden is bij 25p-opnames duidelijk te zien dat het beeld niet zo vloeiend loopt als normale 50i-videobeelden. Helaas is het niet mogelijk om de camera naar keuze ook écht in 50i-modus te laten werken, wat de NEX-VG10 in de praktijk ongeschikt maakt voor opnames waarbij de camera snel bewogen moet worden, zoals registraties van sportevenementen. Ook een 1.080p50-modus – het beste van twee werelden – wordt helaas niet geboden door de NEX-VG10.
Handmatige instellingen Bij daglicht laat de NEX-VG10 fraaie plaatjes zien. In de P-modus is de camera te gebruiken als miken-klikcamera en gedraagt hij zich daarbij feitelijk als elke andere camcorder. De camera laat daarbij prima beelden met een goede beeldscherpte, een vrij grote scherptediepte en mooie kleuren zien. Toch is de NEX-VG10 hier duidelijk niet voor bedoeld. Niet alleen is de adviesprijs van € 2.000 wat hoog voor gebruik als simpele mik-en-klikcamera, het gebrek aan motorzoom en de opnamesnelheid van slechts 25 beelden per seconde maken de VG10 zelfs mínder geschikt voor huis-, tuin- en keukengebruik dan een normale avchd-camcorder die minder dan de helft kost. De NEX-VG10 is duidelijk bedoeld voor de artistieke consument die ofwel met exotische telelenzen of juist met extreme groothoeklenzen aan de slag wil, of voor wie scherptediepte het allerbelangrijkste is. In handmatige modus zijn zowel scherptediepte als sluitertijd zelf in te stellen, waardoor mooie artistieke effecten te bewerkstelligen zijn, die met een normale camcorder met kleine sensor onmogelijk zijn. De camera beschikt overigens niet over specifieke knoppen of draaiwieltjes om het diafragma, de slui-
PC-ACTIVE | Nr. 243 – 2010
301 camera.indd 17
17
24-11-2010 09:40:18
HARDWARE
| SONY NEX-VG10E
De uitschuifbare lens verlengt de camera tot meer dan 30 cm (rechts)
tertijd en de gain-waarde aan te passen. In plaats daarvan heeft de camera één draaiwiel dat door middel van een combinatie van voorkeuzetoetsen en het onscreenmenu verschillende functies toebedeeld kan krijgen. Dit zorgt er feitelijk voor dat u slechts één instelling tegelijkertijd kunt doen, en voor de volgende ofwel een andere voorkeuzeknop moet indrukken, of zelfs naar het menu terug moet. Het is dus zaak om vóór elk shot te bedenken welke instelling u tijdens het shot nog wilt kunnen aanpassen, want zeker wanneer u uit de hand filmt, is het vrijwel ondoenlijk om zonder te camera te bewegen van functie te wisselen.
Zebra en peaking Helaas blijkt bovendien dat twee erg belangrijke hulpfuncties in deze camera ontbreken. Zo is er geen enkele assistentie aanwezig bij het (handmatig) scherpstellen. Waar veel camera’s ofwel de mogelijkheid bieden om een klein deel van het beeld uit te vergroten en zo op detailniveau scherp te stellen, ofwel een peaking-functie bieden waarbij delen van het beeld die in-focus zijn voorzien worden van een gekleurde rand, ontbreken beide functies op de NEXVG10. En dat is erg jammer, want zeker wanneer er met een kleine scherptediepte gewerkt wordt kan de kleinste focusfout ervoor zorgen dat het gekozen onderwerp niet scherp in beeld is. Ook een zebrafunctie, waarbij delen van het beeld die (bijna) overbelicht zijn, gearceerd worden weergegeven, ontbreekt helaas op de NEX-VG10. Wel biedt de camera een histogramfunctie, maar deze kan een goede zebrafunctie niet vervangen. Daarnaast verdwijnt het histogram uit beeld wanneer de gain ingesteld wordt, wat nogal onhandig is.
Geluid Een van de meest in het oog springende eigenschappen van de NEX-VG10 is de microfoon. Het antracietkleurige metalen microfoonhuis is aan de voorzijde van de T-handgreep ondergebracht en wordt beschermd door een ‘kooi’ gemaakt van twee metalen staafjes die om het geheel heen gebogen zijn. Het microfoonhuis zelf is door middel van een verende rubberen verbinding met de camera verbonden, ongetwijfeld om geluid van de camera zelf te dempen. Het bijzondere aan de microfoon is dat deze feitelijk
18
301 camera.indd 18
over vier microfoons beschikt, twee die naar voren wijzen en twee die geluid van opzij oppikken. Deze zogenaamde ‘quad capsule spatial array’-configuratie zorgt er in combinatie met slimme softwarealgoritmes voor dat geluid van vóór de camera duidelijk wordt vastgelegd, terwijl geluid van opzij en achter grotendeels wordt weggefilterd. In de praktijk blijkt de geluidskwaliteit van de ingebouwde microfoon inderdaad erg goed.
Conclusie De NEX-VG10 is een revolutionaire camcorder omdat het de eerste videocamera voor consumenten is met een verwisselbaar lenssysteem. Dit stelt de gebruiker in staat om te kiezen voor extreme groothoek- of juist telelenzen. De grote APS-C Exmor CMOS-sensor maakt het bovendien mogelijk om met scherptediepte te werken op een manier die met normale camcorders niet mogelijk is, en zo filmachtige beelden te schieten. De beeldkwaliteit die de camera hierbij laat zien, is uitstekend. De beeldscherpte is prima en ook de kleurweergave is dik in orde. Nadeel is wat ons betreft dat de camera erg op twee gedachten hinkt. Enerzijds richt de camera zich met zijn 25p-opnamemodus, mogelijkheden tot het spelen met scherptediepte en het gebruik van verschillende lenzen duidelijk op de artistieke prosumer. Anderzijds zijn het ontbreken van meer directe knoppen, ingebouwde ND-filters en de softwarematige beperkingen op het gebied van de volume-instelling, zebra-functie en scherpstel-hulp voor deze doelgroep juist een groot gemis. Met de NEX-5 fotocamera heeft Sony echter laten zien dat het via firmware-updates functionaliteit kan en wíl toevoegen wanneer de gebruikers daar om vragen. Wij hopen dat dit bij de NEX-VG10 ook het geval zal zijn. Met een firmware-update is het uiteraard niet mogelijk om meer directe bedieningsknoppen te maken, maar onze bezwaren met betrekking tot de software moeten hiermee wél op te lossen zijn.
INFORMATIE Sony NEX-VG10 Prijs: € 2.000 incl lens website: www.sony.nl
PC-ACTIVE | Nr. 243 – 2010
24-11-2010 09:40:39
C
Untitled-3 1
M
Y
CM
MY
CY CMY
K
30-6- 2010 14:11:43
LEUK OF MEUK?
4.300 mAh AA NiMH TEKST : WAMMES WITKOP
Op de HCC-dagen vonden we op meerdere stands pakjes van vier stuks herlaadbare NiMHbatterijen – voor maar € 5 – die met de ronduit ongeloofwaardige claim schermden 4.300 mAh aan energie aan te kunnen. Uitermate twijfelachtig en dus ‘Leuk of Meuk’-waardig.
H
oewel de beurs dit jaar maar een enkele hal van de Jaarbeurs vulde, was er wel weer een marktgedeelte met kramen waarop men naast tweedehandskoopjes en houtomrande lcd-schermen ook modelhelikopters, kabels en veel namaak iPhone-accessoires aan de man probeerde te brengen. ’t Was ronduit druk bij die kramen – het oude HCC-gevoel –, maar dan wel veel kleinschaliger. Met deze rubriek in het achterhoofd was het aanschaffen van zo’n pakje met accuutjes natuurlijk onvermijdelijk. Normaalgesproken ga je af op je ‘gut-feeling’: de claim van 4.300 mAh kán niet waar zijn. Een goed bekend staande fabrikant als GP biedt in de consumentenmarkt als zwaarste type 2.700 mAh aan, die met een beetje zoeken per vier stuks rond de € 15 kosten. Ansmann is alweer een stapje verder in de race naar hogere capaciteiten en levert 2.850 mAh, maar die batterijen zijn wel meteen een stuk duurder dan die van GP. Dus deze merkloze Chinese blister die we tegenkomen, móet wel liegen
over zijn mogelijkheden. Of toch niet? We hebben maar niet om een BTW-bonnetje gevraagd…
Testen Meten is weten. En dat meten doen we met de Conrad Charge Manager 2020, een acculader die keurig bijhoudt wat de capaciteit van een accu is. De stand Cycle is ideaal om te weten te komen hoe een cel het doet; daarmee wordt die accu eerst ontladen en daarna weer geladen. De ideale laadcyclus dus, die voor een lange levensduur moet zorgen. Na afloop valt op het schermpje per cel te zien hoeveel stroom er is geleverd en hoeveel er weer in de cel ging bij het herladen, hoe lang het proces duurde en wat de momentele spanning in Volt is. NiMH (Nikkel-metaalhydride) heeft een nominale spanning van 1,2 V, maar vers geladen ligt dat een stuk hoger en meten we 1,4 V tot zelfs 1,45 V. Tijdens het gebruik loopt die spanning terug tot ongeveer 1,1 V, op dat niveau aangekomen is de opgeslagen energie weer
Cycle 1
Cycle 2
Accu
Tijdsduur (Uur)
Ontladen (mAh)
Opladen (mAh)
Spanning (V)
Tijdsduur (Uur)
Ontladen (mAh)
Opladen (mAh)
Spanning (V)
1
3:45
1.217
1.347
1,409
3:44
1.203
1.443
1,443
2
3:43
1.240
1.369
1,405
3:52
1.263
1.357
1,441
3
3:35
1.195
1.334
1,403
3:44
1.228
1.333
1,430
4
3:43
1.257
1.383
1,402
3:53
1.284
1.385
1,438
Gemiddeld
3:41
1.227
1.358
3:48
1.245
1.380
De meetresultaten
20
301 LofM.indd 20
PC-ACTIVE | Nr. 243 – 2010
24-11-2010 09:42:37
BATTERIJEN
| HARDWARE
Wat deze Chinese fabrikant claimt, kan gewoon niet waar zijn. Of misschien wel?
verbruikt. Dieper ontladen is slecht voor de batterij. De Charge Manager is een luxepaardje, dat via RS232 aan de pc gekoppeld kan worden zodat met het apart te bestellen programma keurig de laadkarakteristiek kan worden vastgelegd. Maar voor deze test was dat niet eens nodig, het gaat er gewoon om de geclaimde capaciteit even te checken. De meetresultaten leest u in tabel 1.
Interpreteren Het is zonneklaar. Alle vier de cellen leveren zo ongeveer dezelfde prestatie, maar de metingen wijken wel mijlenver af van de claim van 4.300 mAh op de verpakking. Om precies te zijn, dit is gemiddeld nog geen 29 procent van wat het zou moeten zijn! Oftewel, die 4.300 mAh was inderdaad te mooi om waar te zijn – nog afgezien van de prijs van € 5 per pakje van vier stuks. We hebben nog overwogen om via de website van de verkoper commentaar te vragen. Maar www.edv-markt. com verwees naar www.pc-preis.de/catalog en daar verscheen de tekst ‘Kurze technische Pause. Leider ist
Cycle 3 Tijdsduur (Uur)
Ontladen (mAh)
Opladen (mAh)
Spanning (V)
4:17
1.207
1.326
1,431
3:44
1.237
1.355
1,424
4:13
1.193
1.325
1,425
3:43
1.261
1.369
1,421
3:59
1.225
1.344
unser Shop im Augenblick geschlossen. Wir sind bald wieder für Sie da. Vielen Dank für Ihr Verständnis.’ Oftewel, kort vertaald: we zijn er niet, komt u later eens langs. Gewoon, uit nieuwsgierigheid, hebben we ook nog een pakje van vier stuks GP 2700-cellen door de test gehaald. Dat leverde een gemiddelde capaciteit op van 2.395 mAh – ook veel te optimistisch, maar ze halen wel 89 % van de geclaimde capaciteit. Nog steeds overdreven dus, maar dat schijnt nu eenmaal te mogen in de wereld van accumakers.
Conclusie Meuk!
Leuk of meuk? Een nieuwe rubriek in PC-Active, maar we beloven niet dat deze elk nummer zal verschijnen. Het hangt er van af, wat we vinden aan onverwachte zaken. Want daar gaat het om op deze pagina’s. Hardware (of software) die we ergens tegen het lijf lopen en waarvan we ons afvragen of het eigenlijk wat is. Is het zijn geld waard? Vreemde apparaten, rare toepassingen; ’t kost wel geld om het eens te proberen. En er staat al zoveel ongebruikte zooi in de kast. Dat is voor ons als redactie nu eenmaal een stuk minder problematisch. We hebben grote kasten en vooral, een onkostenrekening om eens wat aan te kopen en aan de tand te voelen. Vandaar: Leuk of Meuk. En komt u iets tegen waar u van vindt dat het een kandidaat moet zijn voor deze rubriek? Gooi er een e-mailtje ([email protected]) tegenaan, en wie weet staat het over een maand of wat in Leuk of Meuk!
PC-ACTIVE | Nr. 243 – 2010
301 LofM.indd 21
21
24-11-2010 09:44:08
DDR4 EN PCI-EXPRESS 3.0
VAN 2 NAAR 4 BAANS TEKST : KOEN CRIJNS
DDR4-geheugen moet over een paar jaar de opvolger worden van DDR3, dat inmiddels is ingeburgerd. Maar eerder nog moeten de pci-express 2.0-sloten op de moederborden plaatsmaken voor versie 3.0. Een blik op twee toekomstige technologieën waar u ongetwijfeld mee te maken gaat krijgen. Nu is het nog ddr3 wat de klok slaat; vanaf 2012 komt ddr4 eraan
E
en moederbord uit 2010 lijkt in niets meer op een moederbord van een dikke tien jaar geleden. Serial ata (sata) kwam in de plaats van parallel ata (pata), pci-express in plaats van agp en pci, usb verving de seriële en parallelle poort, ddr-geheugen kwam in de plaats van sdram en zo kunnen we nog wel even doorgaan. De nieuwe standaarden worden door hun ontwerpers ook steeds verbeterd en versneld. Na sata 150 kwam sata 300, na ddr kwam ddr2, usb 1.1 werd opgevolgd door usb 2.0 en inmiddels ook 3.0, en na pci-express 1.0 kwam pci-express 2.0; stuk voor stuk vernieuwingen met minimaal een verdubbeling van de snelheid. Onlangs hebben we opnieuw twee belangrijke vernieuwingen op het moederbord gezien. De nieuwe sata 600-interface versnelt de verbinding tussen chipset en harde schijf of ssd van 300 naar 600 MB/s. De nieuwe usb 3.0-standaard versnelt de communicatie met randapparatuur van 480 Mbit/s naar 4,8 Gbit/s. Hoewel er vast achter de schermen alweer wordt gewerkt aan sata 1200 en usb 4.0, zijn de komende jaren eerst enkele andere onderdelen van het moederbord aan de beurt. De nu ingeburgerde ddr3-geheugenmodules zullen ergens de komende paar jaar plaatsmaken voor ddr4 en de pci-express-interface krijgt een upgrade naar versie 3.0.
DDR3 vs. DDR4 De huidige geheugenstandaard, ddr3, werd geïntroduceerd in 2007 en voor het eerst toegepast op de Intel P35-chipset. Ddr3 was – hoe kan het ook anders? – een
22
doorontwikkeling van ddr2, wat op zijn beurt weer was gebaseerd op ddr-geheugen. De afkorting staat voor double data rate, wat betekent dat de geheugenchips per klokslag twee keer data kunnen versturen. Bij ddr3-1600-modules bedraagt de klokfrequentie officieel 800 MHz, maar omdat er dus iedere klokslag twee keer dataoverdracht plaatsvindt, worden de modules aangeduid als 1.600 MHz. Zowel de overstap van ddr naar ddr2, als die van ddr2 naar ddr3 was bedoeld om de klokfrequenties op te kunnen voeren. Lagere voltages voor de chips alsmede verbeterde communicatiealgoritmes zorgden er beide keren voor dat de snelheid aan het eind van de rit werd verdubbeld. Bij ddr was ddr400 de meest ingeburgerde variant; bij ddr2 werd dat ddr2-800 en bij ddr3 begint ddr3-1600 nu de standaard te worden. Het laat zich dus raden wat de doelen voor ddr4 zijn! Belangrijk om te realiseren is dat de specificatie voor ddr4-geheugenchips op dit moment nog niet af is. Binnen de Jedec-organisatie, die de standaarden formuleert, wordt door verschillende belanghebbenden – waaronder alle grote geheugen- en processorfabrikanten – nog over de nodige details gediscussieerd. Ddr4-geheugenmodules en moederborden zullen zodoende naar verwachting pas in 2012 het levenslicht zien. Verwar de standaard dan ook niet met de gddr4of gddr5-geheugenchips zoals die alweer een tijdje op videokaarten aanwezig zijn. De standaarden voor systeem- en videokaartgeheugen lopen al lange tijd niet meer synchroon doordat de eisen voor beide compleet anders zijn. Een belangrijk verschil is bijvoorbeeld dat
PC-ACTIVE | Nr. 243 – 2010
307 ddr4 en pcie-30.indd 22
24-11-2010 09:27:38
DDR4 EN PCI-EXPRESS 3
normaal geheugen op losse modules moet kunnen worden geplaatst, terwijl videokaartgeheugenchips per definitie op dezelfde kaart als de gpu zitten met slechts zeer korte datalijnen ertussen. Net als bij de vorige transities zal ddr4 in eerste instantie worden geïntroduceerd op de hoogste officiële klokfrequentie van ddr3, 1.600 MHz dus. Daarnaast zal naar verluidt ook ddr4-2133 direct als officiële standaard beschikbaar komen. Voor 2013 en verder staan ddr4-2400, ddr4-2667 en ddr4-3200 op de rol, om zo uiteindelijk weer een verdubbeling tot stand te brengen. Dergelijke snelheden zijn met de bestaande ddr3-technologie alleen mogelijk wanneer u zeer extreem gaat overklokken. Eén euvel zal opnieuw optreden: net als bij de vorige transitie zullen de latencies, ofwel de wachttijden tussen het opvragen van data bij een geheugenchip en het daadwerkelijk beschikbaar zijn daarvan, relatief stijgen. Met ddr3 zijn we gewend aan CAS-latencies van zeven, acht of negen kloktikken. Bij ddr2 waren juist CAS-latencies van 4, 5 en 6 normaal. Let wel, de latencies zijn uitgedrukt in klokslagen, wat betekent dat CL4 op 800 MHz exact even lang duurt als CL8 op 1.600 MHz. Per saldo worden de latencies bij een nieuwe geheugenstandaard in de regel dus wat korter.
Voltage Belangrijk onderdeel van de nieuwe standaard is dat het voltage waarop het geheugen werkt, verder wordt verlaagd. Voor ddr4 wordt een initieel voltage van 1,2 V verwacht, terwijl bij ddr3 nu 1,5 V standaard is. Bij de snellere ddr4-varianten vanaf 2013 zal naar verwachting een voltage van 1,0 V worden gebruikt. Vanuit productieoogpunt zijn de verschillende fabrikanten zich al op deze verandering aan het voorbereiden. Zo heeft Samsung sinds korte tijd een nieuwe lijn ddr3-chips geproduceerd met 30 nm transistors die hun werk kunnen doen op 1,35 V. Samen met de aanpassingen van de architectuur bij ddr4 moet dit productieprocedé geschikt zijn voor de volgende generatie. Wanneer ddr4 exact zijn intrede doet, is op dit moment nog moeilijk te voorspellen. De standaard moet immers zijn voltooid voordat processorfabrikanten Intel en AMD geschikte controllers voor toekomstige processors gaan ontwerpen. Intels eerstvolgende generatie processors, Sandy Bridge, komt volgens de laatste geruchten al voor het eind van het jaar op de markt en is nog steeds gebaseerd op ddr3. Eind volgend jaar komt Ivy Bridge, een nieuwe generatie cpu’s gebaseerd op dezelfde architectuur, maar dan met kleinere 22 nm transistors. Dat zal betekenen dat ddr4 pas op z’n vroegst in de Haswell-processorgeneratie kan worden geïntegreerd. Haswell staat op Intels roadmap voor eind 2012 en dat zou op zich mooi in lijn zijn met het gereedkomen van ddr4 bij de Jedec-organisatie.
| HARDWARE
Vermoedelijk hoeven we net als bij ddr3 de eerste periode nog niet veel van AMD te verwachten. Ergens in 2011 komt de fabrikant met een nieuwe generatie processors gebaseerd op de Bulldozer-architectuur. Ook hierin zit nog een ddr3-geheugencontroller. AMD staat erom bekend dat het bedrijf sockets graag zolang mogelijk gelijk houdt. Wanneer het met de introductie van Bulldozer in 2011 een daarvoor geschikte socket met ddr3-ondersteuning introduceert, zal AMD daar naar verwachting minstens twee jaar aan vasthouden. Vermoedelijk zal de fabrikant dus niet eerder dan 2013 processors met ddr4-geheugencontroller hebben.
PCI-Express 3.0 Een standaard die we veel eerder dan ddr4 mogen verwachten, is pci-express 3.0, opvolger van het huidige pci-express 2.0. De standaard is nog niet geheel klaar, maar het PCI-SIG-consortium is in een vergevorderd stadium. Het doel was om net als bij de overstap van pci-express 1.0 naar 2.0 een verdubbeling van de bandbreedte te bewerkstelligen, terwijl wederzijdse compatibiliteit bleef gewaarborgd. Dat betekent dat de sloten fysiek identiek blijven en dat een toekomstige pci-express 3.0-uitbreidingskaart prima functioneert in een pci-express 2.0-slot en andersom. Zoals bekend werkt de pci-express-standaard met afzonderlijke lanes, ofwel seriële dataverbindingen. Vier, acht of zestien lanes kunnen in een groter slot worden gecombineerd om zo een hogere doorvoersnelheid te bewerkstelligen. Bij pci-express 1.0 werkten de lanes op een klokfrequentie van 2,5 GHz, waardoor er dus 2,5 miljard keer per seconde een bit (0 of 1) kon worden verstuurd. Dankzij de gebruikte 8b/10b-encodering, waarover verderop meer, bood een pci-express 1.0 ×1-slot een doorvoersnelheid van 250 MB/s en een pci-express 1.0 ×16-slot het zestienvoudige ofwel 4 GB/s. Bij pci-express 2.0 verdubbelde de klokfrequentie naar
Samsung heeft nu al op 30nm geproduceerde ddr3-chips en is zo bijna klaar voor de overstap op ddr4
PC-ACTIVE | Nr. 243 – 2010
307 ddr4 en pcie-30.indd 23
23
24-11-2010 09:28:03
HARDWARE
| DDR4 EN PCI-EXPRESS 3
5 GHz, waardoor ook de beschikbare doorvoersnelheid verdubbelde: 500 MB/s voor pci-express 2.0 ×1 en 8 GB/s voor pci-express 2.0 ×16. Bij pci-express 3.0 wordt de klokfrequentie verhoogd van 5 GHz naar 8 GHz. Geen factor twee dus, terwijl een verdubbeling van de snelheid was beloofd. Dat heeft alles te maken met de gebruikte codering…
Enen en nullen Pci-express is zoals gezegd een serieel protocol, wat betekent dat alle lanes afzonderlijk data versturen en niet hoeven te worden gesynchroniseerd met elkaar of met een extern kloksignaal. De ontvanger moet uit de data zelf het exacte tempo waarop de data worden verstuurd, kunnen extraheren, zodat verzender en ontvanger synchroon te werk kunnen gaan. Zoals bekend bestaan alle data binnen de pc uit enen en nullen – wat in de praktijk betekent: wel of geen spanning – en als deze twee elkaar in een aanhoudende stroom data maar vaak genoeg afwisselen, heeft de ontvanger binnen no-time het juiste ‘ritme’ te pakken. Wanneer er in de communicatiestroom echter toevallig ofwel heel veel nullen ofwel heel veel enen achter elkaar komen, en er dus heel lang geen of juist heel lang wel spanning is, kan de synchronisatie wegvallen en kan de ontvanger niet meer helemaal zeker weten hoeveel nullen of enen nu exact zijn ontvangen. Om dat probleem te ondervangen wordt bij pci-express 1.0 en 2.0 zogenaamde 8b/10b-encodering toegepast, overigens net als bij de usb-standaard. Bij deze codering wordt voor elke 8 bits aan data uiteindelijk 10 bits gebruikt. De gegevens worden op dusdanige wijze vertaald dat er maximaal drie nullen of enen achter elkaar kunnen komen. In een uiteindelijke datastroom is het totaal aantal nullen uiteindelijk vrijwel even groot als het aantal enen. Waar je normaal dus hebt geleerd dat 1 byte gelijkstaat aan acht bits, worden er bij pci-express 10 bits gebruikt voor 1 byte. Vandaar dus dat 5.000 bits versturen per seconde (5 GHz) bij pci-express 2.0 gelijkstaat aan 500 MB/s. Pci-express 3.0 stapt af van deze encodering en past een 128b/130b-codering toe. Dus voor iedere 128 bits aan data worden 130 bits verstuurd. Er is dus vrijwel geen overhead. Op deze
Wireless pci-express De overstap naar versie 3.0 is niet de enige verandering die we in de toekomst mogen verwachten aan het pci-express-front. De bedrijven Atheros and Wilocity hebben kort geleden aangegeven gezamenlijk te werken aan een draadloze versie van de pci-express-bus. Door gebruik te maken van de 60 GHz-band zou deze wireless pci-express-standaard voldoende bandbreedte moeten hebben om vergelijkbare prestaties met normale pci-express-verbindingen te kunnen bieden. De mogelijkheden zijn legio. Wat te denken van een externe, krachtige grafische kaart die u draadloos met uw notebook kunt verbinden? Of en wanneer wireless pci-express er komt, is echter nog onduidelijk. Beide bedrijven zijn pas net met de ontwikkeling begonnen en de PCI-SIG, het consortium dat de pci-standaarden bepaalt, zwijgt nog in alle talen.
manier kunnen er wel meer nullen en enen achter elkaar komen, maar daar is een andere oplossing voor bedacht. Die is overigens nog niet bekendgemaakt. De 8 GHz klokfrequentie van pci-express 3.0 resulteert zodoende in net geen 1 GB/s, 984 MB/s om precies te zijn. We mogen wel zeggen dat dit een verdubbeling is ten opzichte van de 500 MB/s van pci-express 2.0. Een ×16-slot van de 3.0-generatie kan dus net geen 16 GB/s transporteren.
Wat biedt de toekomst? Wordt de Intel x68-chipset voor de in de tweede helft van 2011 verschijnende high-end Sandy Bridgeprocessors de eerste chipset met ondersteuning voor pci-express 3.0? Dat wordt in ieder geval wel gefluisterd. Voor middensegmentplatforms integreert Intel tegenwoordig de pci-express-controller in de processor. Een upgrade naar 3.0 zal ofwel bij Ivy Bridge eind volgend jaar ofwel bij Haswell eind 2012 plaatsvinden. Van AMD is nog niet bekend wanneer de chipsetdivisie met pci-express 3.0 aan de slag gaat. De nieuwe standaard zal de eerste tijd overigens voornamelijk in servers erg nuttig zijn, bijvoorbeeld voor high-end fibre channel-netwerkkaarten. Nvidia en AMD zijn uiteraard ook lid van het PCI-SIGconsortium en het ligt voor de hand dat ook deze bedrijven op termijn hun videokaarten in pci-express 3.0-uitvoering op de markt brengen.
CONCLUSIE De komende jaren mogen we een tweetal grote, misschien zelfs evolutionaire, veranderingen op het moederbord verwachten. Allereerst wordt ddr3 stap voor stap vervangen door ddr4. Doel is om de klokfrequenties en dus de datadoorvoersnelheid te verdubbelen. Eenzelfde verdubbeling zal plaatsvinden bij pci-express 3.0. Beide standaarden zijn nog niet geheel gereed. Van ddr4 hoeven we voor 2012 nog niets te verwachten; pci-express 3.0 verschijnt op z’n vroegst in 2011. Pci-express 3.0-poorten zullen fysiek identiek zijn aan bestaande pci-express 1.0- en 2.0-sloten
24
PC-ACTIVE | Nr. 243 – 2010
307 ddr4 en pcie-30.indd 24
24-11-2010 09:33:20
Untitled-5 1
25-11-2010 10:16: 25
XBOX 360-KINECT ZIET PRECIES WAT U UITSPOOKT
CONTROLLERLOOS GAMEN TEKST : RICK VAN EEDEN
Games spelen met een controller die op beweging reageert, is populair. Dat moet anders kunnen, dacht Microsoft en het ontwikkelde de Kinect. Een sensor die kijkt naar de bewegingen die u met uw lichaam maakt. En het is niet alleen bedoeld voor spelletjes.
I
n november introduceerde Microsoft Kinect, een uitbreiding voor de Xbox 360. Het systeem is redelijk vergelijkbaar met de controller die Nintendo bij de Wii heeft en Sony bij de Playstation (de Move), maar met het grote verschil dat u bij Kinect niets in uw handen houdt. U bent namelijk zelf de controller. Kinect werd al halverwege 2009 op E3gamesbeurs aangekondigd onder projectnaam Natal (genoemd naar de Braziliaanse stad waar een van de drijvende krachten achter dit Microsoft-project vandaan komt). De Kinect-sensor die aan de Xbox 360 wordt gekoppeld, maakt een 3d-voorstelling van de ruimte waarin hij staat, scant naar aanwezige personen en analyseert de bewegingen die door de spelers worden gemaakt. Van een simpele handbeweging tot het een meter in de lucht springen. De bewegingen worden gedetecteerd en direct vertaald naar wat er in de applicatie of in het spel moet gebeuren. We voegen hier bewust ook het woord ‘applicatie’ aan toe, omdat deze uitbrei-
ding voor de Xbox 360 meer dan alleen voor spelletjes spelen is bedoeld. Met de gebaren die u met uw handen maakt, navigeert u namelijk probleemloos door de menu’s en de verschillende multimedia-toepassingen: u steekt uw hand naar voren, dat wordt gedetecteerd en op het scherm verschijnt een handsymbool. Beweegt u naar links, dan beweegt de schermhand direct mee. Blijft u eventjes hangen op een bepaalde plek (bijvoorbeeld boven het icoon van een film) dan wordt het betreffende onderdeel geselecteerd. Op die manier navigeert u zonder afstandsbediening door het systeem. En het maakt niet uit of u zit, staat, ligt, hangt of loopt. Kinect houdt uw hand (en de rest van uw lichaam) in de gaten en voert de opdrachten uit.
Infrarood De Kinect-sensor is een horizontaal geplaatste balk met een rgb-camera (640×480×32), een dieptesensor en een microfoon. Hij heeft een bereik van 1 tot 3,5 m. De dieptesensor bestaat uit een infraroodsen-
Kinect-sensor
26
PC-ACTIVE | Nr. 243 – 2010
206 gesignaleerd.indd 26
24-11-2010 07:53:51
KINECT
sor in combinatie met een monochrome cmos-sensor (320×240×16). Samen met de rgb-camera stelt het Kinect in staat om een 3d-voorstelling van de ruimte te maken en de aanwezige persoon te herkennen en zijn de positie in de ruimte uit te rekenen. Bij het kalibreren beweegt de sensor van boven naar beneden. Deze motor heeft meer vermogen nodig dan via een standaard usb-aansluiting kan worden geleverd. Microsoft heeft daarvoor een eigen usb-aansluiting ontwikkeld die voor extra stroom zorgt. De Kinect kan ook zonder problemen op een oudere Xbox 360 worden aangesloten, maar dan is een extra voeding wel noodzakelijk en wordt hiervoor ook meegeleverd. Het bewegingherkenningssysteem bestaat uit twee onderdelen: enerzijds de software die door Microsoft zelf is ontwikkeld. Deze software werkt samen met de infrarood 3d-camerahardware die is ontworpen door het Israëlische bedrijf PrimeSense. Deze combinatie zorgt voor de geavanceerde bewegingsherkenning, de gezichtsherkenning en ten slotte stemherkenning via de eveneens ingebouwde microfoon. Overigens is de stemherkenning nog niet geactiveerd in de Nederlandse versie. Microsoft Nederland werkt op dit moment nog aan een Nederlands taalsysteem dat naar verwachting volgend jaar beschikbaar zal zijn. Dan wordt het ook mogelijk om – naast handbewegingen – het apparaat ook te bedienen via stemopdrachten. Aanvankelijk was het idee om de Kinect-sensor te voorzien van een eigen processor die al het rekenwerk voor de bewegingsherkenning voor zijn rekening zou nemen. Gaandeweg de ontwikkeling hebben de ontwikkelaars gekozen om de krachtigere PowerPC Xenon-processors die in de Xbox360 zelf zitten, te gebruiken. Volgens een woordvoerder van Microsoft verbruikt Kinect met deze keuze zo’n 10 % van de totale beschikbare rekencapaciteit van de processor.
Toepassingen Kinect wordt in eerste instantie alleen uitgebracht voor de Xbox 360. Met deze speciale controller probeert Microsoft een breder publiek te trekken voor
| HARDWARE
Actie in de huiskamer: racegames
zijn spelcomputer, die natuurlijk vooral geassocieerd wordt met hardcore-gaming. Voor Kinect zijn al diverse spellenpakketten beschikbaar zoals avonturengames, een dansspellen, racegames en spellen voor kinderen. Daarnaast probeert Microsoft met zijn Zune-toepassing de Xbox360 steeds meer een mulitmediaplatform voor de huiskamer te laten zijn. We zijn een uurtje aan de slag gegaan met Kinect. Een ding is zeker: het is een prima vervanger van de Wii Fit. Na een uur springen staat het zweet je op het voorhoofd!
Ten slotte De Xbox 360 is een leuk apparaat, maar vooral bedoeld voor het spelen van games. Wat we natuurlijk ook willen, is dat de Kinect ook valt aan te sluiten valt op onze pc. Kinect kan als een prima uitbreiding voor een multimedia-pc dienen: in het voorbijgaan wisselt u met een handgebaar van televisiekanaal of muzieknummer. Hoewel Kinect nu alleen beschikbaar is voor de Xbox 360, hebben de eerste hacks zich al aangediend. De sensor is al met succes aan een pc met Windows 7 gekoppeld, waarbij men de dieptesensors werkend heeft gekregen. De eerste opensourcedrivers zijn zelfs al beschikbaar voor gebruik onder Linux! De verwachting is dat Microsoft Kinect wel in Windows 8 gaat ondersteunen. Daarop wijst in ieder geval een uitgelekte presentatie over dit nieuwe besturingssysteem, waarin wordt gesproken van een ‘betere ondersteuning voor aanraken en gebaren’. Windows 8 zal ergens in 2012 beschikbaar komen. Tot die tijd moet u vooral gewoon veel naar uw Xbox 360 blijven zwaaien.
INFORMATIE Springen en duiken. Punten verzamelen door veel te bewegen
Kinect voor Xbox 360 Prijs: € 149 website: www.microsoft.com
PC-ACTIVE | Nr. 243 – 2010
206 gesignaleerd.indd 27
27
24-11-2010 07:54:23
SOFTWARE
OPSLAG VOOR AL UW WACHTWOORDEN
PASSWORD MEMORY 2010 TEKST : JAN ROZ A
U gebruikt ze dagelijks: wachtwoorden. Onthouden hoeft niet meer, want Password Memory 2010 doet dat voor u en nog veilig ook.
