VALKUILEN VAN DE CLOUD. Online diensten met dubbele bodem INTERNET AAN OF UIT. Hoe sluit onze overheid het internet af? PXE-server opzetten 22

OP CD: GRATIS SCREENCAPTURE-SOFTWARE: BB FLASHBACK EXPRESS PC-ACTIVE | MEI 2011

VALKUILEN VAN DE CLOUD

SCHERM VAN DE TOEKOMST

Online diensten met dubbele bodem

Liquavista Electrowetting

18

82

247 JAARGANG 23 | 2011

OV-CHIPKAART

12

Fraudeurs worden vervolgd

VERBERG UW DATA

78

Wees de overheid te slim af

SECURITYPROBLEMEN? 44 VALKUILEN VAN DE CLOUD | SCHERM VAN DE TOEKOMST | INTERNET UITZETTEN | IPV6-TUNNELS

Doe een systeemcheck-up

WIRESHARK (2)

52

Grondige netwerkanalyse

LINUX-TEKSTEDITORS

40

Tools voor gevorderden

ABORT, RETRY, FAIL

14

Fout in wachtwoordsysteem

WIJ VAN WC-EEND...

16

Valse claims zonne-oplader

PHOTOSTUDIO PRO

INTERNET AAN OF UIT Hoe sluit onze overheid het internet af? 58

34

Krachtige beeldbewerker

BESTANDSBEHEER

36

Alternatieven voor Verkenner

HAAL MEER UIT WORD 48 Slimmer met beelden

IPV6

62

Het Lab graaft tunnels

BOOTEN VIA HET NETWERK

VUNZIGE PLAATJES OPSPOREN

PXE-server opzetten

22 GRATIS FILEMANAGERS FreeCommander XE DropIt 1.6 Tabblet Free 2.0.1 Advanced Renamer 2.74 TeraCopy 2.12 DiffMerge 3.3.0

Porn Detection Stick schoont uw pc op

32 SOFTWARE Gratis: BB FlashBack Express HTML-Kit 292 Delphi XE Starter Edition (60 dagen versie) Gratis: Copernic Desktop Search Home Edition XUS Desktop 1.2.48

CodedColor PhotoStudio Pro 6.1

Gratis: Opera 11.01 Gratis: Internet Explorer 9 NL Gratis: Mozilla Firefox 4.0 NL Gratis: 7-zip 9.20 Gratis: FastStone Image Viewer 4.3 PDFCreator 1.2.0

WWW.PC-ACTIVE.NL NR. 247

JAARGANG 23 | MEI 2011

€ 6,99

Word abonnee en betaal slechts € 3,86 per nummer!

DIGITAAL EN ANONIEM GELD OVERMAKEN MET BITCOIN 100 Cover-Def.indd 1

15-04-2011 13:31:33

NEEM EEN VOORDELIG

ABONNEMENT ESS K EXPR C A B H S BB FLA WARE: T M VANT F R O E -S E H R U C T S MSing EENCAP OtaEEKleO T TIS SCR ctrowett E A N R D E G L : I 18 Liquavis OP CD VALKU LOUD

E Cmet VnAlinNe dD iensten

PC -ACT

O bodem dubbele

82

EI 2011 IVE | M 247 JAARGAN G 23 | 2011

12 KAART lgd OV-CHIP worden vervo urs 78 Fraude ATA G UW D slim af R E B R VE eid te e overh 44 Wees d MEN? ROBLE -up P Y IT R ck SECU emche n syste 52 Doe ee ) (2 HARK se S ly E a n IR a W erk ige netw 40 Grond ORS E T S DIT n K E -T X e LINU orderd oor gev 14 Tools v IL A F , Y , RETR rdsysteem T R O B A oo wachtw 16 Fout in 58 END... -E C W r e N d A la V p -o e WIJ n n o laims z 34 Valse c PRO STUDIO r PHOTO beeldbewerke ge 36 Krachti ER SBEHE er D n n N e A T rk Ve BE S en voor v e ti a 48 Altern WORD EER UIT HAAL M et beelden er m 62 Slimm

VALKUIL

T E N R E INT OF UIT AAN

3 6 KOR % T ING

EN VAN

heid ze over n o t i lu Hoe s ernet af? het int

VAN HERM UD | SC

DE CLO

DE TOE

KOMST

|

b graaft Het La

tunnels

ETTEN ET UITZ

INTERN

IPV6

TJES E PLAA REN G I Z N VU k OPSPO

n Stic etectio Porn D ont uw pc op scho

N VIA BOOTEETWERK HETervNer opzetten

32

PXE-S

22

|

GRATIS NAGERS A FILEM ander XE

NNELS

IPV6-TU

m FreeCom 6 DropIt 1. ee 2.0.1 Fr t le 2.74 bb Ta Renamer Advanced 2.12 TeraCopy 3.3.0 ge DiffMer

. 247

CodedC

ARE ess SOFTW FlashBack Expr is: BB Grat t 292 HTML- Ki Starter Edition Delphi XE versie) n ge (60 da pernic Desktop Gratis: Co me Edition Ho ch ar Se 2.48 sktop 1. XUS De

oStudio olor Phot

Pro 6.1

1 era 11 .0 NL Gratis: Op rnet Explorer 9 te NL Gratis: In illa Firefox 4.0 oz M : is Grat zip 9.20 Gratis: 7- Stone Image st Gratis: Fa 3 Viewer 4. 1.2.0 ator PDFCre

R LD OVE E G M E ONI EN AN L A A T I DIG

.NL NR C-ACTIVEEI 2011

WWW.P

NG 23

JAARGA Betaa

|M

€ 3,89 l slechts

per numm

er als u

€ 6,99

een abon

ne me nt

OI T BITC E M N MAKE

neemt

N 2011

13-04-

13:17:08

indd 1

ver-Def.

100 Co

EEN JAAR LANG PC-ACTIVE VOOR MAAR € 42,50 IN PLAATS VAN € 66,– 11-04 PCA247 EW kanskado lexmark.indd 2

15-04-2011 07:15:47

G

SLECHTS € 3,86 PER NUMMER!

Bent u een fanatieke computergebruiker en bent u niet bang voor een stukje techniek? Vormt u graag uw eigen mening op basis van de uitgebreide testen en achtergrondverhalen? Dan is pc-active het computermagazine voor u!

Ga naar www.pc-active.nl/abonneren 11-04 PCA247 EW kanskado lexmark.indd 3

15-04-2011 07:16:24

INHOUD 58 INTERNET AAN OF UIT Hoe sluit onze overheid het internet af? Amerika probeert een ‘kill switch’ in te voeren. In het geval van nood kan de overheid het internet uitschakelen. Onlangs probeerde de Egyptische overheid de revolutie lam te leggen door de internetverbindingen van zijn burgers af te breken. Gelukkig zijn er altijd manieren om toch nog op internet te komen. Verouderde technologie speelt daarbij een sleutelrol

Workshop en downloadverbod Op donderdag 7 april organiseerde PC-Active een workshop over ipv6. De redactie koos voor dit onderwerp omdat wij veel lezersvragen kregen over het feit dat de ip4-adressen langzamerhand opraken en hoe het nu verder moet met opvolger ipv6. Technisch redacteur Henk van de Kamer legde helder en duidelijk uit wat er zoal verandert, hoe u alvast aan de slag kunt gaan als uw huidige provider nog niets kan leveren en wat er allemaal nog meer bij komt kijken. Ook kwamen er vragen aan bod die de deelnemers vooraf konden stellen. Na de workshop hebben we nog even gepraat en geborreld en waren er veel enthousiaste reacties te horen. Al met al was het een geslaagde middag en smaakte het naar meer. Dan is de grote vraag over welk onderwerp u graag een workshop, georganiseerd door PC-Active, wilt bijwonen. Graag ontvang ik op onderstaand e-mailadres uw reactie met als onderwerpregel ‘Workshop PC-Active’. Een paar dagen later kondigde staatssecretaris Teeven van Veiligheid en Justitie een downloadverbod aan. Nee, hij maakt het downloaden niet strafbaar, maar wil de downloadsites aanpakken. Sorry dhr. Teeven, uw belofte dat u consumenten ontziet, gaat er bij mij niet in. U zet de deur wagenwijd open voor instanties als Brein die maar al te graag het downloaden van films en muziek wil aanpakken. Die openen de jacht op consumenten en zullen wat afschrikvoorbeelden stellen zoals boetes van heel veel cijfers voor de komma. Bovendien kunnen de instanties wellicht sites gaan blokkeren, waarbij providers gedwongen worden hieraan mee te werken. Ik maak me hier boos over, maar ga er vanuit dat er hiervoor geen kamermeerderheid is. Jammer, maar helaas mijnheer Teeven.

18 SCHERM VAN DE TOEKOMST Liquavista Electrowetting Voor e-readers worden steeds weer nieuwe schermtechnieken ontwikkeld. Electrowetting is er een van en moet het goedkope en snelle alternatief voor bestaande e-inkt-displays zijn.

32 VUNZIGE PLAATJES OPSPOREN Porn Detection Stick Benieuwd of partner, kinderen of zelfs uw collega’s wel eens naar porno kijken op de pc? De Porn Detection Stick claimt aanstootgevende plaatjes snel te vinden en uw computer te beschermen tegen dergelijke afbeeldingen.

Rob Coenraads Hoofdredacteur PC-Active [email protected]

101 inhoud blad.indd 4

15-04-2011 13:33:15

ALGEMEEN 6 PC-ANTWOORD 10 LINUX-NIEUWS

Linux-kernel 2.6.38

12 BEVEILIGINGSNIEUWS

OV-chipkaart

14 ABORT, RETRY, FAIL?

Fouten in wachtwoorden

16 WIJ VAN WC-EEND...

Zonne-oplader

82

62 HET LAB

VALKUILEN VAN DE CLOUD Online diensten met dubbele bodem

66 INHOUD CD 97 WAMMES’ COLUMN

Steeds meer software die traditioneel op de eigen pc draait, wordt aangeboden als dienst via internet. Software in ‘de cloud’ heeft vele voordelen, maar er zijn ook valkuilen waar u rekening mee moet houden.

IPv6-tunnel

OP PAGINA 66 VINDT U DE INHOUDSOPGAVE VAN DE GRATIS CD-ROM BIJ PC-ACTIVE

Migratie

98 COLOFON LEZERSSERVICE

HARDWARE 18 SCHERMEN VAN DE TOEKOMST


22 BOOTEN VIA HET NETWERK

PXE-server opzetten

22 BOOTEN VIA HET NETWERK PXE-server opzetten Met een PXE-server kunt u computers via het netwerk booten, bijvoorbeeld om OS-installaties of troubleshooting tools te starten. In dit artikel leggen we uit hoe dat werkt en bekijken we een voorbeeldimplementatie met een Arch Linux-homeserver

28 LINUX TERMINAL SERVER PROJECT

Thin clients gebruiken PXE

32 PORN DETECTION STICK

Vunzige plaatjes opsporen

SOFTWARE 34 CODEDCOLOR PHOTOSTUDIO PRO

Goede alternatieve fotobewerker

36 HANDIGE FREEWARE

Bestandstools

40 LINUX-TEKSTEDITORS

Gereedschap voor gevorderden

44 BEVEILIGINGSPROBLEMEN?


48 HAAL MEER UIT... WORD

Beeld en tekst bij elkaar houden

52 WIRESHARK (2)


68 BITCOIN Digitaal en anoniem geld overmaken Waarom hebben we eigenlijk nog banken nodig? Zou het niet handig zijn als iedereen online zou kunnen betalen voor goederen met een digitale en anonieme geldeenheid? Dat kan met Bitcoin.

101 inhoud blad.indd 5

ACHTERGROND 58 INTERNET AAN OF UIT

Hoe de overheid het internet afsluit

68 BITCOIN

Digitaal en anoniem geld overmaken

74 TELEGENEESKUNDE

Gezondheidszorg op afstand

78 VERBERG UW DATA


82 VALKUILEN VAN DE CLOUD


88 DNSSEC

Zelf aan de slag: zones signeren

93 PC-ACTIVE-JUBILEUM

Wie heeft er een 8086 te leen?

15-04-2011 13:34:25

INBOX MAIL VAN LEZERS

HENK VAN DE K AMER (HK)

KO VAN ZEEL AND (K Z)

REAGEREN? Surf naar ons forum ‘Ik heb een probleem!’ [1] en stel uw vraag. Dit kan zonder registratie, alleen als u op de antwoorden wilt reageren is aanmelden noodzakelijk. Vragen kunt u sturen naar [email protected].

Klaar voor ipv6? In PC-Active besteedt u regelmatig aandacht aan ipv6 en stelt u dat websites naast een ipv4- ook een ipv6-adres gaan gebruiken. Kan ik concluderen dat ik helemaal klaar ben als ik voor mijn website een AAAA record publiceer in de dns? Of vergeet ik dan iets? Joop Blok, e-mail Het publiceren van een AAAA record voor een website is inderdaad een belangrijke stap voorwaarts, maar helaas bent u er dan nog niet. Een domein heeft namelijk ook een tweetal dns-servers nodig en vaak ook een mailserver. Deze moeten allemaal ipv6 kunnen gebruiken als u bezoekers via beide internetten wilt ontvangen. Qua dns gaat dat verder dan alleen uw eigen servers. De rootservers zijn ondertussen klaar voor ipv6, maar een hele serie toplevels hebben geen enkele dns-server die over ipv6 beschikt [2]. Als een bezoeker een domein binnen zo’n toplevel wil benaderen, is dus nog een klein stukje ipv4 nodig. Om die reden reserveren alle regionale registry’s een klein deel van de ipv4-voorraad die ze nu nog hebben voor toekomstige providers. Deze kunnen

daarmee in ieder geval een aantal essentiële koppelingen – zoals dns – maken tussen de oude ipv4-wereld en hun gedwongen overstap naar ipv6 omdat er geen voorraad voor klanten meer is. Uiteraard is ook hier weer een test beschikbaar [3] om te zien in hoeverre uw domein al klaar is voor ipv6. Het systeem test www en het domein zelf op een AAAA record, evenals twee mail- en dns-servers. We vinden deze test niet helemaal correct, want er zijn genoeg redenen om slechts één mailserver te willen of bijvoorbeeld helemaal geen A of AAAA record voor het domein te publiceren. U moet de resultaten van de test dus controleren op zaken die u wel en niet nodig vindt. In de figuur linksonder is te zien dat mijn eigen domein in ieder geval op weg is, ook al ben ik er nog niet. Asterix (46.4.233.215) heeft een ipv6-adres, want hierop draait www.hetlab.tk. Alleen heb ik Bind nog niet ingesteld om ipv6 te gebruiken omdat ik dan een paar dagen in de gaten wil houden of alles blijft werken en die tijd heb ik nog niet gevonden. Voor Hoefnix I (213.239.211.171) heb ik een ipv6-segment liggen, maar ook hier heb ik nog geen tijd gevonden om het door te voeren. En zelfs als ik dat allemaal heb gedaan, blijft de derde regel een probleem, want het Tokelau-toplevel is alleen bereikbaar via ipv4 en behoort dus bij de ruim 27 % van de toplevels die nog niet klaar zijn voor ipv6 (HK).

90% klaar? In PC-Active 246 legt u uit hoe we kunnen testen [4] of ons netwerk klaar is voor de komende ipv6-dag. In de schermafdruk zie ik een 10/10 en een 9/10 staan. Kunt u uitleggen waarom op uw netwerk voor de tweede test niet de volle honderd procent wordt gehaald? Piet Claas, e-mail

Hetlab.tk is nog niet klaar voor ipv6

6

De tweede optie heeft als uitleg ‘for your ipv6 stability and readiness, when publishers are forced to go ipv6 only’ ofwel wat ik kan verwachten als er geen ipv4 meer bestaat. Dan zal alles via ipv6

PC-ACTIVE | Nr. 247 – 2011

200 INBOX.indd 6

14-04-2011 10:50:42

INBOX

moeten zoals hierboven reeds is uitgelegd. De belangrijkste dienst op het internet is dns en op dat punt kan mijn netwerk nog geen gebruikmaken van ipv6. Geen probleem, want de komende jaren zal niemand het in zijn of haar hoofd alleen om voor de NS records alleen maar ipv6-adressen te gebruiken. Ik voorspel dat dns een van de laatste diensten zal zijn waar we nog ipv4verkeer op zien. Nu is het voor mij redelijk eenvoudig om ook op dit punt een tien te halen. Ik gebruik tenslotte al mijn eigen dns-server en daar is al ipv6-toegang aanwezig. Het enige wat ik dus moet doen is Bind (de software die alles regelt) opdragen om ook ipv6 te gebruiken en vervolgens wat dingen te testen. Zoals gezegd is dns zeer belangrijk voor het functioneren van onze internetverbinding, dus botweg hopen dat het wel zal werken, is niet zo verstandig (HK).

Semi-legaal? Naar aanleiding van uw opmerking in Het Lab van februari, wil ik mijn ervaringen met Windows Vista graag delen. Waarschijnlijk werkt het ook met Windows 7. Alhoewel ik tevoren altijd met de Magical Jelly Bean Keyfinder de productcode uit C:\Windows kopieerde, heb ik zes verschillende installaties succesvol uitgevoerd met een via de Pirate Bay gedownloade installatie-dvd en de legale licentiesleutel op de oem-sticker op de kast. John van Rhijn, forum Van meerdere kanten heb ik deze suggestie gekregen. Op een installatie-dvd (nog onduidelijk is of de taal uitmaakt) schijnen alle versies aanwezig te zijn en afhankelijk van de gebruikte productsleutel worden dan bepaalde onderdelen wel of niet vrijgegeven. Ik heb echter één groot bezwaar tegen deze methode: ik moet uit een onbetrouwbare bron een installatiedvd downloaden. Ik vermoed dat deze route ook niet legaal is, want anders snap ik niet waarom Microsoft zelf niet net zoals alle Linux-distributies gewoon een versie ter download aanbiedt (HK).

Tovenaars Iedere keer als ik probeer in Windows 7 een apparaat aan mijn netwerk toe te voegen, krijg ik een foutmelding dat de xwizard.dll niet gevonden kan worden. Zoals de situatie nu is, kan ik dus helemaal niets aan mijn netwerk toevoegen. Hoe los ik dit op? Meindert, e-mail Waarschijnlijk heeft een programma tijdens zijn installatie geprobeerd een eigen versie van deze dll te overschrijven. Deze dll is daardoor mogelijk beschadigd en dus niet meer toegankelijk. De oplossing is de systeembestanden controleren, waardoor het beschadigde bestand ofwel vanuit de dll cache vervangen wordt of om de Windows 7-dvd gevraagd wordt en zo het bestand vanaf de dvd weer te installeren. De controle laat u uitvoeren door eerst onderin

het startmenu cmd in te typen, dan verschijnt in het startmenu cmd.exe. Daar klikt u op met de rechtermuistoets en kiest dan voor Uitvoeren als Administrator. In het geopende scherm typt u sfc /scannow (let op de spatie tussen sfc en de /). De systeembestanden (sfc= System File Control) worden dan op geldigheid gecontroleerd; dit kan wel even duren. Het bestand wordt dan weer gerepareerd of vervangen door een goede versie die wel werkt. Na het vervangen van een systeembestand altijd de computer herstarten zodat u zeker weet dat het op de goede manier kan worden geactiveerd (KZ).

Geen ipv6 Ik heb de test [4] uit het vorige nummer geprobeerd en krijg dan nul punten voor ipv6 terwijl ik al een tijdje een SixXS-tunnel heb draaien en ook ipv6-only websites kan bezoeken. Wat is hier aan de hand? Jaap Truffel, e-mail Een aantal mensen gaat mij dit weer niet in dank afnemen, maar ik weet absoluut zeker dat u Windows gebruikt ondanks het feit dat u dit niet vertelt. Waarom? Dit besturingssysteem is nog steeds buggy als het gaat om stabiele ipv6-toegang. Zo kan het bij SixXS gebeuren dat tijdelijk de toegang wegvalt en als Windows dit merkt, wordt het ipv6-adres gedeactiveerd. Zodra het geheel terugkomt, wordt het weer geactiveerd, maar dan is ook de volgorde waarmee A en AAAA records geprobeerd worden, aangepast. Met een SixXS-tunnel heeft een AAAA record de voorkeur als een host beide gebruikt. De ipv6-test maakt daar gebruik van. Maar zodra om wat voor reden dan ook Windows heeft besloten om de volgorde om te draaien, wordt eerst ipv4 geprobeerd, ook als er een AAAA record aanwezig is. De enige oplossing die wij kennen is of Windows herstarten of via de Network Connection Properties het vinkje bij ipv6 verwijderen, op OK te klikken en dan het vinkje weer aan te zetten met wederom een bevestiging. Daardoor gaat Windows de ipv6-instellingen aanpassen naar een situatie die vergelijkbaar is als bij het opstarten. Daarna moet een nieuw bezoek in plaats van een rode 0/10 nu weer een hogere score tonen (HK).

Strato Hidrive Ik heb via Het Lab en PC-Active een aantal keer gelezen over Strato Hidrive. Wat ik niet helemaal kan terugvinden, is of ik dit hetzelfde kan gebruiken als ik op dit moment met Dropbox doe. Op ongeveer 16 pc’s (8 Linux (Arch & Gentoo), 2 Macs (OSX 10.5) en 4 Windows-pc’s (2 windows XP en 2 windows 7)) gebruik ik nu Dropbox (betaald). Het fijne aan dropbox is dat de bestanden ook lokaal blijven staan in geval dat de internetconnectie wegvalt. Weet u of het mogelijk is om dit ook met Hidrive te doen? Liefst crossplatform, met shellscripts, batchbestanden, o.i.d.? Remy van Elst, e-mail

PC-ACTIVE | Nr. 247 – 2011

200 INBOX.indd 7

7

14-04-2011 10:51:17

INBOX

Ik ken Dropbox alleen maar van wat ik op hun website [6] lees, ofwel heb het zelf nooit geprobeerd. De indruk die bij mij ontstaat, is dat op de server een rsync daemon draait en onder de verschillende besturingssystemen een rsync client. Zo ja, dan is dit na te bouwen via een Strato Hidrive. Alleen heeft Dropbox dit allemaal uitgezocht en op elkaar afgestemd en daar betaalt u dus extra voor: $ 9,99 voor 50 GB tegen € 4,90 voor dezelfde hoeveelheid bij Strato. Het zelf iets bouwen met rsync is trouwens nog best lastig als tegelijk op meerdere systemen bestanden kunnen wijzigen. Met rsync kunnen wijzigingen naar de server of weer terug, maar is het lastig om op een juiste manier met conflicten op te lossen. Omdat Dropbox naast het synchroniseren ook spreekt over versiebeheer kan het zijn dat in plaats van rsync een Git of ander versiecontrolesysteem wordt gebruikt. Zo ja, dan is dat in ieder geval niet zo makkelijk via alleen een Strato Hidrive-account te regelen. Ik neem aan dat de vraag gesteld wordt omdat de prijzen van Dropbox te hoog worden bevonden? Zoals gezegd zit een deel van het prijsverschil in ieder geval in de fraaie interface als we afgaan op de promotiefilmpjes. Nu zouden we ook een eigen (virtuele) rootserver kunnen huren en daar een eigen Dropbox-kloon op kunnen installeren. Wij ontdekten al snel lipsync / lsyncd [7] en Sparkle [8]. Alleen kost het huren van een server ook het nodige geld en waarschijnlijk betalen we voor minder ruimte een hoger bedrag dan wat we hierboven noemden. Bij Strato kost een instapserver met 10 GB ruimte u € 6,90 per maand. Via sshfs kunnen we daar vervolgens een Strato Hidrive-account op mounten om zo meer ruimte te krijgen, maar dan zitten we al snel weer op een duurdere oplossing waar we ook nog eens het nodige zelf moeten uitzoeken. Een eigen server thuis is een optie mits u een fatsoenlijke upload hebt voor als de bestanden wat groter worden. Echter een server kost stroom en afschrijving en uit ervaring weet ik dat dit bijna net zo duur wordt als een (virtuele) rootserver huren. De conclusie mag dus duidelijk zijn: Dropbox zal voor wie de functionaliteit waardeert een bijna niet te verslaande combinatie zijn wat prijs/prestatie betreft. Wie echter meer controle wil over het systeem en ook nog andere zaken – te denken valt aan website of e-mail – wil combineren, moet zeker eens naar de alternatieven kijken. De bijna zekere meerprijs en het uitzoekwerk is het dan waard (HK).

Maffe update Mijn Windows XP-installatie wil niet meer updaten. Elke keer dat ik het probeer, krijg ik de melding ‘Service Pack 3 setup error. Access is denied’. Kan je mij een keer komen helpen? ‘Goede kennis van auteur’, e-mail Door allerlei omstandigheden duurde het even voordat ik tijd had voor een altijd gezellige dag

8

met een goede maaltijd als beloning. Ik noem geen namen, maar er zijn ook op de redactie mensen die mij uitlachen zodra ik dingen via de commandoregel doe. Dat is onder Windows nergens voor nodig is het geaccepteerde argument. Gelukkig voor mij geldt ook hier het spreekwoord ‘wie het laatst lacht, lacht het best’! Want voor bovenstaande probleem is ook onder Windows de commandline noodzakelijk. Alhoewel ik steeds minder van Windows af weet, ontdekte ik al snel de foutcode 0x80070005 die naar de oplossing [5] leidde. De eerste suggestie van downloaden en dan installeren leverde niets op, evenals de tweede suggestie. Voor de derde oplossing was de commandline en een te downloaden extra commando nodig. Of eigenlijk twee, want de in het script genoemde secedit is standaard niet aanwezig. Omdat ik deze zo snel niet kon vinden – waarom heeft Microsoft niet een fraaie repository waarin gewoon alles aanwezig is? Ik snap niet waarom goede ideeën van Linux niet gewoon gejat worden – heb ik het even zonder gedaan. En met succes, want eindelijk werd het geheel geïnstalleerd. Waar ik absoluut niet om kan lachen, was wat er vervolgens gebeurde. Als onder Linux een update misgaat, worden alle daarna uitgebrachte updates gewoon doorgevoerd. Microsoft vindt het echter normaal om gewoon te stoppen met updaten en te verwachten totdat iedereen meteen het probleem gaat oplossen. Iets wat in de praktijk natuurlijk niet zal werken en dat is de reden waarom Windows-computers zo vaak te vinden zijn in botnets. Ik startte voor de zekerheid even handmatig de Windows updatetool die vervolgens twee updates ontdekte. Ondertussen waren we al een paar uur bezig, dus dit kon er ook nog wel bij. Ik werd wat meewarig aangekeken toen ik nogmaals ging controleren, maar die blik veranderde snel toen er opeens elf updates klaar stonden. Vervolgens ontdekte het systeem er nog eens 34, één en tot slot 38 stuks waarvan de eerste correct werd geïnstalleerd om daarna gewoon af te breken. Helaas was het tijd om naar huis te gaan, maar gelukkig hoorde ik de volgende dag dat na het uitzetten – de computer is na elke serie herstart – opeens de andere wel wilde installeren. Wat ook meteen de laatste voor dat moment waren. U begrijpt dat ik in ieder geval geen enkel vertrouwen meer in Windows heb. Nu ik zelf pakketten compileer voor Arch Linux heb ik voor de gein een machine waar ik eens per kwartaal alles doorvoer. Regelmatig is dat meer dan de helft van het systeem dat vervangen moet worden, maar inclusief downloaden kost het meestal minder dan een kwartier werk. Zo kan updaten dus ook (HK).

Afdrukprobleem Sinds enige tijd gaat het afdrukken van een website mis met de melding dat Internet Explorer niet meer werkt en afgesloten moet worden. Dit gebeurt nadat ik een printer heb gekozen, waaronder het afdrukken naar

PC-ACTIVE | Nr. 247 – 2011

200 INBOX.indd 8

14-04-2011 10:51:37

INBOX

pdf. Het systeem geeft een serie suggesties als ik om een oplossing vraag, maar geen daarvan helpt. Ook op de website van Microsoft kan ik geen oplossing vinden. Upgraden naar IE 9 loste het probleem niet op. Weten jullie een oplossing? Barth Plomp, e-mail Mogelijk is er een invoegtoepassing die de boel blokkeert. Hebt u onlangs een nieuw programma geïnstalleerd met een eigen toolbar? De eerste handeling die te proberen valt, is het terugzetten van alle instellingen van IE via het menu Extra | Internetopties. In het scherm wat dan geopend wordt (zie afbeelding) kiest u voor het terugzetten van de geavanceerde instellingen via het tabblad Geavanceerd en de keuze Geavanceerde instellingen Herstellen. Is dit niet de oplossing, dan de onderste optie gebruiken om IE compleet opnieuw in te stellen. Let wel op dat alle wachtwoorden en gekozen instellingen daarmee verdwijnen, dus eerst noteren wat u wilt bewaren! Door deze rigoureuze aanpak worden alle invoegtoepassingen verwijderd, dus na afloop moet u de door u gewenste opnieuw installeren. Mogelijk ontdekt u daardoor de dader (KZ).

IE herstellen...

INFORMATIE [1] [2] [3] [4] [5] [6] [7] [8]

forum.pc-active.nl/viewforum.php?f=19 bgp.he.net/ipv6-progress-report.cgi ip6.nl/test test-ipv6.com/ www.windowsreference.com/windows-xp -sp3/windows-xp -sp3install-fails-with-error-code-0x80070005/ www.dropbox.com/ fak3r.com/geek/howto-build-your-own-open-source-dropbox-clone/ www.sparkleshare.org/

PC-ACTIVE | Nr. 247 – 2011

200 INBOX.indd 9

9

14-04-2011 10:52:03

LINUX NIEUWS

TEKST : KOEN VERVLOESEM

Opensuse 11.4 Acht maanden na Opensuse 11.3 brengt versie 11.4 heel wat vernieuwde software. Tot de updates behoren Linuxkernel 2.6.37, X.Org 1.9 en Mesa 7.9. Wie de KDE live-cd downloadt, krijgt een up-to-date KDE 4.6-desktop, terwijl de Gnome live-cd in een Gnome 2.32-desktop voorziet. U kunt ook de dvd downloaden die naast de twee grote desktopomgevingen ook LXDE 0.5 en Xfce 4.8 aanbiedt. KDE is wel de voorkeursdesktop van Opensuse, en de ontwikkelaars hebben heel wat moeite gedaan om KDE goed in Opensuse 11.4 te integreren. Zo heeft Firefox native KDE bestandsdialoogvensters en notificaties. Ook LibreOffice heeft deze bestandsdialoogvensters, evenals een Oxygen-stijl om bij de rest van uw KDE-desktop te passen. Gnome-toepassingen die in KDE draaien, gebruiken bovendien standaard het nieuwe thema oxygen-gtk. Tot de beschikbare software behoren onder andere Firefox 4.0, Adobe Flash Player 10.2, Moonlight 2.4 en OpenJDK’s Java 6 plug-in. Verder biedt Opensuse 11.4 het dtp-programma Scribus 1.4 aan, het kantoorpakket KOffice 2.3.1, de financiële programma’s Gnucash 2.4 en KMyMoney 4.5.2, het muziekprogramma Amarok 2.4.0, de cd-brander K3b 2.0 en de fotobeheerder DigiKam 1.8. OpenOffice.org heeft plaatsgemaakt voor zijn fork LibreOffice 3.3.1, waar Opensuse-sponsor Novell een belangrijke drijfveer achter is. Ook onder de motorkap is er heel wat gesleuteld, met heel wat kleine maar merkbare verbeteringen als gevolg. Zo gaat pakketbeheer merkelijk sneller. Verder heeft Opensuse nu ook een ‘rolling update’ versie waarmee u altijd de nieuwste stabiele software kunt draaien: Tumbleweed. Gebruikt u deze repository, dan hoeft u geen acht maanden meer te wachten tot de volgende Opensuse-release om nieuwere software te kunnen draaien. WWW.OPENSUSE.ORG

10

PC-ACTIVE | Nr. 247 – 2011

204 Linux nieuws.indd 10

14-04-2011 10:48:21

E-BOOKS

| HARDWARE

Joli OS 1.2 De Linux-distributie voor netbooks Jolicloud heeft zijn naam veranderd naar Joli OS en heeft versie 1.2 uitgebracht. Joli OS 1.2 is gebaseerd op Ubuntu 10.04 LTS met onderdelen van Ubuntu 10.10. De gebruikersinterface heeft een nieuwe launcher om programma’s op te starten en ondersteuning voor het delen van toepassingen, evenals een nieuwe bestandsbeheerder om lokale en externe bestanden te bekijken. Joli OS 1.2 heeft ook een gastmodus waardoor u uw vrienden kunt laten surfen op uw computer zonder ze toegang te geven tot uw sessie. Jolicloud is nu ook beschikbaar als een webapplicatie in Google Chrome via de Chrome Web Store (en dat is ook de reden voor de naamsverandering). Later komen er ook versies voor Firefox 4, Safari 5, de iPad en Android. De Jolicloudapplicatie geeft u een html5-desktop die identiek is aan de desktop van Joli OS en die u op elk apparaat in een browser kunt draaien, en in deze applicatie krijgt u toegang tot alle webdiensten die u ook op Joli OS hebt staan, zoals Gmail, Facebook, Twitter, Dropbox, enzovoorts. Dankzij Joli 0S en Jolicloud kunt u dus op al uw apparaten toegang krijgen tot dezelfde webomgeving, inclusief uw bestanden die u op Dropbox hebt staan. WWW.JOLICLOUD.COM/

Linux-kernel 2.6.38 Na amper tien weken ontwikkeling heeft Linus Torvalds versie 2.6.38 van de Linux-kernel uitgebracht. De opvallendste vernieuwing is de zogenaamde ‘wonder patch’ die ervoor zorgt dat de Linux-desktopervaring vlotter verloopt als de gebruiker ondertussen een zware taak in een terminalvenster uitvoert, zoals het compileren van broncode. Terwijl voorheen de grafische desktop vaak onwerkbaar werd in deze omstandigheden, kunnen gebruikers dankzij deze patch nog zonder problemen vlot scrollen door webpagina’s in hun browser en zelfs een film afspelen. Niet iedereen komt dit soort scenario’s tegen, maar voor Linux-ontwikkelaars betekent het dus wel een grote verbetering van hun desktopervaring. Verder zijn er natuurlijk heel wat drivers vernieuwd of toegevoegd. De DRM/ KMS graphics drivers ondersteunen nu heel wat nieuwere grafische chips, zoals de Bobcat-processoren in AMD’s Fusion-modellen en de Radeon HD 62xx tot 68xx modellen. De DRM/KMS-driver voor Intel graphics zorgt nu voor minder verbruik in Sandy Bridge-processoren. En het VFS (Virtual File System), het systeem dat programma’s gebruiken voor toegang tot bestandssystemen in Linux, is geoptimaliseerd zodat bijvoorbeeld zoeken naar bestanden 30 tot 50 procent sneller gaat. Verder werken de bestandssystemen ext3 en xfs nu sneller op ssd’s met een trage trim-functie en ondersteunt Btrfs nu naast Zlib ook LZO voor transparante compressie van bestanden. Linux 2.6.38 zal binnenkort zijn opwachting maken in Ubuntu 11.04 en Fedora 15. Wie niet kan wachten, kan natuurlijk altijd zelf de nieuwste kernel compileren. KERNELNEWBIES.ORG/LINUX_2_6_38

PC-ACTIVE | Nr. 247 – 2011

204 Linux nieuws.indd 11

11

14-04-2011 10:49:07

PRIVACY

TEKST : HENK VAN DE K AMER

ANONIEME OV-CHIPKAART De onderwerpen voor deze column worden mij letterlijk in de schoot geworpen! Dat lijkt leuk, maar het toont tevens aan hoe bedroevend het in Nederland is gesteld met onze privacy. Voor deze maand had ik al drie onderwerpen verzameld toen het bericht kwam dat de politie elf onderzoeken in behandeling heeft voor het opsporen van fraude met de OV-chipkaart. Dat is eigenlijk vreemd, want toen ik jaren geleden in Amsterdam eens aangifte probeerde te doen van een gestolen fiets, werd ik recht in mijn gezicht uitgelachen. In 1996 was het in onze hoofdstad blijkbaar al ondoenlijk om al die zaken zelfs maar administratief aan te nemen. Omdat de fraude met een OV-chipkaart zo ontzettend gemakkelijk is en ook nog eens een stuk anoniemer dan fysiek ergens een slot van een fiets doorknippen, lijkt mij dat de politie binnenkort ook Trans Link Systems (TLS) gaat uitlachen. Zo niet, dan wil ik alsnog excuses voor het gedrag van de politie in het verleden, want als ik terugkijk, is die houding van de politie een belangrijk moment geweest waarop mijn wantrouwen in de overheid is begonnen. In het nieuwsartikel stelt TLS dat het opsporen van al die fraudeurs niet gemakkelijk is. Al die fraudeurs maken namelijk gebruik van anonieme kaarten (…). U mag raden wat daar eerdaags mee gaat gebeuren. Gelukkig is er voor TLS een lichtpuntje: veel van die fraudeurs zijn namelijk zo dom om met hun pinpas te betalen. Nu kunt u nog contact betalen, maar wie weet verdwijnt dat over een tijdje. In het december/ januari-nummer schreven we al over het mogelijke verbieden van contant geld. Nu wil ik fraude absoluut niet goedpraten, maar mij bekruipt het gevoel dat men bewust een lek systeem in de wereld heeft geholpen om zo aan te kunnen tonen dat er nog veel meer privacyschendende maatregelen nodig zijn. Aan de ene kant doen we dus niets als het om fietsen gaat, maar wel als het gaat om een bedrijf dat ons willens en wetens een brak systeem door de strot heeft gedrukt. Vindt u het gek dat ik de overheid totaal niet meer vertrouw als dit soort vreemde prioriteiten worden gelegd? Het noemen van de anonieme OV-chipkaart herinnerde mij aan het feit dat ik nog steeds moest

12

uitzoeken wat er uiteindelijk is gebeurd met de studenten die met een jaarkaart – en dus een geldig vervoersbewijs – toch moesten in- en uitchecken. Op 9 december jl. presenteerde het College Bescherming Persoonsgegevens (CBP) zijn onderzoek met een paar vernietigende conclusies. Zo stelden de vervoersbedrijven dat de implementatie van het vernietigen van uw gegevens na de bewaartermijn nog steeds niet is uitgevoerd omdat ‘de discussie over de fiscale bewaartermijnen vertraging heeft opgelopen’. Vreemd, want het CBP vroeg al op 6 november 2008 aan de Staatssecretaris van Verkeer en Waterstaat aandacht voor dit belangrijke punt. Van die fiscale plicht maakt het CPB verder gehakt. Ten eerste neemt de belastingdienst genoegen met een verklaring dat u een jaarkaart hebt, ofwel de vervoersbedrijven hoeven voor deze groep geen transacties te bewaren. En voor alle andere personen heeft alleen TLS op deze grond een reden tot beperkt bewaren. De vervoersbedrijven moeten dus veel sneller hun gegevens anonimiseren en de niet-anonieme data (zoals het unieke chip-id bij elke transactie) vernietigen. Dat dit nog steeds niet gebeurt, is diep triest en krijg je als er geen zware sancties als gevangenisstraf in de wet zijn vastgelegd. Het CBP kan alleen maar blaffen en niet bijten. Vervolgens wordt beweerd dat alleen TLS persoonsgegevens beheert, maar ook dat is onzin. In de wet wordt namelijk gesproken over een geïdentificeerde of identificeerbare natuurlijke persoon. Hierboven laat TLS in ieder geval zien dat zij daartoe in staat zijn, zelfs bij een groot deel van de anonieme kaarten! Verder is er een uitspraak over wat identificeerbaar is: ‘om te bepalen of een persoon identificeerbaar is, moet worden gekeken naar alle middelen waarvan mag worden aangenomen dat zij redelijkerwijs door degene die voor de verwerking verantwoordelijke is dan wel door enig ander persoon in te zetten zijn om genoemde persoon te identificeren’. Het doorverwijzen naar TLS geeft dus meteen aan dat ook de unieke chip-id een persoonsgegeven is. En daarmee dus ook alle transacties waaronder het in- en uitchecken voor jaarkaarthouders en studenten. www.nu.nl/binnenland/2483629/politie-speurt-tientallenfraudeurs-ov-chipkaart.html

PC-ACTIVE | Nr. 247 – 2011

202 privacy.indd 12

14-04-2011 10:46:32

ijn Veel contacten lopen via m wbare u ro et b n ee is m ro aa d , te si web grijk. hostingpartner enorm belan Lara de Greef Productdesigner www.laradegreef.nl

Lara de Greef

STRATO Hosting TIS GR A erWeb Pow d. 5 mn

STRATO is vijf jaar in Nederland. Om dat te vieren is het populaire hostingpakket PowerWeb de eerste vijf maanden gratis! Op alle andere pakketten krijg je het eerste halve jaar 50% korting.

De voordelen van STRATO’s PowerWeb: Tot 2000 MB webruimte en ongelimiteerd dataverkeer Met STRATO’s LivePages een eigen website bouwen – zonder programmeerkennis CMS-ondersteuning en MySQL-databases voor individuele websites

Meer weten of direct van start? Ga naar

strato.nl / hosting Heb je vragen? Je kunt ons gratis bellen op 0800 – 265 8909

PowerWeb: 5 maanden gratis, daarna heb je een contractduur van 6 maanden voor een prijs van € 5,99/mnd. Software, Facebook- en Googletegoed pas verkrijgbaar na een upgrade. Prijs is excl. btw.

STR0511_AZ_Hosting_A4_NL 1 Untitled-2 1

14.04.11 13:23 15-4-2011 10:25:08

FOUTEN IN WACHTWOORDEN

ABORT, RETRY, FAIL? TEKST : KOEN VERVLOESEM

Allerlei online diensten die we gebruiken, zijn beveiligd met een wachtwoord. Het is belangrijk om een goed wachtwoord te kiezen, maar soms wordt die moeite die we doen ongedaan gemaakt door een fout in de afhandeling van wachtwoorden. Laten we eens kijken wat er allemaal kan mislopen.

H

et allerbelangrijkste bij wachtwoordbeveiliging is dat wachtwoorden nooit als gewone tekst mogen zijn opgeslagen. Daarom moeten wachtwoorden gehasht worden, waardoor iemand die het wachtwoordbestand te pakken krijgt daarmee nog niet de wachtwoorden weet. Maar als de gebruikte wachtwoorden nogal voorspelbaar zijn, kan iemand offline de hashes van veel voorkomende wachtwoorden berekenen en in een tabel opslaan, en daarna die hashes vergelijken met de hashes in het wachtwoordbestand om zo achter het wachtwoord te komen. Daarom wordt er in een goede implementatie een salt aan het wachtwoord toegevoegd. Toch gaat er bij het hashen en bij gebruik van een salt nog het nodige mis. Bekend is de grote kraak van de miljoenen wachtwoorden van de website Gawker in 2010. Gawker hashte wel zijn wachtwoorden, maar gebruikte hiervoor de verouderde DES-encryptie van de Unix-functie crypt(), waardoor de wachtwoorden beperkt werden tot acht tekens. Bovendien gebruikte deze hash-functie een salt van slechts 12 bits. Bij een woordenboekaanval kunnen dan wel 212 hashes overeenkomen met elk wachtwoord, wat meer rekenwerk vereist bij het kraken, maar voor korte wachtwoorden van maximaal acht letters blijft het totale rekenwerk vrij beperkt. Meestal wordt aangeraden om als salt twee keer de logaritme te nemen van het maximum aantal wachtwoorden dat ooit gebruikt moet worden.

