Installation

It took me several tries to find an installation method that worked for me. In the end, the successful method was :

1. Download the Lion image
2. Open the image (right-click, Show Package Contents) and extract installESD.dmg
3. With Disk Utility, burn installESD.dmg on a DVD disk. This makes it bootable.
4. Restart the Mac, press Command, Option, P, R at boot time to reset the PRAM
5. Boot from the Lion DVD. It takes 5 minutes to load.
6. Go to the Disk Utility and Repair permissions
7. Reboot again from DVD
8. Install Lion from DVD and take a 35 minutes coffee break

I followed this guide to create the DVD. It could as well be put on a USB stick, but it needs to be one larger than 4Gb.

Usage experience

Quite strangely, it seems that the Java VM was not part of the standard installation. When I accessed a web site requring  Java, OS X kindly offered to download and install it. I restarted the browser and could continue.

Mail.app is an application which is central for me. On first launch, it took one hour to rebuild my (very large) mailboxes. The new three column display is most welcome. I used to use Widemail to achieve this same result in earlier versions. At first, the folder list was hidden. When restored (click “Show” on the second button bar), it was displayed with large characters, pretty inconvenient with a 13″ laptop screen. Quite strangely, this cannot be adjusted through the Mail.app preferences. You need to go to the System Preferences/General, and adjust the Sidebar icon size. This will also change the value for the Finder windows.

As I expected, GPGTools  does not work anymore with the new Mail.app. According to the developers, work is underway to restore the compatibility with the new Mail.app version.

Mission Control replaces the Spaces app for those virtual desktops. It works a bit differently, but it just requires getting used to.

The IPv6 stack has a new version number, dated 2009. The previous one was ten years old. I failed to notice any new feature, though. No DHCPv6, and no GUI option to set the IPv6 Privacy Extensions. By default, it is off. To turn it on requires editing a configuration file. Whether those privacy extensions are a good or bad idea is another debate.

The mouse or trackpad behaves in the opposite direction than it used to. Scrolling to the top requires to slide you fingers down on the trackpad. This can be changed in the System Prefererences/Trackpad, first option.

Other than that, I did not notice major differences. This may explain why the new OS X version still runs happily on a 5 year old MacBook, with 2 Gb of RAM. Apple continues its strategy to make you a captive consumer. FaceTime and Apple Store are linked to your AppleID.

In the end, was the upgrade worth it ? Frankly, the new features in Lion are not something the world has been waiting for anxiously. There is  no compelling reason to upgrade.

Update: after 2 weeks of use, I notice that Lion is slower on the average than Snow Leopard was. After adding 2Gb of RAM to my Macbook, I regained most of the lost speed.

Ahead of the World IPv6 day,  APNIC has launched an useful initiative to collect statistics regarding IPv6 connectivity. If you are interested in testing your clients’ IPv6 capabilities, you can use the APNIC Labs Google Analytics Tracking Code. This allows you to test your customers’ experiences connecting to your website via IPv4, IPv6, and dual-stack.

The APNIC code relies on Google Analytics. If you are using Google Analytics as a plugin in your WordPress blog, you might be interested in the versions I hacked together to integrate APNIC’s code into the following two popular plugins:

You will need a tracking code that you can obtain at the APNIC labs web site.

Note this is not a discussion on  whether Google Analytics is Big Brotherian. Many web sites rely on it to collect statistics. I thought it might be helpful if a WordPress plugin existed that supports the APNIC feature.

I finally got a AVM Fritz!Box WLAN 7390 modem/router to replace the Belgacom-provided BBOX-2, which gave me a few headaches and quite some frustration over the past year. I am happy to report that the Fritz works with Belgacom VDSL2, despite what Belgacom says about the mandatory use of their own broken modem.  Let’s get to the real meat. Some background first.

AVM, the company

AVM is the premier xDSL modem manufacturer in Germany. Besides the ones they sell under their own brand, they do quite a lot of OEM manufacturing for telcos:  1&1, Deutsche Telekom in Germany, P&T in Luxembourg and XS4ALL in the Netherlands. XS4ALL launched earlier this year a native IPv6 service for their residential customers based on the Fritz 7340 modem, a scaled down version of the 7390.

The Fritz 7390 was first announced at CEBIT 2009. It seems that AVM suffers from the “CEBIT announcement” syndrome. At the time, the 7390 was merely vapourware, in that the actual delivery only started nearly a year later in Germany. It took them also a lot of time to deliver a firmware that actually lived up to the promises. The international version was only delivered in september 2010. It was only last December 2010 that a firmware version was released that included “full support of IPv6″ (announced two years earlier) and compatibility with Belgacom’s VDSL2 network.

Yet, the AVM company is quite serious in implementing standards. For example, they are the only CPE manufacturer I know that attends RIPE meetings. The latest firmware implements DNSSEC in the local resolver, where most other CPE manufacturers could not care less.

The Fritz!Box 7390

As mentioned previously, the modem supports Belgacom’s VDSL2 network. At installation time, a wizard lets you select the right option according to your needs (Belgacom Internet or Belgacom Internet + TV).  Once you have added your PPoE credentials, the box is ready to go.
The real power of the Fritz are the thousands options that allow you to customize it to your needs.

Integrated telephony has been a powerful feature of the AVM boxes over the years. This one does it again, only better. It features a built-in DECT base station. You can also place VoIP phone calls directly from an iPhone or Android phone, and use the built-in phone directory. The PABX inside the Fritz will forward the calls through PSTN or a number of VoIP providers based on the rules you set.

The support for IPv6 was the main reason I bought this modem.  Here again, the Fritz 7390 delivers. It can use native IPv6 (in the unlikely case your ISP supports it) and tunnels (6to4, SixXS, and others).  Screenshot

WLAN can be both on the 2.4 Ghz and the 5 Ghz bands at the same time, with different SSIDs if you like. This may be helpful in an area with a crowded WLAN environment. It can do WIFI-N, up to 300 Mbps.  It makes a real difference. You can also setup a separate WLAN for the guests visiting your home, with a different SSID. Hence, you won’t have to give them the WPA2 password to your home LAN. Further, the guests will get access to the Internet, but not to the local LAN.