D
e hoeveelheid digitaal opgeslagen privacygevoelige informatie is enorm. Niet erg als uw computer veilig achter slot en grendel staat, maar op een laptop die ook buitenshuis wordt gebruikt, lopen uw gegevens altijd de kans gestolen te worden. Goede wachtwoorden zijn dus essentieel. Bezoekt u bovendien regelmatig allerlei websites op internet waarop moet worden ingelogd, dan hebt u ongetwijfeld een flinke voorraad wachtwoorden te onthouden. U kunt deze natuurlijk simpelweg in een Word-document of tekstbestand opschrijven, maar daarmee maakt u het inbrekers en hackers natuurlijk wel heel erg gemakkelijk. Beter is het om dit soort gegevens versleuteld op te slaan in een database zodat u de enige bent die deze gegevens kan gebruiken. Password Memory 2010 is zo’n databaseprogramma en is bovendien gratis.
Veilig en gemakkelijk Voor de gegevensopslag maakt dit programma gebruik van Firebird, een volwassen database met een goede reputatie op het gebied van stabiliteit en veiligheid. De data in deze database wordt versleuteld via 256-bits encryptie, wat er voor zorgt dat niemand uw data kan lezen behalve als hij beschikt over uw wachtwoord voor databasetoegang. Password Memory is
trouwens niet beperkt tot een enkele database, u kunt er zoveel aanmaken als u wilt. Zo kunt u bijvoorbeeld een database aanleggen voor alle zakelijke gegevens en een voor alle privé-gegevens. De kracht van een programma als Password Memory is dat elke database informatie over een haast onbeperkt aantal wachtwoorden kan bevatten en dat u slechts één wachtwoord hoeft te onthouden om al deze wachtwoorden weer te gebruiken. Alle gegevens kunnen worden gegroepeerd in zelf op te geven groepen. In de database kunt u een titel, gebruikersnaam, wachtwoord, webadres, groep, pictogram en een omschrijving vastleggen per website, forum, database of bestand. En bent u veel onderweg, dan is een usb-stick voldoende om al uw wachtwoorden bij de hand te hebben; Password Memory laat zich namelijk probleemloos installeren op een usb-stick. Het programma is voorzien van het nieuwe Microsoftlintmenu met daarin een duidelijke indeling. Bij het invoeren van nieuwe gegevens toont het u direct of het door u gekozen wachtwoord veilig is. Voor de gebruikersnaam en het wachtwoord zijn ook kopieerknoppen aanwezig zodat u deze gegevens via kopiëren en plakken direct kunt gebruiken in uw inlogschermen. Naast deze gratis versie is er ook nog een Plus-versie die de mogelijkheid heeft om uw gegevens te exporteren naar een aantal andere bestandsformaten. Ook kan met deze Plus-versie in een echte client-serveropzet met meerdere gebruikers via een netwerk worden gewerkt. De meeste gebruikers zullen echter voldoende hebben aan de gratis standaard versie.
CONCLUSIE Password Memory 2010 is een programma om eenvoudig en veilig al uw toegangscodes op te slaan. Vooral de mogelijkheid om dit programma ook op usb-stick te kunnen installeren, geeft u alle vrijheid om overal over uw wachtwoorden te beschikken.
Password Memory 2010 Systeemeisen: Windows XP/Vista/7 Registratiekosten: Gratis
28
PC-ACTIVE | Nr. 243 – 2010
400 SoftwareA.indd 28
24-11-2010 07:42:41
SOFTWARE
GRAFISCH HULPJE VOOR HET DELEN VAN FOTO’S
FRAMESHOP TEKST : JAN ROZ A
H
oewel papieren fotoalbums nog steeds bestaan, is digitaal dat tegenwoordig de klok slaat. Bij het versturen via e-mail is het belangrijk de grootte van de te versturen foto’s in de gaten te houden. FileStream FrameShop helpt u hier bij door foto’s te optimaliseren en te verkleinen. Het kan ook diashows maken van door u geselecteerde foto’s. De werking van FrameShop wijst zichzelf en gaat altijd in zes duidelijke stappen of u nu foto’s wilt optimaliseren of een diashow wilt maken: geef de gewenste grootte voor de foto’s op, selecteer de foto’s, bepaal lay-out en stijl, bewerk eventueel de gekozen foto’s, bepaal de volgorde van de foto’s en voeg overgangseffecten toe, genereer de diashow. Bij het optimaliseren van foto’s volgt u dezelfde stappen, alleen worden dan in de laatste stap de foto’s geëxporteerd naar een gekozen map of aangeboden aan uw mailprogramma. In de proefversie van dit programma wordt elke foto voorzien van opvallende watermerken.
FrameShop 2.1 Systeemeisen: Windows XP/Vista/7 Registratiekosten: $ 69,95
MAC-ACHTIG ALTERNATIEF VOOR HET WINDOWS-MENU
OBJECTDOCK TEKST : JAN ROZ A
H
et Mac OS herkent u aan het van Windows afwijkende menusysteem. Onder in beeld vinden we in dat systeem het dock, met daarop een aantal pictogrammen. Voor gebruik in Windows heeft Stardock net zoiets ontwikkeld: ObjectDock. Zodra u met de muis boven een pictogram op dit dock zweeft, komt het los van de balk, wordt het groter en verschijnt de naam van het bijbehorende programma er vlak boven. De positie van dit ‘plankje’ op het scherm bepaalt u helemaal zelf, net als de effecten en de snelheid van dit menusysteem. Het gratis ObjectDock beperkt zich tot één plankje, wilt u meerdere docks dan zult u de Plus-versie moeten aanschaffen (US$ 19,95). De Plus-versie bevat nog veel meer extra’s, want u kunt dan ook docks onderverdelen in meerdere tabbladen en op die manier weer een beetje de indeling zoals in het standaard Windows-menu zit overnemen. Ook imiteert de Plusversie Windows 7 door, wanneer de muis over een pictogram zweeft in een apart strookje alle geopende
vensters van het bijbehorende programma te tonen. Hoewel de gratis versie van ObjectDock eigenlijk enkel een lekkermakertje is voor de Plus-versie kan het de Windows-taakbalk toch uitstekend vervangen.
ObjectDock 2.0 Systeemeisen: Windows XP/Vista/7 Registratiekosten: Gratis / $ 19,95 (Plus versie)
PC-ACTIVE | Nr. 243 – 2010
400 SoftwareA.indd 29
29
24-11-2010 07:42:58
SOFTWARE
BACK-UPTOOLS
HANDIGE FREEWARE TEKST : PIE TER - CORNELIS AVONTS
In deze reeks stellen we u telkens een aantal gratis – en vaak ook minder bekende – programma’s voor die weliswaar over hetzelfde thema handelen, maar op de een of andere manier toch ook complementair werken. Deze maand ‘back-uppen’ en aanverwante processen.
ARECA BACKUP 7.1.9 Areca Backup is een open-sourcetoepassing onder de GPL-licentie. Het programma is geschreven in Java en u kunt op de site zowel voor een Windows- als een Linux-versie terecht. De aanpak is ietwat eigenzinnig en de vertalingen soms wat krom, maar na enige gewenning blijkt de tool best wel gebruiksvriendelijk. De bedoeling is dat u eerst een ‘target’ creëert, waarbij u zowel de repository of doelmap (dat kan ook een ftp-server zijn) als de bronmap definieert. Dat is op zich voldoende, maar er zijn nog allerlei parameters mogelijk: u kunt recursief te werk gaan, de back-up in een zip(64)-archief gieten, opsplitsen vanaf een bepaalde grootte, versleutelen (AES-128), uitzonderingsfilters instellen en pre- of post-backupacties vastleggen (via scripts). Het is ook mogelijk verschillende targets in logische groepen op te delen en alle targets in zo’n groep in één keer laten back-uppen. Areca ondersteunt verschillende back-uptypes, waaronder een volledige, incrementele en differen-
Areca Backup
30
tiële back-up. Minder bekend is de ondersteuning van zogenoemde deltaback-ups, waarbij alleen de gewijzigde delen van bestanden worden opgeslagen, wat een stuk schijfzuiniger is. Areca ondersteunt ook transactionele schrijfoperaties, wat het risico op corrupte back-upbestanden vermindert.
Areca Backup 7.1.9 Systeemeisen: Informatie:
Windows XP/Vista/7 | Linux www.areca-backup.org
EASEUS TODO BACKUP 1.1 Todo Backup profileert zich in eerste instantie als een imaging tool voor Windows, bedoeld dus om een beeldbestand van een complete partitie of schijf te creëren – inclusief de actieve systeempartitie. Het programma laat zich eenvoudig bedienen. U geeft de beoogde partitie(s) aan, evenals de doellocatie voor het image; dat is voldoende. Wel kunt u eerst nog aangeven of u een sector-per-sectorkopie wenst – waarbij ook de ‘dataloze’ sectoren mee worden genomen (wat het uiteindelijke bestand stevig kan vergroten) –, met welke prioriteit het imagingproces aan de slag moet, en of u het beeldbestand wilt versleutelen, comprimeren en/of opsplitsen. Handig is wel dat u zo’n image vanuit het programma als een virtueel station kunt koppelen, waarna u dat vanuit de Verkenner kunt doorbladeren. Een image compleet terugzetten kan uiteraard ook vanuit de tool. Blijkt echter uw systeempartitie ge-
PC-ACTIVE | Nr. 243 – 2010
401 Software B - freewares.indd 30
24-11-2010 10:03:43
SOFTWARE
Easeus Todo Backup
crasht, dan kunt u Todo Backup altijd nog opstarten vanaf een live Linux-cd. Die kunt u trouwens branden met behulp van een meegeleverd hulpprogramma. Een live-cd op basis van WinPE is weliswaar krachtiger, maar daar moet u dan wel zelf voor aan de slag: op de site vindt u daarvoor de nodige links en instructies. En wie van plan is over te stappen op een grotere harde schijf: Todo Backup bevat hiervoor een handige kloonfunctie!
EASEUS Todo Backup 1.1 Systeemeisen: Informatie:
Windows XP/Vista/7 www.todo-backup.com
YADIS! BACKUP 1.9.17 Yadis! Backup, van Belgische origine, is vooral handig voor wie in real time back-ups van specifieke bestandslocaties wil hebben. Het programma laat zich namelijk zo instellen dat het constant de door u opgegeven bronlocaties in de gaten houdt. Zodra zich dan een of andere wijziging voordoet aan een van de bestanden in die bronlocaties, worden de betreffende gegevens automatisch naar de ingestelde doellocatie geback-upt. Wel kunt u de back-up door middel van enkele opties
Yadis! Backup
nog bijsturen. Het programma laat u onder meer toe inclusie- en exclusie-filters in te stellen en u kunt tevens versioning activeren, zodat ook vorige bestandsversies bewaard blijven. U kunt zelf instellen hoeveel versies u maximaal wilt bijhouden. Verder is het ook mogelijk het eigenlijke monitoringproces te finetunen en bijvoorbeeld in te stellen dat het hernoemen van een bestand of map niet automatisch tot een nieuwe back-up moet leiden. Standaard wordt een gewijzigd bestand meteen geback-upt, maar als u dat zo instelt zorgt Yadis! Voor een vertraging van x-aantal seconden, of u stelt de back-up in op ‘manual’ zodat u de back-up zelf moet initiëren. Back-upt u naar een verwijderde schijf die op dat moment niet is aangesloten, dan is Yadis! wel zo alert om gewijzigde bestanden in een ‘backlog’ te plaatsen. Zodra u de doelschijf weer aansluit, worden de gemarkeerde bestanden alsnog geback-upt.
Yadis! Backup 1.9.17 Systeemeisen: Informatie:
Windows XP/Vista/7 www.codessentials.com
BUDDYBACKUP BuddyBackup is een tool annex service waarmee u data online kunt back-uppen. In tegenstelling tot de meeste andere online back-updiensten echter, worden uw gegevens niet naar een centrale back-upserver weggeschreven: die komen namelijk alleen op de computers van medegebruikers terecht. Wel kunt u helemaal zelf beslissen welke ‘buddy's’ u voldoende vertrouwt om bij hen uw back-ups te deponeren. Overigens hoeft u zich ook niet al té veel zorgen te maken over uw privacy, gezien de back-ups worden versleuteld (AES-256). Standaard kunt u 10 GB bij uw buddy’s kwijt, een opslagcapaciteit die u weliswaar zelf kunt verhogen. Echter, voor wat, hoort wat: hoe hoger de capaciteit, hoe meer schijfruimte u zelf ook ter beschikking stelt van uw medegebruikers. Verder kunt u instellen hoeveel bestandskopieën (tussen 1 en
BuddyBackup
PC-ACTIVE | Nr. 243 – 2010
401 Software B - freewares.indd 31
31
24-11-2010 10:06:24
SOFTWARE
4) u bij elke buddy wilt opslaan. Hoe meer kopieën, hoe veiliger, maar ook: hoe sneller uw opslagcapaciteit is opgebruikt. Blijkt een van uw buddy’s niet online, dan houdt BuddyBackup alle wijzigingen in een lokale cache bij en wordt de back-up uitgesteld tot die weer online komt. Ook om uw data terug te zetten moet uw buddy uiteraard online zijn, maar weet alvast wel dat het programma uw data standaard ook lokaal back-upt, op uw eigen pc.
(custom). Deze laatste optie geeft meteen al aan dat u alle synchronisatieopties geheel naar eigen hand kunt zetten. Zo kunt u onder meer instellen dat u bepaalde bestandstypes buiten de synchronisatie wilt houden of u maakt duidelijk hoe DirSync Pro met eventuele conflictsituaties moet omgaan bij bi-directionele synchronisaties.
DirSync Pro 1.31 BuddyBackup Systeemeisen: Informatie:
Windows XP/Vista/7 www.buddybackup.com
DIRSYNC PRO 1.31 Om DirSync Pro te kunnen draaien, hebt u wel Java JRE 1.6 of hoger nodig. Het programma bestaat in verschillende versies, zowel voor Windows, Linux als DOS en kan overweg met uiteenlopende bestandssystemen, waaronder fat, ntfs, WinFS, Ext 2/3 en udf.
Systeemeisen: Informatie:
Windows XP/Vista/7 | Linux | DOS www.dirsyncpro.org
DRIVERMAX 5.5 In tegenstelling tot de andere tools uit dit artikel kunt u met DriverMax geen back-ups van gegevensbestanden maken. Zoals de naam al suggereert, beperken de back-ups zich namelijk tot geïnstalleerde stuurprogramma’s. Het programma analyseert uw systeem en somt vervolgens alle gedetecteerde drivers op. U beslist zelf welke u (niet) wilt back-uppen. Dat kan naar afzonderlijke mappen gebeuren, maar u kunt alle drivers ook in een handzaam zip-archief laten onderbrengen. Zo’n back-up kan uiteraard heel handig zijn, met name wanneer u beslist uw systeem opnieuw te installeren (al dan niet na een crash). Dankzij de ingebouwde restore-wizard hoeft u nauwelijks meer te doen dan naar de back-up verwijzen. Overigens kan DriverMax wel meer dan alleen het back-uppen en herstellen van drivers. De tool kan ook detecteren of uw drivers up-to-date zijn en presenteert desgewenst een webpagina met links naar nieuwere versies. In de gratis variant van DriverMax bent u wel beperkt tot het ophalen van maximaal twee drivers per dag.
DriverMax 5.5 Systeemeisen: Informatie:
Windows XP/Vista/7 www.innovative-sol.com
Dirsync pro
De naam van de tool maakt meteen duidelijk wat de hoofdbedoeling is: het synchroniseren van bestanden en mappen. Op zich hoeft zo’n operatie niet lastiger te zijn dan het aangeven van een bron- en doelmap, maar u kunt dit proces ook nauwgezet bijsturen vanuit DirSync Pro. Standaard kunt u uit een aantal voorgedefinieerde synchronisatieprofielen putten, waaronder Synchronize A B (incremental – nieuwe een gewijzigde bestanden worden dan van A naar B gespiegeld), Contribute A B (alleen nieuwe bestanden worden gespiegeld) , en Synchronize A B
32
DriveMax 5.5
PC-ACTIVE | Nr. 243 – 2010
401 Software B - freewares.indd 32
24-11-2010 10:07:32
U bent een fanatieke computergebruiker
U bent niet bang voor een stukje techniek
U schroeft zonder aarzelen uw pc open
U wilt alle ins en outs weten van hardware en software
U vormt graag uw eigen mening over pc’s
NEEM DAN EEN ABONNEMENT
OP PC-ACTIVE
Betaal het eerste jaar slechts
€ 42,50 in plaats van € 66,–
ÉN MAAK KANS OP 1 VAN DE 5 PLANTRONICS BACKBEAT 903+ HEADSETS T.W.V. € 79,99! De Plantronics BackBeat 903+ is een stereo bluetooth-headset, voor gebruikers met een actieve levensstijl. De headset biedt draadloze stereomuziek en de mogelijkheid gesprekken aan te nemen en te beëindigen met een enkele druk op de knop. De BackBeat 903+ is voorzien van dubbele microfoons en Plantronics’ eigen AudioIQ2 digital signal processing voor heldere en duidelijke gesprekken. De BackBeat 903+ is gemakkelijk en veilig. Kijk voor meer info op www.plantronics.com
Ga naar www.hubstore.nl/pc-active 10-11 PCA243 korting kanskado plantronics.indd 1
11/16/10 2:22:01 PM
HANDIGE TOOLS EN TECHNIEKEN
WINDOWS 7 TEKST : PIE TER - CORNELIS AVONTS
U hebt verschillende pc’s in uw (thuis)netwerk waar nu nog XP of Vista op draait, maar u wilt ze voorzien van Windows 7. Of uw eigen experimenten zadelen u steeds met een gecrasht systeem op. Dan is een gestroomlijnde installatie van het besturingssysteem een stuk handiger dan steeds een standaardinstallatie.
T
oegegeven, het laatste in de inleiding beschreven scenario – waarbij uw eigen systeem frequent aan uw experimenteerdrift ten prooi valt – kunt u ook makkelijk oplossen door meteen na een ‘afgewerkte’ installatie een schijfimage te maken. Daar bestaan trouwens gratis tools voor, waaronder DriveImage XML (www.runtime. org), EASEUS Todo Backup (www.todo-backup.com) en Macrium Reflect Free (www.macrium.com). Met deze toepassingen zet u bovendien bestanden selectief terug, zodat u ze tot op zekere hoogte als back-upoplossing kunt misbruiken. In het geval van een systeemcrash kunt u dan een redding-cd op basis van Linux inzetten (Todo Backup, Reflect Free) of u start het systeem op via BartPE, met behulp van een speciale plug-in (DriveImage XML, Reflect Free: de nodige uitleg vindt u op de sites). Een flexibeler oplossing echter is een op WinPE-gebaseerde cd, vooral omdat die ook ondersteuning biedt voor hardware-raid.
andere machinegebonden referenties die zonder zo’n reset alsnog voor problemen zouden kunnen zorgen (onder meer voor services als WSUS).
Weinig geraffineerd Een beproefde, maar niet zo geraffineerde methode om uw modelmachine voor te bereiden op een image dat u vervolgens in uw netwerk kunt uitrollen, is de volgende: installeer Windows 7 op de geijkte manier en installeer uw applicaties. Vervolgens start u Sysprep op, dat u vindt in %windir%\System32\sysprep. Hier selecteert u dan OOBE (Out-of-Box Experience) van systeem starten en plaatst u een vinkje bij Generaliseren, waarna u kiest voor Systeem afsluiten. Vervolgens kunt u van dit systeem een image maken. Dat lukte ons bijvoorbeeld met een opstartbare Ghost-cd, voorzien van de nodige netwerkdrivers, in combinatie met Norton Ghostcast Server (versie 11.0.1) op een Windows 2003-server.
Maar… In het andere scenario – het (her)installeren van Windows 7 in een netwerkomgeving – komt u in principe niet zomaar weg met het terugzetten van een image dat u van één bepaald systeem had gemaakt. In zo’n scenario ‘sysprept’ u het systeem liever eerst (zie verderop). Van oudsher geldt de noodzakelijke uniciteit van de SID’s (Security IDentifier) als voornaamste reden, maar onder meer Mark Russinovich van Sysinternals heeft daarover zijn twijfels (een interessant document hiervoor vindt u op http://tinyurl.com/ sid-myth). Hoe dan ook, sysprep herinitialiseert ook
34
Even syspreppen en dan ghosten: toch wat quick-and-dirty…
PC-ACTIVE | Nr. 243 – 2010
403 Windows 7.indd 34
24-11-2010 10:40:46
WINDOWS 7
Na het uitrollen van zo’n image op de andere pc’s moesten we dan wel steeds nog een aantal gegevens invullen en Windows activeren (door het wijzigen van de productcode) en werden uiteraard ook de gegevens van het Windows-account van onze modelmachine op de andere computers geplaatst. Inderdaad, dat kan beter… In dit artikel voorzien we daarom in de nodige stappen om een ‘onbevuilde’, maar anderszins afgewerkte modelmachine te syspreppen met het oog op het maken van een image. Dat doen we echter niet zonder sysprep eerst de weg te wijzen naar een antwoordbestand dat ons bij het uitrollen flink wat (tik)werk zal besparen. Vervolgens hoeven we onze doelmachines maar op te starten met een WinPE-cd of -stick om de image te kunnen overplanten.
Windows-installatie We beginnen de procedure met het installeren van Windows 7 op onze modelmachine. Windows creëert bij een monoboot-installatie een ‘verborgen’ partitie van 100 of 200 MB voor de BCD-store en voor de eventuele startbestanden van BitLocker. Dat kunt u desgewenst vermijden door de tweede partitie te verwijderen en de eerste (door het systeem gereserveerde) uit te breiden tot de totale schijfgrootte – of u zet hiervoor een externe partitiebeheerder in. Windows hoort zich ook zonder deze speciale partitie correct te installeren. Aan het einde van de installatie zal Windows u dan om een gebruikers- en computernaam vragen.
Auditmodus In plaats echter van hierop in te gaan, drukt u op Ctrl+Shift+F3. Dat dwingt Windows meteen opnieuw op te starten in de zogenoemde auditmodus, waarbij u automatisch als een lokale administrator wordt aangemeld. Druk in eerste instantie op de knop Annuleren zodra het Sysprep-venser verschijnt. Het voordeel van deze aanpak is dat u het systeem niet met een gebruikersaccount hoeft te ontsieren en dat u geen computerinformatie hoeft in te vullen. U gebruikt namelijk het lokale administratoraccount om alle nodige installaties van drivers en applicaties uit te voeren. Ook bij daaropvolgende herstarts blijft Windows in deze modus actief. Mocht Windows om een of andere reden toch in standaardmodus worden opgestart, dan kunt u de auditmodus desnoods nog forceren door sysprep uit te voeren. Selecteer dan echter niet OOBE, maar Systeemcontrolemodus opstarten en laat het vinkje bij Generaliseren weg.
| SOFTWARE
We stappen over naar de auditmodus
Kiest u bij Sysprep wél voor OOBE en kruist u tevens Generaliseren aan, dan beëindigt u de auditmodus en is uw systeem in principe klaar om het te imagen. Dat doen we echter niet zonder eerst in een handig antwoordbestand te maken en daar is wel enige voorbereiding voor nodig… Nu kunt u wel een en ander automatiseren met MDT (Microsoft Deployment Toolkit) – een van de opties uit het WAIK-menu (zie verder) –, maar wij houden voor onze experimenten liever het heft zelf in handen.
Antwoordbestand Idealiter hebt u, naast uw modelmachine, een tweede Windows-systeem (met minimaal .NET Framework 2.0) bij de hand – laten we die de werkmachine noemen. Daarop voert u dan de Windows AIK uit (Automated Installation Kit). Die kunt u downloaden via http:// tinyurl.com/waik-win7, in dezelfde taal als de Windowsversie van uw modelmachine. Het gaat om een omvangrijk iso-bestand van zo’n 1,2 GB dat u vervolgens mount of naar een dvd brandt. Op deze cd voert u dan het bestand startcd.exe uit. Dat
WAIK-tools Naast de eigenlijke Windows AIK Setup en MDT bevat het menu van WAIK nog een aantal andere interessante onderdelen, waaronder de twee volgende: ACT (Application Compatibility Toolkit) Deze toolkit helpt u bij het evalueren van de compatibiliteit van allerlei applicaties. U verneemt welke toepassingen compatibel zijn met diverse Windows-versies (waaronder Windows Vista en 7). ACT helpt u ook bij het creëren van shims, oftewel workarounds voor compatibiliteitsproblemen. Een shim ondervangt op transparante wijze een API en past de nodige parameters aan – een soort van compatibiliteitslaag dus voor oudere of nukkige applicaties. MAP (Microsoft Assessment and Planning toolkit) Inventariseert in één beweging het hele network. MAP voorziet tevens in simulaties voor servervirtualisatie, en helpt u zo uit te vissen waar eventuele knelpunten zitten.
De gereserveerde partitie mag u desgewenst verwijderen
PC-ACTIVE | Nr. 243 – 2010
403 Windows 7.indd 35
35
24-11-2010 07:37:11
SOFTWARE
| WINDOWS 7
Een handig pakket voor automatische Windows-installaties
Toon WSIM eerst de weg naar een geldig installatiebestand
levert u een menuvenster op van waaruit u diverse tools kunt installeren. Voor onze doeleinden – het aanmaken van een antwoordbestand – hebben we de WAIK-toolkit nodig en dus klikt u hier Windows AIK Setup aan. Vervolgens plaatst u de installatie-dvd van Windows 7 in het dvd-station en kopieert u het bestand met de extensie .clg (de eigenlijke bestandsnaam kan verschillen) uit de map \sources naar uw werkmachine. U kunt ook install.wim nemen, maar dat is heel wat omvangrijker. Desgewenst kunt u een van beide bestanden ook uit het installatie iso-bestand extraheren, bijvoorbeeld met 7Zip. Start nu de tool Windows Systeemkopiebeheer (Windows System Image Manager) op als administrator – die vindt u in de zojuist gecreëerde programmamap Microsoft Windows AIK. Klik met de rechtermuisknop in
TimeZone = W. Europe Standard Time [of Romance Standard Time]
het paneel Windows-installatiekopie en kies Windowsinstallatiekopie selecteren, waarna u naar het .clg- (of .wim-) bestand verwijst. U bent nu klaar om een antwoordbestand te creëren. Klik hiervoor het paneel Antwoordbestand met de rechtermuisknop aan en kies Nieuw antwoordbestand. Via het menu Bestand | Antwoordbestand opslaan als slaat u dat veilig op naar een bestand met de extensie .xml (bijvoorbeeld unattended.xml). In het paneel merkt u nu de zeven onderdelen van ons antwoordbestand op – meteen ook de zeven stappen van het installatieproces. Nu is het zaak componenten uit het paneel Windows-installatiekopie toe te voegen aan de zeven stappen. Behoorlijk tricky zoals u snel zult merken, maar wellicht kunt u al met een aantal invullingen uit ons eigen antwoordbestand aan de slag (zie tabel 1). Natuurlijk zijn er nog heel wat andere onderdelen die u aan uw antwoordbestand kunt toevoegen om de installatieprocedure nog verder te automatiseren. Het loont alvast de moeite ze grondiger te bestuderen. Alvast nog deze smaakmaker: via de component Microsoft-Windows-Shell-Setup Autologon kunt u in stap 7 (oobeSystem) er met de instellingen Enabled = true, LogonCount = 5 en Username = administrator voor zorgen dat de lokale administrator automatisch wordt aangemeld. Het bijhorende wachtwoord voegt u aan diezelfde stap 7 dan toe via de component MicrosoftWindows-Shell-Setup Autologon Password. Overigens kunt u ook het resulterende antwoordbestand doorbladeren (bijvoorbeeld via het kladblok van Windows 7) en desnoods zelfs handmatig aanpassingen doorvoeren.
Sysprep
Component
Fase antwoordbestand
Instellingen
Microsoft-WindowsInternational-Core-WinPE
1 windowsPE
InputLocale, SystemLocale, UILanguage, UserLocale = nl-NL [of nl-BE]
Microsoft-WindowsInternationl-Core-WinPE SetupUILanguage
1 windowsPE
UILanguage = nl-NL [of nl-BE]
Microsoft-Windows-Setup UserData
1 windowsPe
AcceptEula = true
Microsoft-Windows-ShellSetup
4 specialize
CopyProfile = true 1 ShowWindowsLive = false
Microsoft-WindowsInternational-Core
7 oobeSystem
[zie cel in bovenste rij van deze tabel]
Microsoft-Windows-ShellSetup
7 oobeSystem
RegisteredOrganizaton = [uw bedrijfsnaam] RegisteredOwner = [uw naam?]
Tabel 1 1
36
het profiel van ingebouwde administrator (en ons huidige profiel in de auditmodus van Windows op onze modelmachine) wordt dan naar het standaardprofiel gekopieerd. Laat met name de instellingen RegisteredOrganization en RegisteredOwner ongemoeid (respectievelijk Microsoft en AutoBVT)
We zijn nu bijna klaar om op onze modelmachine het antwoordbestand aan Sysprep door te spelen. Hebt u in dit antwoordbestand gevoelige informatie opgenomen (zoals wachtwoorden of de productsleutel), dan zorgt u er maar beter voor dat dit bestand verdwijnt na installatie op de doelcomputer(s). Creëer daarvoor op uw modelmachine een scriptje met de naam SetupComplete.cmd en met de volgende inhoud:
PC-ACTIVE | Nr. 243 – 2010
403 Windows 7.indd 36
24-11-2010 07:38:30
WINDOWS 7
| SOFTWARE
Sysprep krijgt het antwoordbestand ingelepeld
del /Q /F c:\windows\system32\sysprep\ unattended.xml del /Q /F c:\windows\panther\unattended.xml en plaats het in de map %windir%\setup\scripts (creëer deze map indien nodig). Kopieer nu uw antwoordbestand naar uw modelmachine in de map %windir%\System32\sysprep. Klik vervolgens met de rechtermuisknop in deze map terwijl u de Shift-toets ingedrukt houdt en kies Opdrachtvenster hier openen. Voer dan de volgende opdracht uit op uw modelmachine: sysprep /generalize /oobe /shutdown /unattend:"c:\windows\system32\sysprep\ unattended.xml" Sysprep wordt uitgevoerd, rekening houdend met het antwoordbestand, waarna uw pc zal afsluiten.
WinPE Terug naar uw werkmachine, waar we nu eerst een WinPE-cd of -stick creëren om hiermee dan de modelmachine op te starten. Dat kunt u doen met behulp van Windows AIK, die intussen al op uw pc geïnstalleerd is. Handig om weten: bij Alle programma’s | Microsoft Windows AIK | Documentation vindt u uitgebreide informatie betreffende (het aanmaken en bewerken van) WinPE. De bedoeling is in elk geval dat we de basisinstallatiekopie van WinPE (met name Winpe.
Een ‘antwoordbestand’ vergemakkelijkt het uitrollen van Windows in uw netwerk WIM) aanpassen om er een ‘bruikbaar’ systeem van te maken. Dat kan als volgt. Start Alle programma’s | Microsoft Windows AIK | Opdrachtprompt voor implementatieprogramma’s op als administrator. Van deze opdrachtregel voert u dan de volgende vier commando’s uit – vervang overal x86 door amd64 als het om een 64-bits WinPE gaat: (1) copype.cmd x86 c:\winpe_x86 (2) copy c:\winpe_x86\winpe.wim c:\winpe_ x86\ISO\sources\boot.wim
(3) Dism /Mount-Wim /WimFile:C:\winpe_x86\ winpe.wim /index:1 /MountDir:C:\winpe_x86\ mount (4) copy c:\"program files\Windows AIK\ Tools\x86\imagex.exe" c:\winpe_x86\mount\ Windows\System32\ (1 en 2) creëert een winpe_86-map op uw C: en kopieert de inhoud van de WinPE-map uit de WAIK-installatie naar die map; (3) de .WIM-image wordt gekoppeld en uitgeplooid naar c:\ winpe_x86\mount; (4) imagex.exe is nodig opdat uw WinPE met .WIMbestanden overweg kan (WIM staat voor Windows IMage) Nu kunt u ook nog allerlei opdrachtbestanden of scripts aan de WinPE toevoegen. Die plaatst u dan het beste in de map \Mount\Windows\System32. Zo zou u hier een aantal commando’s van Wpeutil (Windows PE utility) in een cmd-bestand kunnen onderbrengen, bijvoorbeeld Wpeutil enablefirewall Wpeutil SetMuiLanguage nl-NL Meer informatie over deze tool vindt u nog op http:// tinyurl/wpeutil. Het is trouwens ook mogelijk extra applicaties in de uitgevouwen image te injecteren of de image van bijkomende packages of drivers te voorzien. We hebben echter niet de ruimte hier verder op in te gaan. Sluit nu eerst alle Verkenner-instantie af en voer de volgende drie commando’s uit: (1) Dism /Unmount-Wim /MountDir:C:\ winpe_x86\mount\ /Commit (2) copy c:\winpe_x86\winpe.wim c:\winpe_x86\ISO\sources\boot.wim /Y (3) oscdimg -n -bc:\winpe_x86\etfsboot.com c:\winpe_x86\ISO c:\winpe_x86\winpe_x86.iso (1) de aanpassingen worden in het wim-bestand doorgevoerd en de volumekopie wordt ontkoppeld; (2) het wim-bestand wordt naar de boot iso gekopieerd; (3) er wordt een opstartbare iso van WinPE gecreëerd Ten slotte brandt u het winp_x86.iso-bestand naar een cd. Een handig alternatief is dat u WinPE op een (opstartbare) usb-stick plaatst. De complete inhoud van de map C:\winpe_x86\ISO naar de root van de stick te kopiëren is voldoende. Voorwaarde is wel dat u de stick vooraf correct hebt geformatteerd. Open hiervoor als administrator de opdrachtprompt in
PC-ACTIVE | Nr. 243 – 2010
403 Windows 7.indd 37
37
24-11-2010 07:40:22
SOFTWARE
| WINDOWS 7
Werkt het niet op deze manier, dan dient u wellicht nog de volgende instructie uit te voeren vanuit de opdrachtregel: x:\boot\bootsect.exe /nt60 y:. Controleer de stationsletters van het dvd-station en van uw usb-stick; in ons voorbeeld is dat respectievelijk x en y. Vervolgens start u uw modelmachine met WinPE. U zult merken dat automatisch een ramdrive (X:) wordt aangemaakt, maar dat de al bestaande stations ook nog bereikbaar blijven (via de opdrachtregel). Herkent WinPE de netwerkkaart, dan worden automatisch de netwerkfuncties geactiveerd aangezien wpeinit.exe ook wordt opgestart door WinPE.
WIM-bestand We naderen ons einddoel… Belangrijk is nu om onze gesysprepte modelmaDe aangepaste image wordt in de WIM gegoten en vervolgens ontkoppeld chine in een volumekopie te gieten, meer bepaald in een WIM-bestand. Dat kan met behulp van imagex, aleen Windows 7 of Vista-pc en voer de volgende comweer een andere tool uit de WAIK-collectie, en we hebmando’s uit (eventueel gebruikt u hiervoor de gratis ben er intussen al voor gezorgd dat dit programma in tool WinToFlash; http://wintoflash.com): de \windows\system32-map van de WinPE-installatie zit (1) diskpart (zie het vierde commando bij WinPE, hierboven). (2) list disk Over dus naar de modelmachine die u inmiddels (3) select disk x met behulp van de WinPE-cd of -stick hebt opgestart. (4) clean Daar voert u dan het volgende commando uit (vanuit (5) create partition primary x:\windows\system32): (6) select partition 1 imagex.exe /capture y: z:\win7kopie.wim (7) active "Windows 7 installatie" /compress fast (8) format fs=fat32 /verify (9) assign (10) exit In ons voorbeeld gaan we ervan uit dat station y: het station is dat de gesysprepte Windows-installatie (3) vervang x door het schijfnummer dat het commando list bevat en Z: (bijvoorbeeld) een usb-schijf of een andere disk u te zien gaf en dat naar uw usb-stick verwijst (!) beschikbare partitie. Ruim hier minstens 3 GB vrije (8) lukt het niet, gebruik dan het commando format fs=ntfs; schuifruimte voor het bestand win7kopie.wim in. Op de formattering kan wel een hele poos duren http://tinyurl.com/imagex-params krijgt u meer feedback over de mogelijke opties en parameters van het imagex-commando.