14

203 Bugs.indd 14

Acht tekens Die limiet van acht tekens in een wachtwoord bij gebruik van de Unix-functie crypt() om wachtwoorden te hashen, was er omdat enkel het encryptiealgoritme DES werd ondersteund. Ondertussen is dit al lang niet meer zo omdat wachtwoorden van acht tekens veel te snel te kraken zijn, maar nog veel te vaak duikt deze beperking toch op. Zo werd in het begin van dit jaar bekend dat gebruikers met een account bij Amazon konden inloggen door enkel de eerste acht tekens van hun wachtwoord in te geven. Bovendien interpreteerde Amazon de wachtwoorden ook hoofdletterongevoelig, zodat iemand met het wachtwoord wachtwoord ook kon inloggen met WACHTWOORD of WacHTwoOrD. Wie dus alle moeite gedaan had om een wachtwoord van twintig letters met kleine letters en hoofdletters door elkaar te verzinnen, zag dat dit helemaal tenietgedaan werd door Amazon die dit reduceerde tot een eenvoudig te kraken (gesteld dat de gehashte wachtwoorden op straat komen te liggen) wachtwoord van acht tekens. Amazon was wel overgestapt naar een nieuw wachtwoordsysteem, maar dat gold niet voor wie zijn wachtwoord in de laatste jaren niet had veranderd! Heel veel websites of diensten zijn nog maar pas of nog niet overgeschakeld naar langere wachtwoorden. Internetprovider Xs4all bijvoorbeeld stapte pas halverwege 2009 over van DES crypt naar MD5 crypt en verhoogde de maximumlengte van een wachtwoord

PC-ACTIVE | Nr. 247 – 2011

14-04-2011 10:28:58

ABORT, RETRY, FAIL

van acht naar 32 tekens. LinkedIn accepteert geen wachtwoorden langer dan zestien tekens. Maar ook met hoofdletters en kleine letters loopt er wel eens iets mis: ING raadt zijn gebruikers aan om zowel kleine letters als hoofdletters door elkaar gebruiken, maar accepteert het wachtwoord ongeacht het gebruik van hoofdletters. Toch kan het nog veel erger: in de bootloader GRUB 1.97 zat er op een bepaald moment zo’n grote fout in de code voor de wachtwoordcontrole, dat het genoeg was om het eerste teken van het wachtwoord juist in te geven. Als het wachtwoord bijvoorbeeld wachtwoord was, liet GRUB de gebruiker toe zelfs wanneer hij enkel w, wa, wac, enzovoorts ingaf: GRUB keek blijkbaar enkel naar het eerste teken... Dat maakte het wel heel eenvoudig om te kraken!

Andere alfabetten De Unix-functie crypt() om wachtwoorden te hashen, maakte zoals gezegd vroeger gebruik van DES, dat 56-bits sleutels heeft. Van een wachtwoord dat u intypte, werden dan enkel de eerste 8 tekens gebruikt, waarvan dan nog enkel de laatste 7 bits gebruikt werden. Als u echter een ander alfabet gebruikte, bijvoorbeeld één dat meer dan 1 byte per letter nodig heeft (dat kan in de UTF-8-codering), dan werden zelfs slechts minder tekens van het wachtwoord gebruikt. Als het alfabet bijvoorbeeld 2 bytes per teken nodig heeft, zijn voor de crypt-functie slechts de vier eerste tekens van het wachtwoord belangrijk. Sommige implementaties maken echter nog grovere fouten en verwerken niet-ascii-tekens helemaal niet, zodat gebruikers die niet het Latijnse alfabet gebruiken de pineut zijn. Zo bleek vorig jaar dat de website Gawker elk niet-ascii-teken voorstelde door een vraagteken (?) voordat het wachtwoord werd gehasht. Een wachtwoord met n niet-ascii-tekens werd zo gereduceerd tot een opeenvolging van n vraagtekens, wat natuurlijk heel gemakkelijk te raden is voor een aanvaller. Gawker gebruikte voor zijn wachtwoorden de Java-bibliotheek jBCrypt, dat in versies vóór 0.3 deze ongelukkige fout bevatte. De boodschap is dus helaas: let op met speciale tekens, want heel wat programmeurs denken nog altijd dat het Latijnse alfabet het enige in de wereld is.

Crashende screenlockers Een ander risico is dat het proces dat uw wachtwoord controleert door een of andere fout kan crashen en de gebruiker daardoor toegang geeft. Vorig jaar ontdekte de website The H dat de screenlocker van de Gnome-screensaver in Opensuse 11.2 heel eenvoudig te omzeilen was. Een gebruiker hoefde enkel maar de entertoets ingedrukt houden zonder een wachtwoord in te geven. Binnen enkele seconden deed dit de Gnome-screensaver crashen en toonde dit het bureaublad. Volgens het Suse Security Team was het waarschijnlijk het gevolg van een andere bekende

| ACHTERGROND

Gnome-bug waardoor de Gnome-screensaver crasht wanneer iemand het wachtwoord vijf keer incorrect ingeeft. De screenlocker van KDE 4 had ook al eens met een gelijksoortige fout te maken. Jamie Zawinski, de maker van het ouderwetse, maar oerdegelijke xscreensaver, waarschuwde hier al jaren geleden voor: waar xscreensaver redelijk veilig is en weinig externe library’s gebruikt, zijn de schermbeveiligers van KDE en Gnome volgens hem heel wat complexer en daardoor onbetrouwbaarder. Ook de Iphone en Android hebben met problemen te maken gehad in verband met hun screenlockers. Halverwege 2008 bleek dat de screenlocker van iOS 2 heel eenvoudig te omzeilen was zonder de pincode van een Iphone te hoeven weten. U hoefde alleen maar in de screenlocker Emergency Call kiezen en dan op de homeknop te dubbelklikken. Dan had u toegang tot de Favorieten-lijst van de gebruiker, maar vandaar kon u ook doorklikken op contacten om naar de applicaties sms, Maps of Safari te gaan. Alleen als de functionaliteit van de home-knop veranderd was van de Favorieten naar Home, werkte dit niet. Eind 2010 was het weer zover: door een fout in iOS 4.1 kon de schermbeveiliging worden omzeild om telefoontjes te plegen. Opnieuw was de boosdoener de knop ‘Emergency Call’, maar daarna moest u een telefoonnummer ingeven dat geen noodnummer was (bijvoorbeeld #) en de belknop kiezen, onmiddellijk gevolgd door de lock-knop van de Iphone. Daarna kreeg u toegang tot de telefoonapplicatie en kon u bellen, contacten, favorieten en recente gesprekken bekijken, enzovoorts. Apple was echter niet de enige met dit probleem: begin 2010 werd in Android 2.0.1 op de Motorola Droid een gelijksoortige fout gevonden. Op een gelockte telefoon moest u gewoon wachten tot er een telefoongesprek binnenkwam en dan op de Back-knop drukken, waarna u toegang kreeg tot het Home-scherm en dus de hele telefoon.

Conclusie Als we kijken naar implementaties van wachtwoordbeveiliging, dan is het duidelijk dat er nog veel te veel kan mislopen. Als u dan zelf de moeite doet om een sterk wachtwoord te verzinnen, is al die moeite voor niets. De boodschap is eigenlijk dat u het beste geen te complexe systemen gebruikt, en het beste ook enkel software of websites die iets van beveiliging afweten en de state-of-the-art volgen. Dat laatste kunt u niet altijd afleiden (tenzij het om open-sourcesoftware gaat), maar het eerste wel: bijna alle Web 2.0-websites en bijna alle grafische software of embedded systemen zoals smartphones zijn zo complex en worden in zo’n drukkend tempo op de markt gebracht, dat er bijna zeker belangrijke fouten in zitten. Dit brengt ons tot een laatste raad: hergebruik nooit een wachtwoord op één systeem ook op een ander, en ga ervan uit dat elk wachtwoord ooit door een fout kan worden gekraakt of worden.

PC-ACTIVE | Nr. 247 – 2011

203 Bugs.indd 15

15

14-04-2011 10:29:29

OPLADER VIA ZONNEPANEEL

WIJ VAN WC-EEND... TEKST : HENK VAN DE K AMER

Regelmatig vermaken wij ons kostelijk met de persberichten die wij ontvangen. En alhoewel de verzender opname in deze rubriek niet altijd op prijs zal stellen, doen we exact wat zij verwachten. Namelijk de informatie aan u doorgeven. Met ons commentaar uiteraard...

G

roen doet het goed en regelmatig ontvangen we dan ook persberichten die proberen mee te liften op de aandacht voor duurzaamheid. Neem het persbericht dat we hier bespreken (zie het persbericht op de volgende pagina). Op het eerste gezicht een prima product, maar al snel ontstond bij ons het gevoel dat er gegoocheld werd met de cijfers...

Commentaar We zetten allereerst de technische gegevens uit het bericht op een rij die er voor onze analyse toe doen: • Afmetingen: 19 × 12,5 × 3 cm • Krachtige interne 13.200 mAh batterij • Zonnepaneel: 2,5 W / 15 V • DC Output: 16 V / 19 V / 21 V / 4,3 A • Oplaadtijd via zonlicht: 20-25 uur Laten we beginnen met een stukje natuurkunde dat u zich ongetwijfeld nog herinnert van de middelbare school. Eenheden als volt (V), ampère (A), ohm (Ω), watt (W) en joule (J) moeten bij de meeste lezers nog wel bekend voorkomen, maar hoe zat het ook al weer? In dit geval gaat het om een accu waar met behulp van een zonnepaneel energie wordt opgeslagen. Of – zoals we zo dadelijk zullen zien – een hoeveelheid elektronen waarmee we weer energie kunnen vrijmaken. Energie [1] meten we in joule, maar die eenheid is voor persberichten (trouwens ook in het gewone dagelijkse leven) blijkbaar een lastige. Vandaar dat de accu wordt opgegeven als mAh en dat is natuurlijk een vreemde maat. Een ampère is namelijk een coulomb (C) per seconde, ofwel 13.200 mAh komt overeen met 47.520 C. En wat mag een coulomb dan wel zijn? De coulomb is de eenheid van elektrische lading; 1 C is gelijk aan 6,241×1018 elektronen. Een abstract getal dat we het beste als volgt kunnen uitleggen aan de

16

hand van een vergelijking met water: we hebben een hoeveelheid water naar zolder gepompt om daarmee later elektriciteit op te weken via een dynamo als het moment daar is dat we het nodig hebben. De capaciteit van een accu is dus niets anders dan de hoeveelheid elektronen die we kunnen opslaan en die later weer kunnen vrijkomen. De volgende maat die we in het bericht zien is watt en die staat weer gelijk aan J/s. U ziet dat het verwarrende kWh dat we jaarlijks op onze energierekening tegenkomen ook een vreemde, niet-natuurkundige eenheid is. Want in feite is het gewoon 3,6 MJ (megajoule) aan energie die we hebben verbruikt. Een MJ is de hoeveelheid energie die nodig is om ons huis een minuut op temperatuur te houden als het vriest. Het volgende probleem in het persbericht is wat men nu eigenlijk met een 2,5 W zonnepaneel bedoelt. We weten nu dat watt gelijk staat aan J/s, maar u snapt vast ook dat die hoeveelheid natuurlijk afhankelijk is van de zon en natuurlijk hoe efficiënt deze energie in elektrische energie wordt omgezet. Waarschijnlijk bedoelt men dan ook Wp [2] (wattpiek), wat het nominaal outputvermogen van een zonnecel of zonnepaneel is, getest onder standaardomstandigheden. Anders gezegd: wattpiek is het vermogen dat het geheel afgeeft onder gestandaardiseerde omstandigheden, die zijn afgeleid van wat er uiteindelijk via de dampkring ons aardoppervlak bereikt. Hier valt nog het nodige over te zeggen, maar laten we voor de rest van ons verhaal uitgaan dat het paneeltje 2,5 W levert als de zon schijnt en deze optimaal wordt belicht.

Van J naar C Net zoals het omhoogpompen van water energie kost, geldt dat ook voor het verplaatsen van elektronen

PC-ACTIVE | Nr. 247 – 2011

206 wc-eend.indd 16

14-04-2011 10:40:01

WC-EEND

| ACHTERGROND

naar een opslagmedium waarvandaan we ze later weer kunnen laten wegvloeien. Op dat punt komt de eenheid volt om de hoek kijken. 1 V is om te schrijven naar W/A (watt per ampère) of nog beter naar J/C. Oftewel, met 1 V spanningsverschil hebben we genoeg energie om 1 C te verplaatsen. In welke tijd dat kan, is nu onduidelijk, vandaar dat alleen de combinatie W en V daarover iets zeggen. Want V×A is het vermogen in W uitgedrukt. Als we van de optimale (en u ziet dat het nu steeds onzekerder wordt, want naast de zon zijn ook opladers niet perfect) omstandigheden uitgaan, krijgen we met de genoemde 15 V en 2,5 W dus 0,167 A en dat is weer C/s. De benodigde 47.520 C kunnen we dus in dit geval in 285.120 seconden transporteren. Dat komt neer op ruim 79 uur!

Zonnepaneel Het mag duidelijk zijn dat we het genoemde aantal uren zonlicht niet kunnen narekenen met de genoemde getallen. Nu hebben we qua zonnepaneel een Het persbricht dat we aan de tand voelen aanname gedaan doordat het persbericht op dat punt onduidelijk is. Omdat de maten van het apparaat bekend zijn en conden. En dat is iets meer dan zes uur. Kortom, dan via de foto te zien is dat de bovenkant voor een groot is 79 uur zonlicht nodig (in een mooie zomermaand deel in beslag wordt genomen door het zonnepaneel, hebben we zo’n 190 uur, in februari halen we dit net kunnen we via die route ook wat rekenen. Via andere en in de maanden november tot en met januari moet bronnen [3] is bekend dat moderne, monokristallijne u twee complete maanden geduld hebben) om dan panelen een efficiëntie van zo’n 15 % halen. Van de zes uur van al dat fraais te genieten op zo’n beetje het invallende hoeveelheid zonne-energie wordt dat perzuinigste apparaat dat te koop is. centage omgezet naar elektrische energie. We zijn op de redactie zelf aan de slag gegaan en de In Nederland praten we over 1.100 W/m2, ofwel een apparaat van 19×12,5 cm vangt onder optimale ombedoeling is te demonstreren hoe het wel moet via standigheden 26 W op en zal dan 3,9 W aan elektrilosse zonnepanelen [5]. Met 36 stuks in serie geschasche energie afgeven. Dat is meer dan de 2,5 W uit keld komen we grofweg op de benodigde 19 V uit en het persbericht, maar we zien ook dat een deel van met dat aantal kan onder optimale omstandigheden het oppervlak niet meedoet en het is de vraag of men meer opgewekt worden dan er wordt verbruikt. Een de hoge kwaliteit panelen voor dit soort apparaten gemiddelde zomermaand zouden we zelfs compleet gebruikt. De Wp is trouwens gestandaardiseerd op kunnen doorwerken als we de nu gebruikte accu wat 1.000 W/m2. Maar zelfs met dit hogere getal komen zwaarder zouden maken. Maar het benodigde aantal we niet op het aantal uren dat wordt beweerd. En panelen heeft een oppervlak van bijna 1 m2! nogmaals, ook het oplaadcircuit en de accu zelf zal nog wat verliezen kennen.

Nuttig? De vraag is of het belangrijkste doel – namelijk het in de lucht houden van uw laptop – wel gehaald kan worden met deze gadget. Op een energiezuinige Asus Eee PC vinden we dat het DC-circuit (gelijkspanning) draait op 19 V en dan 2,1 A nodig heeft. Dat is in totaal 40 W (W=V×A). De benodigde spanning kan het geheel leveren en onder optimale omstandigheden is de accu leeg in 47.520 C gedeeld door 2,1 C/s is 22.628 se-

INFORMATIE [1] [2] [3]

[4] [5]

www.solaraccess.nl/zonneenergie/almanak.html www.solaraccess.nl/zonneenergie/ zoninstraling_en_opbrengst.html www.solarnrg.nl/downloads/ product/795/634309665974570000/ sharp-flyer-nu-serie-60-1210-nl.pdf www.gadgethouse.nl/online_bestellen_40095/ A-Solar-Laptop-Oplader---Titan.html my-eco-projects.nl/webshop

PC-ACTIVE | Nr. 247 – 2011

206 wc-eend.indd 17

17

14-04-2011 10:40:38

LIQUAVISTA ELECTROWETTING

COMPACTE SCHERM VAN DE TOEKOMST TEKST : HANS NIEPOTH

Voor e-readers worden steeds weer nieuwe schermtechnieken ontwikkeld. Electrowetting is er een van en moet het goedkope en snelle alternatief voor bestaande e-inkt-displays zijn.

V

oor platte schermen worden meestal lcd’s gebruikt, maar voor mobiele apparaten als e-readers zijn dit niet de meest geschikte displays. Door het gebruik van een backlight verbruiken ze relatief veel stroom en zijn ze bij fel omgevingslicht moeilijk leesbaar. Van deze tekortkomingen hebben e-inktschermen geen last. Dit soort schermen toont een rustig beeld en heeft genoeg aan het omgevingslicht om te kunnen worden gelezen. Dat betekent ook dat als er geen omgevingslicht is, het scherm niet te lezen is (net zoals bij gewoon papier). Een probleem van e-inkt is dat de schermen traag zijn in het verversen van het beeld. Zeker wat dit probleem betreft, moeten schermen zijn gebaseerd zijn op de Liquavista electrowetting-techniek (EW-schermen) uitkomst bieden.

Olie Liquavista displays zijn gebaseerd op het principe van electrowetting. Daarbij bestaat een scherm uit

een matrix van pixels waarbij iedere pixel is gevuld met water en een (zwart) gekleurde olie. Zoals alle displays is ook een Liquavista-scherm opgedeeld in verschillende lagen. Op een onderlaag van een wit polymeer, het substraat, zitten een isolator en een transparante elektrode, waarboven zich de cel met olie en water bevindt. Het geheel wordt afgeschermd door een laag glas of kunststof. In rusttoestand is de

Water

Water

homogene olielaag hydrofobische isolator transparante elektrode

wit substraat

Geen spanning betekent dat we een zwarte pixel zien

18

v

olie opzij gedrukt

hydrofobische isolator transparante elektrode

wit substraat

+ + +

Is er wel spanning, dan zien we een witte pixel

PC-ACTIVE | Nr. 247 – 2011

305 Liquavista.indd 18

14-04-2011 10:43:28

ELECTROWETTING

De mate waarin de olie wordt weggeperst, gaat gelijk op met de toegepaste spanning

electrowetting-laag hydrofoob (waterafstotend) en vormt de olie een homogene, stabiele laag tussen het water en de isolator met als gevolg dat de olie de gehele pixel bedekt. We zien dan een zwart puntje. Wanneer er een spanningsverschil wordt aangebracht door middel van een elektrode in de druppel en het oppervlak daaronder, wordt de laag juist hydrofiel (wateraantrekkend). Het water wil dan in contact komen met het isolatoroppervlak en duwt de gekleurde olie naar de zijkant van de pixel. De pixel wordt hierdoor transparant en opvallend licht wordt door de reflecterende onderlaag weerkaatst. We zien dan een witte pixel. Door de spanning en daarmee de ‘wettability’ te varieren zijn er ook grijze pixels te creëren. Natuurkundig uitgedrukt: het evenwicht tussen de elektrostatische kracht en de oppervlaktespanning bepaalt hoever de olie opzij wordt verplaatst. Zo zijn er 64 grijstinten te maken. De afmetingen van een pixel zijn slechts 160 µm2. In de transparante on-stand bedekt de olie nog twintig procent van het oppervlak, dus tachtig procent overlatend voor de reflectiviteit. De pixels zijn echter klein genoeg om de niet-reflecterende delen voor het oog te vereffenen in een gemiddeld hoge helderheid.

| HARDWARE

Schermen op basis van electrowetting hebben de voordelen van e-inktschermen, zoals een laag energieverbruik door het ontbreken van backlight en een goede zichtbaarheid in fel zonlicht. Er geldt zelfs hoe meer licht, des te sprankelender het beeld. E-wetting schermen hebben als voordeel dat ze veel sneller zijn dan de bestaande e-inktdisplays. Neemt het wisselen van een pagina op een e-inktscherm ruim een seconde de tijd, een Liquavista-display heeft een verversingstijd van 20 ms. En dat is snel genoeg voor het weergeven van video en animaties met 50 frames per seconde. De snelle schakeltijd maakt het bovendien mogelijk om een interactieve interface met aanraakinteractie, zoom en scrolling te gebruiken. Vanwege de hoge reflectiviteit (meer dan 50 %) en de goede contrastratio (meer dan 20 %) heeft Liquavista het hierboven beschreven scherm LiquavistaBright gedoopt. Het principe van electrowetting is al meer dan honderd jaar bekend. Verschillende natuurkundigen beschreven al hoe waterdruppels van vorm veranderen door spanning toe te passen op een oppervlak. Tot een praktische toepassing is het tot voor kort nooit

Verschillende schermen Er zijn verschillende soorten displays voor mobiele apparaten in omloop: reflectief, transmissief en transflectief. De e-readers werken over het algemeen met een reflectief scherm en reflecteren alleen opvallend licht. Een transmissief scherm is een display dat werkt met een lichtbron achter het scherm (backlight). Deze worden gebruikt voor laptops, monitoren en lcd-tv’s. Mobiele telefoons hebben meestal een transflectief scherm. Een transflectief scherm is een combinatie van transmissief en reflectief. In transmissieve modus wordt het vanaf de achterzijde verlicht. Bij veel omgevingslicht schakelt het scherm over op reflectieve modus en maakt het opvallende licht het beeld.

gekomen. Pas de laatste vijftien jaar is er weer aandacht voor electrowetting en het gebruik daarvan in vloeibare optische lenzen en elektronisch papier. De Electrowetting Liquavista-technologie is ontwikkeld door het in Eindhoven gevestigde Liquavista, een in 2006 zelfstandig geworden dochteronderneming

EW-schermen hoeven niet alleen in e-readers te worden gebruikt!

PC-ACTIVE | Nr. 247 – 2011


19

14-04-2011 10:44:08

HARDWARE

| ELECTROWETTING

van Philips. Het bedrijf is onlangs is overgenomen door het Koreaanse Samsung dat met de Liquavistatechnologie minder afhankelijk wil zijn van e-inkt dat de e-readers nu gebruiken. Samsung zegt de technologie ook te gaan gebruiken in tablets. Mogelijk krijgt

Bekend natuurkundig principe krijgt praktische toepassing de volgende Galaxy Tab een Liquavista-scherm mee. In tegenstelling tot apparaten als de iPad moeten de schermen dan ook in direct zonlicht goed te lezen zijn.

Kleur Behalve reflectieve monochrome schermen zijn er met het electrowetting-principe ook kleurenschermen te bouwen. Liquavista werkt op dit moment aan verschillende typen. LiquavistaColor is een variant waarbij kleurenfilters zijn geplaatst op een monochroom scherm. In de off-stand wordt zwarte olie als absorptiekleur gebruikt, maar in de on-stand vormen drie subpixels de gereflecteerde kleur. Dit systeem is het beste te vergelijken met de wijze waarmee op een lcd-scherm met schakeringen van rood, groen en blauw de pixelkleur wordt gevormd. Met dit verschil dat de lichtopbrengst veel hoger is (Liquavista claimt

een tweemaal zo hoge colour conversion factor) en dat de kijkhoek niet van belang is. De specificatie liggen op dit moment nog wel iets lager dan bij het Bright-scherm. Dit display bereikt een reflectiviteit van 20 % en heeft een contrast ratio van 14 %. Ook is het wit iets minder helder. De verwachting is dat zowel de LiquavistaBright als de LiquavistaColor nog dit jaar toegepast zullen worden in e-readers met maximaal 15 cm grote schermen. Een e-reader heeft naast het scherm uiteraard nog de nodige elektronica nodig om de beelden aan te kunnen sturen. In de Liquavista e-reader wordt dat de i.MX515-processor van Freescale, een chip die is geoptimaliseerd voor een laag energieverbruik en speciaal is gericht op tablets. De processor heeft een ARM Cortex-A8-kern, een vector floating point-eenheid en een image processing-eenheid. In snelheid is de chip op te schalen tot 800 MHz.

Meer varianten Liquavista heeft grootse plannen en werkt verder aan een tweede methode om een full colour-scherm te construeren met drie gestapelde lagen. Elke laag heeft daarbij zijn eigen substraat, elektrodes en pixels en elke laag is onafhankelijk aan te sturen. De kleurstof die in de olie is opgelost, bepaalt nu de kleur in de off-stand waarbij de olie de hele pixel bedekt. In deze architectuur worden de subtractieve kleuren cyaan, magenta en geel gebruikt, zoals een kleurenprinter de

E-inkt: de ‘oude’ techniek Tot nu is e-inkt de meest gebruikte techniek voor e-readers. Een e-inktscherm bestaat uit drie lagen. De middelste laag bevat in een polymeer zwevende minicapsules die gevuld zijn met witte en zwarte pigmentdeeltjes. De zwarte deeltjes hebben een hebben een negatieve elektrische lading, de witte deeltjes zijn positief geladen. Deze middelste laag wordt ingeklemd door twee elektrisch geleidende lagen. Door de spanning te variëren draaien de bolletjes en wordt de tekst gevormd. De drie lagen samen zijn ongeveer twee keer zo dik als normaal papier. De pigmenten reflecteren het omgevingslicht en zijn daarom ook in zonlicht goed te lezen. In het donker is een lichtbron nodig is. Daarom zijn sommige e-inkt-displays ook uitgerust met een extra achtergrondverlichting. De techniek heeft een gering energieverbruik, omdat alleen het wisselen van de pagina’s energie kost. Het tonen van beeld zelf kost geen energie. Ander voordeel is dat het beeld onder veel grotere hoeken is te bekijken dan bij een lcd-beeldscherm. Nadeel van de techniek is dat het opbouwen van Het principe van een pagina vrij lang duurt. e-inktschermen

20

PC-ACTIVE | Nr. 247 – 2011


14-04-2011 10:44:26

ELECTROWETTING

Eenlaagsarchitectuur met zwarte olie en rgb-kleurenfilter

| HARDWARE

Snelle optische schakelaar maakt projectie van bewegende beelden mogelijk

kleuren samenstelt (zie de afbeelding). De middelste magenta-laag zit weliswaar omgekeerd tegenover de onderste cyaan-laag, maar omdat de oppervlaktespanning vele malen sterker is dan de zwaartekracht is dit niet van invloed. Omdat er hierbij geen subpixels en geen kleurenfilters nodig zijn is de colour conversionfactor drie maal beter dan bij de eenlaagsarchitectuur. Het kleurengamma van een EW-scherm is breder dan van een reflectief lcd-display, maar nog wel kleiner dan van de crt-buis. Zie de afbeelding van het kleurenspectrum dat het menselijk oog kan waarnemen en dat de verschillende schermtechnieken kunnen weergeven. Een andere variant waaraan druk wordt gewerkt, is LiquavistaVivid met een transflectief scherm (zie het kader ‘Verschillende schermen’), dat zowel buiten in het zonlicht is te lezen als binnen in het donker. In deze techniek is een gedeelte van de pixel transmissief gemaakt. De reflectieve modus is monochroom (zwart-wit), waarbij Liquavista zegt een reflectie van minimaal 40 % en contrastratio van minimaal 15 % te behouden. De transmissieve modus is gebaseerd op een Field-sequential Colour Illumination-systeem, waarbij rode, groene en blauwe backlights zeer snel achter elkaar worden geactiveerd en voor de kleur zorgen. Door het ontbreken van polarizers en een kleurenfilter moet het scherm veel energiezuiniger worden dan een vergelijkbaar lcd-backlight. Ten slotte kunnen we ook nog een onbreekbaar en buigzaam display tegemoet zien. Het voordeel van een electrowetting-scherm boven lcd is dat er geen

Het kleurenspectrum dat het menselijk oog kan waarnemen, met daarin het bereik van een EW-scherm

gelijkmatig elektrisch veld tussen de voor- en achterplaat hoeft te staan en de grotere afstand van 50 µm tegen 5 µm bij lcd veel meer tolerantie geeft.

INFORMATIE Toekomstmuziek: drielaags architectuur met cyaan, magenta en geel dyes

Liquavista www.liquavista.com

PC-ACTIVE | Nr. 247 – 2011


21

14-04-2011 10:44:50

ZET UW EIGEN PXE-SERVER OP

BOOTEN VIA HET NETWERK TEKST : FILIP VERVLOESEM

Met een PXE-server kunt u computers via het netwerk booten, bijvoorbeeld om OS-installaties of troubleshooting tools te starten. In dit artikel leggen we uit hoe dat werkt en we bekijken een voorbeeldimplementatie met een Arch Linux-homeserver.

D

e PXE-specificatie beschrijft een standaardmethode om computers te booten via een netwerkkaart. Dit gebeurt vóór het klassieke bootproces (waarbij de mbr van de harde schijf wordt ingelezen en vervolgens een bootloader wordt geladen), wat meteen ook de naam verklaart: Preboot eXecution Environment. Het PXE-bootproces verloopt volledig onafhankelijk van al dan niet aanwezige opslagmedia zoals een harde schijf. De benodigde bootcode bevindt zich dus in een rom-chip op de netwerkkaart zelf. Op die manier kunt u zelfs een computer zónder harde schijf, dvddrive of usb-stick booten. De enige voorwaarde is dat uw netwerkkaart over de PXE-bootcode beschikt (geen probleem voor computers van de laatste tien jaar) én dat die ook ingeschakeld is (wat standaard zelden het geval is). Activeer dus eerst in het bios de optie Onboard LAN Boot en controleer achteraf of Network boot vooraan in de opstartvolgorde staat. PXE wordt hoofdzakelijk gebruikt in (grote) bedrijfsomgevingen, maar ook voor thuisgebruik zijn verschillende toepassingen denkbaar: - OS-installaties: zo kunt u bijvoorbeeld een netbook (her)installeren zonder dat u een externe dvd-drive hoeft aan te sluiten of een usb-stick voor de installatie moet aanmaken, meerdere installaties gelijktijdig opstarten of uw installatiemethode automatiseren. - troubleshooting/special purpose tools die low level toegang nodig hebben tot uw bootschijf. Denk aan System Rescue CD en Trinity Rescue Kit (reparatie van een gecrasht systeem) of FOG en Clonezilla (back-up en herstellen van systeempartities). Dankzij PXE hoeft u geen cd’s te branden en zijn de tools tóch beschikbaar voor al uw computers. - diskless thin clients: als u een mediaspeler of browser in kioskmodus via PXE start, heeft de client geen

22

306 PXE.indd 22

harde schijf meer nodig. En omdat u slechts één image op de PXE-server hoeft te installeren en updaten, is het opzetten van meerdere identieke clients kinderspel.

Protocols Het PXE-bootproces bestaat uit verschillende stadia en gebruikt daarbij verschillende netwerkprotocollen. Om te beginnen verstuurt de PXE boot agent een dhcp-request: de dhcp-server zal die beantwoorden met het ip-adres, het netmask, de gateway en de dns-server(s) voor de client. Voor een PXE boot is dat echter nog niet genoeg: de client moet ook weten waar hij de boot images kan ophalen. Daarvoor biedt de dhcp-server twee extra configuratie-opties: de server die de boot images bevat (optie 66, tftp-server) en de exacte locatie van het gewenste boot image (optie 67, bootfile-name). Met die informatie kan de client via tftp (een eenvoudige versie van ftp, zonder authenticatie) de bootloader ophalen en een besturingssysteem via het netwerk booten. Vooral bij grotere images worden vaak nog andere protocols (zoals smb of nfs) gebruikt om later in het bootproces de benodigde bestanden op te halen. Bij de ingebouwde dhcp-server van consumentenrouters kunt u helaas de benodigde opties 66 en 67 niet instellen. In de meeste gevallen zit er dus niet anders op dan de dhcp-server van uw router volledig uit te schakelen en op uw PXE-server zowel een dhcp- als tftp-server op te zetten. Let wel goed op als u de dhcp-server van uw router uitschakelt: machines zonder statisch ip-adres zullen na de eerstvolgende (re)boot niet meer op uw netwerk kunnen totdat de dhcp-server op uw PXE-server actief is. Het kan dus zeker geen kwaad om even op alle machines een statisch ip-adres in te stellen!

PC-ACTIVE | Nr. 247 – 2011

14-04-2011 10:32:08

PXE

Dnsmasq Voor onze PXE-server gebruiken we een Arch Linux homeserver met dnsmasq. U kunt de instructies natuurlijk ook volgen met Henks VirtualBox image van Arch Linux of op een andere Linux-distributie. Dnsmasq is een daemon die zowel dns-, dhcp- als tftp-services aanbiedt binnen uw netwerk. Zo kunt u een PXE-server opzetten zonder u te hoeven verdiepen in afzonderlijke daemons voor de verschillende services. Om te beginnen installeert u dnsmasq: $ pacman -S dnsmasq Open nu het bestand /etc/dnsmasq.conf om dnsmasq verder te configureren. De beschikbare configuratieopties zijn hier vrij goed gedocumenteerd: bij onduidelijkheden kunt u nog steeds de manpage raadplegen (man dnsmasq). We beginnen met de configuratie van dhcp, met name de range van ip-adressen die dnsmasq mag uitdelen. Een range van 192.168.0.50 tot en met 192.168.0.150 definieert u als volgt: dhcp-range=192.168.0.50,192.168.0.150,12h

| SOFTWARE

Doet u dat niet, dan beschouwen de dhcp-clients de PXE-server als default gateway en dat zal (zonder verdere configuratie) niet werken! Start nu dnsmasq op en test op een client of u een ip-adres krijgt van de server en of de default gateway correct staat ingesteld (zie het kader): $ /etc/rc.d/dnsmasq start

Test dhcp-request

dhcp-request ip-configuratie Default gateway

Windows ipconfig /renew ipconfig ipconfig

Linux dhclient eth0 ifconfig eth0 netstat -rn eth0

U kunt ondertussen in dnsmasqs logfile opvolgen wat er precies gebeurt op de server: zie het volgende kader voor een voorbeeld.

Dnsmasq logfile opvolgen Let op dat u geen enkel ip-adres uit die range gebruikt voor een statische ip-configuratie in uw netwerk, anders bestaat de kans dat twee machines hetzelfde ipadres gebruiken! De derde parameter (hier 12h) duidt de lease time aan, ofwel hoe lang de dhcp-server een bepaald ip-adres reserveert voor een bepaalde client (hier 12 uur). De lease time is vooral belangrijk in grote netwerken met meer potentiële hosts dan beschikbare ip-adressen. In uw thuisnetwerk is het wellicht handiger dat elke host steeds hetzelfde ip-adres krijgt: daarvoor stelt u de lease time in op infinite. U kunt ook zélf een specifiek adres reserveren voor een bepaalde client met de optie: read-ethers Vervolgens maakt u een bestand /etc/ethers aan met een lijst van mac-adressen en gewenste ip-adressen, bijvoorbeeld: 00:1b:fc:86:79:f1 192.168.0.4 Als u ook gebruik wilt maken van dnsmasqs dnsfunctionaliteit, vult u in de tweede kolom een hostname in plaats van een ip-adres in: 00:22:20:01:98:79 hercules En voegt u de host in kwestie met het gewenste ipadres toe aan /etc/hosts: 192.168.0.7 hercules Het voordeel van de tweede methode is dat u vanaf elke client in het netwerk de andere clients ook via hun hostname kunt benaderen. Vergeet ook niet het ip-adres van uw router in te stellen: dhcp-option=option:router,192.168.0.1

$ tail -f /var/log/daemon.log | grep dnsmasq Mar 12 16:49:04 pogoplug dnsmasq-dhcp[31148]: dhcpDISCOVER(eth0) 00:22:20:01:98:79 Mar 12 16:49:04 pogoplug dnsmasq-dhcp[31148]: dhcpOFFER(eth0) 192.168.0.7 00:22:20:01:98:79 Mar 12 16:49:04 pogoplug dnsmasq-dhcp[31148]: dhcpREQUEST(eth0) 192.168.0.7 00:22:20:01:98:79 Mar 12 16:49:04 pogoplug dnsmasq-dhcp[31148]: dhcpACK(eth0) 192.168.0.7 00:22:20:01:98:79 hercules

TFTP Werkt uw dhcp-server, dan is het tijd voor de volgende stap: tftp activeren. Om te beginnen maakt u de directory /tftpboot aan, waarin alle PXE boot images terecht zullen komen: $ mkdir /tftpboot $ chown nobody:nobody /tftpboot Vervolgens voegt u de volgende opties toe aan /etc/dnsmasq.conf: enable-tftp tftp-root=/tftpboot tftp-secure pxe-prompt="PXE boot from pogoplug, press F8 for menu.", 10 pxe-service=x86PC, "Boot from local disk" pxe-service=x86PC, "System Rescue CD 2.01", sysresccd/pxelinux Voor elke entry in de PXE-bootloader moet u een afzonderlijke pxe-service definiëren. Als voorbeeld nemen we een entry om van de lokale schijf te booten en een tweede om System Rescue CD te starten. Met de optie pxe-prompt kunt u een eigen tekstbericht weergeven in de PXE boot agent en de gewenste timeout instellen (hier 10 seconden). Als de gebruiker

PC-ACTIVE | Nr. 247 – 2011

306 PXE.indd 23

23

14-04-2011 10:32:36

SOFTWARE

| PXE

System Rescue CD booten via PXE: een handige troubleshooting tool

na die timeout geen keuze heeft gemaakt in de PXEbootloader, wordt de eerste entry geboot. Herstart dnsmasq om de wijzigingen door te voeren: $ /etc/rc.d/dnsmasq restart Als u nu een client boot via PXE, moet u de PXEprompt zien en (na een druk op F8) de verschillende entries van de PXE-bootloader. Voorlopig kunt u nog niets booten, maar dat lossen we onmiddellijk op!

NFS We hadden reeds een boot entry voorzien voor System Rescue CD zonder de benodigde bestanden klaar te zetten. Kopieer dus de inhoud van de live-cd (zie download-link in hyperlinks) naar /tftpboot: $ mount -o loop systemrescuecd-x862.0.1.iso /mnt/iso/ $ mkdir /tftpboot/sysresccd $ cd /tftpboot/sysresccd $ cp /mnt/iso/bootdisk/* . $ cp /mnt/iso/isolinux/* . $ cp /mnt/iso/sysrcd.* . Nu moet u nog een pxelinux.cfg-bestand aanmaken om de PXE-bootloader verder te configureren. De syntax van dat bestand lijkt erg op die van isolinux (de bootloader voor live-cd’s), dus nemen we het meegeleverde isolinux.cfg als uitgangspunt: $ mkdir pxelinux.cfg $ cp isolinux.cfg pxelinux.cfg/default $ chown -R nobody:nobody /tftpboot/ sysresccd Tot slot verwijst u in het bestand pxelinux.cfg/default naar uw tftp-server door het volgende toe te voegen

24

306 PXE.indd 24

aan elke regel die begint met APPEND: netboot=tftp://192.168.0.8/sysresccd/ sysrcd.dat Het PXE-bootproces verloopt nu als volgt: eerst krijgt u de menu-entry’s te zien die in /etc/dnsmasq.conf gedefinieerd werden. Voor elke entry wordt vervolgens een tweede bootloader geladen, die gedefinieerd wordt in een pxelinux.cfg/default-bestand. Op die manier krijgt u toegang tot System Rescue CD’s eigen boot menu. Nog een tip: het downloaden van grotere images via tftp-protocol duurt redelijk lang. Dat lost u op door het eigenlijke image (in dit voorbeeld sysrcd. dat) via het krachtigere NFS op te halen. In het pxelinux. cfg-bestand vervangt u de tftp-optie door: netboot=nfs://192.168.0.8:/tftpboot/ sysresccd Vervolgens installeert u de nfs-server: $ pacman -S nfs-utils ..voegt u /tftpboot toe aan het bestand /etc/exports: /tftpboot *(ro,no_subtree_check,all_ squash,insecure,anonuid=99,anongid=99) ...en start u de nfs-server: $ /etc/rc.d/nfs-server start (U moet mogelijk ook nog /etc/hosts.allow aanpassen, zie daarvoor de Arch Linux wiki-pagina.) Het verschil? Met een Gigabit-verbinding tussen de PXE-client en PXE-server duurt het ophalen van een image van 225 MB nog geen 10 seconden via nfs, tegenover 2 minuten via tftp!

PC-ACTIVE | Nr. 247 – 2011

14-04-2011 10:33:06

PXE

Thin clients Het keuzemenu bij PXE boot is leuk om te experimenteren, maar misschien wilt u steeds hetzelfde image starten op een bepaalde machine. Vooral voor een diskless thin client is dat handig, omdat u dan niet meer hoeft om te kijken naar het bootproces. Om op die manier te werken, verwijdert u in /etc/dnsmasq.conf de read-ethers-, pxe-prompt- en pxe-service-opties en voegt u het volgende toe: conf-dir=/etc/dnsmasq.d Maak nu een bestand /etc/dnsmasq.d/dhcp-hosts aan met de machines die eerst in /etc/ethers opgesomd werden. De syntax is iets anders en met de set-parameter kunt u bovendien een bepaalde tag aan bepaalde machines koppelen: dhcp-host=00:22:20:01:98:79,set:ubuntu, hercules Maak vervolgens een bestand /etc/dnsmasq.d/dhcpboot aan, waarin u de verschillende PXE boot entry’s opsomt. Met de eerder gedefinieerde tags kunt u specifieke entry’s koppelen aan specifieke machines, bijvoorbeeld: dhcp-boot=tag:ubuntu,ubuntu1104/pxelinux.0 dhcp-boot=sysresccd/pxelinux.0 In dit voorbeeld zal de host hercules (die de tag ubuntu meegekregen heeft) de eerste entry opstarten (een Ubuntu-installer), terwijl andere machines de System Rescue CD voorgeschoteld krijgen. Maar ook de individuele boot images kunt u per machine aanpassen. Stel dat u op alle machines System Rescue CD in tekstmodus wilt opstarten, behalve op één bepaalde machine. Dan maakt u voor die machine een tweede configuratiebestand aan in de pxelinux.cfg-subdirectory. Als bestandsnaam gebruikt u 01- gevolgd door het mac-adres in kleine letters en met - in plaats van : als scheidingsteken. Een voorbeeld: $ cd /tftpboot/sysresccd/pxelinux.cfg $ cp default 01-00-22-20-01-98-79 In het nieuwe bestand past u de gewenste opties aan, bijvoorbeeld om in grafische modus te starten na een time-out van 5 seconden: TIMEOUT 50 ONTIMEOUT rescuecd_xorg

| SOFTWARE

- installeer Microsofts Windows Automated Installation Kit (zie hyperlinks) - open de Deployment Tools Command Prompt via het Start Menu - voer de volgende commando’s in voor een 32-bits WinPE (vervang x86 door amd64 voor een 64-bitsversie): > copype.cmd x86 c:\winpe_x86 > copy c:\winpe_x86\winpe.wim C:\winpe_x86\ ISO\sources\boot.wim > oscdimg -n -bc:\winpe_x86\etfsboot.com c:\winpe_x86\ISO c:\winpe_x86\winpe_x86.iso

225 MB verplaatsen via nfs: 10 seconden. Met tftp duurt dat bijna 2 minuten! De WinPE-iso vindt u nu terug in c:\winpe_x86\winpe_ x86.iso en is ongeveer 135 MB groot. Voor alle zekerheid kunt u die iso even op cd-rom branden en testen of u er een pc mee kunt booten. Als dat werkt, zet u de benodigde pxelinux-bestanden klaar op uw server: - download de laatste versie van syslinux (zie hyperlinks): $ wget http://www.kernel.org/pub/linux/ utils/boot/syslinux/syslinux-4.03.tar.bz2

$ $ $ $ $ $ $

- kopieer memdisk en pxelinux naar een nieuwe subdirectory onder /tftpboot: tar xvjf syslinux-4.03.tar.bz2 cd syslinux-4.03 mkdir -p /tftpboot/w7install/pxelinux.cfg /tftpboot/w7install/files cp memdisk/memdisk /tftpboot/w7install/ cp core/pxelinux.0 /tftpboot/w7install/ cd .. rm -rf syslinux-4.03.tar.bz2 syslinux-4.03 - kopieer nu de WinPE-iso naar /tftpboot/w7install/ (met WinSCP) - kopieer ook de volledige inhoud van een Windowsinstallatie-dvd naar /tftpboot/w7install/files (met WinSCP)

De host hercules krijgt nu een aangepast bootmenu van System Rescue CD, althans indien System Rescue CD volgens /etc/dnsmasq.d/dhcp-boot gekozen wordt voor die host.