The Fritz can also serve as a NAS for the local network. There are two USB ports. You can attach a hard disk or a memory stick and make them available to the LAN and/or the Internet. The BBox-2 also has a USB port, but it was castrated by Belgacom. You could also attach a USB printer to the Fritz, and share it among the users. Some restrictions may apply in this case. Not all USB printers can be used this way.

Real life experience

A small gotcha to begin with: When setting up the modem for the first time, tell the setup wizard that you use an Annex-B line (aka ISDN), even if you are actually using an analog telephone line. It seems Belgacom uses Annex-B signalling for VDSL2, irrespective of the actual type of the line.

After using the Fritz!Box for two weeks, I am happy to see it is much more stable than the BBox-2. The random disconnects I experienced on the WIFI are not happenning with the Fritz.  The random reboots of the BBox-2 too, obviously.

IPv6 works fine. The SixXS tunnel is stable. The Fritz uses router advertisements to allow IPv6 autoconfiguration. This works fine with Macs, Linux and  Windows boxes,  as well as Android phones. It can also announce DNS servers though RA (RFC 5006).

One minor complaint about the Fritz!Boxes, that I also had with the previous models, is the inability to configure the DNS servers through the GUI. This would be most welcome. Most ISPs’ DNS servers are broken in one way or another, and Belgacom’s are no different.
Changing from the default DNS servers assigned through the provider’s DHCP can be achieved  by editing the ar7.cfg file. I will post a more detailed HOWTO later on. Suffice to say that you should look for the  “overwrite_dns1[1,2]” values.  You can either

• start a telnet session to the box and edit the file with nvi
• use a Java tool like FBEditor (local mirror here).

Right now, it seems that IPv6 addresses for name servers are not supported by the Fritz.

Update April 2012: firmware version  84.05.21 now offers a GUI interface to change both IPv4 and IPv6 DNS servers.

All in all, the AVM Fritz!Box WLAN 7390 is a highly recommended CPE, worth every eurocent you paid for.

GLD-NG is a new project I started on Sourceforge.  My goal was to aggregate the features I found most interesting in other greylisting software. Greylisting is a very effective technique to fight spam, especially the one originating from zombie PCs controlled by spambots.

What is gld-ng ?

gld-ng stands for GreyList Daemon, new generation. gld-ng is a standalone policy delegation server for Postfix that implements greylisting. It is based on the GLD project, originated by Salim Gasmi.

What makes gld-ng different from other greylisting servers ?

gld-ng implements the author’s vision of how the ideal greylisting daemon. Obviously, this may or may not suit your needs.

Over the years, the author has used a variety of greylisting daemons. All had different shortcomings. Which is why he tried to come up with his own. The basic design requirements were the following:

• It should handle IPv6 connections:  with the complete exhaustion of IPv4 addresses arriving soon, mail servers will need to support IPv6. Unfortunately, spambots will adapt, too. Hence, the greylisting daemon needs to support IPv6.
• It should have a small memory footprint: let’s face it, greylisting should not be using your server’s memory too much. Daemons written in interpreted languages, like Perl, tend to use quite a lot of memory. This one is written in C.
• It should use a database: While reviewing possible databases for this project, we settled with PostgreSQL. The main reason is that PgSQL is unique in the way it can handle IP addresses. It does feature data types for IP address and CIDR ranges and has specific operators to work with them. Because it is network-based, the database can be shared among multiple mail servers, making it scalable. This is not to say that MySQL, SQLite or other databases are bad. However, PgSQL fits our needs best.

As usual with FOSS, reusing what others have done previously is a good way of not reinventing the wheel. Credit is thus due to Salim Gasmi, the original author and Folkert Vanheusden, from whom I took the GUI layout of his web interface to SQLGrey.

Sourceforge offers a complete environment to manage this kind of projects, so I will not be blogging too much about GLD-NG here. If you are interested in enhancing the program, join me on Sourceforge.

hiram$ dig +short rs.dns-oarc.net txt @195.238.2.21
rst.x476.rs.dns-oarc.net.
rst.x485.x476.rs.dns-oarc.net.
rst.x490.x485.x476.rs.dns-oarc.net.
"195.238.24.113 DNS reply size limit is at least 490"
"195.238.24.113 lacks EDNS, defaults to 512"
"Tested at 2010-08-15 11:00:01 UTC"

hiram$ dig +short rs.dns-oarc.net txt @195.238.2.22
rst.x476.rs.dns-oarc.net.
rst.x485.x476.rs.dns-oarc.net.
rst.x490.x485.x476.rs.dns-oarc.net.
"195.238.25.113 DNS reply size limit is at least 490"
"195.238.25.113 lacks EDNS, defaults to 512"
"Tested at 2010-08-15 11:00:11 UTC

Hence, if you expect correct DNSSEC or IPv6 responses, you would be better off using alternative DNS resolvers, like OARC . Obviously, the Belgacom DNS resolvers do not return RRSIG records and do not set the AD bit. This is very disappointing, given that the DNS root is now cryptographically signed and so are several top level domains also. It is difficult to believe, a company claiming to be the number one ISP in Belgium is unable to implement a 11 year old standard defined in RFC2671, and a standard feature in all DNS resolver software since then.

The good news is that their BBOX-2 modem can proxy a EDNS query and response, when used with correctly configured DNS resolvers. As demonstrated below, the AD bit is set, meaning the DNSSEC response is valid.

; <<>> DiG 9.6.0-APPLE-P2 <<>> +dnssec +multiline -t ns gov. @XXX.XXX.XXX.XXX
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 46617
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 8, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096

The RSS feed is another matter. By default, WordPress only shows those posts which are current to date. Later posts are not visible, which defeats a bit the purpose of announcing an event. If the readers following the RSS feed are only informed on the day of the event, it is of little help.

