I dag har jeg justert litt på kartet over overvåkningskamera, og +
Entries from January 2011.
+ +I dag har jeg justert litt på kartet over overvåkningskamera, og laget støtte for å gi fotobokser (automatisk trafikk-kontroll) og andre overvåkningskamera forskjellige symboler på kartet, slik at det er enklere å se forskjell på kamera som vegvesenet kontrollerer og @@ -43,28 +42,26 @@ følge vegvesenet og 80 andre kamera på kartet, totalt 173 kamera. Takk til de 26 stykkene som har bidratt til kamerainformasjonen så langt.
-Følgende inspirerende historie fant jeg i +
Følgende inspirerende historie fant jeg i kommentarfeltet hos digi.no i forbindelse med en trist sak om hvordan skolen @@ -314,28 +311,26 @@ jeg da lære?"
Skolelinux fungerer så bra i skoleverdagen etter å ha jobbet med det i 10 år. -Jeg er den fornøyde eier av en håndholdt trådløs kamerascanner, +
Jeg er den fornøyde eier av en håndholdt trådløs kamerascanner, dvs. en radioscanner som automatisk scanner frekvensområdet 900 - 2500 MHz og snapper opp radiokilder med PAL eller NTCS TV-signal og viser signalet frem på en liten skjerm. Veldig morsom å ha med seg for å se @@ -373,28 +368,26 @@ min scanner ikke tar inn signalet er åpenbar ut fra merkelappen. 5.8 GHz er langt over min scanners grense på 2.5 GHz. Trenger visst en kraftigere scanner. :)
-Arbeiderpartiet har tvunget igjennom et forslag i regjeringen om +
Arbeiderpartiet har tvunget igjennom et forslag i regjeringen om at alle borgere i Norge skal overvåkes kontinuerlig i tilfelle vi gjør noe galt, slik at politiet får det enklere under etterforskningen. Sikkerhetstjenesten vil få tilgang uten at noen er mistenkt, mens @@ -474,28 +467,26 @@ mer.
-Inspirert av intervjurunden som Raphael Hertzog har startet med folk i Debianprosjektet, fikk jeg lyst til å gjøre det samme med folk i @@ -514,8 +505,11 @@ deg gjerne inn hvis du vil støtte oss.
Hvem er du, og hva driver du med til daglig?
-Mitt navn er Arnt Ove Gregersen, jeg er en småbarnfar på 32 år som -for tiden bor Trondheim. Her jobber jeg som systemutvikler i et firma +
+Mitt navn er Arnt Ove Gregersen, jeg er 32 år og bor for tiden i Trondheim. + +Her jobber jeg som systemutvikler i et firma som heter Geomatikk IKT AS, hvor jeg er på et Vegmeldings-prosjekt for Statens Vegvesen. På fritiden er jeg styreleder i FRISK (Fri programvare i skolen) og @@ -574,28 +568,26 @@ som er basert på TA Spring-motoren (springrts.com), her er det et veldig bra utvalg av gratis spill som er av høy kvalitet. Veldig lett å bli hektet :)
-I England har MySociety +
I England har MySociety laget en genial tjeneste for å holde øye med parlamentet. Tjenesten They Work For You lar borgerne få direkte og sanntidsoppdatert innsyn i sine representanters @@ -669,28 +661,26 @@ gjenstår. Kanskje jeg får tid til å se på en norsk utgave etter at vi i NUUG har fått operativ en norsk utgave av FixMyStreet.
-Jeg fortsetter min intervjuserie med folk i +
Jeg fortsetter min intervjuserie med folk i Skolelinuxprosjektet. Denne gang er det en av folkene som har vært med lenge og som har tatt i bruk Skolelinux på alle skolene i Narvik kommune som skal i ilden. @@ -754,28 +744,26 @@ lite problem og over tid tror jeg at denne barrieren er borte.
kontorpc. Ut over dette arbeder jeg svært mye via konsoll mot andre servere. -Today I discovered +
Today I discovered via digi.no that the Chrome developers, in a surprising announcement, yesterday @@ -850,28 +838,26 @@ I guess time will tell.
more background and information on the move it a blog post yesterday. -The video format struggle on the web continues, and the three +
The video format struggle on the web continues, and the three contenders seem to be Ogg Theora, H.264 and WebM. Most video sites seem to use H.264, while others use Ogg Theora. Interestingly enough, the comments I see give me the feeling that a lot of people believe @@ -920,28 +906,26 @@ realise that I failed to make it clear enough this text is about the <video> tag support in browsers and not the video support provided by external plugins like the Flash plugins.
-Bruken av RFID brer om seg. Klær, matvarer, borgere, elever, +
Bruken av RFID brer om seg. Klær, matvarer, borgere, elever, studenter og ansatte blir radiomerket på en måte som gjør det enkelt å følge med på hvor de beveger seg. Historien @@ -991,28 +975,26 @@ Stortinget og regjeringen har gått med på RFID-merking av pass. wikipedia har mer om de nye biometriske passene.
-Neste ut i min intervjuserie med folk i +
Neste ut i min intervjuserie med folk i Skolelinuxprosjektet er lærer, mangeårig bidragsyter på epostlistene og tidligere Skolelinux-administrator på en skole i Hemsedal.