(Bron: Microsoft)
Uitrol
De aanpassing van WinPE / WIM schematisch voorgesteld
38
We zijn zover... Start een van uw doelmachines op met de WinPE-cd of -stick. Voordat we de installatiekopie kunnen implementeren, moeten we wel nog de harde schijf van de doelmachine voorbereiden. Dat kan vanuit diskpart. We doen dat hier nog ‘handmatig’, maar als u dat verkiest, kunt u de vereiste diskpartcommando’s al in een txt-bestand opnemen en dat bestand in het met DISM-gemounte winpe.wim-bestand injecteren (zie het derde commando bij WinPE, hierboven), zeker in de map: c:\winpe_x86\mount\windows\ system32. Op uw doelmachine kunt u dit bestand
PC-ACTIVE | Nr. 243 – 2010
403 Windows 7.indd 38
24-11-2010 07:40:48
WINDOWS 7
| SOFTWARE
dan op de volgende manier aan het diskpart-commando opgeven: diskpart /s "" Hoe u het ook aanpakt, de opdrachten voor diskpart zouden er als volgt kunnen uitzien, gesteld dat u met één harde schijf werkt en dat u een extra partitie van 100 of 200 MB wilt voorzien (zie ook boven bij Windowsinstallatie):
(1) (2) (3)
select disk 0 clean create partition primary size=100 (4) select partition 1 (5) format fs=ntfs label= "system" (6) assign letter=c (7) active (8) create partition primary (9) select partion 2 (10) format fs=ntfs label= "Windows 7" (11) assign letter=d (12) exit Als de schijf op uw doelmachine is geprepareerd, kunt u dan de installatiekopie overzetten met het volgende commando: imagex.exe /apply y:\win7kopie.wim z: Hierbij gaan we er wel van uit dat uw wim-bestand zich in station y: bevindt en dat uw Windows-partitie op de z:-partitie hoort terecht te komen (wellicht zal dit d: zijn). Vervolgens kunt u de installatie afronden met z:\windows\system32\bcdboot z:\windows
Enkele noodzakelijke voorbereiding indien u WinPE op stick wil plaatsen
en nadat u alle media hebt verwijderd kunt u het systeem opnieuw starten met het commando wpeutil reboot. Zoals gezegd kunt u een flink deel van de beschreven procedures stroomlijnen met MDT, maar op deze manier hebt u er meer greep op en begrijpt u ook beter wat er precies op de achtergrond allemaal gebeurt.
Onze modelmachine, opgestart met de WinPEstick…
PC-ACTIVE | Nr. 243 – 2010
403 Windows 7.indd 39
39
24-11-2010 07:41:03
LINUX-MAILSERVER
BEHEER UW E-MAIL VOORTAAN ZÉLF TEKST : FILIP VERVLOESEM
Grote kans dat u voor uw e-mail gebruikmaakt van de mailbox van uw provider of van een gratis dienst als Hotmail. Maar wist u dat u uw e-mail ook volledig zélf kunt beheren? Met een beetje geluk kost u dat zelfs geen cent!
A
ls we een gratis mailserver willen opzetten, mag geen enkel onderdeel ons natuurlijk iets kosten (los van de hardware). Daarom kiezen we voor een Linux-systeem: de instructies in dit artikel zijn opgesteld aan de hand van Ubuntu 10.04 LTS Server Edition. Dit draait prima op een gewone machine, maar voor een eerste test kunt u ook met een virtuele machine aan de slag. Uw VM moet dan wel geconfigureerd zijn voor ‘bridged networking’, zodat hij rechtstreeks van uw router een ip-adres krijgt en dus zichtbaar is in uw lan. Dankzij een gratis DynDNS-account hebt u geen vast ip-adres of een eigen domeinnaam nodig om uw Linux-server van buitenaf te benaderen. In zijn meest eenvoudige vorm bestaat een mailserver uit twee verschillende componenten: - de mail transfer agent (mta), die binnenkomende emails ontvangt en uitgaande e-mails verstuurt via het smtp-protocol. - de mail delivery agent (mda), die binnenkomende emails in de mailbox van de juiste gebruiker bewaart. Afhankelijk van de gewenste functionaliteit hebt u nog enkele extra componenten nodig: - mail filters (of milters), om spam en virussen tegen te houden. - een pop3- of imap-server, om een mailbox beschikbaar te stellen voor mailclients op andere computers. - een mail retrieval agent (mra), om e-mail van een ex-
40
terne mailbox op te halen en in een lokale mailbox te bewaren (erg handig bij verschillende mailboxen). - de mail user agent (mua), om e-mails te lezen. Met een console- of webbased client op uw mailserver kunt u overal bij uw mailbox, zónder enige configuratie. Voor elke component zijn verschillende programma’s beschikbaar, zodat er tientallen mogelijke setups bestaan voor een mailserver. Voor dit artikel kiezen we Postfix als mta, Dovecot als mda en imap-server, GetMail als mra en Alpine en RoundCube als mua. Het doel is om een extern toegankelijke mailserver op te zetten met webmail- en imap-functionaliteit die bovendien de mail van al uw andere e-mailadressen afhaalt. Mailfiltering en geavanceerde configuratieopties (zoals bestandslimieten voor attachment, quota per gebruiker, et cetera) komen niet aan bod.
Mail in uw LAN De mail transfer agent is de belangrijkste component van een mailserver, dus installeren we eerst Postfix: $ sudo aptitude install postfix. Tijdens installatie moet u reeds het type mailserver opgeven (het standaard ‘Internetsite’ is voorlopig goed) alsook de fully qualified domain name van uw server (gebruik hiervoor hostname.local, bijvoorbeeld ubuntuserver.local). Kijk ook alvast even in het configuratiebestand /etc/postfix/ main.cf, ook al hoeft u er nu nog niets aan te passen. Vooral de volgende parameters zijn erg belangrijk:
PC-ACTIVE | Nr. 243 – 2010
402 eigen mailserver.indd 40
24-11-2010 09:35:47
MAILSERVER
| SOFTWARE
Met de commandline mailclient Alpine kunt u Postfix reeds lokaal op uw server testen
- myorigin: de fully qualified domain name die toegevoegd wordt aan uitgaande mails, zoals opgegeven tijdens de installatie van Postfix en bewaard in het bestand /etc/mailname. Als de FQDN ubuntuserver.local is en de lokale gebruiker filip een mail verstuurt, wordt door Postfix de afzender ingesteld als filip@ubuntuserver. local. - mydestination: bevat de domeinen waarvoor Postfix mail lokaal moet afleveren. Standaard is dat bijvoorbeeld: ubuntuserver.local, ubuntuserver, localhost.localdomain, localhost. Mail voor andere domeinen (bijvoorbeeld gmail.com) wordt door Postfix doorgestuurd naar de betreffende mailserver. - mynetworks: bepaalt wie mail mag versturen via uw mailserver: standaard zijn dat enkel clients binnen hetzelfde subnet als uw mailserver. Voor die clients aanvaardt Postfix mails naar welke bestemming dan ook, terwijl voor andere clients alleen mails geaccepteerd worden die uw domein (zoals ingesteld in mydestination) als bestemming hebben. Dat is erg belangrijk: als élke client via uw mailserver mail zou kunnen versturen naar élke mogelijke bestemming, is uw server een zogenaamde ‘open relay’. Open relays worden vaak misbruikt door spammers en u wilt uiteraard niet dat zij uw bandbreedte gebruiken voor hun misdadige praktijken! Bovendien komen open relays op een blacklist terecht, waardoor andere mailservers geen mail meer aanvaarden van uw server. Maar wees gerust: met de standaard Postfixconfiguratie zet u geen open mail relay op! Een ander belangrijk configuratiebestand is /etc/aliases, bedoeld om mail voor bepaalde gebruikers door te sturen naar andere gebruikers. Met name voor de root-gebruiker stelt u best een alias in, bijvoorbeeld: root: filip Na elke aanpassing van /etc/aliases moet u de aliasdatabase updaten: $ sudo newaliases Als u ook smtps wilt gebruiken (smtp met ssl-encryptie), moet u de volgende regels in het bestand /etc/ postfix/master.cf uit commentaar halen: smtps inet n smtpd -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes -o smtpd_client_restrictions=permit_sasl_ authenticated,reject
Nu is het tijd om Postfix te testen. Installeer een commandline mailclient (bijvoorbeeld mutt of het gebruiksvriendelijker Alpine) en maak voor elk e-mailadres een systeemgebruiker aan: $ sudo aptitude install alpine $ sudo useradd -m -s /usr/bin/alpine filip $ sudo passwd filip $ sudo useradd -m -s /usr/bin/alpine koen $ sudo passwd koen Zoals u ziet, stellen we Alpine in als shell voor de gebruikers, zodat ze onmiddellijk terechtkomen in de mailclient als ze via ssh inloggen op het systeem. Open nu op uw server een lokale telnet-sessie en stuur een mail naar de root-gebruiker (de antwoorden van de Postfix zijn hier weggelaten): $ telnet localhost 25 helo ubuntuserver mail from: koen@ubuntuserver rcpt to: root@ubuntuserver data Subject: testing my Postfix configuration Test . Open vervolgens een ssh-sessie voor de gebruiker die u ingesteld had bij de root-alias (in ons voorbeeld filip). Als de mailaliases goed staan ingesteld en Postfix netjes draait, ontvangt u de mail die u net hebt verstuurd. Antwoord erop en controleer of de tweede gebruiker uw antwoord ontvangen heeft. Indien dat niet werkt, bekijkt u de logfiles /var/log/mail.info en /var/log/mail.err. Die bevatten eventuele foutmeldingen van Postfix die erg nuttig zijn voor verdere troubleshooting.
IMAP-toegang Postfix bevat een mda die mails lokaal aflevert in /var/mail/[username], waardoor we via Alpine reeds mail konden lezen. Die mda gaan we echter vervangen door Dovecot, zodat we ook via imap onze mailbox kunnen openen. Om te beginnen stoppen we Postfix en ruimen we de oude mailboxen op: $ sudo service postfix stop $ sudo rm -rf /var/mail/* Daarna schakelen we over op de mda van Dovecot door de volgende regel aan main.cf toe te voegen:
PC-ACTIVE | Nr. 243 – 2010
402 eigen mailserver.indd 41
41
24-11-2010 09:36:16
SOFTWARE
| MAILSERVER
mailbox_command = /usr/lib/dovecot/deliver Ten slotte installeren we Dovecot: $ sudo aptitude install dovecot-imapd Dovecots configuratie past u aan in het (uitvoering gedocumenteerde!) bestand /etc/dovecot/dovecot.conf. Enkele belangrijke instellingen zijn: - de regel protocols = imap imaps geeft aan via welke protocollen Dovecot uw mailbox beschikbaar moet stellen (in dit geval imap en imapS). - de optie disable_plaintext_auth = yes schakelt authenticatie via het login-commando (waarbij het wachtwoord in plain text wordt doorgestuurd) uit, tenzij ssl/tls wordt gebruikt. Veilig, maar sommige clients snappen het niet. disable_plaintext_auth = no is dan beter. - mail_location = maildir:~/Maildir geeft aan waar Dovecot ontvangen mail moet bewaren (hier in maildir-formaat in de homedirectory van de gebruiker). - mechanisms = plain login bepaalt welke login-methodes ondersteund worden door Dovecot. Meestal wordt de plain-methode gebruikt, maar voor een maximale compatibiliteit met mailclients voegt u best de ‘login’methode toe. - met passdb pam en userdb passwd krijgt elke gebruiker op uw Linux-systeem een e-mailadres van het type gebruiker@hostname. U kunt de mailgebruikers ook in een database definiëren, maar dat is voor een beperkt aantal e-mailadressen is dat nodeloos complex.
Uw eigen certificaat Wanneer uw mailserver volledig geconfigureerd is (inclusief externe domeinnaam), creëert u een eigen ssl-certificaat (bijvoorbeeld één dat 10 jaar geldig is): $ openssl req -new -x509 -days 3650 -nodes -out /etc/ssl/ certs/postfix.pem -keyout /etc/ssl/private/postfix.pem Hierbij moet u enkele vragen beantwoorden (uw locatie, e-mailadres, etc.): voor de Common Name moet u uw domeinnaam opgeven(bijvoorbeeld pcactive.dyndns.org). Daarna verwijst u naar het nieuwe certificaat in /etc/postfix/main.cf: smtpd_tls_cert_file=/etc/ssl/certs/postfix.pem smtpd_tls_key_file=/etc/ssl/private/postfix.pem en in /etc/dovecot/dovecot.conf: ssl_cert_file = /etc/ssl/certs/postfix.pem ssl_key_file = /etc/ssl/private/postfix.pem De fingerprint van het certificaat krijgt u als volgt te zien op uw mailserver: $ openssl x509 -noout -in /etc/ssl/certs/postfix.pem -fingerprint Vergelijk deze fingerprint met de fingerprint die uw client u toont als u voor het eerst verbinding maakt met uw mailserver alvorens het certificaat te aanvaarden. Let goed op als u achteraf nog een foutmelding krijgt over het certificaat, want dan is er zeker iets niet pluis met uw verbinding!
42
- in de sectie protocol lda moet u een e-mailadres instellen dat als From:-adres wordt gebruikt voor bounce mails (die worden verstuurd als antwoord op e-mails die niet aanvaard worden door Dovecot): protocol lda { postmaster_address = postmaster@ubuntuserver } (Her)start nu Postfix en Dovecot: $ sudo service postfix start $ sudo service dovecot restart De imap-functionaliteit kunt u met een mailclient op uw desktop of laptop testen. Wij gebruikten hiervoor Thunderbird: het ingeven van ons e-mailadres is al voldoende om de account volledig te configureren. Wellicht moet u het self-signed certificate van uw mailserver nog aanvaarden: dit betreft een standaardcertificaat van Postfix dat u het beste vervangt (kader). Let ook op dat u smtp-authenticatie volledig uitschakelt: die hebt u niet nodig binnen uw lan en bovendien is dat ook nog niet geconfigureerd. Herhaal de procedure voor de tweede gebruiker en probeer nu of u mails kunt versturen én ontvangen tussen de twee gebruikers. Bij problemen raadpleegt u wederom de logfiles in /var/log voor meer informatie.
Webmail Met een webmailclient op uw mailserver wordt het wel érg gemakkelijk om uw mailbox te lezen. Wij installeerden het Ajax-gebaseerde RoundCube, dat moderner oogt én vlotter werkt dan het bekende SquirrelMail: $ sudo aptitude install roundcube Voor de configuratie zijn de standaardinstellingen prima, tenzij u specifieke eisen hebt (zoals een bestaande database gebruiken). Met een symlink in /var/ www maakt u RoundCube beschikbaar op een url naar keuze: $ sudo ln -s /var/lib/roundcube /var/www/mail Nu is onze mailbox (binnen ons lan althans) bereikbaar op http://ubuntuserver/mail: even inloggen op de server localhost en u kunt aan de slag! Helaas kunt u op dit ogenblik RoundCube niet verder testen, want adressen zoals filip@ubuntuserver worden als ongeldig beschouwd. Hoog tijd dus om onze mailserver bekend te maken aan de buitenwereld!
Externe toegang Voor toegang van buiten uw lan moet uw mailserver uiteraard bereikbaar zijn via een fully qualified domain name. Daarvoor kunt u gebruikmaken van de DynDNS-dienst, die een gratis domeinnaam koppelt aan het externe ip-adres van uw router. Bij de meeste internetaansluitingen voor consumenten kan dat ip-adres wel eens veranderen, maar DynDNS vangt dergelijke wijzigingen achter de schermen op (mits u uw DynDNS-logingegevens ook in uw router configureert). Maak dus een gratis account aan op
PC-ACTIVE | Nr. 243 – 2010
402 eigen mailserver.indd 42
24-11-2010 09:36:45
MAILSERVER
de DynDNS-website (zie hyperlinks) en koppel een domeinnaam naar keuze aan uw routers externe ipadres: wij gebruikten pcactive.dyndns.org. Daarna moet u in uw router verkeer voor de volgende poorten forwarden naar het intern ip-adres van uw mailserver: - 25 (tcp) voor smtp - 80 (tcp/up) voor http - 143 (tcp/udp) voor imap Nu moet u nog de mydestination-parameter in /etc/postfix/main.cf aanpassen, zodat e-mails voor uw DynDNS-domein lokaal worden afgeleverd: mydestination = pcactive.dyndns.org, ubuntuserver.local, ubuntuserver, localhost.localdomain, localhost Vergeet de domeinnaam in /etc/mailname niet, dat wordt gebruikt voor de myorigin-parameter: pcactive. dyndns.org. En het postmaster-adres in dovecot.conf: postmaster_address = [email protected] Ten slotte laadt u de gewijzigde configuratie in: $ sudo service postfix reload $ sudo service dovecot reload Controleer ondertussen of de dns-aanpassing reeds is doorgevoerd: $ host pcactive.dyndns.org Zodra u een antwoord krijgt zoals pcactive.dyndns.org has address ... is uw domeinnaam klaar. Open opnieuw RoundCube, ditmaal via de url http://pcactive.dyndns. org/mail, en wijzig onder Instellingen | Identiteiten uw e-mailadres van bijvoorbeeld filip@localhost naar filip@ pcactive.dyndns.org. Stuur een testmail naar de tweede gebruiker op uw domein (bijvoorbeeld koen@pcactive. dyndns.org) en controleer of die aankomt. Herhaal de test met een mailclient op uw desktop of laptop: verwijder eerst de accounts met de lokale hostname van uw mailserver en voeg ze opnieuw toe met de DynDNS-naam. Als dat allemaal werkt, komen we tot de ultieme test: mail versturen van onze mailserver naar een extern adres (bijvoorbeeld uw Hotmail-account) en omgekeerd. Dat zal echter nog resulteren een foutmelding Relay access denied. Zoals reeds uitgelegd, aanvaardt Postfix uit veiligheidsoverwegingen enkel e-mails naar externe adressen van clients in hetzelfde subnet. Maar omdat uw client nu verbinding maakt met het publieke ip-adres van uw server, bevindt hij zich niet meer in hetzelfde subnet. De oplossing? U aanmelden bij Postfix met dezelfde gebruikersnaam/ wachtwoord-combinatie die u reeds gebruikt voor imap-toegang. Om Dovecots authenticatiemechanisme beschikbaar te maken voor Postfix, moet u het volgende toevoegen aan de socket listen-sectie in /etc/ dovecot/dovecot.conf: socket listen { client { path = /var/spool/postfix/private/authclient mode = 0660
| SOFTWARE
Dovecots imap-functionaliteit kunt u bijvoorbeeld in Thunderbird testen
user = postfix group = postfix } } En aan /etc/postfix/main.cf: smtpd_sasl_type = dovecot smtpd_sasl_path = private/auth-client smtpd_sasl_auth_enable = yes smtpd_recipient_restrictions = permit_ mynetworks, permit_sasl_authenticated, reject_unauth_destination Vervolgens laadt u de configuratie van zowel Postfix als Dovecot opnieuw in en vult u in uw mailclient de login-gegevens voor uw smtp-server in. Nu zou u wél e-mails moeten kunnen versturen vanuit uw mailclient naar externe adressen. Helaas vinden de meeste providers het tegenwoordig niet leuk dat hun klanten zelf een mailserver draaien en wordt daardoor al het verkeer op poort 25 wel eens geblokkeerd. U kunt als volgt controleren of dat ook voor uw provider het geval is: - uitgaand verkeer: verstuur een mail naar een extern adres en bekijk enkele minuten later de uitvoer van mailq. Als de mail in kwestie nog in de mail queue staat met een foutmelding zoals connect to mx-cluster-d1. one.com[195.47.247.198]:25: Connection timed out, blok-
Dovecots imap-functionaliteit kunt u bijvoorbeeld in Thunderbird testen
PC-ACTIVE | Nr. 243 – 2010
402 eigen mailserver.indd 43
43
24-11-2010 09:37:15
SOFTWARE
| MAILSERVER
keert uw provider uitgaand e-mailverkeer. Om dat te omzeilen kunt u de smtp-server van uw provider als relay host gebruiken. Voeg daarvoor het volgende toe aan /etc/postfix/main.cf: relayhost = [mail.kpnplanet.nl] - inkomend verkeer: op http://www.canyouseeme.org vult u poort 25 in en de website vertelt u onmiddellijk of uw mailserver bereikbaar is voor de buitenwereld. Als dat niet zo is, hebt u pech: u kunt dan onmogelijk mail ontvangen op uw domeinnaam. De oplossing is dan om uw mailserver te verhuizen naar een VPS waarbij poort 25 niet wordt geblokkeerd wordt (maar dat is dan niet meer gratis).
Mail aggregator Om andere mailboxen leeg te halen via uw mailserver installeert u GetMail: $ sudo aptitude install getmail4 Vervolgens maakt u per mailbox een configuratiebestand in de homedirectory van de gebruiker die de mails moet ontvangen: $ cd /home/filip/ $ sudo mkdir .getmail $ sudo chmod 700 .getmail $ cd .getmail Voor een pop3-account ‘[email protected]’ maakt u een gelijknamig bestand aan met de volgende inhoud: [retriever] type = SimplePOP3Retriever server = pop.filipvervloesem.be username = [email protected] password = [destination] type = Maildir path = ~/Maildir/ [options] delete = false read_all = false Ten slotte zet u de permissies en ownership van het zojuist gecreëerde bestand goed (u wilt namelijk niet dat andere gebruikers op uw mailserver uw wachtwoorden kunnen lezen!): $ sudo chmod 600 [email protected] $ cd .. $ sudo chown -R filip:filip /home/filip/. getmail De optie delete = false zorgt ervoor dat de mails na het downloaden niet verwijderd worden van de pop3-server, een veilige optie zolang u nog experimenteert met de instellingen! Zoals u kunt zien in de destination-sectie, worden binnengehaalde mails verstuurd naar ~/Maildir ofwel de lokale mailbox van de
44
gebruiker filip. Uw configuratie testen doet u als volgt: $ sudo -Hu filip getmail [email protected] Als alles goed geconfigureerd is, begint GetMail nu uw mails te downloaden: SimplePOP3Retriever:[email protected]@pop.filipvervloesem.be:110: msg 1/685 (6229 bytes) delivered msg 2/685 (2327 bytes) delivered msg 3/685 (2709 bytes) delivered ... Om die mailbox op bepaalde tijdstippen automatisch te controleeren (bijvoorbeeld om de 5 minuten), voegt u een crontab-entry toe: $ crontab -u filip -e */5 * * * * /usr/bin/getmail --rcfile [email protected] > /dev/null Vergeet ook niet de optie delete = false te veranderen in delete = true als u tevreden bent met GetMails werking en u oude berichten niet wenst te bewaren in uw andere mailboxen. Met GetMail hoeft u trouwens niet per se de inhoud van uw andere mailboxen door te sturen naar de mailbox op uw eigen mailserver. U kunt namelijk ook de mails van een externe mailbox (bijvoorbeeld bij Hotmail) afhalen en doorsturen naar een andere externe mailbox (bijvoorbeeld bij Gmail). Daarvoor verandert u de destination-sectie als volgt: [destination] type = mda_external path = /usr/sbin/sendmail arguments = ("-i", "-bm", "uwmailadres@ gmail.com") unixfrom = true
Ten slotte Zoals u ziet biedt een eigen mailserver u heel wat meer flexibiliteit dan een gratis mail-account. Tenzij uw provider inkomend verkeer op poort 25 blokkeert, mag niets u ervan weerhouden om nu zélf uw e-mail te beheren!
INFORMATIE Ubuntu Server Edition http://www.ubuntu.com/server Postfix http://www.postfix.org Alpine http://www.washington.edu/alpine Dovecot http://www.dovecot.org RoundCube http://roundcube.net DynDNS Free https://www.dyndns.com/account/services/hosts/add.html GetMail http://pyropus.ca/software/getmail
PC-ACTIVE | Nr. 243 – 2010
402 eigen mailserver.indd 44
24-11-2010 09:37:47
ÒÊMIJNÊZUSÊLUISTERTÊ NOOITÊWANNEERÊIKÊ HAARÊZEGÊÔBEÊQUIET!ÕÊ TEÊZIJNÊ...MAARÊ MIJNÊPCÊWEL.Ó RuudÊMathijssen
NEWÊSTRAIGHT POWER E8ÊÊ Fluister-StilÊTop-Prestatie.Ê
Zelf ontwikkelde SilentWings en een oranje rubberen ring die de fan van de behuizing ontkoppelt, maken van E8 een van de stilste in zijn Soort. Hier de Specs: Efficient tot 91 %: 80Plus zilver gecertificeerd DC/DC Technologie voor hoogste efficientie en stabiliteit Ultra Silent Concept met be quiet! SilentWings-Fan Hoogwaardig gesleevde kabels (tot 115 cm) en All in One kabel Meer informatie kan je vinden op www.be-quiet.nl!
Verkrijgbaar bij: www.alternate.nl www.salland.eu www.zercom.nl
HWI_bequiet_Nordic_A4_BNL_neu.indd 1 Untitled-1 1
www.azerty.nl
www.dynabyte.nl
www.mnm-computers.nl
21.10.109: 16:15:53 22-10-2010 07
VAN DE FYSIEKE LAAG NAAR DE NETWERKLAAG
STACK TRACKING TEKST : PIE TER - CORNELIS AVONTS
In PC-Active 242 hebben we het 7-lagige OSI-model van de protocolstack toegelicht en de belangrijkste protocollen binnen elk van deze lagen voorgesteld. In deze en de volgende aflevering richten we ons op enkele typische kwetsbaarheden en verdedigingsmechanismen voor elk van deze lagen.
H
et opzet van dit dubbelartikel, waarbij we het fenomeen van stack hacking belichten (lees: het ‘creatief’ omspringen met allerlei netwerkprotocollen), is even eenvoudig als logisch. We gaan gewoon het lagenrijtje van de OSI protocolstack af, waarbij we met de ‘onderste’ laag (de fysieke laag) beginnen en stapsgewijs de bitstromen op hun weg naar de bovenliggende lagen volgen. Binnen elke laag belichten we dan telkens een of meer hacks. Er zijn natuurlijk nog heel wat meer experimenten mogelijk, maar we hebben nu eenmaal geen onbeperkte ruimte. Toegegeven, de protocollen en technieken laten zich minder makkelijk in één welbepaalde laag stoppen dan we hier en daar aangeven,
Nog snel even het OSI- en TCP/IP-stackmodel uit de kast gehaald…
46
maar deze wat striktere schematisering maakt ons inziens de zaken wel duidelijker.
FYSIEKE LAAG Strikt genomen is de fysieke laag de laag die zorgt voor het versturen van de bitreeksen door middel van elektrische of optische signalen via het transmissiemedium. In dit artikel verruimen we deze laag echter tot de ‘fysieke omgeving’ waarin het apparaat in kwestie zich bevindt. Dat houdt meteen in dat ook inbreuken op de fysieke perimeter en aanvallen van iemand die zich fysiek toegang tot het apparaat weet te verschaffen, hierin passen. Het succes van draadloze datacommunicatie heeft nieuwe kwetsbaarheden – en dus potentiële aanvallen – met zich meegebracht. Zo zijn wlan’s vatbaar voor diverse aanvalstypes, waaronder mitm (door het plaatsen van een eigen AP in een bestaand draadloos netwerk) en DoS (door het jammen van de draadloze signalen). Ook de implementatie van gebrekkige beveiligingsmechanismen maakt(e) nieuwe aanvalsvectoren mogelijk (zie ook verderop). Communicatie via Bluetooth is overigens net zo goed vatbaar voor aanvallen. Is bluejacking het ongevraagd versturen van een bericht – nog vrij onschuldig, bluesnarfing is dat al heel wat minder. Hierbij worden allerlei gegevens als afspraken en berichten uit een draadloos apparaat gelicht, met behulp van hacking tools als BlueScanner, RedSnarf en Bluediving, al dan niet in combinatie met een hardwarehack als die waarbij een Bluetooth dongle met een krachtige(r) ex-
PC-ACTIVE | Nr. 243 – 2010
404 stackhacking, deel 2.indd 46
24-11-2010 09:59:18
STACK TRACKING
terne antenne wordt uitgerust (een instructieve videoclip vindt u op www.youtube.com/watch?v=6oExS4g4VNk). Sinds de Bluetooth-standaard gepatcht werd en een connectie in principe alleen na een expliciete pairing van beide apparaten mogelijk is, is dit soort aanvallen wel afgenomen. Veel gebruikers wanen zich veilig achter een wachtwoord, maar als een indringer zich fysiek toegang tot de computer heeft verschaft, stelt zo’n beveiliging vaak nog weinig voor. Een wachtwoordbeveiliging op biosniveau bijvoorbeeld is snel omzeild door de clear CMOS jumper te verplaatsen, desnoods de CMOSbatterij even te verwijderen, of zelfs met een tooltje als het (al wat oudere) CmosPwd (www.cgsecurity.org/wiki/ CmosPwd). Ook een Windows-wachtwoord stelt nauwelijks iets voor zonder bijkomende encryptie. Met de gratis tool Offline NT Password & Registry Editor (pogostick.net/~pnh/ntpasswd) hebt u zo een wachtwoord gekraakt. Deze software injecteert een wachtwoordhash in het Windows sam-bestand zodat u zich na de herstart in essentie met een nieuw administratorwachtwoord kunt aanmelden. Een wat lastiger weg is die van het eigenlijke (brute force) cracking, maar dankzij rainbow-tabellen (zoals Ophcrack; ophcrack.sourceforge.net/tables.php) en het inzetten van gpu’s (zoals EDPR; www.elcomsoft.com/edpr. html) blijkt dat in de praktijk vaak een haalbare kaart. Het kan natuurlijk ook op een ander manier: de pc even opstarten met een Linux live-cd en als het goed is, hebt u meteen toegang tot de gegevens (op de ntfs-partitie). Het is zelfs mogelijk vanaf zo’n cd een achterdeurtje in te bouwen zodat u op elk moment in Windows kunt opstarten met administratorrechten. Dat kan als volgt: navigeer naar de Windows-map en open \System32. Hernoem (in Vista/7) Utilman.exe in (bijvoorbeeld) Utilman.xxx. Kopieer vervolgens – dus niet zomaar hernoemen – het bestand cmd.exe naar Utilman.exe. In XP hernoemt u sethc.exe in sethc.xxx en kopieert u cmd.exe naar sethc.exe. Wanneer u nu Windows opstart en u de combinatie Windowstoets+U indrukt (Vista/7) of enkele keren snel na elkaar de Shift-toets indrukt (XP), krijgt u niet langer de toegankelijkheidsopties (Vista/7) of de functie ‘plaktoetsen’ (XP) te zien, maar belandt u als beheerder op de opdrachtregel. Van hieruit kunt u dan een administratoraccount creëren, of waar u ook zin in hebt.
| SOFTWARE
omgeving zal een netwerkkaart in principe alleen de pakketjes ontvangen die specifiek voor dat apparaat zijn bedoeld, naast broadcasts weliswaar. Een wezenlijk verschil dus met zogenoemde hubbed ethernets, waarbij netwerkkaarten zonder meer ook pakketjes voor andere systemen konden capteren, althans in promiscuous modus (zie ook vorig artikel) – ook wel passief sniffen genoemd. Dat er toch nog mogelijkheden zijn ook een switched netwerk te sniffen, leest u verder, bij actief sniffen. We blijven eerst nog even bij het mac-adresseringssysteem. Naast het feit dat het capteren van het macadres nuttig kan zijn bij het fingerprinten – aan een mac-adres herkent u namelijk de producent van een netwerkkaart (op www.coffer.com/mac_find vindt u een online zoekfunctie) en dus weet u in principe ook welke netwerkdrivers met eventuele exploits gebruikt
Een MITM-aanval in een switched Ethernet? Zo gebeurd! worden – is een mac-adres ook makkelijk te spoofen. Daar bestaan diverse toepassingen voor, waaronder MacChanger, onderdeeltje van BackTrack (www. backtrack-linux.org) of de Windows-tool SMAC (www. klcconsulting.net). Overigens kunt u ook zonder externe tools MAC-adressen spoofen. In Linux via een commando als (sudo) ifconfig eth0 hw ether 00:0A:0B:0C:0D:0E, in Windows onder meer via een registeringreep. Navigeer via Regedit naar HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Control\Clas s\{4D36E972E325-11CE-BFC1-08002bE10318}, waarbij u in het veld (Standaard) Netwerkadapters ziet verschijnen. Open de bijhorende subsleutels (0000, 0001, 0002, …) tot u bij DriverDesc de beoogde adapter ziet. Creëer hier desgewenst de nieuwe tekenreekswaarde NetworkAddress en vul het gewenste mac-adres in. Zoals gezegd is packet sniffing in een switched net-
DATALINKLAAG De datalinklaag voorziet in data-uitwisseling tussen twee netwerkknooppunten, en is er in eerste instantie op gericht frames tussen apparaten binnen hetzelfde lan af te leveren. Het is met name de taak van de MAC-sublaag om na te gaan of het fysieke medium klaar is voor het ontvangen van gegevens. Daarvoor maakt deze laag gebruik van mac-adressen (media access control) – in een Ethernet-frame bijvoorbeeld zit zowel het mac-adres van de bestemming als van de bron opgenomen. In een switched ethernet-
Van Utilman naar cmd: een achterdeurtje naar Windows
PC-ACTIVE | Nr. 243 – 2010
404 stackhacking, deel 2.indd 47
47
24-11-2010 09:59:40
SOFTWARE
| STACK TRACKING
Van Utilman naar cmd: een achterdeurtje naar Windows
werk een stuk lastiger. Dat is uiteraard wel mogelijk wanneer het om een managed switch gaat waarbij een monitorpoort kan worden geconfigureerd, maar het kan ook anders. Vooral oudere switches laten zich bijvoorbeeld nog wel eens misleiden door ARP flooding. Hierbij verstuurt u talrijke ARP-pakketjes (zie verderop) naar de switch waardoor die naar een fail-safe modus overschakelt en als een soort hub zal fungeren, zodat u wegkomt met passief sniffen. Een alternatief is een mitm-aanval met behulp van ARP poisoning. Het ARP-protocol (address resolution procotol) zorgt er voor dat een host in een lan zich in verbinding kan stellen met andere hosts op dat netwerk zonder hun mac-adres te kennen. Er wordt dan een ARP-bericht gebroadcast met de vraag welk macadres overeenkomt met het beoogde ip-adres. Dat kunt u als volgt even checken. Start een netwerksniffer als het multiplatform Wireshark op (www.wireshark. org; zie vorig artikel voor een korte introductie) en zet een capture-sessie (voor de juiste netwerkadapter) klaar. Vanaf de opdrachtregel leegt u de lokale cache (arp –d) en pingt u vervolgens naar een of andere host. Dat genereert normaalgesproken een ARP-broadcast naar de lokale gateway (zie regel 52 in de afbeelding), waarop de gateway dan met een ARP-reply reageert (zie regel 53). Voor ons mitm-experiment komt het er nu op aan de gateway te laten geloven dat het ipadres van het beoogde slachtoffer overeenkomt met uw mac-adres en het slachtoffer te laten geloven dat de gateway uw mac-adres heeft, zodat het verkeer tussen beide langs uw systeem wordt omgeleid. Om DoS te voorkomen, dient u vervolgens wel nog het verkeer om te leiden naar de echte bestemming. Een lastige constructie, maar met een flexibele tool als het gratis Cain hebt u dat snel voor elkaar (www.oxid. it/cain.html). In een notendop gaat het als volgt: start de tool op en open de tab Sniffer, waarna u de sniffer activeert (tweede knop op de menubalk). Klik met de rechtermuisknop ergens in het hoofdpaneel en kies Scan MAC Adresses, waarna u bevestigt met OK (krijgt u toch niet alle gewenste mac-adressen te zien, selecteer dan All Tests). Open vervolgens de tab APR, onderaan het venster en klik het bovenste paneel aan. Klik nu op de knop met het blauwe kruis (Add to list) en selecteer links de gateway en rechts het slachtof-
48
fer, waarna u met OK bevestigt. Start nu de eigenlijke poisoning op via de derde knop (Start/Stop APR). Een Wireshark-sessie zal het u bevestigen: alle verkeer tussen het slachtoffer en de gateway wordt via uw machine omgeleid en wanneer u de ARP-cache op de pc van het slachtoffer opvraagt (via het commando arp -a), dan begrijpt u meteen waarom: zowel de gateway als de aanvaller hebben nu hetzelfde macadres. Cain is bovendien niet te beroerd om alle clear text-wachtwoorden netjes te verzamelen op de tab Passwords. In een ander scenario laten we u zien hoe u de macfiltering van een draadloze router kunt omzeilen door uw eigen systeem een van de toegelaten mac-adressen te geven. Het komt er natuurlijk eerst op aan (minstens) een legitiem mac-adres op te sporen. Voor dit experiment kunt u bijvoorbeeld de gratis tool Kismet gebruiken – en waarom niet meteen als onderdeel van BackTrack, een uitgelezen all-round pentester (www. backtrack-linux.org) – met startx roept u de KDE gui op. Met behulp van het eveneens gratisUNetbnootin (unetbootin.sourceforge.net) kunt u de image eventueel op een – snellere – usb-stick plaatsen. Op het moment dat een geautoriseerde client een draadloze connectie heeft opgezet, start u dan Kismet op (via Backtrack | Radio Network Analysis | 80211 | Cracking). In het statusvenster van Kismet verschijnen nu de probe requests van die client aan het draadloze toegangspunt, evenals de bijhorende responses. Via de p-toets kunt u overigens ook een actuele lijst van de pakketjes zien (druk nogmaals op deze toets om deze stroom te pauzeren). In dit dataverkeer leest u nu de mac-adressen van zowel client als AP af: precies wat u zocht. Vervolgens is het maar een koud kunstje uw eigen mac-adres te spoofen zodat het lijkt alsof uw machine uit de toegelaten pool van mac-filters afkomstig is. Daarvoor kunt u MacChanger inzetten (bijvoorbeeld macchanger –m 00:11:22:33:44:55 wlan0), die zich net als Kismet ook in de BackTrack-distro bevindt, of een van de eerder genoemde tools of technieken.