I added the following function to the functions.php file (in the WordPress theme folder) to show future posts.

function include_calendar_posts($where) {
global $wpdb;
if ( is_feed() ){
// add SQL-syntax to default $where
$where .= " OR $wpdb->posts.post_status = 'future' " ;
}
return $where;
}
add_filter('posts_where','include_calendar_posts');

A background management daemon like TR-98  just cannot be allowed to use 96% CPU all the time, even when doing nothing. Please fix this, or fire your supplier.

Further, I do not use your SIP service, so please give me a way to disable the sipd process. It uses 48% of the available memory.

This is not an efficient use of resources and certainly not “green”.

Update 19 June: After following Ced’s advice below, I killed the sipd, tr69 and tr98 processes and got the following results

As you can see, more memory is freed and the average load has been divided by two.

[Update  17/12/2010] Obviously, if you are using either Belgacom or another provider’s SIP service, do not kill the sipd processes.

Notons tout d’abord que dans le préambule Mr Monfils se base uniquement sur les données provenant de l’IFPI, lobby des producteurs de disques, ainsi qu’un sondage réalisé par la Karel De Grote Hogeschool, auprès d’un échantillon dont on peut contester la représentativité. D’autres études, citées dans un article précédent contredisent ces conclusions, mais le sénateur ne juge pas utile de s’y référer.

La proposition de Mr Monfils souffre de problèmes semblables à la loi HADOPI. Tout d’abord, il convient d’établir l’infraction. En cette matière, Mr Monfils, qui est juriste de formation, n’ignore pas qu’un indice ne constitue pas une preuve. Le fait de télécharger de gros volumes mensuels n’est pas la démonstration de l’infraction. La proposition du sénateur ne fait pas référence aux moyens mis en oeuvre pour établir l’infraction. Sans doute cela relève-t-il d’un arrêté royal, mais c’est pourtant le noeud du problème.  Il faudrait intercepter tous les contenus des paquets IP qui passent pour pouvoir les analyser. Comme l’ a démontré le conflit juridique entre Scarlet et la SABAM, les moyens techniques pour interpréter le contenu des flux IP, tels Audible Magic,  ne sont pas  infaillibles.   Par ailleurs, ce serait une atteinte au respect de la vie privée et du secret de la correspondance prévu par la Constitution.

Si le flux est chiffré, il faudrait casser la clé de chiffrement pour extraire une information utile. Compte tenu du volume de données à traiter, c’est impossible dans l’état actuel. Bien que l’on soit parvenu à casser certaines clés de 768 bits, ces même spécialistes avouent que casser une clé de 1024 bits demanderait 1.000 fois plus de ressources.   Techniquement impossible et hors de prix pour un gouvernement dont les finances publiques vont à vau l’eau. et si le gouvernement essaie de faire passer la facture aux des fournisseurs d’accès, ils devraient augmenter de manière drastique le prix de l’abonnement mensuel, donc perdre des clients et accentuer la fracture numérique.

Repérer l’internaute sur base de l’adresse IP est également exclu.  Les adresses IP sont très souvent partagées.  Dans de nombreux environnements professionnels, seules une ou deux adresses IP sont publiques. Tous les flux vers l’extérieur transitent par ces adresses. Il peut y avoir de très nombreuses personnes derrière une adresse. C’est le cas des PME qui utilisent une connexion ADSL partagée. Mais il y a aussi de grandes entreprises dans le même cas.

En ce qui concerne les particuliers, le fait que de très nombreux modems xDSL aient un accès WIFI complètement ouvert rend impossible la démonstration que c’est bien le titulaire de l’abonnement qui est effectivement responsable du téléchargement.

Dans le modèle proposé par le sénateur Monfils, c’est une autorité administrative qui établit le constat.  Si le constat se base sur l’équation simpliste “volume de téléchargement important = piratage”, on fonce droit dans le mur. Dans ce cas, ce sera à l’internaute de faire la démonstration de son innocence,  et non à la puissance publique de démontrer sa culpabilité. On renverse donc la charge de la preuve. Nous serons tous des Joseph K.  Cela ne semble pas être une bonne interprétation du concept d’ “Etat de Droit”.

Ce qui particulièrement énervant, tant de le cas de la proposition de Mr Monfils que dans celles d’ECOLO, c’est la fixation sur les téléchargements de musique , et accessoirement de vidéos. Peut-on supposer que le lobby des éditeurs de logiciels, la BSA, n’a pas fait suffisamment de travail  de lobbying envers les sénateurs ?

En résumé, on ne peut que conseiller à monsieur Monfils de s’entourer de meilleurs conseillers, au risque de voir promulger une loi inapplicable.  Le bon usage des ressources publiques, c’est aussi éviter le travail parlementaire inutile.

Ce qui m’intéresse aujourd’hui, c’est la proposition des sénateurs Ecolo Benoit Hellings et Groen! Freya Piryns pour l’instauration d’une “licence globale”, autrement dit une taxe sur les abonnements à Internet qui permettrait donc de télécharger des oeuvres protégées en toute impunité.

Notons que les deux propositions sont au départ basées sur la même constation dans le chef de leurs auteurs: le téléchargement illégal tue la création. Il faut saluer le travail remarquable effectué par les lobbyistes des majors du disque depuis des années.  A force de répétition tenant du lavage de cerveau version Révolution Culturelle, il sont parvenus à convaincre à peu près toute la planète du lien de causalité entre le téléchargement illégal et la chute de vente des CD et DVD.

Or, ce lien n’est pas établi. L’étude réalisée en 2009 par l’Institut de recherche néerlandais TNO (enregistrement gratuit pour télécharger le rapport), dont la crédibilité est indiscutable, semble plutôt démontrer le contraire. En effet, selon le rapport “une chanson téléchargée ne correspond pas à une vente de moins. Les téléchargeurs ne pourraient se permettre d’acheter autant de CD au prix actuel, soit qu’ils n’en ont pas les moyens, soit qu’ils aient d’autres priorités budgétaires”. Le rapport montre aussi que “le téléchargement permet de découvrir de nouveaux artistes et peut donc conduire à l’achat de CD”. En ce sens, le téléchargement contribue donc à la mission de diffusion de la culture, au même titre que le service de prêt de la Médiathèque de la Communauté Française.