WinPE Met enige creativiteit is het ook mogelijk om Windowsinstallaties via het netwerk uit te voeren. Daarvoor gebruikt u best een minimale WinPE-iso, die u als volgt kunt aanmaken:

Met PXE en WinPE kunt u Windows volledig via het netwerk installeren

PC-ACTIVE | Nr. 247 – 2011

306 PXE.indd 25

25

14-04-2011 10:33:25

SOFTWARE

| PXE

PXE-menu met keuzemogelijkheid

- maak het bestand /tftpboot/w7install/pxelinux.cfg/ default aan met de volgende inhoud: DEFAULT w7install TIMEOUT 10 LABEL w7install MENU LABEL Install Windows 7 Home Premium LINUX /memdisk APPEND iso INITRD /winpe_x86.iso - tot slot zet u het ownership van alle bestanden goed: $ chown -R nobody:nobody /tftpboot/ w7install

writable = no guest ok = yes - start samba $ /etc/rc.d/samba start Als alles goed gaat, komt u na het booten via PXE in een minimale Windows-omgeving terecht met een opdrachtprompt. Daar kunt u met diskpart (indien nodig) uw schijf partitioneren alvorens de installer te starten vanaf de Samba-share: > net use i: \\192.168.0.8\w7install > i:\setup.exe Uiteraard kunt u de installatie via WinPE nog verder automatiseren, zoals reeds uitgelegd in PC-Active 243 en 244.

- en herstart u dnsmasq: $ /etc/rc.d/dnsmasq restart

INFORMATIE Ook de eigenlijke installatiebestanden zal WinPE via het netwerk op uw PXE-server ophalen, dus moet u Samba installeren: $ pacman -S samba - voeg het volgende toe aan het bestand /etc/samba/ smb.conf: [w7install] path = "/tftpboot/w7install/files"

26

306 PXE.indd 26

System Rescue CD www.sysresccd.org/Download NFS op Arch Linux https://wiki.archlinux.org/index.php/NFS Microsoft WAIK go.microsoft.com/fwlink/?LinkId=136976 syslinux www.kernel.org/pub/linux/utils/boot/syslinux

PC-ACTIVE | Nr. 247 – 2011

14-04-2011 10:33:53

IS GEWOON ALTIJD EN OVERAL BESCHIKBAAR: MAIL & AGENDA ONDERWEG Probeer de eerste maand gratis Inclusief Outlook 2010

Bel 0900 - 5 15 15 15 [lokaal tarief] of ga voor meer informatie naar: www.is.nl/mail

IS - advertentie Untitled-3 1 - 20110309-3.indd 1

10-3-2011 8:24:07 10-3 - 2011 10:25:3 1

THIN CLIENTS GEBRUIKEN PXE EN SERVERSOFTWARE

LINUX TERMINAL SERVER PROJECT TEKST : KOEN VERVLOESEM

Wie op verschillende computers dezelfde Linux-versie wil gebruiken zonder op alle afzonderlijke systemen Linux te installeren, kan gebruikmaken van het Linux Terminal Software Project (LTSP). U werkt dan op ‘thin clients’ en de software draait op de server. De clients booten via PXE en hebben dus lokaal geen opslag nodig.

A

ls u verschillende computers steeds van hetzelfde image via het netwerk wilt laten booten – een bekend voorbeeld zijn de pc’s in een klaslokaal –, dan kunt u dat doen zoals in het artikel over PXE (zie pagina 22), maar het project LTSP (Linux Terminal Server Project) gaat nog verder: het stroomlijnt het booten van computers via het netwerk en laat ze toe om tegelijk op dezelfde server programma’s te draaien. Omdat programma’s dan niet meer lokaal draaien, kunt u als computers dan ook gewoon thin clients gebruiken. Als we in de rest van dit artikel over thin clients spreken, bedoelen we een LTSP-client van welke vorm ook, dus dat kan ook een gewone computer zijn. Voor de LTSP-server hebt u de keuze uit heel wat Linux-distributies. In dit artikel kiezen we voor Edubuntu, een variant

28

van Ubuntu die bedoeld is om in klasomgevingen te gebruiken. De Linux-clients hoeven voor Edubuntu niet krachtig te zijn: een x86-processor met een kloksnelheid van 233 MHz is al voldoende, dus u kunt hiervoor gerust wat oude computers gebruiken. Uiteraard moeten de clients ook PXE ondersteunen om te booten. De server moet krachtiger zijn, maar dit hangt af van het aantal gebruikers. Ram is daarbij heel belangrijk: Edubuntu raadt aan om 256 + (128 × aantal gebruikers) MB aan ram te hebben. Gaan de gebruikers veel grafisch zware programma’s draaien, dan mag u deze hoeveelheid gerust verdubbelen. Een x86-processor van 2 of 3 GHz zou genoeg moeten zijn om 20 clients af te handelen. Hebt u meer dan twintig gebruikers, dan is een Gigabit-netwerk wel aan te bevelen. Maar zoals zo

PC-ACTIVE | Nr. 247 – 2011

307 PXE - Koen.indd 28

14-04-2011 10:36:07

TERMINAL SERVER

vaak bij dit soort vuistregels moet u dit altijd eens in uw eigen situatie proberen. We downloaden het dvd iso-bestand van Edubuntu 10.10 en installeren die op een server. Op deze installatie gaan we niet dieper in, want die is quasi identiek aan die van Ubuntu. Let er gewoon op dat u bij de installatie-opties zeker kiest om het Linux Terminal Server Project te installeren, en selecteer bij deze optie de netwerkkaart waarmee de server een verbinding tot internet moet maken. LTSP zal de eerstvolgende beschikbare netwerkinterface gebruiken voor de toegang tot de clients. Als u de LTSP-server eenmaal hebt geïnstalleerd en er op bent ingelogd, zult u zien dat er heel wat meer software geïnstalleerd is dan in de normale Ubuntueditie, en dan in het bijzonder educatieve software. Maar de belangrijkste functionaliteit van de LTSPserver is dat er thin clients mee kunnen worden aangestuurd. Hiervoor zijn vier services noodzakelijk: dhcp, tftp, nfs of nbd en ssh. Over die eerste drie vindt u meer in het artikel over PXE. Wat de Edubuntuserver dus doet, is zoals in dat artikel uitgelegd via dhcp en tftp een Linux-distributie aanbieden zodat de thin client via het netwerk kan booten. Voor computers zonder PXE-ondersteuning is het ook mogelijk om de distributie vanaf een harde schijf, cd-rom of usb-stick op te starten. Wat daar bij LTSP nog bijkomt, is dat die Linuxdistributie (waarvan het image-bestand standaard niet via nfs maar via nbd aangeboden wordt) slechts een mini-distributie is, die ervoor zorgt dat alle programma’s op de server gedraaid worden in plaats van op de client. Bovendien zorgt die mini-distributie ook voor de ondersteuning van op de client aanwezige hardware, zoals geluid, beeld en opslagapparaten zoals een cd-romspeler. Het beeld dat u op de thin

| SOFTWARE

client te zien krijgt, verloopt over een via ssh versleutelde verbinding tussen de client en de server. Na de initialisatie krijgt de gebruiker op de thin client een login-venster te zien en daarna werkt hij op de server alsof hij op de client lokaal werkt.

Een 2 GHz cpu moet voldoende zijn om twintig clients af te kunnen handelen In veel gevallen werkt dit out-of-the-box. Sluit uw clients aan op een switch die ook aangesloten is op de interface van de LTSP-server die u in de installatieopties geselecteerd hebt. Start dan uw client op en kies als bootmodus PXE (u kunt ook in het bios opgeven dat dit de voorkeursbootmodus is). Daarna moet u te zien krijgen dat uw client een ip-adres van de dhcpserver krijgt, en dan boot een mini-versie van Ubuntu en krijgt u een loginvenster te zien. Als u tijdens de installatieopties de verkeerde netwerkinterface gekozen hebt, geen nood: open gewoon het bestand /etc/network/interfaces en verander in de volgende regels eth0 door de gewenste interface: auto eth0 iface eth0 inet static address 192.168.0.254 netmask 255.255.255.0 Daarna herinitialiseert u de netwerkinterfaces met: sudo /etc/init.d/networking restart Steeds als u het ip-adres van de LTSP-server verandert, moeten bovendien alle ssl-certificaten waarmee

Maak profielen aan voor uw gebruikers

PC-ACTIVE | Nr. 247 – 2011


29

14-04-2011 10:36:52

SOFTWARE

| TERMINAL SERVER

Beheer uw thin clients met de Thin Client Manager

de clients en server communiceren aangepast worden, anders kunnen de clients niet meer inloggen. Hiervoor voert u het volgende commando uit: sudo ltsp-update-sshkeys Wat ook nog voor problemen kan zorgen, is dat de dhcp-server van Edubuntu standaard ip-adressen uitdeelt in het bereik van 192.168.0.20 tot 192.168.0.250. Gebruikt u dit bereik al voor de andere interface (die aangesloten is op de rest van uw netwerk), dan moet u dit bereik van de dhcp-server aanpassen. Dat kan in het bestand /etc/ltsp/dhcpd.conf. Gebruikt u op uw andere interface bijvoorbeeld al het hele bereik 192.168.0.x, dan vervangt u elke 192.168.0 in dit bestand bijvoorbeeld door 192.168.1. Vergeet dan ook niet het ip-adres van de LTSP-server op die interface te vervangen door 192.168.1.254 in /etc/network/inter-

Updaten Uiteraard moet u uw LTSP-server up-to-date houden. Dat doet u zoals met elke Ubuntu-machine, en dus krijgt u normaal periodiek wel een melding te zien dat er updates beschikbaar zijn. Maar dat is niet genoeg: hoewel de LTSP-clients hun programma’s wel op de server draaien, moet de minidistributie die op de clients gedraaid wordt om te booten en voor hardwareondersteuning te zorgen ook up-to-date blijven. Vooral als de kernel een update krijgt, moet u er dus aan denken om ook de clients te updaten. Dat doet u door de volgende commando’s: sudo cp /etc/apt/sources.list /opt/ltsp/i386/ etc/apt/ sudo chroot /opt/ltsp/i386 mount -t proc proc /proc apt-get update apt-get upgrade umount /proc exit sudo ltsp-update-kernels sudo ltsp-update-image

30

faces. Na uw aanpassingen van de dhcp-configuratie herstart u de dhcp-server met: sudo invoke-rc.d dhcp3-server restart Let overigens nog met iets op: als u de primaire netwerkinterface (dus degene die niet naar de thin clients gaat) in Edubuntu op de grafische manier geconfigureerd hebt, geef dan in de instellingen ervan in dat ze ook voor andere gebruikers beschikbaar is, anders kunt u vanaf de thin clients alleen op internet als u op de LTSP-server ingelogd bent, en dat is niet de bedoeling. Merk ook op dat u op een thin client niet kunt inloggen met een gebruiker waarmee u op de server tegelijk ook al ingelogd bent. In dat geval krijgt u op de client immers een nietszeggende foutmelding.

Thin clients aanpassen De thin clients loggen standaard in een Ubuntusessie met een specifieke configuratie in, maar die configuratie is ook aan te passen. Dat kan in /var/lib/ tftpboot/ltsp/i386/lts.conf. Dit configuratiebestand moet u nog aanmaken als u de standaardconfiguratie wilt aanpassen. U kunt al uw thin clients dezelfde configuratie geven door instellingen in een sectie [default] te plaatsen, of u kunt voor elke client een aangepaste configuratie onder een eigen header plaatsen. Die header kan het mac-adres, het ip-adres of de hostnaam van de client zijn. Bij die twee laatste moet u er dan wel voor zorgen dat die client op basis van zijn mac-adres altijd hetzelfde ip-adres of hostnaam krijgt, iets wat u in /etc/dhcpd.conf respectievelijk /etc/hosts instelt. Een kort voorbeeld van zo’n bestand: [default] XKBLAYOUT=be [00:11:25:93:CF:02] LDM_REMOTECMD=/usr/bin/myloginscript LDM_ALLOW_USER=koan [00:E0:81:27:D6:AE] LDM_AUTOLOGIN=True

PC-ACTIVE | Nr. 247 – 2011


14-04-2011 10:37:28

TERMINAL SERVER

| SOFTWARE

Stel in wanneer uw gebruikers op de computer mogen

LDM_USERNAME=gebruiker1 LDM_PASSWORD=geheim1 In dit bestand geeft u in dat u de azerty-toetsenbordindeling (in België in gebruik) op al uw thin clients wilt en dat één specifieke client, aangeduid met het mac-adres, na het inloggen een specifiek script uitvoert. Hierop kan bovendien enkel gebruiker koan inloggen. Op een andere client wordt de gebruiker automatisch ingelogd, bijvoorbeeld als u de thin client als kiosk wilt inzetten die voor iedereen toegankelijk moet zijn. Om alle opties te bekijken, installeert u het pakket ltsp-docs en bekijkt u de man-pagina met man lts.conf. Er zijn echt ongelooflijk veel opties, die u zeker eens moet bekijken als u speciale wensen hebt of speciale hardware moet ondersteunen. Na het aanpassen van lts.conf hoeft u enkel de clients te herstarten.

Beheer Verdere configuratie van de desktop die de gebruikers te zien krijgen kan met het programma Sabayon, dat in het menu Systeem | Beheer | Profieleditor te vinden is. Klik op Toevoegen om een profiel toe te voegen, selecteer dan uw profiel en klik op Bewerken. Sabayon opent dan een desktop in een venster, en daarin kunt u bijvoorbeeld icoontjes op het bureaublad plaatsen of de bureaubladachtergrond vervangen. In het menu Bewerken | Vergrendelen kunt u bovendien allerlei beperkingen opleggen aan de gebruikers als u bepaalde functionaliteit wilt vergrendelen. U kunt hier bijvoorbeeld de opdrachtregel uitschakelen, de mogelijkheid om af te drukken of zelfs om bestanden op de schijf op te slaan. U kunt ook de Gnome-panelen vastzetten en instellen dat gebruikers niet kunnen afmelden of hun client afsluiten. Daarnaast kunt u ook specifieke applets in het paneel uitschakelen. Wanneer uw wijzigingen aan het profiel compleet zijn, slaat u ze op in het menu Profiel | Opslaan en sluit u het venster af. Daarna kunt u in de Profieleditor gebruikers aan een profiel toekennen: selecteer het profiel, klik op

Gebruikers en vink de gebruikers aan die dit profiel moeten gebruiken (of vink Dit profiel voor alle gebruikers instellen aan). Wilt u meer weten over de mogelijkheden, kijk dan eens op de website van Sabayon. Een ander handig programma om het gebruik in te perken is de Parental Control, in het menu Systeem | Beheer. Als u meer dan een handvol thin clients te beheren hebt, hebt u natuurlijk graag een beheerderinterface. Installeer daarvoor het pakket thin-client-managergnome, waarna u de Thin Client Manager in het menu Systeem | Beheer vindt. Het programma toont u wie er op welke LTSP-clients is ingelogd en geeft een overzicht van de processen. U kunt ook processen eindigen als er bijvoorbeeld eentje vastgelopen is, of een programma op de client uitvoeren. U kunt ook gebruikers van een afstand van hun client uitloggen als ze dit bijvoorbeeld vergeten zijn, door een klik op de knop Verbinding verbreken als u de gebruiker geselecteerd hebt.

Conclusie Edubuntu is een eenvoudige manier om met LTSP kennis te maken. Binnen no-time hebt u er een eenvoudige terminalserver mee opgezet die diensten aan thin clients aanbiedt. Dankzij het onderliggende LTSP kunt u de opstelling bovendien nog aan uw wensen aanpassen. Als u dit aanvult met de Sabayonprofieleditor, dan hebt u zo vrij eenvoudig een flexibele terminalserveroplossing.

INFORMATIE Edubuntu edubuntu.org Edubuntu Handbook doc.ubuntu.com/edubuntu/edubuntu/handbook/C/ LTSP ltsp.org/ Sabayon profieleditor live.gnome.org/Sabayon/

PC-ACTIVE | Nr. 247 – 2011


31

14-04-2011 10:37:47

PORN DETECTION STICK

VUNZIGE PLAATJES OPSPOREN TEKST : MARK GAMBLE

Benieuwd of partner, kinderen of zelfs uw collega’s wel eens naar porno kijken op de pc? De Porn Detection Stick claimt aanstootgevende plaatjes snel te vinden en uw computer te beschermen tegen dergelijke afbeeldingen.

D

iep in het hart van de ‘Mormon Corridor’ in de religieus conservatieve Amerikaanse staat Utah is het bedrijf Paraben gevestigd. Dit bedrijf heeft software voor op een usbstick ontwikkeld waarmee de computer kan worden gescand op ongewenste en verdachte afbeeldingen. Deze stick wordt door Paraben aan de mand gebracht onder de naam Porn Detection Stick. Het is een 4 GB usb-stick met ‘slechts’ 23 MB aan software. Op de usb-stick staat een uitvoerbaar bestand plus wat bijbehorende systeembestanden en een pdf-handleiding van zo’n 400 kB. Het is niet mogelijk om de software vanaf de harde schijf te starten; dat resulteert in een foutmelding. Met de software op de usb-stick kunt u de computer scannen op ‘verdachte’ afbeeldingen, oftewel porno. Nu is porno natuurlijk een veelomvattend begrip en

De software van Porn Detection Stick mag alleen vanaf de usb-stick worden uitgevoerd

32

het is aan de gebruiker zelf om aan te geven of iets wel of geen porno is: wat voor de een wel door de beugel kan, is voor de ander wellicht aanstootgevend. Daar maakt de Porn Detection Stick zelf geen onderscheid in: alle foto’s die maar enigszins een beetje blote huid bevatten, wordt door de software als verdacht gemarkeerd. Het is aan de gebruiker zelf om een schifting te maken tussen wat wel en niet kan. Daarnaast scant de software alleen op afbeeldingen, dus mogelijk aanstootgevende video’s worden niet gevonden en gedetecteerd. Via een schuifknopinstelling kan de gebruiker opgeven hoe ‘gevoelig’ de software moet scannen. Er worden geschoven tussen ‘low’ en ‘high’, waarbij bij de laagste stand minder valse positieven worden gevonden, maar bij hoog juist weer meer valse positieven. Standaard staat de software op 75. Het resultaat is dat het programma veel afbeeldingen vindt, waarvan een groot deel dan onterecht als porno wordt aangemerkt. Omdat de software vanaf de usb-stick draait en alle gevonden afbeeldingen tijdens het scannen naar de usb-stick zelf worden gekopieerd om later te kunnen bekijken, gaat het scannen ontzettend traag. Tijdens ons gebruik van de Porn Detection Stick duurde het scannen van een 150 GB grote systeempartitie maar-

PC-ACTIVE | Nr. 247 – 2011

308 Porn Detection Stick.indd 32

14-04-2011 10:06:42

PORN DETECTION STICK

liefst twee uur. Dat is erg lang, maar daarbij moeten we wel opmerken dat ook bestanden uit zip- en rarbestanden naar de usb-stick worden gekopieerd en wordt ook de inhoud van de prullenbak aan een zoektocht onderworpen. Na het scannen had de software op onze pc in totaal ruim 16.000 afbeeldingen gevonden en daarvan werden er 40 als ‘highly suspect’ en 27 als ‘suspect’ gemarkeerd. Na de scan worden de gevonden bestanden gecategoriseerd in verschillende mappen, die u dan vanuit de Porn Detection Sticksoftware kunt bekijken. Aan de rechterzijde worden de afbeeldingen vervaagd weergegeven, zodat u niet meteen geconfronteerd wordt met schunnige plaatjes. Door aan de rechterzijde een afbeelding te selecteren, kunt u linksonder in het voorbeeld met een vergrootglas over de voorvertoning van de afbeelding bewegen, waarbij het gedeelte in het vergrootglas dan verscherpt wordt getoond. Aan de vervaagde afbeeldingen kunt u echter meestal al zien of het om aanstootgevend materiaal gaat of niet.

Prestaties De Porn Detection Stick presteert matig. Bij de standaardinstelling van 75 procent gevoeligheid plaatst de software vrijwel de meeste afbeeldingen die een huidskleur bevatten – en die vindt hij zelfs in afbeeldingen als pictogrammen, schermafdrukken van Windows-programma’s en logo’s – worden door de Porn Detection Stick in de map ‘highly suspect’ geplaatst. Als we echter goed kijken naar de resultaten, dan is op zich wel te begrijpen waarom de software deze afbeeldingen als verdacht markeert, maar het wordt dan ook meteen duidelijk wat het criterium is waarop de Porn Detection Stick controleert: alles wat maar enigszins lijkt op bloot en – om het maar even botweg te zeggen – eruit ziet als een kier of spleet, wordt door de software als porno aangemerkt. Bovendien

| HARDWARE

Instellingen van de Porn Detection Stick

ziet de Porn Detection Stick sommige afbeeldingen die wel degelijk echte porno bevatten, dan weer niet als zodanig, maar dat is dan weer afhankelijk onder welke hoek de bewuste foto is genomen. Kortom, erg betrouwbaar is de zoeken vindmethode van Porn Detection Stick niet.

Conclusie Wie echt wil zoeken naar porno op de computer, kan beter in Windows een zoekopdracht doen naar alle grafische bestandsextensies en dan bij de zoekresultaten handmatig door de afbeeldingen scrollen, of de preview-weergave aanzetten. Alhoewel alle afbeeldingen dan meteen in beeld komen zonder dat ze vervaagd zijn, hebt u wel sneller een overzicht en kunt u aanstootgevende afbeeldingen verwijderen. Voor de prijs van US$ 99 voor de Porn Detection Stick (omgerekend € 70) koopt u beter tien lege 4 GB sticks of investeert u in een goed kinderslotprogramma, zodat pornografische afbeeldingen gewoon niet op uw computer kúnnen belanden.

INFORMATIE Paraben’s Porn Detection Stick

De resultaten van de eerste scan: volgens Porn Detection Stick zou dit porno zijn

Prijs Systeemeisen Informatie

$ 99 (≈ € 70) Windows XP/Vista/7 www.paraben.com

PC-ACTIVE | Nr. 247 – 2011

308 Porn Detection Stick.indd 33

33

14-04-2011 10:07:44

ONBEKEND, MAAR ZEER EFFECTIEF

CODEDCOLOR PHOTOSTUDIO PRO TEKST : JAN ROZ A

Wel eens gehoord van CodedColor PhotoStudio? Waarschijnlijk niet, en dat terwijl dit programma zich goed staande houdt tussen de gevestigde namen van fotobewerkers.

W

ie foto’s op zijn computer heeft staan, gebruikt ongetwijfeld ook een programma waarmee de foto’s zijn te bewerken. Voor hele eenvoudige bewerkingen zijn gratis programma’s als Irfanview prima geschikt, maar voor uitgebreidere bewerkingen wordt vaak een beroep gedaan op software als Photoshop of Paintshop. Wilt u uw foto’s dan ook nog catalogiseren of delen met anderen via webalbums, dan hebt u weer een ander programma nodig zoals bijvoorbeeld ACDSee. Het mooie van Codedcolor Photostudio Pro is dat het vele mogelijkheden van Irfanview, Paintshop en ACDSee combineert in een enkel programma. Het heeft bovendien functies die u in de andere programma’s niet tegenkomt zoals het aanmaken van zip-bestanden, het branden van cd’s en dvd’s en het samenstellen van fotoboeken en panoramafoto’s. Wat uiterlijk betreft, wijkt dit programma nogal af van de concurrentie, maar het went snel. Het hoofdvenster bevat zowel een grote afbeelding van de geselecteerde foto als een strook met verkleinde afbeeldingen van alle andere foto’s in dezelfde map. Daarnaast ziet u hier een soort Verkennervenster waarmee u snel door uw harde schijf kunt navigeren. Daarnaast worden in een klein venster de eigenschappen van de gese-

lecteerde foto getoond (bestands- en exif-informatie). Dit laatste venster is een multifunctioneel venster want via kleine tabs boven in dit venster kan hier ook een histogram worden getoond met knoppen voor de meest gangbare bewerkingen of een miniatuurweergave van de geselecteerde foto. De inhoud van het grote venster wordt gestuurd via tabbladen bovenin het scherm waarin elke geopende foto een eigen tabblad krijgt. Zodra u een foto hebt geopend om deze te bewerken verschijnen in dit tabblad zowel links als boven in het venster knoppen voor alle bewerkingsfuncties. Deze bewerkingsfuncties zijn grotendeels gelijk aan de functies die u aantreft in bijvoorbeeld Paintshop. Functies die velen misschien wel kennen van Irfanview zijn de Batch-functies, waarmee een hele serie foto’s in een keer hernoemd of geconverteerd kan worden. Ook Codedcolor Photostudio heeft deze functies en deze zijn zelfs nog uitgebreider: u kunt hier vijftien verschillende acties over een serie foto’s uitvoeren waaronder het plaatsen van watermerken, het aanpassen van de exif-gegevens, het plaatsen van kaders en schaduwen, het onderdrukken van ruis en het aanpassen van de kleurbalans.

CONCLUSIE Codedcolor Photostudio is een prima programma dat na een korte gewenningsperiode prettig werkt. Het bevat eigenlijk alle functionaliteit die u maar kunt wensen. Mooi is dat dit programma 30 dagen werkt met alle mogelijkheden actief en dat het na die tijd automatisch over gaat in de gratis Basicversie. Deze gratis uitvoering moet het dan wel doen zonder de batch-functies en nog enkele andere mogelijkheden van de Pro-versie.

Codedcolor Photostudio 6.1 Auteur Toepassing Systeem Registratie

34

1STEIN GmbH Fotobewerking Windows NT/XP/Vista/7 € 49

PC-ACTIVE | Nr. 247 – 2011

400 Software A.indd 34

14-04-2011 10:21:27

SOFTWARE

KRACHTIGE LOKALE ZOEKMACHINE

DESKTOP SEARCH

D

e naam Copernic wordt al jaren geassocieerd met zoekmachines; aanvankelijk alleen voor zoeken op internet, maar nu ook voor zoeken op uw eigen harde schijf en (Professional-versie) ook in uw hele netwerk. De installatie van dit programma is eenvoudig en in een paar stappen gebeurd. Copernic Desktop Search indexeert al uw bestanden zodat een zoekopdracht zeer snel resultaten oplevert. Dit indexeren gebeurt op de achtergrond. Het programma houdt rekening met uw werk en gebruikt weinig bronnen als u aan het werk bent, en meer capaciteit gedurende de momenten dat u even niet aan het werk bent. U kunt zelf opgeven welke gegevens moeten worden opgenomen in deze index: alle bestanden, al uw contactpersonen en uw mailtjes, alle internetbrowserfavorieten en historie. In totaal herkent Copernic meer dan 150 bestandstypen, dus wat u ook zoekt met dit programma, u hebt het zo gevonden. U kunt het programma los starten en in het hoofdvenster uw zoekopdracht opgeven, maar Copernic Desktop Search kan ook een zoekbalk in de Windows-taakbalk plaatsen van waaruit u al uw zoekopdrachten kunt starten. De gratis Home-versie

beperkt zijn zoekopdrachten tot uw lokale harde schijf, netwerkondersteuning is alleen in de niet gratis versies aanwezig.

Copernic Desktop Search Home Edition Auteur Toepassing Systeem Registratie

Copernic Inc. Zoekmachine Windows XP/Vista/7 Gratis

WEER EENS WAT ANDERS DAN HET STANDARD BUREAUBLAD

XUS DESKTOP

N

a installatie van Windows ziet het bureaublad er meestal nog wel overzichtelijk uit met slechts een paar pictogrammen, maar na een tijdje wordt datzelfde bureaublad vaak onoverzichtelijk en overvol. EDeskSoft probeert iets aan deze chaos te doen door een alternatief voor het bureaublad aan te bieden. Dit programma toont alle snelkoppelingen in een grote cirkel op het bureaublad waarbij elk pictogram een snelkoppeling naar een programma, maar ook een groep kan zijn. In het midden van de cirkel ziet u het XUS Desktop-logo van waaruit u met een klik van de rechtermuisknop een pop-upmenu kunt oproepen. Via dit menu worden de instellingen van XUS Desktop onderhouden, daarnaast bevat dit menu ook pictogrammen voor het afsluiten, herstarten en uitloggen van Windows. Het aantal pictogrammen in de cirkel is minimaal acht en maximaal 36, wat voldoende zou moeten zijn om alles op te slaan wat u wilt opslaan. Ook kan de grootte van

de individuele pictogrammen worden ingesteld. Hebt u alles naar wens ingesteld, dan kan XUS Desktop voor u een back-up maken van de hele configuratie.

XUS Desktop 1.1 Auteur Toepassing Systeem Registratie

EDeskSoft Windows Bureaublad Windows XP/Vista/7 US$ 19,95

PC-ACTIVE | Nr. 247 – 2011

400 Software A.indd 35

35

14-04-2011 10:23:33

BESTANDSTOOLS

HANDIGE FREEWARE TEKST : PIE TER - CORNELIS AVONTS

Voor bestandsbeheer is er natuurlijk de Windows Verkenner. Maar of u daar onverdeeld gelukkig mee moet zijn? In de volgende tools vindt u een aantal handige uitbreidingen voor een efficiënter beheer van al uw bestanden.

FREECOMMANDER XE 0.0.0.520 Een handig(er) alternatief voor de beperkingen van Windows Explorer Er zijn verschillende tools die een alternatief bieden voor de verkenner van Windows en elke heeft zo zijn aanhangers. Wie zich vooral door het uiterlijk – en een overvloed aan functies – laat charmeren, heeft aan NexusFile (www.xiles.net) een stijlvolle en krachtige tool. Op de redactie zien we meer iets in het beproefde FreeCommander, met de gloednieuwe versie FreeCommander XE als logische voortzetting. Net als de vorige variant is dit programma ‘draagbaar’, maar deze versie is vooralsnog niet in het Nederlands beschikbaar. We zijn gevallen voor het dubbele venster, wat typische bestandsoperaties als kopiëren en verplaatsen vergemakkelijkt. U kunt tevens een bestandsfilter activeren, waarbij u bovendien met reguliere expressies aan de slag kunt. Mappen vergelijken

en synchroniseren zit er eveneens bij en zip-, cab- en rar-archieven laten zich direct openen en doorzoeken. Absoluut handig is ook de mogelijkheid om (met een dubbelklik) nieuwe tabs te creëren en op elke tab een andere map geopend te houden. Deze tabs laten zich ook (tijdelijk) locken zodat u ze niet ongewild afsluit. Frequent geraadpleegde mappen voegt u met een muisklik toe aan een favorietenlijst en alle schijfletters staan in de vorm van pictogrammen opgesomd. Ook handig: onderdelen als het configuratiescherm, het startmenu of het bureaublad zijn rechtstreeks bereikbaar vanuit FreeCommander: die verschijnen dan in de vorm van een uitklapmenu.

FreeCommander XE 0.0.0.520 Systeemeisen: Windows XP/Vista/7 Informatie: www.freecommander.com

FreeCommander XE

36

PC-ACTIVE | Nr. 247 – 2011

401 software B - freeware.indd 36

14-04-2011 14:42:19

SOFTWARE

TABBLES FREE 2.0.1

DropIt

DROPIT Voortaan brengt u bestanden moeiteloos in de juiste map(pen) onder DropIt omschrijft zichzelf als een drag-and-dropbestandsbeheerder en een betere omschrijving valt moeilijk te bedenken. Na installatie krijgt u in eerste instantie alleen maar een klein, verplaatsbaar pictogram op uw bureaublad te zien. Wanneer u vervolgens een of meer bestanden of mappen naar dat pictogram versleept, zorgt het programma er automatisch voor dat die naar de gewenste mappen gekopieerd of verplaatst worden. Dat gebeurt aan de hand van door u ingestelde regels. Zo bijvoorbeeld kunt u een regel voorzien dat bestanden met een specifieke extensie automatisch naar de ene map worden gekopieerd of dat bestanden die beginnen met redactie* worden verplaatst naar weer een andere map. Uitzonderingen definieert u via exclude-regels. Versleept u naar dit pictogram een item waarvoor u nog geen regels hebt gecreëerd, dan vraagt de tool u of u dat alsnog wilt doen. Overigens ondersteunt DropIt ook shell-integratie, zodat u bestand(smapp)en vanuit het snelmenu van de Verkenner door DropIt kunt laten verwerken. Blijkt een bepaald item al in de doelmap te bestaan, dan krijgt u nog de gelegenheid aan te geven hoe DropIt dit conflict precies moet aanpakken (u kunt echter ook een standaardreactie vastleggen). Handig is nog dat u de items die door DropIt worden verwerkt automatisch kunt laten comprimeren tot zip- of 7z-archieven, waarbij u zelf de compressiemethode vastlegt en eventueel een wachtwoord toepast.

Tags of labels maken het categoriseren makkelijk Fototools en Web 2.0–services maken al veel langer gebruik van tags of labels om gegevens op een ‘natuurlijke’ manier te categoriseren (of minstens te organiseren) en makkelijker vindbaar te maken. Tabbles, trouwens ook in een ‘draagbare’ variant beschikbaar, trekt dit concept nu op een eigen manier door naar bestanden. Het principe is eenvoudig. U creëert eerst een ‘tabble’, een soort virtuele map die u tegelijk van een label voorziet. Vervolgens worden alle bestanden of mappen die u naar die tabble versleept van datzelfde label voorzien. En als u dat zo instelt, wordt een regel gecreëerd die automatisch ook nieuwe bestanden in diezelfde mappen dat label toekent. Het is ook mogelijk bestanden in verschillende tabbles tegelijk onder te brengen, of anders gezegd: er verschillende labels op te plakken. U kunt hiervoor bijvoorbeeld ook tabbles combineren: bestanden die u naar zo’n combinatie versleept, worden dan automatisch beide labels toegekend. Vanzelfsprekend voorziet Tabbles in een eenvoudige, maar efficiënte zoekfunctie – inclusief Booleaanse operatoren – om snel de gewenste bestanden te kunnen opsporen. Let wel: wanneer u bestanden buiten het programma om verplaatst, kan Tabbles die niet meer lokaliseren. Tabbles kunt u ook met anderen delen, lokaal en via het internet – onder meer SugarSync en Dropbox worden ondersteund. Minpunt van de gratis versie is wel dat Tabbles het na 1.000 items voor gezien houdt.

Tabbles Free 2.0.1 Systeemeisen: Windows XP/Vista/7 Informatie: tabbles.net

Tabbles Free

DropIt

ADVANCED RENAMER 2.74

Systeemeisen: Windows XP/Vista/7 Informatie: sourceforge.net/projects/dropit

Filenames zijn op allerlei manieren in batch aan te passen Met de Windows Verkenner kunt u bestanden slechts in beperkte mate in batch hernoemen. Advanced

PC-ACTIVE | Nr. 247 – 2011


37

14-04-2011 14:42:35

SOFTWARE

Advanced Renamer

Renamer geeft u heel wat meer mogelijkheden. De tool heeft namelijk verschillende methodes met telkens aangepaste mogelijkheden. Kiest u bijvoorbeeld de methode Nieuwe Naam, dan kunt u uit een hele reeks uiteenlopende tags selecteren om die bestandsnaam samen te stellen. Er zijn bijvoorbeeld typische fototags (zoals de breedte of de hoogte van de foto, of het jaar waarop de foto werd genomen), muziektags (met id3tags als album, artiest, genre en bitrate) en standaard-

tags (oplopende nummering, mapnaam, enzovoorts). Selecteer u de methode Verwijder, dan kunt u aangeven hoeveel letters op welke locatie in de bestandsnaam u wilt weghalen. Naast de twee genoemde methodes biedt Advanced Renamer ook nog de methodes Nieuwe letter, Move, Vervang, Toevoegen, Lijst, Attributen en Timestamp aan. Een combinatie van methodes is eveneens mogelijk en het handige is dat u de ingestelde methode(s) kunt opslaan voor hergebruik. Het programma is wel zo vriendelijk om u meteen de resultaten van uw wijzigingen te tonen. Pas al de nieuwe bestandsnamen er exact naar wens uitzien, zet u de aanpassingen effectief door.

Advanced Renamer 2.74 Systeemeisen: Windows XP/Vista/7 Informatie: www.advancedrenamer.com

TERACOPY 2.12

TeraCopy 2.12

38

Houd meer controle over uw bestandsoperaties… Het kopiëren van bestanden onder Windows heeft iets weg van een black box: u krijgt nauwelijks meer feedback dan een voort-

PC-ACTIVE | Nr. 247 – 2011


14-04-2011 14:42:59

SOFTWARE

gangsbalk en treden er tijdens het kopiëren fouten op, dan wordt het proces onderbroken en mag u eigenlijk opnieuw beginnen. TeraCopy doet het op een wat eleganter manier. De makers van het programma claimen een hogere kopieersnelheid, maar enkele informele tests onder Windows 7 wisten ons niet te overtuigen – de snelheden lagen ongeveer gelijk (onder vorige Windows-versies zou het met TeraCopy wél sneller moeten gaan). Als u dat zo instelt, integreert TeraCopy zich naadloos in Windows. Dat betekent niet alleen dat u vanuit het snelmenu van de Verkenner de tool kunt aanspreken, maar ook dat Teracopy bij drag-and-drop operaties het heft van Windows overneemt, zowel voor het kopiëren als voor het verplaatsen van bestanden. U kunt op elk moment ook een operatie pauzeren – bijvoorbeeld om extra ruimte vrij te maken. loopt TeraCopy tegen een of meer probleembestanden aan, dan gaat het proces gewoon verder, waarna u het euvel eventueel oplost om dan alleen nog de resterende probleembestanden te kopiëren. Op dezelfde site kunt u overigens ook terecht voor een andere handige tool: Direct Folders (gratis voor thuisgebruik). Die zorgt ervoor dat ook diep geneste mappen zich vanuit een eigen menu met één muisklik laten benaderen.

TeraCopy 2.12

liteit is natuurlijk niet zo bijzonder aangezien u een gelijksoortige mogelijkheden ook al in het begin van dit artikel genoemde FreeCommander aantreft. Het voordeel van DiffMerge is dat platformonafhankelijk is: het draait net zo goed onder Windows als onder Linux. Het handige aan DiffMerge is dat het echter ook de exacte verschillen tussen bestanden kan weergeven en de software ondersteunt daarbij tientallen coderingen, waaronder Western European, Unicode 32-bit, Cyrillic, enzovoorts. Met behulp van tekstmarkeringen (highlighting) ziet u meteen op welke manier de tekst binnen de bestanden verschilt. Dat is handig wanneer u bijvoorbeeld wilt controleren op welke punten de broncode van bijvoorbeeld uw php-bestanden of webpagina’s uiteenloopt. Overigens kunt u met DiffMerge voor een groot deel zelf bepalen op welke manier de tool specifieke bestandstypes hoort te vergelijken. Zo kunt u bijvoorbeeld instellen dat u bij txt-bestanden wel onderscheid wilt maken tussen hoofd- en kleine letters, maar dat u witruimte (zoals tabs, spaties, enzovoorts) wenst te negeren. Verder is het ook mogelijk tekstregels die beantwoorden aan welbepaalde patronen, opgebouwd uit reguliere expressies, buiten de analyse te houden. Wilt u een bestand bewerken, dan kan dat rechtstreeks vanuit DiffMerge – hetzij op een interactieve manier, hetzij door wijzigingen uit de andere versie te integreren (merge).

Systeemeisen: Windows XP/Vista/7 Informatie: www.codesector.com/teracopy.php

DiffMerge 3.3.0

DIFFMERGE 3.3.0

Systeemeisen Informatie:

Windows XP/Vista/7 www.sourcegear.com

Verschillen in de verf gezet Met DiffMerge kunt u de inhoud van twee mappen heel makkelijk zij-aan-zij vergelijken. Die functiona-

DiffMerge

PC-ACTIVE | Nr. 247 – 2011


39

14-04-2011 14:43:21

TOOLS VOOR GEVORDERDEN

TEKSTEDITORS TEKST : Y VES SUCAE T

Teksteditors zijn onontbeerlijk voor de serieuze softwareontwikkelaar en standaard aanwezig op alle Linux-installaties. Maar wat als uw applicatie onder Windows dient te werken? Hoe kunt u uw favoriete editor ook daar productief aanwenden? In dit artikel bespreken we een aantal Linux-gebaseerde teksteditors die ook prima onder Windows functioneren.

H

eel wat programmeurs verkiezen een Linux-omgeving boven Windows om software te schrijven. Dit hoeft intussen al lang niet meer te betekenen dat alles via de command-line dient te gebeuren. Systemen zoals Eclipse, Netbeans en Kylix bewijzen dat Rapid Application Development (RAD) ook voor Linux perfect kan. Toch zweren heel wat gebruikers nog bij een bepaalde teksteditor, zoals vi, joe of emacs. Logisch: een wat handige programmeur kan heel wat sneller toetsencombinaties intypen via het toetsenbord, dan zijn tegenhanger menuopties kan aanklikken onder bijvoorbeeld KDE. Heel wat omgevingen zijn intussen ook overdraagbaar op verschillende besturingssystemen. Zo is het perfect mogelijk om een website of php-toepassing te ontwikkelen onder Linux, om die dan vervolgens uit te zetten op een Windows-server die Internet Information Server (IIS) draait. Wat doet u dan als u lokaal onder Windows nog enkele wijzigingen wilt aanbrengen? Van heel wat populaire Linux teksteditors bestaat een overeenkomstige Windows-gebaseerde versie, zodat u zich snel weer helemaal thuis voelt! Zo kunt u zich concentreren op wat belangrijk is, in uw vertrouwde omgeving, en uw applicatie snel aan de praat krijgen op een vreemd platform.

VI Vi is de standaard teksteditor onder Linux. Tot zover de vergelijking met Windows Notepad, want hier houdt de vergelijking op. Vi bestaat reeds sinds 1976 en draait in tekstmodus. Notepad daarentegen is een stuk recenter en draait in de GUI. De Spartaanse omgeving van vi is gelukkig wel omgekeerd evenredig met de kracht van het programma: reguliere expressies, omgaan met grote bestanden, automatische in-

40

dentatie... Het zit er allemaal in. Vi is de populairste editor onder Linux, precies omdat het programma op bijna elke versie standaard aanwezig is. Omdat het programma echter in tekstmodus draait, is het ook wel een beetje intimiderend voor Windows-gebruikers. Daarom bestaan er verschillende initiatieven die het nuttige met het aangename proberen te verenigen en Windows-versies van vi voorzien. WinVi is er zo eentje. WinVi is naar onze mening eigenlijk meer een Windows teksteditor met Vi-voorzieningen dan een waarheidsgetrouwe vertaling van het oorspronkelijke vi. Er zijn behoorlijk wat toegevingen gedaan naar Windows-gebruikers en de editor zal bij puristen dan ook waarschijnlijk niet in de smaak vallen. Desondanks kunt u er toch alle vi-functies mee uitvoeren en krachtig mee werken. Het programma kan omgaan met grote tekstbestanden van tientallen MB’s en er is een hexadecimale interface voorzien voor binaire bestanden. Het Windows-jasje maakt dat het ook een prima tool is om gewend te raken aan de meer grafische Microsoft-omgeving.

