journalism

The Orange Suit, E01 something you have. AKA using the Two Factor Authentication module on a Drupal website

Trust, authentication. The key factors of the internet in this age where hacking, privacy and security are the biggest threat to freedom on the Internet. Trust starts with authentication. Authentication starts with identification. For some good background, the decade old keynote of Dick Hardt with regards to identity, it is still a classic.

The old adagium is that good authentication can be done by using three factors, something you know, something you have and something you are. For example, a pincode (know), a key (have) and a photo (are).

Two factor authentication combines two of these three for identification, often a password and a one-time-usable code delivered via the phone that you have. Two factor authentication is standard in the offline world, a driver's license (have) with a photo (are) or a bank card (have) with a PIN code (know). And it is about time that we use this Two Factor Authentication (TFA) as the basis for our web presence as well, to log in to your mail, your bank account and to your Drupal website.

This will prevent ugly security incidents or frontpage defacements. People reuse passwords, write them down never change the passwords, have listed passwords or share them and if you have a website where editers and administrators can publically can log in, you will have a security incident waiting to happen.

On drupal.org we use TFA for higher roles. The module being used as d.o is https://www.drupal.org/project/tfa and I do think it should be on every Drupal site.

I always wanted to start a screencast series on Drupal modules for site builders. So it was only logical that the TFA module was the first module I used for this vlog. You can see the screencast called "The Orange Suit" episode 1, "Something you have" and hear why you need this module, how to configure the module and what the module does.


Please leave a comment with your feedback on the youtube video, if you just liked it, thumbs up on youtube: and do follow "The Orange Suit" on facebook and twitter

Suggestions for the next episode are welcome as well via one of those channels.

NS, fraude en het spinnen van de media inclusief politiek naar "vals spel"

Vals spel, hoe de NS haar fraude probeert te verbergen en de media hier op happen

Staff Awards Ceremony

BREAKING: we hebben afschuwelijke aanbestedingen in Nederland bij de overheid. Okay, dat was niet breaking. Onze aanbestedingen en de onmogelijkheden om het beste bod te verkrijgen zijn breed bekend. Wat wel breaking is. Dat een BV waar de overheid 100% aandeelhouder van is een Europese aanbesteding van een overheid wint, door … let op…. FRAUDE te plegen.

U heeft het vast wel gezien, een medewerker in de hogere regionen van Veolia (concurent die ook op aanbesteding aanbood) lekt informatie over een aanbesteding van bus/trein verkeer in Limburg (waar anders) naar een dochteronderneming van de Nederlandse Spoorwegen in ruil voor een goede baan bij deze dochteronderneming . Hierdoor wint de NS de aanbesteding als gevolg van zeer nare fraude. Precies wat we met de die rare aanbestedingen proberen tegen te gaan.

Marklin Schnellzuglokomtive

Tot zover al redelijk absurd, de overheid drukt een bedrijf uit de markt door fraude te plegen op een overheidsaanbesteding. Maar wil je weten wat het nog enger maakt?

De NS weet dat ze met de billen bloot moeten, dit is slecht nieuws en dat moet goed gebracht worden. Hoe dan wel? Ten eerste, je bekent. Daar is dan geen discussie meer over. Maar je bekent niet dat je fraude hebt gepleegd. Maar daar neem je een onschuldig woord voor. Iets met … mmmmh.. Iets kinderlijks. Iets eenvoudigs. Iets onschuldigs.

Fyra V250 4806 in revenue service @ Rotterdam Centraal
"Hebbes", zei de spindokter op de PR afdeling. "We noemen het 'geen eeerlijk spel gespeeld'". Geen eerlijk spel. Fraude. Niet warm, 0 kelvin. Geen halszaak, onthoofding. Treinen op tijd, geen wonder.

Een heerlijke spin. In elk interview. In elke stuk. Zeg je gewon dat er "geen eerlijk spel" is gespeeld en op zijn slechts "vals spel". Nooit het woord 'fraude' in de mond nemen. En dan wachten op dat de media je juist quoten.

En ja hoor.

Om maar een paar te nomen. Gelijk aan de communicatie afdeling van de NS, verwerpen de media het. Maar gebruiken wel woorden die "fraude" kleiner maken als "oneerlijk spel". Aanbesteding is geen spel, fraude geen oneerlijk spel.

Raar toch. Ale media die het over "vals spel" hebben na aanleidng van de berichtgeving van de NS over de fraude van de NS tegen de overheid. SWil je het nog vreemder hebben. Binnen enkele uren na de bekendmaking wordt de verantwoordelijke minister geinterviewd.

Dijselbloem staat voor de camera. En verwerpt de fraude van de NS met de woorden: ""Bij de aanbesteding is vals spel gespeeld, en dat kan natuurlijk niet", zegt Dijsselbloem."
En verder gaat de NOS verder met "De minister vindt dat de NS-directie adequaat heeft gereageerd. De acties die het bedrijf heeft ondernomen zijn volgens Dijsselbloem ingrijpend maar terecht."