Un autre postulat majeur de la proposition de loi Ecolo/Groen! est que le téléchargement est majoritaire chez les utilisateurs d’Internet. Là encore, il s’agit d’un canard dont il faut tordre le cou. Un étude réalisé par le Professeur Esaki de l’Universite de Tokyo en 2007 montre que 4% des utilisateurs génèrent 75% du trafic.  En d’autres termes, une “licence globale”, appliquée à tous les abonnés à Internet signifierait que 96% des utilisateurs s’acquitteraient d’une taxe destinée à couvrir les agissements d’une minorité de 4%.  Cette étude notait également  que la tendance était à la baisse du trafic Peer-to-Peer, principalement utilisé pour le téléchargement de musique et de vidéo piratées, au profit du trafic vers des sites hébergant des vidéos, tels You Tube ou Daily Motion, où les droits intellectuels sont respectés.

On serait donc en train de légiférer sur un sujet qui n’est plus d’actualité, puisque le téléchargement se déplace vers des oeuvres légalement mises en ligne, et une “licence globale” rétribuerait de la sorte des créateurs mal à propos.

Plus encore, le fait de faire payer une majorité de bons citoyens pour le comportement d’une minorité de voyous n’est pas juste. Transposons cela dans le domaine de la circulation routière pour les besoins de la démonstration. Que penserions nous si on nous imposait  “Contravention globale” sur la taxe d’immatriculation des voitures, en compensation des excès de vitesse commis par quelques allumés ?

Un troisième postulat de la proposition Ecolo/Groen! est que le téléchargement se porte forcément sur des oeuvres piratées. Faux encore une fois. La dernière version complète de la distribution Linux Ubuntu, par exemple, représente 3.9 mega gigabytes en téléchargement. La copie est non seulement autorisée, mais même encouragée. Le Service Pack de Windows Vista représente 726 megabytes, et est indispensable à tous les utilsateurs de Windows. Il existe sur Internet une mine inépuisable de contenus dont le téléchargement est autorisé.  Les logiciels libres en sont un, mais il y a aussi toutes les créations dans le domaine public ou libres de droits. Encore une fois, une taxe globale toucherait tous les utilisateurs d’Internet,  y compris ceux qui ne téléchargent pas de contenu illégalement.

Les écologistes avancent aussi que leur proposition ne vise que les gros téléchargeurs et que les abonnements pour les connexions à bas volume ne seraient pas affectées.  On manque içi de définitions. qu’est ce qu’un “haut débit”, alors que certains abonnés en Belgique ne diposent que de 1 Mbit/s et d’autres de 30 MBits/s ? Qu’est ce qu’un “bas volume”  ? 5 Gb par mois ? 10 ? 30 ? De nos jours, la moindre page sur un site web d’un journal par exemple comprend des animations Flash, des photos, voire même des flux vidéos.  Du contenu lourd, pour un usage courant.  A moins de se contenter de l’ e-mail, 15 Gb par mois semblent un minimum pour un usage courant, sans téléchargement. Dans 2 ans, 30 Gb seront nécessaires. Or, les lois ont ceci de particulier qu’elles ne s’adaptent pas facilement à un monde en changement perpétuel.

Un autre argument avancé parles tenants de la proposition écolo prend comme référence le succès de la vente de lecteurs MP3 qui, d’après eux, serait la démonstration que le téléchargement illégal serait la norme. A nouveau, le lien de causalité n’est pas établi. Il y  30 ans, j’empruntais des disques vinyl à la Médiathèque, et j’en faisais des copies sur mini-cassette que j’utilisais dans mon Walkman. J’exercais mon droit à la copie privée. Le lecteur MP3  a remplacé le Walkman, mais cela ne change pas fondamentalement mon droit à la copie privée.

Quid aussi de la rétribution juste de tous les ayants droits dans un tel système ? Une perception forfaitaire de droits implique que la répartition se fera de manière statistique. En pratique, si je télécharge une oeuvre d’un jeune créateur inconnu qui n’a pas les honneurs du top 40, c’est Madonna et Sony Music qui empocheront les droits. C’est un reproche maintes fois invoqué vis-à-vis des sociétés de perception de droits telles la SABAM, SIMIM et autres. Ne confortons pas ce modèle qui spolie les jeunes créateurs.

Plus fondamentalement, une taxe sur les abonnements Internet au profit des créateurs légitimerait une pratique illégale. Cela semble moralement indéfendable.

Il est temps de faire preuve d’esprit critique et de discernement. Les arguments mille fois rabachés par les requins du showbiz ne résistent malheureusement pas à une analyse factuelle.

1. Les modems BBOX2 sont tous livrés avec le même mot de passe d’administration. On peut très facilement le trouver via un moteur de recherche: http://www.google.com/search?hl=en&q=BGCVDSL2
2. Belgacom prétend bloquer l’accès à distance de ces modems via Internet. C’est partiellement exact. Cependant, ces modems sont livrés d’origine avec une connexion WIFI active et non protégée. N’importe qui passant dans la rue peut donc se connecter à une BBOX2 non protégée.
3. Muni de cet accès administratif, on peut télécharger le fichier de configuration du modem et décrypter les mots de passe qui s’y trouvent. Là aussi, on trouve le nécessaire sur Internet: http://www.webalice.it/zibri/Deobfuscate.html

Après avoir récupéré les identifiants d’un abonné  à Belgacom TV (identifiants de la connexion PPPoE, pour être précis), un pirate peut utiliser ces informations pour perpétrer des actes malveillants en se faisant passer pour cet abonné.

Toutes les informations ci-dessus sont en possession de Belgacom depuis longtemps. J’ai moi-même interrogé l’opérateur, qui n’a pas daigné accuser réception, et encore moins répondu ou proposé des solutions.