EMACS Emacs wordt beschouwd als een van de krachtigste editors. Het programma zit intussen aan versie 23, en dat zegt veel over de populariteit en mogelijkheden ervan. Er is niks dat u er níet mee kunt doen, en dat is voornamelijk te danken aan het feit dat het op de programmeertaal Lisp gebaseerd is, en ook in die richting verder kan worden uitgebreid. Daar wringt dan ook meteen de schoen, want er is maar een beperkt aantal ontwikkelaars dat Lisp voldoende onder de knie heeft om op dat niveau te functioneren. Gelukkig blijken de mensen die wél met Lisp overweg kunnen ook heel vrijgevig te zijn, en u kunt dan nogal

PC-ACTIVE | Nr. 247 – 2011

402 Software C - teksteditors.indd 40

15-04-2011 07:13:50

TEKSTEDITORS

wat add-ons voor emacs op internet vinden, gaande van taalspecifieke profielen – om bijvoorbeeld syntaxhighlighting voor de Eiffel-programmeertaal te krijgen – tot agendabeheer en e-mailreaders toe. Op die manier kunt u eigenlijk de hele Microsoft Office suite (inclusief Outlook) vervangen door Emacs. Van Emacs hoeft u in ieder geval geen port te downloaden: de GNU-organisatie voorziet zelf in een versie die onder Windows werkt. Het programma draait zowel in tekstmodus als GUI-modus. Wat nog het meest in het oog springt – zeker wanneer u in tekstmodus werkt – is de aanwezigheid van een menubalk. Dat maakt het programma meteen gebruiksvriendelijk dan vi, wat een vrij steile leercurve heeft. In heel wat gevallen herkent Emacs het gebruikte bestandsformaat en biedt – bovenop syntaxherkenning – ook een specifiek menu voor het specifieke formaat. In de afbeelding ziet u een html-menu, maar ook voor een heleboel andere documenttypes weet Emacs raad, waaronder een aantal niet zo typische formaten – tenminste niet onder Windows – zoals TeX. Deze laatste eigenschap maakt dat Emacs voor sommigen eigenlijk de énige editor is, omdat zij anders genoodzaakt zijn een aantal afzonderlijke formaatspecifieke editors (zoals LyX) in te zetten. De Standardizer General Markup Language (sgml; waarop ook html en xml zijn gebaseerd) is een an-

| SOFTWARE

Van Windows naar Linux Vi met zijn Spartaanse interface is zeker geen uitnodigende teksteditor voor iemand die plots op een nieuw platform terecht komt en zich van het ene op het andere moment dient aan te passen – bijvoorbeeld om een .NET-toepassing onder Mono te installeren. Emacs is dan wel heel krachtig, maar dan moet u wel even Lisp al onder de knie hebben, en Ctrl+V en Alt+V zijn zeker geen intuïtieve alternatieven voor Page up en Page down! Met andere woorden: Windows-ontwikkelaars verdienen dezelfde privileges als hun Linux-tegenhangers, niet? Geen nood: bent u een Windows-ontwikkelaar die zichzelf plots op het – krachtiger, maar minder gebruiksvriendelijke – Linux-systeem bevindt, dan zijn er ook voor u oplossingen bedacht: er bestaan prima GUI-editors voor Linux (Gedit en Komodo zijn twee namen) en sommige Windows-gebaseerde editors (zoals het vorige maand besproken Notepad++) draaien eveneens onder Linux dankzij de Wine Windows-emulator.

dere taal waarvoor emacs uitstekende ondersteuning biedt. Emacs voor Windows is goed geïntegreerd. Alle toetsencombinaties werken op zo’n manier dat, als u blind kunt typen, u eigenlijk nooit u handen dient te verplaatsen naar andere delen van het toetsenbord: Page up en Page down bijvoorbeeld kunnen vervangen worden Ctrl+v en Alt+v. Dat is even wennen voor Windows-gebruikers, maar zo gauw u de meestgebruikte combinaties kent, werkt het echt wel een

Emacs is een standaard Linux-editor die ook onder Windows beschikbaar is

PC-ACTIVE | Nr. 247 – 2011


41

15-04-2011 07:14:17

SOFTWARE

| TEKSTEDITORS

Verschillende ‘standaard’ Linux teksteditors zijn beschikbaar onder CygWin, een gratis Linux-emulator

stuk sneller. In het verleden was dit nog wel eens een probleem, maar in de recente versie werken ook de Page up- en Page down-toetsen, alsook de scrollfunctie op uw muis, zoals u dit zou verwachten. Emacs heeft alle functies van een geavanceerde teksteditor: syntaxherkenning, besturing van externe programma’s, zoals compilers, opnemen van macro’s, en nog veel meer. Wordt u uiteindelijk ook een Emacsadept? Dan zijn er nog een paar leuke extra’s: u kunt Emacs immers ook gebruiken om rechtstreeks met ftp-servers te communiceren, of u kunt Emacs als teksteditor gebruiken in Visual Studio. Als alternatief kunt u de software ook rechtstreeks gebruiken als ontwikkelomgeving, en de compiler als extern programma oproepen. Op die manier kan Emacs dienen als alternatief voor Visual Studio, Eclipse en Netbeans samen!

CYGWIN Cygwin is de bekendste oplossing om Linux-software op het Windows-platform te krijgen. Er is ook Microsofts eigen Subsystem for Unix Application (SUA), maar dat wordt al een tijdje niet meer verder ontwikkeld. Bij de installatie van CygWin dient u aan te geven welke teksteditors u geïnstalleerd wilt zien. U beschikt over vi en emacs, maar ook andere bekende namen zoals joe en vim (vi improved). CygWin biedt misschien nog wel de meest waarheidsgetrouwe Linux-ervaring onder Windows, precies omdat het een Linux-emulator ís. Dat betekent dat u over een heleboel software kunt beschikken die nooit is overgebracht naar Windows. Daarnaast betekent het ook dat u dingen kunt die onder Windows niet voorzien zijn, zoals het (in batch) bewerken van tekstbestanden via sed, of het draaien van bash- of csh-scripts. Zijn er dan geen nadelen verbonden aan CygWin? Toch wel: niet alle Linux-software draait

42

onder CygWin, en u dient vaak de broncode opnieuw ter compileren. Dat vereist kennis. In de context van dit artikel is het grootste nadeel misschien nog wel de installatie zelf. CygWin komt met heel wat standaardvoorzieningen, en is tegelijk ook een compleet platform. Om even snel – tijdelijk – een Linux-gebaseerde teksteditor te installeren, is de CygWin-oplossing eigenlijk overkill.

Conclusie Programmeurs en heel wat andere professionele it’ers zijn met code bezig. Een cruciale tool voor hen is de teksteditor. Om prettig en productief te kunnen werken, is het belangrijk om dezelfde software op verschillende plaatsen in te zetten. In hybride omgevingen waar meerdere besturingssystemen aanwezig zijn, is het handig weten dat een deel van het gereedschap tenminste met minimale inspanningen op verschillende plaatsen kan worden ingezet. De ontwikkelaar hoeft zich niet aan te passen, en kan zich weer wat beter concentreren op de software die moet worden geschreven of geïmplementeerd, in plaats van zich af te vragen hoe iets gedaan moet worden in een onbekende willekeurige platformgebonden teksteditor.

INFORMATIE WinVI www.winvi.de/en/ GNU Emacs www.gnu.org/software/emacs/ CygWin www.cygwin.com Microsoft SUA technet.microsoft.com/en-us/library/ cc779522%28WS.10%29.aspx

PC-ACTIVE | Nr. 247 – 2011


15-04-2011 07:14:35

00.000 r dan 4.0 e e m t e M d is ereldwij otste leden w m de gro nity o .c y g e t a u PokerStr kercomm ol en po o h c s r e k po

Word een succesvolle pokerspeler De beste pokeropleiding – geheel gratis! Honderden artikelen en video‘s in het Nederlands Persoonlijk advies van pokerpro‘s Haal de quiz en krijg $50 gratis startkapitaal!

Leerzame video‘s

20 vragen over onze strategie – geen voorkennis nodig $50 op een pokerroom naar keuze (PartyPoker, Full Tilt, PokerStars, …) Word lid van onze grote community! Kom in contact met andere spelers, beginners en pokerpro‘s

Strategie en informatie

Discussieer over poker in onze grote forums

PokerStrategy.com is de grootste online pokercommunity ter wereld met meer dan 4 miljoen leden en honderden professionele pokercoaches. Ons doel is om mensen bekend te maken met poker: een uitdagend, strategisch en leuk spel. 220 vaste werknemers en een forum met dagelijks 20.000 posts in 18 talen maken PokerStrategy.com tot de meest innovatieve en levendige pokercommunity in de wereld.

De grootste pokercommunity

PokerStrategy.com BEST POKER AFFILIATE IGB AFFILIATE AWARDS 2010

Live coachingsessies

Klaar om met je pokercarrière te beginnen? Meld je nu aan. Het is helemaal gratis!

www.pokerstrategy.com Kom in contact met andere spelers

Untitled-1 1

9- 3- 2011 11:12:58

WINDOWS SYSTEM CONTROL CENTER (2)

SYSTEEMTOOLS VOOR WINDOWS TEKST : PIE TER - CORNELIS AVONTS

Windows System Control Center (WSCC) is een suite met circa 220 systeemtools, uit de collecties van NirSoft en Sysinternals. In dit artikel belichten we de proces-, systeeminformatie- en beveiligingstools uit deze suite.

I

n het eerste deel van dit dubbelartikel (zie PCActive 246) stelden wij u de interface van WSCC voor, een tool die u gratis kunt downloaden op www.kls-soft.com/wscc. WSCC is in eerste instantie weinig meer dan een grafische schil, maar het ophalen van de bijhorende 224 tools blijkt slechts een muisklik ver. Het grote voordeel van zo’n suite is dat u alle tools snel en overzichtelijk bij de hand hebt. In het eerste artikel kwamen de interessantste bestands- en schijftools en netwerktools aan bod. In deze aflevering hebben wij de besproken tools opgesplitst in proces- en systeeminformatietools enerzijds en beveiligingstools anderzijds.

PROCES- & SYSTEEMINFORMATIETOOLS Elk proces legt beslag op systeembronnen als cpucycli en (fysiek) geheugen. Het Windows Taakbeheer (Ctrl+Shift+Esc) geeft al enig inzicht in het geheugengebruik, maar RAMMap (Sysinternals | Process) blijkt veel informatiever. Voor de — gevorderde — eindgebruiker lijken de tabs Use Counts en File Summary ons het interessantst. Zo verneemt u bij Use Counts in de kolommen hoe het geheugen precies gepagineerd is (opgedeeld in blokken) en verneemt u op elke rij hoe dat geheugen precies gealloceerd is of kan worden. Een korte toelichting bij de interessantste paging- en allocatietypes: Paging Active: geheugen, actief in gebruik door (systeem) processen Standby: geheugen niet in gebruik — een soort cache dus, klaar om door de geheugenmanager te worden opgeëist Modified: vergelijkbaar met stand-by, maar intussen

44

gewijzigd en dus vóór hergebruik eerst naar schijf te flushen Transition: geheugen dat op het punt staat naar een ander pagingtype over te gaan Free: beschikbaar geheugen Bad: gemarkeerd als slecht en dus onbruikbaar Allocatie Process Private: toegewezen aan een enkel proces Mapped File: laat toe dat applicaties bestanden op schijf via pointers benaderen, precies zoals bij dynamisch geheugen – dat heeft het voordeel dat die bestanden rechtstreeks op specifieke locaties te lezen en te beschrijven zijn (het effectief naar schijf schrijven wordt naderhand afgehandeld) Shared Memory: in tegenstelling tot ‘process private’ kan dit geheugen door diverse processen worden gedeeld Metafile: bevat diverse ntfs-metadata, waaronder de mft (master file table) Driver Locked: geheugenpagina’s die door een driver in fysieke geheugen ‘gelockt’ zijn, al dan niet op tijdelijke basis Helemaal onderaan links (bij Total / Total) leest u logischerwijze af hoeveel fysiek geheugen er beschikbaar is. U krijgt ook interessante feedback op de tab File Summary: u ziet hier namelijk welke bestanden in ram zijn geladen en op welke manier: active = total — (standby + modified). Op een redactietestsysteem bijvoorbeeld bleken Copernic Desktop Search en avast! Antivirus het meest inhalig, hoewel nagenoeg al het toegewezen geheugen op stand-by was gezet met het oog op het cachen van data. Wilt u van elk proces het fysieke en virtuele geheu-

PC-ACTIVE | Nr. 247 — 2011

405 WSCC - deel 2.indd 44

15-04-2011 07:10:38

WSCC

gengebruik uitgetekend zien, dan kunt u bij VMMap terecht (Sysinternals | Process), een tool die zich trouwens ook vanaf de opdrachtregel laat aansturen. U selecteert een lopend proces — of start er een op vanuit het programma — om het geheugengebruik inzichtelijk te maken. Het is eveneens mogelijk een proces min of meer in real-time te traceren (lees: de informatie automatisch te laten verversen). De resultaten kunt u opslaan in csv-formaat. Dat kan bijvoorbeeld nuttig zijn om zo een referentiepunt bij de hand te hebben van frequent gebruikte applicaties mochten die bijvoorbeeld plots slecht beginnen te presteren. Ook handig is de functie Empty Working Set: hiermee maakt u geheugen vrij bij applicaties die zich blijkbaar aan geheugenlekkage bezondigen. Houd er wel rekening mee dat zo’n ingreep die toepassing kan doen crashen. Msconfig is een veelgebruikte tool binnen Windows om snel een overzicht te krijgen van toepassingen die samen met Windows opstarten. Autoruns — en de opdrachtregelvariant Autorunsc — (Sysinternals | Process) geven echter een completer en vooral ook gedetailleerder beeld: de (namen van de) tabbladen spreken goeddeels voor zich. Wilt u echter vooral inzoomen op processen afkomstig van ‘derden’, dan kunt via Opties de items van Microsoft en van het systeem zelf onzichtbaar maken. Absoluut nuttig is de mogelijkheid om een snapshot van de resultaten te nemen en die via de optie Compare te vergelijken met een andere set. Items die in de andere snapshot niet te zien waren, worden anders ingekleurd. Ook op die manier kunnen verdachte processen sneller aan het licht komen of u ontdekt sneller voor welk(e) proce(ssen) een toepassing verantwoordelijk is. Wilt u een item tijdelijk op non-actief zetten, dan hoeft u slechts het vinkje bij dat item weg te halen. Via Ctrl+D kunt u het

| SOFTWARE

onderdeel echter ook op een meer permanente basis verwijderen. Meer gedetailleerde informatie over een geselecteerd item krijgt u vanuit het snelmenu via Process Explorer, een tool die zich ook vanuit Sysinternals | Process laat opstarten. Process Explorer somt alle processen op en geeft nagenoeg in real-time onder meer het cpu- en geheugenverbruik weer. Houdt u de muispijl even boven een svchost.exe-proces, dan geeft Process Explorer de diverse deelprocessen netjes voor u weer in een pop-upvenster. In de kolom Private Bytes verneemt u hoeveel bytes voor dit proces in ram werden gealloceerd die niet met andere processen kunnen worden gedeeld. De kolom Working set (WS) verwijst naar de set geheugenpagina’s die recentelijk door de proces-threads zijn aangesproken (als er voldoende vrij geheugen is, blijven die pagina’s in de WS, ook al zijn ze niet in gebruik). Vanuit het snelmenu valt trouwens nog veel meer informatie te achterhalen over een geselecteerd proces, tot op thread-niveau. Net als bij het eerder besproken Process Monitor kunt u ook hier een pictogram (vizier) naar een geopend venster verslepen om uit te vissen welk proces achter die toepassing schuilt. Nuttig is nog de mogelijkheid om naar file handles en dll’s te zoeken — bijvoorbeeld wanneer (uit bijvoorbeeld een bsod) blijkt dat een bepaalde dll voor moeilijkheden zorgt of als u het proces wilt identificeren dat een bepaald (data-)bestand in gebruik heeft. Zo’n handle afsluiten is mogelijk, maar het is niet uitgesloten dat het bijhorende programma dan crasht! Overigens kunt u via het menu View | Show Lower Pane de dll’s en handles van een geselecteerd proces ook permanent in beeld krijgen. Ook CurrProcess (NirSoft | System Information) geeft u een overzicht van alle lopende processen (met bijhorende

Geheugenallocatie: opgedeeld in types

PC-ACTIVE | Nr. 247 — 2011


45

15-04-2011 07:11:03

SOFTWARE

| WSCC

De geheugenmap van een proces: tot in de kleinste details

dll’s en ander informatie), maar Process Explorer is uitgebreider. Standaard geeft CurrProcess bovendien een statische procesweergave: u dient zelf de optie Module | Automatic Refresh in te schakelen. Is het er u vooral om te doen snel te ontdekken welke bestanden een bepaald proces benadert of heeft benaderd, dan hebt u aan ProcessActivityView (NirSoft | System Information) een prima tool. Meteen bij het opstarten ziet u het actieve proces, of u start zelf het gewenste proces op via File | Start New Process. U ontdekt dan onder meer welke bestanden worden aangesproken en hoeveel bytes van elk bestand worden ingelezen of weggeschreven. De bij elkaar gesprokkelde informatie kunt u in diverse formaten opslaan. De tool is weliswaar veel beperkter dan het eerder besproken Process Monitor (Sysinternals | File and Disk; zie vorig artikel in PC-Active 246), maar tegelijk een stuk hanteerbaarder als u met de geboden informatie kunt volstaan.

Met PsShutdown is het mogelijk systemen op afstand af te melden of uit te schakelen. U kunt het commando via een beheerderaccount vanuit een batchbestand aansturen, dat u dan via de Windows-taakplanner op een gezet tijdstip laat uitvoeren. PSshutdown laat zich vanaf de opdrachtregel aansturen met behulp van talrijke parameters. Welke parameters dat zijn en wat ze precies doen, verneemt u wanneer u de tool zonder parameters opstart. Met het volgende commando bijvoorbeeld sluit u een pc na 60 seconden af en toont u een bericht aan de gebruiker: Psshutdown.exe —t 60 —m "Over 1 minuut sluit de pc af — sla alle open documenten snel op!" // Het is echter ook mogelijk een gebruikersnaam en wachtwoord mee te geven om op de remote pc te kunnen inloggen. Psshutdown blijkt echter problemen te geven met Windows 7-clients (u krijgt geen toegang). Een registeringreep op de clients lost dat euvel echter op. U hoeft via Regedit maar in de sleutel HKEY_LOCAL_ MACHINE\SOF T WARE\Microsof t\Windows\CurrentVersion \Policies\System de 32-bits DWORD-waarde LocalAccountTokenFilterPolicy te creëren en die op 1 in te stellen.

BEVEILIGINGSTOOLS

Waar zitten al die mee-eters?

46

Het aantal specifieke beveiligingstools in de WSCCcollectie is niet zo heel groot: alleen in de Sysinternals Suite treffen we een aantal programma’s in de rubriek Security aan. Interessant is AccessEnum die, zoals de naam suggereert, een enumeratie geeft van toegangsmachtigingen. Dat geldt zowel voor mappen en bestanden als voor registeringangen. De bediening

PC-ACTIVE | Nr. 247 — 2011


15-04-2011 07:11:18

WSCC

| SOFTWARE

Ongenadig de stekker eruit…

Wie heeft welke toegangsrechten tot bestanden, mappen en registersleutels?

spreekt voor zich: eerst kiest u de gewenste map of registerhive, waarna het programma opsomt welke gebruikers welke toegang hebben (Read, Write of Deny). Standaard neemt AccessEnum hierbij niet het lokale SYSTEM-account op, maar dat valt aan te passen via het Options-menu. Vanuit het snelmenu kunt u de eigenschappen van een geselecteerd item opvragen of de betreffende map op sleutel openen. Via Exclude verwijdert u een item uit de lijst. Houd er wel rekening mee dat AccessEnum bestanden en mappen enigszins anders benadert. Zo krijgt u standaard alleen submappen te zien zodra de machtigingen verschillend zijn van de hoofdmap. Bestanden worden alleen opgesomd wanneer de machtigingen minder strikt zijn dan in de bovenliggende map (parent). Dit laatste laat zich echter aanpassen via het Options-menu. Het is ook mogelijk twee situaties met elkaar te vergelijken via Save en File | Compare to saved. AccessEnum is met name een handige tool als u op zoek gaat naar eventuele inconsistenties of gaten in uw ACL-beveiligingsbeleid. AccessChk is een complementaire tool die zich vanaf de opdrachtregel laat aansturen (al dan niet via de console die u ter beschikking krijgt). Dit programma toont u namelijk welke toegangsrechten de door u opgegeven gebruikers(groep) heeft tot specifieke bestanden, registersleutels of services. Voert u het commando zonder parameters uit, dan krijgt u een overzicht van de syntax. Een paar voorbeelden:

Welke machtigingen heeft de gebruikersgroep Iedereen op de bestanden uit de gevraagde map: accesschk "iedereen" c:\windows\system32 -k geeft in het volgende voorbeeld aan dat de daaropvolgende string een registersleutel aanduidt: accesschk "geverifieerde gebruikers" —k hkey_users\.Default ShareEnum doet ongeveer hetzelfde als AccessEnum, alleen krijgt u deze keer een overzicht van alle shares binnen of een meer geselecteerde domeinen te zien. Aangemeld als domeinadministrator testten we het uit op een domeinnetwerk met Windows 2003-server en de shares bleken alleen op te duiken nadat we selecteerden en het interne ip-adres van de (domein)server invoerden.

Ten slotte We willen aan het eind van dit artikel PsLoggedon zeker niet onvermeld laten. Start deze tool om de aangemelde gebruikers te zien evenals de bijbehorende aanmeldtijden, zowel lokaal als via netwerkshares. Geeft u een gebruikersnaam als parameter mee, dan speurt PsLoggedon naar computers waarop die gebruiker eventueel is aangemeld. Handig om weten als u bijvoorbeeld van plan bent zijn gebruikersprofiel aan te passen en u zeker wil zijn dat die op dat moment nergens is aangemeld!

PC-ACTIVE | Nr. 247 — 2011


47

15-04-2011 07:11:33

HAAL MEER UIT… TEKST EN BEELD BIJ ELKAAR HOUDEN IN WORD TEKST : HANS NIEPOTH

In een serie artikelen bekijken we afzonderlijk de veelgebruikte programma’s uit de populaire Office-suite van Microsoft. We geven een aantal serie tips en trucs. De een kent u misschien al, maar er zitten er ongetwijfeld ook bij waarvan u zegt: ‘a ha, handig’! In deze aflevering behandelen we het bij elkaar houden van beeld en tekst.

ekst en figuren bijeenhouden in een Worddocument klinkt zo eenvoudig, maar blijkt in de praktijk niet altijd zo’n eenvoudige opgave te zijn. Bij het tekstverwerken kan het gebeuren dat het bijschrift onder een afbeelding onbedoeld op de volgende bladzijde belandt, terwijl het plaatje nog op de bladzij daarvoor staat. Er is wel wat aan te doen.

Het gekozen vak is aanvankelijk gevuld met een stukje helptekst, maar deze is eenvoudig te wissen. Voeg dan de gewenste afbeelding in in het tekstvak en schrijf of kopieer de begeleidende tekst onder de afbeelding. Beide worden nu door Word gezien als één object en blijven bij elkaar op deze bladzijde. Voordeel van het tekstvak is dat beide objecten nog steeds los van elkaar zijn te bewerken. De afbeelding is te vergroten, te verkleinen en te draaien, terwijl de tekst is te wijzigen in lettertype en grootte. Via Hulpmiddelen voor tekenen/Opmaak zijn het kader, de achtergrond, de tekstkleur en teksteffecten aan te passen. Wie doorgaat naar het uitgebreide dialoogvenster kan verder ook schaduweffecten, weerspiegeling en 3ddraaiingen nauwkeurig instellen. Het menu Tekstvak ten slotte staat er wat verloren bij onder de teksteffecten, maar het heeft veel te bieden. Het heeft opties om tekst uit te lijnen, de tekstterugloop in te stellen, te voorkomen dat tekst meedraait of ervoor te zorgen dat de afbeelding zich aanpast aan de tekst.

Tekstvak

Tekenpapier (Word2007/2010)

Met de opties Zwevende regel voorkomen en Regels bijeenhouden onder Alinea | Tekstdoorloop (vroeger bekend als Weduwen- en wezenbeheer) is te voorkomen dat een enkele regel los van de alinea komt te staan, maar niet dat een afbeelding en de beschrijvende tekst van elkaar worden gescheiden. Toch is er wel een oplossing om de tekst onder de afbeelding te houden. Een eenvoudige methode om een onderschrift bij een afbeelding of illustratie te houden, is het tekstvak. Een tekstvak maakt u via Invoegen | tekstvak, waarna u een van de voorbeelden selecteert. De optie Eenvoudig tekstvak is het simpelst, de andere bieden alvast enige versiering.

Een andere methode tekst en objecten bijeen te houden is Tekenpapier. De functie is in Word niet prominent aanwezig en heeft geen pictogram in het lint. Er zijn verschillende routes. De eerste loopt via Invoegen | Tekstvak | Tekstvak maken (onder de voorbeelden). Met een klik op regel verschijnt het vak Tekenpapier dat aan de handvatjes kan worden vergroot of verkleind. De cursor verschijnt – eenmalig – als kruisje, waarmee u vervolgens een tekstvak kunt tekenen. Nadat u het vak hebt gevuld met tekst, kunt u met een van de plakopties ook een afbeelding aan het tekenpapier toevoegen. Standaard heeft het tekenpapier geen rand of achtergrond; de opmaak is te

T

48

PC-ACTIVE | Nr. 247 – 2011

406 word-tips.indd 48

15-04-2011 10:26:34

WORD

| SOFTWARE

Effecten op tekst loslaten

Kies uit verschillende geprepareerde tekstvakken

verzorgen via een rechtermuisklik in het vak, keuze Tekenpapier opmaken en de instellingen in het menu Vorm opmaken.Een tweede route naar de functie vindt u via Invoegen | Vormen | Nieuw tekenpapier (onder het lijstje met Sterren en vaandels en Toelichtingen). Met een klik op de regel opent u het tekenpapier dat dit keer geheel blanco is. U kunt daarna met knippen en plakken afbeeldingen, vormen en stukken tekst in het vak plaatsen. Een verschil met de voorgaande methode is dat tekst nu een tekenobject wordt en dat u de tekst niet meer kunt wijzigen. Een voordeel is dan weer dat u allerlei afbeeldingseffecten kunt doorvoeren zoals schaduw, weerspiegelingen en 3d-draaiingen (via Hulpmiddelen voor afbeeldingen). Op het tekenpapier worden afbeeldingen en vormen automatisch gegroepeerd binnen een enkel frame. Om er helemaal zeker van te zijn dat beide samen door het leven gaan kunt u ze ook nog groeperen. Daartoe selecteert u de objecten met Ctrl+linkermuisknop, waarna u deze groepeert via een rechtermuisklik op een van de objecten en de regel Groeperen, waarna ze door Word als één object worden beschouwd.

Tabel Nog een methode om een afbeelding en een stuk tekst bijeen te houden is de tabel. Een cel in een tabel is zowel te vullen met een afbeelding als met tekst, zodat beide als rij of als kolom onder of naast elkaar kunnen worden gezet. Als u met de tabelopmaak de celranden verwijdert, is voor de buitenstaander niet te zien dat het om een tabel gaat. U moet uiteraard wel voorkomen dat de tabel kan worden gesplitst. Dat kan worden voorkomen in de Tabeleigenschappen | Tabblad Rij (via Hulpmiddelen voor tabellen)│ Indeling │ Eigenschappen. Als u het vakje Rij eventueel splitsen bij nieuwe pagina uitvinkt, blijven beide op dezelfde bladzijde staan. Aanvankelijk is een tabel een inline object, maar het kan met de tekstterugloopopties als Voor – of achter de

tekst een zwevend object worden. U kunt het vak vervolgens vullen met een afbeelding of illustratie en er een blok tekst in plakken.

Bijschrift De functie Bijschrift (rechtermuisklik op een afbeelding) is uitermate handig als u afbeeldingen van een doorlopende nummering wilt voorzien, bijvoorbeeld foto1, foto2, enzovoorts. De functie heeft echter geen opties om te voorkomen dat het bijschrift als weesje alleen op de volgende bladzijde komt te staan. Wilt u een afbeelding en een genummerd bijschrift bijeen houden, dan zult u het bijschrift samen met de afbeelding in een tekstvak moeten opnemen.

Inline object Veel gebruikers hebben nog steeds moeite met de positionering van een afbeelding ten opzichte van de pagina of een ander object. In oudere versies van Word wilde het wel voorkomen dat u een ingevoegd plaatje later enkele bladzijden verder aantrof, maar met Word 2007 is dit aanzienlijk verbeterd. Het is allereerst belangrijk te weten dat er twee manieren

Afbeelding en tekst als cellen in een tabel

PC-ACTIVE | Nr. 247 – 2011


49

15-04-2011 10:26:59

SOFTWARE

| WORD

Optie objectankers tonen geactiveerd

zijn om objecten in te voegen: inline of zwevend. Inline objecten maken deel uit van dezelfde laag als de tekst. Een zwevend object staat op een extra laag boven op de tekst en wordt gemarkeerd door een ankertje, meestal links van de tekst op het scherm. Afbeeldingen, illustraties en tekenpapier worden standaard ingevoegd als inline afbeeldingen. Een inline afbeelding heeft een vaste positie tussen de tekst. Als u een of meer regels of alinea’s invoegt boven de afbeelding of het tekenpapier, verschuiven deze met alle tekst daaronder even zo veel posities naar omlaag. Een inline afbeelding is aan de handvatjes te vergroten, te verkleinen en te spiegelen, terwijl u deze aan de draaigreep ook kunt kantelen. Om de grootte en de draaiingshoek van de afbeelding exact in te stellen, gaat u het beste naar het menu Indeling | tabblad Formaat via een rechtermuisklik op de regel Grootte en positie in het snelmenu (de relatieve formattering is voorbehouden aan de vormen). Een inline afbeelding is verticaal te positioneren door deze met de vierpijlscursor te verslepen, horizontaal echter blijkt een afbeelding aanvankelijk zo niet te plaatsen. Hiervoor moet u terecht bij het inspringschuifje in de liniaal boven aan het scherm om de marge te verleggen. Erg soepel

Converteer een inline afbeelding in een zwevend object

50

Grootte en positie van inline afbeeldingen

werkt dit echter niet, en wat als u ook nog tekst om de afbeelding wilt laten vloeien? Dan is het beter om de afbeelding – al of niet tijdelijk – om te zetten in een zwevend object.

Zwevend object Tekstvakken, lijnen en WordArt-objecten worden bij het invoegen standaard een zwevend object. Een zwevend object is standaard gekoppeld aan de alinea waarbinnen het object is geplaatst. Als de optie Objectankers is geactiveerd, is het anker te zien zodra u de afbeelding selecteert. Het ankerpunt is de linkerbovenhoek van die alinea en zowel het ankersymbool en het object staan altijd samen op dezelfde bladzijde. De ankers zijn alleen te zien in de afdrukweergave en zelfs dan niet altijd. Om het tonen van de ankers te activeren, gaat u naar de Word-opties (Officeknop in Word2007, de knop Bestand in Word2010), kies nu Weergave en vink het vakje Objectankers aan (onder Deze opmaakmarkeringen altijd op het scherm weergeven). Een zwevend object is wel vrijelijk te verslepen en

Positie instellen ten opzichte van pagina of marge

PC-ACTIVE | Nr. 247 – 2011


15-04-2011 10:27:32

WORD

overal op de bladzij te positioneren. Een zwevende afbeelding heeft in tegenstelling tot een inline afbeelding geen vaste positie ten opzichte van de tekst. Dit betekent dat wanneer u boven een zwevende afbeelding binnen de alinea enkele regels invoegt, de afbeelding niet meebeweegt en de tekst langs de afbeelding zal stromen. De manier waarop regelt u met de tekstterugloop: rechtermuisklik op de afbeelding │ regel Tekstterugloop (of Hulpmiddelen voor afbeeldingen/ tekenen). In het menu kunt u kiezen uit Contour, Om kader, Transparant en voor of achter de tekst. In een live-voorbeeld ziet u meteen het resultaat van de keuze. Het menu Tekstterugloop kunt u ook gebruiken om een afbeelding te converteren naar zwevend. Met elke optie anders dan ‘In tekstregel’ wordt u een afbeelding of ander object zwevend. Omgekeerd is in het menu een zwevend object ook weer te converteren in een inline object met de optie In tekstregel.

Posities Een zwevend object wordt standaard gekoppeld aan een alinea, maar er bestaan er verschillende referentieopties. Een object als een afbeelding, tekstvak of vorm is ook te koppelen aan een hele pagina of de marge. Zo kunt u bijvoorbeeld ook instellen dat het object altijd 5 cm onder de bovenmarge van een bladzijde moet staan, ongeacht de achterliggende tekst. Voor deze opties gaat u naar menu Indeling | tabblad Positie: rechtermuisklik op de afbeelding | regel Grootte en positie of hulpmiddelen voor afbeeldingen/tekenen | Opmaak |Positie | Meer indelingsopties (op de geprepareerde keuzes komen we zo nog terug). Behalve een absolute afstand in centimeters kunt u hier ook een relatief percentage opgeven of het object uitlijnen met keuzes als boven, centreren en onder. Het aantal combinaties dat er te maken is, is groot en we kunnen ze in dit bestek niet allemaal behandelen. Om de werking helemaal te doorgronden, zult u er een tijdje mee moeten spelen. De voorgekookte posities onder Opmaak | Positie | Met tekstterugloop worden nu ook duidelijk. Alle zijn op verschillende wijze links, rechts, onder, boven of gecentreerd uitgelijnd ten opzichte van de pagina. Om ook de afstand tussen kaders en tekst in te stellen en te bepalen aan welke zijden de tekst om een afbeel-

Tekst mét het object verslepen

| SOFTWARE

De afstand tussen tekst en kader instellen

ding mag vloeien (links, rechts of beide zijden) kunt u alleen terecht op tabblad Tekstterugloop van het menu Meer indelingsopties │Indeling. Resteren nog de checkboxjes onder de opties die om uitleg vragen op tabblad Positie. Vinkt u het vakje Object met tekst verplaatsen aan, dan neemt u bij het verslepen van de alinea ook de gekoppelde afbeelding of ander object mee. Bij het selecteren van de tekst ziet u dat ook automatisch het object wordt geselecteerd. Door een object te verslepen kunt u dit koppelen aan een andere alinea, maar u kunt ook het anker verslepen om een nieuwe koppeling te maken. Door het vakje Anker vergrendelen van een vinkje te voorzien, bereikt u dat een object aan één en dezelfde alinea verankerd blijft ook al wordt het object verplaatst. Het ankersymbool wordt dan voorzien van een slotje en is ook niet meer te verplaatsen. Met vakje Overlappen toestaan ten slotte geeft u op dat objecten elkaar ook buiten het tekenpapier mogen overlappen.

Ten slotte De nieuwe grafische Escher-engine die met Office 2007 werd geïntroduceerd is in Word2010 ook volledig geïmplementeerd. Het plaatsen en groeperen van verschillende grafische objecten is daardoor een stuk eenvoudiger en betrouwbaarder geworden. Het blijft echter een complexe materie die enige oefening vraagt.

Anker vergrendelen

PC-ACTIVE | Nr. 247 – 2011


51

15-04-2011 10:27:46

NETWERKANALYSE MET WIRESHARK (2)

NETWERKCHIRURGIE TEKST : PIE TER - CORNELIS AVONTS

Er kan heel wat fout gaan in een netwerkomgeving en bij het probleemoplossen blijkt het bovendien vaak lastig de precieze oorzaak te vinden. Een grondige pakketanalyse dringt zich dan op en daar is Wireshark een prefect hulpmiddel bij!

I

n het vorige deel (zie PC-Active 246) zijn we aan de slag gegaan met een van de betere netwerkanalysetools van het moment: het gratis Wireshark (Ethereal). Het programma is zowel packet sniffer als een protocol analyzer, en is dus een uitgelezen combinatie om allerlei netwerkproblemen te ontdekken, of het nu gaat om een teleurstellende netwerkprestaties, om connectieverlies of gewoon een botte weigering een specifieke verbinding op te zetten. In dit artikel bekijken we enkele mogelijke (probleem)situaties.

Basismeetpunten creëren Bij het analyseren van netwerkproblemen en dus van het bijhorende verkeer beschikt u het liefst over een of meer zogenoemde baselines. Het komt erop neer dat u voor het problemen gevende apparaat – zoals een server – een aantal traceerbestanden hebt gecreëerd op het moment dat de netwerkcommunicatie nog zonder problemen verliep. Zo’n traceerbestand kunt u zien als een soort ijkpunt of graadmeter waaraan u (het traceerbestand van) de probleemsituatie kunt toetsen. Door beide traceerbestanden met elkaar te vergelijken, wordt het een stuk makkelijker het ‘normale’ netwerkverkeer weg te filteren zodat verdacht of problematisch verkeer automatisch op de voorgrond komt. Voor belangrijke systemen is het handig om verschillende ‘normale’ traceerbestanden aan te maken. Zo

52

kunt u al tijdens de opstartfase een traceerbestand creëren, zodat u bijvoorbeeld een goed idee hebt van het standaard dhcp-verkeer en de opgestarte netwerkapplicaties. Desgewenst onderschept u dit verkeer vanaf een host die, in netwerktermen, dicht bij de machine staat. Een kleine tip: zo’n operatie kan best ook nuttig zijn als u een nieuwe machine voor de eerste keer opstart, met name wanneer die van voorgeïnstalleerde software is voorzien. U zou er soms van versteld staan welke verbindingen zo’n systeem in die fase probeert te leggen! Er zijn natuurlijk nog andere zinvolle traceersessies mogelijk: tijdens het aan- en afmelden bij het besturingssysteem bijvoorbeeld, zodat u zicht krijgt op de processen van dat moment, gedurende rustpauzes (welke hosts of protocollen worden er op dat ogenblik nog aangesproken), bij het browsen of opstarten van bepaalde netwerkapplicaties, et cetera. Ook interessant is een traceerbestand van het normale multicasten broadcastverkeer of van een netwerk-stresstest met een tool als Iperf/Jperf (iperf.sourceforge.net; het Iperfrapport op zich kan natuurlijk ook zinvol zijn).

Traceersessies mergen & plotten Het is overigens perfect mogelijk twee of meer traceerbestanden samen te voegen, zodat u de verschillen ziet. Deze bestanden combineren kan op verschillende manieren. Zo kunt u daarvoor het opdrachtregelcommando mergecap gebruiken. Met

PC-ACTIVE | Nr. 247 – 2011

407 Wireshark 2.indd 52

15-04-2011 10:39:03

NETWERKANALYSE

| SOFTWARE

De ene download is duidelijk de andere niet (timeshift / merge / plot)

mergecap –w 1en2.pcap 1.pcap 2.pcap combineert u de bestanden op basis van de tijdstempel terwijl u met mergecap –a –w 1en2.pcap 1.pcap en 2.pcap de bestanden in de opgegeven volgorde samenvoegt. Of u selecteert File | Merge in Wireshark om het tweede traceerbestand op te halen. De tijdstempels wijzigen doet u met het opdrachtregelcommando editcap, bijvoorbeeld als volgt: editcap –t -3.04 2.pcap 2bis.pcap om het eerste bestand naar het tweede te kopiëren, waarbij alle tijdstempels met 3,04 seconden worden verminderd. Om beter zicht te krijgen op het aantal seconden waarmee u de tijdstempels wilt wijzigen, kunt u het commando capinfos inzetten; dat gaat als volgt: capinfos –a –e –S 1.pcap 2.pcap. Die somt de begin- en eindtijden van beide bestanden in aantal seconden op, wat het ‘telwerk’ vergemakkelijkt. Het samenvoegen van een baseline- en probleembestand en het aanpassen van de tijdstempels kan met name nuttig zijn wanneer u de traceersessies in een i/o-grafiek wilt weergeven. U hoeft hiervoor maar het samengevoegde traceerbestand op te halen en vervolgens Statistics | IO Graph te selecteren. Op die manier brengt u sneller allerlei i/o-perikelen aan het licht; de weergave van de grafiek laat zich overigens nog op verschillende manieren aanpassen. We gaan ervan uit dat u inmiddels weet hoe ‘normaal’ netwerkverkeer er (op uw machines) hoort uit te zien en dat u ook goed inzicht hebt in de werking van de gebruikelijke tcp/ip-protocollen. Verderop in dit arti-

kel belichten we namelijk een aantal typische (protocol)patronen in het netwerkverkeer en buigen we ons met name ook over enkele probleemgevallen.

DNS In eerste instantie zet dns (domain name system) hostnamen om in ip-adressen, hoewel het protocol ook wel andere taken kan uitvoeren (zoals een inverse query). Zonder goed werkende dns kunt u in principe geen andere hosts bereiken. De browser laat dan bijvoorbeeld na enige tijd alleen maar Het adres is ongeldig zien. Een snelle controle op de router vertelt ons bijvoorbeeld dat de ip-adressen van de (extern gehoste) dns-servers nog altijd correct zijn ingesteld en ook een ping naar die servers levert de nodige antwoorden op. In zo’n situatie is een capteersessie met Wireshark een prima middel, waarbij we dns als dfilter instellen (eventueel activeert u de cfilter port 53, voor standaard dns-verkeer). Toch kan de lijst compleet leeg blijven. Wel zien we de lange broadcastlijst met ARP-requests naar een lokale client (in ons voorbeeld 192.168.0.222), terwijl die verzoeken onbeantwoord blijven. Ons baselinebestand toont bovendien aan dat die machine normaliter geen contact zoekt met zo’n client. Hoe dan ook, dns kwam er gewoon niet aan te pas en de oorzaak blijkt snel gevonden. De pc krijgt zijn adres via de dhcp-service van de router en bereikt langs die weg normaalgesproken ook de juiste dns-servers. Maar in het eigenschappenvenster van de netwerkadapter is niet langer de optie Automatisch

Oo ka

PC-ACTIVE | Nr. 247 – 2011


53

15-04-2011 10:39:27

SOFTWARE

| NETWERKANALYSE

Geen spoor van dns – begrijpelijk, met een niet bereikbare lokale client als ‘dns-server’

een dns-serveradres laten toewijzen aangestipt, maar is als server een ongebruikt lokaal ip-adres ingevuld (192.168.0.222 dus), wat meteen de traceerresultaten verklaart. Er zijn natuurlijk nog andere probleemscenario’s met dns mogelijk, waarbij een traceersessie u ongetwijfeld ook snel op het juiste spoor zet. Probeert u bij wijze van experiment maar even wat er gebeurt als u in uw firewall uitgaande poort 53 (tcp/udp) blokkeert. U krijgt dan evenmin dns-pakketten te zien aangezien de firewall dat verkeer tegenhoudt; op ons Windows-testsysteem probeerde het nbns-protocol (wins) dan maar – zonder positief resultaat – de taak over te nemen. Merkt u wel dns-query’s op, maar blijven antwoorden uit en krijgt u in de plaats icmpfoutmeldingen te zien, dan is wellicht poort 53 op de server niet open.

ARP ARP (address resolution procotol) koppelt binnen een lokaal network mac-adressen aan ip-adressen. ARP-pakketjes bevatten geen ip-header en zijn dan ook niet routeerbaar. Dat houdt meteen in dat u zich binnen hetzelfde netwerksegment moet bevinden om ARP-verkeer van een host te kunnen capturen. Overigens, wanneer u af en toe ook ‘gratuitous ARP’-

pakketjes voorbij ziet komen, is dat perfect normaal: hosts die op het netwerk komen, sturen standaard zulke pakketjes uit om na te gaan of er op dat moment geen andere apparaten zijn die zich dat adres (bijvoorbeeld statisch) hebben toegeëigend. Wanneer een antwoord uitblijft, gaat de host ervan uit dat het ip-adres nog vrij is en zal die het gewenste ip-adres bij de dhcp-server aanvragen. Een leerzaam experiment rond het ARP-protocol is een mitm-aanval met behulp van ARP-poisoning. U laat dan bijvoorbeeld de gateway geloven dat het ipadres van het doelwit overeenkomt met het mac-adres van uw eigen machine, en u doet het doelwit geloven dat de gateway uw mac-adres heeft. Dat heeft als gevolg dat het verkeer tussen doelwit en gateway langs uw systeem wordt omgeleid. Hoe u zo’n mitm-experiment snel opzet met behulp van de gratis tool Cain (www.oxid.it/cain.html), leest u in het artikel over stack hacking in PC-Active 242. U zult merken: een traceersessie bij het opzetten van zo’n ARP-poisoningsessie blijkt erg leerzaam. U kunt natuurlijk ook een wat minder ingrijpend experimentje uitvoeren met een interessant neveneffect. Stel, uw netwerkmachine heeft het ipadres 192.168.0.100 binnen het netwerksegment 192.168.0.0/24 (CIDR-notatie die de eerste 3 bytes de

Geen dns, wel druk nbns-verkeer op poort 137. Poort 53 geeft namelijk niet thuis!

