Ca devait arriver. Les Belges étant les champions du monde de la copie des mauvaises idées, voilà donc qu’arrivent deux propositions législatives sur le téléchargement illégal sur Internet. L’une des propositions émane du sénateur MR Philippe Monfils, et est basée sur le même concept que la loi HADOPI adoptée en France il y a quelques mois et entend combattre le téléchargement en criminalisant les usagers du Net. Je reviendrai sur les faiblesses de cette proposition dans un autre article.

Ce qui m’intéresse aujourd’hui, c’est la proposition des sénateurs Ecolo Benoit Hellings et Groen! Freya Piryns pour l’instauration d’une “licence globale”, autrement dit une taxe sur les abonnements à Internet qui permettrait donc de télécharger des oeuvres protégées en toute impunité.

Notons que les deux propositions sont au départ basées sur la même constation dans le chef de leurs auteurs: le téléchargement illégal tue la création. Il faut saluer le travail remarquable effectué par les lobbyistes des majors du disque depuis des années.  A force de répétition tenant du lavage de cerveau version Révolution Culturelle, il sont parvenus à convaincre à peu près toute la planète du lien de causalité entre le téléchargement illégal et la chute de vente des CD et DVD. Read more…

Les modems BBOX2 qu’utilisent une majorité de clients de Belgacom TV comportent des failles de sécurité importantes. Belgacom revendiquait 589.000 clients pour sa plate-forme TV l’été dernier. Une majorité d’entre eux utilise ce fameux modem. Une combinaison de facteurs ouvre la porte à des actes malveillants, pouvant être commis par des personnes sans connaissances informatiques particulières et pas seulement des ‘hackers’.

1. Les modems BBOX2 sont tous livrés avec le même mot de passe d’administration. On peut très facilement le trouver via un moteur de recherche: http://www.google.com/search?hl=en&q=BGCVDSL2
2. Belgacom prétend bloquer l’accès à distance de ces modems via Internet. C’est partiellement exact. Cependant, ces modems sont livrés d’origine avec une connexion WIFI active et non protégée. N’importe qui passant dans la rue peut donc se connecter à une BBOX2 non protégée.
3. Muni de cet accès administratif, on peut télécharger le fichier de configuration du modem et décrypter les mots de passe qui s’y trouvent. Là aussi, on trouve le nécessaire sur Internet: http://www.webalice.it/zibri/Deobfuscate.html

Après avoir récupéré les identifiants d’un abonné  à Belgacom TV (identifiants de la connexion PPPoE, pour être précis), un pirate peut utiliser ces informations pour perpétrer des actes malveillants en se faisant passer pour cet abonné.

Toutes les informations ci-dessus sont en possession de Belgacom depuis longtemps. J’ai moi-même interrogé l’opérateur, qui n’a pas daigné accuser réception, et encore moins répondu ou proposé des solutions.

Notons également que si cela s’applique aux clients de Belgacom TV, certains abonnés Internet, chez Belgacom comme chez les opérateurs alternatifs qui utilisent le réseau VDSL2 de Belgacom sont également concernés. Le propriétaire du réseau impose en effet aux autres FAI l’utilisation d’un modem semblable au sien, également pourvu d’un mot de passe identique pour tous les abonnés.

Read more…

Santa has been kind to me. I just switched to a new ISP.  The results below speak for themselves.

2009-12-25

2009-07-20

That’s the good news. The less good one is that this whole VDSL2 infrastructure deployed by the incumbent telecom operator has some major security holes, on which I will post later, once I have finished my research.

This morning, I fixed an annoyance in the Hellotxt plugin I use on this WordPress blog that would resend a notification to hellotxt.com every time one updates a post (to correct a typo for example).

I sent a tweet about this and, much to my surprise, I immediately received a series of direct messages on Twitter asking for the code. So here it is:  hellotxt.php.txt , as well as the diff to the original file: hellotxtpress.php.diff

There are actually four changes:

• Added configuration option for URL shortener, so you can use your favourite URL shortener service. It defaults to mine.
• Added configuration option for post prefix. By default, it is “New Blog post: “

• Replace WP smart quotes by plain ones.  This is to prevent that some microblogging sites print out the HTML entities value, instead of the quotes themselves. Copied straight from WP Laconica Tools.
• Don’t resend a post that was already submitted.  The inspiration came from the WP Laconica Tools.

I will submit my changes to the plugin author, who may decide to incorporate them in a future release.

In advance of a planned migration of my home Internet access to VDSL2, I received a Belgacom BBox2 modem.

VDLS2 is actually a choice I had to make because ADSL technology is not really able to deliver in my area, due to the distance between my home and the phone exchange. On the other hand, Belgacom has been installing these fiber cabinets in every block recently in the framework of their FTTC  project. Hence, a change of technology was needed for me if I wanted a faster Internet access.

The main issue with VDSL2 is the interoperability of equipment. The Broadband Forum is still working on this. As noted by the Belgian regulator IBPT in its latest consultation : “Interoperability between DSLAM and CPE is not guaranteed by an ITU standard and it may be more difficult to achieve due to the differentiation possibilities of the VDSL2 technology”.

Belgacom decided to purchase its VDSL2 equipment from Alcatel-Lucent. That equipment is using Ikanos Fusiv chips. Consequently, Belgacom delivers CPE devices based on the same chipset. There were few at the time  when Belgacom  chose its platform, so they went for a Sagem F@st 3464 modem, equipped with the Ikanos Fusiv Vx160 processor, which they repackaged (it’s ugly) and rebranded BBox2.