Notons également que si cela s’applique aux clients de Belgacom TV, certains abonnés Internet, chez Belgacom comme chez les opérateurs alternatifs qui utilisent le réseau VDSL2 de Belgacom sont également concernés. Le propriétaire du réseau impose en effet aux autres FAI l’utilisation d’un modem semblable au sien, également pourvu d’un mot de passe identique pour tous les abonnés.

Quelques détails additionnels pour les intéressés. Pour l’illustration, nous utilisons ici l’interface graphique du modem. Cependant, cette technique fonctionne également via une interface en mode textuel (telnet), qui permettrait à des pirates plus organisés de récupérer automatiquement ces données, sans intervention humaine.

Mot de passe d’administration identique

Pour une raison inexpliquée, Belgacom a choisi d’utiliser le même mot de passe sur tous ses modems. Il est très vite devenu un secret de polichinelle. Qui plus est, Belgacom ne donne pas d’indication sur la manière de le modifier. Belgacom ne fournit d’ailleurs aucun manuel avec le modem.  D’autres s’en sont chargés, heureusement. Ce qu’on retiendra, c’est la nécessité d’utiliser d’obscures commandes via une interface textuelle qui est peu compréhensible par le public que cible l’opérateur.

Belgacom a également imposé aux opérateurs alternatifs qui passent par son réseau VDSL2 d’utiliser un mot de passe unique (OLOVDSL2, dans ce cas). Il est évident qu’il s’agit d’un problème majeur de sécurité.

Accès à la configuration

Suite aux menaces proférées il y a quelques par un pirate se faisant appeler Vendetta, Belgacom a décidé de bloquer l’accès à ses modems BBOX2 via l’Internet, en bloquant les accès sur les ports 80, 443 et 22. Ce faisant, Belgacom enlève également à l’abonné de gérer son modem à distance., ce qui retire pas mal de fonctionnalités. L’abonné à la possibilité de malgré tout ouvrir ces ports, Belgacom se contentant d’avertir qu’il y a un risque de sécurité, sans expliquer lequel. En tout état de cause, le remède est disproportionné par rapport au problème à traiter. Un peu comme si on confisquait les clés de voiture aux automobilistes au titre que cela diminuera leur empreinte carbone.

Les modems sont par contre très facilement accessibles via le WIFI, qui est actif et non protégé par défaut. En effet, Belgacom veut rendre la vie de ses clients Belgacom TV simple, y compris ceux qui ne sont pas férus de technologie.  En conséquence, le modem se configure de lui-même lors de la première connexion. Plus exactement, le modem est configuré à distance via le protocole TR-069. L’utilisateur n’a rien à faire de son côté, sinon enficher le câble du décodeur TV dans le modem. Le reste est automatique.

Qui plus plus est, l’abonné à Belgacom TV a souvent souscrit à une offre qui comprend aussi l’accès Internet, même s’il n’en a pas ou peu l’usage, ce qui ne l’encouragera pas à prendre les mesures nécessaires pour sécuriser son WIFI. Ainsi donc, il y a possiblement des milliers de clients de Belgacom qui ont un modem grand ouvert à tout le monde, sans le savoir. J’ai personnellement identifié près d’une dizaine de modems BBOX2 non protégés dans mes environs immédiats.

Déchiffrement des mots de passe

La BBOX2 utilise un micro-logiciel nommé OpenRG, de la société Jungo. Ce logiciel se retrouve dans de nombreux modems ADSL, et notamment la Livebox de France Télécom, également utilisée par Mobistar en Belgique.

Jungo a utilisé une technique de chiffrement que les informaticiens appellent plutôt l’obfuscation. Elle consiste à rendre la lecture plus compliquée de prime abord, mais sans introduire réellement de chiffrement. C’est une technique qui est connue depuis l’Antiquité. En l’occurrence, on procède par remplacement d’un caractère par un autre. Ainsi, une fois identifié les 26 lettres minuscules et majuscules, en plus des 10 chiffres, on peut très facilement construire un tableau de concordance et codifier le tout dans une petite routine informatique. Le site mentionné ci-dessus utilise le très répandu Javascript, mais il existe d’autres implémentations, en Python notamment (source), ce qui permettait à un pirate de facilement créer un programme de récupération automatique de ces identifiants.

La première étape est de sauvegarder la configuration du modem. Il suffit d’aller dans le menu “Admin Settings/Backup and Update”

On récupère alors un fichier texte, où l’on peut trouver les identfiants de l’utilisateur:

Dans l’exemple, ci-dessus, le mot de passe est ‘testing’, et c’est très exactement la valeur que retourne le site de déchiffrement mentionné ci-dessus.

La plupart des modems ADSL permettent de créer une copie de sauvegarde de leur configuration, bien utile en cas de panne. Cependant, les autres fabricants créent un fichier de configuration binaire, et donc illisible par un être humain. Jungo a choisi de rendre le fichier compréhensible, introduisant de la sorte une faille de sécurité, et le manque de précautions prises par Belgacom rend evidemment le problème plus grave encore.

Pour information, j’ai signalé ce problème de sécurité tant à Belgacom qu’à son fournisseur Jungo. En l’absence de réponse, je mets donc ces informations en ligne.

2009-12-25

2009-07-20

That’s the good news. The less good one is that this whole VDSL2 infrastructure deployed by the incumbent telecom operator has some major security holes, on which I will post later, once I have finished my research.

This morning, I fixed an annoyance in the Hellotxt plugin I use on this WordPress blog that would resend a notification to hellotxt.com every time one updates a post (to correct a typo for example).

I sent a tweet about this and, much to my surprise, I immediately received a series of direct messages on Twitter asking for the code. So here it is:  hellotxt.php.txt , as well as the diff to the original file: hellotxtpress.php.diff

There are actually four five changes:

• Added configuration option for URL shortener, so you can use your favourite URL shortener service. It defaults to mine.
• Added configuration option for post prefix. By default, it is “New Blog post: “

• Replace WP smart quotes by plain ones.  This is to prevent that some microblogging sites print out the HTML entities value, instead of the quotes themselves. Copied straight from WP Laconica Tools.
• Don’t resend a post that was already submitted.  The inspiration came from the WP Laconica Tools.
• Added configuration option for Twitter hash tags

I will submit my changes to the plugin author, who may decide to incorporate them in a future release.

