Java grafieken voor Opendata

Nederlandse Vuvuzela maakt internet veiliger? Tjee, de Telegraaf zit wel in de loop. Google hits:

Dec  2, 2015 - Private messaging system that hides metadata. 
Dec  3, 2015 - For example, Section 9 in the paper mentions
Dec  3, 2015 - Vuvuzela can't provide anonymity, and at best 
Dec  7, 2015 - Because the system confuses adversaries by dr
Dec 10, 2015 - Git Clone URL: https://aur.archlinux.org/vuvu
Dec 12, 2015 - The system, dubbed Vuvuzela after the infamou
Dec 13, 2015 - MIT researchers claim they have developed “Vu
Dec 14, 2015 - A group of computer scientists at the Massach
Dec 14, 2015 - It's this last technique that gave the system
Dec 14, 2015 - The Vuvuzela system uses a constant random pa
Dec 16, 2015 - So a team of researchers from MIT has present
Dec 17, 2015 - As privacy of The Onion Router (Tor) network 
Dec 18, 2015 - Communicating by Vuvuzela, for when anonymity
Dec 18, 2015 - Tor may have met its privacy match: Vuvuzela,
   1 day ago - Nederlandse Vuvuzela maakt internet veiliger.

Waarbij "1 day ago" uitkomt op “za 26 dec 2015, 12:32”.

En ook nog eens geïllustreerd met het obligate ‘stock’-fotootje van een paar groene ledjes achter een speciaal voor ons even omhooggehouden netwerk-connector.

Voor degene bij de Telegraaf die dat dus op Tweede Kerstdag zat te doen ook niet al te lastig gezien de bestandsnaam van dat plaatje:

images0.tcdn.nl/binnenland/article24916173.ece/BINARY/d/Stock_+computer_+netwerkkabel_
+RJ-45_+modem_+server_+kabels_+kabel_+ledje_+led_+energie_+UTP+kabel_+glasvezel_
++internet_+snelheid_+kabel_+draad_+glasvezelnet_+netwerk_+infrastructuur_++werkzaamheden_
+digitaal_++lichtsnelheid_+licht_+glas_+aanleg_+oranje_

Maar Jan Marco, toch te laat.

Want op de omslag van het computertijdschrift c’t staat “1/2016 dd. 28.12.2015” terwijl het vandaag 27 december 2015 is en het donderdag 24-12 al in de brievenbus lag.

Dus, jij mijn beste wensen voor de aanstaande jaarwisseling, wat zullen we ervan maken, een inspirerend 2016?

En twee, ze komen te laat met dat Vuvuzela want het overgrote deel van de Duitse pers had afgelopen woensdag 23-12 dit nieuws uit c’t over “Die Kabel-Deutschland-Lücke” online staan:

Der Kunde stieß auf den Kanal für den Kunden-Service

Graf konnte sich Profile und Passwörter von anderen Kunden-Modems herunterladen und im Namen fremder Rechner surfen. Darüber hinaus stieß er auf das interne Wartungsnetz für die Modems. Dieser Kanal ist für den Kunden-Service vorgesehen. Techniker der Firma müssen in der Lage sein, auch aus der Ferne auf ein Modem zuzugreifen. So können sie bei Problemen helfen, ohne jedes Mal persönlich beim Kunden vorbeizukommen. Graf konnte sehen, dass die Modems miteinander kommunizierten und vernetzt waren.

Vodafone bestätigt Grafs Erkenntnisse: “Wir sind Mitte November auf eine ernst zu nehmende Schwachstelle von Kabelnetzbetreibern hingewiesen worden, über die sich ein externer IT-Experte zwischenzeitlich Zugang auf das Wartungsnetz von Vodafone Kabel Deutschland verschafft hatte”, teilt ein Unternehmenssprecher auf Anfrage mit. Die Firma habe umgehend die Bundesnetzagentur und den Bundesbeauftragten für Datenschutz informiert.

Volle Zugriffsrechte für das Modem

Für wenig Geld lassen sich aus China Produkte bestellen, die man auf den Speicher des Modems aufstecken könne, sagt Graf. “Die sehen aus wie kleine Wäscheklammern.” Der Effekt: Er konnte den Speicherchip auslesen und so die Betriebssoftware des Modems analysieren. Dabei fand er Schwachstellen im Code und bekam volle Zugriffsrechte für das Modem.

