28 Feb 2021

feedPlanet Grep

Staf Wagemakers: OpenVAS on Kali GNU/Linux Part 1: How to install OpenVAS

OpenVAS

OpenVAS is an opensource security scanner it started as a fork of Nessus which went from an opensource project to a closed source scanner.

I always prefer opensource software, for security tools, I even prefer it more… It nice to see/audit where the security data comes from, instead of the "magic" that is used by the close source software.

To scan for missing patches on your systems there are faster/better tools available that can be integrated into your build pipeline more easily. But OpenVAS is still a very nice network security scanner. Relying on one security tool is also not a "best security practice".

Kali GNU/Linux has become the default Linux distribution for security auditing pen testing, it's nice to have OpenVAS installed on your Kali GNU/Linux setup. If you just want to have OpenVAS available there is also a (virtual) appliance available from the OpenVAS developers ( Greenbone ).

You'll find my journey to install OpenVAS on Kali GNU/Linux.

Installation

Update packages

It's always a good idea to start with an update of your system.

Update the repository database with apt update.

staf@kali:~$ sudo apt update
Hit:1 http://ftp.belnet.be/pub/kali/kali kali-rolling InRelease
Reading package lists... Done
Building dependency tree       
Reading state information... Done
All packages are up to date.
staf@kali:~$ sudo apt dist-upgrade
Reading package lists... Done
Building dependency tree       
Reading state information... Done
Calculating upgrade... Done
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
staf@kali:~$ 

Run apt upgrade to upgrade your packages.

staf@kali:~$ sudo apt dist-upgrade
[sudo] password for staf: 
Sorry, try again.
[sudo] password for staf: 
Reading package lists... Done
Building dependency tree       
Reading state information... Done
Calculating upgrade... Done
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
staf@kali:~$ 

Make sure that haveged is running

During the setup, OpenVAS will create an encryption key to create this key it's important to have enough random data available. I had an issue (back in 2015) to create this key in the past. For this reason, I always verify that haveged daemon is running on my system when I install OpenVAS.

staf@kali:~$ ps aux | grep -i have
root         547  0.3  0.1   8088  4852 ?        Ss   10:00   0:01 /usr/sbin/haveged --Foreground --verbose=1 -w 1024
staf        4823  0.0  0.0   6204   836 pts/1    S+   10:10   0:00 grep -i have
staf@kali:~$ 

Install Openvas

Install OpenVAS with apt install openvas.

staf@kali:~$ sudo apt install openvas
Reading package lists... Done
Building dependency tree       
Reading state information... Done
The following additional packages will be installed:
  doc-base dvisvgm fonts-lmodern fonts-texgyre gnutls-bin
  greenbone-security-assistant greenbone-security-assistant-common
<snip>
  texlive-plain-generic tipa tk tk8.6 xdg-utils
0 upgraded, 64 newly installed, 0 to remove and 0 not upgraded.
Need to get 141 MB of archives.
After this operation, 451 MB of additional disk space will be used.
Do you want to continue? [Y/n] 

Redis

OpenVAS comes with its own redis service on Kali GNU/Linux. This redis service is configured to work with OpenVAS correctly.

systemctl status redis-server@openvas.service

Run gvm-setup

The openvas-setup setup script has been renamed to gvm-setup. This for marketing reasons, GVM stands for Greenbone Vulnerability Manager. As long the software remains opensource I don't care.

Gvm-setup will set the PostgreSQL database, create the admin user and download/import all the ScapData.

└─# gvm-setup 
Creating openvas-scanner's certificate files

[>] Creating database
<snip>
sent 45,218 bytes  received 323,087 bytes  245,536.67 bytes/sec
total size is 73,604,011  speedup is 199.85
[*] Checking Default scanner
OpenVAS  /var/run/ospd/ospd.sock  0  OpenVAS Default
[>] Checking for admin user
[*] Creating admin user
User created with password '*****'.


Password

The gvm-setup script will display the password for the admin at the end. If you forgot to write it down you can reset the admin password with the gvmd command as the _gvm. Unfortunately, you need to use the password as an argument. So it recommended to use a shell without a history or to clear the history (or both) after the password update.

# su - _gvm -s /bin/sh -c "gvmd --user=admin --new-password mypasswd; history -c"
# history -c

Verify

You can verify your installation with gvm-check-setup.