54

PC-ACTIVE | Nr. 247 – 2011


15-04-2011 10:41:52

NETWERKANALYSE

| SOFTWARE

Een foutief geconfigureerd netwerkmasker maakt een (server in een) subnet onbereikbaar

ARP poisoning in volle actie: ‘duplicate id address detected’…

significante bits en dus het netwerkgedeelte aangeven, en die 1 byte overlaat voor de hosts: 192.168.0.1  192.168.0.254). U hebt echter ook nog een server draaien in een ander netwerksegment (192.168.1.x, bijvoorbeeld). Wanneer u nu (per abuis) het subnetmasker van uw machine op 255.255.0.0 instelt (in plaats van 255.255.255.0), weet het systeem niet beter dan dat het zich in netwerk 192.168.0.0/16 bevindt en zal dus geloven dat de server in hetzelfde netwerksegment zit. Het gevolg: de machine stuurt een simpel ARP-verzoek uit, wat dus niet zal volstaan om (via de router) de server te kunnen bereiken. Overigens krijgt u in dit geval ook een icmp-reply terug met fouttype 3 (Destination unreachable).

ICMP Laten we nog even bij icmp (internet control message procotol) blijven. Dit protocol levert via een systeem van types en codes berichten af die eventuele netwerkproblemen moeten helpen duiden. Even door het overzicht van de berichttypes en bijhorende codes fietsen, kan nuttig zijn: zie onder meer www.nthelp.com/ icmp.html. Zowel ping als tracert (traceroute) maken omstandig gebruik van dit protocol. Het kan echter nuttig zijn tegelijk met het uitvoeren van dergelijke commando’s het netwerkverkeer te traceren, al was

het maar omdat u van Wireshark meer gedetailleerde feedback krijgt. Een eenvoudig voorbeeld: ping naar een externe host die echo-verkeer toelaat (zoals www.whitehouse.gov) en onderschep het verkeer. Open vervolgens het menu View in Wireshark en kies Time Display Format | Seconds Since Previous Displayed Packet (Ctrl+Alt+6). Dat zorgt ervoor dat u de round trip tussen het icmp-request en de reply te zien krijgt (tot zes cijfers achter de komma). Om overtollige pakketjes te weren, kunt u een dfilter inschakelen. Zo volstaat icmp als filter, maar u kunt ook inzoomen op specifieke icmp-pakketjes (bijvoorbeeld met een filter als icmp. type == 3 and icmp.code == 0). Interessant is ook een capturesessie van een traceroute. U kunt hier dan perfect volgen hoe de TTL (time to live) bij elke request met 1 wordt verhoogd om op die manier de route naar de beoogde host weer te geven. Het is voldoende de detailweergave van een Echo-request op te vragen om in de ip-header van het pakket de TTL-waarde af te lezen.

TCP Het tcp-protocol (transmission control protocol) verzorgt het transport tussen twee systemen en in tegenstelling tot het verbindingsloze udp gebeurt dat connectiegeoriënteerd, geïnitieerd door de typische

PC-ACTIVE | Nr. 247 – 2011


55

15-04-2011 10:42:08

SOFTWARE

| NETWERKANALYSE

Een ping-sessie: zeer gedetailleerd icmp-verkeer

De techniek achter een traceroute: Wireshark toont het

driedelige handshake: [SYN] ↔ [SYN,ACK] ↔ [ACK]. Jammer genoeg kunnen er op tcp-niveau verschillende problemen optreden. Dat kan al gebeuren tijdens de handshake. Probeert u maar even een ftp-sessie op te zetten met een server die poort 21 gesloten houdt. U zult merken dat op de initiële [SYN] meteen een [RST, ACK] van de server volgt: een reset dus die de verbinding abrupt verbreekt. Het kan echter ook gebeuren dat de gegevensuitwisseling onderweg er plotseling de brui aan geeft. Het is goed mogelijk dat u in zo’n geval [TCP ZeroWindow]pakketjes ziet verschijnen. Als u dan vervolgens de tcp-header van zo’n pakket in detail bekijkt, zult u een ‘window size’ met waarde 0 zien staan. Deze venstergrootte geeft de hoeveelheid gegevens aan die een machine tijdens een tcp-sessie kan ontvangen (dat kan gezien worden als een soort buffer). Krijgt u tijdens de datatransfer veelvuldig met dergelijke pakketjes te maken, dan is er blijkbaar een probleem aan client-zijde. Wellicht zijn er aan die kant op dat moment teveel processen actief en te weinig systeembronnen beschikbaar. Het valt ook niet uit te sluiten dat de betreffende applicatie of een registerwaarde (zoals TcpWindowSize) niet goed geconfigureerd werd, waardoor de buffer niet snel genoeg geleegd wordt.

56

IP(v4) IP is verantwoordelijk voor het correct adresseren van de datapakketten en tracht daarbij de beste route te vinden. Het is echter wel een connectieloos protocol: pakketjes worden zonder onderling verband of specifieke volgorde verstuurd. IP voorziet niet in een optie om vast te stellen of een pakket wel degelijk het doel heeft bereikt. Bij het versturen van pakketten wordt wel de meest efficiënte pakketgrootte gehanteerd, mede op basis van de MTU-waarde (maximum transfer unit) van de volgende link in de netwerkverbinding. Nu kunnen daar soms onverwachte problemen uit voortkomen. Zo bleek op een bepaald moment de mailserver van ons netwerk eigenaardig te reageren: berichten bouncten of werden langere tijde vastgehouden om dan ineens toch probleemloos verstuurd te worden. Op een aantal clients bleken bepaalde webpagina’s ook niet of moeilijk bereikbaar. Enkele traceersessies brachten ons op het juiste spoor: een router van onze provider retourneerde icmp-pakketten van het type 3 (Destination unreachable), code 4 (Fragmentation Needed and Don’t Fragment was Set). Blijkbaar waren er routers verderop het pad die niet overweg konden met de pakketgrootte en stuurde de router van onze provider ons daarop het

PC-ACTIVE | Nr. 247 – 2011


15-04-2011 10:42:21

NETWERKANALYSE

| SOFTWARE

De driedelige handshake abrupt onderbroken door een reset

De client ligt op apegapen: de buffer geraakt niet langer leeg…

icmp-bericht met de nieuwe MTU-limiet. Onterecht, zo bleek, want de ‘Don’t fragment’-bit bleek niet te zijn ingesteld op de uitgaande pakketten. Alles wees op een foutieve routerconfiguratie en nadat we de provider onze bevindingen – inclusief traceerbestanden – hadden doorgegeven, was het probleem snel van de baan. Gelukkig ging het niet om een ‘blackhole router’; immers, zulke routers weigeren pertinent icmp-pakketten (met name ook van het type 3, code 4) door te sturen. Suggesties om zulke routers op te sporen vindt u op support.microsoft.com/kb/314825/nl. Zo kunt u hiervoor het ping-commando inzetten met de parameters –f (=niet fragmenteren) en l (grootte van payload). Vermeldenswaard is verder nog het tooltje mtupath (www.iea-software.com/products/mtupath.cfm): dit opdrachtregelcommando gaat op zoek naar de correcte MTU naar de opgegeven host.

Conclusie De kans is groot dat u met behulp van Wireshark heel wat problemen vindt. Een traceersessie geeft u namelijk inzage in alle pakketten die uw netwerkadapter binnenkomen of verlaten. De ingebouwde protocol analyzer zorgt er bovendien voor dat nagenoeg alle pakketten protocolsgewijs geïdentificeerd worden, wat de analyse vergemakkelijkt. Bovendien bevat het programma allerlei filters (zoals capture-, display- en conversatiefilters) en statistische functies die u helpen de gegevens nog beter te interpreteren. We hebben ons moeten beperken tot een handjevol typische protocollen en probleemscenario’s, maar het spreekt voor zich dat er nog heel wat meer zijn. We kunnen alleen maar hopen dat dit dubbelartikel u heeft aangespoord om zelf actief aan de slag te gaan en u verder in Wireshark te verdiepen. Veel succes!

IP lost mtuproblemen met behulp van fragmentatie op. Niet echt efficiënt, maar het werkt het wel – als de routers meewillen

PC-ACTIVE | Nr. 247 – 2011


57

15-04-2011 10:42:40

HOE SLUITEN OVERHEDEN INTERNET VOOR BURGERS AF?

HET INTERNET AAN OF UIT TEKST : KOEN VERVLOESEM

De Amerikaanse president Obama probeert al een tijdje een ‘kill switch’ in te voeren. In het geval van nood kan de overheid het internet uitschakelen. Onlangs probeerde de Egyptische overheid de revolutie lam te leggen door de internetverbindingen van zijn burgers af te breken. Gelukkig zijn er altijd manieren om toch nog op internet te komen. Verouderde technologie speelt daarbij een sleutelrol.

E

ind januari was de Egyptische overheid zo bang voor de protesten van burgers tegen Mubaraks regime dat ze een drastische stap nam: de overheid sloot vijf dagen lang internet af. Veel van deze protesten werden immers georganiseerd via internet, met oproepen op Facebook en Twitter. In een eerste poging blokkeerde de overheid gewoon een aantal sociale netwerken, ook al ontkende de overheid dat ze hier iets mee te maken had. Maar de inventieve Egyptenaren omzeilden deze blokkeringen door smartphone-applicaties te gebruiken of via een webproxy te surfen. Dit was een doorn in het oog van de overheid, die dan maar besloot om heel internet af te sluiten. Zonder internettoegang zou het protest wel wegebben, zo hoopte de Egyptische overheid. Het Amerikaanse internetmonitoringbedrijf Renesys merkte dat op 27 januari rond 22:34 GMT plots zo’n 90 procent van alle routes naar Egyptische netwerken gelijktijdig uit de wereldwijde routingtabel verdwenen. Hierdoor waren bijna alle Egyptische ip-adressen onbereikbaar: geen bit kon via de getroffen verbindingen naar binnen of buiten. Mensen buiten Egypte konden dan geen enkele getroffen Egyptische server meer bereiken en mensen binnen Egypte bij een van de getroffen isp’s konden nergens meer bij komen. De vier grote internetproviders in Egypte (Link Egypt, Vodafone/Raya, Telecom Egypt, Etisalat Misr) hadden immers van de overheid de opdracht gekre-

58

gen om internet af te sluiten – wat de overheid volgens de Egyptische wetgeving mag, zodat alle personen en bedrijven die hierbij klant waren zonder internet zaten. Dit was niet de eerste keer dat de meerderheid van de internetverbindingen van een land door zijn overheid volledig uitgeschakeld werden: in 2005 gebeurde hetzelfde in Nepal en in 2007 in Burma, telkens om onlusten de kop in te drukken en te vermijden dat niet door de overheid gefilterd nieuws de buitenwereld bereikte. Ook mobiele netwerken werden platgelegd. Vodafone Egypte kreeg van de overheid de vraag om zijn diensten in bepaalde gebieden uit te schakelen. Niet alleen mobiel internet, maar ook sms en zelfs een tijdje mobiele telefonie. De Egyptische overheid sloot ook alle officiële dns-servers in Egypte af, waardoor wie wel nog een internetverbinding had eerst een andere dns-server moest zoeken, of de ip-adressen te weten moesten komen van de websites die ze wilden bereiken. De primaire dns-servers van het top-level domein .eg respectievelijk het Egyptische top-level domein in het Arabische schrift worden beheerd door het Egyptische universiteitsnetwerk en de nationale telecommunicatieregulator; deze instanties stonden dus goed onder de controle van de overheid. Uiteraard kon internet niet volledig afgesloten worden, want dan valt het land stil: ook de overheid zelf is voor zijn werking van internet afhankelijk. De Egyptische beurs, banken, multinationals zoals Coca

PC-ACTIVE | Nr. 247 – 2011

501 internet afsluiten.indd 58

14-04-2011 11:03:00

| ACHTERGROND

(bron: Arbor Networks)

AFSLUITEN

(bron: Arbor Networks)

Het internetverkeer in Egypte viel plots stil…

…en vijf dagen later hadden de Egyptenaren weer internet

Cola, Exxonmobil, Toyota en Pfizer, en andere belangrijke instanties behielden hun internettoegang omdat zij op de internetserviceprovider Noor aangesloten zijn. Hoewel deze isp (met een marktaandeel van 8 %) onder de controle van de overheid staat, konden ook gewone gebruikers met een adsl-aansluiting bij Noor nog op internet; dit werd een populaire manier om de internetblokkage te omzeilen. Pas vier dagen na het afsluiten van de andere providers verdween ook Noor van internet. Wie toevallig Noor als internetaanbieder had, had geluk, maar omwille van de overheidscontrole over deze isp ging het gebruik van Tor (een open netwerk voor anonieme communicatie) in Egypte eind januari wel pijlsnel de hoogte in, want niemand vertrouwde Noor. Toen de onrust even later

Libië bereikte, reageerde dat land ook door internet af te sluiten, maar het deed dat op een andere manier (alhoewel het effect natuurlijk hetzelfde was). Libië heeft slechts één internetprovider, Libya Telecom and Technology (LT&T), die gerund wordt door Gaddafi’s oudste zoon. In tegenstelling tot wat Egypte deed, werden de routes niet afgesneden (Libië deed dit wel tijdelijk enkele nachten), maar werd de beschikbare bandbreedte gewoon op 0 gezet voor iedereen behalve een aantal mensen binnen de overheid.

Blokkages omzeilen Opvallend in heel deze saga was de inventiviteit van de Egyptische burgers die op allerlei manieren toch nog op internet wisten te komen en elkaar hierbij

PC-ACTIVE | Nr. 247 – 2011


59

14-04-2011 11:03:36

ACHTERGROND

| AFSLUITEN

hielpen. Zo circuleerden er al vlug boodschappen met de ip-adressen van onofficiële dns-servers, zodat wie geen toegang meer had tot de officiële dns-servers toch nog kon internetten. Ook riepen mensen die online raakten via Twitter op aan anderen om het wachtwoord op hun wifi-router uit te schakelen, zodat mensen zonder internettoegang toch op het internet konden. Kortom, dit was het levende bewijs van de bekende uitspraak The net interprets censorship as damage and routes around it van activist John Gilmore. Oude technologie kwam bovendien nog goed van pas. Dankzij inbelmodems konden sommige Egyptenaren nog inbellen op internationale isp’s. Activistengroepen zoals Werebuild en Telecomix publiceerden lijsten van internationale nummers waarop ingebeld kon worden. De kleine Franse ISP FDN stelde een inbelnummer beschikbaar voor de Egyptenaren, evenals Telecomix News Agency. Ook vanuit Nederland kwam er hulp: Xs4all stofte zijn oude inbelbanken af en zette een inbelnummer op. Via een fax werd dit nummer en de (42) bijbehorende logins en wachtwoorden verspreid, met de vraag om die verder te verspreiden. Ook circuleerden er instructies over hoe er via een mobieltje kon worden ingebeld en hoe men

TOR werd in Egypte ineens razend populair die verbinding via bluetooth met een computer kon delen. Internetten via een inbelmodem is echter niet goedkoop: Egyptenaren betaalden gerust een paar euro per minuut voor een 28 kbit/s verbinding. Tijdens die vijf dagen zonder internet werden heel wat faxapparaten onder het stof vandaan gehaald. En sommigen slaagden er zelfs in om via satellietverbindingen te internetten: bedrijven zoals Thuraya, Iridium en Inmarsat bieden telefoons aan die ook internetdiensten via satelliet ondersteunen. Dit soort technologie werd ook door Al Jazeera gebruikt om vanuit Egypte het nieuws te kunnen verslaan. Inbelnummers werden bovendien ook via radiozenders de lucht in gestuurd. En sommigen gebruikten zelfs morsecode. Google werkte bovendien aan de Speak2Tweet-dienst waardoor de Egyptenaren hun stem toch konden laten horen aan de internationale gemeenschap. Mensen konden naar een nummer bellen om voicemailboodschappen achter te laten, die boodschappen werden dan op Twitter gepost, waar iedereen op de link kon klikken om ze te beluisteren. Vrijwilligers vulden dit aan door in een Google-spreadsheet transcripties van de Arabische boodschappen te typen en nog anderen vulden dit aan met Engelse vertalingen. Een knap staaltje van internationale samenwerking tussen be-

60

drijven en vrijwilligers dus om de Egyptische burgers te steunen.

Kan afsluiten ook elders? De vraag is natuurlijk of ook overheden van andere landen internet voor hun burgers kunnen platleggen. In heel wat landen bestaat er wetgeving of gaan er stemmen op om wetgeving door te drukken waardoor de overheid in tijden van nood internet kan uitschakelen. Waarom dat in die situaties nuttig zou zijn, is echter niet helemaal duidelijk. In GrootBrittannië geven de Civil Contingencies Act en de 2003 Communications Act de overheid de mogelijkheid om internetdiensten uit te schakelen, maar de kans is klein dat dit ook gebeurt omdat het middel alleen mag worden ingezet in noodgevallen om de burgers en de nationale belangen veilig te stellen. Uiteraard zijn termen als ‘nationaal belang’ nogal vaag waardoor er heel wat onder kan vallen, dus met zulke wetten is het opletten geblazen; gelukkig is er toch nog heel wat democratische controle. Bovendien legt de Britse wetgeving ook een financiële compensatie voor de providers op, dus de overheid zal niet zomaar besluiten het internet af te sluiten. In de VS wilde president Obama in de Protecting Cyberspace as a National Asset Act de mogelijkheid krijgen om in noodgevallen een toestand van cybersecurity emergency uit te roepen, waarna hij de volledige controle over internet in de VS krijgt en het land en zijn kritieke infrastructuur mag isoleren voor een periode van 120 dagen. Toevallig rond dezelfde tijd van de gebeurtenissen in Egypte lag het voorstel opnieuw bij de Senaat. De naam van de wet is nu plots veranderd in Cybersecurity and Internet Freedom Act (een aloud politiek trucje, wie kan er immers tegen vrijheid zijn?), er wordt niet meer expliciet gesproken over het vermogen om internet uit te schakelen. De termijn is verminderd naar 30 dagen, optioneel te verlengen met nog eens 30 dagen, maar in de praktijk blijft een groot deel van de netwerken in de VS onder de voorgestemde wet vallen. Hierdoor kan de Amerikaanse overheid niet zozeer internet in zijn geheel uitschakelen, maar mag ze wel veel websites censureren onder het mom van nationale veiligheid. De befaamde Patriot Act bevat ook formuleringen die misbruik voor censuur en andere inbreuken tegen de mensenrechten moesten tegengaan, en toch gebruikte de Amerikaanse overheid deze wet al om bepaalde groepen louter op basis van hun politieke overtuigingen te bespioneren, dus het is niet zo vergezocht om te denken dat de Cybersecurity and Internet Freedom Act ook misbruikt zal worden. Overigens heeft de Amerikaanse president nu al de wettelijke mogelijkheid om internet af te sluiten, dankzij de Communications Act van 1934, die zegt dat de president in een toestand van oorlog de mogelijkheid krijgt om ‘cause the closing of any facility or station for wire communication’. In Nederland moet de overheid

PC-ACTIVE | Nr. 247 – 2011


14-04-2011 11:04:02

| ACHTERGROND

(bron: Tor)

AFSLUITEN

Tor werd eind januari ineens heel populair in Egypte

nog altijd eerst toestemming van een rechter verkrijgen voordat ze een isp kan opdragen zijn klanten af te sluiten, alhoewel het antipiraterijverdrag ACTA daar in de toekomst nog wel iets aan kan veranderen. Los van wetgeving is het overigens in veel gevallen technisch vrij eenvoudig om internet uit te schakelen: de overheid hoeft gewoon alleen maar de internetproviders de opdracht te geven om de verbindingen af te sluiten, of de verbindingen tussen providers via internet exchange points stil te leggen. In de VS of in Europa zijn er natuurlijk heel wat meer providers, internet exchange points en dns-servers dan in een land als Egypte, dus in de praktijk zal dit wel lastig worden. Bovendien hebben de VS en Europa heel wat meer verbindingen met andere landen. En heel wat bedrijven hebben ook privéverbindingen met andere bedrijven of zelfs volledig parallelle netwerken. Veel steden hebben ook draadloze wifi- of wimax-mesh netwerken. Toch is het heel goed mogelijk voor een overheid om een groot deel van zijn burgers zonder internet te zetten.

Mesh-netwerken Zoals we gezien hebben weet men in Egypte met inbelmodems, mobiele netwerken, satellietverbindingen en amateurradiozenders de internetblokkade te omzeilen. De gebeurtenissen hebben echter wel laten zien dat overheden een veel te grote greep hebben op de infrastructuur. De alternatieve verbindingsmogelijkheden zijn niet altijd even eenvoudig te gebruiken of vereisen niet zo gangbare apparatuur. Het zou dan ook helpen dat de mensen lokaal eenvoudig een mesh-netwerk kunnen opzetten met gewone apparatuur zoals wifi in laptops of smartphones. Wie dan wel internettoegang heeft kan als gateway voor anderen in hetzelfde mesh-netwerk dienen. De technologie van mesh-netwerken bestaat al, maar

ze is nog niet marktrijp. Op dit ogenblik is er een draft-standaard 802.11s die 802.11 uitbreidt met de mogelijkheid om een wlan mesh-netwerk op te zetten. Hoewel de standaard nog niet af is, wordt ze al wel ondersteund door heel wat producten, zoals de OLPC XO-laptop en de OLPC XS-server. Ook de Linux-kernel ondersteunt de 802.11s draft standaard vanaf versie 2.6.26, en FreeBSD vanaf versie 8.0. Maar het vereist nog heel wat netwerkkennis om een meshnetwerk op te zetten, dus dat moet nog heel wat gebruiksvriendelijker gemaakt worden.

Conclusie Internet volledig afsluiten is bijna onmogelijk, hoewel een overheid het zijn burgers natuurlijk knap lastig kan maken. Maar als u ziet hoeveel alternatieve manieren er ontstonden in de vijf dagen dat Egypte bijna volledig zonder internet zat, is dit hoopvol. We moeten dan wel deze ‘oude’ en gedecentraliseerde technologie en onze kennis erover blijven koesteren, én dringend gebruiksvriendelijke mesh-netwerken ontwikkelen. Dankzij de gebeurtenissen in Egypte kunnen de ontwikkelingen op dit vlak wel eens in een stroomversnelling komen.

INFORMATIE RIPE-statistieken over Egypte stat.ripe.net/egypt/ Speak2Tweet https://twitter.com/speak2tweet Google’s crisispagina over Egypte www.google.com/crisisresponse/egypt.html Internet exchange points www.bgp4.as/internet-exchanges SailMail www.sailmail.com/

PC-ACTIVE | Nr. 247 – 2011


61

14-04-2011 11:04:20

HET LAB TEKST : HENK VAN DE K AMER HENK @ HE TL AB . TK

Deze maand niet het vervolg op onze bijzondere raid, maar een vervolg op het installeren van Arch Linux op Idefix. Dit alles voor het graven van een tunnel om zo ipv6-connectiviteit te krijgen.

TUNNELS In de afgelopen nummers hebt u vast gezien dat ik een workshop over ipv6 heb gegeven. Ten tijde van het schrijven van deze aflevering was ik dan ook druk bezig met het graven van tunnels, wat de rest van de redactie erg grappig vond. Mogelijk omdat zij daarbij dachten aan mijn verbouwing? Hoe dan ook, hierdoor houdt u het vervolg van het Drobo-experiment nog een maandje tegoed en ga ik in deze aflevering mijn handen figuurlijk vies maken . Na de verhuizing in augustus 2007 heb ik Obelix permanent van ipv6 voorzien via een SixXS-tunnel – kom ik zo op terug – die ik op 19 januari 2007 heb aangevraagd [1] voor het schrijven van een artikel [2]. U ziet dat ik al heel lang gebruik maak van ipv6 ook al kon ik er de eerste jaren niet veel mee. Dat veranderde toen in december 2009 Strato de mogelijkheid bood om een ipv6subnet aan te vragen voor zijn rootservers [3]. En dat werd nog meer toen eind juni 2010 ook Hetzner – waar beide Hoefnix-servers staan, maar ook die van een paar klanten – het kon aanbieden [4]. Ik ben dus klaar voor het moment dat waarschijnlijk net nadat u dit nummer leest, zal plaatsvinden. APNIC (de registrar voor Azië) is dan door zijn ipv4-voorraad heen zodat daar op grote schaal ipv6 gebruikt zal moeten worden. Zodra dan in het Verre Oosten een nieuwe fabrikant opstaat met een product dat we hier allemaal willen gebruiken, kan het zomaar gebeuren dat u alleen de drivers kunt downloaden als u ook over ipv6 beschikt. Omdat ik alles op orde heb en ook echt dagelijks gebruik, zag ik het niet zitten om te veel aan het systeem te gaan knoeien. En dat was de reden dat ik het graven van een tunnel op een redactievergadering liet vallen.

Tunnel graven Toen in een ver verleden – zeker een decennium voordat ik er mee begon – ipv6 werd ingevoerd, had men

62

bedacht dat dit een perfect moment zou zijn om alle oude ballast van ipv4 overboord te gooien. Er was tenslotte genoeg tijd om beide systemen naast elkaar te gebruiken. U begrijpt dat ipv4 en ipv6 dus niet rechtstreeks met elkaar kunnen praten. En omdat de meeste van onze providers nog steeds liggen te slapen – beweren dat ze bezig zijn is leuk, maar ze zijn veel te laat – moeten we dus voorlopig een truc gebruiken om ons ipv6-verkeer via een ipv4-aansluiting toch het internet op te kunnen sturen. Zoiets heet een tunnel graven . We pakken ons ipv6-pakketje in als data in een ipv4-pakketje en sturen het vervolgens door de tunnel naar een server die het ipv6-pakketje weer bevrijdt en vervolgens verder stuurt. Het antwoord komt weer bij deze server aan en daar wordt het in een ipv4pakketje naar mij gestuurd. Gelukkig zijn er providers of bedrijven die dit gratis aanbieden en voor het ooit geschreven artikel heb ik SixXS gebruikt. Alleen heeft men daar een hele serie eisen en is het onmogelijk om een tweede tunnel te maken voor een workshop. Dat is weer nodig omdat het lokaal waar deze cursus is gegeven uiteraard geen ipv6 heeft en we dus ook daar een tunnel moeten gebruiken.

Idefix Het Lab-lezers weten dat ik graag dingen op een minder gebruikelijke – sommigen beweren onnodig moeilijke – manier te doen. In de februariaflevering [5] heb ik uitgelegd waarom, bijvoorbeeld het uitzoeken van draadloos toegang tot het internet. Daarvoor gebruikten we een viertal commando’s: [Arch Linux: /]# ifconfig wlan0 up [Arch Linux: /]# wpa_passphrase Armorica "geheimpje" > wpa_supplicant.conf [Arch Linux: /]# wpa_supplicant -B -Dwext -i wlan0 -c wpa_supplicant.conf [Arch Linux: /]# dhclient wlan0

PC-ACTIVE | Nr. 247 – 2011

503 Het Lab.indd 62

14-04-2011 12:02:40

HET LAB

Het eerste commando zit in het behoorlijk achterhaalde, maar in veel distributies nog gebruikte net-tools-pakket. Tijdens de installatie stap ik over op het iproute2-pakket dat sowieso noodzakelijk wordt als we een complexer netwerk gaan maken. En een ipv6-tunnel is nog te doen op de oude manier, maar ziet er veel logischer uit met de nieuwe commando’s. Voor onze VirtualBox-computer hebben we ondertussen een dhcp-clientpakket waarin het getoonde laatste commando aanwezig is. Het enige wat ik dus nog mis om een basisinstallatie met compleet zelf gemaakte pakketten op Idefix door te voeren is een pakket met de middelste twee opdrachten. Het maken van een eigen Arch Linux-pakket is vrij gemakkelijk, zeker als we als basis de versie van Arch Linux zelf kunnen gebruiken. Als eerste zet ik daarin de depends- en makedepends-regels uit door er een # voor te plaatsen. Daarmee zit er weinig ballast aan vast. Uiteraard gaat het compileren dan vaak mis omdat essentiële onderdelen ontbreken. Zo ook in dit geval en de eerste was libnl [6] en dat is een bibliotheek voor het beheren van netlink sockets. Zo’n pakket heeft meestal weer een serie headers die gebruikt worden tijdens het compileren om zo de bibliotheek te kunnen gebruiken. Ze zijn echter niet nodig voor het dagelijks werk en daarom splits ik zo’n pakket meestal in een xxx- en xxx-dev-pakket. De eerste komt dan in de depends te staan en de tweede in de makedepends. Deze toevoeging laten de Arch Linux-ontwikkelaars achterwege en hun pakketten nemen dan ook veel meer ruimte in dan de mijne. Naast libnl bleek ook dbus noodzakelijk om zo om te kunnen gaan met wisselende netwerken wat op een desktopcomputer niet ongebruikelijk is. Deze wordt door Arch Linux gesplitst, maar niet zoals u zou verwachten. Ik heb daarom mijn eigen idee doorgevoerd en via een provides-regel gezorgd dat het geheel compatibel is met de standaard Arch Linux-pakketten. U ziet dat voor een klein onderdeeltje ik al drie pakketten heb moeten maken en als we straks een grafische omgeving willen, zal dat nog veel meer worden. Ik ga dus net zoals ik ooit voor mijn servers ben begonnen, starten met mijn basis en dan aangekleed met de Arch Linux-pakketten om zo te bepalen waar ik ga starten met het maken van eigen versies. Dat wordt een flinke klus, maar op deze manier kunnen we Debian Lenny ook op de werkstations vervangen door Arch Linux in plaats van een upgrade naar Debian Squeeze.

Installatie Het installeren van Idefix is vergelijkbaar met hoe ik de VirtualBox-image heb gemaakt [7]. Er zijn wat verschillen omdat de aanwezige Windows ook moet blijven werken – dat dit is gelukt moet deze aflevering bewijzen – en dus is de indeling iets anders dan ik op mijn servers gebruik. Zo was er geen ruimte voor een kleine boot-partitie aan het begin van de harde schijf omdat daar reeds Windows staat. En weliswaar kan deze eindelijk zijn eigen partitie verkleinen, maar nog niet verplaatsen. Om straks zowel Windows als Linux

| ACHTERGROND

te kunnen opstarten, is een bootmanager nodig en aangezien Grub2 vele malen meer kan dan het nooit door mij begrepen ntloader, mag de keuze duidelijk zijn. De configuratie is vrij simpel: # (0) Arch Linux menuentry "Arch Linux" { set root=(hd0,6) linux /boot/vmlinuz26 root=/dev/sda6 ro i915.modeset=0 initrd /boot/kernel26.img } # (1) Windows 7 menuentry "Windows 7 Starter" { set root=(hd0,1) chainloader +1 } Als eerste moet ik door het ontbreken van een aparte boot-partitie nu /boot gebruiken en uiteraard was ik dat even vergeten. Waarmee we meteen kunnen aantonen hoe krachtig Grub2 is, want in het bootmenu kunnen we op e drukken en dan de regels tijdelijk aanpassen. Na een succesvolle start, kunnen we het vervolgens permanent maken. Kenners zien in de linux-regel aan het einde nog een vreemd stukje in de vorm van i915.modeset=0 staan. Deze is nodig om na het starten een leesbare commandline-omgeving te krijgen. Inderdaad, ik heb nog geen grafische omgeving die meteen gestart wordt. Het probleem is dat udev – het systeem dat de juiste drivers laadt en zorgt dat deze ook via /dev toegankelijk worden voor programma’s – de i915-module laadt voor het beeldscherm en deze dan ook voor de niet grafische omgeving in een enorm hoge resolutie springt. Zo hoog dat volgens mij een deel van de pixels wegvalt – een lcd kent tenslotte geen halve pixels – en er dus een nauwelijks te lezen omgeving ontstaat. Door de genoemde opdracht wordt de module verboden om die hoge resoluties te gebruiken. Als ik straks een grafische omgeving wil, zal dit deel waarschijnlijk moeten verdwijnen, maar tot die tijd worden mijn ogen dan in ieder geval ontzien.

Tunnelprovider Zoals gezegd zijn er meer bedrijven die tunnels aanbieden en een bekende is Hurricane Electric [8]. Het aanvragen [9] ging een stuk soepeler dan bij SixXS ondanks het feit dat ik [email protected] – elk bedrijf krijgt bij mij zijn eigen e-mailadres om zo de bron van toekomstige spam op te sporen – niet mocht gebruiken. Enige onduidelijkheid – veroorzaakt door nat – was het ip-adres dat ik als ipv4-eindpunt moest gebruiken. Omdat het externe ipv4-adres het meest logisch leek, heb ik daar voor gekozen. Vervolgens kunnen we voor allerlei systemen een voorbeeldconfiguratie opvragen en voor mijn iproute2-pakket luidt deze: modprobe ipv6

PC-ACTIVE | Nr. 247 – 2011

503 Het Lab.indd 63

63

14-04-2011 12:03:02

ACHTERGROND

| HET LAB

ip tunnel add he-ipv6 mode sit remote 216.66.84.46 local 77.163.26.44 ttl 255 ip link set he-ipv6 up ip addr add 2001:470:1f14:63a::2/64 dev he-ipv6 ip route add ::/0 dev he-ipv6 ip -f inet6 addr De eerste opdracht wordt volgens mij door Arch Linux gedaan tijdens het starten. De laatste opdracht is een controle en kan dus ook achterwege worden gelaten. De tweede opdracht maakt de tunnel aan en in plaats van mijn externe ipv4-adres heb ik hier mijn interne gebruikt. Hurricane Electric gebruikt mijn externe ipv4adres om het op mijn router af te leveren. Deze moet vervolgens de pakketjes doorgeven aan Idefix, ofwel de router moet op dit punt een vertaalslag gaan doen en wel voor protocol 41. Deze zit in dezelfde laag als tcp en udp: routers moeten deze pakketjes in ieder geval aannemen, al kan het zijn dat de vertaalslag niet aanwezig is. Omdat ik op Idefix nog geen echte browser heb, besloot ik met het wget-commando mijn eigen website aan te vragen en vervolgens met vi te kijken welk ipv6-adres de controle op Het Lab heeft gevonden. U raadt het vast! Inderdaad bleek dat mijn SixXS-adres te zijn. De Fritz!box 7270 die ik als router gebruik, heeft de SixXS-tunnel en via zogenaamde router advertisements wordt elke computer die daar om vraagt voorzien van een ipv6-adres. Nu is het onder Linux mogelijk om al dat soort automatische onzin uit te zetten en na wat experimenteren was dat ook nu weer het geval. Waarna de controle eindeloos duurde. Na een kop koffie en een capture van al het internetverkeer dat langs de Fritz!box

64

kwam, bleek dat het apparaat gewoon niet overweg kan met meerdere ipv6-tunnels. Uiteindelijk heb ik tijdelijk de SixXS-tunnel uitgezet. Ik zou ook de gegevens van de HE-tunnel moeten kunnen gebruiken, maar op het internet is te vinden dat dit door een bug alleen via de commandline goed is in te stellen. Maar uitzetten bleek voldoende om eindelijk mijn HE-ipv6 te zien [10], waarna allerlei andere zaken op mijn netwerk misgingen doordat ik zoals gezegd serieus ipv6 gebruik. Maar aangezien het zaaltje zo’n complex ipv6-netwerk niet zal kennen – ik schrijf dit voordat de cursus plaatsvindt –, hoop ik daar in ieder geval te kunnen demonstreren met mijn nu werkende HE-tunnel.

INFORMATIE Oude afleveringen zijn ook na te lezen op de officiële Het Labwebsite. De url is www.hetlab.tk/afleveringen/hetlab-jjjjmm waarin jjjj natuurlijk het jaar en mm de maand met voorloopnul is. Het juli/ augustus-nummer is 07. [1] www.hetlab.tk/pneumatix/ipv6-aanvragen [2] Uw eigen ipv6-netwerk, Alles wat u moet weten over ipv6, Henk van de Kamer, PC-Active april 2009 (#224), pag. 76-80 [3] www.hetlab.tk/strato/new-openvz-kernel [4] www.hetlab.tk/hoefnix2/ipv6-bij-hetzner [5] Het Lab, Henk van de Kamer, PC-Active februari 2011 (#244), pag. 94-96 [6] www.infradead.org/~tgr/libnl/ [7] www.hetlab.tk/artikelen/virtualbox-basis [8] www.tunnelbroker.net/ [9] www.hetlab.tk/idefix/he-tunnel [10] www.hetlab.tk/idefix/geen-he-tunnel

PC-ACTIVE | Nr. 247 – 2011

503 Het Lab.indd 64

14-04-2011 12:03:26

HAAL TUX IN HUIS! Tux de pinguïn kennen we natuurlijk allemaal als onze favoriete Linux-mascotte. Je kunt hem nu in huis halen door abonnee te worden van Linux Magazine! Lees Linux Magazine een jaar lang voor slechts €25,en ontvang gratis een opblaasbare tux t.w.v. € 30,-* (incl. verzendkosten)

Linux Magazine is het enige Nederlandse tijdschrift dat zich al 12 jaar lang richt op gebruikers van open source software en Linux in het bijzonder. In het volledig vernieuwde Linux Magazine lees je nieuws en achtergronden uit de open source-wereld, besprekingen van open source software en distributies en uiteraard heel veel praktische workshops.

1

Toch liever korting? Betaal voor een jaarabonnement geen €25,- maar slechts €19,50!

M H ET OO E GR

Voor zowel beginnende als gevorderde gebruikers is Linux Magazine ideaal om meer te leren over de ontwikkelingen en mogelijkheden van open source software.

Surf direct naar www.hubstore.nl/linux en maak je keuze! *Deze actie geldt zolang de voorraad strekt

11-01 Linux werf opblaasbare tux_REDIG.indd 22

14-04-2011 14:48:39

EXCLUSIEF VOOR PC-ACTIVE-LEZERS:

BB FLASHBACK EXPRESS: GRATIS SCREENCAPTURE SOFTWARE De programmeeromgeving Delphi is weer helemaal terug. Deze maand vindt u op de cd-rom een speciale 60-dagen versie van Delphi XE Starter Edition, waarmee u meteen aan de slag kunt. Daarnaast ook een volledige versie van BB FlashBack Express. Met deze software kunt u schermopnames maken van uw Windows-omgeving. Kijk voor de volledige inhoud op de schijf.

OP CD: DELPHI XE STARTER EDITION Delphi is een populaire programmeeromgeving die gebaseerd is op Pascal. Met Delphi XE Starter Edition kunt u volwaardige Windows-applicaties programmeren. Dankzij de uitgebreide helpfunctie is het werken met Delphi eenvoudig, maar enige programmeerkennis is wel vereist. De software kunt u 60 dagen uitproberen.

66

OP CD: BB FLASHBACK EXPRESS + UPGRADE-AANBIEDING BB FlashBack is een screencapture programma, waarmee u de handelingen op het scherm kunt ‘filmen’, zodat u de video’s kunt gebruiken voor een presentatie of tutorial. De video’s kunt u opslaan in populaire formaten, zoals Flash en AVI. Wilt u de Standard- of Professional-versie aanschaffen? Dan krijgt u een korting van maar liefst 20 procent.

WINNEN: BB FLASHBACK PRO T.W.V. € 149

OP CD: CODEDCOLOR PHOTOSTUDIO PRO

Beantwoord de vraag op de cd-rom en maak kans op het screencaptureprogramma BB FlashBack Pro ter waarde van € 149. Meer informatie vindt u op de cd-rom.

CodedColor PhotoStudio Pro is een handig programma dat de vele mogelijkheden van IrfanView, PaintShop en ACDSee combineert in een enkel programma. CodedColor PhotoStudio Pro heeft bovendien functies die u in de andere programma’s niet tegenkomt, zoals het aanmaken van zip-bestanden, het branden van cd’s en dvd’s en het samenstellen

PC-ACTIVE | Nr. 247 – 2011

102 Inhoud cd.indd 66

14-04-2011 11:00:37

| INHOUD

CD

van fotoboeken en panoramafoto’s. De software op cd kunt u 30 dagen uitproberen.

OP CD: GRATIS FILEMANAGERS Wie vaak op bestandsniveau werkt in Windows, heeft vaak niet genoeg aan de Verkenner. Gelukkig zijn er tal van alternatieven, die net even iets meer mogelijkheden bieden. Op de cd-rom vindt u deze maand een zestal gratis filemanagers voor Windows. Verderop in deze PC-Active leest u meer over deze software.

OP CD: DE NIEUWSTE BROWSERS Zowel Microsoft als Mozilla hebben vorige maand de nieuwste versies van Internet Explorer en Firefox vrijgegeven. Ook Opera heeft een nieuwe versie van haar browser uitgebracht. Is uw systeem nog niet bijgewerkt met Internet Explorer 9, Firefox 4 of Opera 11.01? Dan vindt u de laatste versies op de cd-rom.

OP CD: HTML-KIT Met HTML-Kit hebt u een gratis html-editor tot uw beschikking, die zeer veel mogelijkheden biedt voor het bewerken van webpagina’s en meer. Het pro-

gramma kan - vooral in het begin als u er net mee werkt - overweldigend overkomen door het aantal functies dat in de menubalk wordt aangeboden. Toch zijn de meeste functies wel nuttig, alleen zult u de menu’s wel op uw gemak moeten bekijken. Volgende maand gaan we in PC-Active verder met HTML-Kit, ondersteund door een reeks artikelen in het blad.

OP CD: XUS Desktop 1.2.48 Als u Windows net hebt geïnstalleerd, ziet hert bureaublad er nog overzichtelijk uit. Totdat u het besturingssysteem een tijdje hebt gebruikt: dan kan het bureaublad al snel overvol raken. XUS Desktop toont alle snelkoppelingen in een grote cirkel op het bureaublad waarbij elk pictogram een snelkoppeling naar een programma, maar ook een groep kan zijn. XUS Desktop kunt u gedurende 30 dagen uitproberen, tijdens de evaluatieperiode hebt u de beschikking over alle functies van het programma. SERVER WINDOWS HOME

| SOFTWARE

LECHTERINGEN , MAAR OOK VERS VERNIEUWINGEN

OP SC HIJF: LE ES PC-ACTIVE

CRACKE R

246 JAARGANG

Crypt

23 | 2011

isserve r!

NU! PROBEERGRA TIS EN DRIE DAG EN

ALL MY processor én minimaal al SOF 1,4 GHz 64-bits bijzondere eisen, Lice zijn niet heel nties en TWARE harde schijf. Nu passwor 28 vanwege het gethuisservers die ds op rij zijn zijn er wel oudere ongeschikt EIG EN RAD model Intel Atom vele IUS -SE bruik van een oud Vanwege deBete re RVER Home Server 2011. toch wifi-beveilig 52 voor Windows adviseren we u ing van het systeem FASCIN basissybasissy mogelijkheden de dan EREND hardware te kiezen Prog bent, VISUEE wat krachtigere rammer het samenstellen L 38 en als u toch aan En . met omdat ten steemeisen processi voor zuinige componen ABOEen ng ga dan meteen kan zijn. RT, RETRY Blunder dag en nacht actief een Home Server met 'ran , FAIL e met een ruime je, in combinati dom' sleu 14 voor mini-itx-moederbord tels SQUEEZ uitingen is al voldoende hoeveelheid sata-aansl Internet EBOX RADIO nde thuisserver. radio met een prima presterere 16 basis is wel, dat apps nadeel van de nieuwe is met de DEN Een belangrijk iteit vergelijkbaar K AAN is HET Hennieuw – hoewel veel functional MIL compleet ks 2011 IEU! digi Server ont-tale ja|n oude versie – Home de 2007-versie ee-stick 88 dat speciaal voor CRYPTIversie er met als gevolg in de nieuwe SCHE MA niet meer werken Slin LWARE worpen add-ins d. ks prog rammer worden ontwikkel 84 en opnieuw moeten

S SD N UW PIC

SERVER 201

1 | WIR

Niet lan ge wachten r ! 20

ESHARK

|

en met DUPEGU C Spoor alleRU 2011? in de Drive Extender in dub van dit artikel: 29 bele al in het begin We noemden het MEDIO waarmee files op Extender, WHS zit Drive N-S in de eerste versie van schijven CHR Blocnote IJFB gemak het aantal nd!! tablet in LOK 26 u met het grootste eenenbehoorrovider van Nederla . Het is dan ook één Beste usenet-p uitbreiden kunt TELEN

VERSLEU

server

48 ws.eu www.hitne SY

246 – 2011 PC-ACTIVE | Nr.