VDLS2 is actually a choice I had to make because ADSL technology is not really able to deliver in my area, due to the distance between my home and the phone exchange. On the other hand, Belgacom has been installing these fiber cabinets in every block recently in the framework of their FTTC  project. Hence, a change of technology was needed for me if I wanted a faster Internet access.

The main issue with VDSL2 is the interoperability of equipment. The Broadband Forum is still working on this. As noted by the Belgian regulator IBPT in its latest consultation : “Interoperability between DSLAM and CPE is not guaranteed by an ITU standard and it may be more difficult to achieve due to the differentiation possibilities of the VDSL2 technology”.

Belgacom decided to purchase its VDSL2 equipment from Alcatel-Lucent. That equipment is using Ikanos Fusiv chips. Consequently, Belgacom delivers CPE devices based on the same chipset. There were few at the time  when Belgacom  chose its platform, so they went for a Sagem F@st 3464 modem, equipped with the Ikanos Fusiv Vx160 processor, which they repackaged (it’s ugly) and rebranded BBox2.

The Sagem box is not such a bad one, according to its specs. Unfortunately, Belgacom decided to design its own version of the firmware to adapt it to their commercial needs. Belgacom is agressively pursuing the triple play market. They wanted a modem that would be able to deliver two high definition TV streams at the same time it delivers Internet access.

The box uses Jungo’s  OpenRG firmware , which is Linux-based. And although OpenRG offers lots of features, Belgacom managed to lobotomize it. Gone are the dynamic DNS, 802.11N, and IPv6  features, for example. While the dynamic DNS part is still there, although hidden, the IPv6 stack has been completely removed. Overall, this is the worst job of feature defacing I have seen in years.

As many new CPE devices, the BBox2 can be managed remotely by the telco using the TR-069 protocol. The good side is that it allows the telco to fix critical bugs, without user intervention. The bad side is that it also allows the telco to take complete control on your personal settings. For example, the BBox2 comes pre-configured to use the Belgacom VoIP service. While one can change the settings to use a competing offering, there is nothing that prevents Belgacom to reset the values remotely. Quite worrying from a competition point of view.

Which is why I foresee to move to a AVM Fritz!Box 7570 in the near future. I have had several AVM Fritzes in the past and was always delighted with their features and also the fact that the company is doing real innovation and development, rather than just repackaging someone else’s work. They currently have projects with Dutch ISP XS4All and Luxembourg P&T to deploy IPv6.  The Fritz!Box 7570 has all you can expect. In addition to doing the basic work of connecting the home computers to the Internet, it also features a PABX with an integrated DECT base station, that will interact both with your landline but also with several VoIP providers, based on rules you set.  The latest beta firmware for the box features complete IPv6 support, which, judging from this screen shot is fairly complete.

The Fritz!Box is based on the Infineon (now  Lantiq)  XWay Vinax chipset. It remains to be seen if  it is compatible with the Ikanos chips in my provider’s infrastructure. At worst, I could use the Belgacom provided modem as a bridge to the Fritz.

Sep 5 13:58:57 server Postfix/smtpd[30746]: NOQUEUE: reject: RCPT from
mirapoint21.brutele.be[212.68.199.158]: 450 4.1.8 <www-data@webvoo.voo.be>:
Sender address rejected: Domain not found;  from=<www-data@webvoo.voo.be>
to=<xxx@xxx.xx> proto=ESMTP helo=<mirapoint21.brutele.be>

En pratique donc, le serveur de VOO à l’origne du message initial ne possède pas d’entrée dans le DNS, et se retrouve en conséquence blacklisté par mon serveur de mail. C’est une tactique courante pour rejeter une partie du spam qui abreuvent nos boîtes aux lettres.

En bon petit soldat de l’Internet, j’ai donc suivit les indications de RFC 2142 concernant les adresess email de service, et qui précise que “ if a given service is offerred, then the associated mailbox name(es) must be supported”.

J’ai envoyé un message à postmaster@voo.be et à webmaster@voo.be . Les messages me sont revenus avec un non-delivery report.  Le DNS de VOO est, en principe, géré par hostmaster@brutele.be .  Du moins c’est ce qu’indique le SOA du DNS. Comme je devais m’y attendre, hostmaster@brutele.be n’existe pas et les emails sont revenus itou. Bon, VOO ne respecte pas les standards et malheureusement, ils ne sont pas les seuls.

Troisième source d’information, le WHOIS de RIPE NCC, qui m’indique dnsmaster@brutele.be .  L’email a été accepté cette fois,  mais pas de réponse de l’humain se trouvant derrière cette adresse.  Et je constate qu’à ce jour, le problème n’est toujours pas réglé. Surprise aujourd’hui, je reçois un email standard du help desk me disant :

dans le cas où la qualité du service mail est toujours à déplorer, je vous invite à contacter notre service Helpdesk au 078/50.50.50 choix technique, afin de déterminer l’origine de la panne et trouver une solution appropriée.

Désolé VOO. Si vous ne disposez pas en interne des compétences nécessaires pour identifier “l’origine de la panne” et configurer votre DNS ou votre infrastructure e-mail, je ne puis que vous conseiller de faire appel à des professionnels. Il existe différentes solutions, prenant tout au plus 10 minutes à implémenter. En tout état de cause, devant cette démonstration d’incompétence, je ne puis que vous suggérer de vous focaliser sur votre métier originel, la télévision, avant de vous lancer dans un nouveau métier dont vous ne semblez pas maîtriser tous les paramètres techniques.

Update: il semble que abuse@ voo.be et postmaster@voo.be et hostmaster@brutele.be fonctionnent désormais. De là à dire que quelqu’un lira les messages …   Il ne  reste plus qu’à corriger le DNS.

Il apparaît par ailleurs que VOO sous-traite son assistance de premier niveau à une société externe, ce qui ne facilite pas la communication.