@@ -1104,28 +1086,26 @@ Slike valg må fundamenteres hos skoleeier.Oppdatering 2011-01-16 22:40: Oppdatert svarene for de tre siste spørsmålene litt mer tekst fra Embrik.
-Mens jeg forsetter famlingen rundt i RFID-verden, kom jeg over en +
Mens jeg forsetter famlingen rundt i RFID-verden, kom jeg over en masteroppgave fra Institutt for Informatikk ved Universitetet i Oslo med tittelen "Investigation @@ -1156,28 +1136,26 @@ Classic ble reversutviklet og problemene i sikkerheten presentert for CCC i 2007. Det er i dag mulig å klone slike kort.
-Denne gang har jeg fått tak i en mangeårig unix-mann som etter +
Denne gang har jeg fått tak i en mangeårig unix-mann som etter mange år ved Universitetet i Oslo, der jeg først traff ham, har flyttet tilbake til vestlandet, og der bidratt til å revitalisere Skolelinux-oppsettet i @@ -1302,28 +1280,26 @@ det. Du kan gjerne gjere kva du vil med det, berre vi får lov til å hjelpe deg. Målgruppa er alle kommunar, og det er noko dei vil ha. Det er eit godt produkt, brukt av mange og godt likt.»
-In the +
In the discover-data package in Debian, there is a script to report useful information about the running hardware for use when people report missing @@ -1400,28 +1376,26 @@ fi
This might perhaps be something to include in other tools as well.
-Denne gangen er det Tromsøkontoret til Friprog-senteret, og nyvalgt +
Denne gangen er det Tromsøkontoret til Friprog-senteret, og nyvalgt styremedlem i foreningen FRISK jeg har fått i tale i min intervjuserie med Skolelinux-folk.
@@ -1482,30 +1456,154 @@ alternativer. Her har leverandører, IT-avdelinger og pedagoger en vei Ã¥ gÃ¥ sammen. Det er til slutt LÃRING det dreier seg om, og da mÃ¥ man fÃ¥ mest mulig læring for pengene man har. -The last few days I have looked at ways to track open security +issues here at my work with the University of Oslo. My idea is that +it should be possible to use the information about security issues +available on the Internet, and check our locally +maintained/distributed software against this information. It should +allow us to verify that no known security issues are forgotten. The +CVE database listing vulnerabilities seem like a great central point, +and by using the package lists from Debian mapped to CVEs provided by +the testing security team, I believed it should be possible to figure +out which security holes were present in our free software +collection.
+ +After reading up on the topic, it became obvious that the first +building block is to be able to name software packages in a unique and +consistent way across data sources. I considered several ways to do +this, for example coming up with my own naming scheme like using URLs +to project home pages or URLs to the Freshmeat entries, or using some +existing naming scheme. And it seem like I am not the first one to +come across this problem, as MITRE already proposed and implemented a +solution. Enter the Common +Platform Enumeration dictionary, a vocabulary for referring to +software, hardware and other platform components. The CPE ids are +mapped to CVEs in the National +Vulnerability Database, allowing me to look up know security +issues for any CPE name. With this in place, all I need to do is to +locate the CPE id for the software packages we use at the university. +This is fairly trivial (I google for 'cve cpe $package' and check the +NVD entry if a CVE for the package exist).
+ +To give you an example. The GNU gzip source package have the CPE +name cpe:/a:gnu:gzip. If the old version 1.3.3 was the package to +check out, one could look up +cpe:/a:gnu:gzip:1.3.3 +in NVD and get a list of 6 security holes with public CVE entries. +The most recent one is +CVE-2010-0001, +and at the bottom of the NVD page for this vulnerability the complete +list of affected versions is provided.
+ +The NVD database of CVEs is also available as a XML dump, allowing +for offline processing of issues. Using this dump, I've written a +small script taking a list of CPEs as input and list all CVEs +affecting the packages represented by these CPEs. One give it CPEs +with version numbers as specified above and get a list of open +security issues out.
+ +Of course for this approach to be useful, the quality of the NVD +information need to be high. For that to happen, I believe as many as +possible need to use and contribute to the NVD database. I notice +RHEL is providing +a +map from CVE to CPE, indicating that they are using the CPE +information. I'm not aware of Debian and Ubuntu doing the same.
+ +To get an idea about the quality for free software, I spent some +time making it possible to compare the CVE database from Debian with +the CVE database in NVD. The result look fairly good, but there are +some inconsistencies in NVD (same software package having several +CPEs), and some inaccuracies (NVD not mentioning buggy packages that +Debian believe are affected by a CVE). Hope to find time to improve +the quality of NVD, but that require being able to get in touch with +someone maintaining it. So far my three emails with questions and +corrections have not seen any reply, but I hope contact can be +established soon.
+ +An interesting application for CPEs is cross platform package +mapping. It would be useful to know which packages in for example +RHEL, OpenSuSe and Mandriva are missing from Debian and Ubuntu, and +this would be trivial if all linux distributions provided CPE entries +for their packages.
+ +
Archive
+-
+
+
- 2012
+
-
+
- January (7) +
- February (10) - - + +