MET TRU

STEEM CH

ECRYPT

GRATIS

Mifare05x142.5.indd adv_hitnews_1

OFFICE

DVD 246 gemist?

OFFLINE

WINDO WS HO SERVER ME makkelijks 2011 te thu

HOME

informatie naar www.pc-activ

246 – 2011 PC-ACTIVE | Nr.

58

UW WE Gebruik BSITE de Goo 44 gle-bon nen! OFFICE Het grat STARTER 201 is weggeve 0 74 64-bits rtje heeft er wel voor de 2008-basis sy- TEKSTEDIT De overstap naar Server iets hogere ORS Home Gev Windows een orderd gezorgd dat werkgeheugen, gereedsc 34 gekregen. 1 GB hap steemeisen heeft een 160 GB

T MIFARE

NIEM 78 VERBOR AND ZIET UW GE Slimme r versleutN PARTITI elen me t True E

Microsoft besloten r om te zien dat lijke tegenvalle te leveren in niet meer mee heeft Drive Extender als argument dat Microsoft gebruikt komt (dat de 2011-versie. niet ten goede PROMO Drive Extender OT de snelheid De

DOWS

bestellen. Ga voor meer

58

de allernieuwste geschikt voor is helaas minder versie, op dit is er voor de nieuwe hardware. Daarom Windows Home onder de codenaam moment bekend Server 2008 R2 voor Windows Server Vail, gekozen 7. ant van Windows 64-bits, de servervari

KTIJK | WIN

W

UIT ME

Windows Home Server 2011 Dashboard

SSD-PRA

is aan meer toe als er behoefte rsies en voegt extra schijven een variingewikkelde raid-conve Server 2011 is opslagruimte. Geen indows Home de ene naar de is van mappen van Server die speciaal ook het overzetten ant op Windows geworden is, is de disk te klein thuisgebruik. Behalve of andere schijf omdat aangepast voor veel data heeft is gebaseerd, is Handig voor wie niet meer nodig. dat het op Windows foto- of film-biblio maakt om begroeiende muziek-, er het makkelijk almaar die een ‘veiligstellen’, kies het een omgeving erk en ook u uw gegevens binnen het thuisnetw theek heeft. Wilt map wordt dan Verder standen te delen te dupliceren. De uw bestanden. mappen tot de geeft voor dan schijven. Mocht via internet toegang ogelijkheden op verschillende uitstekende back-upm twee keer opslagen, dan kunt te heeft Microsoft netwerk. En van die schijven, een uw in met gaan systemen er iets mis schijf. Uiteraard Windowsvoor alle Windowsn op de andere in basis kunt u gewoon allen tijde terugvalle schijven. Verderop door die Windowstwee er vele spezijn minimaal . Daarnaast vereist dit wel Drive Extender. toepassingen installeren verkrijgbaar informatie over ontwikkelde ‘add-ins’ dit artikel meer vergeleken met ciaal voor het OS worden uitgeServer wordt vaak tionaliteit kan Windows Home aten voor een waarmee de serverfunc er vele nas-appar echt een nas. Hoewel ar zijn, zijn de breid. prijs verkrijgba betrekkelijk lage bijvoorbeeld Synology nas-systemen van u een als krachtige niet enten . Zeker Fundam Home Server kwam echt goedkoop van Windows en Qnap niet kunnen worden fans De eerste editie een grote schare waarin veel schijven kon direct op systeem zoekt dan prijstechin 2007 uit en Home Server kan opties van de oorde interessantste geplaatst. Windows systeem zelf rekenen. Een van vooral als u uw de ingebouwuiHome Server is nisch gunstig uitvallen, n veel sata-aansl spronkelijke Windows al doet vermoede moederbord met Zoals de naam samenstelt. Een is niet duur de Drive Extender. combineren tot een losse controller verschillende schijven tingen en eventuele kast met een kunt u hiermee één schijf en ook voor een me. U begint met Server en dat geldt natuurlijk sities. Een Home één groot opslagvolu inbouwpo behoorlijk aantal juist zo krachtig en zo zuinig of kunt u zo eenvoudig dvd e wilt. maken als u zelf Server op PC-Activ voor een opvolger Windows Home het inmiddels tijd dvd bij het blad ontvangen. Microsoft vindt versie maakte hebben deze maand een Abonnees van PC-Active De oorspronkelijke Windows Home Server software - de RC1 van van de eerste editie. fundament, Server 2003 als Daarop - naast alle andere deze dvd alsnog apart los gekocht? Dan kunt gebruik van Windows XP. Die software 2011. Hebt u deze PC-Active e.nl/dvd. basis als Windows oftewel dezelfde

Het gebruiksvriendelijke

2011

de markt, de Server 2011 op Windows Home lange tijd komt vernieuwingen en zitten de nodige Binnen niet al te van Microsoft. Er – helaas een voor thuisgebruik bescheiden mening serversoftware heeft – naar onze zin heeft. maar Microsoft upgraden nog wel of nu verbeteringen in, is vraag rd. De onderdeel verwijde heel aantrekkelijk

UW OV -KAART

| APRIL

VER A ARDT TEKST : FR ANK E

1

Probleme de bes n verhelpen te gratis met tools!

Offl AllMySoftwaine Cracker HxD 1.7.7. re 1.6 twv € 19 0 SpaceSniffe PassMark r 1.1.2.0 Minitool DiskCheckup 1.0 Partition Wizard

-TECHNI

Home 5.2 vStubst + ISO-image 1.8.0.1 Hard Disk ProcessingScrubber 3.3 voorbeelde 1.2.1 + OpenOffi n ce 3.3.0

EKEN:

ZOEKEN

ECK-UP

59

68 WIRES HA Analyse RK er

30-08-2010 11:43:59

netwer

Portable Apps Suite 7-zip 9.20 1.6.1 Adober Reader X NL FastStone PDF Creat Image Viewer 4.3 Mozilla or 1.2.0 Firefox 3.6.15 NL

ÉN VIND EN

WWW.PC-AC TIVE.N

JAARGANG

uw kverkeer

23 | APRIL.L NR. 246 2011

€ 6,99

IN EXCE L

Vorige maand troffen abonnees van PC-Active een dvd bij het blad. Met daarop onder meer gratis harddisk tools, Windows Home Server 2011 RC1 en Service Pack 1 voor Windows 7. U kunt deze dvd nog nabestellen voor € 4,95 inclusief verzendkosten. Kijk voor meer informatie op: www.pc-active.nl/dvd246 PC-ACTIVE | Nr. 247 – 2011

102 Inhoud cd.indd 67

67

14-04-2011 11:01:18

BITCOIN: DIGITAAL EN ANONIEM GELD

DENKWERK TEKST : KOEN VERVLOESEM

Waarom hebben we eigenlijk nog banken nodig? Zou het niet leuk zijn als iedereen online zou kunnen betalen voor goederen met een digitale en anonieme geldeenheid? Dat is inderdaad mogelijk: er bestaan verschillende systemen die digitaal geld implementeren op een gedistribueerde manier, waardoor banken overbodig worden. We bekijken hoe dit werkt.

D

e meest gebruikte elektronische geldsystemen zijn gecentraliseerd. Denk bijvoorbeeld aan Paypal: alle betalingen gaan via het bedrijf Paypal (sinds 2002 onderdeel van Ebay), en dat betekent een single-point-of-failure: Paypal zelf kan bijvoorbeeld eenvoudig beslissen om iemands geld te bevriezen (zoals het met Wikileaks deed eind 2010), en een denial-of-service-aanval op de website van Paypal (zoals door Anonymous gebeurde als wraak voor het bevriezen van de Wikileaksaccount) kan het geldverkeer van iedereen lamleggen. Een gedecentraliseerd geldsysteem heeft deze nadelen niet: er is dan niet meer één partij die de hele infrastructuur in handen heeft. Het bekendste gedecentraliseerde digitale geldsysteem is Bitcoin, dat in 2009 gecreëerd is door Satoshi Nakamoto, een persoon waarover overigens niets bekend is buiten het domein van Bitcoin, dus misschien is het wel een pseudoniem. Bitcoin is een vorm van ‘cryptocurrency’, een concept dat in 1998 door Wei Dai geïntroduceerd is op de cypherpunks mailinglist. Cryptocurrency is digitaal geld dat niet door een centrale bank uitgegeven wordt, maar waarvan de echtheid door cryptografie gewaarborgd wordt.

Peer-to-peer Bitcoin gebruikt een gedistribueerde database die over computers in een peer-to-peer-netwerk verspreid is. Deze database bevat de uitgevoerde transacties. Hoewel Bitcoin dus geen centrale bank heeft, waarborgt deze gedistribueerde database dat geld niet

68

dubbel uitgegeven wordt of op een andere wijze vervalst. Hiervoor wordt cryptografie gebruikt. Omdat er geen centrale bank is, is er ook geen instantie die op eigen houtje inflatie kan creëren door geld bij te drukken zoals we in de laatste jaren in de VS op grote schaal zien gebeuren. Bovendien kunt u met Bitcoin ook anoniem eigenaar zijn van geld of transacties uitvoeren. Kortom, Bitcoin heeft heel wat interessante eigenschappen, en we gaan nu eens dieper op de techniek erachter in. Elke gebruiker van Bitcoin heeft een ‘wallet file’ (wallet.dat) op zijn computer of gebruikt een third-party ‘wallet service’. Hierin kunt u een willekeurig aantal cryptografische sleutelparen opslaan (zie ook het artikel over encryptie in PC-Active 245, Bitcoin gebruikt geen RSA, maar ECDSA of Elliptic Curve Digital Signature Algorithm). Een hash van de publieke sleutel van zo’n sleutelpaar werkt als Bitcoin-adres. Zo’n adres wordt dus in transacties gebruikt om de zender of ontvanger van een betaling via Bitcoin aan te duiden. Een adres wordt voorgesteld door een reeks van willekeurige cijfers en letters van rond de 33 tekens lang (in Base58-notatie, dus Base62 [a-zA-Z0-9] zonder de potentieel verwarring opleverende tekens 0, O, I en l) en is in principe anoniem: er staat geen naam in. Zodra u met zo’n adres transacties gaat uitvoeren, ziet iedereen aan de hand van het adres natuurlijk wel welke andere transacties u hebt uitgevoerd, want door het peer-to-peer-karakter zijn alle details over een transactie voor iedereen bekend. Maar u kunt zonder problemen verschillende adressen hebben: u genereert dan gewoon een nieuw sleutelpaar, wat

PC-ACTIVE | Nr. 247 – 2011

502 denkwerk.indd 68

14-04-2011 11:06:59

DENKWERK

helemaal niet lang duurt. Als u volledig anoniem wilt blijven, kunt u dus gerust voor elke transactie een nieuw adres genereren en ervoor zorgen dat u deze adressen nooit samen met uw naam of een te identificeren e-mailadres vermeldt. Op deze manier kunnen twee personen aan elkaar geld overmaken zonder dat beiden elkaars identiteit kennen, maar toch met de waarborg dat het geld geldig is. Iedereen ziet dan wel dat er een bepaald bedrag tussen twee personen is overgemaakt, maar niet wie die personen zijn.

Cryptografie Elke bitcoin bevat het adres van de eigenaar. Bij elk adres hoort echter ook een privésleutel. Wanneer gebruiker A bijvoorbeeld een bitcoin aan gebruiker B betaalt, voegt A het adres van B aan de bitcoin toe en ondertekent dit met zijn eigen privésleutel. De bitcoin bevat dan de informatie dat A afstand doet van deze bitcoin met als begunstigde B. De bitcoin wordt dan in een transactie over het peer-to-peer-netwerk naar alle nodes gebroadcast. Alle computers in het netwerk kunnen de cryptografische handtekeningen valideren en zo de geldigheid van de transactie nagaan voor ze deze accepteren. Verlies het bestand wallet.dat niet, want zonder de privésleutel verliest u feitelijk alle bitcoins die met dit adres geassocieerd zijn. Om fraude tegen te gaan, bevat de gedistribueerde databank van alle bitcoins een volledige geschiedenis van wie er op welk moment eigenaar van was. Dankzij de cryptografische ondertekeningen kan het pad van de bitcoin gevolgd worden en loopt iemand die een bitcoin twee keer probeert uit te geven tegen de lamp. Elke node verzamelt immers nieuwe transacties in een blok en probeert een cryptografisch probleem op te lossen. Wanneer het blok is opgelost, wordt het naar iedereen op het netwerk gestuurd: elke computer valideert dit en accepteert het blok dan als nieuwe geschiedenis van de bitcoin, waarna het aan de gedistribueerde databank wordt toegevoegd. Op de website Bitcoin Block Explorer kunt u overi-

| ACHTERGROND

Een blok oplossen Het cryptografische probleem dat Bitcoin-gebruikers kunnen oplossen voor kandidaatblokken gaat als volgt. Een blok met de geschiedenis van transacties wordt aangevuld met de vorige hash-waarde van dit blok en een willekeurige salt-waarde, en van dit geheel wordt een sha-256-hash berekend. Als het resultaat kleiner is dan een bepaalde grenswaarde, is het blok ‘opgelost’; in het andere geval genereert de computer opnieuw een willekeurige salt-waarde en berekent opnieuw de hash. Deze grenswaarde ligt zo laag dat de kans dat de hash-waarder eronder ligt vrij klein is en het dus vrij lang duurt voor een computer het blok ‘opgelost’ heeft. Daarna is het voor andere computers echter heel eenvoudig om te controleren of het blok opgelost is. Omdat computers elk jaar sneller worden, neemt de moeilijkheid van het probleem af, maar dit wordt eenvoudig gecompenseerd door de grenswaarde dan lager te maken.

gens transacties, blokken en adressen bekijken, wat handig is om de details van transacties te bekijken of om te verifiëren of een betaling gebeurd is. Hier kunt u ook zien dat de anonimiteit relatief is: als iemand bijvoorbeeld zijn Bitcoin-adres op zijn website plaatst om donaties te vragen, kunt u op de Botcoin Block Explorer eenvoudig zien hoeveel bitcoins die persoon ontvangen heeft. Maar dat is natuurlijk enkel mogelijk als die persoon zijn bitcoin-adres gepubliceerd heeft samen met informatie waardoor hij geïdentificeerd kan worden, wat in de meeste gevallen dan ook bewust is gedaan.

Bitcoins genereren Maar waar komen die bitcoins dan vandaan? Het Bitcoin-netwerk creëert om de tien minuten nieuwe bitcoins en verspreidt deze willekeurig onder iemand die de Bitcoin-software draait met de optie ‘generate coins’. De waarschijnlijkheid dat zo’n batch bitcoins aan iemand toegewezen wordt, is evenredig met de computerkracht die hij aanbiedt. Immers, voor elke ontvangen batch bitcoins moet een computer een cryptografisch probleem voor kandidaatblokken oplossen, wat wel wat rekenwerk vereist. De eerste

Het netwerk bevat van elke bitcoin een volledige geschiedenis van alle transacties

PC-ACTIVE | Nr. 247 – 2011


69

14-04-2011 11:07:23

ACHTERGROND

| DENKWERK

Bitcoin Block Explorer toont informatie over elke transactie, elk blok en elk adres in de Bitcoin-economie

die een oplossing voor het probleem vindt, kondigt het opgeloste blok aan op het netwerk en krijgt een nieuwe batch van bitcoins. In feite functioneren de bitcoins dus als beloning voor diegenen die door computertijd te doneren het bitcoin-netwerk mee in stand houden. Het aantal gegenereerde bitcoins per batch bedraagt voorlopig 50, en deze beloning die u krijgt voor het oplossen van kandidaatblokken neemt mettertijd af. Het is immers zo geprogrammeerd dat er nooit meer dan 21 miljoen bitcoins kunnen bestaan. Het aantal bitcoins groeit elke vier jaar aan volgens een meetkundige reeks: tegen 2013 (vier jaar na het ontstaan) is de helft van het uiteindelijke aantal bitcoins al gegenereerd, tegen 2017 zal 3/4 (1/2 + 1/4) gegenereerd zijn, rond 2021 zal 7/8 (1/2 + 1/4 + 1/8) al gegenereerd zijn, enzovoorts. Hoe dichter bij de limiet van 21 miljoen, hoe meer deflatie er zal plaatsvinden: bitcoins worden dan meer waard. Maar omdat bitcoin-geld

Ander digitaal geld Bitcoin is het bekendste gedistribueerde digitaal geldsysteem, maar er zijn er nog andere. Ripple bijvoorbeeld, dat al sinds 2004 bestaat, maar nog niet echt functioneel is. De waarde van geld is in Ripple gebaseerd op het vertrouwen dat al bestaat tussen mensen in sociale netwerken in de echte wereld. Andere projecten zijn MetaCurrency, OpenCoin en Cyclos. Dit laatste is niet gedecentraliseerd, maar bedoeld om geldtransacties in een lokale community te beheren. Voor elke situatie is er dus wel een implementatie van elektronisch geld te vinden waarvoor u geen banken meer nodig hebt.

70

een waarde kan hebben tot acht cijfers achter de komma (0,00000001 BTC is de kleinst mogelijke waarde), hoeft dat niet zo’n probleem te zijn. Omdat de beloning van 50 bitcoins vrij veel rekenwerk vraagt en voor een individu dus lang duurt, hebben enkele slimmeriken het concept van ‘pooled mining’ uitgewerkt: u kunt met een groep deelnemen aan een berekening en als het blok dan opgelost wordt door één van de leden, wordt de beloning verdeeld. Er bestaan verschillende van deze pools, kijk in het kader met hyperlinks voor enkele websites. Omdat de beloning voor de rekentijd mettertijd afneemt, zal het Bitcoin-netwerk op een bepaald moment moeten overstappen naar een alternatieve manier van belonen: gebruikers zullen dan een commissie op transacties ontvangen.

Bitcoin in de praktijk Zelf Bitcoin gebruiken is vrij eenvoudig: het project heeft een open-sourceprogramma uitgebracht dat op Windows, Linux en Mac OS X draait. De client heeft eigenlijk twee doelen. Enerzijds houdt het uw wallet bij met al uw adressen en toont het al uw transacties en hoeveel bitcoins u op uw ‘rekening’ hebt staan, en anderzijds (als u deze optie in de instellingen inschakelt) rekent het programma ook op de achtergrond mee om kandidaatblokken op te lossen. Helaas kan het programma voorlopig nog niet met ipv6 overweg. De peers vinden elkaar overigens door te verbinden met een irc-server (het kanaal #bitcoin op irc.lfnet. org). Lukt dit niet, dan gebruikt de client een inge-

PC-ACTIVE | Nr. 247 – 2011


14-04-2011 11:07:57

DENKWERK

bouwde node list en vraagt aan die nodes meer adressen van nodes. U kunt zelf bitcoins aan iemand sturen door op de knop Send Coins te klikken, waarna u het ip-adres of het Bitcoin-adres van de ontvanger invult. Als iemand u bitcoins betaalt, krijgt u dit ook in het venster van de client te zien (overigens duurt dat de eerste keer vrij lang omdat u eerst heel wat blokken moet downloaden). Wanneer u een bedrag ontvangt, krijgt u in de transactielijst te zien hoeveel nodes de transactie geverifieerd hebben. Hoe hoger dit aantal, hoe kleiner de kans dat er iets mis is met de transactie. Overigens accepteert de client voorlopig slechts twee cijfers achter de komma voor bitcoin-waarden. Op de website Bitcoin Faucet kunt u gratis 0,05 bitcoins krijgen, zodat u met het digitale geld kunt beginnen te experimenteren. Als u zelf bitcoins wilt aanmaken door uw computer aan het werk te zetten, kan dit met de standaard client, maar er is ook een commandline-versie voor als u dit bijvoorbeeld op een headless server wilt uitvoeren. Bovendien zijn er naast de officiële Bitcoin-client ook third-party programma’s die geoptimaliseerd zijn om sneller het rekenwerk te kunnen uitvoeren. Zo zijn er versies die hardwareversnelling op grafische kaarten gebruiken via OpenCL en CUDA (zie PC-Active 218). Bovendien draait de officiële Bitcoin-client zijn rekenwerk op een lage prioriteit om uw normale werk niet te verstoren; de third-party clients doen dit vaak niet, zodat ze sneller aan bitcoins geraken. Als u wilt berekenen wat de verwachte rekentijd is voor u een batch bitcoins krijgt, dan kunt u hiervoor een online calculator gebruiken (zie kader ‘hyperlinks’): de huidige moeilijkheidsfactor is al ingevuld, en u hoeft daar enkel uw hash rate (in duizenden hashes per seconde) in te vullen. De officiële client toont die hash rate onderaan links in de statusbalk. Schrik er niet van als uit de online calculator blijkt dat u een paar maanden nodig hebt om bitcoins te krijgen: voor normale computers is het rekenwerk inderdaad vrij zwaar; er is dan ook al kritiek gekomen dat eigenaars

| ACHTERGROND

van sterke grafische kaarten bevoordeeld zijn, omdat zij met speciale clients tien tot twintig keer sneller aan bitcoins geraken. Op de wiki van Bitcoin vindt u een ‘Mining hardware comparison’ met vergelijkingen. Wie liever een webinterface heeft, kan zich op de website BitcoinMe inschrijven. Zo hebt u overal toegang tot uw Bitcoin-geld: u kunt ermee betalen en bitcoins uitwisselen tegen dollars. Voor mobiel gebruik is er overigens een experimentele Android-applicatie (Bitcoin Wallet) waarmee u bitcoins kunt uitwisselen tussen telefoons door een QR-code te scannen die door de applicatie getoond wordt. Voorlopig is de applicatie nog beperkt tot een testnetwerk, waardoor u

Bitcoin kan een doorn in het oog van de overheid zijn: uw financiën zijn niet meer te controleren er geen echte bitcoins mee kunt verhandelen, maar zo gauw het programma stabiel is, zal dit wel mogelijk worden, wat zeker het gebruik van bitcoins in de ‘echte wereld’ zal stimuleren. Overigens heeft Bitcoin een JSON-RPC API: u kunt het commandline-programma als server draaien en in allerlei programmeertalen toegang tot die server krijgen om transacties uit te voeren.

Bitcoin-economie Voorlopig is de Bitcoin-economie nog vrij klein en kunt u er ook nog niet op veel plaatsen mee betalen. Een aantal organisaties laten al donaties toe in bitcoins, zoals bijvoorbeeld de Electronic Frontier Foundation (EFF) en het Singularity Institute. Op de website BitcoinAddress.com vindt u een bescheiden lijst met de Bitcoin-adressen van organisaties die bitcoins als donatie aanvaarden, en op de wiki van Bitcoin vindt u een pagina met bedrijven die bitcoins

Transacties in BTC voert u uit met de Bitcoin-client

PC-ACTIVE | Nr. 247 – 2011


71

14-04-2011 11:08:25

ACHTERGROND

| DENKWERK

aanvaarden als betaling voor hun diensten. Het gaat onder andere om bedrijven die websiteontwerp en hosting aanbieden, maar ook fysieke goederen kunt u op sommige plaatsen met bitcoins betalen. Op websites zoals BitcoinMarket.com kunt u bitcoins verhandelen voor echt geld, zoals dollars. Het valt echter op dat de waarde van de bitcoin vrij laag is, op dit moment US$ 0,87 of € 1,20. Als u dit bijvoorbeeld vergelijkt met de energiekost van uw computer die 24 op 7 aanstaat, of met de kosten om een bitcoin miner op Amazon EC2 te laten draaien, dan komt u toch bedrogen uit: de beloning in bitcoins die u krijgt voor uw rekenwerk ligt omgerekend in dollars een factor 100 onder de waarde die u er insteekt. Die verhouding zal in de komende jaren wel veranderen, aangezien de waarde van bitcoins mettertijd stijgt. Toch moet u deze wanverhouding niet als een anomalie zien: deze beloning is enkel bedoeld om mensen (lichtjes) aan te sporen mee te helpen met de benodigde berekeningen, en als u dit enkel doet op momenten dat u uw computer sowieso hebt aanstaan, zijn de extra kosten natuurlijk verwaarloosbaar. Het is de bedoeling dat de meerderheid van de gebruikers aan bitcoins komt door iets te verkopen, en dat bepaalt dan de waarde van bitcoins. Wie nu echter veel bitcoins genereert, kan – als de waarde eenmaal genoeg stijgt – misschien wel goede zaken doen. Een nadeel van Bitcoin is overigens dat transacties niet terug te draaien zijn, bijvoorbeeld als er een fout heeft plaatsgevonden of als u opgelicht bent. Bij een gecentraliseerd banksysteem kan dit wel: bij Paypal kunt u klagen als u opgelicht bent, en dan doen zij

moeite om na te gaan wat er gebeurd is en annuleren de transactie. Door de gedistribueerde opzet bij Bitcoin is er daar echter geen enkele partij met de macht om een transactie te annuleren: zo gauw een transactie op het netwerk is verstuurd, is ze onherroepelijk, en als u de transactie wilt terugdraaien kan dat enkel met de toestemming van uw tegenpartij. Websites zoals Bitcoin OTC bieden een ‘web of trust’dienst aan zodat u de reputatie van een anonieme tegenpartij kunt opvragen. Maar stel dat Bitcoin op lange termijn wel ingeburgerd raakt, zal het dan een levensvatbare economie zijn? Dat hangt natuurlijk van veel factoren af, maar de anonimiteit van gebruikers zal zeker een doorn in het oog zijn van overheden. Als Bitcoin populair wordt, zal het daardoor immers een eenvoudige manier zijn om belastingen te ontduiken, aangezien niemand uw inkomsten via Bitcoin kan bewijzen als u uw adres(sen) niet samen met uw naam publiceert. Overheden zullen dan zeker proberen om Bitcoin illegaal te maken of er beperkingen aan op te leggen. De Amerikaanse overheid heeft dit in het verleden met andere systemen al gedaan: het bedrijf achter het digitale geld e-gold bijvoorbeeld werd veroordeeld omdat het zou meewerken aan het witwassen van geld en omdat het niet de benodigde licenties voor een bank had. Anderen wijzen er echter op dat een systeem als Bitcoin juist heel nuttig zal zijn als onze wereld ooit in anarchie terechtkomt: als we geen overheden en centrale banken meer hebben, zal Bitcoin een van de weinige nog betrouwbare manieren van betalen zijn.

De website Bitcoin Charts toont financiële informatie over de BTC

72

PC-ACTIVE | Nr. 247 – 2011


14-04-2011 11:08:51

DENKWERK

Dat lijkt voorlopig eigenlijk de enige situatie waarin een systeem als Bitcoin echt kan doorbreken. Want als er nog sterke overheden bestaan terwijl Bitcoin populair wordt, zullen die het systeem zeker willen reguleren en als het illegaal maken niet lukt, zal de belastingdienst zeker bij u aankloppen als u uw bitcoins omruilt voor een grote som geld. Maar Bitcoin is heel moeilijk te vernietigen omdat het een gedistribueerd netwerk is en een open-sourceproject. Als de overheden gaan tegenwerken zijn bitcoin-gebruikers gewoon verplicht om ondergronds te gaan en een parallelle economie op te richten, uit het zicht gehouden door bijvoorbeeld Tor. De vraag is natuurlijk of Bitcoin technisch gezien wel blijft werken als het echt grootschalig wordt gebruikt. Als er steeds meer transacties plaatsvinden, die steeds meer opslag en netwerkverkeer vereisen omdat een blok de hele transactiegeschiedenis van bitcoins bevat, dan begrijpt u dat clients steeds meer rekenwerk en bandbreedte nodig hebben gewoon maar om transacties op een betrouwbare manier uit te voeren. Dit is dus zeker iets om in het oog te houden, maar in principe hoeft dit niet problematisch te zijn. Op dit moment is het systeem gedistribueerd, waarbij elke client (peer-to-peer) transacties valideert, maar Bitcoin kan op termijn overschakelen naar een gedecentraliseerde architectuur, waarbij de clients al dat rekenwerk uitbesteden aan organisaties met krachtiger computers. Nu lijkt dat misschien een terugkeer naar een gecentraliseerd geldsysteem, maar dat is het niet: elke client kan dan nog altijd kiezen of hij zelf de geldigheid van bitcoins valideert, of dat hij dat rekenwerk aan een professionele partij uitbesteedt. Bovendien heeft hij ook zelf de keuze aan wie hij dat uitbesteedt, zodat hij zelf een partij kiest die hij vertrouwt, tegen de betaling van een kleine commissie op de transactie. Maar niemand van deze partijen heeft een monopolie: elke partij, groot of klein, kan nog altijd transacties valideren. En als een grote partij uit het systeem stapt, verdwijnen er geen bitcoins, aangezien de databank gedecentraliseerd is. De enige manier om de Bitcoineconomie te vernietigen is alle bitcoins opkopen... En enkel wie meer dan de helft van de totale cpuverwerkingskracht van alle nodes bezit, is in staat om het systeem te verstoren.

Conclusie Bitcoin is om heel wat redenen een interessant project. Het is niet het eerste gedistribueerde elektronische geldsysteem, maar wel het eerste dat een redelijke populariteit heeft en een bloeiend ecosysteem van ontwikkelaars. In het project komen bovendien technische, economische en maatschappelijke aspecten samen. Of het uiteindelijk bruikbaar wordt, valt nog af te wachten, maar wie meer over al deze aspecten van Bitcoin wil lezen, vindt in de wiki nog massa’s informatie.

| ACHTERGROND

INFORMATIE Cryptocurrency weidai.com/bmoney.txt Bitcoin www.bitcoin.org/ Bitcoin wiki https://en.bitcoin.it/ ‘Bitcoin: A Peer-to-Peer Electronic Cash System’, Satoshi Nakamoto www.bitcoin.org/bitcoin.pdf Protocolspecificatie Bitcoin https://en.bitcoin.it/wiki/Protocol_specification BitcoinAddress.com bitcoinaddress.com Bitcoin Generation Calculator www.alloscomp.com/bitcoin/calculator.php Bitcoin Market https://bitcoinmarket.com Bitcoin Block Explorer blockexplorer.com/ DiabloMiner (voor OpenCL) https://github.com/Diablo-D3/DiabloMiner Mining hardware comparison https://en.bitcoin.it/wiki/ Mining_hardware_comparison Bitcoin Pooled Mining mining.bitcoin.cz/ Deepbit deepbit.net/ BitPenny bitpenny.com/ Bitcoin Pool bitcoinpool.org/ Bitcoin forum www.bitcoin.org/smf/ Bitcoin Trade https://en.bitcoin.it/wiki/Trade Bitcoin OTC www.bitcoin-otc.com/ BitcoinMe www.bitcoinme.com/ Bitcoin Faucet https://freebitcoins.appspot.com/ Kaart van Bitcoin-gebruikers www.bitcoinmap.com/ Bitcoin scalability https://en.bitcoin.it/wiki/Scalability Dagelijkse info over Bitcoin https://twitter.com/bitcoineconomy Bitcoin Watch bitcoinwatch.com/ Bitcoin Charts bitcoincharts.com/ Ripple ripple-project.org/ MetaCurrency www.metacurrency.org/

PC-ACTIVE | Nr. 247 – 2011


73

14-04-2011 11:09:18

DICHTERBIJ DAN U MISSCHIEN VERMOEDT

GENEESKUNDE OP AFSTAND TEKST : Y VES SUCAE T

De ontwikkelingen in de medische wetenschap gaan snel. Het internet speelt daarin ook een steeds belangrijkere rol. En dan niet in de zin van een Elektronisch Patiënten Dossier. De macht en kracht van het web gaan veel verder. We laten u kennismaken met wat mogelijk is op het gebied van ‘geneeskunde op afstand’.

S

tel u zich het volgende eens voor: bij een routineonderzoek bij de dokter wordt een verdacht knobbeltje in uw nek aangetroffen. Voor de zekerheid wordt in het ziekenhuis een scan gemaakt. U verwacht dat de gegevens van die scan door de arts ter plekke worden onderzocht, maar dat hoeft helemaal niet. De kans is aanwezig dat de data via internet de wereld rondgestuurd wordt om bijvoorbeeld in India te worden geanalyseerd door een anonieme medewerker van een radiologisch onderzoekscentrum. Zou dit scenario werkelijk plaats kunnen vinden? Draait het in dit soort situaties vooral om het besparen van kosten of zou de patiënt er ook baat bij kunnen hebben? In dit artikel een stand van zaken van wat er mogelijk is als ‘geneeskunde op afstand’ – ook

Standaarden Het moge duidelijk zijn dat standaarden een belangrijke rol spelen in informatica. Dankzij een serie afspraken voor wat de standaardprotocollen betreft, werkt het internet wereldwijd. In de geneeskunde gaat het niet anders: steeds meer apparatuur genereert meer en meer gegevens die elektronisch worden opgeslagen om later te verwerken. Een voorbeeld is het DICOM-formaat, dat door heel wat bedrijven ondersteund wordt voor de opslag en behandeling van medische beeldinformatie zoals mri- en ctscans. Een ander voorbeeld is HL7, dat gebruikt wordt om patiëntgegevens te verwerken en te versturen tussen verschillende sites.

74

wel telegeneeskunde genoemd – wordt bedreven. De meest eenvoudige definitie van telegeneeskunde: patiënt en medisch personeel zijn niet op dezelfde plaats op hetzelfde tijdstip, maar zijn wel met elkaar verbonden via informaticatoepassingen. Voorbeelden vinden we aan beide einden van het spectrum: aan de ene kant is er het outsourcen van routinetoepassingen in diagnostische radiologie (het interpreteren van medische scans), aan de andere kant hebben we het over bijna science-fictionachtige toestanden waarbij robotapparatuur op afstand wordt bediend. Het in het begin van dit artikel geschetste scenario van het wegsturen van scans ter analyse vindt al plaats in de Verenigde Staten. Radiologen in India werken goedkoper dan hun Amerikaanse collega’s.

Teleradiologie Als we het hebben over het geneeskunde op afstand, dan is teleradiologie (zoals in het voorbeeld in het begin van dit artikel) inmiddels het verst gevorderd. Dankzij de DICOM-standaard (zie het kader ‘Standaarden’) is het makkelijk om medische beelden via internet uit te wisselen. Breedbandinternet zorgt er voor dat er grote hoeveelheden informatie (honderden MB’s of meer per dossier/patiënt is geen uitzondering) zonder problemen kunnen worden uitgewisseld. Picture archiving and imaging systems (PACS) en radiology information systems (RIS) maken het plaatje compleet.

PC-ACTIVE | Nr. 247 – 2011

504 telegeneeskunde.indd 74

14-04-2011 10:26:32

TELEGENEESKUNDE

| ACHTERGROND

De DICOM-standaard maakt het makkelijk om medische afbeeldingen via het internet uit te wisselen

Een voorbeeld van telechirurgieopstelling in Canada

In sommige ziekenhuizen wordt de interpretatie van medische gegevens vandaag al verzorgd door externe bedrijven. Soms gaat het over nearshoring: een ziekenhuis op het platteland heeft wel de nodige apparatuur, maar niet de mogelijkheid om een voltijdse specialist in dienst te nemen. In zo’n omgeving is het nuttig dat een samenwerkingsverband wordt afgesproken tussen een groter universitair ziekenhuis en een aantal kleinere landelijke klinieken. Zo’n situatie is prima voor alle betrokkenen: patiënten hoeven minder ver te reizen voor een behandeling en artsen in opleiding kunnen van de variëteit aan binnenkomende gegevens profiteren. Ook wordt er zo geld bespaard.

Telepathologie Medische disciplines staan niet op zichzelf. Zo kan een oncoloog een chirurg de opdracht geven om een tumor te verwijderen of een biopsie te nemen om al dan niet kwaadaardigheid vast te stellen. De chirurg op zijn of haar beurt stuurt het gevraagde stuk weefsel dan door naar de pathologieafdeling van het ziekenhuis, waar er verdere gespecialiseerde tests kunnen plaatsvinden. Maar ook pathologen werken niet op een eiland. Of eigenlijk: precies wel! Want met name grote zorginstellingen hebben personeel in dienst dat gespecialiseerd is in een bepaalde tak van de medische wetenschap. Het is dan handig als er een systeem is waarbij collega’s onderling bepaalde casussen kunnen bespreken en vergelijken. Een van de meest geavanceerde platformen is in gebruik bij het Amerikaanse leger. Met een uitgebreide militaire aanwezigheid in heel wat conflictgebieden, is het ook voor medisch veldpersoneel niet mogelijk altijd en overal over specifieke medische informatie te beschikken. Een weefselstaal genomen aan boord van een vliegdekschip of hospitaalschip kan dan virtueel worden bestudeerd door een team van specialisten

aan de andere kant van de wereld. Ook geallieerde troepen profiteren hiervan, inclusief de Belgische en Nederlandse troepen die in NAVO-verband aan operaties deelnemen.

Observatie op afstand en telecardiologie Niemand vindt een ziekenhuisverblijf prettig. Een ziekenhuis kan onbewust stress veroorzaken en voor een diagnose kan dit nadelig zijn. Als een patiënt hartritmestoornissen heeft, is dit prima te analyseren met behulp van een mobiel hartbewakingsysteem dat gedurende een bepaalde periode de meetgegevens doorstuurt naar een centrale database. Afhankelijk van de ernst van de situatie kan het systeem worden voorzien van de nodige alarmbellen.

Telechirurgie Een van de meer tot de verbeelding sprekende toepassingen is ongetwijfeld telechirurgie: een operatie die niet mogelijk is vanwege gebruik aan personeel, maar zou wel op afstand kunnen worden uitgevoerd als de nodige apparatuur maar voorhanden is. Verschillende bedrijven hebben systemen voorgesteld, en een aantal routineoperaties is ook reeds op deze manier uitgevoerd. Telechirurgie zelf is echter nog verre van routine, en in vrijwel alle gevallen is er altijd nog een gespecialiseerde arts aanwezig (geweest) om het hele

PC-ACTIVE | Nr. 247 – 2011


75

14-04-2011 10:26:57

ACHTERGROND

| TELEGENEESKUNDE

In het ISS experimenteert men al met diagnostische systemen, compleet met een vereenvoudigde handleiding (linksonder)

proces in de gaten te houden en in te kunnen grijpen. Telechirurgie kan effectief zijn in een situatie waar gespecialiseerd personeel beschikbaar in een hoogtechnologische omgeving, maar niet noodzakelijk op dezelfde locatie. Een algemeen chirurg kan zich op de plaats van de operatie bevinden, terwijl de eigenlijke kritieke handelingen op afstand door gespecialiseerd personeel worden uitgevoerd.

Ruimtevaarttoepassingen De teletoepassingen die we in de dit artikel de revue lieten passeren, komen in de ruimte helemaal goed van pas. In de ruimte is er maar een beperkte medische expertise beschikbaar. Daarentegen is er wel de nodige technologie beschikbaar om diagnoses op afstand te stellen. Er komen momenten dat een astronaut meer medische zorg nodig heeft dan die met

Teleconsultatie en e-learning Terwijl sommige bronnen teleconsultatie zien als een afzonderlijke toepassing, zien wij deze – samen met de mogelijkheid voor e-learning – als een extra laag die bovenop elke andere telegeneeskundetoepassing kan worden geplaatst. Er zijn immers meer dan voldoende ziektebeelden die moeilijk te interpreteren of zeldzaam zijn, en dan kan het handig zijn om een tweede persoon erbij te halen. Het vergaren van extra informatie kan heel eenvoudig via een mailtje aan een collega, maar het is ook mogelijk patiëntgegevens centraal te verzamelen om te helpen bij het stellen van een diagnose. Als de patiëntgegevens zijn verzameld in een database, kunnen de data ook voor opleidingsdoeleinden worden gebruikt. Het RAFT-netwerk is een voorbeeld van hoe zoiets praktisch kan worden georganiseerd: vanuit Genève worden interactieve cursussen online geplaatst. Deze kunnen gevolgd worden door medisch personeel in ontwikkelingslanden. Op dit moment nemen al tien Afrikaanse landen deel aan het project.

76

de meegenomen verbandtrommel kunnen worden verholpen. Het International Space Station (ISS) is alvast uitgerust met ultrasound-apparatuur waarmee scans van de astronauten kunnen worden gemaakt die voor analyse naar de aarde worden gestuurd. Er is nog wel veel werk aan de winkel: zowel de afstand als het gebrek aan zwaartekracht kunnen voor onverwachte verrassingen zorgen. Wat zijn op de lange termijn de effecten van gewichtsloosheid op het menselijk lichaam, bijvoorbeeld? Een persoon die een week in het ISS verblijft, kan anders reageren op een verdoving dan een persoon die er al een paar maanden verblijft.

Rol van de patiënt In de geneeskunde is de algemene opvatting dat de patiënt altijd het eerste en laatste woord moet hebben. De nieuwe technologische ontwikkelingen roepen dan ook de nodige vragen op. Moet een patiënt de vrijheid krijgen om te kiezen of hij door een lokale of een telearts wordt onderzocht en behandeld? Dient de patiënt niet ten minste geïnformeerd te worden over het feit dat een telearts in zijn behandeling wordt betrokken? Of kunnen deze beslissing maar beter achter de schermen genomen worden en mag de patiënt ervan uitgaan dat er voldoende controlemechanismen bestaan om de zorgkwaliteit te verzekeren? De voordelen moeten niet uit het oog worden verloren. Het kan handig zijn dat uw lokale oncoloog even zijn collegaspecialist in de VS kan raadplegen voor de behandeling. En voor ontwikkelingslanden is het mooi meegenomen dat zij voortaan toegang hebben tot de meest recente medische informatie. Gekwalificeerd en degelijk getraind medisch personeel van eigen bodem helpt zo de maatschappij vooruit.

PC-ACTIVE | Nr. 247 – 2011


14-04-2011 10:27:24

Met gepaste trots presenteren wĳ de Bose Computer MusicMonitor ®

®

Wij prob proberen in dit soort gevallen ons enthousiasme te temperen en toch vooral te praten over de d nieuwe technologieën die dit product mogelijk maken. Een oordeel over de prestaties mog van dit product laten we normaal gesproken graag aan anderen over. Alleen zijn wij deze keer dusdanig enthousiast, dat we besloten d hebben dit met u te delen. Dus bij deze!

Het is altijd ons streven geweest om nieuwe producten te ontwikkelen die de gebruikers voordelen bieden ten opzichte van an bestaande producten. Om de zoveel el tijd echter ontwikkelen wij een product ct dat al onze verwachtingen overtreft; een product waar onze medewerkerss al in de testfase laaiend enthousiast over zijn.

LET OP: Dit bericht is afkomstig van de fabrikant. 1. WĲ ZĲN VAN MENING dat, dat als het om de nauwkeurigheid van geluidsreproductie gaat, gaat de Computer MusicMonitor een nieuwe standaard neerzet voor 2-delige computerluidsprekers. 2. WĲ ZĲN VAN MENING dat de Computer MusicMonitor het dichtst bĳ ons ideaal komt: geluid dat bedoeld is om te horen, niet om te zien. Voor het eerst hebben we zulke fenomenale geluidskwaliteit kunnen produceren met slechts twee compacte behuizingen die alle elektronica en luidsprekers bevatten. We denken dan ook dat u het weinige wat u te zien krĳgt zult waarderen. 3. WĲ ZĲN VAN MENING dat het installeren van dit systeem zo eenvoudig is, dat het aansluiten ongeveer even lang duurt als het uitpakken. 4. Wĳ zĳn ervan overtuigd dat UW MENING het enige is wat telt. ®

®

Wĳ adviseren daarom: Ga naar uw geautoriseerde Bose Personal Audio dealer voor een vĳf minuten durende demonstratie en deel in ons enthousiasme! Wĳ denken dat uw ogen uw oren niet zullen geloven! Voor dealeradressen bel 0299 - 390290 of ga naar www.Bose.nl ®

Bose SoundDock digital music systems ®

®

Bose multimedia luidsprekersystemen

Bose audio hoofdtelefoons

®

®

Thuis. Op het werk. Onderweg. Maak kennis met Personal Audio van Bose. ®

Bose_CMM_PC-Active-5_210x297_nl.indd 1 Untitled-7 1

4/5/11 3:19 PM 7- 4-2011 12:51:29

DATA VERBERGEN EN UITLICHTEN

KAT EN MUIS MET DE OVERHEID TEKST : PIE TER - CORNELIS AVONTS

Het is uw volste recht gegevens privé te houden en ervoor te zorgen dat ze privé blijven. Nu bestaan er verschillende methodes om data op een computer te verbergen, maar anderzijds zijn er ook technieken om zulke gegevens alsnog op te sporen. We bekijken een aantal mogelijkheden.