NETWERKLAAG De netwerklaag zorgt er in eerste instantie voor dat er datatransfer mogelijk is tussen twee apparaten in een wan. Naast enkele routingprotocollen opereren
PC-ACTIVE | Nr. 243 – 2010
404 stackhacking, deel 2.indd 48
24-11-2010 09:59:53
STACK TRACKING
| SOFTWARE
Cain’s ARP-poisoning in volle actie
Nmap-zenmap: een handig duo voor actief fingerprinten
binnen deze laag twee erg bekende protocollen: ip en icmp. Deze protocollen blijken echter vatbaar voor allerlei manipulaties, waaronder actief fingerprinten. Fingerprinten is het proces waarbij – met het oog op mogelijke exploits – gepoogd wordt systemen te identificeren aan de hand van typische eigenaardigheden van onder meer protocollen uit de netwerklaag. Het is voldoende een database aan boord te hebben die zulke systeemspecifieke reacties opsomt. Actief fingerprinten gebeurt door het invoegen van allerlei pakketjes die niet rfc-conform zijn (request for comments: zie ook vorig artikel), waarna getracht wordt uit de responses nuttige informatie te halen. Een van populairste tools voor actief fingerprinten is het gratis Nmap (nmap.org). Nmap laat zich zowel in Linux als in Windows vanaf de commandoregel bedienen: nmap <parameters> ), maar u kunt ook gebruikmaken van een grafisch frontend als Zenmap (dat zit trouwens standaard in de Windows installer van Nmap). In principe hoeft een scan niet moeilijker te zijn dan het doelbereik aan te geven bij Target en het gewenste scanprofiel bij Profile te selecteren. Ook in Zenmap echter kunt u het commando handmatig aanpassen met de gewenste parameters. Onder meer op http://www.jp-productions.be/wp-content/nmapsyntax.pdf vindt u een overzicht van de belangrijkste parameters. Het nadeel van actief fingerprinting mag duidelijk zijn: er is kans dat u uw aanwezigheid aan een eventuele IDS (intrusion detection system) verraadt. Passief fingerprinten is om die reden een ‘veiligere’ methode. Hierbij verstuurt u zelf geen probes, maar tracht u de identificatie geheel op sniffersporen van ontvangen pakketten te verrichten. Zo’n tool baseert zich met name op enkele protocol-handtekeningen alias eigenaardigheden. Zo worden onder meer de volgende velden uit de ip-header gecontroleerd (zie ook vorig artikel): de TTL-waarde (zie tinyurl.com/ ttl-waarden voor de standaardwaarden in diverse be-
sturingssystemen), het servicetype (hoewel de meeste besturingssystemen dit veld ongebruikt laten) en de DF-vlag (don’t fragment; meestal wordt deze vlag echter op 0 gezet). In de TCP-header dan weer wordt het veld Venstergrootte gecheckt. Nu kunt u dergelijke analyses natuurlijk met de hand uitvoeren met behulp van een sniffer als Wireshark, maar het wordt een stuk makkelijker wanneer u een specifieke passieve fingerprinter als NetworkMiner inzet (sourceforge.net/projects/networkminer). Die combineert de databases van een paar andere, bekende fingerprinters (p0f, Ettercap en Satori). De tool laat zich erg eenvoudig bedienen en u kunt de resultaten op verschillende criteria indelen: zo kunt u binnen de categorie hosts onder meer sorteren op router hops distance, mac-address en besturingssysteem. Sniffers zullen het graag horen: NetworkMiner kan ook pcap-
PC-ACTIVE | Nr. 243 – 2010
404 stackhacking, deel 2.indd 49
49
24-11-2010 10:00:13
SOFTWARE
| STACK TRACKING
Arpcapture
bestanden parsen (zoals die van Wireshark via het menu File | Save as). Er zijn echter nog heel wat andere manipulaties mogelijk. Een bekende is Smurf, een aanval die ICMP echo requests misbruikt in combinatie met IP spoofing. Smurf broadcast/stuurt zo’n request namelijk naar een subnet (bij voorkeur een smurf amplifier), met als – vervalst – bron-ip-adres dat van het beoogde slachtoffer. Alle machines versturen nu in principe een response, wat logischerwijze tot een DoS leidt. ICMP responses worden ook vaak gebruikt om uit te maken of een bepaalde poort al dan niet gesloten is en bij het actief fingerprinten. Een meer creatieve vorm van manipuleren is het inkapselen van TCP-verkeer in ICMP-pakketjes, met name ping-requests/replies. Dat kan bijvoorbeeld handig zijn als u bij een hotspot op een captive portal botst, maar waarbij ICMP-verkeer wél mogelijk blijkt. Een leuk en leerzaam experiment hiervoor is Ping Tunnel (www.cs.uit.no/~daniels/PingTunnel). U hebt er twee systemen voor nodig, waarbij het ene een verbinding met internet kan maken. Hier voert u dan het opdrachtregelcommando ptunnel uit (zonder verdere parameters), zodat die als proxy kan fungeren voor
het andere apparaat. Op deze tweede machine voert u dan het volgende commando uit: Ptunnel -p -lp <een willekeurige lokale poort voor de tcp-forwarding> -da -dp In ons voorbeeld wordt dat: ptunnel -p 192.168.1.16 -lp 12345 -da domeinx.nl -dp 22 Vervolgens kunt u de tunnel testen met een commando als ssh –p 12345 localhost, of u installeert hiervoor een gratis tool als PuTTY (www.chiark.greenend.org. uk/~sgtatham/putty). Zorg dat u tegelijk een Wiresharksessie actief hebt: u zult dan heel wat ICMP echo replies/requests voorbij zien komen... Hoe rudimentair ook, Ptunnel doet blijkbaar zijn werk. Overigens is het met een tool als dns2tcp ook mogelijk tcp-verbindingen in dns-verkeer in te kapselen (zie www.hsc.fr/ ressources/outils/dns2tcp/index.html.en). Hiermee zijn we dan wel al beland in de hogere lagen van de OSI-stack en dat is het onderwerp van ons vervolgartikel.
TCP, heimelijk verpakt als ICMP
50
PC-ACTIVE | Nr. 243 – 2010
404 stackhacking, deel 2.indd 50
24-11-2010 10:00:31
WINTERACTIE!
Ontvang PC-Active 6x voor slechts € 21 U ontvangt een korting van maar liefst 51% Ga naar www.hubstore.nl/pc-activewinteractie Het abonnement stopt automatisch OF GEEF EEN ABONNEMENT CADEAU VOOR € 21
via www.hubstore.nl/pc-activewintercadeau en download de cadeaubon
10-11 PCA open haard def.indd 1
26-11-2010 10:25:43
EEN STANDAARD MET BEPERKINGEN
MEDIA STREAMEN MET DLNA TEKST : DIRK JAN VAN IT TERSUM
Het streamen van muziek of video van de pc naar de huiskamertelevisie via een mediaspeler is heel gewoon geworden. Nieuw is dat steeds meer blu-ray-spelers, televisies en zelfs av-receivers audio en video kunnen streamen vanaf het thuisnetwerk. Veelal maken deze apparaten gebruik van dlna. Wat is dat voor techniek?
S
teeds meer apparaten beschikken over een dlna-logo. Dat varieert van mediaspelers tot televisies en van spelcomputers tot receivers. Zelfs de eerste mobiele telefoons met het logo zijn al gesignaleerd. De afkorting dlna staat voor digital living network alliance. Deze alliantie is een non-profitorganisatie met meer dan 250 leden die actief zijn op het gebied van mobiele telefoons, consumentenelektronica en computers. Denk bijvoorbeeld aan HP, Intel, LG Electronics, Nokia, Panasonic, Philips, Samsung en Sharp.
Gecertificeerd Het doel van de alliantie is een gezamenlijke standaard te ontwikkelen voor het uitwisselen van digitale foto’s, muziek en video’s. Om het concreet te maken: met de technologie kunt u video op een nas streamen naar uw televisie. Maar het is ook mogelijk om een foto van uw mobiele telefoon te bekijken op een digitaal fotolijstje. En zelfs het streamen van uw mediaspeler naar een mobiele telefoon is mogelijk. Uiteraard moeten beide apparaten wel beschikken over de juiste dlna-software. De kans dat dit het geval is, wordt steeds groter. Er zijn al meer dan 8.000 apparaten op de markt die officieel ‘dlnagecertificeerd’ zijn. Deze apparaten zijn te herkennen aan het dlna-logo op de verpakking. Ook is op de dlna-website (www.dlna.org) een overzicht te vinden van gecertificeerde apparaten. Het grote voordeel van zo’n certificaat is dat u zeker weet dat apparaten van verschillende merken elkaar kunnen vinden en
52
409 DLNA.indd 52
bestanden kunnen uitwisselen. Het opzetten van een dlna-netwerk is redelijk eenvoudig. Als er aan de volgende twee voorwaarden wordt voldaan, is een dlna-omgeving mogelijk: 1) een thuisnetwerk: draadloos of bedraad. Dlna gebruikt het netwerk om verbinding te leggen met apparaten die erop zijn aangesloten. 2) Dlna-producten: dat kunnen televisies, mediaspelers, nas-apparatuur, av-receivers, fotolijstjes, mobiele telefoons, tablets of zelfs een printer zijn. Als het netwerk werkt en de dlna-producten zijn aangesloten, zullen ze elkaar automatisch vinden. Op ieder apparaat zijn de bestanden die in het netwerk beschikbaar zijn, te vinden. Als de juiste codecs voorhanden zijn, kunnen ze ook worden afgespeeld. Meer over de codecs verderop. Binnen de dlna-familie zien twee belangrijkste categorieën apparaten te onderscheiden:
DIGITAL MEDIA SERVER (DMS) De dms is het apparaat waarop foto’s, audio en video worden opgeslagen. Een dms maakt deze bestanden beschikbaar voor de digital media player (dmp – zie verderop). Voorbeelden van digital media servers zijn nas-apparaten, mediaspelers en zelfs mobiele telefoons. Een goed voorbeeld is de nieuwe LG Optimus 7 waarop Windows Phone 7 draait. Deze telefoon wordt geleverd inclusief dlna-optie. Ook de Android-telefoon Samsung Galaxy S beschikt standaard over dlna. Met beide telefoons kunt u dus direct op uw televisie de foto’s en video’s tonen die
PC-ACTIVE | Nr. 243 – 2010
24-11-2010 07:51:02
DLNA
Deze Windows Phone 7-telefoon is een voorbeeld van een Digital Media Server
| ACHTERGROND
Steeds meer televisies beschikken over dlna. Deze Samsung-televisie is dit een Digital Media Player
even daarvoor had geschoten zonder dat u kabeltjes moet aansluiten. Zolang beide apparaten op hetzelfde (draadloze) netwerk zijn aangesloten, kunt u de beelden op de tv tonen.
DIGITAL MEDIA PLAYER (DMP) Dit zijn apparaten die hun content halen van de digital media servers (dms). Ze zijn in staat om de foto-, audio- en video-bestanden op de dms te vinden en af te spelen. Voorbeelden zijn televisies, AV-receivers, stereosets en gameconsoles. Er zijn zelfs printers met een dlna-certicering, zodat u via het netwerk de foto’s met (bijvoorbeeld) uw mobiele telefoon kunt printen (dit wordt ook wel een Digital Media Printer genoemd). De laatste tijd staat dlna met enige regelmaat in de belangstelling. Dit komt mede doordat Windows 7 standaard beschikt over de techniek. Overigens was ook de laatste versie van Windows Media Player voor Vista al voorzien van dlna, waardoor Windowsgebruikers al langer de beschikking hadden over deze technologie.
En upnp dan? Nu zal de kenner denken: het streamen van audio en video kan al lang via upnp (universal plug and play)! En inderdaad, deze standaard is al langer geleden in het leven geroepen om content uit te wisselen tussen apparaten. We gaan even wat verder terug in de geschiedenis, want er bestaat toch een nauwe relatie tussen upnp en dlna. Het upnp-forum werd in 1999 opgericht, eveneens met het doel om allerlei apparaten aan elkaar te koppelen. Bij dit forum waren (en zijn) onder meer Microsoft, HP, Sony en Panasonic betrokken. De techniek die dit forum ontwikkelde, had niet alleen tot doel om beeld en geluid uit te wisselen. Upnp voorzag ook in standaarden voor
domotica (home automation), beveiliging, telecom en fotografie. Er waren diverse werkgroepen die zich bezighielden met deze deelgebieden. Een van de werkgroepen was upnp av. Deze werd zelfs zo belangrijk dat het uiteindelijk leidde tot een nieuwe organisatie met de naam dlna. Deze organisatie had niet tot doel zelf standaarden te bepalen (dat werd al door upnp gedaan). Het moest de uitwisselbaarheid van digitale a/v-bestanden tussen apparaten promoten, op basis van al langer bestaande standaarden.
Codecs Tot nu toe klinkt het allemaal mooi, maar er is ook stevige kritiek op dlna. Zo zou de alliantie te weinig openheid geven over welke codecs de techniek minimaal moet ondersteunen. Toch blijkt er na lang zoeken wel iets over te vinden. In tabel 1 vindt u een overzicht van de ondersteunde codecs. Wat blijkt? Veel van de (gangbare) codecs zijn dus niet verplicht! Uit de tabel wordt duidelijk dat het mogelijk is een televisie te kopen of zelfs een mediaspeler te kopen die géén mp3 kan afspelen. En dat zal bij menig consument tot teleurstelling kunnen leiden. Nu zal dat in de praktijk wel meevallen, want welke mediaspelerfabrikant zal nu geen mp3 ondersteunen? Maar het logo dlna op de verpakking garandeert dus zeker niet dat veel bestanden afgespeeld kunnen worden. Daar komt nog bij dat de standaard erg gedetailleerd is. De website Digital Versus (digitalversus.com) deed uitgebreid onderzoek naar de standaard en ontdekte dat een videobestand in een mp4-container maximaal 720×576 pixels mag te zijn. Een hd-bestand van 1.920×1.080 pixels in een mp4-container hoeft de dlnagecertificeerde speler dus helemaal niet af kunnen spelen. Om het nog wat gecompliceerder te maken, kiezen sommige fabrikanten van dlna-mediaspelers en tv’s ervoor om de apparaten wel te voorzien van
PC-ACTIVE | Nr. 243 – 2010
409 DLNA.indd 53
53
24-11-2010 07:51:16
ACHTERGROND
| DLNA
bepaalde codecs, ook al zijn ze geen onderdeel van de dlna-vereisten of opties. Het is dus opletten geblazen als u een dlna-apparaat koopt!
Compatible Daarmee zijn we er nog niet met de kritiek. Want er is ook de nodige verwarring rondom het begrip ‘dlnagecertificeerd’. Onlangs berichtte de Engelse nieuwssite The Register over apparatuur van Iomega. Een zogeheten Home Media Network Drive van dit merk wilde niet samenwerken met een Sony Bravia-tv. Beide zouden overweg kunnen met dlna, althans volgens de gebruiksaanwijzing. Bij nadere bestudering bleek dat het apparaat van Iomega niet officieel gecertificeerd is. In de handleiding staat wel: ‘compatible with dlnacertified media players, able to stream photos, audio content and videos to a variety of media devices like game consoles, audio bridges, dma’s (digital media adapters), picture frames and more.’ Ondanks deze belofte blijkt bij nader onderzoek dat Iomega helemaal geen lid is van dlna. En toch claimt Iomega dat zijn apparatuur wel dlna-compatibel is. Dat heeft te maken met de serversoftware
Iomega en LaCie verkopen dlna-compatibele producten. Ze zijn dus niet dlna-gecertificeerd. Werking is dus zeker niet gegarandeerd! TwonkyMedia die het gebruikt. Deze software is ontwikkeld door het bedrijf PacketVideo en dat is wél lid van dlna. Reden voor Iomega om te claimen dat zijn apparatuur ‘dlna-compatible’ (dus niet: ‘dlna-gecertificeerd’) is, terwijl het helemaal geen officieel certificaat heeft en dus ook niet altijd goed werkt. Onder andere LaCie verkoopt op dezelfde wijze producten.
Windows 7 Ondanks deze kritiek sluiten steeds meer fabrikanten zich aan bij de dlna-standaard. Zo is het aantal blu-ray-spelers dat beschikt over een certificaat in
Dlna mediaformaten
2010 verdubbeld. Het zijn er nu in totaal van 105, onder meer uit de fabrieken van JVC, LG Electronics, Panasonic, Philips, Samsung en Sony. Ook Microsoft ziet brood in de standaard. Ook Windows 7 beschikt over volledige ondersteuning voor dlna. Die implemenatie in Windows 7 is geavanceerd te noemen: niet alleen kan de software beeld en geluid streamen naar dlna-apparaten, maar het is zelfs in staat om onthe-fly bestanden te transcoderen. Dat wil zeggen: de bestanden om te zetten naar een bestandsformaat dat het doelapparaat wel begrijpt. Een voorbeeld omdat duidelijk te maken. Stel dat uw televisie alleen maar overweg kan met mpeg2 en u wilt een mp4-bestand afspelen. Op het moment dat u met uw televisie dit bestand opvraagt, stelt Windows 7 vast dat de televisie er niet mee overweg kan en zal het dan automatisch omzetten naar een bestandsformaat dat wel kan worden afgespeeld door de televisie. Daarmee lost Windows 7 veel van de problemen op die gepaard gaan met de onduidelijkheid over codecs. Toch is niet ieder apparaat in staat om de bestanden te transcoderen. Veel nas-apparatuur beschikt niet over voldoende rekenkracht om dit te doen.
Apple vs. de rest Dlna is misschien geen perfecte oplossing voor het streamen van bestanden tussen apparaten, maar zijn er betere oplossingen? Apple meent van wel en introduceerde Airplay. De gedachte achter Airplay is hetzelfde: het uitwisselen van mediabestanden tussen apparaten. Een iPhone moet met Airplay muziek kunnen streamen via de av-receiver in de huiskamer. Airplay in combinatie met Apple TV kan hetzelfde met een film op uw iPhone. Het is niet voor het eerst dat Apple zich niet aansluit bij een standaard, maar zijn eigen weg kiest. Probleem is dat Airplay een standaard is die niet wordt ondersteund door andere fabrikanten, terwijl dlna een open standaard is waar iedereen zich bij kan aansluiten. U zult dus niet snel telefoons van andere merken tegenkomen met Airplay erop. Wel is inmiddels de eerste AV-apparatuur aangekondigd met Airplay, waaronder producten van Denon, Marantz, Bowers and Wilkins en JBL. Wanneer u deze apparatuur koopt, zit u dus al gauw gevangen in het ‘ecosysteem’ dat Apple heeft
Vereist
Optioneel
Voor thuisapparaten Imaging
JPEG
GIF, TIFF, PNG
Audio
LPCM (2 kanaals)
MP3, WMA9, AC-3, AAC, ATRAC3plus
Video
MPEG2
MPEG1, MPEG4, WMV9 GIF, TIFF, PNG
Voor mobiele apparaten Imaging
JPEG
Audio
MP3 en MPEG4 AAC LC
MPEG4 (HE AAC, AAC LTP, BSAC), AMR, ATRAC3plus, G.726, WMA, LPCM
Video
MPEG4 AVC (AAC LC Assoc. Audio)
VC1, H.263, MPEG4 part 2, MPEG2, MPEG4 AVC (BSAC of andere Assoc. Audio)
Tabel 1
54
409 DLNA.indd 54
PC-ACTIVE | Nr. 243 – 2010
24-11-2010 07:51:26
DLNA
| ACHTERGROND
Tversity
ontwikkeld. Overstappen op een ander merk mobiele telefoon (of tablet) wordt daarmee minder aantrekkelijk. Bij dlna hebt u altijd de keuze uit andere merken. Overigens kunnen bezitters van een iPhone of iPad wel gebruik maken van dlna. Er zijn verschillende apps verkrijgbaar met dlna-technologie,zoals de gratis app iPhone Media Link Player Lite.
Dlna-software Welke software is geschikt om als dlna-server op uw pc te draaien? Windows 7 beschikt standaard al over dlna, maar er is ook andere software met soms aardige extraatjes. Enkele programma’s:
TVERSITY Al jarenlang is Tversity het bekende serverprogramma om foto’s, video’s en audio uit te wisselen. Het maakt hiervoor gebruik van dlna. Er is een plug-in beschikbaar voor Windows Media Center om de content ook in de huiskamer te bekijken. Het is ook mogelijk om verbinding te leggen met een Xbox 360 of de Nintendo Wii. De serversoftware biedt zelfs de mogelijkheid om via de iPhone uw foto’s, video’s en audio te bekijken en beluisteren. Als een apparaat niet over de juiste codecs beschikt, is Tversity in staat om ter plekke de bestanden om te zetten naar een bestandsformaat dat het apparaat wel aankan. De Tversity-software is gratis verkrijgbaar, maar er is ook een betaalde Pro-versie (US$ 39,99) waarmee u toegang krijgt tot ‘premium’ content, waaronder video’s van The Daily Show en The Colbert Report. Ook krijgt u toegang tot Hulu en de iPlayer van de BBC, maar helaas zijn die laatste twee niet in ons land toegankelijk in verband met auteursrechten. www.tversity.com
TWONKY De mogelijkheden van Twonky lijken op die van Tversity, maar deze software heeft wat handige extra’s. Het is eveneens een dlna-server waarmee u beeld en geluid kunt streamen naar aangesloten apparaten, zoals televisies, mediaspelers of AV-receivers. Handig is de integratie met webbrowsers. Zo zijn er plug-ins voor Chrome, Firefox en Internet Explorer. Wanneer u bijvoorbeeld op de site van Youtube of Flickr bent, kunt u via deze plug-in de video’s of foto’s op deze sites selecteren en aanklikken naar welk apparaat u ze wilt streamen. Deze plug-ins heten TwonkyBeam en zijn gratis te downloaden. Voor € 14,95 kunt u TwonkyManager downloaden. Van de software is ook een probeerversie beschikbaar. U kunt er al uw bestanden op uw pc mee beheren en ze eenvoudig naar dlna-apparaten versturen. De werking van deze software is vergelijkbaar met TwonkyBeam. U selecteert welk bestand u wilt afspelen en versleept dit naar het icoontje van het apparaat waarop u het wilt afspelen. Het is ook mogelijk om hele speellijsten samen te stellen, zodat u bijvoorbeeld verzekerd bent van een aantal uur muziek. Er zijn ook twee apps voor Android-telefoons. www.twonky.com
MEZZMO Mezzmo maakt van uw computer een server waarmee foto’s, video’s en muziek gedeeld kunnen worden met andere dlna-apparaten in het thuisnetwerk. De software kost US$ 29,95. Er is een probeerversie beschikbaar. Wanneer u een bestand wilt bekijken op een dlna-apparaat dat de gebruikte codec niet ondersteunt, kan Mezzmo het via ffmpeg voor u transcoderen. De verschillen met Twonky en Tversity zijn niet groot. www.mezzmo.com
PC-ACTIVE | Nr. 243 – 2010
409 DLNA.indd 55
55
24-11-2010 07:51:43
EVENWICHT TUSSEN VEILIGHEID EN VRIJHEID
GEBRUIKERSACCOUNTS BEHEREN TEKST : HANS NIEPOTH
Om te bepalen wie wat kan doen op de computer hanteert Windows de gebruikersaccounts. Accounts zorgen voor veiligheid, maar beperken ook uw vrijheden op de pc en geven soms hinderlijke meldingen. Hoe vindt u de juiste balans?
A
an de hand van het account kan Windows bepalen of een gebruiker bepaalde taken wel of niet mag uitvoeren. Met een account kan elke gebruiker zijn eigen bureaublad inrichten, een achtergrond en een kleurenthema kiezen en over zijn eigen bestanden en e-mail beschikken. Anderzijds verhinderen accounts dat gebruikers instellingen verdraaien, dat malware algehele toegang tot de computer krijgt en ze zorgen ervoor dat eventuele schade beperkt blijft tot de data van de
56
gebruiker zelf. Elke gebruiker heeft met een eigen gebruikersnaam en wachtwoord toegang tot zijn of haar gebruikersaccount. Er zijn drie soorten accounts: Administrator, Standaard en Gast. Elk accounttype geeft de gebruiker een verschillend niveau van beheer op de computer. Administrators hebben de uitgebreidste rechten, kunnen (vrijwel) alle wijzigingen doorvoeren en kunnen ook nieuwe accounts aanmaken. De Standaardaccount is bedoeld voor de dagelijkse
PC-ACTIVE | Nr. 243 – 2010
405 gebruikersaccountbeheer.indd 56
24-11-2010 10:44:18
GEBRUIKERSACCOUNTS
computerwerkzaamheden, maar beperkt de rechten van de gebruiker tot de eigen mappen en instellingen. Met een standaardaccount kan een gebruiker geen wijzigingen aanbrengen die van toepassing zijn voor alle gebruikers. Wie dan een taak wil uitvoeren als het installeren van software of het wijzigen van instellingen, wordt om een wachtwoord voor een administratoraccount verzocht. Het Gastaccount heeft de minste rechten. De gastgebruiker krijgt geen toegang tot gedeelde mappen en kan niet elk programma openen, maar een administrator kan met een Gastaccount iemand wel laten internetten (de Gastaccount bestaat overigens niet in de Windows Home-edities). Binnen de accounts bestaan er verschillende – door de administrator in te stellen – beveiligingsniveaus. Daarbij geldt hoe meer vrijheid een gebruiker wordt toegekend, hoe meer kans malware krijgt op uw computer binnen te glippen. Bij het installeren van Windows krijgt u in eerste instantie een ingebouwd administratoraccount, zodat u de rechten hebt de computer te configureren en programma’s te installeren. Als de configuratie is afgerond wordt u om veiligheidsredenen aangeraden een standaardgebruikersaccount te gaan gebruiken voor de dagelijkse taken. Het is wijselijk ook volgende accounts als gewone standaardgebruiker te configureren. Op het inlogscherm worden de accounts van alle gebruikers met naam en eigen pictogram weergegeven.
UAC Met Windows Vista heeft Microsoft User Account Control (UAC) geïntroduceerd. Dit gebruikersaccountsysteem bestaat uit een verzameling technieken die het Protected Administrator account, de UAC ‘elevation prompts’ en de ‘registry virtualization’ behelzen. User Account Control beïnvloedt vooral de manier waarop administratoraccounts werken. Als UAC aan staat (wat de standaardmodus is) moet u uitdrukkelijk toestemming geven aan elk programma dat administratorrechten verlangt. Als UAC is geactiveerd, heeft elk programma alleen ‘standaardgebruiker’-toegang, zelfs als u als administrator bent ingelogd. Om een programma volle administratortoegang te verstrekken, zult u het tijdelijk moeten verheffen (Engels: elevate). Een administrator doet dit door in het dialoogvenster dat verschijnt op Doorgaan te klikken (als het goed is na gecheckt te hebben of alles deugt!). Een gewone gebruiker kan een programma alleen verheffen door in het dialoogvenster door middel van een wachtwoord administratorrechten te geven. Een programma dat u verhoogde rechten hebt gegeven behoudt deze rechten zolang het draait en kan deze doorgeven aan een volgend programma dat het start. Als u bijvoorbeeld Explorer start als administrator en binnen de applicatie een tweede programma start, zal die toepassing ook verhoogde rechten hebben en niet expliciet om
| SOFTWARE
toestemming vragen. Dat is wel iets om op te letten. Voor oudere voor Windows XP geprogrammeerde software die geen dialoogvensters laten zien en een foutmelding geven, kunt u nog terugvallen op een alternatieve methode. Om zo’n programma beheerderrechten te geven, start u het met een rechtermuisklik op de programmanaam of het programmapictogram en kiest u voor Als administrator uitvoeren.
Meldingen Hoewel het accountbeheer Windows een stuk veiliger maakt, leidt het ook tot de nodige ergernis. Als een standaardgebruiker een programma start en hij ziet een pop-upvenster met een schildje verschijnen, dan betekent dat dat er beheerderrechten nodig zijn en een wachtwoord wordt gevraagd. Heeft de administrator de moeite genomen zijn account van een wachtwoord te voorzien, dan kan die gebruiker zonder dat wachtwoord geen actie verrichten! Maar zelfs als u bent ingelogd als administrator lijkt u soms geen rechten te hebben een programma te installeren en wordt u met vensters die om toestemming vragen geconfronteerd. Met name programma’s die in Windows-systeemmappen of het register schrijven laten de vensters verschijnen, maar als die voortdurend om toestemming vragen, is dit uiteraard storend. Als u de waarschuwing ontvangt, wordt bovendien het bureaublad gedimd en moet u het verzoek in het dialoogvenster eerst goedkeuren of weigeren voordat u iets anders kunt doen. Dit gedimde bureaublad wordt ook het beveiligde bureaublad genoemd, omdat er op dat moment geen andere programma’s kunnen worden uitgevoerd. De actie dient in de eerste plaats de veiligheid, want het beveiligde blad wordt door het systeem zelf beheerd. Op het gewone bureaublad kunnen andere programma’s de weergave van het dialoogvenster mogelijk wel beïnvloeden. Ervaart u het aantal meldingen waarmee u wordt geconfronteerd als storend, dan kunt u dit gelukkig wel aanpassen. Met enkele wijzigingen in het Lokale beveiligingsbeleid is het aantal meldingen te reduceren en is te voorkomen dat het scherm dimt totdat u toestemming verleent.
Minder meldingen Het nut van een account is duidelijk als de computer wordt gedeeld met meerdere personen, maar als u als enige gebruiker uzelf voortdurend toestemming moet geven door te gaan met een bewerking, zult u zich waarschijnlijk ergeren aan het accountbeheer. Het systeem is aan te passen. Tussen Vista en Windows7 bestaan er wel enkele flinke verschillen. Eerst Vista. De meest radicale methode is UAC in één keer uitschakelen. Dit kan door in het Configuratiescherm | Gebruikersaccounts | Instellingen voor Gebruikersaccountbeheer uit te vinken. De methode is handig als er tijdelijk veel essentiële aanpassingen moeten worden aangebracht, maar is toch geen goede permanente oplossing. Als
PC-ACTIVE | Nr. 243 – 2010
405 gebruikersaccountbeheer.indd 57
57
24-11-2010 07:47:08
SOFTWARE
| GEBRUIKERSACCOUNTS
Beheerdermeldingen uitschakelen
het Gebruikersaccountbeheer eenmaal is uitgeschakeld, kan bijvoorbeeld een ieder zich aanmelden als administrator. Er zijn tussenstanden mogelijk: 1) Ga naar Configuratiecentrum | Systeembeheer. 2) Selecteer Lokaal beveiligingsbeleid | Lokaal beleid | Beveiligingsopties. 3) U komt nu in een scherm met beveiligingsinstellingen die in- en uitgeschakeld kunnen worden of waarvan de manier van vragen is aan te passen. 4) Een belangrijke beleidsregel die u kunt aanpassen is: Gedrag bij het vragen om benodigde bevoegdheden voor administrators in modus ‘Door administrator goedkeuren’
5) Kiest u voor uitgeschakeld, dan zal de pop-up niet meer opduiken Een tweede regel die u kunt aanpassen om het dimmen uit te schakelen is: 1) Gebruikersaccountbeheer: naar het beveiligd bureaublad overschakelen tijdens het vragen om benodigde bevoegdheden 2) Klik dubbel en wijzig deze in het keuzevenster dat zich ontvouwt: Met benodigde bevoegdheden uitvoeren zonder hierom te vragen. Vanaf nu wordt het bureaublad niet meer gedimd. Hiermee wordt u al minder lastig gevallen zonder alle beveiliging in te leveren. Misschien vindt u het leuk ook de effecten van de overige regels eens te proberen. Door de wat cryptische regel alle administrators in modus Door administrator goedkeuren uitvoeren uit te schakelen zet u bijvoorbeeld het UAC-beleid helemaal uit. In Windows7 is dit beheer fraaier en eenvoudiger opgelost. De radicale methode om met een druk op de knop het hele beheer uit te schakelen, bestaat niet meer in Windows 7. Route voor wijzigen: Configuratiescherm | Systeem en beveiliging | Onderhoudscentrum | Instellingen voor Gebruikersaccountbeheer wijzigen. Het scherm dat u daarop te zien krijgt, laat een schuif met vier standen zien, van Altijd een melding weergeven tot Nooit een melding weergeven (u mag dit zo u wilt lezen als van hinderlijk tot geheel niet hinderlijk). De uiterste instellingen spreken voor zich. Op de tussenliggende niveaus
Stop het dimmen van het bureaublad
58
PC-ACTIVE | Nr. 243 – 2010
405 gebruikersaccountbeheer.indd 58
24-11-2010 07:48:20
GEBRUIKERSACCOUNTS
krijgt u de melding alleen als een programma een wijziging probeert door te voeren. U wordt gewaarschuwd als een programma wijzigingen wil aanbrengen waarvoor administratorrechten nodig zijn, maar u kunt wel ongestoord een systeeminstelling wijzigen. Het op een na laagste niveau heeft dezelfde instellingen met dit verschil dat het bureaublad niet wordt gedimd en u andere taken kunt uitvoeren. Het niveau Nooit waarschuwen wordt uiteraard niet aanbevolen. Er wordt niet om toestemming gevraagd en u wordt niet van wijzigingen op de hoogte gebracht. Deze instelling wordt pas van kracht na een herstart van de computer en komt overeen met het uitvinken van de UAC in Vista. Voor beheerders in Windows 7 is het tweede niveau echter de standaardinstelling. Voor de standaardgebruiker ziet het plaatje er iets anders uit. Voor hen is het niveau Altijd melden standaard en met het wachtwoord van de administrator kan deze een stapje lager gaan en het dimmen uitschakelen. De andere niveaus zijn voor de standaardgebruiker onbereikbaar, zelfs niet met het wachtwoord! De hierboven besproken instellingen via Lokaal beleid | Beveiligingsopties voor Vista bestaan overigens nog steeds in Windows 7, maar niet in de Starter- en Homeversies. Zonder de optie Lokaal beveiligingsbeleid zijn de beleidsinstellingen alleen te wijzigen door een handmatige aanpassing in het register. Een voorbeeld: Ga naar de sleutel: HKLM\SOFTWARE\Microsoft\Windows\ CurrentVersion\Policies\System verander de DWORD-waarde PromptOnSecureDesktop in 0 (in plaats van 1). Verander de DWORD-waarde ConsentPromptBehaviorAdmin in 0 (in plaats van 2).