The Sagem box is not such a bad one, according to its specs. Unfortunately, Belgacom decided to design its own version of the firmware to adapt it to their commercial needs. Belgacom is agressively pursuing the triple play market. They wanted a modem that would be able to deliver two high definition TV streams at the same time it delivers Internet access.

Read more…

Il y a un mois et demi, je signalais à VOO, fournisseur d’accès Internet en Belgique, un problème de configuration de leurs serveurs e-mail et DNS. Les messages que je trouvais dans mes logs disaient:

Sep 5 13:58:57 server Postfix/smtpd[30746]: NOQUEUE: reject: RCPT from
mirapoint21.brutele.be[212.68.199.158]: 450 4.1.8 <www-data@webvoo.voo.be>:
Sender address rejected: Domain not found;  from=<www-data@webvoo.voo.be>
to=<xxx@xxx.xx> proto=ESMTP helo=<mirapoint21.brutele.be>

En pratique donc, le serveur de VOO à l’origne du message initial ne possède pas d’entrée dans le DNS, et se retrouve en conséquence blacklisté par mon serveur de mail. C’est une tactique courante pour rejeter une partie du spam qui abreuvent nos boîtes aux lettres.

En bon petit soldat de l’Internet, j’ai donc suivit les indications de RFC 2142 concernant les adresess email de service, et qui précise que “ if a given service is offerred, then the associated mailbox name(es) must be supported”.

J’ai envoyé un message à postmaster@voo.be et à webmaster@voo.be . Les messages me sont revenus avec un non-delivery report.  Le DNS de VOO est, en principe, géré par hostmaster@brutele.be .  Du moins c’est ce qu’indique le SOA du DNS. Comme je devais m’y attendre, hostmaster@brutele.be n’existe pas et les emails sont revenus itou. Bon, VOO ne respecte pas les standards et malheureusement, ils ne sont pas les seuls.

Read more…

Ainsi donc, l’ICANN tiendra une réunion à Bruxelles en juin 2010. Toutes mes félicitations à Marc Van Wesemael et l’équipe d’Eurid.

Lors de la conception du projet de la réunion ICANN à Luxembourg qui se déroula en 2005, j’avais un temps envisagé de l’organiser à Bruxelles, tant il me semblait logique que la capitale de l’Europe accueille une telle manifestation. Le contexte était cependant différent.

A l’époque, le coût de la manifestation était entièrement supporté par l’organisateur local et ses partenaires. Le fractionnement institutionnel de la Belgique, avec ses multiples niveaux de pouvoirs aux compétences redondantes et en concurrence directe rendait tout simplement la participation des pouvoirs publics impossible. De nos jours, l’ICANN a compris qu’elle ne pouvait plus compter sur des tiers pour ouvrir leur portefeuille et finance elle-même la majeure partie des coûts.

Il n’en reste pas moins qu’il sera intéressant de voir qui seront les orateurs lors de la séance inaugurale. Aura-t-on un ministre fédéral ? Les télécoms sont une compétence largement régionalisée. On pourrait donc avoir un ministre bruxellois. Oui mais, Bruxelles est aussi la capitale de la Flandre. Aura-t-on peut être un ministre flamand ? Le responsable  du protocle va s’arracher les cheveux.

Une fois de plus, vous manquez à vos plus élémentaires obligations contractuelles en me fournissant le service ADSL le plus merdique de Belgique. Je n’ai pas l’habitude d’utiliser des gros mots en public. C’est vous dire combien je suis exaspéré.

Vous m’avez reproché auparavant, et avec une mauvaise foi certaine, que je vous avais pas informé de la piètre qualité de vos services. Non seulement, je l’ai fait, mais d’autres aussi. Il y en a plein les forums de discussion. Mais puisque vous me prenez au mot, je vais effectivement me plaindre. Et que cela se sache. Read more…

I just bought a Linksys WAG160N ADSL modem/router that I am going to bring back to the retail store. The main reason it that it will not connect to my Nokia E61i phone on anything more than the old-fashioned (and insecure) WEP. My phone works fine with WPA2 on real Cisco APs; it also works with competing products, including the AVM Fritz!Box that was using earlier – and was partially destroyed by a thunder strike on the street telephone cabinet where my DSL phone line connects.  My phone just does not work with the Linksys WAG160N. This is actually a known issue that I found out too late. however, it does not seem to be solved and no indication shows that it was acknowledged, even less on the way to be fixed.

I work with a lot of Cisco products in my day job. I have the pleasure to know many folks at Cisco. Most of them were telling me that Linksys somehow usurpts the Cisco label with inferior quality products. How right they were. I should have listened to what  Cisco’s own staff was telling me.

My online chat with the Linksys support staff did not resolve the issue. WEP works, but who dares to use WEP these days ? My advice to John Chambers and all those at Cisco who care about the company image is to stop your subsidiary from using the Cisco name.

Many software applications rely on validation routines to check the validity of domain names. By validation, I mean here to test the string submitted by the user and see if it matches a pre-defined pattern. A typical example are web forms that need to validate e-mail addresses.

This is by no means a new issue. It first appeared with the introduction of the .info TLD. Before that TLDs were only two or three letters long, and many validation routines could not cope with the 4 letters of .info. At the time, ICANN had developed a testing tool which allowed developers to test if their code took into account the requirement for 4 letters. Still, you find today on the Internet tons of library routines that do not support 4 or more letter TLDs.

Some of these routines also rely on a hard-coded list of TLDs. Even today, I sometimes find that some web sites cannot deal with my .eu domain, which was introduced 4 years ago.There are hundreds of thousands of these routines written in Javascript, PHP, Perl, ColdFusion, ASP and just about any programming or scripting language you can think of.

Read more…