Bananenrepubliek.

De Stentor.nl en bannerblockers, geen goede combinatie :-)

De nieuwe website van de stentor met bannerblocker links.

Ik weet niet of het express is of niet. Maar de DIV (zeg maar het kadopapier rondom de content) van denieuwe website van de Stentor is zo gekozen, dat banner blockers (links chrome met een default bannerblocker) de content blokken.

Rechts in een default safari zonder bannerblockers. Zie zelf op destentor.nl

Dit is OF heel slim (als je website wilt zien moet je bannerblocker uitzetten / gerconfigureren / site whitelisten) OF heel dom en website bouwer heeft geen bannerblocker :-)

(en ja, ik heb veel tabs open)

Naambellen met de NPO (puntenl)

[107/365]

Naambellen. Kent u die uitdrukking nog? Ik moets daar aan denken toen ik laatst hoorde dat onze -volgens de GeenStijlGanzenGeneratie- “staatsomroep” NPO uit “uw belastingpoet” de postduiven voerde door NPO.nl te kopen.
Naambellen. Het eenvoudiger maken van een telefoon nummer door deze van “een naam” te voorzien. Op telefoons staond vroeger -in Amerika al sinds een halve eeuw. Op oude dial toestellen stonden per cijfer al 3 letters. In Nederland met de introductie van mobiele telefoons waarmee ge-sms-ed kan worden kortere tijd populair geweest. Zo is het landelijk oveheidsnummer 077 4656767 volgens phonespell het handig te onthouden 07-pi-OK-or-or.

Nokia 3310

Naambellen. Een vorige werkgever introduceerde een dienst waarbij je middels je computer -begin 2000- kon inbellen naar een speciaal nummer om een VPN te slaan naar een beveiligde infrastuctuur. Inbellen middels een modem LCDbuis vriendjes. Dat deden sommigen toen nog. Het nummer dat je op je computer moest intypen was netnummer (wellicht 0800 of zo) IKBELIN. Lekker handig, voelt u hem? Moest je dus op je nokia telefoon gaan kijken om te weten welk telefoon nummer je moest bellen op je PC. De zelfde mensen die hier voor kozen gingen ook -geen grap- met polonaise door de gangen toen bleek dat ze voor een grote telco klant een soort “portal” (het was 2000) mochten bouwen en het domain dat ze wouden gebruiken nog “vrij” was; whepp.nl. Ja met wh en dubbel pee... :-)

Locks in the Rideau Canal - Ottawa

Naambellen. Domainen die je moet spellen. Ik denk dat deze mensen nu bij de Nederlandse Publieke Omroep werken en denken dat een drieletterige domain moesten kopen. Dat hoeft in 2012 dus echt niet meer, content is water, google de sluis. Maak de eerste en de tweede zorgt dat klanten je vinden. 2012... Een ton voor een domein.

ARP, ARP, ARP, privacy eet je met een ...?

006/365 - My Day Job

Ach, wat lief. Politiek gaat zich weer eens bezig houden met Groze Boze Internet partijen. Vroeger Microsoft met IE, nu Google met privacy, morgen Apple met de Appstore.

Techniek en politiek; altijd goede combinatie. Zo las ik op webwereld:

Het verzamelen van wifi-routerdata blijft de gemoederen bezig houden. Maar veel mensen, inclusief Tweedekamerleden, huilen met de privacywolven mee, zonder op de hoogte te zijn van de ins en outs.

Mijn persoonlijke mening is dat het een ieder vrij staat informatie te verzamelen door te luisteren, op radio, TV en andere radio technieken zoals Wifi. Luisteren staat vrij, opslaan mag. Uitzenden niet op alle banden zonder vergunningen misbruik van de data niet. Vrij simpel grondbeginsel me dunkt.

Dus dat de Google streetview auto's WiFi signalen geografisch lokaliseren, het SSID ("naam") van een Wifi accesspoint en het MAC address (een adres te gebruiken op lokale netwerken) opslaan en gebruiken voor Geo Location Services zal me niet veel doen. Die strijd proberen te winnen van Google zal enkel leiden tot het verschuiven naar andere manieren om locatie gebonden diensten te kunnen aanbieden.

Maar goed, ik ben een leek. Ik ben maar een Business Techneut. En we hebben heerlijke jaren 80 mannen die onze privacy beschermen, het Centraal Bureau Persoonsgegevens. En die is van mening dat Google dergelijke data niet mag opslaan en verwerken, zoals in deze PDF te lezen is. Google's handellen zou in strijd zijn met Artikel 8 van Wet Bescherming Persoonsgegevens. Ik heb daar een andere mening over. Maar goed, ik ben een leek.