E

r bestaan heel wat programma’s, gespecialiseerd in het opsporen van digitale gegevens die op een of andere manier verborgen zijn. Het zal u niet verbazen dat de overheid, en met name opsporingsdiensten als de Groep Digitale Recherche van de KLPD of de Belgische FCCU (Federal Computer Crime Unit), geregeld gebruikmaken van dergelijke software in het kader van digitaal forensisch onderzoek. Vaak gebruikte tools zijn EnCase (www.guidancesoftware.com), FTK (Forensic Toolkit; accessdata.com/forensictoolkit. html) en Helix3 Pro (www.e-fense.com). Dergelijke producten zijn overigens niet voorbehouden aan officiële overheidsinstanties. Zo treft u bij de drie genoemde producten ook Enterprise-varianten aan, die zich dus specifiek richten op bedrijfsomgevingen. Op de EnCase-site lezen we bijvoorbeeld ‘analyze data from servers and workstations anywhere on a corporate network – without disrupting operations’ en ‘the solution to thoroughly investigate: intellectual property theft, HR matters, employee misconduct allegations and computer misuse’. Verder zijn er diverse diensten die training en consultancy geven op het vlak van forensisch onderzoek. Naast overheidsinstanties behoren kennelijk ook heel wat

78

privébedrijven (waaronder advocatenkantoren) en allerlei ‘maatschappelijk belangrijke organisaties’ tot het vaste clientèle. Voorbeelden van dergelijke diensten – ook in Nederland – zijn onder meer Fox-IT (www.fox-it.com/nl) en Kroll Ontrack (www.ontrackdatarecovery.nl/computer-forensics). Nu zijn er weliswaar (vage) wettelijke bepalingen die het inzetten van dergelijke software regelen, maar weet wel dat forensische software en programmatuur voor dataherstel functioneel erg dicht bij elkaar liggen. Niks verkeerd toch met een organisatie die, op zoek naar ‘verloren gegane bestanden’, de computers van zijn werknemers of leden even doorlicht? Nu mag de kostprijs van zulke software (voor Encase Enterprise bijvoorbeeld betaalt u circa € 7.000) en van de opleidingen (een vierdaagse cursus ‘Digitaal Forensisch Onderzoek in een Microsoft Omgeving’ bij Fox-IT kost € 3.560!) wel hoogdrempelig zijn, dat neemt niet weg dat er ook heel wat alternatieve software voorhanden is, al dan niet in het illegale circuit. Even googelen naar een term als ‘forensic software’ levert meteen talloze hits op. Daar zitten uiteraard commerciële producten tussen, maar tevens gratis tools die zich uitstekend lenen voor het opsporen van ‘verborgen’ data. Eén ervan is Matriux Xenon, een

PC-ACTIVE | Nr. 247 – 2011

505 forens (1).indd 78

15-04-2011 11:38:18

FORENSISCHE TECHNIEKEN

live GNU/Ubuntu distro, specifiek ontworpen voor ‘penetration testing and cyber forensic investigations’ (sourceforge.net/projects/matriux; log in met tiger of root, wachtwoord toor). Terug van weggeweest is COFEE (Computer Online Forensic Evidence Extractor), een forensische tool ontwikkeld door Microsoft. Die stelde het programma in de loop van 2009 gratis ter beschikking aan uitsluitend politionele instanties (via NW3C en Interpol). Althans, dat was de bedoeling, maar door een lek vond de software zijn weg naar het internet en is het nu via torrents en Wikileaks te vinden. De originele module blijkt weliswaar corrupt, maar met enige aanpassingen krijgt u de al ‘uitgepakte’ toepassing (in de map COFEE INSTALLED) alsnog aan de praat. In tegenstelling tot de meeste andere forensische software – die eerst nauwgezet een image van de doelcomputer creëert om die vervolgens te analyseren – gaat het bij COFEE om een ‘live’ analyse. Het komt erop neer dat u met een speciaal geprepareerde usb-stick nagenoeg volautomatisch allerlei ‘vluchtige’ informatie (lees: gegevens die na het afsluiten van de pc nog moeilijk op te duiken zijn) kunt extraheren naar uw stick, in een minimale interactie met de doelmachine. Vervolgens kunt u hiervan een htmlrapport laten genereren. Het gaat om informatie als open netwerkverbindingen, gebruikersaccountgegevens, lopende processen en services, open bestanden, registerdata, enzovoorts. Dat gebeurt met behulp van circa 150 kant-en-klare opdrachtregelcommando’s, waarvan u er ongetwijfeld al een heel aantal kent (al dan niet uit het arsenaal van Sysinternals): ipconfig, nbstat, net, whoami, netstat, sclist, tasklist, autorunsc, pslist, psloggedon, enzovoorts. Het duurde dan ook niet lang of er werd een antidotum uitgebracht met de toepasselijke naam DECAF (Detect and Eliminate Computer Assisted Forensics). Zodra die een COFEE usb-stick ontwaart, blokkeert de tool diverse processen zodat COFEE nauwelijks nog zinvolle informatie weet op te halen. Via Bittorrent zijn er verschillende versies van DECAF te vinden. Sommige blijken echter ‘gemanipuleerd’: u gebruikt die dus op eigen risico.

| ACHTERGROND

COFEE en DECAF: een kat-en-muis spelletje…

Forensische software is dus niet voorbehouden aan de officiële instanties. Ook bedrijven en eigenlijk iedereen die zich daarin wil verdiepen, kunnen over zulke tools beschikken. Om privégegevens voor dergelijke tools af te schermen, is snel even ‘verbergen’ dus niet voldoende. In dit artikel focussen we ons onder meer op allerlei locaties in Windows die met name door minder onderlegde gebruikers wel vaker als ‘veilig’ geacht worden, maar dat lang niet altijd zijn. We beperken ons hier tot de ‘harde schijf’, maar besef wel dat steeds meer forensische software het onder meer ook op pda’s en smartphones gemunt heeft…

LOCATIES & TECHNIEKEN ACL Windows biedt de mogelijkheid om mappen en bestanden te vergrendelen op basis van het ingebouwde acl-beleid (access control lists). Afhankelijk van de gebruikte Windows-versies is het inderdaad perfect mogelijk de toegangsrechten tot specifieke data te regelen. Wie zich bijvoorbeeld met een ander account

Een gratis live distro: zowat iedereen kan met forensische software aan de slag!

PC-ACTIVE | Nr. 247 – 2011


79

15-04-2011 11:38:45

ACHTERGROND

| FORENSISCHE TECHNIEKEN

Het weghalen van een stationsletter: een doorzichtig trucje

waarna hij automatisch toegang krijgt. Of, nog makkelijker, iemand met fysieke toegang tot uw systeem start het systeem op met een live Linux-cd (zoals het populaire Ubuntu) en uw gegevens liggen gewoon voor het oprapen. Een ‘eigenaar’ kan de ingestelde ACL-machtigingen ‘overrulen’

bij Windows aanmeldt, kan niet bij die gegevens. Toch stelt deze vorm van afscherming nauwelijks iets voor. Het is zelfs niet eens nodig dat men uw accountwachtwoord kraakt om met behulp van vrij verkrijgbare en gratis tools als LCP (www.lcpsoft.com) en Ophcrack (ophcrack.sourceforge.net) toegang te verkrijgen. Het is voldoende dat een medegebruiker zich met een beheerderaccount aanmeldt om zich vervolgens tot eigenaar van uw data uit te roepen,

‘Onzichtbaar’ volume Nog een eenvoudige truc om gegevens uit het zicht te onttrekken, is het ‘onzichtbaar’ maken van een volume. Dat kan bijvoorbeeld vanuit de Windowsmodule voor schijfbeheer (diskmgmt.msc), waar u de schijfletter van zo’n volume gewoon verwijdert via de optie Stationsletter en paden wijzigen. Zo’n volume mag dan bijvoorbeeld niet langer zichtbaar zijn in de Verkenner, iemand met beheerdersrechten maakt zo’n aanpassing snel weer ongedaan. Overigens zijn er ook nog de partitioneringstools (zoals het gratis Gparted op live cd, gparted.sourceforge.net) die de aanwezigheid van zo’n ‘geheim’ volume meteen verraden. Buitenste cilinder In de artikelserie over schijfstructuren, kon u al lezen over een schijfgebied (‘embedding area’) dat buiten de eigenlijke partities valt en zich doorgaans beperkt tot de buitenste sectoren – in een typische mbr-structuur zijn dat met name die na fysieke sector (0,0,1). Gegevens die daarin terecht komen, overleven bovendien een logische formattering omdat dit gebied zich buiten de traditionele partitiegrenzen bevindt. Dat maakt het meteen een dankbare locatie voor onder meer bootloaders als grub, maar eveneens voor tools met minder fijne doeleinden (zie ook PC-Active 244: ‘Geheime data in embedding area’) en zelfs voor malware. U kunt er met behulp van een tool als HxD zelf ook informatie in verbergen – weliswaar bij voorkeur versleuteld, aangezien een forensisch onderzoeker net zo goed het wapen van een fysieke sectoreditor kan hanteren. Houd er bovendien rekening mee dat het plaatsen van gegevens in dit gebied voor het nodige wantrouwen zal zorgen, als iemand daar in gaat zoeken.

Informatie opgeslagen buiten de eigenlijke partities…

80

Gewiste bestanden Een wijdverbreide misvatting is dat gewiste bestanden van de schijf zijn verdwenen, als we het hebben

PC-ACTIVE | Nr. 247 – 2011


15-04-2011 11:39:21

FORENSISCHE TECHNIEKEN

over het legen van de prullenbak. Het verwijderen van bestanden beperkt zich in eerste instantie tot een markering in de bestandshuishouding (fat/directory/ mft); de dataclusters zelf blijven gewoon intact. Zolang die niet door andere data worden overschreven, is het opvissen van die gegevens dus perfect mogelijk. Dat kan met geautomatiseerde tools als Undelete 360 (www.undelete360.com) of desnoods via een fysieke sectoreditor als HxD (mh-nexus.de/en/hxd). Dat geldt trouwens net zo goed als u een partitie formatteert: ook dan blijven de dataclusters in principe ongemoeid en kunnen uw gegevens alsnog worden ontrafeld. Wilt u (meer) zekerheid dat bestanden niet langer te vinden zijn, dan moet u die gegevens ‘shredden’: overschrijven met willekeurige datapatronen dus en dan het liefst verschillende keren. Een uitstekende en gratis tooltje daarvoor is Eraser (eraser.heidi.ie). Dit programma ondersteunt diverse wismethodes, waaronder de ijzersterke Gutmann-methode (35 passes). Het laat u tevens toe de clusters nadien met specifieke bestanden te overschrijven, met het oog op plausibele ontkenning: ‘Nee, hoor. Ik heb hier geen bestanden geshred!’ Slackruimte Wilt u zeker zijn dat u niet ongewild privacygevoelige gegevens op een schijf achterlaat, schenk dan eens uitgebreid aandacht aan de ‘slackruimte’. Het verschijnsel van ‘slack’ (te vertalen als ‘speling’) heeft te maken met het toewijzen van bestanden aan clusters. Afhankelijk van de gebruikte formattering en de volumegrootte bestaat zo’n cluster uit een of meer sectoren (één sector is normaliter 512 bytes). Hoe groot zo’n cluster op uw volume precies is, komt u te weten als u op de opdrachtregel chkdsk x: uitvoert; de derde laatste regel in de rapportering vertelt u dat. Bij fat32 bijvoorbeeld is dat maximaal 32 kB, bij exfat daarentegen kan een cluster (theoretisch) tot 32 MB oplopen. Een voorbeeld: uw volume werkt met clusters van 32 kB en u schrijft een bestand weg van 22.528 B (22 kB). Voor dat bestand worden dus 64 sectoren gereserveerd, hoewel er slechts 44 van zullen worden beschreven. De overige 20 sectoren noemen we dan de slackruimte. Wat echter als u even later dat bestand wist en diezelfde cluster wordt door een ander

| ACHTERGROND

Nee, hier zijn geen bestanden geshred…

bestand ingepalmd? Is dat bestand bijvoorbeeld maar 7.168 bytes groot, dan worden slechts de eerste 14 sectoren van die cluster overschreven, met als gevolg dat een forensisch onderzoeker nog 30 sectoren of 15.360 bytes van uw oude bestand weer boven water kan halen! Vooral bij exfat kunnen er op die manier vaak nog talloze gegevens worden opgehaald. U doet er dus goed aan deze slackruimte regelmatig te shredden. Dat kan (op een niet-destructieve manier voor uw huidige bestanden) bijvoorbeeld met het al genoemde Eraser, opgestart als administrator. Creëer hier een nieuwe taak, klik op Data toevoegen, kruis Ongebruikte schijfruimte aan, kies het gewenste volume en plaats een vinkje bij Wis cluster tips. In het vervolgdeel van dit artikel onderwerpen we onder meer het Windows register aan een forensische analyse, zetten we steganografie en MFT-metadata in om gegevens te verbergen en gaan we met encryptie aan de slag.

Aan elk bestand – hoe klein ook - wordt minstens één cluster toegewezen

Ruim ook de slack op!

PC-ACTIVE | Nr. 247 – 2011


81

15-04-2011 11:39:42

DE VALKUILEN WAAR U NIET AAN DENKT

VIJF GEVAREN VAN DE CLOUD TEKST : BAS DEGELINK

Steeds meer software die traditioneel op de eigen pc draait, wordt aangeboden als dienst via internet. Denk bijvoorbeeld aan tekstverwerkers (Google Docs) en virusscanners (Panda Cloud Antivirus). Software in ‘de cloud’ heeft vele voordelen, maar er zijn ook valkuilen waar u rekening mee moet houden.

D

e cloud is een metafoor voor het internet. Kenmerkend voor cloud computing is dat de verzending, verwerking en opslag allemaal plaatsvindt in de cloud. De plaats van handeling vindt niet meer plaats op een of meer specifieke computers die staan op een vaste, voor de gebruiker kenbare lokatie. De beschikbare middelen in de cloud worden gedeeld door alle gebruikers. Veelal is slechts een webbrowser nodig om gebruik te maken van de cloud-diensten. Er zijn drie soorten cloud-diensten. Consumenten zullen vooral gebruikmaken van Software as a Service (SaaS). Daarbij gebruikt de klant software van de leverancier die draait op de infrastructuur van de aambieder. Bekende voorbeelden zijn Gmail, Google Apps, Skype en Panda Cloud Antivirus[1]. Platform as a Service (PaaS) en Infrastructure as a Service (IaaS) zijn meer gericht op zakelijke gebruikers. Bij PaaS draait in de cloud software van de klant die hij zelf heeft gemaakt met programma’s en programmeertalen van de leverancier (bijvoorbeeld Google App Engine en

82

Windows Azure AppFabric). IaaS gaat nog een stapje verder en daarbij draait de klant willekeurige eigen software in de cloud (bijvoorbeeld Amazon EC2 en Rackspace). In dit artikel bespreken we de voordelen én gevaren van deze cloud-diensten. Daarbij beperken wij ons tot publieke clouds. In een publieke cloud staan de gegevens en software op servers van een externe leverancier. Het is echter ook mogelijk om een private cloud te hebben die draait op de eigen infrastructuur van de gebruiker, zodat de gebruiker volledige controle heeft over de diensten, gegevens en beveiliging van zijn eigen cloud. Ook een mengvorm van publieke en private clouds is mogelijk, de zogenaamde hybride cloud.

Voordelen Cloud computing biedt diverse voordelen die het aantrekkelijk maken om te kiezen voor een cloud-dienst in plaats van software op de eigen pc of eigen server. Wij laten deze voordelen kort de revue passeren.

PC-ACTIVE | Nr. 247 – 2011

506 Cloudgevaren.indd 82

14-04-2011 10:55:06

CLOUD COMPUTING

Bereikbaarheid Voor toegang tot de gegevens en diensten in de cloud is vaak slechts een internetverbinding en webbrowser nodig. Bent u in het buitenland op vakantie en u wilt uw documenten inzien? Dat lukt natuurlijk niet als die docs op de harde schijf van uw eigen desktop staan, maar als u gebruikmaakt van Google Docs, dan is fysieke afstand geen probleem en hebt u slechts een smartphone of internetcafé nodig. Eenvoud De cloud verbergt ingewikkelde, technische details voor de gebruiker. Een consument die een paar jaar geleden een zelfgemaakt filmpje online wilde zetten, moest kennis hebben van videocodecs, kunnen omgaan met videobewerkings- en ftp-software, webhosting regelen met voldoende dataruimte, et cetera. Nu hoeft diezelfde consument het filmpje alleen maar te uploaden naar Youtube die de verwerking en opslag voor zijn rekening neemt. Ook zorgt de leverancier voor onderhoud en beveiliging. Zo hoeft u bij een virusscanner die in een cloud draait niet steeds te denken aan het installeren van de laatste virusdefinities; dat doet de leverancier voor u. Schaalbaarheid, capaciteit, prijs en veerkracht Andere voordelen van cloud computing zijn schaalbaarheid, capaciteit, prijs en veerkracht. De gebruiker hoeft geen eigen servers te kopen, ruimte in een datacenter huren of hardware te onderhouden. U betaalt alleen voor de diensten en capaciteit die u op dat moment nodig hebt. Doordat de capaciteit van de cloud ter beschikking staat aan alle gebruikers kan piekbelasting van één gebruiker eenvoudig worden opgevangen. De gebruikers hoeven daardoor niet ieder voor zich grote investeringen te doen in eigen, extra hardware die het grootste deel van de tijd toch

| ACHTERGROND

onbenut zou blijven. Het uitvallen van een hardwareonderdeel in de cloud is meestal geen probleem, omdat dezelfde gegevens op verschillende lokaties in de cloud zijn opgeslagen en met verschillende verbindingen zijn te bereiken.

Gevaren Leveranciers van cloud-diensten benadrukken de voordelen van de cloud zo sterk, dat wel eens vergeten wordt dat cloud computing ook risico’s met zich brengt. Voor die risico’s komt – terecht – steeds meer aandacht. Ank Bijleveld (staatssecretaris van Binnenlandse Zaken) noemt cloud computing ongeschikt voor vertrouwelijke informatie en de cloud zou daarom niet moeten worden gebruikt door bedrijven en overheden[2]. Richard Stallman (oprichter van het GNU Project en de Free Software Foundation) zegt dat cloud computing een val is die erop is gericht om meer mensen gebruik te laten maken van gesloten softwaresystemen die uiteindelijk steeds duurder zullen worden [3]. 1. Bereikbaarheid Als voordeel noemden wij hiervoor de eenvoudige bereikbaarheid van cloud-diensten. Daaraan is ook een groot nadeel verbonden. Als uw eigen pc crasht, dan kunt u met een nieuwe installatie of via een oude pc meestal wel toegang krijgen tot (een deel van) uw gegevens. Maar als de cloud crasht, dan bent u voor een oplossing volledig afhankelijk van de leverancier. Tot die tijd is er geen enkele toegang mogelijk tot de gegevens in de cloud. Dat dit is geen theoretisch risico is, bewijzen bijvoorbeeld Skype, Gmail, Google Apps en Rackspace. Zij zijn de afgelopen jaren meerdere keren onbereikbaar geweest. De oorzaak van onbereikbaarheid kan natuurlijk ook aan de kant van

Werken en opslaan in de cloud heeft veel voordelen

PC-ACTIVE | Nr. 247 – 2011


83

14-04-2011 10:55:56

ACHTERGROND

| CLOUD COMPUTING

Drop.io stopte met zijn service. Als u niet op tijd uw bestande veilig had gesteld, had u een probleem

de gebruiker zelf liggen: voor toegang is slechts een internetverbinding nodig, maar al uw gegevens in de cloud zijn buiten handbereik als die verbinding er niet is of plat ligt. Wat ook vaak wordt vergeten: ieder bedrijf kan failliet gaan of besluiten om bepaalde diensten niet langer aan te bieden; dat geldt evenzeer voor leveranciers van cloud computing. Wat gebeurt er dan met de gegevens in de cloud? Dat voor een dienst wordt betaald of dat een dienst succesvol is, is absoluut geen garantie voor het voortbestaan. Dat ontdekten vorig jaar de gebruikers van de website drop.io. Deze site bood de mogelijkheid om (gratis of betaald) bestanden op te slaan in zijn cloud. Het bedrijf werd echter overgenomen door Facebook en drop.io gaf zijn gebruikers maar een paar maanden de tijd om hun gegevens uit de cloud te halen voordat zij definitief de deuren – en daarmee de toegang tot haar cloud – sloot. De toegang tot de cloud kan ook aan een individuele gebruiker worden ontzegd. De juridische voorwaarden waaronder cloud-diensten worden aangeboden, zijn namelijk vaak opgesteld in het voordeel van de cloud-leverancier en daarover is meestal niet te onderhandelen. Veel leveranciers hebben zichzelf een ruime vrijheid toebedeeld om eenzijdig hun diensten aan individuele gebruikers te mogen beëindigen. Dat merkte Wikileaks, dat van de ene op de andere dag uit de Amazon cloud werd verwijderd. En op internetforums zijn diverse voorbeelden te vinden van gebruikers die opeens ontdekten dat hun Googleaccount was geblokkeerd waardoor zij geen toegang meer hadden tot hun e-mail in Gmail en documenten in Google Docs.

2. Inbreuk op privacy Neelie Kroes (als Europees Commissaris belast met de portefeuille digitale agenda) waarschuwt dat we de controle verliezen over gegevens die we plaatsen in de cloud [4]. De daardoor veroorzaakte privacyproblemen zijn divers. Als een gebruiker gegevens in de cloud verwijdert, dan is onduidelijk of die gegevens ook echt weg zijn. Er is speciale software nodig om gegevens van de eigen pc dusdanig te verwijderen dat die niet meer kunnen worden teruggehaald. Een cloud-leverancier zal zo’n mogelijkheid vaak niet bieden. Zelfs al wordt die mogelijkheid wel geboden, dan is niet met zekerheid te zeggen – en in ieder geval niet te controleren door de gebruiker – of de gegevens ook echt vernietigd zijn. In een cloud kunnen dezelfde gegevens op verschillende plekken zijn opgeslagen, er kunnen back-ups zijn waar de gegevens op blijven staan en bij onderhoud kunnen harde schijven met gegevens zijn losgekoppeld die – ongewist – in een magazijn liggen. De Nederlandse en Europese privacywetgeving is strikt. In veel landen buiten Europa is dat niet het geval. In sommige landen heeft de overheid ruime bevoegdheden om gegevens op te vragen, zelfs buiten de rechter om. Hetzelfde geldt voor de juridische mogelijkheden van bedrijven om privacygevoelige gegevens te analyseren voor commerciële doeleinden. Doordat bij cloud computing vaak onduidelijk is waar ter wereld de gegevens zich fysiek bevinden en welk rechtstelsel daarop van toepassing is, is ook de wettelijke bescherming van de gebruiker onduidelijk. In ieder geval is het lastig en kostbaar voor een Nederlandse gebruiker om in het buitenland verweer te voeren tegen een mogelijke inbreuk op zijn privacy. Een recent voorbeeld biedt de Wikileaks-affaire, waarbij het Amerikaanse openbaar ministerie via een gerechtelijk bevel de gebruikersgegevens achter het Twitter-account van onder meer Rop Gonggrijp (medeoprichter van Xs4all en initiatiefnemer van ‘Wij vertrouwen stemcomputers niet’) vorderde. Verder bestaat altijd het gevaar dat, door een technische fout of onoplettendheid, gegevens op straat komen te liggen. U hebt dat grotendeels zelf in de hand als de gegevens op de eigen pc staan, maar als de gegevens in een cloud zijn opgeslagen, dan kunt u slechts hopen dat de leverancier zorgvuldig omgaat met logbestanden, reservekopieën en oude harde schijven.

Beveiliging gebeurt nu ook al vanuit de cloud

84

PC-ACTIVE | Nr. 247 – 2011


14-04-2011 10:56:38

CLOUD COMPUTING

3. Gegevensverlies Wij hebben in PC-Active al vaak gewezen op het belang van back-ups. Ook bij cloud computing is het noodzaak dat u zelf reservekopieën blijft maken. Illustratief daarvoor zijn de Sidekick-smartphones van T-Mobile. Die bewaarden contacten, foto’s en agenda’s in T-Mobile’s cloud. Dat leek heel handig, tot de cloud servers van T-Mobile opeens crashten en er géén back-up beschikbaar leek te zijn. Hoewel volgens T-Mobile uiteindelijk de meeste gegevens konden worden hersteld, toont deze gebeurtenis aan dat clouds niet onfeilbaar zijn. Gegevensverlies kan ook optreden door een fout van de gebruiker. Een moment van onoplettendheid en een belangrijk document kan per ongeluk naar de digitale versie van de eeuwige jachtvelden zijn verplaatst. Als dat op de eigen pc gebeurt, dan is zo’n document vaak nog wel terug te halen afhankelijk van back-ups en herstelsoftware. Bij een cloud-dienst bent u afhankelijk van de back-up- en herstelmogelijkheden die de cloud-dienst biedt, tenzij u zelf reservekopieën hebt gemaakt. Op de beschikbaarheid daarvan heeft een individuele gebruiker vaak geen invloed en een gebrek aan automatische back-up in de cloud wordt meestal pas ontdekt als het te laat is. 4. Veiligheid De leverancier zorgt voor de beveiliging van zijn cloud. Deze beveiliging profiteert van de professionele kennis van de leverancier en van de schaalvoordelen. Maar de andere kant van de medaille is dat de gebruiker dat niet kan controleren. De gebruiker moet blind vertrouwen op de deskundigheid van de leverancier en diens bereidwilligheid om te investeren in beveiliging. De cloud brengt specifieke veiligheidsproblemen met zich mee. De interface tot de cloud kan onveilig zijn. De gegevens van alle gebruikers worden gedeeld in de cloud en een ondoordringbare scheiding tussen die gegevens is niet gegarandeerd. Of gegevens versleuteld in de cloud zijn opgeslagen – en zo ja, met welke encryptiemethode? – is vaak onbekend. Ook is onbekend welke werknemers van de leverancier toegang hebben tot uw gegevens in de cloud en hoe betrouwbaar zij zijn. De Wikileaks-affaire toont aan dat door één ontevreden werknemer enorme hoeveelheden vertrouwelijke gegevens op straat kunnen komen te liggen. Voor volledige toegang tot de gegevens in de cloud zijn geen fysieke barrières, maar is slechts een gebruikersnaam en wachtwoord nodig. Bij cloud computing vindt noodzakelijkerwijs verzending van gegevens plaats, zowel in de cloud zelf als tussen de cloud en gebruiker, en die staat bloot aan het gevaar van onderschepping. Het is niet voor niets dat het Europese agentschap voor informatiebeveiliging ENISA waarschuwt dat een cloud aantrekkelijk is voor aanvallers door de concentratie van gegevens [5] en dat overheden publieke cloud-diensten niet moe-

| ACHTERGROND

ten gebruiken voor gevoelige gegevens en cruciale diensten. [6] 5. Afhankelijkheid en gebondenheid Als gebruiker van een cloud-dienst kan het u feitelijk onmogelijk worden gemaakt om te stoppen of om over te stappen naar een andere leverancier. Als uw gegevens in de cloud niet of alleen met veel moeite kunnen worden geëxporteerd, dan kan stoppen of overstappen namelijk zoveel tijd en moeite kosten dat het makkelijker is om te blijven. Dat geldt zeker bij PaaS-diensten; de meeste PaaS-leveranciers hanteren namelijk unieke API’s waardoor software ontwikkeld voor de ene cloud niet eenvoudig is te gebruiken in een andere cloud. Voordat u gebruik gaat maken van zo’n cloud-dienst is het dus verstandig eerst te onderzoeken wat de exporteermogelijkheden zijn en te bedenken hoe erg het is als die gegevens toch achter zouden moeten blijven in de cloud.

Ten slotte Cloud computing biedt grote voordelen, zowel voor consumenten als voor bedrijven. Aan cloud computing zijn ook gevaren verbonden. Die gevaren hebben een gemeenschappelijke deler: de gebruiker verliest de controle over zijn eigen gegevens in de cloud. Deels is dit te ondervangen, bijvoorbeeld door zelf reservekopieën te maken en te zorgen voor een offline alternatief voor de cloud-dienst. Maar sommige nadelen van cloud computing zijn niet of lastig te bestrijden, met name ten aanzien van veiligheid en privacy. De enige oplossing daarvoor lijkt te zijn: plaats gevoelige gegevens niet in de cloud!

INFORMATIE [1] Zie PC-Active 226 (juni 2009), p. 46-51 en p. 61. [2] Toespraak van Ank Bijleveld (7 oktober 2009) www.rijksoverheid.nl/documenten-en-publicaties/ toespraken/2009/10/07/toespraak-vanstaatssecretaris-bijleveld-op-govcertsymposium-2009.html [3] The Guardian, Cloud computing is a trap, warns GNU founder Richard Stallman (29 september 2008) www.guardian.co.uk/technology/2008/sep/29/ cloud.computing.richard.stallman [4] Toespraak van Neelie Kroes (25 november 2010), europa.eu/rapid/pressReleasesAction. do?reference=SPEECH/10/686 [5] ENISA, Cloud computing. Benefits, risks and recommendations for information security (nov. 2009) www.enisa.europa.eu/act/rm/files/deliverables/ cloud-computing-risk-assessment [6] ENISA, Security & Resilience in Governmental Clouds (januari 2011), www.enisa.europa.eu/act/rm/emerging-andfuture-risk/deliverables/security-and-resilience-ingovernmental-clouds/

PC-ACTIVE | Nr. 247 – 2011


85

14-04-2011 10:57:12

BOEKEN TEKST :

WAMMES WITKOP

Building Wireless Sensor Networks Natuurlijk, er zijn genoeg aardige gadgets te vinden die de pc opleuken. Internet is een zegen, nu kunnen we rechtstreeks in China terecht. Maar zelf bedenken en bouwen, is eigenlijk nog veel leuker! En ook daar kan veel meer dan u denkt… ‘A Practical Guide to the ZigBee Mesh Networking Protocol’ is de ondertitel van dit kloeke boek. ZigBee is het protocol, XBee is de radio die er gebruik van maakt. Die radiootjes – een elektronische module – koopt u al voor een paar tientjes. Na aansluiten zetten de XBee’s zelf, geheel autonoom, een draadloos datanetwerk op, waarover data over een afstand van 40 m kan worden verzonden. Is dat te kort? Een XBee extra fungeert als transponder, en dat mogen er ook meer zijn, zodat de te overbruggen afstand eigenlijk onbeperkt is. Met één XBee met usb-aansluiting wordt het netwerk aan de pc gehangen waarna bijvoorbeeld al een deurbel kan worden gebouwd. Voor de liefhebbers, de XBee gebruikt een versie van de aloude Hayes AT-commando’s. Voor complexere taken is naast de radio op-een-chip ook een processor nodig, om de data te formuleren en te interpreteren: Arduino. Een open-sourcemicrocontroller die ook zeer betaalbaar is en bovendien geknipt om samen met een XBee complexere taken

uit te voeren. Dan komen allerlei aspecten van home automation opeens binnen handbereik! Qua techniek is het allemaal overzichtelijk. Een paar soldeerverbindingen, hele beperkte en voorgekauwde elektronica. Het niveau van het boek is voorzichtig te noemen, de leercurve glooiend, de tekst zeer leesbaar en verhelderend. Een fiks register, een lijvig overzicht van ascii-codes en at-commando’s nemen de nodige ruimte in, zodat de uiteindelijke diepgang voor het aantal bladzijden wat tegenvalt. Maar voor wie verder wil, zijn er levendige community’s op internet die met deze zaken spelen.

INFORMATIE Titel:

Building Wireless Sensor Networks Auteur: Robert Faludi Uitgever: O’Reilly Engelstalig 320 pagina’s ISBN: 978-0-59680773-3 Prijs: € 30,90 Ook als e-boek verkrijgbaar

Step by Step Network Your Computers & Devices INFORMATIE Titel:

Step by Step Network Your Computers & Devices Auteur: Ciprian Adrian Rusen Uitgever: Micosoft Press Engelstalig, 560 pagina’s ISBN: 978-0-7356-5216-3 Prijs: € 23,90 Ook als e-boek verkrijgbaar

86

201 boeken.indd 86

Wie op de achterkaft kijkt, ontdekt daar pas dat dit boek alleen voor Windows 7 is; dat had eigenlijk wel wat duidelijker mogen worden gecommuniceerd. Afgezien van die kritiek is dit een ouderwetse pil. De bijna afschrikwekkende omvang wordt al snel verklaard door de typografisch ruime opzet met daardoor zeer leesbare informatie, die nauwelijks voorkennis veronderstelt: het begint met het installeren en configureren van een router... Of eigenlijk, twee routers, een Belkin en een D-Link worden als voorbeeld gebruikt, waarbij inderdaad stap voor stap het proces getoond wordt. Zo’n 37 bladzijden verder

PC-ACTIVE | Nr. 247 – 2011

14-04-2011 12:08:14

BOEKEN

beginnen we aan de gebruikersaccounts, de lezer wordt zeker niet te zwaar belast… Desondanks weet ‘Network Your Computers & Devices’ voor de thuisgebruiker alle noodzakelijke informatie over het voetlicht te brengen, maar voor een kantooromgeving is dit te lichte kost. Wel werkt de stap-voor-stap-benadering prima, de hoofdstukken zijn redelijk op zichzelf staand zodat het niet

| ACHTERGROND

nodig is alle 560 pagina’s door te ploegen, de lezer kan aan de hand van de inhoudsopgave of het register zelf bepalen welke specifieke kennis hij of zij op dat moment nodig heeft. En gezien de verschillen tussen Windows 7 en oudere versies van Windows is het toch erg prettig een boek bij de hand te hebben dat specifiek op deze nieuwste versie van het besturingssysteem ingaat.

Why Photographs Work Een kloek boekwerk: zo’n 25×25 cm. Dat levert een paginaformaat op waarop een foto echt tot zijn recht komen kan. En dat is precies waar het in dit boek om gaat. In totaal 52 door de auteur uitgezochte foto’s worden gepresenteerd, geanalyseerd en geïnterpreteerd en vervolgens ook nog eens van commentaar voorzien door de fotograaf zelf. De keuze van onderwerpen is wat Amerikaans, maar tezamen vormt de collectie een prachtige dwarsdoorsnede van de moderne fotografie. En er zit werkelijk adembenemend mooi werk tussen, je zou bijna denken dat Why Photographs Work als koffietafelboek is samengesteld. Niets is echter minder waar. Want na het genieten komt het begrijpen. De analyses van auteur Barr zijn vlijmscherp, opeens wordt het duidelijk waarom het beeld zoveel impact heeft. Ook worden de foto’s in de juiste context geplaatst, waarmee in sommige gevallen weer een wereld opengaat, een wereld die anders verborgen zou blijven als je als kijker niet toevallig net de juiste achtergrond hebt. Op die manier wordt de gelaagdheid van het genieten van beelden duidelijk gemaakt. Het toevoegen van het perspectief van

INFORMATIE Titel: Why Photographs Work Auteur: George Barr Uitgever: Rocky Nook Engelstalig, 288 pagina’s ISBN: 978-1-933952-70-3 Prijs: € 32,00

de fotograaf zelf is zeer verhelderend. Onder welke omstandigheden – en met welke apparatuur, verbazend vaak analoge camera’s! – is de foto tot stand gekomen. Wat was het doel dat voor ogen stond, is dat inderdaad bereikt. Vaak blijkt toeval een flinke rol te spelen, terwijl geluk ook niet uitgevlakt mag worden. Fotografie is en blijft een opportunistisch gebeuren; je kan veel naar je hand zetten, maar zonder geluk vaart niemand wel. Al met al, wie serieus fotografeert, zal aan Why Photographs Work niet alleen veel plezier beleven maar er ook veel inspiratie aan ontlenen.

Step by Step JavaScript Wie een eigen website onderhoudt, zal vast wel eens een stukje code hebben ingeplakt, om een of andere functie of effect toe te voegen. Dat soort brokjes code zijn her en der te vinden en werken wonderwel. En die code, dat is over het algemeen Javascript, een programmeertaalt die door de browser zelf wordt begrepen en uitgevoerd. Eigenlijk is Javascript heel ouderwets, want het taaltje wordt niet gecompileerd, maar tijdens het uitvoeren regel voor regel geïnterpreteerd – zoals de oude homecomputers bijvoorbeeld hun in Basic geschreven programma’s uitvoerden. Daarom is het makkelijk in de verleiding te komen zelf aan die code te gaan sleutelen, maar dat valt vervolgens vaak vies tegen. Kleine aanpassingen leveren zonder onderliggende kennis grote problemen op… Herkenbaar? Dan is dit hét boek voor u! Aan de hand van veel voorbeelden en oefeningen leert u zichzelf Javascript, waarbij ook de feitelijke uitleg hoe zaken werken en waarom dat zo is niet over het hoofd is gezien. Begrip en inzicht zijn de handvatten waarmee

u, inderdaad stap voor stap, de taal en zijn elementen de baas wordt. Daarbij wordt soms wel uitgegaan van een basale kennis van programmeren, een begrip als boolean wordt slechts terzijde uitgelegd. Als u dat niveau bezit, en de aspiraties heeft zelf interactie op uw webpagina’s te creëren, zult u met die boek naast het toetsenbord een leerzame en leuke tijd tegemoet gaan.

INFORMATIE Titel: Step by Step JavaScript Auteur: Steve Suehring Uitgever: Microsoft Press Engelstalig, 504 pagina’s ISBN: 978-0-7356-4552-3 Prijs: € 33,90 Ook als e-boek verkrijgbaar PC-ACTIVE | Nr. 247 – 2011

201 boeken.indd 87

87

14-04-2011 12:09:05

ZELF AAN DE SLAG: ZONES SIGNEREN

DNSSEC: DE PRAKTIJK TEKST : MARCO DAVIDS ( TECHNISCH ADVISEUR SIDN)

Enkele nummers geleden schreven we over DNSSEC op uw dns resolver en hoe u daarmee met DNSSEC gesigneerde domeinnamen kunt ‘valideren’. In dit artikel leggen we uit hoe u zelf een DNSSEC gesigneerde zone kunt maken.

H

et dns (domain name system) is in zekere zin de achilleshiel van het internet. Zonder een stabiel en betrouwbaar dns zou de internetwagen piepend en krakend tot stilstand komen. Qua stabiliteit heeft dns zichzelf al ruimschoots bewezen in zijn 28-jarige bestaan. Als het gaat om de betrouwbaarheid bleek het protocol toch een intrinsieke tekortkoming te hebben. Het blijkt mogelijk om dns-antwoorden te vervalsen. Dit kan bijvoorbeeld tot gevolg hebben dat gebruikers naar een malafide website worden geleid. Het antwoord op deze bedreiging was een uitbreiding op het dns-protocol, genaamd DNSSEC. Nadat jaren aan deze extensie was gesleuteld, werd een grootschalige uitrol hiervan vorig jaar ingezet. Steeds meer gebruikers gaan sindsdien over op het veilige DNSSEC voor hun dns.

Digitale handtekeningen Bij DNSSEC worden de dns-antwoorden voorzien van digitale handtekeningen. Deze kunnen door speciale, zogenaamde ‘validerende resolvers’ worden gecontroleerd. Daarmee kan het vervalsen van dnsantwoorden worden voorkomen. In PC-Active 241 legden we uitgebreid uit hoe dat in zijn werk gaat. Maar waar komen die digitale handtekeningen vandaan en hoe worden dns-antwoorden daarvan voorzien? Daar gaan we nu dieper op in. We beschrijven hoe u uw eigen zonefile(s) met DNSSEC kunt ‘signeren’. Voordat een computer contact kan leggen met een

systeem elders op internet, wordt er doorgaans een dns-lookup gedaan. Een resolver stelt de vraag: wat is het ip-adres van www.pc-active.nl? en na een paar keer te zijn doorverwezen, geeft de name server van pc-active. nl het gezochte antwoord. De betreffende name server heeft een database, waarin alles over de domeinnaam pc-active.nl is opgenomen. Dat kunnen naast www bijvoorbeeld ook labels zoals ftp of smtp zijn. Al deze gegevens (resource records) staan in de database, die we aanduiden als ‘zonefile’. Aan die resource records worden digitale handtekeningen toegevoegd, wanneer we de zonefile gaan signeren. In figuur 1 zien we hiervan een voorbeeld. We zien op de eerste regel het resource record www.dnssec.nl, dat aangeeft dat het ipv4-adres daarvan 145.100.189.76 is. En we zien dat dit gegeven is voorzien van een digitale handtekening, de RRSIG. Met de brei van tekens hierin en de juiste publieke sleutel kan een validerende resolver controleren of het dns-antwoord niet is vervalst. Elke wijziging aan het resource record maakt de digitale handtekening ongeldig.