$ sudo gvm-check-setup                                                    1 ⨯
[sudo] password for staf: 
We'll all be murdered in our beds!
[sudo] password for staf: 
gvm-check-setup 20.8.0
  Test completeness and readiness of GVM-20.8.0
Step 1: Checking OpenVAS (Scanner)... 
        OK: OpenVAS Scanner is present in version 20.8.1.
        OK: Server CA Certificate is present as /var/lib/gvm/CA/servercert.pem.
Checking permissions of /var/lib/openvas/gnupg/*
        OK: _gvm owns all files in /var/lib/openvas/gnupg
        OK: redis-server is present.
        OK: scanner (db_address setting) is configured properly using the redis-server socket: /var/run/redis-openvas/redis-server.sock
        OK: redis-server is running and listening on socket: /var/run/redis-openvas/redis-server.sock.
        OK: redis-server configuration is OK and redis-server is running.
        OK: _gvm owns all files in /var/lib/openvas/plugins
        OK: NVT collection in /var/lib/openvas/plugins contains 65370 NVTs.
Checking that the obsolete redis database has been removed
        OK: No old Redis DB
        OK: ospd-OpenVAS is present in version 20.8.1.
Step 2: Checking GVMD Manager ... 
        OK: GVM Manager (gvmd) is present in version 20.08.1.
Step 3: Checking Certificates ... 
        OK: GVM client certificate is valid and present as /var/lib/gvm/CA/clientcert.pem.
        OK: Your GVM certificate infrastructure passed validation.
Step 4: Checking data ... 
        OK: SCAP data found in /var/lib/gvm/scap-data.
        OK: CERT data found in /var/lib/gvm/cert-data.
Step 5: Checking Postgresql DB and user ... 
        OK: Postgresql version and default port are OK.
 gvmd      | _gvm     | UTF8     | en_US.UTF-8 | en_US.UTF-8 | 
        OK: At least one user exists.
Step 6: Checking Greenbone Security Assistant (GSA) ... 
Oops, secure memory pool already initialized
        OK: Greenbone Security Assistant is present in version 20.08.1~git.
Step 7: Checking if GVM services are up and running ... 
        OK: ospd-openvas service is active.
        OK: gvmd service is active.
        OK: greenbone-security-assistant service is active.
Step 8: Checking few other requirements...
        OK: nmap is present in version 20.08.1~git.
        OK: ssh-keygen found, LSC credential generation for GNU/Linux targets is likely to work.
        WARNING: Could not find makensis binary, LSC credential package generation for Microsoft Windows targets will not work.
        SUGGEST: Install nsis.
        OK: xsltproc found.
        WARNING: Your password policy is empty.
        SUGGEST: Edit the /etc/gvm/pwpolicy.conf file to set a password policy.

It seems like your GVM-20.8.0 installation is OK.

Keep your scapdata up-to-date

It's import for a security scanner to keep the security data up to date. A security scanner can only know which software packages have vulnerabilities or how to verify for network exploits when it gets the security data from somewhere. For this reason, vendors must publish security data with OVAL - Open Vulnerability and Assessment Language - for example. This way security scanners can use this data to verify system/network for security issues.

To sync the security feeds on OpenVAS you can use the gvm-feed-update command, this will fetch the security data from Greenbone.

$ sudo gvm-feed-update

Start the openvas services

There is a gvm-start script, this will start the required services and start the web browser to the openvas login url: https://127.0.0.1:9392. This script needs to be executed as root.

For this reason, I just enable/start the required systemd services.

$ sudo systemctl start gvmd ospd-openvas
$ sudo systemctl enable gvmd ospd-openvas
Created symlink /etc/systemd/system/multi-user.target.wants/gvmd.service → /lib/systemd/system/gvmd.service.
Created symlink /etc/systemd/system/multi-user.target.wants/ospd-openvas.service → /lib/systemd/system/ospd-openvas.service.

$ sudo systemctl enable greenbone-security-assistant

Created symlink /etc/systemd/system/gsad.service → /lib/systemd/system/greenbone-security-assistant.service.
Created symlink /etc/systemd/system/multi-user.target.wants/greenbone-security-assistant.service → /lib/systemd/system/greenbone-security-assistant.service.
                                                                                
┌──(staf㉿kali)-[~]

First login

gsa login

If you rebooted your system or just started the services, you might need a few minutes to let the services startup.

Have fun!

28 Feb 2021 4:52pm GMT

26 Feb 2021

feedPlanet Grep

Lionel Dricot: La sculptrice et le regret du créateur.

À la mémoire de Gilberte De Windt, décédée en février 2021

Fin février 2020, je décidai, sur un coup de tête, d'appeler un numéro trouvé dans l'annuaire. Celui de la sculptrice Gilberte De Windt.

Mon épouse et moi l'avions rencontrée lors de ses expositions. Nous étions tombés amoureux de ses statues comme de sa personnalité. Cette vieille dame au corps frêle, mais à l'esprit incroyablement agile nous avait charmés par la finesse de son art. Nous avions sympathisé et beaucoup discuté.

Au téléphone, de but en blanc, je lui annonçai que nous souhaitions acquérir une de ses œuvres. Avec une incroyable gentillesse, elle nous invita à venir visiter son atelier.