Lors de la conception du projet de la réunion ICANN à Luxembourg qui se déroula en 2005, j’avais un temps envisagé de l’organiser à Bruxelles, tant il me semblait logique que la capitale de l’Europe accueille une telle manifestation. Le contexte était cependant différent.

A l’époque, le coût de la manifestation était entièrement supporté par l’organisateur local et ses partenaires. Le fractionnement institutionnel de la Belgique, avec ses multiples niveaux de pouvoirs aux compétences redondantes et en concurrence directe rendait tout simplement la participation des pouvoirs publics impossible. De nos jours, l’ICANN a compris qu’elle ne pouvait plus compter sur des tiers pour ouvrir leur portefeuille et finance elle-même la majeure partie des coûts.

Il n’en reste pas moins qu’il sera intéressant de voir qui seront les orateurs lors de la séance inaugurale. Aura-t-on un ministre fédéral ? Les télécoms sont une compétence largement régionalisée. On pourrait donc avoir un ministre bruxellois. Oui mais, Bruxelles est aussi la capitale de la Flandre. Aura-t-on peut être un ministre flamand ? Le responsable  du protocle va s’arracher les cheveux.

Vous m’avez reproché auparavant, et avec une mauvaise foi certaine, que je vous avais pas informé de la piètre qualité de vos services. Non seulement, je l’ai fait, mais d’autres aussi. Il y en a plein les forums de discussion. Mais puisque vous me prenez au mot, je vais effectivement me plaindre. Et que cela se sache.

Je vous propose donc de suivre en léger différé sur mon blog, les performances mesurées de vos services. On commence ce 20/7/2009:

2009-07-20

2009-07-20

[Update 21/7 10:35]  Toute connexion est absolument impossible vers quelque service que ce soit. Web, e-mail, timeouts partout.

[Update 24/7 15:49] Envoyé un e-mail au help desk le 21/7. Réponse le 24/7 sur le thême “on n’a pas suffisamment d’information”. Entretemps, la vitesse est revenue à des valeurs normales, avec des chutes de temps à autre.

Restez branchés pour la suite. Je mettrai le post à jour de temps à autre.

Avant que votre help desk n’arrive avec sa check-list de questions préformatées, je precise que oui, ma ligne téléphonique fonctionne, que oui mon modem est bien configuré et que oui mon ordinateur aussi. Et je ne vous permets pas d’en douter. On s’évitera ainsi deux jours de questions/réponses inutiles.

Allons au fait: que se passe-t-il dans l’infrastructure de Scarlet qui justifie d’aussi piètres performances ? A la limite, le pourquoi n’est pas mon problème. Ce qui m’importe, c’est de savoir quand vous prendrez enfin les mesures nécessaires pour offrir un  service correct à vos clients.

Et si vous n’avez pas de réponse à cette question, que vous niez les évidences et que vous considérez que je vous échauffe les oreilles, il n’y a qu’une solution pour me faire taire: acceptez une  une résiliation anticipée de notre contrat,  que vous êtes de toute manière dans l’impossibilité d’honorer.

Allez, bonne journée quand même.

I work with a lot of Cisco products in my day job. I have the pleasure to know many folks at Cisco. Most of them were telling me that Linksys somehow usurpts the Cisco label with inferior quality products. How right they were. I should have listened to what  Cisco’s own staff was telling me.

My online chat with the Linksys support staff did not resolve the issue. WEP works, but who dares to use WEP these days ? My advice to John Chambers and all those at Cisco who care about the company image is to stop your subsidiary from using the Cisco name.

This is by no means a new issue. It first appeared with the introduction of the .info TLD. Before that TLDs were only two or three letters long, and many validation routines could not cope with the 4 letters of .info. At the time, ICANN had developed a testing tool which allowed developers to test if their code took into account the requirement for 4 letters. Still, you find today on the Internet tons of library routines that do not support 4 or more letter TLDs.

Some of these routines also rely on a hard-coded list of TLDs. Even today, I sometimes find that some web sites cannot deal with my .eu domain, which was introduced 4 years ago.There are hundreds of thousands of these routines written in Javascript, PHP, Perl, ColdFusion, ASP and just about any programming or scripting language you can think of.

In the Draft Applicant’s Guidebook to new gTLDs, ICANN has clearly indicated that it does not guarantee universal acceptance of the new TLD, and rather place the burden on the registry operator to educate its customers. This made sense during the previous new TLD rounds, where there were only a few added, one at a time and with long intervals between them.

With the new gTLD round, ICANN plans to add a lot of TLDs, potentially at very close intervals, if not at the same time. The figure most often heard is 500. That is a quantum leap forward. All those hard-coded lists deeply buried in software will need to be updated. It will not happen overnight. It may take years. This time also, we are throwing into the mix TLDs which could be long strings, like .coca-cola. We are also adding IDN (internationalized Domain Names) in non-ASCII characters, which will be a real issue with all environments that do not process double-byte strings. There are tons of legacy applications that do not support that, and some never will.

The good news is that programmers do not need to worry about their job. There is plenty of work ahead. The bad news is that most of them are not aware of these upcoming TLDs, let alone the implications it will have on the code they wrote, or the code they use and written by someone else.

So, it does not make sense now for ICANN  just to say it is someone else’s problem. If the new gTLDs cannot be processed on the client platforms, this will mean their acceptance by the user community will be low. This means less revenue for registries, registrars and finally ICANN. This would also mean a partial failure of the whole new gTLD program, for which ICANN will be accountable for. It could cost ICANN much of its credibility, because it would not be the failure of one specific TLD for which the registry could be blamed, it would mean the failure of several, all for the same reasons.

Hence, I suggested today to ICANN to plan a workshop at the Seoul meeting to help identify these issues, so that clear guildelines can be given to the software community and an awareness campaign can be launched. It is absolutely crucial to identify the issues, the amount of work they represent and the time it will take to fix the code before the introduction of these new top level domains.