Das ist ein doppeltes Desaster. Zum einen innerhalb des Netzwerks, also auf den Rechnern der Kunden. Laptops, Smartphones, Tablet-PCs: Die Lücke erlaubte es Graf, auf fremde Fotos oder Dokumente zuzugreifen. Wenn im Haus ein externer Festplattenspeicher (NAS) eingesetzt wird, damit alle Familienmitglieder auf gemeinsame Dateien zugreifen können, dann stand auch dieser Speicher offen. Denn ein Heimnetz wird in aller Regel nicht besonders gut abgesichert. Wer sich einmal Zugang verschafft hat, kann sich bedienen.

Süddeutsche Zeitung - 2,8 Millionen Vodafone-Kunden waren jahrelang ausspionierbar - 23-12-2015

Daar helpt geen Vuvuzela aan. Vanavond zou die gozer - Alexander Graf heet hij - om 18.30 zijn verhaal houden voor het Chaos Communication Congress van dit jaar (32c3), compleet met stream dus ik weet nu nog niet of het precies dat merk was maar ze doen er inderdaad wel schamper over:

technicolor tc7200 cable “modem”

The lowest-end cable modem available for UPC, KabelDeutschland and other cable internet provides is the Technicolor TC7200. It is marketed as “modem”, but in fact it is a router. The firmware is branded/limited, buggy and “ugly” (e.g. complete web interface live-translates via javascript, non-working options like bridge-mode and wifi). As the device runs linux and provides different interfaces (including cable), it would be nice to get into the system and play with it.

[!!!] FOR CHANGES/MODS/HACKS ON THE DEVICE I USE A UNIT OFF EBAY WHICH I (not a KabelBW customer!) NEVER CONNECT TO THE CABLE NETWORK FOR THIS EXPERIMENTS [!!!]

The Technicolor tc7200 runs linux. Neither Technicolor nor the cable provider (KabelBW) provides the sources for the GPL licenced code. Technicolor does not answer end-customer questions, KabelBW does not answer questions without a customer number (which I will not provide because it is not relevant for the request).
On top of that, the device is unstable and insecure (e.g. get admin password or do factory reset from LAN side with a single http requst) - yay! It is not possible to configure wireless (config page just shows up a error message), but wireless is still enabled.

hackaday.io - technicolor-tc7200-cable-modem

Nogmaals, nog niet bekend of het doorgelichte modem van dit merk was maar net als bij Kabel Deutschland van Vodafone is het in ieder geval ook een van de kabelmodems die Ziggo uitzet bij klanten en ik zag een andere Duitser zich afvragen waarom bijvoorbeeld wel liften periodiek gekeurd moeten worden maar zo’n netwerk waar een kleine 3 miljoen klanten op zitten, niet?

De eigenaar van Ziggo en de eigenaar van Kabel Deutschland draaien ook al een tijd om elkaar heen.

Eigenaar Ziggo aast op Vodafone

Liberty Global,het moederbedrijf van de kabelmaatschappij Ziggo, onderhandelt met het Britse telecombedrijf Vodafone over een fusie. Vodafone bevestigt dat er gesprekken gaande zijn.

Zo’n fusie zou grote gevolgen hebben voor de Nederlandse telecommarkt. Ziggo heeft na de fusie met UPC 4,5 miljoen klanten. Vodafone heeft vijf miljoen klanten.

Liberty Global en Vodafone zijn twee internationale telecomgiganten met een waarde van 200 miljard dollar. Met Ziggo heeft Liberty in Nederland nog geen eigen mobiel netwerk. Het bedrijf huurt capaciteit op het netwerk van Vodafone.

opendata-forum.nl - 5-6-2015

Of andersom:

Liberty Global, Becoming a Big Fish, Risks Attracting the Eye of a Shark

But a senior banker who specializes in global telecommunications companies contends that before long, Liberty Global will be too enticing for others to resist. “In a year or two, it will be the must-have asset,” he said.

opendata-forum.nl - 10-6-2015

Liever Vodafone? Want voortgekomen uit het Britse Racal, leverancier van defensie-apparatuur en heeft dan heel misschien meer oog voor kwaliteit in de te gebruiken kabelmodems:

Vodafone leaves door ajar to striking a deal with Liberty Global

Last month, Vodafone showed that investment in its core European operations — part funded by its exit from Verizon Wireless in the US — was starting to pay off, with customers increasingly buying 4G mobile services.