Nous passâmes une après-midi passionnante en compagnie de son mari, Guy Berbé, artiste peintre de renom. Alors que mon épouse discutait peinture avec Guy, dans son incroyable atelier, je parlais inspiration, méditation et création avec Gilberte. Par le plus grand des hasards, nous étions tous deux en train de lire le même livre de Steven Laureys, « La méditation, c'est bon pour le cerveau ». Curieux, je tentais de m'inspirer des techniques de Gilberte pour apprendre à sculpter les mots comme elle la matière.

L'entente entre nos deux couples fut immédiate et nous convînmes de nous revoir régulièrement. Mon épouse et moi hésitions entre deux sculptures et, pour tout avouer, le budget nous faisait un peu frémir. Il s'agissait d'un pur coup de cœur irrationnel, une hérésie économique.

Deux semaines plus tard, le confinement commençait. Les enfants furent rapidement déscolarisés et nos priorités furent bouleversées.

Cependant, cette rencontre m'obsédait. J'en rêvais. Je me demandais comment allaient Gilberte et Guy. Je me rendais compte que les visiter n'était plus imaginable en ces temps de confinement. J'en souffrais, car nous avions fait la promesse de revenir. Je prenais également conscience que si l'esprit de Gilberte était brillant, son corps n'était pas immortel. Un pressentiment me hantait.

C'est avec stupeur que je découvris, presque un an jour pour jour après notre après-midi partagé, un message m'annonçant son décès. Un an que, comme beaucoup, je n'ai pas vu passer. Qui s'est envolé, emportant Gilberte avec lui. Je regarde avec tendresse la photo où elle pose près de la statue préférée de notre fils. J'ai une pensée pour Guy, son mari. Je n'ose pas l'avouer, mais je suis triste. Qui suis-je pour prétendre à la tristesse, moi qui ne les ai rencontrés que quelques fois ?

Si ce décès est naturel, dans l'ordre des choses, je ne peux m'empêcher de penser à cette dame qui, comme elle le racontait elle-même, a mené plusieurs vies fort différentes. Elle ne se mit à la sculpture qu'après sa retraite de l'enseignement ! À travers ses statues, elle transmettra pour toujours un mouvement, une finesse, une énergie aux générations à venir.

Égoïstement, je maudis cette pandémie pour avoir empêché que je passe plus de temps avec Gilberte, que je la connaisse mieux. Je suis heureux de cette après-midi lumineuse dans sa maison, son atelier. C'est un souvenir impérissable. J'aurais tant aimé la rencontrer plus tôt.

J'ai le regret de ne pas avoir pu lui acheter une statue. Secrètement, je rêvais de trouver chez moi un écrin merveilleux, d'inviter Gilberte pour lui montrer, pour lui rendre la pareille et lui faire découvrir mon atelier d'écriture orné de son œuvre. Pour lui expliquer qu'elle m'avait enseigné qu'un manuscrit est comme une de ses sculptures en terre. Un matériau de base qui doit ensuite passer par tout un processus, qu'elle nous a décrit en détail, avant de devenir la statue en bronze qu'est le livre final.

Mon atelier d'écriture n'existe pas encore et je n'ai pas de statue de Gilberte. Je n'ai plus que son souvenir.

Au fond, j'ai la chance rare de l'avoir rencontrée et de garder avec moi le souffle d'inspiration qu'elle m'a donné. Lorsque j'ai l'impression de devenir trop vieux pour être créatif, lorsque je réalise que les jeunes artistes talentueux du moment sont plus jeunes que moi, je repense souvent à son expérience, à l'admiration que j'ai éprouvée lorsqu'elle m'a confié l'importance pour elle de continuer à apprendre chaque jour, lorsque j'ai compris l'énergie qu'elle mettait dans une création.

C'est peut-être pour ça que je souhaitais tant avoir une statue de Gilberte à proximité de ma machine à écrire. Parce que ses personnages longilignes caractéristiques me rappellent les regards que nous avons échangés dans son atelier, parce qu'ils m'ancrent dans le désir de création matérielle qu'elle avait sublimé et qui m'échappe trop souvent. Parce qu'en une seule après-midi chez elle, elle a eu une influence notable sur ma vision de la création.

Merci, Gilberte, et bonne chance pour les prochaines de tes nombreuses vies, celles qui apparaissent chaque fois qu'un regard se pose sur l'une de tes nombreuses œuvres.

Salut l'artiste !

Je suis @ploum, ingénieur écrivain. Abonnez-vous par mail ou RSS pour ne rater aucun billet (max 2 par semaine). Je suis convaincu que Printeurs, mon dernier roman de science-fiction vous passionnera. Commander mes livres est le meilleur moyen de me soutenir et de m'aider à diffuser mes idées !

