Het is bijna zover...
Nog maar 10 dagen en dan is de ICTscripters real live meeting (volgende week vrijdag).

Ben je er nog graag bij, wacht dan niet te lang met het bestellen van een ticket.
De laatste tickets worden aangeboden.

Alle details zijn te vinden op:
Start verkoop tickets

Met vriendelijke groeten,
Koen en het ICTscripters team

Grappig dat je het zegt.
Dit is het volgende op mijn te-doen lijstje.
Daar begin ik als het goed is deze week mee op de test omgeving.

Sja, we zijn ook maar mensen en vergeten ook wel eens iets te vermelden.
Bovendien moeten we zelf alles nog intern bespreken en ligt het nog niet volledig vast.
Ik vermeld liever pas dingen als ze beslist zijn.

Een vriendin van mij zoekt nog een invite.
Zou ik er 1 van kunnen krijgen voor haar?

Alvast bij voorbaat bedankt!

Hierbij een voorbeeld code waarbij bepaalde dagen worden disabled in je calender:

/* create an array of days which need to be disabled */
var disabledDays = ["2-21-2010","2-24-2010","2-27-2010","2-28-2010","3-3-2010","3-17-2010","4-2-2010","4-3-2010","4-4-2010","4-5-2010"];


/* utility functions */
function nationalDays(date) {
	var m = date.getMonth(), d = date.getDate(), y = date.getFullYear();
	//console.log('Checking (raw): ' + m + '-' + d + '-' + y);
	for (i = 0; i < disabledDays.length; i++) {
		if($.inArray((m+1) + '-' + d + '-' + y,disabledDays) != -1 || new Date() > date) {
			//console.log('bad:  ' + (m+1) + '-' + d + '-' + y + ' / ' + disabledDays[i]);
			return [false];
		}
	}
	//console.log('good:  ' + (m+1) + '-' + d + '-' + y);
	return [true];
}
function noWeekendsOrHolidays(date) {
	var noWeekend = jQuery.datepicker.noWeekends(date);
	return noWeekend[0] ? nationalDays(date) : noWeekend;
}


/* create datepicker */
jQuery(document).ready(function() {
	jQuery('#date').datepicker({
		minDate: new Date(2010, 0, 1),
		maxDate: new Date(2010, 5, 31),
		dateFormat: 'DD, MM, d, yy',
		constrainInput: true,
		beforeShowDay: noWeekendsOrHolidays
	});
});

De dagen in de eerste array worden uit gegrijsd en niet klikbaar.

En de serie gaat verder.
Ook de 2de beveiligingsupdate is niet volledig veilig.

Een extra kwetsbaarheid werd ontdekt door de Japanse beveiligingsonderzoeker Norihiro Tanaka.
Een aanvaller kan van een normaal Linux-commando, zoals 'cat' voor het uitlezen van bestanden, een environment-variabele maken en daar code in verstoppen.
Nadien kan deze dan in elke gevallen worden uitgevoerd.

Met dank aan @Superior voor het melden van dit nieuws.

Dat is een beetje onze bedoeling.
Deze commissie zal vorm krijgen de komende weken en maanden.
We zijn nu bezig met opstellen van het reglement hieromtrent, dat is de eerste stap.

Het checken van ITcoins zal voor de leden van deze commissie mogelijk zijn.

Daar is het dan!

Vanaf heden kun je je ITcoins ook laten uitbetalen.
Dit kun je vinden onder het ITcoins menu hierboven.

Voordelen:
- Je kan iemand veilig betalen via ICTscripters, je kan ons nadien jullie overeenkomst sturen en wij bemiddelen in geval van discussie.
- Vraag ons gerust of iemand wel voldoende saldo heeft op ICTscripters alvorens je aan een opdracht voor hem begint
- Als je vraagt voor betaling in ITcoins, kun je niet opgelicht worden, wij kunnen immers bemiddelen. Je bent natuurlijk wel zelf verantwoordelijk voor je daden. Lever dus wat je belooft.

Om dit te vieren, krijg je tijdelijk 10 ITcoins (10 eurocent) per blog bericht.

Like dit bericht voor 23u en krijg meteen een gratis ITcoin.

Ps: er zijn nog een aantal plaatsen beschikbaar voor ons event.
Vergeet niet tijdig een ticket te reserveren.

Met vriendelijke groeten,
Koen en het ICTscripters team

Bedankt @pekelterror.
Ik zit al weer even niet meer op deze distributies.
Goed dat je me dit laat weten. Ik heb de beginpost aangepast.

Update 2:

Er is nu een nieuwe update beschikbaar voor bash.
Update je servers nogmaals!
Voor zover bekend lost dit alle beveiligingsproblemen op.

Update: zelfs de laatste versie is niet veilig!

Voorbeeld code van de exploit:

[root@server home]# ls -l datetest
ls: cannot access datetest: No such file or directory
=> dit bestand bestaat niet


[root@server home]# env -i  X='() { (a)=>\' bash -c 'datetest'
bash: X: line 1: syntax error near unexpected token `='
bash: X: line 1: `'
bash: error importing function definition for `X'
=> Je krijgt netjes een foutmelding, maar...


[root@server home]# ls -l datetest
-rw-r--r-- 1 root root 0 Sep 25 13:51 datetest
=> Nu bestaat dit bestand opeens wel.

Je kan dus zelfs met de laatste versie nog steeds gehackt worden.
Het laat ook toe om dit bestand uit te voeren nadien.
Alle deuren staan open...

Ondanks dit, raden we je aan toch de laatste update te installeren en elke dag
te kijken of er geen nieuwe versie van bash beschikbaar is. Indien
beschikbaar: meteen updaten.
Update alles, van je servers, tot je nas, tot je routers, tot ...
Alles op linux!