Verschillende schildjes In de meldingsvensters kan Windows verschillende schildjes laten zien. Als u de betekenis kent, is de ernst van de melding al duidelijker. Het is immers de bedoeling van de meldingen dat u leest van welke uitgever de software afkomstig is en of er een certificaat is verstrekt. Als u de meldingen onverschillig wegklikt, is het beheer vrij nutteloos. De verschillen op een rijtje:
Fig. 1: Windows-instelling aanpassen
| SOFTWARE
1) Schildje met vier vlakken: er wordt om toestemming gevraagd omdat u een Windowsinstelling wilt aanpassen. Omdat dat gevolgen kan hebben voor de andere gebruikers, wordt u gevraagd te controleren of de naam overeenkomt met de functie die u wilt uitvoeren (zie figuur 1). 2) Schildje met vraagteken: u wilt een programma starten dat geen deel uitmaakt van Windows, maar van een bekende uitgever komt en een geldige digitale handtekening heeft. Voordat u toestemming verleent, kunt u eerst het certificaat inzien (zie figuur 2). 3) Schildje met uitroepteken: het programma komt van een onbekende uitgever en er is geen digitale handtekening of certificaat. Dit kan duiden op een ouder, maar wel legitiem programma. Voorzichtigheid is echter geboden, zeker als u op het moment geen administratieve taken aan het systeem uitvoert en alleen wat aan het browsen bent (zie figuur 3). 4) Schildje met kruis: het programma is geblokkeerd door de beheerder en kan niet worden uitgevoerd.
Klachten Microsoft heeft de klachten over de vele pop-updialogen in Vista ter harte te hebben genomen. In Windows 7 is Accountbeheer een stuk verbeterd. Met de schuifregelaar is het accountbeheer eenvoudig minder streng af te stellen, maar de ook de rechten voor sommige acties te hebben versoepeld. Zo vereist het verzetten van de tijdzone bijvoorbeeld geen administratorrechten meer (het verzetten van de klok nog wel). Ook het wijzigen van de schermresolutie en het uitvoeren van Windows-updates zijn nu beschikbaar voor standaardgebruikers. Achter de schermen werkt bovendien de ‘File system and registry virtualization’, een techniek om applicaties die onbedoeld administratieve rechten gebruiken toch correct te laten werken. Een veel voorkomend onnodig gebruik van administratieve rechten is bijvoorbeeld de opslag van
fig. 2: bekend programma wil wijzigingen aanbrengen
PC-ACTIVE | Nr. 243 – 2010
405 gebruikersaccountbeheer.indd 59
59
24-11-2010 07:48:36
SOFTWARE
| GEBRUIKERSACCOUNTS
fig. 3: onbekend programma wil wijzigingen aanbrengen
gebruikersgegevens in het register of systeemmappen. Sommige applicaties schrijven in het registerdeel HKEY_LOCAL_MACHINE\Software in plaats van het individuele gebruikersdeel HKEY_CURRENT_USER\Software. De ‘File system and registry virtualization’ zal dan deze actie proberen om te buigen naar de gebruikerssectie.
Ten slotte Sinds Windows XP heeft Microsoft veel geïnvesteerd
in de veiligheid. Had onder XP bij de administrator elk programma vrij spel, onder Vista en Windows 7 wordt elk programma dat administratorrechten vereist pas na toestemming gestart. Als veiligheid u lief is, kunt u zich het best met een standaardgebruikersaccount aanmelden. U kunt ook surfen op internet, e-mail verzenden en tekstverwerken zonder dat u daarvoor een administratoraccount hoeft te gebruiken. Wanneer u een beheertaak wilt uitvoeren, zoals het installeren van een nieuw programma of het wijzigen van een instelling die gevolgen heeft voor andere gebruikers, hoeft u ook niet te switchen naar een administratoraccount. Het beheerderwachtwoord invoeren is dan voldoende. Door niet met gebruikersrechten te strooien, wordt voorkomen dat een ieder van alles kan installeren. UAC biedt uiteraard geen absolute veiligheid; de Firewall, Windows Defender, het SmartScreen-filter en een virus- en spywarechecker blijven nodig. UAC dient dus de veiligheid, maar kan ook als hinderlijk worden ervaren. Met enkele aanpassingen in het systeembeheer is het echter niet moeilijk het meldingsniveau aan te passen. Windows 7 maakt het u zelfs erg eenvoudig met een schuifregelaar in het Onderhoudscentrum.
Notificiatieopties Het uitzetten van het accountbeheer wil nog niet zeggen dat u helemaal geen meldingen meer krijgt. In de taakbalk nestelt zich een rood schildje en met enige regelmaat zal Windows u met een ballonnetje laten weten dat u beveiligingsrisico’s loopt. Bij internetten met de Explorer ziet u in de statusbalk ook dat u in onbeveiligde modus werkt. Om ook deze waarschuwingen uit te schakelen gaat u in Vista naar het Beveiligingscentrum | Waarschuwingen van het Beveiligingscentrum wijzigen waarin drie opties staan: Melding plus pictogram, Geen melding, maar wel pictogram of Geen van beide. In Windows 7 is het schildje vervangen door een vlaggetje en past u de waarschuwingen aan in het menu Systeem en beveiliging | Onderhoudscentrum | Instellingen voor Onderhoudscentrum wijzigen. Daar kunt u een zestal vakjes aan- en uitvinken.
Notificatieopties in Windows 7
60
PC-ACTIVE | Nr. 243 – 2010
405 gebruikersaccountbeheer.indd 60
24-11-2010 07:49:28
handboek_dfb_werf_2010 18-11-10 13:33 Pagina 1
• 740 pagina’s dik • Uitgebreider dan ooit • Volledig geactualiseerd!
Untitled-5 1
Bestel nu voor slechts € 64,50 en ontvang het fotoboek Paul de Nooijer t.w.v. € 45,- gratis! www.focusmedia.nl/handboek
18- 11-2010 13:46: 07
HET LAB TEKST : HENK VAN DE K AMER HENK @ HE TL AB . TK
Deze maand kunnen we eindelijk aantonen hoe krachtig LVM is door het aanmaken van een flimpartitie die meer ruimte heeft dan elke fysieke harde schijf afzonderlijk. Dit alles wel na een paar gevaarlijke opdrachten...
FILMS Vorige maand zijn we gestopt op het punt dat we een LV (Logical Volume) ‘films’ hadden gemaakt in de VG (Volume Group) ‘vgdata’. Een aantal maanden geleden zijn we gestart met een klein deel van de werkelijk ‘gekochte’ – niet echt omdat het om virtuele hardware gaat – ruimte. De 511 LE’s (Logical Extend) van elk 4 MiB geven echter voldoende ruimte om onze films te parkeren en zo weer ruimte te maken voor nieuwe. Zoals gezegd, had ik dat op zeer korte termijn nodig, vandaar de vreemde tussenstap. Aan de andere kant kunnen we u straks een paar enge dingen laten zien en kunt u die met een gerust hart ook thuis gewoon gaan proberen. Als het mis gaat, gooit u de virtuele computer gewoon weg en start u opnieuw! Voordat we verder gaan, moet u eerst de computer up-to-date brengen. Ik doe dit net voordat het vorige nummer bij u op de mat valt en deze tien zult u dus de vorige maand er als extra bij hebben gekregen. Een hiervan is de kernel en na het installeren daarvan moet u de computer herstarten als u tenminste de nieuwe versie wilt gebruiken. Bij elkaar gaat het om ruim 30 MB dat u moet downloaden. Als het herstarten goed gaat, kunt u de oude kerneldrivers opruimen: lvm:~# uname -a Linux lvm 2.6.36 #1 SMP PREEMPT Thu Oct 28 22:49:03 CEST 2010 i686 Intel(R) Celeron(R) CPU E1200 @ 1.60GHz GenuineIntel GNU/Linux lvm:~# rm -r /lib/modules/2.6.35/
62
De eerste opdracht geeft aan dat we inderdaad de nieuwe kernel gebruiken. Tijdens de installatie wordt de oude directory niet opgeruimd omdat die – zo lang deze nog draait – soms nog drivers nodig heeft. Bijvoorbeeld als u een usb-apparaat zou inpluggen.
Formatteren De LV films is ondanks de tussenlagen niets anders dan een echte partitie. LVM zorgt er voor dat we de grenzen van de fysieke hardware op een betere manier kunnen indelen, niets meer of minder dan dat. Ofwel de LV films moeten we als eerste gaan formatteren en dat doet u als root (zie de vorige aflevering voor het wachtwoord): lvm:~# mke2fs -j -m 0 /dev/vgdata/films De -j geeft aan dat we een ext3 inclusief journaal willen en de -m 0 zorgt ervoor dat geen ruimte voor root wordt gereserveerd. Dat is wel handig op systeempartities waar gebruikers anders de complete ruimte vol kunnen maken en zo de boel in de soep helpen. Linux reserveert standaard 5 % van de ruimte voor root, ook als gebruikers niets meer kunnen, heeft root genoeg ruimte om de boel te redden. Omdat we films vol zetten met exact dat, heeft vrije ruimte voor root geen nut. Het journaal is een bestand waarin wordt bijgehouden wat er op de harde schijf wordt uitgespookt. Mocht het systeem crashen en daardoor mogelijk halve bestanden achterlaten, dan kan dankzij het journaal de controle hierop een heel stuk sneller gedaan worden. Ik meen dat Windows tegenwoordig ook zoiets heeft? Voor de huidige harde-schijfgroottes
PC-ACTIVE | Nr. 243 – 2010
503 Het Lab-.indd 62
24-11-2010 07:07:23
HET LAB
is een journaal essentieel, want zonder kan de controle vele minuten tot uren duren. Met een journaal is dat meestal secondewerk. De volgende stap is de nieuwe ruimte eindelijk beschikbaar maken. Vorige maand lieten we zien hoe ik de verschillende blokken ruimte in mijn home een plaatsje geef. Om root een handje te helpen, maak ik de mountpoint even aan onder mijn eigen rechten: lvm:~$ mkdir -p mnt/films Daarmee kan root het geheel voor ons klaar zetten en hebben we meteen de juiste rechten: lvm:~# mount /dev/vgdata/films /home/pca/ mnt/films
| ACHTERGROND
'[[:space:]]OK$' De eerste opdracht past de directory’s aan die in het bestand zolder.md5 staan en maakt daarvan een nieuw bestand die verwijst naar onze films-directory. De tweede opdracht controleert de checksums zodat we zeker weten of alles heelhuids is overgekomen. De grep-opdracht filtert alle regels uit de uitvoer weg waarbij een OK op het einde staat, ofwel als u geen uitvoer ziet, is alles in orde. En anders weten we welke bestanden niet in orde zijn. Mocht u het niet vertrouwen, dan kunt u natuurlijk moedwillig eens een paar bestanden subtiel aanpassen om te zien wat er gebeurt. Als alles in orde is, laten we root de zolder umounten en zo veilig stellen: lvm:~# umount /home/pca/mnt/zolder
lvm:~# cd /home/pca/mnt/ lvm:/home/pca/mnt# chown pca.users films/ U vraagt zich misschien af waarom de laatste opdracht nodig is als we de rechten van de directory reeds goed hadden staan? Heel simpel, bij het mounten worden de rechten van het nieuwe volume overgenomen en voor diens root-directory is dat natuurlijk root.root. Dat passen we aan, waarmee het in de toekomst altijd goed zal gaan. Verder willen we natuurlijk dat het mounten automatisch wordt gedaan na elke herstart en dat kan door de volgende regel als root toe te voegen in /etc/fstab: /dev/vgdata/films /home/pca/mnt/films ext3 defaults 0 2
Veiligheid Nu onze gebruiker – ik dus – tijdelijk genoeg nieuwe ruimte heeft voor zijn films kan het worden verplaatst. Nu ben ik door schade en schande wijs geworden en doe ik dit soort verplaatsingen altijd via een cp-opdracht en niet via een mv. Mocht er iets mis gaan – en ik heb u enge dingen beloofd –, dan hebben we in ieder geval nog het origineel. Ofwel: lvm:~$ cp -a mnt/zolder/* mnt/films/ cp: cannot access 'mnt/zolder/lost+found': Permission denied
Op elke partie is een lost+found-directory aanwezig waarin beschadigde bestanden worden geplaatst, mochten deze tijdens een harde-schijfcontrole worden ontdekt. Uiteraard is de eigenaar daarvan root en dat verklaart beide meldingen. Niets om u verder zorgen over te maken. De volgende stap is het controleren of alles goed is verlopen: lvm:~$ sed -re 's/zolder/films/' zolder.md5 > films.md5 md5sum
-c
films.md5
|
grep
Gevaarlijk doen In het echt was ondertussen de rest van de harde schijf ook gecontroleerd en we willen natuurlijk de rest ook in gebruik nemen. En daar komen de gevaarlijke opdrachten, tenminste als u het net zoals ik ook voor de toekomst logisch wilt houden. Ofwel /dev/sdb1 is nu 4.194.304 sectoren groot en dat moeten er 30.717.952 worden. Om dat voor elkaar te krijgen moeten we eerst /dev/sdb1 vernietigen en vervolgens met exact hetzelfde startpunt, maar een veel verder weg gelegen einde weer aanmaken. Dat kan omdat het verwijderen niets met de partitie zelf doet. Zo lang u het beginpunt weer gelijkmaakt, is er niets aan de hand. Maakt u echter een fout, dan is de kans groot dat de partitie beschadigd raakt en bent u alle data daarop kwijt. Begrijpt u nu waarom we de kopie op de oude harde schijf nog even hebben laten bestaan? En zelfs dat is eigenlijk nog niet zoals het hoort, want de nette methode is natuurlijk een fatsoenlijke back-up die niet fysiek toegankelijk is tijdens alle handelingen. Maar een beetje gevaarlijk leven is af en toe goed. Ofwel als root doen we nu het volgende: lvm:~# umount /home/pca/mnt/films lvm:~# fdisk -l /dev/sdb
cp: preserving times for 'mnt/films/./ lost+found': Operation not permitted
lvm:~$
Uiteraard verwijderen we ook de bijbehorende regel in /etc/fstab. Mocht u ondertussen nieuwe films hebben bewaard, dan moet u natuurlijk een nieuwe films.md5 maken voordat u verder gaat.
-Ev
...
Device Boot Start /dev/sdb1 2048
End Blocks Id 4196351 2097152 8e
System Linux LVM
lvm:~# fdisk /dev/sdb
De eerste opdracht zorgt ervoor dat we veilig aan de slag kunnen. De daarop volgende opdracht geeft ons de benodigde informatie om het geheel met het juiste startpunt weer aan te maken. De laatste geeft ons toegang tot de ondertussen bekende opdrachtregel en
PC-ACTIVE | Nr. 243 – 2010
503 Het Lab-.indd 63
63
24-11-2010 07:07:46
ACHTERGROND
64
| HET LAB
daar geven we de volgende serie opdrachten (zie ook vorige aflevering): D n p 1 2048 30719999 t 8E w
Doen we dat niet, dan kunnen de volgende opdrachten behoorlijk in de soep lopen. Na de herstart wordt de films-partitie automatisch weer gemount en doen we voor de zekerheid een controle op de checksums. Als u alles goed hebt gedaan, zijn alle bestanden nog onbeschadigd aanwezig.
Na afloop hebben we dus weer een /dev/sdb1 die wederom op sector 2048 begint, maar nu een heel stuk verder – om precies te zijn het einde – op de harde schijf stopt. Omdat de dm-mod driver het geheel nog in gebruik had, moeten we nu de computer herstarten.
Vergroten De volgende stap is het in gebruik nemen van de extra ruimte en dat gaat in een paar stappen: lvm:~# pvresize /dev/sdb1
PC-ACTIVE | Nr. 243 – 2010
503 Het Lab-.indd 64
24-11-2010 07:08:28
HET LAB
Physical volume "/dev/sdb1" changed 1 physical volume(s) resized / 0 physical volume(s) not resized Wie vervolgens een pvdisplay doet, zal zien dat we nu 3.749 PE’s hebben waarvan slechts 511 in gebruik. Dezelfde gegevens laat ook een vgdisplay zien. Tenslotte was /dev/sdb1 toebedeeld aan vgdata. Het aantal in gebruik zijnde PE’s kunnen we aanpassen door meer uit te delen aan onze filmopslag: lvm:~# lvresize -l +2489 /dev/vgdata/films Extending logical volume films to 11.72 GiB Logical volume films successfully resized In totaal is het nu 3.000 LE’s groot geworden. Nu zien we die ruimte nog niet terug in onze filmpartitie en ook dat is logisch. We hebben al uitgelegd dat LVM niets anders is dan een truc om de fysieke ruimte anders in te delen en wel onafhankelijk van de fysieke grenzen. Hoe dat werkt, zult u straks zien, maar eerst gaan we weer gevaarlijk doen: lvm:~# resize2fs /dev/vgdata/films ... Filesystem at /dev/vgdata/films is mounted on /home/pca/mnt/films; on-line resizing required Inderdaad, we vergroten de ruimte terwijl alles nog gewoon in gebruik is. Nu gaat dit vrij snel omdat de harde schijven in onze virtuele computer klein zijn. Maar ik heb het ook op Obelix gedaan [1] en ondertussen als gewone gebruiker de boel flink lopen stressen. Dat ging goed, maar hadden we u al verteld dat u voor dit soort operaties toch echt een goede back-up moet maken? Om aan te tonen dat het echt goed is gegaan, kunt u weer de checksums controleren.
Ten slotte Misschien hebt u nog niet in de gaten wat nu de kracht van LVM is. Maar daar gaan we nu achterkomen! Op /dev/sdb1 is in vgdata nog genoeg ruimte over om de home partitie, hoefnix2 en een zolder – op Obelix stond daarin meer dan alleen de films – aan te maken. Dat doet u met de lvcreate en we gebruiken als waardes respectievelijk 100, 300 en 300 LE’s. Daarmee zijn er nog 49 beschikbaar en na het formatteren, kopiëren en controleren ziet onze fstab er als volgt uit: /dev/vgdata/home /home
| ACHTERGROND
Daarmee zijn sda8 t/m 10 niet meer in gebruik en kunnen we met fdisk deze vernietigen en tot één grote /dev/sda8 weer aanmaken. Deze kunnen we vervolgens gaan toevoegen aan het systeem en dan wordt de kracht van LVM denk ik wel duidelijk: lvm:~# pvcreate /dev/sda8 lvm:~# vgextend vgdata /dev/sda8 lvm:~# lvresize -l +834 /dev/vgdata/films lvm:~# resize2fs /dev/vgdata/films
Na afloop hebben we een virtuele harddisk vgdata die 4.534 PE’s groot is en dat is meer dan de nieuwe harde schijf. Vervolgens hebben we 3.834 LE’s uitgedeeld aan onze filmspartitie en ook dat is meer dan de 3.749 PE’s die op de nieuwe harde schijf konden worden gemaakt. En wie een lvdisplay opvraagt, ziet dat het geheel nu over drie blokken is verdeeld. Eén aan het begin van /dev/sdb1, één klein brokje aan het einde en de rest op /dev/sda8. Zodra er ruimte is, kunnen we de
We laten u een paar enge dingen zien, die u overigens ook met gerust hart thuis zelf kunt proberen op uw pc LV’s gewoon vergroten zonder dat we dingen moeten verschuiven of samenvoegen. Als we een derde harde schijf inbouwen, kunnen delen daarvan zonder meer aan elk van de huidige vier LV’s worden toegevoegd. Uiteraard moeten we wel voor een goede back-up zorgen, want als één van de harde schijven overlijdt, zijn we dan wel delen kwijt over al die partities. Maar een overleden harde schijf zonder back-up is sowieso een ramp!
INFORMATIE Oude afleveringen zijn ook na te lezen op de Het Lab-website. De url is www.hetlab.tk/afleveringen/hetlab-jjjjmm waarin jjjj natuurlijk het jaar en mm de maand met voorloopnul is. [1]
www.hetlab.tk/obelix/ruimte-vergroten
ext3
defaults
0 2
/dev/vgdata/films
/home/pca/mnt/films
ext3
defaults
0 2
/dev/vgdata/hoefnix2
/home/pca/mnt/hoefnix2
ext3
defaults
0 2
/dev/vgdata/zolder
/home/pca/mnt/zolder
ext3
defaults
0 2
PC-ACTIVE | Nr. 243 – 2010
503 Het Lab-.indd 65
65
24-11-2010 07:08:48
EXCLUSIEF VOOR PC-ACTIVE-LEZERS:
LIKNO WEB TABS BUILDER T.W.V. € 36 Deze maand voor PC-Active-lezers een gratis en volledige versie van Likno Web Tabs Builder. Dit programma ter waarde van € 36 helpt u met het ontwikkelen van tab-menu’s voor uw website. Verder een extra lange probeerversie van Trend Micro Titanium Internet Security 2010 en Nero 10 Multimedia Suite. Daarnaast ook zes gratis back-upprogramma’s. Kijk voor de complete inhoudsopgave op de schijf.
GRATIS SOFTWARE T.W.V. € 36: LIKNO WEB TABS BUILDER Likno Web Tabs Builder is een gebruiksvriendelijk ontwikkelprogramma voor het maken van geavanceerde menu’s en html-controls voor websites, zonder dat u uitgebreide kennis nodig hebt van de open source-uitbreiding jQuery: een polulaire open sourcebibliotheek als toevoeging op JavaScript. Deze krachtige taal stelt u in staat om geavanceerde html-code te genereren en tabbladen te maken voor uw website. Dankzij de eenvoudige interface van Web Tabs Builder heeft u geen uitgebreide kennis nodig van jQuery, DHTML of JavaScript. Deze versie van Likno Web Tabs Builder is gratis voor PC-Active-lezers en biedt ondersteuning voor een enkel webdomein.
90-DAGENVERSIE: TREND MICRO TITANIUM INTERNET SECURITY 2011 Speciaal voor PC-Active-lezers heeft Trend Micro ons een 90-dagenversie beschikbaar gesteld van Trend
66
Micro Titanium Internet Security 2011. Deze is normaal alleen als 30-dagenversie te verkrijgen. U bent dus drie maanden compleet en gratis beveiligd. De software weert spam uit uw e-mailbox, controleert websites terwijl u ze bezoekt en blokkeert deze direct als er gevaar dreigt en de software houdt zichzelf automatisch up-to-date: u hoeft hier zelf niets voor te doen. U kunt Trend Micro Titanium Internet Security 2011 ook gebruiken om websites te blokkeren. Hier zorgt het onderdeel Ouderlijk Toezicht voor. Hiermee voorkomt u dat bijvoorbeeld uw kinderen bepaalde websites bezoeken.
30-DAGENVERSIE: NERO 10 MULTIMEDIA SUITE Ook Nero heeft ons voorzien van een extra lange evaluatieperiode van Nero 10 Multimedia Suite: in plaats van de standaard 15 dagen kunt u de versie op de cd-rom 30 dagen uitproberen. Nero 10 Multimedia is een compleet pakket voor het maken van dvd’s en
PC-ACTIVE | Nr. 243 – 2010
101 Inhoud cd.indd 66
24-11-2010 07:57:11
CD
cd’s, zoals video-dvd’s, audio-dvd’s, muziek-cd’s en video-cd’s. Daarnaast kunt u met de extra meegeleverde applicaties films en muziek bewerken, zodat u eenvoudig uw eigen creaties kunt maken. Met Nero Recode bijvoorbeeld kunt u een bestaande dvdfilm comprimeren en in een eigen gewenst formaat opslaan. Nero MediaHub is een centrale applicatie waarmee u binnen Windows snel uw muziekbestanden en films kunt terugvinden. U dient eenmalig de mappen toe te voegen waarin MediaHub moet zoeken en houdt daarna automatisch alle wijzigingen bij. Natuurlijk ontbreekt ook Nero Burning ROM niet: het brandprogramma waarmee u uw eigen projecten kunt branden en discs kunt kopiëren.
GRATIS: WINDOWS 7 TWEAKER 2.2.5 Met Windows 7 Tweaker kunt u eenvoudig bepaalde onderdelen van Windows 7 uitschakelen of naar uw eigen hand zetten. Het is een krachtige utility waarmee u onderdelen van het besturingssysteem kunt aanpassen, die normaliter niet eenvoudig zijn te vinden. U kunt met Windows 7 Tweaker onder meer het inlogscherm van Windows 7 aanpassen, het inloggen zodanig aanpassen dat u geen gebruiersnaam en
| INHOUD
wachtwoord meer hoeft in te voeren (alleen handig natuurlijk wanneer u de enige gebruiker bent op de computer), het uiterlijk van de Verkenner aanpassen en andere geavanceerde opties veranderen.
GRATIS: PASSWORD MEMORY 2010 Het invoeren van wachtwoorden behoort tot de dagelijkse bezigheden van menig computergebruiker. E-mail, bankgegevens, internetwinkels: allemaal diensten waarvoor u een wachtwoord nodig hebt. Met Password Memory 2010 kunt u deze wachtwoorden makkelijk onthouden en beheren. Voor de gegevensopslag maakt Password Memory gebruik van Firebird, een volwassen database met een goede reputatie op het gebied van stabiliteit en veiligheid. De data in deze database wordt versleuteld via 256-bits encryptie, wat er voor zorgt dat niemand uw data kan lezen behalve als men beschikt over uw wachtwoord voor databasetoegang.
DOE MEE EN WIN! Deze maand maakt u op de cd-rom kans op een Altec Lansing Octiv 102 Audio Dock ter waarde van € 49,99. Met de Altec Lansing Octiv 102 kunt u tegelijkertijd uw iPhone of iPod opladen en naar muziek luisteren. De Octiv 102 is zo ontworpen dat hij praktisch overal is neer te zetten en meet slechts 10cm bij 12,5cm. Doe mee met de prijsvraag op de cd-rom om kans te maken op de Altec Lansing Octiv 102.
PC-ACTIVE | Nr. 243 – 2010
101 Inhoud cd.indd 67
67
25-11-2010 12:22:38
HAAL MEER UIT… OPTELLEN ONDER VOORWAARDEN IN EXCEL TEKST : HANS NIEPOTH
In een serie artikelen bekijken we afzonderlijk de veelgebruikte programma’s uit de populaire Office-suite van Microsoft. We geven een aantal serie tips en trucs. De een kent u misschien al, maar er zitten er ongetwijfeld ook bij waarvan u zegt: ‘a ha, handig’! In deze aflevering behandelen we optellen onder voorwaarden in Excel.
handiger om de functie SOM.ALS te benutten. U hoeft dan geen reeksen of losse cellen in te voeren en u voorkomt er ook mee dat u een cel vergeet mee te nemen. De functie SOM.ALS geeft de som van een bepaald bereik op basis van een waarde in een tweede bereik en luidt: =SOM.ALS (CRITERIUMBEREIK, VOORWAARDE;OPTELBEREIK)
SOM.ALS (2007/2010) De som van een reeks getallen berekenen is eenvoudig genoeg: het somteken aanklikken en het bereik dat Excel voorstelt, accepteren of aanpassen. Het kan ook voorkomen dat u alleen bepaalde waarden uit de reeks wilt sommeren die verspreid in de reeks staan. Dan kunt u maximaal dertig celwaarden of bereiken in de somformule zetten, maar slim is dit niet. Het is
68
Een voorbeeld: u hebt een overzicht van alle betalingen in een jaar die u bij de banksite hebt gedownload. Deze database telt 538 records en in de lijst staan de rekeningnummers in kolom C, de bedragen in kolom F. Om nu uit te rekenen welk bedrag u bijvoorbeeld in een jaar bij grootgrutter AH hebt uitgegeven, gebruikt u de volgende formule (zie ook afbeelding 1): =SOM.ALS (C2:C538;"515383414";F2:F538) Het eerste argument is het bereik van de rekeningnummers, het tweede argument de voorwaarde waaraan het nummer moet voldoen (in dit geval het rekeningnummer van AH) en het derde is het bereik
PC-ACTIVE | Nr. 243 – 2010
411 excel-tips.indd 68
24-11-2010 07:00:15
OFFICE-TIPS
| SOFTWARE
afb.1 De waarden zijn ingevuld met de functiewizard afb.2 De uitgeschreven formules
van de bijbehorende bedragen. Bij het uitvoeren van de functie worden nu alleen de geselecteerde bedragen naast het opgegeven rekeningnummer opgeteld. In plaats van het rekeningnummer kunt u ook verwijzen naar een cel met het nummer, bijvoorbeeld: =SOM.ALS (C2:C538;C4;F2:F538) Op dezelfde manier kunt u de betalingswijze als voorwaarde gebruiken en uitzoeken welke bedragen u hebt gepind of via de betaalautomaat hebt opgenomen. Staat de betaalwijze in kolom E en staat GM voor giromaat, dan geeft de formule =SOM.ALS (E2:E538;"GM";F2:F538) het totale bedrag dat u ‘uit de muur’ hebt gehaald. Op dezelfde manier kunt u ook gemiddelden uit een bereik berekenen. Om het gemiddeld uitgegeven bedrag aan boodschappen te achterhalen gebruikt u de formule: = GEMIDDELDE.ALS (C2:C538;C4;F2:F538) en op bijna gelijke wijze is ook het aantal bezoeken dat u aan de supermarkt hebt gebracht te achterhalen, maar in deze formule is het optelbereik niet nodig (zie ook afbeelding 2). = AANTAL.ALS (C2:C538;C4)
Met een simpele formule is snel te achterhalen hoe vaak u het afgelopen bij de AH bent geweest Bij de voorwaarde in SOM.ALS en GEMIDDELDE.ALS mag u ook een groter-dan- of kleiner-dan-teken plaatsen, maar beide functies hebben de beperking dat
er slechts één voorwaarde kan worden gehanteerd. Sinds Office2007 kent Excel echter nog een tweede functie die wel meerdere criteria kan hanteren, te weten: SOMMEN.ALS (OPTELBEREIK;CRITERIUMBEREIK1; VOORWAARDE1;CRITERIUMBEREIK2;VOORWAARDE2, ETC) De functie SOMMEN.ALS begint dus met het optelbereik, gevolgd door een criteriumbereik en een voorwaarde, een tweede criteriumbereik en een voorwaarde, en zo verder, steeds gescheiden door een puntkomma. Opgegeven waarden worden weer tussen dubbele aanhalingstekens geplaatst. U kunt SOMMEN.ALS gebruiken als u nu bijvoorbeeld alleen de bedragen in het tweede halfjaar wilt optellen zonder het bereik opnieuw in te stellen. =SOMMEN.ALS(F2:F538;C2:C538;"515383414";A2: A538;">=20090701") (datum in jaar-maand-dagnotatie): Wilt u de cijfers van het derde kwartaal zien dan kunt u de formule uitbreiden met een derde criterium: =SOMMEN.ALS(F2:F538;C2:C538;"515383414";A2: A538;">=20090701";A2:A538;"<20100101") En zoals Excel naast SOM.ALS ook GEMIDDELDE.ALS kent, heeft ook SOMMEN.ALS een evenknie in GEMIDDELDEN. ALS. Er zijn maximaal dertig criteria op te geven. Als u meer dan drie criteria wilt opgeven, wordt de formule er echter niet duidelijker op en is het beter om uw toevlucht te nemen tot de databasefuncties.
DATABASEFUNCTIES (2007/2010) Excel heeft een aantal krachtige DB-functies (DB staat uiteraard voor database) om bewerkingen uit te voeren op basis van meerdere criteria. De databasefuncties stellen u in staat complexe criteria op te geven
PC-ACTIVE | Nr. 243 – 2010
411 excel-tips.indd 69
69
24-11-2010 07:01:36
SOFTWARE
| OFFICE-TIPS
afb.3 De tabel met de criteria
afb.4 De selectiecriteria van de leraar
en deze te verbinden met EN (AND)- en OF (OR)-relaties. De gegevens die u wilt analyseren, moeten wel in databasevorm staan. De database is een tabel waarin de rijen de records van de onderzoekseenheden vormen en de kolommen de gegevensvelden zijn. De eerste rij van de database bevat de labels voor elke kolom en deze moet u verplicht in het bereik meenemen, maar het verdere bereik kunt u zelf kiezen. De DBSOM-functie luidt als volgt: =DBSOM(DATABASEBEREIK;ZOEKVELD; CRITERIABEREIK) Het verschil met de voorgaande formules is dat de voorwaarden niet meer in de formule zelf staan, maar in een apart lijstje worden bijgehouden. De tabel met de criteria mag u op een willekeurige plaats neerzetten, eventueel op een ander tabblad. Ook de tabel met de criteria moet voorzien zijn van kopjes of labels die overeenkomen met de labels uit de database. Om bij het voorbeeld van de bank te blijven, stel dat u geregeld heen en weer reist tussen het westen en oosten van Nederland en u wilt weten wat u besteedt aan treinreizen tussen Amsterdam en Enschede. De DBSOM-formule zou er dan als volgt uit kunnen zien: =DBSOM (B1:F538;"BEDRAG";B542:F544) Het databasebereik is B1:F538 inclusief de kopjes, het zoekveld is ‘bedrag’ en de criteriatabel staat in het celblok B542:F544, ook inclusief de kopjes. De labels in de criteriatabel corresponderen met die in de database (zie ook afbeelding 3). In het voorbeeld zijn de corresponderende labels zijn groen gemarkeerd. De formule leest u in de formulebalk, het resultaat staat in cel C545. Het zoekveld mag u behalve door een kolomkop omsloten door haakjes ook aangeven met het kolomnummer in de database of een cel die naar de kolomkop verwijst. =DBSOM (B1:F538;6;B542:F544) en =DBSOM (B1:F538;G1;B542:F544) geven het zelfde resultaat. Bij het aanpassen van de voorwaarden in de criteria-
70
tabel wordt de formule opnieuw berekend. Behalve DBSOM kunt u alle bekende statistische eenheden als som, gemiddelde, aantal, minimum, maximum, somproduct en standaardafwijking in DB-vorm gieten. DBAANTAL geeft het aantal gevonden waarden onder de ingestelde condities, DBMAX de hoogste waarde, DBMIN de laagste waarde. DBPRODUCT is de database tegenhanger van SOMPRODUCT, de totaalsom van aantal maal de waarde. Ook in de DB-formules biedt Excel geen mogelijkheid twee voorwaarden in dezelfde cel te zetten. Wilt u voor de criteria een interval opgeven, dan moet u twee kopjes met hetzelfde label gebruiken. Door de criteria naast elkaar te plaatsen maakt u een ENrelatie. Door de criteria onder elkaar te plaatsen vormt u een OF-relatie, waarbij er op meerdere criteria in dezelfde kolom wordt gezocht, zoals de verschillende tegenrekeningen in het eerste voorbeeld. In het tweede voorbeeld houdt een leraar een database bij van alle leerlingen in alle groepen. Als hij nu de gemiddelde cijfers voor Nederlands of Rekenen wil uitrekenen en verschillende selecties wil maken op groep en leeftijd maakt hij twee velden met hetzelfde kopje. Wil hij bijvoorbeeld de groepen tussen 5 en 7 selecteren dan zet hij de voorwaarde ≥5 in het eerste veld en <8 in het tweede. Op dezelfde manier kan hij leeftijdscategorieën en jongens of meisjes selecteren. Om te kijken of afkomst van invloed is op bijvoorbeeld Nederlands, kan hij verschillende etniciteiten opgeven in een OR-relatie. Niet-ingevulde criteria worden genegeerd. Bij het aanpassen van de criteria worden alle formules die naar de criteriatabel verwijzen opnieuw doorgerekend (zie afbeelding 4).