Reliance on e-mail

Among the issues is the fact that most of the URS process relies on e-mail for notifications to the registrant, to the registry operator, etc.  Let’s face it: e-mail has become unreliable for critical applications. With more than 90% of e-mail being catalogued as spam, identifying the one important e-mail that you are not expecting is like searching a needle in a haystack.  Some techniques like DKIM, S/MIME signing, etc might help getting through the spam filters, if only the latter are well-configured. Most users do not have fine-grained control on the configuration of their spam filter, and none at all on the one used by their ISP.

Where this matters is that “A Registrant has fourteen (14) calendar days from the date of the initial email notification to submit an Answer“.  If the e-mail was caught by your spam filter, or if you are on vacation, travelling or more simply not reading your e-mail on a regular basis, you are out of  luck. You might lose your domain name without you even noticing it before it is too late.

The language issue is also an important one. It may be that English is the lingua franca of the business community. However, it may not be a language understood by the domain name registrant and he may, in good faith,  discard the notification message.

Collateral damage

The IRT working group is focusing on  the web. To provide evidence, the complainant “must include PDF copies of [...]  the website showing the alleged violation(s)“.  If the domain name is indeed found to infringe on someone else’s IP rights by the third-party complaints examiner,  “The third-party provider will post a standard page on the domain name“. No mention is made of other services, although, as one of my friends says “there are 65534 other ports”.

The URS proposal does not explain how other services, like e-mail, DNS, etc would be treated. E-mail is  problematic in this context. There could be a privacy issue with the third party provider intercepting correspondence originally addressed to the domain name registrant. Or, if the registrant had indicated a contact e-mail address under the domain name being suspended, he might not receive any notifications on his case any more.

DNS is another issue.  If the suspended domain name was running a DNS server for other, unchallenged domain names, those other domain names may not be accessible anymore.

What the IRT group is proposing is technically close to the controversial  Sitefinder “service” , and this proves again that the IRT group would have benefitted to have a broader base of participants, especially from the technical community, in this case.

Legal uncertainty

The fact a registrant has successfully passed a URS examination does not mean he is certain to keep his domain name. He could still face a UDRP complaint and a legal action. There is not much that can be done to prevent a legal action. However, one could expect the complainant to have to choose between a URS complaint or a UDRP complaint, but not both.

On other factor is that the registrant should be guaranteed some peace of mind regarding the use of his domain name. A URS complaint can be filed at any time.  If the registrant has been using a domain  name for several months or years, he could still face a URS complaint. This creates a high level of uncertainty. Would you dare to launch an  Internet-based business if your domain name can be taken down at any time ?

The extensive use of  e-mail in the URS process creates a real issue regarding the production of  legal evidence in law suits following URS cases.  Like it or not, most judicial system use written evidence to examine civil cases, and do not consider e-mails or faxes as legal evidence.

Individual domain name registrants

The IRT proposal does not make any difference between domain names registrants which are either  businesses or individuals. Unlike businesses which are “open all day”, individuals cannot be expected to be glued to their computer screen waiting for an  e-mail regarding a potential issue with a domain name they have registered. As mentioned above, the 14 day period for answering after the  notification may be impossible to keep for an individual, especially if he is not well-versed into the intricacies of the IP framework regarding domain names.

The language issue mentioned above is even more problematic for individuals.

Potential suggestions for improvement

I am told I should suggest possible improvements rather than just whining. So:

• Use certified/registered paper mail for notification. This is expensive, yes, but will provide indisputable evidence to both parties. Further, because of the cost involved, it will help eliminate frivolous complaints only designed to hurt competitors.
• Draft notifications in the registrant’s native language. This is expensive, again, but will make sure that the registrant actually understands what is going on.  And again, it will greatly help in possible later law suits.
• Differentiate between individual private persons and legal entities. The process applying to the former would be more relaxed in terms of  time schedules.
• Make the suspended domain names unresolvable by the DNS. Web users, will get a 404 error. E-mail users will get a non-delivery receipt. This would be RFC-compliant and solve the privacy issues.
• Put a time limit on the introduction of a URS complaint, for example 3 months. After that time, the domain name owner should be guaranteed he will not face a URS complaint anymore.
• In line with the above, a complainant should be requested to elect for a URS or a UDRP but not both.  This will guarantee that the domain name registrant will not be harassed.

It is obvious to every inhabitant of Belgium that the incumbent is everywhere. It owns all the copper pairs to homes and  a good deal of the fibre. No single Internet or telephony operator can get into the business without transiting through the Belgacom network at some stage. As expected, the infrastructure owner is not keen to open up its infrastructure to competitors and has used every trick in the book to slow down competition. As a result, alternative operators, be it in telephony or Internet access,  have a ridiculous market share. Belgacom has a more than 70% share of the residential Internet access market.  Belgium has one of the most expensive Internet access offer in Europe, nearly twice the price of France, for example.

The telecoms regulator, IBPT,    is often depicted as a weak one and often accused of favouring Belgacom.  It came with some surprise a few months back that the regulator ruled that Belgacom had to open up its ADSL and VDSL infrastructure to the competition. Under the EU competition rules, it is foreseen that the infrastructure owner and dominant operator has to open its infrastructure to allow competitors to offer their services, too.

Belgacom wishes to diversify its income sources and launched an ambitious project to deliver triple play services. This includes high definition and pay TV.  For this to happen they needed to upgrade their DSL network. They embarked in an infrastructure project to lay  fibre optic cabling up to street cabinets (FTTC) and deliver VDSL2 connectivity from there to the customers premises.   This has actually proven very successful. Belgacom was greatly helped by the fact that the cable TV operator in the Southern part of Belgium, Voo, has an outdated and poor quality network.

It may be that IBPT  did not make a rigorous enough study of the marketplace. Still, I cannot understand judges refuse to see what is obvious to all. The net result is that Belgacom’s competitors will have even less opportunities to offer quality services and that the incumbent’s market share will grow even more. For customers, this will mean less choice and higher prices. This is sad news in a country where the unemployment rate have risen quite sharply due to the global economic downturn. It is nearly impossible these days to apply for a job if you do not have an Internet connection and e-mail address.  The most vulnerable part of the population will be the first victim.