This improved performance has led to hopes among some Vodafone shareholders that the new year will bring a fresh attempt by the UK telecoms group to strike a deal with US-listed Liberty Global after abortive attempts to combine their European businesses this year.

Vodafone and Liberty executives have spent the past few weeks meeting investors, and both companies say the door remains open to deal talks.

“Neither side is pushing the other away, which is interesting in itself, and even their language seems similar,” says one shareholder in both groups. Vodafone and Liberty declined to comment.

Financial Times - Telecoms - December 15, 2015

Aas? Shark? Of het wel goed gaat met de Kerstgedachte:

Finding Nemo (2003)

  • Bruce: So, what’s a couple of bites like you doing out so late?
  • Marlin: Nothing, we’re not doing anything, we’re not even out.
  • Bruce: Great! Then how would you little morsels like to come to a little - a little get-together I’m having?
  • Bruce: [reciting] I am a nice shark, not a mindless eating machine. If I am to change this image, I must first change myself. Fish are friends, not food.
  • [Sniffs the blood; his eyes turn black]
  • Bruce: Ooooooooo, that’s good…
  • Chum, Anchor: Intervention!

www.youtube.com

JM, nog even terug naar de Vuvuzela-berichtendienst? Ik zie dat MIT haar eigen onderzoekers eigenlijk ietsjes te onwetenschappelijk naar voren schuift:

Untraceable communication — guaranteed

New untraceable text-messaging system comes with statistical guarantees.

“Tor operates under the assumption that there’s not a global adversary that’s paying attention to every single link in the world,” Nickolai Zeldovich says. “Maybe these days this is not as good of an assumption.”

“The mechanism that [the MIT researchers] use for hiding communication patterns is a very insightful and interesting application of differential privacy,” says Michael Walfish, an associate professor of computer science at New York University. “Differential privacy is a very deep and sophisticated theory.

The observation that you could use differential privacy to solve their problem, and the way they use it, is the coolest thing about the work. The result is a system that is not ready for deployment tomorrow but still, within this category of Tor-inspired academic systems, has the best results so far. It has major limitations, but it’s exciting, and it opens the door to something potentially derived from it in the not-too-distant future.”

mit.edu - News - December 7, 2015

Temeer daar Wikipedia gewag maakt van al langer bestaand onderzoek inzake ‘Differential privacy’:

Differential privacy

In cryptography, differential privacy aims to provide means to maximize the accuracy of queries from statistical databases while minimizing the chances of identifying its records.

Netflix Prize

Netflix has offered $1,000,000 prize for a 10% improvement in its recommendation system. Netflix has also released a training dataset for the competing developers to train their systems. While releasing this dataset they had provided a disclaimer: To protect customer privacy, all personal information identifying individual customers has been removed and all customer ids have been replaced by randomly assigned ids.

Netflix is not the only available movie rating portal on the web; there are many others, including IMDB. On IMDB individuals can register and rate movies and they have the option of not keeping their details anonymous. Arvind Narayanan and Vitaly Shmatikov, researchers at The University of Texas at Austin, linked the Netflix anonymized training database with the IMDB database (using the date of rating by a user) to partially de-anonymize the Netflix training database, compromising the identity of a user.

En zo’n metadata-argument als uit hun ‘paper’ hoeft niet overeind te blijven:

For example, if Bob repeatedly emails a therapist, an adversary might reasonably infer that he is a patient?

Ken een concreet en actueel geval waarin dit haar aannemer betreft, over de fundering van het pand waarin haar praktijkruimte gevestigd is.

Het is inmiddels half zeven en ik heb nu Alexander Graf als stream via VLC: Duitser met een staartje in het Engels, weet waar hij het over heeft en heeft de zaal mee, men lacht op de juiste momenten. Dat moeten dan wel eveneens hackers zijn.