PC-ACTIVE | Nr. 243 – 2010
411 excel-tips.indd 70
24-11-2010 07:01:57
COMPUTER VOORSPELT GEDRAG
SIMULATIES VOORKOMEN RAMPEN TEKST : RONALD SMIT
Op 24 juli 2010 vonden 21 bezoekers van de Love Parade in Duisburg de dood in plaats van wat een groot feest had moeten worden. PC-Active vroeg zich af in hoeverre computersimulaties van mensenmassa’s deze ramp had kunnen voorkomen.
A
cties van individuele personen zijn nauwelijks te voorspellen.’ Dat zei de Amerikaanse schrijver en biochemicus Isaac Asimov. De acties van individuele personen mogen volgens hem dan nauwelijks te voorspellen zijn, het wordt een heel ander verhaal als we praten over grote mensenmassa’s. En wat ooit sciencefiction was, begint steeds meer werkelijkheid te worden. Naar aanleiding van het drama in Duisburg bezocht PC-Active het bedrijf Incontrol Simulation Solutions te Utrecht, waar zo ongeveer alles van productiesystemen, logistieke systemen en bagageafhandeling tot gedrag van mensenmassa’s kan worden gesimuleerd. We spraken met general manager Jan Thiermann. Dat hij gek is op simulaties en modellen blijkt wel uit de vele technisch Lego-modellen in zijn kantoor. Het bedrijf is dan ook bijna een hobby in plaats van werk; geen enkele uitdaging wordt door zijn medewerkers uit de weg gegaan. Alhoewel de aanleiding voor het gesprek de Love Parade is, wil Jan Thiermann hierover niets kwijt: “Ik wil op geen enkele manier de indruk wekken dat wij het beter gedaan zouden hebben. Mij is slechts bekend dat er in Duisburg wel degelijk gesimuleerd is, maar ik kan slechts gissen naar de gebruikte data, de methode van onderzoek, de opdrachtformulering en eventueel gepleegde aannames. Met andere woorden, hebben de onderzoekers wel de beschikking gehad over de juiste gegevens? Was in het simulatieproject wel voorzien dat de politie op een gegeven moment de toegangen zou afsluiten, et cetera? Ik weet het gewoon niet en daarom ga ik ook niet oordelen”. Nu had Asimov om zijn psychohistory te laten werken ook een klein clubje mensen nodig dat op de achtergrond waar nodig de grote massa de juiste kant
op stuurde. En dat kan Jan Thiermann alleen maar beamen: “Incontrol kan de intelligentste simulatiemodellen bouwen, maar als de invoergegevens niet kloppen, zal achteraf ook blijken dat er niets klopt van de situatie die in werkelijkheid gaat optreden. We zeggen ook wel dat we geen absolute waarheden verkondigen, maar gebruikers wel kunnen voorzien van antwoorden op de zogenaamde ‘what-if’-situaties. We kunnen scenario’s doorrekenen en op basis daarvan de best mogelijke adviezen aan onze klanten meegeven; nogmaals wel met de wetenschap en data die we hebben.” Ondanks deze beperkingen kunnen simulaties wel degelijk helpen bij het ontwerpen van plekken waar veel mensen samenkomen en bij calamiteiten het complex weer snel moeten verlaten. Zo is onlangs het complete Philips Stadion, thuisbasis van PSV, ‘doorgelicht’. Daarbij werd (en wordt) gebruikgemaakt van geavanceerde software met de naam ED Plato. Het aardige is dat de hele stroom van mensen ook visueel zichtbaar gemaakt kan worden, in 3d zelfs. Dat geeft een goed overzicht van hoe een individu zich van ingang naar zitplaats beweegt, ook als er 35.000 mensen tegelijk het stadion in willen. En misschien nog belangrijker tegenwoordig: hoe gedraagt deze massa zich in geval van een calamiteit? Hoe snel zijn ze dan het stadion uit?
Virtueel stadion De stadionanalyse is een van de grotere projecten, maar het principe is voor zowel simpele als ingewikkelde simulaties hetzelfde. Er wordt uitgegaan van de bouwtekeningen van – in dit geval – het Philipsstadion. Deze worden als AutoCAD-tekening op schaal geïmporteerd en op basis daarvan wordt het
PC-ACTIVE | Nr. 243 – 2010
507 mensenmassa.indd 71
71
24-11-2010 10:47:51
simulatiemodel met de juiste afmetingen gebouwd. Vervolgens worden voor de simulatie de niet-relevante onderdelen uit de tekening verwijderd, zodat een goed overzicht ontstaat. Per verdieping wordt een simulatielaag gemaakt en worden toegangspoortjes, muntautomaten, bars, toiletten, kaartverkooppunten, controlepunten, enzovoorts ingebouwd. Als dat allemaal achter de rug is, is het tijd om er een virtuele mensenmassa op los te laten. Elke bezoeker – een atoom geheten – beschikt over een aantal eigenschappen, zoals bijvoorbeeld een bepaalde loopsnelheid, vertrekpunt, route en een bestemming. Laat je één zo’n atoom los bij de ingang van het stadion, dan zal het langs de diverse voorzieningen en hindernissen snel z’n plaats van bestemming bereiken. Als er teveel bezoekers langs de tourniquets willen, ontstaat er een wachtrij en worden vervolgens de wachttijden berekend. Het aardige van het hele model is dus dat er geen enkele vorm van kunstmatige intelligentie aan te pas komt; alles is puur op logica gebaseerd. Zou je een (te) grote mensenmassa op het model loslaten, dan kan die massa dus ook gewoon vastlopen, net als bij een file in het verkeer. Als je dan het ‘gedrag’ van elk afzonderlijk atoom analyseert, dan blijkt het nog steeds continu de beste route te volgen, maar dan gehinderd door wachttijden en obstakels en/of hindernissen. Dit virtuele gedrag blijkt in de praktijk goed overeen te komen met de realiteit en het systeem is goed bruikbaar voor de meest voorkomende onderzoekscenario’s.
Programmeerbare atomen In veel gevallen hoeft een atoom niet eens een heel erg ingewikkeld omschreven taak te hebben. In het geval van het Philips-stadion hoeft in principe alleen een beginpunt, route en eindbestemming te worden aangegeven, waarna het atoom op pad gaat. Toch kan het gedrag van een enkel atoom net zo ingewik-
72
keld gemaakt worden als gewenst, want behalve een grote keuze uit standaardeigenschappen is het tevens mogelijk om via een op Delphi gebaseerde programmeertaal een atoom geheel naar wens te programmeren. Zo kun je bijvoorbeeld een atoom naar het toilet laten gaan, munten laten kopen en in de pauze een biertje laten halen bij de bar! Twee voorbeelden uit de praktijk die kunnen worden onderzocht: Vrouwen en toiletgebruik Er bestaan in het geval van de PSV-simulatie mannelijke en vrouwelijke bezoekers, die allebei verschillend gedrag vertonen. Bij een voetbalwedstrijd zijn het vooral mannen die komen kijken, terwijl bij sommige concerten het merendeel van de bezoekers vrouwelijk is. “Uit onderzoek weten we dat vrouwen zich bijvoorbeeld significant langer in de toiletten ophouden dan mannen. Dat houdt in dat je bij gebruik van een stadion voor een concert dan ook moet onderzoeken hoeveel extra toiletruimte er nodig is om ongewenst lange wachtrijen en wachttijden te voorkomen èn waar je die extra toiletruimte het beste kunt plaatsen”, zo vertelt Jan Thiermann. Calamiteiten Een andere optie die in het virtuele PSV-stadion kan worden gesimuleerd, is een calamiteit. Je kunt ergens iets laten gebeuren waardoor de bezoekers weg willen van die plek en op zoek gaan naar een uitgang. In dat geval worden de nooduitgangen geopend en kan de stroom mensen worden gevolgd, een heel stuk eenvoudiger dan een zeer lastig te realiseren ‘real life’-oefening met 35.000 bezoekers, de maximale capaciteit van het PSV-stadion. De beveiligingsafdeling van PSV gebruikt de software inmiddels naar volle tevredenheid, want alle denkbare situaties kunnen in alle veiligheid van de simulator vooraf worden geprobeerd. Er kan direct naar het effect van bijvoorbeeld extra kaartverkooppunten, extra bars of dranghekken worden gekeken.
Even vooruit spoelen Simulaties worden vooral gebruikt om inzicht te krijgen in mogelijke scenario’s die zich voor kunnen doen. Dat soort onderzoeken wordt over het algemeen vooraf gepleegd. Wat nog niet of weinig wordt toegepast is de operationele simulatie. Hierbij loopt de simulatie real-time mee met de dagelijkse procesgang. Bij grote afwijkingen, bijvoorbeeld door verstoringen, kan het model worden gebruikt om snel alternatieve scenario’s vooruit te spoelen om zo een beslissing te kunnen nemen, die de impact van de verstoringen zoveel mogelijk elimineert. Gezien de huidige ontwikkelingen verwacht Thiermann dat dergelijke simulaties in de nabije toekomst steeds gebruikelijker zullen worden. Een van de meest in het oog springende voorbeelden is volgens Thiermann de door Incontrol ontwikkelde Dynamisch Passagiers Display-applicatie, die
PC-ACTIVE | Nr. 243 – 2010
507 mensenmassa.indd 72
24-11-2010 10:48:08
SIMULATIE
| ACHTERGROND
3d-voorstelling van het PSV-stadion als basis voor de simulatie
in gebruik is op de luchthaven Schiphol: “Normaliter draaide Schiphol om middernacht z’n programma voor de dag om het aantal verwachte passagiers in de terminal en de bijbehorende bagageflow te voorspellen. Dat is natuurlijk hartstikke fraai, want zo heb je een beeld van al dat verkeer in de terminal en het bagagesysteem voor de komende 24 uur. Maar het heeft ook één groot nadeel: verstoringen zitten er namelijk niet in. Met andere woorden, als het bijvoorbeeld om vijf of zes uur ’s ochtends, vlak voor de ochtendpiek, mistig wordt en toestellen vertraging oplopen, dan weet je zeker dat na zessen de voorspelde stromen niet meer kloppen. Wat we nu doen, is gedurende de dag elk kwartier een update draaien op basis van de nieuwste vluchtinformatie. Vervolgens wordt de dan herziene flow bepaald en zien de medewerkers op hun beeldschermen dat ze meer of minder personeelsinzet
Onderzoek van levensbelang Je kunt een voetbalstadion (of welke andere omgeving dan ook) prima opzetten in een simulator. Als de invoergegevens eenmaal bekend zijn kan de op het oog meest ingewikkelde simulatie opgezet worden: “Bij een voetbalstadion is dat eigenlijk eenvoudig. Waarom? Je komt tegenwoordig via een tourniquet binnen en je hebt je elektronische kaartje. Dat wordt gescand en daarna wordt gezegd: u moet door dit poortje naar binnen en u moet naar dat vak. Er staat overal aangegeven hoe je dan loopt. Zo’n looproute is dan ook vrij goed te definiëren. Maar dan moet er nog even een plas gedaan worden of munten voor een drankje worden gehaald. Dat is allemaal goed te voorspellen omdat die gegevens gelukkig worden verzameld. Als we geen data zouden hebben dan kun net zo goed geen goed model bouwen”, aldus Thiermann. Ook is het gedrag van mensen redelijk in kaart te brengen, denk daarbij bijvoorbeeld aan een museum: “Wij kunnen bijvoorbeeld aannemen dat 80% van de mensen die zijn geïnteresseerd in het museum belangstelling heeft voor dát ene schilderij of die speciale expositie. Dan zul je dus zien dat een grote mensenstroom ontstaat naar dat schilderij of de ruimte waarin de speciale expositie is gehuisvest. Wat wij doen is toekomstige scenario’s doorrekenen. Wij hebben geen glazen bol en vertellen geen absolute waarheden, maar als je twee trekpleisters hebt, kunnen we heel goed bepalen wat de gevolgen voor die mensenstromen zullen zijn, doordat men een andere route gaat volgen dan bij één”, zo legt Thiermann uit.
moeten plegen bij bijvoorbeeld de grenscontroles of beveiligingspoortjes.
GPU De GPU kan een grote rol gaan spelen bij dit soort simulaties, want feitelijk zou je elk atoom met bijbehorend programma in een afzonderlijke pixel shader kunnen zetten. Pixel shaders zijn – bij normaal gebruik – kleine stukjes code die razendsnel de eigenschappen van een pixel in een 3d-omgeving berekenen. Ideaal voor games, maar ook steeds meer wetenschappers zien de voordelen van dit soort rekenkracht in. Het bestuderen van vloeistofstromingen is een voorbeeld waarbij intensief gebruik wordt gemaakt van een GPU, en het simuleren van mensenmassa’s zou wel eens snel kunnen volgen. Vooralsnog wordt de GPU in ED gebruikt waarvoor deze oorspronkelijk bedoeld is, namelijk het berekenen van een 3d-wereld. Thiermann laat op z’n laptop zien dat een mensenmassa per verdieping van het stadion gevolgd kan worden, daarvoor is de simulatie zoals gezegd onderverdeeld in lagen. Voor het totaalplaatje kan echter alles samengevoegd worden tot een 3d-beeld waar je aan alle kanten in en omheen kunt kijken. Deze beelden kunnen tot videoclips worden gerenderd waarbij de hele mensenstroom prachtig in beeld kan worden gebracht. Ideaal voor promotionele doeleinden, maar ook om tijdens een presentatie mogelijke knelpunten onder de aandacht van het (beveiligings)personeel te brengen.
Ten slotte Simuleren van bijvoorbeeld mensenmassa’s wordt met de dag belangrijker, we kennen allemaal de grootschalige evenementen waar we graag met z’n allen naar toe willen. Om dat allemaal veilig en min of meer prettig te houden – zelfs op piekmomenten – is het onvermijdelijk om vooraf scenario’s van die evenementen te testen. Of het nu gaat om een stadion, bagageafhandeling of een station: de noodzaak voor een vrijwel perfect verlopende doorstroom is van levensbelang. Soms zelfs letterlijk, zoals tijdens de Love Parade in Duisburg helaas weer eens is bewezen.
PC-ACTIVE | Nr. 243 – 2010
507 mensenmassa.indd 73
73
24-11-2010 07:17:39
GODS ALGORITME IS TE COMPLEX VOOR ONS
COMPUTER LOST RUBIK-KUBUS OP TEKST : KOEN VERVLOESEM
De Rubik-kubus is een puzzel die al heel wat mensen plezier of wanhoop heeft gebracht. Maar ook voor computerwetenschappers en wiskundigen is de puzzel interessant. Onlangs kwam er een einde aan een decennialange zoektocht naar de vraag hoe moeilijk een Rubik-kubus is. Een computer berekende dat we elke willekeurige configuratie van de kubus kunnen oplossen in maximaal 20 stappen.
I
n 2007 bewezen computerwetenschapper Gene Cooperman en zijn promovendus Dan Kunkle van de Northeastern University in Boston dat men elke willekeurige configuratie van de Rubikkubus kan oplossen in maximaal 26 stappen. Dit maximale aantal stappen dat nodig is om de Rubik-kubus vanuit elke toestand te kunnen oplossen, staat bekend als ‘God's Number’. De onderzoekers gebruikten niet alleen slimme algebra, maar ook uitgebreide berekeningen op een parallelle computer. In de jaren erna werd dit aantal stelselmatig naar beneden bijgesteld, tot in augustus 2010 de ondergrens werd bereikt: elke willekeurige configuratie van de Rubik-kubus is op te lossen in maximaal 20 stappen. De Rubik-kubus is sinds zijn uitvinding in de jaren 1970 door de Hongaar Ern Rubik een excellent proefkonijn om nieuwe technieken op te testen voor het oplossen van combinatorische problemen op grote schaal. Zo schreef Cooperman in zijn persbericht van 2007: ‘The Rubik’s cube is a testing ground for problems of search and enumeration. Search and enumeration is a large research area encompassing many researchers working in different disciplines — from artificial intelligence to operations. The Rubik’s cube allows researchers from different disciplines to compare their methods on a single, well-known problem.’
74
U denkt er waarschijnlijk helemaal niet aan als u verwoed probeert de juiste kleuren in de Rubik-kubus bij elkaar te brengen, maar dit kleinood is dus een heus onderzoeksinstrument!
Legale permutaties Maar hoe berekenen we nu in hoeveel stappen een Rubik-kubus kan worden opgelost? Daarvoor moeten we eerst kijken naar de mogelijke stappen. Elke zijde van de Rubik-kubus bestaat uit negen kleinere vierkanten, waarvan we de configuratie kunnen aanpassen door een zijde van de kubus te roteren over 90°, 180° of 270°. Door de ogen van een wiskundige bekeken, is elke toestand van de kubus een permutatie van de vierkanten: de locatie van elk vierkant in de ‘opgeloste toestand’ wordt door de permutatie afgebeeld op een nieuwe locatie van de kubus in dooreengegooide toestand. Sommige permutaties zijn niet mogelijk: zo kan een centraal vierkant van een zijde van de Rubik-kubus niet worden verschoven, want bij het roteren van een zijde blijft het middelste vierkant op dezelfde plaats. Voor een wiskundige analyse van het oplossen van de Rubik-kubus zijn dus enkel de ‘legale’ permutaties nodig. Deze legale permutaties vormen een gesloten systeem: een legale permutatie gevolgd door een andere legale permutatie is ook een legale permutatie. Het omge-
PC-ACTIVE | Nr. 243 – 2010
502 denkwerk.indd 74
24-11-2010 06:38:36
DENKWERK
keerde van een legale permutatie is ook een legale permutatie: draai de kubus gewoon terug naar de vorige toestand. Bovendien is niets doen met de kubus ook een legale permutatie: in wiskundige termen heet dit de identiteitspermutatie. Een laatste eigenschap van deze permutaties is dat ze ‘associatief’ zijn. Deze eigenschap kent u misschien wel van optellingen: (1 + 4) + 3 = 1 + (4 + 3), oftewel de volgorde van optellen maakt niet uit, zolang de getallen in dezelfde volgorde blijven staan. In de Rubik-kubus hebben we het niet over getallen maar over rotaties, en hoe we die rotaties groeperen, maakt niet uit, zolang de rotaties maar in dezelfde volgorde blijven staan. Deze vier eigenschappen zeggen ons samen dat de permutaties van de Rubik-kubus de wiskundige structuur van een ‘groep’ vormen. Wiskundeauteur Brian Hayes noemt de Rubik-kubus dan ook een groepentheoriemachine: ‘It’s well-known that Rubik’s cube isn’t really a toy or a puzzle but rather a group-theory machine in disguise.’
Langste pad Hoe kunnen we nu wiskundig het oplossen van de Rubik-kubus analyseren? Daarvoor visualiseren we de permutatiegroep als een Cayleygraaf: dit is een netwerk waarvan de punten de legale toestanden/ permutaties van de kubus zijn. Twee punten in de graaf zijn verbonden door een lijn wanneer we van de ene naar de andere toestand kunnen gaan door een legale stap, die ook een permutatie is. De opgeloste toestand (de identiteitspermutatie is) is een van de punten in de graaf en het probleem om de Rubikkubus op te lossen komt dan overeen met het vinden van een pad in de graaf van een willekeurig punt naar het punt van de opgeloste toestand. Nu vond Michael Reid in 1995 al posities die 20 stappen nodig hadden om het op te lossen. Maar hoe
De Rubik-kubus: niet zomaar een speeltje
| ACHTERGROND
De Rubik-kubus opgelost
weten we nu dat er geen posities van de Rubik-kubus bestaan die meer dan 20 stappen nodig hebben? In theorie is het voldoende om van alle mogelijke paden in de graaf na te gaan hoeveel stappen ze bevatten, en daarvan het maximum te berekenen. In de praktijk is dit echter niet te berekenen, want de Cayleygraaf van de groep van legale Rubik-permutaties bestaat uit 43.252.003.274.489.856.000 punten en dat is veel te veel... Meer informatie over de wiskunde van de Rubik-kubus is te vinden in het gratis te downloaden boek ‘Mathematics of the Rubik’s Cube’ van W.D. Joyner. Cooperman en Kunkle maakten in 2007 gebruik van de structuur van de groep om het aantal punten in de Cayleygraaf te reduceren. Ze lieten eerst alleen 180° rotaties toe als legale stappen, wat hun een subgroep van de volledige groep van legale stappen opleverde. Ze maakten bovendien gebruik van de symmetrie van de kubus. Hierdoor konden ze de Cayleygraaf reduceren tot slechts 15.752 punten. Na een dag berekeningen uitvoeren op een computer konden ze zo verifiëren dat de kubus vanuit elke begintoestand met deze 180°-rotaties in maximum 13 stappen kan worden opgelost. Maar met enkel 180°-rotaties zijn we er nog niet. Cooperman en Kunkle konden verder bewijzen dat de afstand tussen een 90°- of 270°-rotatie en een 180°-rotatie maximaal 16 stappen bedraagt, waardoor het totale maximum voor alle legale stappen 13 + 16 = 29 bedraagt. Dit deel van hun berekeningen vereiste 7 TB aan schijfruimte en 8.000 processoruren verwerkingstijd op een DataStar-cluster van het San Diego Supercomputer Center (SDSC). Een verdere analyse kon hier nog drie stappen van elimineren. Het bleek namelijk dat hun methode slechts een relatief klein aantal toestanden met meer dan 26 stappen opleverde. Voor deze toestanden vonden ze met brute-force search oplossingen van in totaal 26 stappen.
PC-ACTIVE | Nr. 243 – 2010
502 denkwerk.indd 75
75
24-11-2010 06:38:56
ACHTERGROND
| DENKWERK
Geschiedenis van Gods getal Datum
Ondergrens
Bovengrens
Verschil
juli 1981
18
52
34
Morwen Thistlethwaite
april 1992
18
42
24
Hans Kloosterman
mei 1992
18
39
21
Michael Reid
mei 1992
18
37
19
Dik Winter
januari 1995
18
29
11
Michael Reid
januari 1995
20
29
9
Michael Reid
december 2005
20
28
8
Silviu Radu
april 2006
20
27
7
Silviu Radu
mei 2007
20
26
6
Dan Kunkle & Gene Cooperman
maart 2008
20
25
5
Tomas Rokicki
april 2008
20
23
3
Tomas Rokicki & John Welborn
augustus 2008
20
22
2
Tomas Rokicki & John Welborn
juli 2010
20
20
0
Tomas Rokicki, Herbert Kociemba, Morley Davidson & John Dethridge
Van 26 naar 20 stappen De auteurs publiceerden meer informatie over hoe ze tot hun resultaat kwamen in hun artikel ‘Twenty-Six Moves Suffice for Rubik’s Cube’ uit 2007. Ze vermeldden erin dat ze met dezelfde technieken vrij vlug waarschijnlijk het maximum aantal stappen zouden kunnen reduceren tot 25. Specialisten vermoedden toen al dat het maximum ergens rond de 22 moest liggen. UCLA-computerwetenschapper Richard Korf bewees in 1997 dat het gemiddelde aantal benodigde stappen niet meer dan 18 is en hij vermoedde zelfs dat het maximaal aantal stappen niet veel boven de 20 moest liggen. In maart 2008 kondigde Tomas Rokicki aan dat hij een stapje verder was. Met een computerprogramma bewees hij dat we voor het oplossen van de Rubik-kubus nooit exact 26 stappen nodig hebben. Gecombineerd met het bewijs van Cooperman en Kunkle weten we dan dat we maximaal 25 stappen nodig hebben. De benodigde rekentijd voor zijn bewijs was ongeveer 1.500 cpu-uren op een Intel Core2Quad Q6600 1,6 GHz. In zijn aankondiging was hij ervan overtuigd dat hij dit in enkele cpu-maanden nog een stapje omlaag kon brengen, en nog geen maand later vond hij inderdaad door dezelfde technieken op meer processorkracht los te laten dat we maximum 23 stappen nodig hebben. Hiervoor gebruikte hij 7,8 processorjaren die onder andere door Sony Pictures Imageworks werden geschonken: hij gebruikte idle time van de render farm die voor de films Spider-Man 3 en Surf’s Up gebruikt werd. En in augustus verbeterden zijn berekeningen de grens tot 22 stappen, met gebruik van zo’n 50 processorjaren, eveneens onder andere door Sony Pictures Imageworks geschonken. Ondanks de indrukwekkende vooruitgang door Rokicki in zo’n korte tijd, stootte hij toen op een computationele muur. Het duurde nog twee jaar voor de bovengrens nog eens naar beneden werd gebracht, maar toen was het definitief. In juli 2010 vond een team dat bestond uit Tomas Rokicki, Herbert Kociemba,
76
Ontdekkers
Morley Davidson en John Dethridge dankzij 35 cpujaren computerkracht gedoneerd door Google de uiteindelijke grens: elke toestand van de Rubik-kubus heeft een optimale oplossing in maximum 20 stappen. Daarmee eindigde een 30-jarige zoektocht (zie ook het kader ‘Geschiedenis van Gods getal’). Informatie over hun aanpak en de geschiedenis van de zoektocht naar Gods getal is te vinden op de website cube20.org.
Computers rekenen anders Dankzij de besproken computerberekeningen weten we nu dat elke toestand van een Rubik-kubus in maximaal 20 stappen kan worden opgelost, maar voor liefhebbers van de Rubik-kubus maakt dit eigenlijk niets uit: God’s Number zal zelden door mensen worden gehaald omdat wij heel andere methodes gebruiken dan de besproken computerprogramma’s. Een overzicht van ‘menselijke’ methodes vindt u bijvoorbeeld in een artikel op Wikibooks. Om u een idee te geven: zelfs de snelste ‘speedcubers’ hebben nog ongeveer zestig stappen nodig om een Rubik-kubus op te lossen. Dat is omdat de meer optimale algoritmes (en het perfecte algoritme, ‘God’s Algorithm’) veel te moeilijk om te onthouden zijn voor een mens, terwijl het enkel de minder goede algoritmes zijn die eenvoudig genoeg zijn om te onthouden. Gods algoritme is gewoonweg te complex voor onze beperkte geest...
INFORMATIE Twenty-Six Moves Suffice for Rubik’s Cube http://www.ccs.neu.edu/home/gene/papers/rubik.pdf The Mathematics of the Rubik’s Cube http://www.permutationpuzzles.org/rubik/webnotes/ God’s Number is 20 http://cube20.org/ How To Solve the Rubik’s Cube http://en.wikibooks.org/wiki/ How_to_solve_the_Rubik%27s_Cube
PC-ACTIVE | Nr. 243 – 2010
502 denkwerk.indd 76
24-11-2010 06:39:33
w
HET GROOTSTE LINUX-TIJDSCHRIFT VAN NEDERLAND! Linux Magazine is het enige Nederlandse tijdschrift dat zich al tien jaar lang richt op gebruikers van open source software en Linux in het bijzonder. Je vindt er nieuws en achtergronden uit de open source-wereld, besprekingen van open source software en distributies en veel praktische workshops. Voor zowel beginnende als gevorderde Linux-gebruikers is Linux Magazine ideaal om meer te leren over de ontwikkelingen en mogelijkheden van open source software.
Neem nhuts voor slec
€ee1n a9bon,n5em0 ent
Kortingsabonnement • Neem nu een voordelig kortingsabonnement op Linux Magazine • Voor een jaar Linux Magazine (6 edities) betaal je normaal € 25,• Neem je nu een abonnement, dan betaal je slechts € 19,50 (€ 22,50 in België)
Surf naar www.hubstore.nl/linux 10-10 Linux 2011.indd 2
11/9/10 12:02:02 PM
HOE HET VERDER GING NA ONZE ONTHULLINGEN
OV-CHIPKAART KRAKEN GAAT DOOR TEKST : BRENNO DE WINTER
In de vorige editie van PC-Active beschreven we hoe iedereen met een beetje Linux-kennis zijn eigen OV-chipkaart kan kraken. Een stortvloed aan reacties was het gevolg. Bij diverse webwinkels waren de kaartlezers uitverkocht en inmiddels zijn er diverse patches voor de hacksoftware verschenen met de eerste contouren van een grafische applicatie.
B
ehalve veel positieve reacties en uitgebreide aandacht in andere media was er een boze lezer die maar niet kon begrijpen dat PCActive de beschrijving heeft gepubliceerd. Dit zou immers misbruik van de kaart in de hand werken. In dit geval halen we graag het bedrijf achter de OV-chipkaart, Trans Link Systems, aan: wij hebben niets nieuws gebracht rond de hack zelf. De kaart is al tijden gekraakt, de versleuteling is bijster slecht en volgens onze informatie wordt er nu al zwart op gereisd. Ook de software was al een tijdje beschikbaar op internet voordat we tot publicatie overgingen. Een nieuw element is nu dat iemand een handleiding heeft geschreven voor het kraken van de kaart en deze online heeft gezet. Dat is belangrijk, want voorheen was het officiële verhaal dat een aanval op de
78
OV-chipkaart werk was voor in een laboratorium en daarom geen echte bedreiging. Die tijd is nu duidelijk voorbij, zodat een miljarden verslindend systeem om zwartrijden in te dammen en sociale veiligheid te bevorderen, niet oplevert wat de belastingbetaler mag verwachten.
Niet aanzetten tot fraude Natuurlijk was er ook precies tegenovergestelde kritiek: het was juist belachelijk dat PC-Active niet vertelde hoe je de kaart kunt opladen. Om de hack tot in detail uit de doeken te doen is zeer zeker door de redactie overwogen, maar deze gedachte is vrij snel verworpen. Als we dat hadden gedaan, hadden we er alsnog voor gekozen om een stap verder te gaan dan het vertellen van wat er inmiddels al ‘uit
PC-ACTIVE | Nr. 243 – 2010
511 - OV Chipkaart.indd 78
26-11-2010 10:10:52
OV-CHIPKAART
het laboratorium is ontsnapt’. Bovendien zouden we dan echt tot fraude hebben aangezet en dat willen we natuurlijk niet doen. Dat neemt niet weg dat wij wel experimenteren en daar verslag van uitbrengen; dit dossier blijven we volgen. De geestigste reactie kwam zonder twijfel van de woordvoerder van Trans Link Systems, die in Editie NL vol trots vertelde dat haar onderneming de hackers iedere keer een stap voor blijft. Op de vraag van de verslaggever hoe dat wordt gedaan, was het antwoord: “Dat weet ik zo niet.” Bronnen bij de universiteiten, die de Mifare Classic-chip ooit kraakten, zijn daar heel duidelijk over: “Onzin, hier is niets meer aan bij te houden.” Een andere bron wijst er fijntjes op dat een hele OV-chipkaart in minder dan twee seconden wordt gekraakt.
Betere software De software voor het kraken van de cryptografie zou volgens deze bron wel voor verbetering vatbaar zijn. De nodige veranderingen zullen ongetwijfeld worden aangebracht, maar op dit moment weet PC-Active nog niet of daar actief aan wordt gewerkt. Wel is energie gestoken in de applicatie Mifare Offline Cracker (mfoc), die behoorlijk inefficiënt werkte. Inmiddels is er een nieuwe versie van de programmatuur met tientallen verbeteringen, waarvan de meeste vooral de snelheid vergroten. Zo moest een kaart voorheen telkens opnieuw worden gekraakt. Inmiddels herkent de nieuwe software de eerder gebruikte OV-chipkaart en weet deze welke van de veertig sleutels op de kaart al waren gekraakt. Een eenmaal gehackte kaart is dan ook meteen uit te lezen. Andere verbeteringen zijn vooral gericht op het stabieler krijgen van de programmatuur bij minder stabiele kaartlezers. Indien mogelijk zal de software zichzelf in zulke gevallen proberen te herstellen. In combinatie met het onthouden van reeds gekraakte sleutels is dat een hele vooruitgang. De verbeteringen aan Mifare Offline Cracker zijn gemaakt door ontwik-
| SOFTWARE
Vergeten geld blijft van vervoerder Ook de borg op de kaart blijft de PC-Active-redactie verbazen. Redactielid Henk van de Kamer stapte onlangs uit een bus waarin de in-en uitcheckautomaat niet leek te werken, maar wel drie keer de borg van vier euro afschreef. Het simpele busritje van net één euro waarde bleek daarmee duurder uit te vallen dan een luxe taxirit. Ook blijft het vreemd dat een systeem dat ons openbaar vervoerleven eenvoudiger zou moeten maken, dreigt met een boete, zodat we maar niet vergeten uit te checken. Zo moet je soms kiezen tussen een boete – waar is die paal toch!? - of een aansluiting missen. De Nederlandse Spoorwegen maken het wel erg bont door anonieme reizigers twintig euro en reizigers op naam tien euro af te pakken, wanneer ze vergeten uit te checken. Daarom heeft de redactie de NS gevraagd of het ‘vergeten geld’, waarvan je je kunt afvragen of dat wel van de vervoerder is, niet aan bijvoorbeeld Alzheimer Nederland kan worden overgemaakt. De NS voelt daar niet voor, maar geeft wel aan ‘op geen enkele manier’ te willen verdienen aan de klant. “Mocht iemand vergeten uit te checken dan is het advies om contact op te nemen met NS Klantenservice (op werkdagen bereikbaar van 08.00 tot 18.00 uur op telefoonnummer 0900 - 20 21 163 (€ 0,10 p.m.)),” schrijft voorlichter Eric Trinthamer in een reactie. “Vorige week heb ik zelf klantenservice gebeld en binnen 3,5 minuut heb ik de simpele procedure doorlopen en werd de teveel ingehouden borg (borg minus het reisbedrag) teruggestort op mijn rekening.” Waarvan akte.
kelaar Stefan de Konink van de website OpenOV. Op die site verzamelt hij informatie over het openbaar vervoer om daarmee handiger reisinformatie te kunnen bieden dan 9292OV nu doet. Ook werkt hij aan een completer overzicht voor het uitlezen van OV-chipkaarten, zodat ook zichtbaar wordt waar met een kaart is ingecheckt en waar ermee is uitgecheckt. Daarvoor wordt nu al gewerkt aan een grafische applicatie die de informatie goed kan regelen. Ondertussen is er ook binnen de Nederlandse hackersgemeenschap een handige developer druk bezig met het doorontwikkelen van de software. Deze persoon wil anoniem blijven, maar heeft inmiddels de eerste verbeteringen opgeleverd. Verder heeft een groep vrijwilligers zich bij PC-Active gemeld met de
PC-ACTIVE | Nr. 243 – 2010
511 - OV Chipkaart.indd 79
79
26-11-2010 10:11:23
SOFTWARE
| OV-CHIPKAART
nummer loven we dan ook een prijs uit voor de mooiste verbetering: een appeltaart en een jaarabonnement op PC-Active. Want goede hacks kunnen wij nu eenmaal prima waarderen. De kaart mag dan in de laboratoria van universiteiten al een tijd geleden zijn gekraakt, maar wij zijn pas tevreden als iedere PCActive-lezer zelf zijn eigen kaart kan uitlezen.