En dus komt de opt-out vs opt-in discussie; je bent ingeschreven tenzij je aangeeft uitgeschreven te willen worden versus je bent uitgeschreven tenzij je aangeeft mee te willen doen. Google is natuurlijk voor opt-out, mensen doen geen moeite om ergens niet aan mee te doen. Liever heeft Google helemaal niets, geen opt-out of in.

Google heeft aangegeven dat opt-out niet veilig is, immers je zou op een website dan andermans MAC address kunnen invullen en zo zou er op grote schaal misbruik kunnen zijn van dat sommige mensen massaal anderen zouden uitschrijven.

En ja, daar weten we wel een oplossing voor. In het PDF document voetnoot 16 van CBP heeft men het:

Bijvoorbeeld door middel van de volgende use case:
1. De betrokkene logt in op een webpagina van Google, waarop een MAC-adres kan worden ingevoerd. Het
IP adres en datum, tijd zouden automatisch door Google kunnen worden gelogd.
2. Als het MAC adres in de GLS zit, zou Google de betrokkene kunnen doorsturen naar een verificatiepagina
die scripting bevat waarmee de ARP tabel wordt opgevraagd. De WLAN MAC-adressen zijn theoretisch
gezien op te vragen middels ‘ARP –a’. Middels browsercode, bijv java, kan dit ARP lijstje worden
opgevraagd op de achtergrond.
3. Als het opgegeven MAC adres in het ARP lijstje staat, is vastgesteld dat de gebruiker, die verbonden is met
het WLAN, diegene is die toegang heeft tot het lokale WLAN MAC-adres, dat evenwel ook in de Google
GLS is opgenomen. Het verzoek om verwijdering van de betrokkene is daarmee geverifieerd. De verificatie
kan geautomatiseerd op de achtergrond plaatsvinden.

En dat geeft maar weer eens aan hoe dom men kan zijn. Dom op vier manieren:

  1. Beschikbaarheid: Java is een gesloten techniek die op een modern OS als Lion niet eens meer geïnstalleerd meer is
  2. Uitvoerbaarheid: Java applets kunnen geen MAC adressen lezen (*)
  3. Verschuiving denkfout: Dus Java applets kunnen MAC adressen lezen en dat is geen probleem?
  4. Grote Denkfout: client side informatie vertrouw je niet dus vertrouw je … client side informatie?

Ad 1) Java heeft geen plaats meer op de client. Die tijd is voorbij. Java applets komen nagenoeg niet meer voor online. Op de server zijde (zeker in de financiële sector :-) is Java als servlet nog steeds zeer populair. Het verschil is dat een servlet op de webserver / appserver draait, een een applet in de browser. Dat laatste is dus bijna niet meer normaal en een modern OS als Lion heeft standaard geen Java geinstaleerd. De techniek is dus niet meer breed toegankelijk en daarmee beperk je de toegankelijkheid van de dienst om je uit te schrijven.

Ad 2) Ik ben geen programmeur. Ik weet weinig van Java, daar staat het sterretje (*) ook voor. Maar ik weet redelijk zeker dat Java als applet in een sandbox geen toegang heeft tot het uitlezen van informatie als mac adressen. Laat me graag verrassen dat het wel kan, ik weet dat getNetworkInterfaces() bestaat en dat je daarmee het MAC adres van de interfaces kan verkrijgen, maar weet redelijk zeker dat dit niet in een applet gaat werken. En ik denk ook dat het slechts de interfaces van de machine uitgevraagd kan worden, niet het MAC adres van andere machines die op het zelfde lokale netwerk zitten. Ik denk dus dat het helemaal niet kan wat het CBP wil!

Ad 3). En dan. Stel dat het kan wat CBP wil. Is er dan niet een veel groter probleem? Dan hoef je namelijk helemaal niet de straten af te schuimen om MAC adressen te verzamelen maar zou je dat zo vanaf een browser kunnen doen. Als het CBP dus denkt de oplossing te hebben voor het MAC adres validatie probleem, waarom zien ze dan niet dat dit juist een gigantisch probleem zou zijn!?

Ad 4) En dan, de klapper. De Grote DenkFout. Men vertrouwt User Generated Content niet bij het manueel invoeren van een MAC adres. Terecht. Dus is de oplossing het uitvragen van CLIENT side informatie. Client, user. Zelfde pot. Even betrouwbaar. Als je "de gebruiker" niet kan vertrouwen om de juiste data in te vullen, dan maakt het niet uit of de gebruiker een client is of een klant; een persoon of een machine van die persoon.

Want, het veranderen of toevoegen van een MAC adres in mijn ARP tabel is een paar seconde werk. En kan bijvoorbeeld door een MAC adres te spoofen op mijn netwerk:
sudo ifconfig en0 lladdr 00:00:00:00:00:00
en ik kan nu 00:00:00:00:00:00 uitschrijven. Want, die staat toch immers in mijn systeem en dus betrouwbaar...

Ach, politiek en techniek. Blijft een leuke combinatie.

XML feed