Opgelet: de test werkte bij mij niet op alle servers. Mogelijk is het geen perfecte test.

Desondanks raad ik toch aan om je bash te updaten!

Er werd een zeer zwaar beveiligingslek ontdekt in bash, die standaard in zowat alle Linux distributies zit.

Deze hack wordt geclassiffiseerd alszijnde 10 op het vlak van gevaar en 10 op het vlak van eenvoudig te gebruiken.
Hierdoor heeft hij een hogere classificatie dan de Heartbleed bug die eerder werd ontdekt.

Draai je een server, update bash dan meteen!

Hoe test je of je kwetsbaar bent?
Draai in terminal volgend commando:

env x=’() { :;}; echo vulnerable’ bash -c “echo this is a test”

Er is een grote kans dat de code dan gewoon het commando uitvoert in plaats van een fout geeft.

Hoe update je je centOS server?

yum update bash

Hoe update je je debian, Ubuntu, redhat server?

apt-get upgrade bash

Hoe update je je Mac computer server?

Wacht op apple om dit te repareren... Installeer de update meteen zodra hij beschikbaar is.

Bash wordt voor verschillende applicaties gebruikt en veel programma's draaien het in de achtergrond. Het lek ontstaat doordat een aanvaller een kwaadaardig bestand aan een omgevingsvariabele kan toevoegen dat wordt uitgevoerd zodra de shell wordt aangeroepen.

Bij eerste testen was op dit moment maar 1 op 50 servers niet kwetsbaar!

Update: zelfs de laatste versie is niet veilig!

Voorbeeld code van de exploit:

[root@server home]# ls -l datetest
ls: cannot access datetest: No such file or directory
=> dit bestand bestaat niet


[root@server home]# env -i  X='() { (a)=>\' bash -c 'datetest'
bash: X: line 1: syntax error near unexpected token `='
bash: X: line 1: `'
bash: error importing function definition for `X'
=> Je krijgt netjes een foutmelding, maar...


[root@server home]# ls -l datetest
-rw-r--r-- 1 root root 0 Sep 25 13:51 datetest
=> Nu bestaat dit bestand opeens wel.

Je kan dus zelfs met de laatste versie nog steeds gehackt worden.
Het laat ook toe om dit bestand uit te voeren nadien.
Alle deuren staan open...

Ondanks dit, raden we je aan toch de laatste update te installeren en elke dag te kijken of er geen nieuwe versie van bash beschikbaar is. Indien beschikbaar: meteen updaten.
Update alles, van je servers, tot je nas, tot je routers, tot ...
Alles op linux!

Update 2:

Er is nu een nieuwe update beschikbaar voor bash.
Update je servers nogmaals!

Update 3:
En de serie gaat verder.
Ook de 2de beveiligingsupdate is niet volledig veilig.

Een extra kwetsbaarheid werd ontdekt door de Japanse beveiligingsonderzoeker Norihiro Tanaka.

Een aanvaller kan van een normaal Linux-commando, zoals 'cat' voor het
uitlezen van bestanden, een environment-variabele maken en daar code in
verstoppen.
Nadien kan deze dan in elke gevallen worden uitgevoerd.

Met dank aan @Superior voor het melden van dit nieuws.

Aangezien je niet kan booten vanaf USB zonder het bios aan te passen,
dien je eerst het BIOS te resetten.
Dit kun je doen door de jumper op het moederbord er uit te trekken en de batterij die erin zit eruit te trekken.

Na enkele minuten steek je de batterij er terug in en start je de computer op zonder jumper.
Zet hem na het laden van bios weer af en steek de jumper terug op zijn originele plaats.

Zo kun je je bios wachtwoord resetten mits het inderdaad een oude computer is.

Vanaf 5,99$/maand heb je onbeperkte ruimte en trafiek in Amerika.
Het enige nadeel is dat het gehost staat in Amerika, waardoor je een 4-tal seconden extra laadtijd mag rekenen bij het downloaden.

Bij het aanmelden geef je best als referral "gamecoll" op, dan krijg je van mij nog een deel van het geld terug dat ik krijg als referral.
Pro Web Hosting by StartLogic

Verder hebben ze ook een nog beter plan waarbij je onbeperkt backups hebt, kan handig zijn.
Vroeger gebruikte ik hun webhosting als backup voor mijn sites en dat werkte goed. Tegenwoordig zit ik op een echte backup provider.

Even een kleine herinnering: tot vanavond krijg je extra korting bij de aankoop van tickets.

Idd, lijkt me niet evident.
Maar mss meten ze gewoon of je hartslag niet stopt.
Als hij stopt, weet je dat iemand anders hem heeft gestolen of dat je hem bewust uit hebt gedaan.

Hun site:
Nymi

Geen idee hoe ze juist tellen.
Moeten we hun kleine lettertjes eens lezen.

Ik heb een partner site die ik gebruik om domeinnamen te registreren meteen als ze beschikbaar terug komen.
Kost me wel 80$ per domein, maar dat is het me waard.

Heb zo bv yourcrime.com kunnen kopen vroeger.

Om je extra te motiveren: als je er een grondige, goede blog over schrijft, geef ik je het dubbele aantal ITcoins ervoor.

Vanuit Antwerpen ben je er op 1,5 uur. Ik weet niet van waar je komt, maar is niet erg om iets later toe te komen hoor.

Ondertussen heb ik een bedrijf dat gevraagd heeft om een extra SEO presentatie te kunnen geven.
Ziet er goed uit, komt waarschijnlijk bij op het programma.