INFORMATIE Een Windows-versie van de ov-chipkaartlezer is in de maak
mededeling momenteel te zoeken naar de exacte samenstelling van de kaart. Tot slot is ook het werk aan een Windows-versie volop aan de gang.
Een steentje bijdragen Het zal dus niet lang duren voordat de tools sneller werken en vooral onder Windows goed functioneren. Opmerkelijk is het enthousiasme van lezers om zelf ook een steentje bij te dragen aan het verbeteren van de software om de kaart te lezen. Voor het volgende
OpenOV http://www.openov.nl/ Reactie Trans Link Systems http://tweakers.net/nieuws/70620/trans-link-systemsgoedkope-hack-ov-chipkaart-is-oud-nieuws.html RTL Nieuws over de hack http://www.rtl.nl/(/actueel/rtlnieuws/)/components/ actueel/rtlnieuws/2010/11_november/05/binnenland/ OV_chipkaart_kraken_voor_dummies.xml Reactie GroenLinks op hack http://webwereld.nl/nieuws/67725/groenlinks--hacken-ov-chipkaart-erg-moeilijk.html Kamervragen van de PVV http://www.nieuwsbank.nl/inp/2010/11/08/R337.htm
Gunstig geprijsde thuis- en werk-pc
XPC Barebone SG41J1
• Bevat een Intel G41-chipset met X4500-gpu • Geschikt voor Intel Core2duo- of Quad-processors • Maximaal 8 GB ddr2-werkgeheugen
Advies verkoo p prijs € 169,–
Kijk voor meer informatie op www.shuttle.eu 10-06 PCA Shuttle advertentie.indd 1 511 - OV Chipkaart.indd 80
7/12/10 11:20:37 AM 26-11-2010 10:11:47
Nu te koop n e n e
Slechts € 4,95
OF BESTEL ‘M OP WWW.HUBSTORE.NL/SPECIALS 10-11 FOTOmag 230x275.indd 1
11/25/10 6:25:22 PM
LEER HOE EXPLOITS WERKEN
GOOGLE GRUYERE TEKST : KOEN VERVLOESEM
Elke dag worden er beveiligingsfouten gevonden in software en duiken er ‘exploits’ op die deze fouten uitbuiten. Dat het niet zo moeilijk is om zelf fouten te ontdekken en uit te buiten, tonen we in dit artikel aan. Daarbij maken we dankbaar gebruik van Gruyere, een door Google gepubliceerde voorbeeldwebapplicatie die zo lek is als een Zwitserse gatenkaas.
G
oogle heeft een tijdje geleden een zogenaamd ‘codelab’ gepubliceerd met de titel ‘Web Application Exploits and Defenses’. Hierin leert u hoe hackers beveiligingsfouten in webapplicaties ontdekken en hoe ze deze uitbuiten. Maar u leert er ook hoe u de fouten moet verbeteren om de inbraken tegen te houden. De beste manier om iets te leren, is door het zelf te doen, dus daarom heeft Google zijn codelab gebaseerd op een voorbeeldwebapplicatie, Gruyere, die vol met fouten zit. In het codelab krijgt u dan de opdracht om in Gruyere te zoeken naar fouten, en en passant leert u over de meest voorkomende soorten fouten, hoe u ze ontdekt en hoe u ze kunt fixen. Om het codelab te volgen hebt u wat basiskennis van webapplicaties nodig, zoals html, cookies, Ajax,
82
505 gruyere.indd 82
enzovoorts. In dit artikel helpen we u op weg en bespreken we de belangrijkste soorten fouten die in Gruyere zitten. We gaan echter niet op alle details even diep in en veronderstellen dat u zelf de volledige uitleg van Gruyere volgt en ermee experimenteert. Aan het einde van de rit hebt u een goed overzicht van hoe exploits op het web werken en wat u ertegen kunt doen. Elke sectie van het codelab gaat over een specifiek type kwetsbaarheid. U vindt er een korte beschrijving en krijgt de taak om een geval van deze kwetsbaarheid in Gruyere te vinden. Met andere woorden: u speelt even de cracker (een kwaadaardige hacker) en wilt de beveiligingsfouten in de webapplicatie uitbuiten. Dat kan door zogenaamde ‘black box’-technieken: u speelt wat met invoervelden en url-parameters en
PC-ACTIVE | Nr. 243 – 2010
24-11-2010 07:22:30
GRUYERE
kijkt naar het resultaat, zonder dat u de broncode inziet. Maar het kan ook met een ‘white box’-aanpak: u onderzoekt de broncode van Gruyere op bekende type fouten, wat handmatig of op een geautomatiseerde manier kan. Gruyere is in Python geschreven, maar veel fouten kunt u vinden zonder een blik op de broncode (te bekijken op http://google-gruyere.appspot. com/code/) te hoeven werpen. In de gevallen dat u wel in de broncode moet duiken, zult u meestal wel in grote lijnen begrijpen wat de code doet zonder Python te moeten kennen. Als u naar http://google-gruyere.appspot.com/start surft, wordt een nieuwe instance van Gruyere gestart op Google AppEngine. U wordt dan doorverwezen naar http://google-gruyere.appspot.com/123/, waarbij 123 een uniek id is. Zo kunt u uw Gruyere-instance ook met anderen delen, bijvoorbeeld om een bepaald type aanval te illustreren. Elke instance draait in een sandbox zodat u geen toegang hebt tot andere instances. U kunt Gruyere ook lokaal op uw eigen server draaien, maar dat hoeft niet. Kijk nu eens wat rond in Gruyere: maak een login aan voor uzelf, vul uw profiel in, maak een nieuwe ‘snippet’ aan en upload een bestand. De bedoeling is dat u wat vertrouwd geraakt met de webapplicatie.
Cross-site scripting De eerste categorie aanvallen die in het codelab ter sprake komt, is ‘cross-site scripting’, dat wel eens afgekort wordt tot XSS. Het gaat hier om een fout waardoor een aanvaller code (vaak html of Javascript) in de inhoud van een website kan injecteren. Wanneer een bezoeker de pagina dan bekijkt, wordt die code in zijn browser uitgevoerd binnen de context van die website. Zo kan de aanvaller zelfs privé-informatie stelen die de gebruiker op die website heeft, en die bijvoorbeeld in de cookies te vinden is. Een extensie zoals NoScript voor Firefox beschermt gebruikers tegen dit soort aanvallen. Een XSS-fout wordt veroorzaakt door een gebrek aan controles op de invoer van gebruikers. In het algemeen zou een webapplicatie alle gebruikersinvoer als onbetrouwbaar moeten beschouwen. Als u bijvoorbeeld in uw profiel van Gruyere uw homepage ingeeft, zou Gruyere moeten controleren of u wel een geldige url hebt ingevuld en niets anders. En als u een snippet aanmaakt, waarin bepaalde html-tags zijn toegestaan, zou Gruyere moeten controleren of u geen script-tag gebruikt met Javascript-code in. Enzovoorts. Het codelab legt goed verschillende soorten XSSaanvallen uit en geeft u tips over hoe ze te vinden en ze te fixen. Op eentje gaan we hier in: een XSS-fout in de code om een snippet toe te voegen. Klik op New Snippet en vul daar iets in. De bedoeling is dat u gewoon tekst invult, eventueel met een aantal html-elementen zoals , voor wat opmaak. Het eerste wat u kunt proberen is een script-element in te vullen, zoals <script>alert(cookie). We gebruiken hier alert,
| ACHTERGROND
Een voorbeeld van een cross-site scriptingaanval
dat een dialoogvenster met uw cookie van Gruyere toont, louter als relatief onschuldig voorbeeld, want u kunt hier eender welke Javascript-code ingeven. Gelukkig is Gruyere niet zo dom: het script-element wordt verwijderd, en u krijgt als snippet gewoon “alert(cookie)” te zien. U kunt nu allerlei andere mogelijkheden proberen, maar we kunnen ook eens in de broncode kijken. Daar vinden we al vlug het bestand sanitize.py, dat onveilige html uit invoer zoals die in ons snippet-veld verwijdert. Zo merken we dat de rij allowed_tags een whitelist is voor tags die toegestaan zijn, en disallowed_attributes een blacklist van attributen die niet mogen. Script staat niet bij de allowed_tags, dus daarom werkte onze eerste poging niet! Blacklisting is in het algemeen echter een slechte techniek, dus we controleren of er misschien een attribuut waarmee we code kunnen uitvoeren niet op de blacklist staat. En ja, op de blacklist staan wel onmousedown, onmousemove, onmouseout, onmouseup, enzovoort, maar de ontwikkelaars zijn onmouseover vergeten. Onze volgende poging in een snippet is dus: Lees dit! Bingo! Als iemand de pagina met snippets nu bekijkt, krijgt hij zijn cookie te zien. Een echte aanvaller zou hier iets heel anders mee kunnen doen. Een mogelijke fix is om onmouseover aan de blacklist toe te voegen, maar dit is nog altijd niet voldoende, want Lees dit! werkt dan nog altijd omdat de vergelijking met de blacklist rekening houdt met hoofdletters en html niet... Kortom, het is niet makkelijk om een goede controle van invoer te schrijven en overal rekening mee te houden. Vind het wiel niet opnieuw uit, maar gebruik een bestaande html sanitizer.
Vertrouw de browser niet Een aanvaller kan via XSS dus controle krijgen over uw browser, maar hij kan hier ook rechtstreeks mis-
PC-ACTIVE | Nr. 243 – 2010
505 gruyere.indd 83
83
24-11-2010 07:23:03
ACHTERGROND
| GRUYERE
Vind verborgen schatten met path traversal
bruik van maken. Als de webapplicatie bijvoorbeeld te veel de invoer van de browser vertrouwt, zoals een ingevuld formulier, dan is dit ook een mogelijk beveiligingsgat. Opnieuw geldt: de webapplicatie zou alle gebruikersinvoer als onbetrouwbaar moeten beschouwen en dus zwaar moeten filteren. Waar dat filteren zeker belangrijk is, is in de context van gebruikersprivileges. Op de pagina editprofile. gtl kunt u bijvoorbeeld uw profiel wijzigen. Maar kijk eens in de broncode van deze pagina? Dan ziet u dat er in het formulier enkele extra items zijn voor een beheerder. De actie die wordt uitgevoerd bij het doorsturen van het formulier is saveprofile, en wat dit doet, vinden we in gruyere.py in de methode _DoSaveprofile. Zo ontdekken we dat we onszelf gewoon admin kunnen maken door te surfen naar de url van de pagina saveprofile met als parameters na de ? action=update&is_admin=True. Omdat ons cookie zegt dat
Bingo! Met ‘onmouseover’ hebben we de aanval met succes uitgevoerd
website eenvoudig een sessie kan opslaan en de identiteit van ingelogde gebruikers kan onthouden, omdat het http-protocol dit zelf niet kan. Zo’n cookie wordt niet alleen gestuurd als u bijvoorbeeld op een knop in een formulier klikt, maar ook als uw webbrowser een afbeelding waarnaar op de html-pagina verwezen wordt, downloadt. Van dit laatste kunnen we in Gruyere misbruik maken. Elke gebruiker kan in zijn profiel een icoontje opgeven, dat op de homepage bij uw naam wordt getoond. In de html-code van de homepage staat er dus een , en uw webbrowser haalt deze afbeelding op. Wat nu als er in het attribuut src niet een afbeelding staat, maar een url van een actie die bijvoorbeeld de eerste snippet van de gebruiker verwijdert, zoals deletesnippet?index=0. Dan ziet uw webbrowser een url op de website van Gruyere waarop u bent ingelogd, en stuurt dus ook uw cookie mee bij het opvragen van deze url. Maar daardoor zal de server de actie deletesnippet uitvoeren in de veronderstelling dat u zelf op het knopje voor het verwijderen van een snippet hebt geklikt, want het cookie identificeert u. Het resultaat? Elke keer als een Gruyere-gebruiker de homepage bezoekt, wordt zijn eerste snippet verwijderd.
Padvinder we geen beheerder zijn, moeten we wel eerst uitloggen en opnieuw inloggen, maar daarna verschijnt er een extra link “Manage this server” in Gruyere! We kunnen nu de profielen van andere gebruikers wijzigen en de server resetten. Lijkt dit te simpel? Toch is het zo, het is een elementaire fout, maar wel eentje die maar al te vaak voorkomt. Wat er gebeurt, is dat onze webapplicatie helemaal niet controleert of u wel beheerder bent: als u dit in een parameter opgeeft, wordt uw profiel gewoon geüpdatet. De code verbergt de beheerdermogelijkheden in de interface die u te zien krijgt, maar als u de code begrijpt, weet u welke parameters u moet invullen om toch beheerder te worden.
Cross-Site Request Forgery (XSRF) Een volgende fout waarvan u mogelijk wel eens hebt gehoord, is de Cross-Site Request Forgery, afgekort als XSRF. Dit maakt gebruik van het feit dat uw browser altijd de cookies stuurt die bij de site horen die u bezoekt. Cookies zijn uitgevonden zodat een
84
505 gruyere.indd 84
Een andere veel voorkomende fout die u in Gruyere kunt onderzoeken, is ‘path traversal’. De meeste webapplicaties houden al hun bestanden, zoals afbeeldingen, css-bestanden, et cetera in één directory. Maar als de applicatie slordig is geschreven, kan een bezoeker naar de bovenliggende directory gaan door ../ in het pad te gebruiken. En als hij dan de structuur van het bestandssysteem weet, kan hij zo toegang krijgen tot specifieke bestanden, zoals /etc/passwd dat u leert welke gebruikers er op de server zijn, nuttige informatie voor als u wilt proberen in te breken. En als de applicatie echt slordig is geschreven en een upload-functie heeft om bestanden te uploaden, is het zelfs mogelijk om systeembestanden te vervangen... Probeer dit in het codelab maar eens uit voor Gruyere.
Standaardconfiguratie Een andere mogelijke aanvalshoek is de standaardconfiguratie van een webapplicatie. Zeker bij applicaties waar de broncode van beschikbaar is, is dat eenvoudig te ontdekken (en daarom dat het daar niet
PC-ACTIVE | Nr. 243 – 2010
24-11-2010 07:23:43
GRUYERE
| ACHTERGROND
De debug-pagina verklapt geheime informatie
zo vaak voorkomt), maar ook gesloten webapplicaties hebben met het probleem te maken (al wordt het daar zelden ontdekt). Een admin-account met een standaardwachtwoord bijvoorbeeld, komt maar al te vaak voor. En debug-mogelijkheden die standaard ingeschakeld zijn, vormen ook wel eens een risico. Bekijk de code van Gruyere maar eens: die bevat een debug-functie die de hele inhoud van de database toont, inclusief de wachtwoorden (die blijkbaar in cleartext worden opgeslagen!) en privésnippets (!) van alle gebruikers. De debug-code wordt nergens in de rest van de code gebruikt, maar als het bestand aanwezig is op de server kunt u het gewoon uitvoeren door de url in te typen. Daarvoor hoeft u zelfs niet ingelogd te zijn!
overflows en SQL-injecties. Wanneer u de instructies van het codelab gevolgd hebt, hebt u een goed overzicht van de belangrijke klassen van beveiligingsfouten, hoe u deze kunt vinden en hoe ze moeten worden gefixt. Wilt u wat meer oefenen, dan kan dat zeker, want Gruyere bevat nog heel wat meer fouten die niet in het codelab besproken zijn. Of probeer uw kunstjes eens uit op Google’s eigen webapplicaties: sinds kort kunt u US$ 500 of meer opstrijken als u een belangrijke fout vindt in een van de webapplicaties van Google die de confidentialiteit of integriteit van gebruikersgegevens bedreigt. We gaan dus niet zeggen ‘Don’t try this at home’, maar beperkt u zich wel tot uw eigen accounts...
En verder
INFORMATIE
Het codelab van Gruyere leert u verder nog andere manieren om cookies te manipuleren, hoe u een denial-of-service-aanval uitvoert waardoor de server waarop de webapplicatie draait, zijn taken niet meer kan uitvoeren, hoe u code kunt laten uitvoeren op de server, enzovoorts. Wat niet aan bod komt, zijn buffer
Google Gruyere http://google-gruyere.appspot.com/ Google Gruyere code http://google-gruyere.appspot.com/code/ Google Online Security Blog http://googleonlinesecurity.blogspot.com/
PC-ACTIVE | Nr. 243 – 2010
505 gruyere.indd 85
85
24-11-2010 07:24:01
VIA GPRS ZONDER DAT U IETS MERKT
APPARATEN DIE ONDERLING ‘PRATEN’ TEKST : JEROEN HORLINGS
Wat zou er gebeuren als machines met elkaar kunnen ‘praten’? De printer bestelt automatisch nieuwe inkt als die bijna op is, een auto belt zelf 112 na een botsing en de elektriciteitsmeter geeft rechtstreeks de stand door, zodat u achteraf exact betaalt voor wat u hebt verbruikt? Dat kan met ‘M2M’. Wat is het en hoe werkt het?
D
e naam om de in de inleiding genoemde communicatiemogelijkheid te typeren is ‘Machine-to-Machine’-communicatie, kortgezegd M2M. De basis van M2M wordt gevormd door een simkaart waarmee gegevens uit te wisselen zijn en apparaten (de machines) onderling met elkaar kunnen ‘praten’. De mogelijkheden van deze aan elkaar gekoppelde apparaten levert een soort kunstmatige intelligentie op, met vrijwel oneindige mogelijkheden. Denk bijvoorbeeld aan ‘home automation’ of domotica, waarmee de verwarming, lampen en andere apparatuur op afstand kunnen worden bediend. Of aan het in het intro genoemde voorbeeld van printers die zelf inkt of toner bestellen. Een ander concreet voorbeeld is een horloge voor (kleine) kinderen met een ingebouwde gps-chip en een sim-kaart, waarop de ouders via een computer of telefoon continu kunnen zien waar hun kinderen zijn. Dit laatste product is al beschikbaar op basis van smsberichten (waarbij de locatie wordt teruggestuurd, zodra een sms-bericht aankomt).
86
501 M2M.indd 86
Het praktische probleem is dat simkaarten niet gratis werken; er is ofwel een abonnement of een prepaidtegoed nodig. Met M2M gaat dat anders: bij aankoop van een product zit de mobiele communicatie al in de prijs inbegrepen of wordt het op een andere manier doorberekend. Zo is het straks mogelijk om overal ter wereld via een e-boekreader – zonder internetverbinding – te winkelen in de digitale boekwinkel en de gewenste boeken direct te downloaden. De kosten voor het gebruik van het mobiele netwerk zullen als vast bedrag verwerkt zitten in de e-boekprijs. In het eerder gestelde voorbeeld van het gps-horloge is er dus geen prijs voor dataverkeer, maar zit dit al inbegrepen in de aanschafprijs of in de vorm van een mini-abonnement.
Ander betaalmodel De huidige en toekomstige M2M-producten zijn een samenwerkingsverband tussen leverancier en telecomprovider, waarbij beide partijen nauw samenwerken aan het product. Door deze samenwerking zijn er
PC-ACTIVE | Nr. 243 – 2010
24-11-2010 06:53:15
MACHINE-TO-MACHINE COMMUNICATIE
Hoe werkt M2M? Machine-to-Machine-communicatie is geen heel ingewikkelde technologie. Onder het mom ‘you can put a sim in everything’ wordt een sim-kaart toegevoegd aan een elektronicaproduct (zij het tijdens
Schematische voorstelling M2M-communicatie
Wat kan er zoal met M2M? Enkele voorbeelden van M2M-technologie waar u misschien nog niet aan gedacht had: het ongemerkt uitlezen van de gas-, electriciteits- en watermeters bij u thuis, het in de gaten houden van de vloeistofniveaus van de reservoirs bij benzinestations, de voorraadniveaus en temperatuur van bierinstallaties bijhouden, het dagelijks doorgeven van de opbrengsten van parkeermeters in de stad, maar ook de hoeveelheid koffie in de automaten op verschillende locaties (pas als de voorraad op dreigt te raken, wordt er iemand langsgestuurd). Ook is het mogelijk om verkeerslichten via M2M aan te sturen.
de fabricage of achteraf). Gegevens van het product kunnen via het telecommunicatienetwerk worden verspreid naar andere apparaten, bijvoorbeeld om deze gegevens te analyseren. M2M gebruikt nu nog alleen het 2G-netwerk (gsm en gprs). Dat is in principe voldoende, omdat berichten via het sms-protocol worden verstuurd of via een beperkte hoeveelheid data via gprs. Maar het hoeft niet per se over de bestaande mobiele spraak- en datanetwerken te gaan. KPN heeft de licentie verworven voor een CDMA450netwerk (verkregen na de overname van Nozema) en is dat op dit moment aan het uitrollen. Dit netwerk, dat oorspronkelijk werd gebruikt voor analoge mobiele telefonie via het ATF-2-netwerk, kan straks ook worden gebruikt voor M2M. Het grote voordeel van CDMA450 is dat een basisstation in dit netwerk een bereik van 50 km heeft, vanwege de gebruikte frequenties dieper in gebouwen kan doordringen en bovendien ook nog eens hoge download- (3,1 Mbit/s) en uploadsnelheden (1,8 Mbit/s) biedt. Met die snelheid
(Bron: KPN)
verschillende prijsmodellen mogelijk, in tegenstelling tot wat momenteel gebruikelijk is in de telecommarkt (waarbij u voor een notebook of tablet met mobiel internet een apart abonnement moet afsluiten). Bij M2M-consumentenproducten zijn er verschillende mogelijkheden, zoals het verwerken van de gebruikskosten in de aanschafprijs, een maandelijkse vaste prijs (ongeacht gebruikt) of een prijs per afname. Een combinatie is ook mogelijk: bepaalde diensten zijn bijvoorbeeld het eerste jaar gratis en kunnen daarna voor een bepaald bedrag worden verlengd. Dat het ook nog anders kan, bewees een Italiaans bedrijf dat wasmachines produceert. Een paar jaar geleden bedacht men een huurconstructie waarbij wasmachines gratis werden geleverd en klanten voortaan – via M2M – per wasbeurt konden betalen, zonder vooraf hun portemonnee te trekken! Om succesvol te worden in de consumentenmarkt is het ook wel noodzakelijk om met aantrekkelijke betaalvormen voor de dag te komen, want door de hoge roamingkosten voor data en telefonie in het buitenland zijn consumenten terughoudend geworden. In principe hoeven M2M-diensten in het buitenland niet duurder te zijn, omdat telecombedrijven meestal op Europees- of wereldwijdniveau afspraken maken over roamingkosten (en die in de prijs verwerken).
| ACHTERGROND
PC-ACTIVE | Nr. 243 – 2010
501 M2M.indd 87
87
24-11-2010 06:53:54
ACHTERGROND
| MACHINE-TO-MACHINE COMMUNICATIE
is het ook goed mogelijk video te transporteren naar apparaten. En omdat het CDMA450-netwerk onafhankelijk werkt van het bestaande telefoonnetwerk en internetaansluitingen, is dat van toegevoegde waarde voor bedrijfskritische gegevens. Een M2M-product werkt op basis van een ip-adres dat het toegewezen krijgt via een zendmast. Dat kan een vast adres zijn (voor apparatuur die continu aanstaat) maar ook een dynamisch adres (voor incidenteel gebruik). Dat laatste is logischerwijs een stuk goedkoper voor de telco’s. Het is overigens ook mogelijk om een rechtstreekse verbinding tussen apparaten op te zetten, zonder dat de data via het publieke internet getransporteerd wordt.
Sensors en communicatie M2M speelt in op reeds in gang gezette ontwikkelingen met allerlei sensors in machines, auto’s en elektronica die informatie opvangen. Die informatie werd tot voor kort via een bedraad netwerk doorgespeeld naar centrale servers. Dat dit nu ook draadloos kan, maakt de communicatie eenvoudiger en goedkoper om te implementeren en maakt ook een nieuwe doelgroep mogelijk: mobiele apparatuur. Voorheen ‘domme’ passieve apparaten worden nu ineens kunstmatig slim omdat ze met elkaar kunnen praten. M2M op zich is geen baanbrekende technologie (gebaseerd op gprs, sms en beperkte data), maar het opent wel een wereld aan mogelijkheden. Op zakelijk vlak maakt het een nieuwe golf van automatisering mogelijk, wat ook wel ‘het internet der dingen’ wordt genoemd. In plaats dat er dagelijks iemand handmatig alle frisdrank- en snoepautomaten langsloopt en bijvult, kan een automaat nu vooraf een bestelling doorgeven zodat er op maat geleverd wordt en er geen extra tijd verspild wordt aan machines die nog vol zijn (bijvoorbeeld omdat de mensen van de afdeling waar hij staat op vakantie zijn). En KonicaMinolta biedt in samenwerking met KPN al printers aan die zelf in contact staan met de serviceafdeling om tonerniveau’s of storingen door te geven. Dergelijke automatisering verhoogt
Groeimarkt Volgens een onderzoek van Berg Insight waren er in 2008 47,7 miljoen M2M-connecties actief en wordt een groei naar 187 miljoen verbindingen in 2014 verwacht. De grootste groeidienst binnen M2M is ‘tracing & tracking’. Het voordeel ten opzichte van bestaande methoden is dat iedere zending een eigen (tijdelijke) SIM-kaart krijgt en dus nooit meer fysiek zoek kan raken (aangezien de pakketten te traceren zijn op basis van telefoonmasten en/of een ingebouwde gps-chip). Vanaf 2013 wordt verwacht dat de autosector voor een enorme boost in de M2M-wereld zal zorgen. Vanaf dat moment is het namelijk voor autofabrikanten verplicht om een beveiligingssysteem (E-call) in te bouwen dat automatisch contact opneemt met een alarmcentrale bij een ongeval en ook een telefonische verbinding mogelijk maakt met hulpdiensten. Het wordt verwacht dat dit levens redt doordat hulp sneller ter plaatse is en vooraf al over cruciale informatie beschikt.
88
501 M2M.indd 88
Navigatieapparatuur: zonder dat u het doorhebt voorzien van M2M
de service naar klanten en leidt tegelijkertijd tot een kostenbesparing.
Praktijkvoorbeelden M2M-diensten zijn in eerste instantie van toegevoegde waarde voor zakelijke diensten. Zo is Getronics (onderdeel van KPN) samen met bierbrouwer Heineken bezig met een pilot waarbij de voorraad van het bier, maar ook aanverwante zaken als de koeltemperatuur, op afstand worden beheerd. Op die manier kan Heineken garanderen dat een biertje overal hetzelfde smaakt en wordt de logistieke aanvoer van de biervaten efficiënter. Daaraan gerelateerd loopt er een medisch project met Philips dat er voor moet zorgen dat patiënten die normaalgesproken niet buiten huis kunnen komen, dat dankzij de techniek wel kunnen: een mobiele hartmeter, die alarm slaat wanneer nodig, vervangt de logge apparatuur in huis. Maar er zijn op dit moment ook M2M-producten beschikbaar in de consumentenmarkt. Zo heeft het Amerikaanse Pandigital in Europa een digitaal fotolijstje op de markt gebracht dat dankzij de ingebouwde simkaart foto’s ontvangt. Opa en oma kunnen daarmee thuis genieten van de vakantiefoto’s van hun kleinkinderen die enkele minuten daarvoor gemaakt zijn. En gps-leverancier Garmin gebruikt M2M in zijn Nüvi 1690- en 1695-navigatiesysteem (onder de naam ‘Nülink’). Consumenten krijgen daarmee toegang tot internet en actuele online-informatie zoals verkeer, mobiele flitspalen, de weersverwachting en benzineprijzen. Ook is het mogelijk om op internet te zoeken via Google Local Search, bijvoorbeeld naar nieuwe restaurants, muziekoptredens of bioscoopfilms. Het eerste jaar is de Nülink-dienst nog gratis, daarna kost het € 79 per jaar. Ook Tomtoms HD Traffic is in feite een M2M-dienst, waarbij verkeerdata via Vodafonesimkaarten op navigatieapparatuur terechtkomt.
PC-ACTIVE | Nr. 243 – 2010
24-11-2010 06:57:04
MACHINE-TO-MACHINE COMMUNICATIE
| ACHTERGROND
Een gps-horloges met simkaart. Niet om te weten waar u zelf bent, maar om iemand anders in de gaten te houden
Toekomst
Privacy
Diensten die nog niet beschikbaar zijn, maar waar al wel concrete experimenten mee worden uitgevoerd zijn bijvoorbeeld energiemeters, brandmelders en alarmsystemen. De laatste twee voorbeelden spreken waarschijnlijk voor zich; wanneer een noodsituatie wordt geconstateerd, zal via M2M automatisch contact gezocht worden met de hulpdiensten of een meldkamer. De watermeter (evenals de elektriciteitsen gasmeter) is meer van praktische aard. Door hun producten met een simkaart uit te rusten hoeven water- en energiebedrijven nooit langs te komen om de meterstanden op te nemen. Het werkelijke gebruik wordt gemeten; u kunt dus achteraf uw rekening betalen voor het werkelijke verbruik en hoeft niet meer voor te schieten. Bovendien ziet u als consument ook snel of het verbruik ineens ongewenst hoog wordt. Zo wordt snel duidelijk welke impact het vervan-
Bij nieuwe technologie en publieke diensten komt het privacyvraagstuk altijd om de hoek kijken. Zo ook bij M2M, want het is natuurlijk een dienst waarbij informatie wordt verstuurd. Dat betekent dat de locatie van producten met geïntegreerde simkaarten te volgen zal zijn via gsm-masten (net zoals alle mobiele telefoons). Niet publiekelijk, maar wel door de provider zelf, die deze informatie – als daarom wordt gevraagd – aan de politie kan overhandigen. Voor M2M in vaste apparatuur in huis, zoals domotica, is het risico te overzien; traceren is in dat geval niet zo interessant. Het gebruik van M2M heeft dan zelfs een voordeel ten opzichte van apparaten die op basis van draadloos internet functioneren, omdat het lastiger is om op een gsmnetwerk in te breken. Maar mobiele producten, zoals navigatieapparatuur, gps-horloges en e-boeken, zijn net zo privacygevoelig als een mobiele telefoon. Datzelfde geldt voor auto’s met E-call die vanaf 2013 zullen rondrijden. Het positieve is dan weer dat gestolen producten ook zijn te traceren.
gen van gloeilampen door spaarlampen heeft, hoe zuinig een nieuwe cv-ketel daadwerkelijk is en of de vorige maand geïnstalleerde thuisserver de rekening aardig opvoert! De Tweede Kamer heeft recentelijk ingestemd om dergelijke digitale meters in de nabije toekomst uit te rollen. Voorlopig tonen deze meters alleen passieve gegevens zoals het verbruik en niet de bijbehorende kosten op basis van variabele energieprijzen. Het Groningse bedrijf Smart Dutch is wel al bezig met een opvolger, ook op basis van M2M, die dat wel kan. Daarmee zou het ook mogelijk zijn om het verbruik eenvoudig te vergelijken met buurtbewoners (wat bewust energieverbruik zou stimuleren). Dan toont M2M concreet zijn toegevoegde waarde voor u als consument.
INFORMATIE
Een fotolijstje met een simkaart, waar rechtstreeks foto’s naar toe te sturen zijn
KPN M2M www.kpn.com/zakelijk/Meer-diensten/ machine-to-machine.htm
PC-ACTIVE | Nr. 243 – 2010
501 M2M.indd 89
89
24-11-2010 06:57:38
VERBORGEN INFORMATIE IN AFBEELDINGEN STOPPEN
SCHATGRAVEN IN METADATA TEKST : KOEN VERVLOESEM
Zonder dat u het weet, geeft u heel wat gevoelige informatie prijs wanneer u een foto op Flickr deelt of een Word-document op uw website publiceert. Bijna alle bestandstypes bevatten immers naast de zichtbare informatie ook zogenaamde metadata, waarvan u het bestaan niet altijd beseft. Hoe kunt u interessante metadata vinden en (wat misschien nog belangrijker is) hoe voorkomt u dat u zelf dit soort fouten maakt?
T
oen MythBusters-presentator Adam Savage via Twitter een foto van zijn wagen publiceerde, wilde hij daarmee indruk maken op zijn fans. Zonder het te weten gaf hij echter ook de coördinaten van zijn huis prijs. Immers, zijn iPhone waarmee hij de foto nam, heeft een ingebouwde gps-ontvanger en voegt de lengte- en breedtegraad van uw locatie toe aan elke foto die u maakt, tenminste als u de geotagfunctie hebt ingeschakeld. Die functie is natuurlijk leuk als u op reis gaat en achteraf prima als u uw vakantiekiekjes op een wereldkaart wilt bekijken om aan uw familie te laten zien welke trektocht u achter de rug hebt, maar in Savage’s geval was het alleen maar een risico: met de boodschap ‘Now it’s off to work’ liet hij potentiële dieven weten dat hij niet thuis was. En de bijbehorende gps-coördinaten zouden wel heel handig geweest zijn voor dieven. Gelukkig is er feitelijk niets gebeurd (en is hij ondertussen toch verhuisd), maar Savage had er aan moeten denken: als presentator van een televisieshow over technologie was hij zeker bekend met geotags en had hij de geotag-functie van zijn iPhone moeten uitschakelen voor hij de foto nam... En zo zijn er nog heel wat situaties te bedenken. Veel mensen pochen op sociale netwerken zoals Twitter over hun bezittingen, en laten dan bijvoorbeeld een foto zien van hun dure televisie, hun oldtimer of hun
90
Uw foto’s vertellen meer over u dan u zich realiseert
zwembad. Voor dieven is dit allemaal natuurlijk erg interessante informatie: zo weten ze dat er zeker wat bij u te halen valt. Maar gegeotagde foto’s zijn ook fantastisch om uw gewoontes na te gaan: naast de gps-coördinaten staat er normaal ook een datum en tijdstip in de metadata van de foto, en zo kan een potentiële dief nagaan wanneer u normaal in uw favoriete café zit en het huis dus verlaten is. Digitale camera’s slaan al deze metadata in een jpgfoto op volgens de exif-standaard (Exchangeable Image File Format). Naast de datum en tijd en (indien beschikbaar) gps-coördinaten, vindt u daar ook de camera-instellingen, copyrightinformatie en een thumbnail. Door de privacy-implicaties heeft een aantal online diensten, onder andere Facebook en Yfrog, besloten om exif-metadata uit foto’s die gebruikers uploaden te filteren. Maar bij vele websites of apparaten zit de mogelijkheid ergens verborgen diep in de instellingen en staat die standaard aan. Of u hebt die vraag ooit gekregen, op ‘Ja’ geklikt omdat het wel handig leek en er daarna niet meer aan gedacht. Als mensen hun eigen privacy te grabbel gooien, kunt u natuurlijk zeggen dat het hun eigen schuld is en ze zich maar beter moeten informeren over de speeltjes die ze gebruiken. Daar zit iets in, zeker als ze dit bewust doen (zoals bijvoorbeeld met diensten
PC-ACTIVE | Nr. 243 – 2010
508 metadata.indd 90
24-11-2010 07:59:19
METADATA
| ACHTERGROND
als Foursquare en Gowalla), maar het probleem is dat geotags, net zoals andere vormen van metadata, normaal niet zichtbaar zijn in een standaard afbeeldingenviewer. U moet al diep in een menu van de viewer de afbeeldingeigenschappen oproepen om te zien welke informatie u allemaal op de achtergrond prijsgeeft. En met de spectaculaire groei van smartphones in de laatste jaren, die vaak een gps ingebouwd hebben, is het probleem nu echt epidemisch aan het worden. Overigens bent u niet per se veilig als uw smartphone geen gps hebt: de eerste generatie van de iPhone bijvoorbeeld (die geen gps heeft) gebruikte een dienst van Skyhook om uw locatie door triangulatie te benaderen op basis van de wifi-basisstations in de buurt en die dan in de exif-metadata van uw foto op te slaan.