Sleutels maken Wat moet er gebeuren om een zonefile te kunnen signeren? • aanmaken van een sleutelpaar (geheime en publieke sleutel) • publieke sleutel hiervan opnemen in de zonefile • de resource records in de zonefile signeren met behulp van de geheime sleutel • de gesigneerde versie van de zonefile publiceren • et bijbehorende trust-anchor publiceren in de parentzone De meeste name servers leveren tegenwoordig tools mee, waarmee dit kan. Kijken we bijvoorbeeld naar BIND (gebruik versie 9.7 of hoger, maar niet BIND10 – die is nog volop in ontwikkeling), dan zien we de tool dnssec-keygen. Daarmee kunnen we het sleutelpaar

Figuur 1

88

PC-ACTIVE | Nr. 247 – 2011

508 DNSSEC.indd 88

15-04-2011 11:41:53

DNSSEC

| ACHTERGROND

Figuur 2

Figuur 3 genereren. Er zijn tal van opties, die u te zien krijgt als u het commando zonder verdere command-line parameters geeft. Omwille van de eenvoud gaan we hier niet uitgebreid op in. We houden het vooralsnog simpel (zie figuur 2). U zult zien dat met dit commando twee bestanden worden gegenereerd. Dat is het sleutelpaar dat hoort bij de zonefile pc-active.nl. Ze eindigen op .key en op .private, waaraan is te zien dat het hier gaat om respectievelijk een publieke- en een geheime sleutel. Het getal 005 geeft een algoritme (RSA-SHA1) aan en het cijfer 31110 in bovenstaand voorbeeld duidt op de zogenaamde key-tag van de sleutel in kwestie. Elders komt u die key-tag weer tegen, met name in de digitale handtekeningen, de RRSIG records. De -r-optie voegen we toe omdat het genereren daarmee sommige gevallen aanzienlijk sneller gaat, al is het volgens crypto-experts wel ietsje minder veilig. Met de geheime sleutel worden de resource records straks ondertekend. Hoewel niet strikt noodzakelijk, is het een goed gebruik om bij het signeren van een zone gebruik te maken van verschillende sleutels. Een KSK (Key Signing Key) en een ZSK (Zone Signing Key). Dat biedt namelijk enkele operationele voordelen. De ZSK kan dan frequent worden vernieuwd, want daarvoor is geen interactie nodig met de parent (waarover later meer). Vanwege de grotere verversingsfrequentie, kan de sleutellengte relatief klein worden gehouden. De KSK op zijn beurt, vereist wel interactie met de parent en dus zult u die minder vaak willen vervangen. Het is daarom goed om hier te werken met een grotere sleutellengte, wat het kraken van de KSK lastiger maakt. De defaultwaarden voor sleutellengtes zijn bij dnssec-keygen: 1.024 bits voor de ZSK en 2.048 bits voor de KSK, wat vandaag de dag ruimschoots voldoende is. Goed, u maakt dus nog een tweede sleutel, een KSK ditmaal (zie figuur 3). Voor het genereren van een KSK voegt u dus de -f-optie toe.

zaken volledig geautomatiseerd, waaronder het bepalen wat de juiste sleutels zijn en het opnemen van die sleutels (in de vorm van DNSKEY records) in de zonefile. Hiervoor wordt gebruikgemaakt van zogenaamde meta-data die in de .private-bestanden staat (zie figuur 5). De laatste drie regels van de geheime sleutel uit figuur 5 worden door de –S-optie geïnterpreteerd. De -x-optie van dnssec-signzone dient voor het signeren van de publieke sleutels met uitsluitend de KSK. De ZSK wordt dan gebruikt voor het signeren van de overige resource records. Er is nu een gesigneerde versie van de pc-active.nl zo-

50% korting

op een jaar account e 45,-

couponcode 37D8967

Be online! • • • •

Zone signeren Met de hierboven gegenereerde sleutelparen, de KSK en de ZSK, kunt u uw zone vervolgens gaan signeren. Dat kan met het volgende commando (zie figuur 4): De -S-optie is vrij nieuw en maakt het leven aanzienlijk eenvoudiger. Dankzij deze optie wordt een aantal

vul de couponcode in na aanmelding

adv_vpn_107.5x142.5.indd 1

508 DNSSEC.indd 89

e 22,50

anonymous secure safe encrypted www.vpnywhere.com

17-02-11 14:51

15-04-2011 11:42:35

ACHTERGROND

| DNSSEC

Vint Cerf (links), de ‘vader van het internet’, tijdens de KSKceremonie in 2010 waar de eerste sleutel werd gegenereerd die de internet root zone beveiligt

nefile, te herkennen aan het .signed-achtervoegsel. En er is een bestandje bijgekomen: dsset-pc-active.nl., met daarin het trust-anchor van uw zonefile. Vergeet niet om de BIND-configuratie aan te passen, door naar de gesigneerde versie te verwijzen, mocht u die willen gaan gebruiken. Vergeet in dat geval ook niet om een rndc reconfig te doen. Daarmee wordt de gewijzigde configuratie opnieuw ingelezen. Als u de gesigneerde en de ongesigneerde zones met elkaar vergelijkt, dan ziet u dat de gesigneerde versie allerlei extra records heeft gekregen. De publieke sleutels zijn toegevoegd in de vorm van DNSKEY records. De digitale handtekeningen zijn toegevoegd als RRSIG records en verder zijn er nog NSEC records toegevoegd, voor het kunnen valideren van ontkennende antwoorden. De zonefile is ook flink groter geworden! Iets om rekening mee te houden bij zones met veel records; deze kunnen ‘explosief’ groeien als ze worden gesigneerd. Als we de RRSIG records

nader gaan bekijken, dan zien we daar twee datumvelden in staan (zie figuur 6). Deze datumvelden geven de begindatum en einddatum van de geldigheid van de handtekening aan. Valt de huidige datum buiten die velden, dan is de handtekening niet meer geldig. Dit impliceert dus dat de machine waarop u signeert een goede tijdsynchronisatie moet hebben, bijvoorbeeld op basis van het NTP-protocol. Maar het impliceert ook, dat u regelmatig de zone opnieuw moet signeren, om de digitale handtekeningen te verversen. Dit kan met BIND op verschillende manieren. U kun de ongesigneerde zone opnieuw als basis gebruiken, maar ook een gesigneerde versie. De dnssec-signzone-tool zal dan alleen handtekeningen verversen die dreigen te verlopen. Merk op dat in dat geval het resultaat een file is die eindigt op .signed.signed. Het beste is om het re-signen te automatiseren met bijvoorbeeld eenvoudig script, dat u in een cron-job opneemt. Daarin kunt u dan meteen de extensie van de gesigneerde file goed zetten, een named-checkzone opnemen, om het resultaat te controleren en natuurlijk een rndc reload pc-active.nl (waarbij pc-active.nl natuurlijk wordt vervangen door uw eigen domeinnaam). Het is ook mogelijk om BIND geheel automatisch de zone te laten beheren, inclusief het verversen van de handtekeningen. Dit doet u met de auto-dnssec maintain;-optie. Daarmee verandert de betreffende zonefile echter wel in een dynamische zonefile, die alleen nog maar via dynamic updates kan worden bijgehouden. Daarvoor levert BIND de handige nsupdate tool bij. Maar het is ook mogelijk om de zone even te bevriezen (rndc freeze), te bewerken en weer actief te maken (rndc thaw). RRSIG records worden vervolgens automatisch toegevoegd. Zie de documentatie van BIND voor meer informatie.

Niet vergeten Al eerder noemden we het bestandje dsset-pc-active. nl. dat is ontstaan na het signeren van uw zonefile. In dit bestandje staan twee gehashte varianten van de publieke KSK – te herkennen aan, in ons geval, de key-tag 2022 (zie figuur 7). Deze records, zogenaamde DS resource records, moeFiguur 4

Figuur 5

90

PC-ACTIVE | Nr. 247 – 2011

508 DNSSEC.indd 90

15-04-2011 11:43:07

DNSSEC

| ACHTERGROND

Figuur 6

Figuur 7

ten worden opgenomen in de parent-zone. Voor pc-active.nl is dat dus de .nl-zone, die wordt beheerd door SIDN. In de loop van 2011 zal SIDN zijn geautomatiseerde registratiesysteem gaan aanpassen, maar tot die tijd is het opnemen van deze zogenaamde trust-anchors in de .nl-zone nog een semihandmatig proces. Met deze tussenoplossing wordt aan early adopters de gelegenheid geboden om nu reeds aan de slag te gaan met DNSSEC. SIDN doet dit via een DNSSEC Friends & Fans-programma. Het voordeel hiervan is, dat u als houder van een domeinnaam rechtstreeks bij SIDN uw trust-anchors kunt laten opnemen – zij het met instemming van uw registrar. Straks, als alles is geautomatiseerd, verloopt dit proces via de registrars, waar ook al uw andere domeinnaamgerelateerde zaken (zoals een name server wijziging) worden afgehandeld. Zie ook: https://www. sidn.nl/over-nl/dnssec/friends-fans-fase/. Vergeet vooral niet om de DS records uit de parent te laten verwijderen als u onverhoopt besluit weer terug te gaan naar een niet-gesigneerde zonefile.

Ten slotte In dit artikel is beknopt uitgelegd hoe u met behulp van een recente versie van BIND relatief simpel uw domeinnaam kunt signeren zodat deze kan worden gevalideerd door speciale resolvers. Misbruik van uw domeinnaam op basis van dns-manipulatie behoort daarmee tot het verleden. In de praktijk zult u nog een aantal aandachtspunten in acht moeten nemen: • ewaar uw priv -sleutels op een veilige manier. In ons voorbeeld staan ze in dezelfde directory als de te signeren zonefile, maar in de praktijk zult u ze in een andere, goed beveiligde directory willen plaatsen. U kunt hiernaar verwijzen middels de key-directory optie in uw BIND-configuratie of m.b.v. De -K-parameter van dnssec-signzone. Wilt u het echt goed doen, dan is de machine waarmee u signeert extra goed beveiligd en hebben alleen

dns-beheerders daar toegang op. Wilt u nog verder gaan, dan kunt u uw sleutelmateriaal opbergen in speciale crypto-hardware (HSM’s), maar dan hebben we het toch wel over beveiliging van een heel andere orde (de .nl-zone is bijvoorbeeld op die manier beschermd). • hebt gezien dat er EC records zijn opgenomen in de gesigneerde zonefile. Die zijn bedoeld om ‘ontkennende’ antwoorden te kunnen valideren (want ook die kunnen worden vervalst door een kwaadwillende hacker). Nadeel van NSEC-records is dat met behulp van deze records de inhoud van uw zonefile kan worden achterhaald. Wilt u dat niet (en hebt u om dezelfde reden ‘zone transfers’ geblokkeerd), dan kunt u gebruik maken van een nieuwe variant met de naam NSEC3. Hiermee is zone-walking, zoals het achterhalen van de zonefile ook wel heet, veel minder eenvoudig. NSEC3 activeren doet u met de -3-optie van dnssec-signzone. Mogelijk moet u in dat geval ook kiezen voor een ander algoritme (de -a optie van dnssec-keygen). • Als u sleutels gaat vervangen, men noemt dit proces een key rollover, krijgt u te maken met timing issues in dns: voorkomen moet worden dat nieuwe digitale handtekeningen worden gevalideerd met oude sleutels die nog kunnen bestaan in caches van dns resolvers wereldwijd. Dat zal namelijk niet gaan werken. Er bestaan goede documenten over dit, voor de leek redelijk complexe, onderwerp. Met name RFC4641bis is de moeite waard. Als u de K K ververst, moet u ook het trust-anchor in de parent laten aanpassen. Ke -rollovers in een productieomgeving kunt u wellicht beter uitstellen totdat u meer ervaring met DNSSEC hebt opgedaan, bijvoorbeeld met een testdomeinnaam. Hetzelfde geldt voor de nog complexere algorithm rollover. • aast D zijn er ook andere softwareoplossingen voor het signeren van zones en het managen van sleutels, maar ze zijn niet allen even stabiel en gebruikersvriendelijk. BIND versie 9.7 (en 9.8) is een volwassen product, dat prima in productie kan

PC-ACTIVE | Nr. 247 – 2011

508 DNSSEC.indd 91

91

15-04-2011 11:43:22

ACHTERGROND

| DNSSEC

worden gebruikt. BIND 10 is echter nog volop in ontwikkeling en nog niet productierijp. • OpenD EC is vooral sterk op het gebied van sleutel-management. Zie www.opendnssec.org/. OpenD EC is in staat om een bestaande zone te signeren en te publiceren. En het kan overweg met cr pto-hardware ( s) waar sleutelmateriaal veilig in kan worden opgeborgen. En verder helpt dit product de dns-beheerder prima met het vernieuwen van sleutels. n OpenD EC is dit proces geheel te automatiseren. Er wordt nog volop ontwikkeld aan dit product en het kan ua gebruikersvriendelijkheid wellicht nog wat beter, maar de kwaliteit is verder goed en het product wordt al door enkele belangrijke zone-beheerders gebruikt (zoals voor .nl). et is echter geen name server, dus dit product werkt alleen met bestaande name servers (zoals D of D). • Ook owerdns timmert momenteel hard aan de weg met D EC. Zie daarvoor www.powerdnssec.org/. et charmante van dit product is dat het een turn-keyoplossing biedt. geeft aan D EC te willen doen en owerdns draagt zorg voor de rest. ijzonder aan owerdns is ook dat het dns antwoorden on the fl kan signeren. Er hoeft dus niet steeds een zonefile gesigneerd te worden om de s up-to-date

te houden. elaas is de D EC-uitbreiding van owerdns nog niet helemaal productierijp, maar de vorderingen die gemaakt worden zijn enorm en heel veelbelovend. Zeker een ontwikkeling om in de gaten te houden als u al owerdns gebruiker bent. Zowel D, OpenD EC als owerD EC (en het ook vermelde D) zijn gratis open-sourceproducten. Voor de leek vergen ze misschien wat inspanningen om te doorgronden, maar de gemiddelde C-Activelezer schrikt daar natuurlijk niet voor terug

INFORMATIE SIDN ‘dnsEC Friends & Fans’ https://www.sidn.nl/over-nl/dnssec/friends-fans-fase/ BIND, ‘DNSSEC for humans’ www.isc.org/software/bind OpenDNSSEC www.opendnssec.org/ PowerDNSSEC www.powerdnssec.org/

Adviespverkoo prijs € 283,–

Shuttle Barebone XS35GT • Nettop barebone die heel erg stil is omdat er geen fans nodig zijn • Maakt gebruik van de energiezuinige Atom-processor (dualcore!) • De Nvidia ION2-gpu zorgt voor probleemloze weergave van hd-materiaal! 92 Kijk voor meer informatie op www.shuttle.eu PC-ACTIVE | Nr. 247 – 2011

11-01 PCA Shuttle ad.indd 1 508 DNSSEC.indd 92

1/13/11 12:35:09 PM 15-04-2011 11:43:50

XXXX

| HARDWARE

PC-ACTIVE-JUBILEUM

WIE HEEFT EEN 8086 TE LEEN? TEKST : HENK VAN DE K AMER

Iedereen die de nummering op PC-Active in de gaten houdt, ziet dat er weer een jubileum aankomt. En dat willen wij graag vieren door het uitvoeren van een ludiek idee.

V

oor u ligt de 247e PC-Active sinds het allereerste nummer in april 1988 uitkwam. In de beginperiode waren er wat aanloopproblemen, zodat de telling met elf nummers per jaar niet helemaal klopt. Vanaf nummer 24 (februari 1991) halen we onze deadline keurig, zoals u zelf kunt uitrekenen. Als we dat meteen voor elkaar hadden gekregen, had heel fraai het afgelopen januarinummer de 250e geweest. Nu bereiken we deze mijlpaal met het septembernummer. En dat moet natuurlijk worden gevierd met een bijzonder project.

8086 In april 1988 (PC-Active heette toen nog ‘Het computerblad voor de Amstrad/Schneider-wereld’) staat op pagina 51 een advertentie van XT Automatisering [1]. Een Schneider PC 1640 mono 20 MB [2] kostte toen ƒ 2.290 (zonder inflatie € 1.039,16) en de luxere Amstrad PC 1640 EGA 20 MB moest ƒ 3.225 (€ 1.463,44) opbrengen. Het systeem had een 8086-cpu die op 8 MHz draaide. Tezamen met 640 kB geheugen en MS-DOS 3.2 was het een fraai systeem. In nummer 12 (het eerste nummer dat ook echt PC-Active heette) bespreken we de Amstrad 2000-serie: de 2086, 2286 en 2386. Vervang de eerste 2 door 80 en u weet welke processor in de pc aanwezig was. Tijdens de beginperiode was het voornamelijk nog de 8086-cpu waar we mee werkten. Het genoemde bijzondere project moet dan natuurlijk op zo’n machine plaatsvinden, waarbij de snelheid het liefst ook nog de oorspronkelijke 4,77 MHz is.

WWW In de beginjaren van PC-Active schreven we al over (Novell-)netwerken. Met een 2.400 baud modem konden we communiceren met een BBS (Bulletin board system) [3] en een aantal daarvan was te bereiken via telnet, ofwel hadden een koppeling met het internet.

Het fraaie world wide web bestond nog niet, alhoewel de bedenker [4] in maart 1989 al wel het idee lanceerde. Pas op 6 augustus 1991 ontstond de eerste website – een wat recentere kopie is nog steeds te vinden [5]. Op dat moment zit PC-Active al lang en breed in zijn derde jaargang. Omdat het idee van het wereldwijde web in de begindagen van PC-Active is ontstaan, is de taak voor onze 8086 duidelijk: het moet een webserver worden waarop we een PC-Active-website plaatsen zoals die er toen waarschijnlijk had uitgezien. Het bovenstaande idee brengt ons bij u. In 2005 kreeg ik een oude computer cadeau, mits ik het systeem een keer zou optuigen als webserver. Ik heb een ISAnetwerkkaart gevonden en ook de basis om FreeDOS te voorzien van een tcp/ip-stack. Toen bleek dat het een 80286 was, werd het allemaal wat minder spannend. Maar nu hebben we een goede aanleiding om dat oude plan af te stoffen, mits een lezer ons een oude, uiteraard werkende 8086 voor een half jaar wil lenen – het mooiste zou natuurlijk een Armstad / Schneider PC 1640 zijn! Uiteraard wordt uw naam vermeld bij het artikel en weet u na afloop dat uw hardware een taak heeft vervuld waarvan u nooit hebt kunnen dromen toen het systeem werd verkocht! Hulp op andere gebieden is trouwens welkom. Te denken valt aan het opzoeken van een zeer oude browser, correcte html uit de begindagen, het uitzoeken van het netwerk en alles wat u verder nog kunt bedenken. U kunt mij bereiken op [email protected].

INFORMATIE [1] [2] [3] [4] [5]

www.xt.nl/cms/index.php en.wikipedia.org/wiki/PC1512 en.wikipedia.org/wiki/Bulletin_board_system en.wikipedia.org/wiki/Tim_Berners-Lee www.w3.org/History/19921103-hypertext/hypertext/ WWW/TheProject.html PC-ACTIVE | Nr. 247 – 2011

105 8086.indd 93

93

14-04-2011 11:15:01

hcc!CompUsers

In april 2012 komt de functie van voorzitter vrij. Het bestuur wil graag nu al in contact komen met kandidaten, zodat er na een selectie nog gelegenheid is voor een ruime inwerkperiode. CompUsers is een vereniging met circa 12.000 leden en is als 'interessegroep' gelieerd aan de vereniging HCC (circa 100.000 leden). De activiteiten van CompUsers bestaan onder andere uit het verspreiden van informatie en programma's, bieden van ondersteuning, internetactiviteiten, een VraagBaak, bijeenkomsten, cursussen enzovoort, alles bedoeld voor de privésfeer en computergebruik. Een aantal activiteiten zijn georganiseerd in 'Platforms'. Via de ProgrammaTheek BV wordt een aantal commerciële activiteiten uitgevoerd, zoals de uitgifte van een magazine (SoftwareBus), CD- en DVD-ROM projecten en eShop. Door het kader van CompUsers is een profielschets opgesteld voor een nieuwe voorzitter: • Flexibel zijn • Doortastend zijn • Uithoudingsvermogen en doorzettingsvermogen bezitten • Gevoel voor trends, ook onder jongeren • Gevoel voor cultuur, binnen HCC en CompUsers • Een netwerk hebben binnen HCC en CompUsers • Communicatief vaardig zijn • Leiding kunnen geven en kunnen delegeren • Tijd beschikbaar hebben • Open kunnen staan voor de mening van anderen • Samenbindend zijn • Helicopterview en visie hebben Duidelijk is dat CompUsers op zoek is naar het bekende schaap met vijf poten, maar toch weer met een schaap met vier poten genoegen zal moeten nemen. Het liefst een midden veertiger of een midden vijftiger, die ook af en toe overdag ten tonele kan verschijnen. De rol van voorzitter van CompUsers biedt een interessante uitdaging met veel potentieel. Het is geen gemakkelijke taak. Maar er is een vriendschappelijk en deskundig kader van vrijwilligers, waardoor er ook veel voldoening uit voortkomt. En een voorzittershamer is er nooit geweest.

info: www.CompUsers.nl

Na een aantal keren een fotowedstrijd te hebben georganiseerd met medewerking van het Platform DigiFoto, vinden we het nu tijd om een ander Platform de gelegenheid te geven iets met een wedstrijdelement te organiseren. Deze keer is het Platform WebOntwerp aan de beurt, en dat werkt hierbij nauw samen met ons WebTeam. Daarbij willen we als bestuur graag van de nood en deugd maken, ofwel: twee vliegen in één klap slaan. We zijn al een tijdje niet meer helemaal tevreden met de uitstraling van onze websites. Kortom, de websites van CompUsers (www.compusers.nl en www.compusers.nl/eShop) zijn toe aan een nieuw 'smoel'. Wie gaat dit voor ons ontwerpen? We willen hiermee de creativiteit onder onze leden stimuleren. Je hoeft overigens geen genie te zijn in het werken met ontwerpsoftware, een ontwerp op een vel papier mag ook. Dat ontwerp wordt dan door het webteam omgezet in (technisch gezien) een thema voor onze websites. Je hoeft dus niet te weten hoe het omgezet kan/moet worden, maar het kan ons wel helpen als je daar ervaring mee hebt. Gebruik je creativiteit, kijk naar andere websites. En, niet te vergeten, op de huidige twee websites naar de volgende elementen die een plaats moeten krijgen: • kop • diverse menu-onderdelen • inhoud • voetregel.

He op Se Ne ov hy m da

De ga Pl va bi

De bedoeling is dat ons visitekaartje – dat is een website immers – een fris en eigentijds uiterlijk krijgt. Waaraan moet dat voldoen: • ons bestaande logo moet blijven. • de inhoud, het tekstdeel, moet zwart op wit zijn. • alle categorieën moeten bereikbaar blijven. Elke inzender mag drie thema’s inleveren. Wees creatief en leef je uit op deze uitdaging. Wat dien je in: • een uitgewerkt ontwerp of schets op een stuk papier, en/of • een elektronisch plaatje vanuit jouw favoriete tekenprogramma, en/of • grafische elementen voor de website(s), en/of • alles wat daar tussenin ligt. Als een schets wordt ingeleverd dan moet je, om kunnen te winnen, deze wel eerst omzetten in een definitief ontwerp ingeval de jury jouw schets uitkiest als potentiële winnaar.

Ne w

N

De Pl la •

Daarnaast willen we graag: • HTML/hexadecimale kleurcodes der grafische elementen. • opgave gebruikte lettertypes.

Denk jij een geschikte kandidaat-voorzitter te zijn? Of ken je iemand, die zelf te bescheiden is om zich te melden of nog een duwtje in de goede richting nodig heeft? Wees dan zo vriendelijk om contact op te nemen met [email protected]. En zet er het liefst ook je telefoonnummer bij, zodat je gebeld kunt worden.

Achtergrondinformatie De beide websites zijn gebouwd met het Content Management Systeem (CMS) Drupal. Drupal heeft zelf ook al heel veel vrije thema’s. Deze mag je als uitgangspunt gebruiken voor je eigen ontwerp (zie: www.drupal.org/project/Themes). Voor aanvullende informatie en het laatste nieuws verwijzen we je naar onze website www.compusers.nl. Heb je vragen, stuur ons dan een berichtje via: www.compusers.nl/contact/WebTeam.

Alle reacties zullen 100% vertrouwelijk behandeld worden. Pas na overleg met betrokkenen zullen gegevens ter kennis komen van het bestuur van CompUsers.

Inschrijven alleen via: www.compusers.nl/contact/WebTeam. Inschrijven vóór 15 mei 2011. Indienen ontwerp: uiterlijk 31 juli 2011.

Henk van Andel (Voorzitter CompUsers)

René Suiker (vice-voorzitter)

106 dosgg.indd 94

H

14-04-2011 11:53:03

• • •

•

nl

d u

m

hcc!CompUsers is de grootste interessegroep van de HCC. De activiteiten zijn gericht op het thuisgebruik van computers, vooral op besturingssystemen en een breed terrein van toepassingen. Op deze pagina's kun je kennismaken met het 'aanbod' van kennisoverdracht en diensten. Info: www.CompUsers.nl.

CompUsers is voor leden al heel lang actief met e-mail op een eigen mailserver. Dat begon al onder het domein doge.nl. Later kwam daar het domein DOSgg.nl bij. De meeste 'mailklanten' doen dat onder een subdomein, maar met beperkte functionaliteit. Tijd voor een inhaalslag. Tevens wordt een aantal verbeteringen doorgevoerd.

je mail verzenden. Een groot voordeel, want niet alle internetcafé's, hotels, bedrijven, e.d. staan toe dat gasten op hun systeem mail via een e-mailprogramma verzenden. Bovendien zou je laptop daarvoor telkens ingesteld moeten worden. Lastig en bovendien allesbehalve veilig.

Het nieuwe mailsysteem

-

w

.

e-

e-

Het nieuwe mailsysteem is ondergebracht op een krachtige 'dedicated server' bij Server4You, met o.a. een vestiging in Nederland. De CompUsers mailserver staat overigens in Straatsburg in Frankrijk in het hypermoderne 'datadock', dat heel zuinig met energie omgaat. De servers nemen daar gemiddeld slechts 37,2 watt op. De leden met een mailaccount krijgen toegang tot het voor hen relevante deel van Plesk, een programma voor het beheer van internetservers op afstand. Via een webinterface, dus met de browser, en in het • • •

t

Nederlands. Bestaande mailadressen worden overgezet.

Nieuwe mogelijkheden De nieuwe mailserver en het beheer via Plesk biedt de gebruikers een aantal belangrijke voordelen: • Aanmaken van extra mailaccounts, bijvoorbeeld [email protected]. De dochter heeft dan een eigen mailbox met eigen inloggegevens en wachtwoord, zodat pa niet meer haar mail kan lezen. • Mailaccounts kunnen desgewenst ingesteld worden als 'catch all'; uiteraard maximaal één per subdomein. • Alle communicatie voor beheer en inloggen tussen gebruiker en server is beveiligd d.m.v. versleuteling. • Ook de mail kan tijdens het uitlezen van de mailbox desgewenst versleuteld worden (pop3 SSL-protocol). Let op! Hiervoor moet het mailprogramma geconfigureerd worden. • Webmail is inbegrepen. Overal ter wereld kun je via een beveiligde verbin-

106 dosgg.indd 95

• •

ding je mail lezen. Plesk-beheer biedt de gebruiker een maximale flexibiliteit. Mogelijkheid van 'auto responding'. Mogelijkheid mail door te sturen naar een ander e-mailadres. Mogelijkheid om mail op te halen uit andere mailboxen; handig voor degenen die meerdere mailboxen hebben om snel de mail bijvoorbeeld ook op een smartphone te ontvangen zonder telkens 'tig' mailaccounts te moeten aanmaken op alle apparaten. Maken en beheren van mailgroepen. Naast het pop3-protocol is ook het modernere IMAP mogelijk; de mail blijft dan op de server aanwezig. De opslagcapaciteit van 1 GB kan je dan van pas komen!

Maar het webmailprogramma biedt meer dan alleen mail: • Bijhouden van uitgebreid adresboek. • Maken en beheren van notities. • Uitgebreide agendafuncties; deelnemers van een gebeurtenis kunnen bijvoorbeeld automatisch per mail een bevestiging van de afspraak ontvangen. • Heel veel opties kunnen naar wens ingesteld worden.

Spam en virussen Een belangrijke activiteit van de huidige mailserver is het uitfilteren van spam. Heel belangrijk, want spam is een veelvoud van 'echte' mail. Ook de nieuwe server zal mail filteren op spam, op ongeveer dezelfde wijze als nu. Via Plesk kan de 'strengheid' van het filter naar behoefte aangepast worden. Daarnaast heeft de nieuwe server standaard een virusfilter van de toonaangevende Dr

Uitgebreide webmail Webmail wordt gebruikt om overal ter wereld je mail te kunnen lezen. Ook in een internetcafé in Timboektoe, waar je niet eerst een mailprogramma kunt configureren. Dat zou je trouwens ook niet moeten willen, als je privacy op prijs gesteld wordt. Bovendien kun je met webmail ook overal

Web (voor servers).Via Plesk kan dit worden uitgezet.

Een geringe vergoeding De mailaccounts voor CompUsers-leden waren tot nu toe gratis. We zien dat niet alle mailaccounts actief worden gebruikt. Enerzijds om de kosten te dekken, maar anderzijds om te vermijden dat inactieve mailaccounts worden aangehouden, zal in de toekomst een kleine bijdrage worden gevraagd, te weten € 12/jaar inclusief BTW. Dit gaat in op 1 januari 2012, tot die tijd is het dus nog gratis. Ieder CompUsers-lid kan van de mailservice gebruik maken. Bestellen via de eShop (www.CompUsers.nl/eShop).

14-04-2011 11:53:58

U

NU WORD EE! ABONN

N WORD

! ONNEE

EE! ABONN

RD NU O W ! NU ONNEE WORD B A ! EE ABONN

EE!

ABONN

WORD NU ABONNEE! WORD

NU

WORD

NU

NU WORD U N NNEE! O WORD B A EE! ABONN

EE!

ABONN

RD NU ABONNEE! O NU W WORD ! NU E E D R N U O N N ABO ORD NNEE! U W O W ! N B E A E D R N U ! N N WO ONNEE WORD ! ABO B E A E N U ! N N E RD NE U ABO ORD N U WO NEE! ABON W N D R U ! O N N ONNEE WORD NU W NNEE! ABO B A D R U ! O N E W E BO WORD ABONN EE! A N U ! N N E O E D B A OR NN NU W NNEE! ABO D R U O ABO ORD N U W W ! N E E D R N U ! N N WO ONNEE WORD ! ABO B E A E N U ! N N E E ABO WORD RD NU ABONN O U W ! N E E D ! OR NN NU ONNEE WORD NU W NNEE! ABO B A D R U ! O N E O W WORD BONNE E! AB A E N U ! N N E O E D R N U AB ORD N U WO NEE! ABON W N D R U O N N WORD NU W NNEE! ABO O WORD AB

B

EE!

ABONN

1 JAAR

NU WORD EE! ABONN

(26X)

WORD U N ON WORD E! AB E N N O AB WOR U N D WOR EE! ABONN

VOOR MAAR

 39,50

ABONN

NU WORD E! BONNE A ! E E ABONN

c Haal meer uit uw p ! met Computer Idee eken ● Verschijnt elke 2 w n ● Tips & achtergronde software ● Tests van hard- en ● Koopadviezen ps ● Duidelijke worksho

NU WORD EE! ABONN

NNEE!

EE

ABONN

ABO NNEE! NU O D B R A O U ORD N RD N NEE! U W W ! O N N E O W E D B R N U A O N N U WORD ORD N NNEE! NU W NNEE! ABO BONNE O A D B R U A ! O N E O W bijna E! RD NE AB BONNE RD NU ABONNEE! U WO NEE! ABON O N W D R O N N U WORD ORD N NNEE! NU W NNEE! ABO O W D B R U A O N U W N BO E! WORD ABONN WORD EE! A D NU BONNE R N U A ! O N N E O W E D ! B E R N A E RD NU ABONNEE! U WO NEE! ABON ABONN O N W D R O N ! NU WORD NU W NNEE! ABO ONNEE WORD D B R U A O N U O W D ! N B R A EE WORD RD NU ABONNEE! U WO NEE! ABON ABONN O N W D ! E R E O ABON RD NU ABONNEE! U W ABONN ! O N E W E D R N RD NU ABONNEE! U WO NEE! ABON WOR O N W D R U O N N U O W D ! N B E R A E O U WORD ABONN ORD N NNEE! NU W NNEE! ABO O W D ! B E R A E O N U RD N NEE! U W ABON ! ABO O N N E O W E D B R N A O N W NU ABO WORD

40% korting op de winkelprijs!

Surf naar www.computeridee.nl/abonneren EW_CID 09-10 210x297.indd 4

WORD

1/25/10 1:54:10 PM

NU

MIGRATIE

COLUMN

WAMMES WITKOP

’t

Was eindelijk weer eens tijd. De snelle bak waar ik ooit zo tevreden over was – snel genoeg voor het toen net verschenen Vista, compleet met alle grafische toeters en bellen, dus dan weet u wel hoe lang geleden dat was – moest worden vervangen. Het was een zich tergend traag voortslepend stuk ergernis geworden. Kijk, een stukkie als dit tikken, is het probleem natuurlijk niet. Dat gaat ook in Word 2003 op XP prima. Sterker nog, ik schrijf deze column nog op die oude pc! Waarom? Dat zal ik straks wel vertellen… Maar sinds een jaar of twee speel ik veel met video. Soms eigen opnames, maar vooral heel veel speelfilms en documentaires die ik van televisie opneem. Krek de ouwe videorecorder, maar dan anders: er staat een Humax iHDR 5050c boven in de huiskamer. En die neemt in digitale kwaliteit ook hd-televisie op. Alleen, de ingebouwde 320 GB harde schijf loopt wel snel vol en even bijknippen – reken er nooit op dat de tijden in de gids kloppen – is er ook niet bij. Maar aangezien de Humax ook aan het thuisnetwerk hangt en ftp spreekt, is het een fluitje van een cent de ts-bestanden op de harde schijf van de pc te krijgen. Aldaar is VideoReDo mijn vriendje en kan ik ook hd-opnames keurig bijsnijden. Onderhand heb ik meer films verzameld dan ik ooit zal bekijken en verdienen de fabrikanten van externe harde schijven goudgeld aan me, maar ach, ’t is een hobby. En dat mag wat kosten, qua geld en tijd. Hoewel, dat laatste werd toch de bottleneck. Want vooral in full hd-kwaliteit ging het redigeren wel erg traag. Het navigeren was stroperig, het wegschrijven van de bijgesneden versie leverde te veel koppen koffie op om nog gezond te kunnen zijn. Laat staan als ik eens een filmpje wilde omzetten naar een ander grafisch formaat, bijvoorbeeld om op de Ipod mee te nemen. Vandaar dat het tijd werd om eens een strak jong ding te laten aanrukken. Het werd Alternate, een zelf bij elkaar gesprokkelde verzameling harde waren die door hen à raison van € 55 in elkaar werd gesleuteld en keurig, compleet met alle legen dozen en doosjes van de onderdelen in twee colli aan de deur werd afgeleverd. Wat heet, ik werd nog netjes gebeld om te bespreken dat mijn geheugen wat formfactor betreft ruzie kreeg met mijn processorkoeler – de koelvinnen waren te groot. Telefonisch werden me iets duurdere reepjes aangeboden zonder bij-

betaling, nadat ik had aangegeven te zijner tijd te willen overklokken en dus niet de boxed koeler wilde gebruiken. Dat overklokken wordt trouwens wel pas later, als ik mijn Gigabyte H67A-UD3H-B3 vervang door iets met de nog niet beschikbare Z-68 Sandy Bridge chipset, die wel én overklokken én gebruik van de on-chip graphics van mijn Intel Core i&2600K tegelijkertijd ondersteunt. Samen met een 2 TB harde schijf voor data en een 128 GB ssd voor Windows en andere programmatuur, alsmede een fikse, maar stille voeding hebben ze bij Alternate de zaak in een niet al te goedkope aluminium kast gebouwd met genoeg ruimte voor een paar extra kaarten of drives, te zijner tijd. Alleen jammer van die garantiestickers, als ik de kast zelf open, vindt Alternate dat zij geen garantie meer hoeven te geven. Maar dat zien we dan wel weer. Of ’t bevalt, vraagt u? Jazeker, een verademing. Windows opstarten is in een halve minuut gepiept. En bij het video bijsnijden blijf ik gewoon wachten, een film kost minder dan een minuut. Al met al, zoals elke keer als ik een nieuwe machine neerzet, bekruipt me het gevoel dat ik dat natuurlijk veel eerder had moeten doen. ’t Kost wel wat, zo’n ‘top of the bill’-pc, maar het is die bijna € 1.350 zeker waard. Waarom ik dan dit verhaal nog onder Vista op een XP met slechts twee cores zit te tikken? Och, de migratie natuurlijk. Op die XP-machine heb ik heel veel zaken naar mijn eigen hand staan. Allerlei handige stukjes software, instellingen die na lang puzzelen zijn gevonden. En anders dan collega Van de Kamer ben ik niet netjes en geduldig genoeg om dat uitzoekwerk allemaal meteen keurig op te schrijven, zodat ik de nodige wielen opnieuw zal moeten gaan uitvinden. Niet voor het eerst: per slot van rekening staat er onder mijn bureau naast die XP, waar ik nu nog op tik, een nog weer oudere machine die zo nu en dan precies om dat soort redenen ook nog even gebruikt wordt. Mijn KVM heeft niet voor niets vier poorten! En zo komt mijn werkkamertje langzaam maar zeker vol te staan met een soort van archief: oude computers waar je soms even iets op wilt nazoeken/uitproberen/doen. Voor ik goed en wel alles heb geïnstalleerd op mijn snelheidsmonster zal de techniek me wel weer achterhaald hebben met nog snellere hardware. Het zij zo, ik ben er langzaam maar zeker wel aan gewend geraakt. Straks eerst maar Lightroom 3. Office kan wachten…

PC-ACTIVE | Nr. 247 – 2011

205 wammes.indd 97

97

15-04-2011 11:46:35

VOLGEND NUMMER

11x voor

In het volgende nummer komen onder meer de volgende onderwerpen aan bod (onder voorbehoud):

€ 42,50

Advanced Format-harde schijven Sinds jaar en dag zijn harde schijven opgebouwd uit sectoren van 512 bytes. Bij de nieuwe Advanced Format schijven is dat 4.096 bytes geworden. In sommige gevallen kan dat echter problemen veroorzaken…

OP CD: GRATIS SCREENCAPTURE-SOFTWARE: BB FLASHBACK EXPRESS PC-ACTIVE | MEI 2011

VALKUILEN VAN DE CLOUD

SCHERM VAN DE TOEKOMST



18

82

247 JAARGANG 23 | 2011

OV-CHIPKAART

12

Fraudeurs worden vervolgd

VERBERG UW DATA

78


SECURITYPROBLEMEN? 44 VALKUILEN VAN DE CLOUD | SCHERM VAN DE TOEKOMST | INTERNET UITZETTEN | IPV6-TUNNELS


WIRESHARK (2)

52


LINUX-TEKSTEDITORS

40

Tools voor gevorderden

ABORT, RETRY, FAIL

14

Fout in wachtwoordsysteem

WIJ VAN WC-EEND...

16

Valse claims zonne-oplader

PHOTOSTUDIO PRO

INTERNET AAN OF UIT

Wachtwoorden kraken

Hoe sluit onze overheid het internet af? 58

34

Krachtige beeldbewerker

BESTANDSBEHEER

36

Alternatieven voor Verkenner

HAAL MEER UIT WORD 48 Slimmer met beelden

IPV6

62

Het Lab graaft tunnels

BOOTEN VIA HET NETWERK

VUNZIGE PLAATJES OPSPOREN

Porn Detection Stick schoont uw pc op

PXE-Server opzetten

22 GRATIS FILEMANAGERS FreeCommander XE DropIt 1.6 Tabblet Free 2.0.1 Advanced Renamer 2.74 TeraCopy 2.12 DiffMerge 3.3.0

32 SOFTWARE Gratis: BB FlashBack Express HTML-Kit 292 Delphi XE Starter Edition (60 dagen versie) Gratis: Copernic Desktop Search Home Edition XUS Desktop 1.2.48

CodedColor PhotoStudio Pro 6.1

Gratis: Opera 11.01 Gratis: Internet Explorer 9 NL Gratis: Mozilla Firefox 4.0 NL Gratis: 7-zip 9.20 Gratis: FastStone Image Viewer 4.3 PDFCreator 1.2.0

WWW.PC-ACTIVE.NL NR. 247 JAARGANG 23 | MEI 2011

€ 6,99

Betaal slechts € 3,89 per nummer als u een abonnement neemt

DIGITAAL EN ANONIEM GELD OVERMAKEN MET BITCOIN

98

Surf naar www.pc-active.nl/abonneren

Neem een kortingsabonnement!

13-04-2011 13:17:08

GEEN ENKEL NUMMER VAN PC-ACTIVE MISSEN?

100 Cover-Def.indd 1

In elk encryptiesysteem is één ding fundamenteel voor de veiligheid: de willekeur van de sleutel of het wachtwoord. Is die gemakkelijk te raden, dan is het bericht makkelijk te ontcijferen, en is de sleutel te kort, dan kan men gewoon alle sleutels één voor één proberen. We bekijken de stand van zaken, zodat u weet hoe lang u uw wachtwoorden moet maken.

COLOFON

Dit tijdschrift is een uitgave van PC-Active BV en verschijnt 11 maal per jaar, compleet met cd

HOOFDREDACTEUR: Rob Coenraads REDACTIE: Rick van Eeden (adjunct-hoofdredacteur / eindredacteur), Mark Gamble (coördinator cd-rom / web), Henk van de Kamer (technisch redacteur) VORMGEVING: Daniel Amoako FOTOGRAFIE: Ton Bloetjes (Bloonie Fotografie) MEDEWERKERS: Pieter-Cornelis Avonts, Koen Crijns, Marco Davids, Bas Degelink, Frank Everaardt, Hans Niepoth, Jan Roza, Yves Sucaet, Filip Vervloesem, Koen Vervloesem en Wammes Witkop UITGEVER: Martin Smelt TRAFFIC: Marco Verhoog MEDIACONTROLLER: Bob Bottelier, Mirella van der Willik BOEKHOUDING: Geeta Hobo, René de Muijnck, Irene Prass MARKETING: Miranda Mettes (manager), Judith Sturk REDACTIEADRES: PC-Active, Postbus 3389, 2001 DJ Haarlem Telefoon 023-543 00 00, Fax 023-535 96 27, www.pc-active.nl Over de inhoud van blad en cd-rom: E-mail: [email protected] Persberichten per e-mail: [email protected] ADVERTENTIE-EXPLOITATIE: HUB Uitgevers Aart van der Giezen Postbus 3389 2001 DJ Haarlem E-mail [email protected] Telefoon 023-543 00 24 Fax 023-535 96 27

Uiterste zorg wordt besteed aan het vervaardigen van PC-Active. Desondanks zijn fouten niet uit te sluiten. De uitgever kan derhalve niet aansprakelijk worden gesteld voor eventuele fouten in artikelen, programma’s of advertenties. Overname van artikelen of andere redactionele bijdragen is slechts toegestaan na voorafgaande schriftelijke toestemming van de uitgever. Tenzij uitdrukkelijk anders is overeengekomen heeft de redactie het recht om vrijelijk te beschikken over alle haar toegezondenmateriaal. ABONNEMENTEN: Ingrid van der Aar, Tanja Ekel, Marja Haakmeester VOOR VRAGEN OVER UW ABONNEMENT OF DOORGEVEN VAN ADRESWIJZIGINGEN PC-Active T.a.v. abonnementenadministratie Postbus 3389, 2001 DJ Haarlem E-mail: [email protected] Fax: 023 - 545 18 43 Telefoon op werkdagen tussen 10 en 14 uur: 023 – 536 44 01 OPGEVEN VAN EEN ABONNEMENT OF NABESTELLEN VAN OUDE NUMMERS KAN VIA DE WEBSITE: WWW.HUBSTORE.NL PC-Active verschijnt 11 maal per jaar en een jaarabonnement kost € 66 (België: € 71,50). Een abonnement kan op elk moment ingaan en wordt automatisch voor eenzelfde periode verlengd, tenzij er twee maanden voor vervaldatum schriftelijk wordt opgezegd.

DRUK: Senefelder Misset BV, Doetinchem © 2011 DISTRIBUTIE: Nederland: Betapress BV, Gilze, Tel. 0161-45 78 00 België: Imapress N.V., Turnhout, Tel. 014-42 38 38 ISSN 0925-5745

PC-ACTIVE | Nr. 247 – 2011

107 volgende keer.indd 98

15-04-2011 13:25:07

COME TO

THE DARK SIDE Experience the power of the DARK SERIES – with our high-end series that represents the maximum level of performance in the be quiet! product range.

MAXIMUM POWER in the DARK POWER SERIES – with a stable and safe output of up to 1200W, an excellent efficiency of up to 93% certified with 80PLUS Gold* and with SilentWings fan. *Except 1000W and 1200W, certified 80PLUS Silver.

MAXIMUM COOLING in the DARK ROCK SERIES – due to special thermal management with airflow-optimised design of the lamellas, cooling-efficient heat-pipe arrangement and up to two SilentWings fans. MAXIMUM SILENCE thanks to SILENTWINGS TECHNOLOGY – with special anti-vibration mountings, flow-optimised fan blades and FDB bearings with a copper core integrated in all products of the DARK SERIES. Find out more about our DARK SERIES and further products from be quiet! at:

www.be-quiet.com

be-quiet.com

Get it here: www.alternate.nl www.azerty.nl www.4allshop.nl www.dynabyte.nl www.informatique.nl www.salland.eu www.zercom.nl www.cdromland.nl

224033_BQ_INTER_engl_210x297mm.indd 1 Untitled-6 1

Hardware Info, PC Active 07.04.2011 210x297mm

06.04.11 10:04 13- 4-2011 14:01:46

OPEN EN Verkoop nu alle digitale producten, zoals foto’s, eBooks of muziek via STRATO’s DownloadShop.

EEN WEBSHOP OPENEN WAS NOG NOOIT ZO MAKKELIJK. Flexibele shops inclusief hostingpakket Individuele vormgeving met meer dan 100 templates Ruimte voor 1000 producten en voorvertoning van digitale producten

Open je webshop met STRATO! Meer weten? Ga naar strato.nl

NIEUW!

DOWNLOADSHOP SLECHTS

€ 14,90

/mnd.

Heb je vragen? Je kunt ons gratis bellen op: 0800 – 265 8909 Contractperiode van 12 maanden. Prijs excl. btw.

STR0511_AZ_WebShop_A4_NL 1 Untitled-2 1

13.04.11 10:09 15-4-2011 10:25:55

VALKUILEN VAN DE CLOUD. Online diensten met dubbele bodem INTERNET AAN OF UIT. Hoe sluit onze overheid het internet af? PXE-server opzetten 22

Recommend Documents