GPS-coördinaten verzamelen Daardoor beseffen weinig gebruikers dat de informatie er is, en zitten we ondertussen in de situatie dat op grote schaal de privacy van ‘early adopters’ van gadgets en gebruikers van sociale netwerken gevaar loopt. En omdat heel wat van deze diensten een API (Application Programming Interface) aanbieden, is het met wat basiskennis programmeren niet zo moeilijk om geautomatiseerd te zoeken naar gegeotagde foto’s. Zo heeft Nate Beck van ZaaLabs vorig jaar een scriptje geschreven dat foto’s die door beroemdheden op Twitter gepubliceerd werden, analyseerde. Uit 11.688 foto’s van 147 personen vond hij 878 foto’s met gps-coördinaten van 44 personen. Daartussen zaten bijvoorbeeld Tom Hanks en Britney Spears (waarvan de foto overigens door PhotoShop bewerkt was, zo leerden ons de exif-metadata). Maar dieven kunnen dit ook anders aanpakken: ze kunnen een scriptje constant laten zoeken naar nieuwe gegeotagde foto’s waarbij de gebruiker ‘op vakantie’ of iets dergelijks schrijft, of bijvoorbeeld enkel naar foto’s zoeken binnen een bepaalde regio waarin de dieven actief zijn. Om de gevaren van zo’n
Met een smartphone geeft u vaak zonder het te realiseren uw exacte positie prijs
geautomatiseerde systemen te illustreren, hebben beveiligingsconsultants Larry Pesce en Ben Jackson de website ICanStalkU.com ontwikkeld, die een realtime stroom van gegeotagde foto’s op Twitter toont, inclusief de locatie op Google Maps en de naam van de Twitter-gebruiker. Die laatste krijgt dan ook een waarschuwing in zijn Twitter-feed te zien. U kunt zelf ook de exif-tags van afbeeldingen in uw browser bekijken. Opera toont deze standaard al in de afbeeldingeigenschappen; voor Firefox moet u de extensie Exif Viewer installeren en voor Internet Explorer Opanda IExif. In die laatste twee kunt u zelfs rechtstreeks vanuit het venster met de exifeigenschappen vragen om de locatie waar de foto genomen is op een kaart te tonen als er gps-coördinaten
ICanStalkU.com stalkt twitteraars
PC-ACTIVE | Nr. 243 – 2010
508 metadata.indd 91
91
24-11-2010 07:59:52
ACHTERGROND
| METADATA
Bekijk de exif-metadata van afbeeldingen in Firefox met Exif Viewer
beschikbaar zijn. En als u specifiek geotags in foto’s wilt bekijken en bewerken, is een tool zoals GeoSetter onontbeerlijk. Kortom, het is vrij eenvoudig om de exif-metadata te bekijken.
Thumbnails Een ander risico waar u niet zult bij stilstaan, is de thumbnail die veel fotocamera’s automatisch opslaan wanneer u een foto neemt, en wel als onderdeel van de exif-metadata. Dit doen ze zodat ze u sneller een beeld kunnen laten zien als u door de foto’s bladert, en ook de Windows Verkenner en andere programma’s maken hier dankbaar gebruik van, omdat een thumbnail sneller ingeladen is dan de volledige foto. Een probleem is dat niet alle beeldbewerkingssoftware om kan gaan met exif-metadata. Sommige verwijderen de metadata standaard omdat ze geen exif ondersteunen, andere ondersteunen dit wel en passen dan ook de exif-metadata en dus ook de thumbnail aan, maar sommige software laat gewoon de originele exifmetadata en dus ook de originele thumbnail in de bewerkte afbeelding staan. U ziet het al aankomen... dit laatste is natuurlijk een probleem als de bewerking bestaat uit het verwijderen van een deel van de afbeelding dat niet voor publicatie bedoeld is. Cat Schwartz, een presentatrice voor het Amerikaanse tv-kanaal TechTV, publiceerde op haar blog twee foto’s van zichzelf. Het waren duidelijk uitsnijdingen uit grotere foto’s, waarop enkel haar gezicht te zien was. Eén van de foto’s toonde ook een blote schouder, wat meer naakt in de originele foto suggereerde. En een slimmerik vond in de thumbnails van beide foto’s inderdaad meer naakt... Wat bleek? Schwartz had twee toplessfoto’s genomen,
92
knipte er enkel haar gezicht uit en sloeg het resultaat op, maar in PhotoShop 7 wordt een thumbnail niet aangepast als u een stuk uit een foto uitsnijdt en dit onder dezelfde naam opslaat, waardoor de lezers van haar blog die de moeite namen om haar foto’s in Windows Verkenner te bekijken, getrakteerd werden op thumbnails van haar borsten. Ook bij andere manieren om uw foto’s gedeeltelijk te censureren kan het wel eens mis gaan. Hetzelfde PhotoShop 7 laat de originele thumbnail staan als u bijvoorbeeld een zwart blokje voor de ogen of voor het gezicht van een persoon zet om diens privacy te beschermen… Het foutje van Schwartz gebeurde in 2003, maar zelfs anno 2010 komt het nog voor dat thumbnails van foto’s meer verklappen dan de maker voorzien heeft. Zo nodigt de website nufoto.nl zijn lezers uit om foto’s met nieuwswaarde te uploaden, en blijkbaar gebeurt er geen enkele filtering van de exif-metadata op. Een kleine steekproef door ondergetekende leverde meerdere foto’s op die volgens de thumbnail uitgeknipt bleken te zijn uit een grotere foto, en zelfs een aantal waarbij we in de thumbnail duidelijk het gezicht konden zien van een persoon die uit de foto geknipt was. Niets wereldschokkends, maar dat zal ooit zeker wel eens gebeuren als er totaal geen filtering van de exif-metadata blijft gebeuren. Naast exif-metadata vonden we in de foto’s op nufoto.nl ook iptc- en xmpmetadata, twee andere types metadata die u ook wel eens wat interessants kunnen vertellen.
Bescherm uzelf Hoe beschermt u uzelf tegen deze risico’s? Als u sowieso geen foto’s online publiceert, loopt u natuurlijk weinig risico, maar anno 2010 kunnen we moeilijk ie-
PC-ACTIVE | Nr. 243 – 2010
508 metadata.indd 92
24-11-2010 08:00:06
METADATA
| ACHTERGROND
Bekijk de exifmetadata van afbeeldingen in Firefox met Exif Viewer
dereen verbieden online foto’s te publiceren. Daarom schakelt u best al bij de bron, meestal uw smartphone, het opslaan van geotags uit. Op de website ICanStalkU.com vindt u instructies voor de iPhone, Android, Palm WebOS en de BlackBerry. Maar het beste voert u een ‘defense-in-depth’-aanpak in: u zorgt voor verschillende mechanismes om geotags of andere exif-metadata uit uw foto’s te houden. Naast het uitschakelen van geotags in uw smartphone controleert u best ook nog eens voor het uploaden van uw foto of de exif-metadata er nog in aanwezig zijn. Indien u zelf nog de metadata moet verwijderen (of beter nog: deze wilt aanpassen om eventuele dieven te misleiden), kunt u een tool zoals MetaEditor of GeoSetter (enkel voor geotags) gebruiken. In IrfanView kunt u bij het opslaan van een jpg-bestand ook de geavanceerde opties openen en daar ‘Keep original exif data’ uitvinken. En als u van veel foto’s tegelijk de metadata wilt verwijderen, hebt u een beeldbewerkingstool nodig die batch processing aankan, zoals het al vermelde IrfanView of het commandline-programma ExifTool. In het ideale geval automatiseert u dit proces, bijvoorbeeld door een scriptje te schrijven dat de exif-metadata van alle foto’s verwijdert die u naar uw webserver met blog uploadt. Doe dat verwijderen van exif-metadata niet alleen wanneer u een foto op uw eigen blog uploadt, maar - defense-in-depth indachtig - ook bij websites die beweren dat ze de exif-metadata verwijderen, want fouten zijn vlug gebeurd. Maar uiteindelijk kunt u zelf nog zo voorzichtig zijn, als u een vriend op bezoek hebt en hij een gegeotagde foto van uw nieuwe auto neemt en uploadt naar Flickr, was het allemaal
vergeefse moeite... Als uw privacy u lief is, moet u dus ook uw vrienden en familie ‘heropvoeden’! Het probleem reikt overigens veel verder dan afbeeldingen: volgende keer leggen we metadata in tekstdocumenten onder de loep.
INFORMATIE exif http://www.exif.org/ IPTC http://www.iptc.org/site/Home/ XMP http://www.adobe.com/products/xmp/ Vind locaties van beroemdheden http://www.zaalabs.com/2010/07/finding-celebritylocations-via-twitter/ I Can Stalk U http://icanstalku.com/ Exif Viewer http://araskin.webs.com/exif/exif.html Opanda IExif http://opanda.com/en/iexif/ GeoSetter http://www.geosetter.de/en/ Verborgen exif thumbnails http://no.spam.ee/~tonu/exif/ MetaEditor http://www.kiwiczech.net/?ref=metaeditor IrfanView http://www.irfanview.com/ ExifTool http://www.sno.phy.queensu.ca/~phil/exiftool/
PC-ACTIVE | Nr. 243 – 2010
508 metadata.indd 93
93
24-11-2010 08:00:23
hcc!CompUsers
info: www.CompUsers.nl
Soluto doet wat Microsoft zelf niet kan: het verminderen van de frustratie als Windows opstart. Waarom start Windows vlak na installatie in minder dan een minuut op, maar duurt het een half jaar later vele minuten? Een probleem waar velen mee worstelen. Het nieuwe programma Soluto is een handig hulpmiddel om het bootproces van Windows te beheren en te versnellen. Een belangrijke oorzaak van vertraging is het opstarten van allerlei programma's of delen daarvan. Veel programma's vinden dat ze altijd op de eerste rij moeten zitten en nestelen zich in de 'autostart' van Windows. Microsoft Office zet bij elke start vast een deel in het geheugen, zodat Office sneller beschikbaar is, als het wordt opgevraagd. Maar ook OpenOffice.org doet dit, tenzij je dat uitschakelt. Bekend zijn ook de programma's die een controle op updates in de autostart zetten. Daarom melden deze vaak dat een update beschikbaar is. Belangrijk? Misschien wel, maar dan niet eerder als dat programma wordt opgestart, alsjeblieft. Voordat je begint om rigoureus alle programma's in de autostart weg te mikken, even een waarschuwing. Er zijn natuurlijk een aantal programma's verplichte kost voor Windows. Of heel erg wenselijk, zoals een virusscanner. Wees dus voorzichtig. Er zijn veel programma's en hulpmiddelen, die de starttijd van Windows beogen te versnellen. Soms grijpen die diep in het systeem in. Dit soort programma's brengen gevaren met zich mee. Het zou zelfs kunnen gebeuren dat Windows helemaal niet meer opstart.
n sc 1.
wijderen groen weergegeven, de twijfelgevallen zijn oranje en de programma's waar Soluto (nog) niets mee kan, zijn grijs.
Soluto is ook zo'n programma. Het is relatief veilig. En geen enkel programma doet wat het nieuwe Soluto belooft. Soluto doet dat ook heel fraai en is gemakkelijk te bedienen. Soluto meet tijdens het opstarten van elk programma hoeveel tijd het in beslag neemt. Vervolgens wordt het resultaat weergegeven in een duidelijk diagram. Hierin worden de programma's die je volgens Soluto veilig uit de autostart kunt ver-
Nou ja, wat heet '(nog) niets mee kan'. Soluto kent deze programma's meestal wel en geeft een aanbeveling, die er meestal op neer komt dat je het in de autostart moet laten. Een belangrijk aspect van Soluto is, dat het ook kijkt wat andere gebruikers met het programma doen en je daar over informeert. Een open internetverbinding is dus noodzakelijk. Soluto is een softwarebedrijf in Tel Aviv, Israël. Het gelijknamige programma is nog in bèta-stadium, maar veelbelovend. Solu-
106 DOSGG.indd 94
to is nu gratis. Volgens uitlatingen van Roee Adler van Soluto blijft het ook gratis voor privégebruik. Op dit moment is Soluto nog alleen in het Engels beschikbaar. Soluto werd eind mei 2010 gelanceerd. We hebben even de kat uit de boom gekeken. Het blijkt veel lof te oogsten. Ook hebben enkele leden ons om aandacht voor dit programma gevraagd. Soluto 1.0 beta staat op GigaHits 2010-6, de DVD-ROM bij de SoftwareBus, het magazine van hcc!CompUsers.. Dit is eigenlijk een 'installer' programma dat tijdens de installatie nog grote delen vanaf internet bijlaadt. In feite wordt de
Een programma als Soluto heeft ook een potentieel nadeel. Het zou kunnen aanzetten tot het extreem inkorten van de opstarttijd, waarbij belangrijke programma's niet meer opgestart worden. Ook hier geldt dat gezond boerenverstand van groot belang is. Liever een paar seconden langere opstarttijd dan risico's nemen.
25-11-2010 07:16:53
Ee p h Ve st
Ti to st m
So h vr d an
A je sc ta m d 't h
H
( a 2
nl
hcc!CompUsers is de grootste interessegroep van de HCC. De activiteiten zijn gericht op het thuisgebruik van computers, vooral op besturingssystemen en een breed terrein van toepassingen. Op deze pagina's kun je kennismaken met het 'aanbod' van kennisoverdracht en diensten. Info: www.CompUsers.nl.
Nog sneller starten Het is zeker niet nodig om een Windows systeem geheel tot stilstand te brengen. Zonder (noemenswaardig) energiegebruik kun je de pc ook in een winterslaap brengen en daarna heel snel weer opstarten. Slaapstand: de gegevens van open programma's worden bewaard in RAM, de rest van het systeem schakelt uit. Er is alleen energie nodig om de gegevens in het RAM geheugen te kunnen bewaren. Opstarten is dan heel snel. Ruststand: de gegevens in het geheugen worden op de harde schijf bewaard, het systeem schakelt uit. Er is dus geen energiegebruik. Opstarten kan meestal binnen 30 seconden. Dit laatste wordt in het Engels vaak 'hibernate' genoemd. Oftewel: winterslaap. In 'hiber' zit het woord 'winter' (in het Frans: 'hiver'). nieuwste versie geïnstalleerd. Tijdens het schrijven van dit artikel was dat versie 1.1.1320 beta.
s -
Eerst zorgt de installer dat dotNET op de pc staat of komt. Dan maakt het een herstelpunt voor Windows aan; netjes! Vervolgens begint het downloaden en installeren.
k
Tijdens de eerste keer opstarten doet Soluto gelijk al zijn werk. Het loopt alle op te starten processen en programma's af en meet hoe lang ze erover doen.
-
,
Soluto kent een aantal programma's. Als het nieuwe programma's tegenkomt, vraagt het de gegevens op bij PC Genome, de Soluto database met de ervaringen van andere gebruikers. Als het Windows opstarten is voltooid, kun je Soluto opstarten. Er verschijnt een scherm met een samenvatting van de resultaten. In mijn geval bleken 78 programma's opgestart te zijn en het opstarten duurde 3 minuten en 44 seconden. Na enig 'tweaken' met Soluto had ik dat gehalveerd.
Henk van Andel (Een uitgebreidere versie van dit artikel verschijnt in SoftwareBus 2010-6, zie www.CompUsers.nl)
106 DOSGG.indd 95
Op de hoogte met je TomTom (Gepost door Marius HRL) Er kunnen veel redenen zijn waarom je onderweg wilt weten op welke hoogte je je bevindt. Daar heb je normaal een hoogtemeter voor nodig, maar het kan ook met je TomTom-navigatieapparaat. De positiebepaling van een navigatieapparaat is immers gebaseerd op satelliet-GPS-positiebepaling en daarmee kun je óók de hoogte bepalen waarop je je bevindt. Alleen...... TomTom heeft die functionaliteit niet verwerkt in z'n programmatuur. Geen nood! Mede-hobbyist Stephan programmeerde een kosteloze plug-in, die draait op alle TomTom PNA'n. Deze plug-in zorgt ervoor dat je op je scherm te zien krijgt op welke hoogte je je bevindt. De installatie gaat eenvoudig. De plug-in is instelbaar, waardoor je de hoogteaanduiding kunt "ijken". Bij sommige, oudere TomTom-versies moet je een aantal instellingen hernieuwen (menukeuzes, stem etc). De historie blijft echter behouden. De plug-in werkt (nog?) niet met de TomTomversies voor PDA's en smartphones. INSTALLATIE: 1. Download het programma hier http://gps.dg4sfw.de/index.php/menuid=57 (Engelstalig) 2. Pak het ZIP-bestand uit op je PC/laptop. Dat levert een CAB-bestand en een LOC-bestand op. 3. Pak het CAB-bestand uit (op je PC/laptop) met een uitpakprogramma, zoals WinZip of 7Zip. Dat levert een bestand "ttn" plus de mappen "Height" en "ttninit" op. 4. Sluit je TomTom aan op de PC/laptop en maak verbinding, maar NIET via TomTom Home (dat sluit je anders eerst af). 5. Controleer of er reeds een bestandje met de naam "ttn" in de hoofddirectory van je TomTom staat. Wijzig, indien dat het geval is (bijv. bij gebruik van ExecutionHelper, Daylight of Timesync), de naam van het bij Height uitgepakte bestandje "ttn" in "ttnold" 6. Kopieer het bestandje "ttn" (of "ttnold") en de mappen "Height" en "ttninit" naar de hoofddirectory (root) van je TomTom 7. Zet je TomTom uit en maak die los van de PC/laptop
8. Start je TomTom op (met zicht op de satellieten) en hernieuw de instellingen. Tijdens het opstarten verschijnen er linksboven in het scherm getallen op het scherm. Die zijn (voor de liefhebber) te benutten voor allerlei verfijningsinstellingen en verdwijnen na de installatie. 9. Laat de TomTom de route bepalen naar een bestemming naar keuze en ontdek dat de hoogte bovenaan in het scherm staat.
AANPASSING WEERGAVE HOOGTE De ervaring leert dat de hoogteaanduiding een systematische afwijking kan hebben. Dat kun je controleren als je op een bepaalde plek weet wat de correcte aanduiding zou moeten zijn. Als je die vergelijkt, met de aanduiding op je TomTom, is het verschil tussen die getallen de correctiewaarde. Als de TomTom een te hoge waarde aangeeft, wordt het getal vooraf gegaan door een minteken. Voorbeeld: Je TomTom geeft een hoogte aan van 48 meter, terwijl dat 31 meter zou moeten zijn. Dan is de correctiewaarde: -17.0 (er wordt gebruik gemaakt van de decimale punt). De correctiewaarde kun je met behulp van een tekst-editor (bijvoorbeeld Wordpad) verwerken in het bestandje "height.cfg" in de map "Height" op je TomTom. Niet openen met Outlook!!! In de regel "he=0.0 # geoidal separation: value will be added to height, in meter or feet" wijzig je de cijfers achter "he" in de correctiewaarde. Uitgaande van de bovenstaande voorbeeld-correctiewaarde wordt die regel dan : "he=-17.0 # geoidal separation: value will be added to height, in meter or feet" Na wijziging: opslaan! Er zijn meer wijzigingen in de instellingen mogelijk, maar die worden hier buiten beschouwing gelaten. Ondanks de invoer van de correctiewaarde kan de aanduiding een afwijking hebben van plus of min tien meter.
25-11-2010 07:17:23
U
NU WORD EE! ABONN
N WORD
! ONNEE
EE! ABONN
RD NU O W ! NU ONNEE WORD B A ! EE ABONN
EE!
ABONN
WORD NU ABONNEE! WORD
NU
WORD
NU
NU WORD U N NNEE! O WORD B A EE! ABONN
EE!
ABONN
RD NU ABONNEE! O NU W WORD ! NU E E D R N U O N N ABO ORD NNEE! U W O W ! N B E A E D R N U ! N N WO ONNEE WORD ! ABO B E A E N U ! N N E RD NE U ABO ORD N U WO NEE! ABON W N D R U ! O N N ONNEE WORD NU W NNEE! ABO B A D R U ! O N E W E BO WORD ABONN EE! A N U ! N N E O E D B A OR NN NU W NNEE! ABO D R U O ABO ORD N U W W ! N E E D R N U ! N N WO ONNEE WORD ! ABO B E A E N U ! N N E E ABO WORD RD NU ABONN O U W ! N E E D ! OR NN NU ONNEE WORD NU W NNEE! ABO B A D R U ! O N E O W WORD BONNE E! AB A E N U ! N N E O E D R N U AB ORD N U WO NEE! ABON W N D R U O N N WORD NU W NNEE! ABO O WORD AB
B
EE!
ABONN
1 JAAR
NU WORD EE! ABONN
(26X)
WORD U N ON WORD E! AB E N N O AB WOR U N D WOR EE! ABONN
VOOR MAAR
39,50
ABONN
NU WORD E! BONNE A ! E E ABONN
c Haal meer uit uw p ! met Computer Idee eken ● Verschijnt elke 2 w n ● Tips & achtergronde software ● Tests van hard- en ● Koopadviezen ps ● Duidelijke worksho
NU WORD EE! ABONN
NNEE!
EE
ABONN
ABO NNEE! NU O D B R A O U ORD N RD N NEE! U W W ! O N N E O W E D B R N U A O N N U WORD ORD N NNEE! NU W NNEE! ABO BONNE O A D B R U A ! O N E O W bijna E! RD NE AB BONNE RD NU ABONNEE! U WO NEE! ABON O N W D R O N N U WORD ORD N NNEE! NU W NNEE! ABO O W D B R U A O N U W N BO E! WORD ABONN WORD EE! A D NU BONNE R N U A ! O N N E O W E D ! B E R N A E RD NU ABONNEE! U WO NEE! ABON ABONN O N W D R O N ! NU WORD NU W NNEE! ABO ONNEE WORD D B R U A O N U O W D ! N B R A EE WORD RD NU ABONNEE! U WO NEE! ABON ABONN O N W D ! E R E O ABON RD NU ABONNEE! U W ABONN ! O N E W E D R N RD NU ABONNEE! U WO NEE! ABON WOR O N W D R U O N N U O W D ! N B E R A E O U WORD ABONN ORD N NNEE! NU W NNEE! ABO O W D ! B E R A E O N U RD N NEE! U W ABON ! ABO O N N E O W E D B R N A O N W NU ABO WORD
40% korting op de winkelprijs!
Surf naar www.computeridee.nl/abonneren EW_CID 09-10 210x297.indd 4
WORD
1/25/10 1:54:10 PM
NU
ij van PC-Active maken ons nogal druk om allerlei zaken. Heffingen op beschrijfbare cd’s en dvd’s bijvoorbeeld. Of het feit dat die cd’tjes vervolgens binnen een paar jaar hun gegevens kwijt kunnen raken als er te goedkoop wordt geproduceerd. En de laatste jaren winden we ons op over de OV-chipkaart, het misbaksel waarbij de lagere overheden samen met de vervoerders alleen aan zichzelf hebben willen denken en het gebruiksgemak volstrekt oninteressant vonden. Wij, de reizigers, zitten met de gebakken peren: de kaart maakt het schoolklassen het reizen zowat onmogelijk maakt, met regelmaat drukt het geld achterover – en dan moet je door brandende hoepels springen om ’t terug te krijgen – en ons reisgedrag wordt maarliefst zeven jaar vastgelegd voor ‘marketingdoeleinden’. En het reizen is gemiddeld ook nog eens duurder geworden. Ergens vernam ik dat het onding ‘opbrengstneutraal’ wordt ingevoerd: voor de vervoerders blijven de netto-inkomsten gelijk. Die vervoerders die er – volgens dezelfde bron – zelf rekening mee houden dat er reizigers zullen afhaken door dit gedoe? Dan kan het niet anders dan dat opbrengstneutraal voor hen betekent dat de reiziger meer gaat betalen met het oog op teruglopende aantallen reizigers en extra infrastructuurkosten... Ooit werd het openbaar vervoer gezien als nutsbedrijf. Dienstverlening tegen zo laag mogelijke kosten op een hoog niveau van betrouwbaarheid. Maar de politiek dacht dat ‘de tucht van de vrije markt’, concurrentie dus, tot lagere prijzen zou leiden. Wat diezelfde politiek niet voorzag, was dat de vrije markt vooral aan de eigen portemonnee denkt, zodat salarissen van directeuren en managers de pan uitrijzen. Vervolgens moet de reiziger worden geplukt om die extra kosten te kunnen ophoesten. Een heel fraai voorbeeld daarvan – waar men tracht zonder al teveel ophef de inkomsten te maximaliseren zonder dat het meteen in het oog springt – is de prijs van de fysieke OV-chipkaart. Gedwongen winkelnering, want zonder zo’n kaart, anoniem of op naam gesteld, betaalt u zich helemaal blauw aan wegwerpkaartjes. Ik citeer even van www.9292ov.nl: ‘De prijs van de OV-chipkaart wordt bepaald door het OV-bedrijf en kan verschillen per kaartsoort. Over het algemeen wordt voor een Anonieme en Persoonlijke OV-chipkaart € 7,50 gerekend.’
COLUMN
WAMMES WITKOP
DIEVENTUIG? W
Da’s geen kattenpis, voor een stukkie plastic met reclameopdruk. Een anoniem exemplaar koopt u net als de strippenkaart uit een automaat of bij een balie, maar die strippenkaart kostte niks extra, dat stuk karton was gewoon bij de prijs inbegrepen. Bovendien, die rfid-kaart die u moet gebruiken als u wilt reizen, is maar vijf jaar geldig. Dus na vijf jaar mag u er weer een aanschaffen, tegen een ongetwijfeld geïndexeerde prijs. Maar goed, ‘t is wel een technisch hoogstandje met near field radiocommunicatie, geheugen en encryptie. Dat is vast knap duur… Nou, dat blijkt best mee te vallen. Argwanend als ik ben, heb ik de prijs opgezocht. Mocht u ook benieuwd zijn, wat u zoekt is de: RFID 13,56 MHz ISO14443A Mifare S50 ISO Card, de Mifare Classic met 1 kB EEPROM read/write memory. Die kost per stuk $ 0,99. Maar ze kopen er vast meer per keer bij Translink, dus is de staffelprijs ook interessant. De hoogste die ik vond, was 40.001 tot 50.000 exemplaren: dan zakt de prijs tot $ 0,68 (zeg € 0,50). De winst die men even zijdelings meepikt op dat stukkie plastic is indrukwekkend! Natuurlijk klopt mijn redenering niet helemaal. Het ding moet worden bedrukt en met data worden gevuld. Dat kost vast nog wel een paar dubbeltjes. Dat stel ik ruimhartig ook op vijftig cent. Maar waar het drukken en verkopen van strippenkaarten ook kosten met zich meebracht die werden gezien als onkosten voor de vervoerders, daar worden wij reizigers met OV-chipkaart gewoon voor ‘uitgekleed’. Zonder kaart gaat het niet en op die kaart verdienen ze ook nog eens grof geld. Stel dat die kaart inderdaad een hele euro kost om in te kopen en te bedrukken. En laten we aannemen dat hij onder de lage BTW valt, als openbaar-vervoersproduct. Dan blijft er per verkochte anonieme kaart dik € 6 aan de strijkstok hangen. Prima handel! Even over die aantallen: via reizigersvereniging Rover kon ik achterhalen dat er tot nu toe 8.500.000 OV-chipkaarten zijn aangemaakt, waarvan er 6.000.000 anoniem zijn. Grappig, dik 70 % van de reizigers wil anoniem blijven! En zo hebben de vervoersberdrijven € 36.000.000 extra weten te ‘verdienen’, alleen al aan die anonieme kaarten…
PC-ACTIVE | Nr. 243 – 2010
205 wammes.indd 97
97
24-11-2010 09:34:44
11x voor
€ 42,50
VOLGENDE NUMMER In het volgende nummer dat verschijnt, komen onder meer de volgende onderwerpen aan bod (onder voorbehoud):
Haal meer uit Word In het volgende nummer van PC-Active komen de uitgebreide functies van Microsoft Word aan bod: hoe kunt u met de Autoherstel-functie zorgen dat u nooit meer gegevens kwijtraakt en hoe maakt u meerdere versies van een document?
107 volgende keer.indd 98
Surf naar www.hubstore.nl/pc-active
Neem een kortingsabonnement!
GEEN ENKEL NUMMER VAN PC-ACTIVE MISSEN?
iPhone-concurrentie Het heeft lang geduurd, maar eindelijk is er echte concurrentie voor de iPhone. Android, Windows Phone 7, BlackBerry... stuk voor stuk interessante besturingssystemen voor ontwikkelaars om apps voor te ontwikkelen. Dat versnipperde beeld zorgt wel voor hoofdbrekens bij ontwikkelaars.
COLOFON
Dit tijdschrift is een uitgave van PC-Active BV en verschijnt 11 maal per jaar, compleet met cd
HOOFDREDACTEUR: Rob Coenraads REDACTIE: Rick van Eeden (adjunct-hoofdredacteur / eindredacteur) Mark Gamble (coördinator cd-rom / web) Henk van de Kamer (technisch redacteur) VORMGEVING: Daniel Amoako FOTOGRAFIE: Ton Bloetjes (Bloonie Fotografie) MEDEWERKERS: Pieter-Cornelis Avonts, Koen Crijns, Marco Davids, Frank Everaardt, Jeroen Horlings, Hans Niepoth, Jan Roza, Koen Vervloesem, Wammes Witkop en Brenno de Winter UITGEVER: Martin Smelt TRAFFIC: Marco Verhoog MEDIACONTROLLER: Bob Bottelier, Mirella van der Willik BOEKHOUDING: Geeta Hobo, René de Muijnck, Irene Prass MARKETING: Miranda Mettes (manager), Judith Sturk REDACTIEADRES: PC-Active, Postbus 3389, 2001 DJ Haarlem Telefoon 023-543 00 00, Fax 023-535 96 27, www.pc-active.nl Over de inhoud van blad en cd-rom: E-mail: [email protected] Persberichten per e-mail: [email protected] ADVERTENTIE-EXPLOITATIE: HUB Uitgevers Aart van der Giezen Postbus 3389 2001 DJ Haarlem E-mail [email protected] Telefoon 023-543 00 24 Fax 023-535 96 27
Uiterste zorg wordt besteed aan het vervaardigen van PC-Active. Desondanks zijn fouten niet uit te sluiten. De uitgever kan derhalve niet aansprakelijk worden gesteld voor eventuele fouten in artikelen, programma’s of advertenties. Overname van artikelen of andere redactionele bijdragen is slechts toegestaan na voorafgaande schriftelijke toestemming van de uitgever. Tenzij uitdrukkelijk anders is overeengekomen heeft de redactie het recht om vrijelijk te beschikken over alle haar toegezondenmateriaal. ABONNEMENTEN: Ingrid van der Aar, Tanja Ekel, Marja Haakmeester VOOR VRAGEN OVER UW ABONNEMENT OF DOORGEVEN VAN ADRESWIJZIGINGEN PC-Active T.a.v. abonnementenadministratie Postbus 3389, 2001 DJ Haarlem E-mail: [email protected] Fax: 023 - 545 18 43 Telefoon op werkdagen tussen 10 en 14 uur: 023 – 536 44 01 OPGEVEN VAN EEN ABONNEMENT OF NABESTELLEN VAN OUDE NUMMERS KAN VIA DE WEBSITE: WWW.HUBSTORE.NL PC-Active verschijnt 11 maal per jaar en een jaarabonnement kost € 66 (België: € 71,50). Een abonnement kan op elk moment ingaan en wordt automatisch voor eenzelfde periode verlengd, tenzij er twee maanden voor vervaldatum schriftelijk wordt opgezegd.
DRUK: Senefelder Misset BV, Doetinchem © 2011 DISTRIBUTIE: Nederland: Betapress BV, Gilze, Tel. 0161-45 78 00 België: Imapress N.V., Turnhout, Tel. 014-42 38 38 ISSN 0925-5745
25-11-2010 13:19:03
Winkel ook veilig online tijdens de feestdagen
2 PC’S 1 JAAR
Tijdens de feestdagen worden veel cadeautjes via online winkels gekocht. Dit betekent ook hoogtijdagen voor cybercriminelen. Deze criminelen zijn uit op uw bankgegevens, creditcardgegevens en meer. Zorg er daarom voor dat u zorgeloos en zonder risico’s in een veilige omgeving winkelt. Kies daarom voor KASPERSKY INTERNET SECURITY.
€49
95
Deze aanbieding is alleen geldig via www.kaspersky.com/nl/feestdagen
www.kaspersky.com/nl
Kapsersky_VIRUS.indd 1 Untitled-1 1
23-11-10 11:06 23-11-2010 15:42:01
210x297_5mm_JMP.pdf 1 23-9-2010 15:24:01
Windows®. Life without Walls™. ASUS raadt Windows 7 aan.
13,5 uur batterijtijd* voor zorgeloos mobiel werken. De nieuwste generatie Eee PC’s zijn uitgevoerd in unieke designs zodat er voor ieder gebruiksscenario een model is . De ultra dunne 1018 premium netbook is gemaakt van vederlicht aluminium en mede hierdoor maar 18mm dik en dus ideaal als kleine mobiele oplossing. De Seashell 1015 stelt je instaat om de hele dag te werken zonder hem te hoeven opladen, met de Super Hybrid Engine kan een batterijtijd behaald worden tot wel 13,5 uur*. Ook zijn alle nieuwe Eee PC’s uitgerust met USB 3.0 om 10x sneller data te kunnen versturen** en 500GB online ASUS WebStorage*** zodat je altijd en overal bij je data kan.
C
* **
Batterijtijd is afhankelijk van systeemconfiguratie en gebruik. Snelheden zijn afhankelijk van systeemconfiguratie en gebruik, snelheden kunnen variëren per model. *** Gratis 500GB ASUS WebStorage op proef. Zie www.asuswebstorage.com voor nadere details. Specificaties kunnen onaangekondigd worden gewijzigd.
M
Y
CM
MY
CY
CMY
K
Untitled-1 1
18- 11-2010 13:33:17