>

Vérifiez votre boite de réception ou votre répertoire d'indésirables pour confirmer votre abonnement.

Ce texte est publié sous la licence CC-By BE.

26 Feb 2021 12:42pm GMT

Dries Buytaert: The road back to the office

I've now been living at work working from home for almost one year.

Before the pandemic, I often spent three hours a day commuting. Now, I'm using these three hours to spend more time with family, become more successful at my job, and work out more. For those reasons, I prefer not to return to an office.

Many aspects of work function much better when people are face-to-face. In addition, I miss the in-person interactions with my colleagues and the camaraderie that comes from working together in person. For those reasons, I can't wait to go back to the office.

Given that I really like both, my personal preference is for work to be "hybrid". Do individual work from home, but go into an office for collaborative work.

Not everyone experiences the same advantages and disadvantages. My personal preference isn't necessarily best for everyone. As an employer, the pandemic has helped me better understand that people's life routines can be very different. For some, working from home has a negative impact on motivation, productivity and mental health. For others, it has been very positive and more productive.

I wouldn't be surprised if 1/3 would prefer not to return to an office, 1/3 would like to go back to the old normal, and the remaining 1/3 would like a hybrid approach where they can work from home a few days a week.

In the coming months, employers will be revisiting their "Work From Home" policies. In turn, employees will need to decide if they can align and readjust to their employer's updated policy. There are a lot of complexities to think through, both for employers and employees alike.

In the end, people will be more thoughtful about the workplace arrangement that best fits their life. On one hand, that is healthy. On the other hand, many people don't have the privilege to choose. The privileged will likely get more privileged (myself included).

I hope that we approach this workplace transformation with an open mind, empathy, and equity. It's important to consider how both corporate policies and individual choices impact people.

26 Feb 2021 11:14am GMT

Dries Buytaert: Composable Commerce

I discussed the Composable Commerce trend with Kelly Goetsch, the Chief Product Officer of commercetools. Composable architectures allow you to build the best possible commerce solution with the best possible shopping experience.

26 Feb 2021 11:00am GMT

Dries Buytaert: Acquia a leader in the 2021 Forrester Wave for Agile Content Management Systems

Acquia was named a Leader in The Forrester Wave for Agile Content Management Systems, Q1 2021.

Acquia shown as a Leader together with Adobe and Optimizely

This research replaces Forrester's Wave on Web Content Management Systems. The focus is now on "agile content management" instead of "web content management". This change makes sense given the way people consume content today. Because consumers shift between channels when researching a brand or product, organizations need a back end that can support different end points (e.g. web, mobile, kiosks, voice assistants, etc).

The analysts note: The [Acquia] platform shined in developer and practitioner tooling, with superior capabilities in front-end components and backend extensibility of the platform..

26 Feb 2021 10:18am GMT

25 Feb 2021

feedPlanet Grep

Frank Goossens: Contact Form 7 update breaks Autoptimize JS optimization: workaround

Due to a recent major change in Contact Form 7's frontend JavaScript Autoptimize users might have to add wp-includes/js/dist the comma-separated JS optimization exclusion list.

It is nice CF7 gets rid of the jQuery dependancy, but I'm not sure is replacing that with a significant amount of extra WordPress blocks JS-files was such a good idea?

Possibly related twitterless twaddle:

25 Feb 2021 7:37pm GMT

19 Feb 2021

feedPlanet Grep

Xavier Mertens: [SANS ISC] Dynamic Data Exchange (DDE) is Back in the Wild?

I published the following diary on isc.sans.edu: "Dynamic Data Exchange (DDE) is Back in the Wild?'":

DDE or "Dynamic Data Exchange" is a Microsoft technology for interprocess communication used in early versions of Windows and OS/2. DDE allows programs to manipulate objects provided by other programs, and respond to user actions affecting those objects. FOr a while, DDE was partially replaced by Object Linking andEmbedding (OLE) but it's still available in the latest versions of the Microsoft operating system for backward compatibility reasons. If fashion is known to be in a state of perpetual renewal, we could say the same in the cybersecurity landscape. Yesterday, I spotted a malicious Word document that abused this DDE technology… [Read more]

The post [SANS ISC] Dynamic Data Exchange (DDE) is Back in the Wild? appeared first on /dev/random.

19 Feb 2021 10:59am GMT

Xavier Mertens: myMail Manages Your Mailbox… in a Strange Way!

myMail is a popular (10M+ downloads!) alternative email client for mobile devices. Available for iOS and Android, it is a powerful email client compatible with most of the mail providers (POP3/IMAP, Gmail, Yahoo!, Outlook, and even ActiveSync). Recently, I was involved in an incident that was related to a malicious usage of myMail. I had a closer look at the application, how it works and found something weird…

[Note: I tested the Android version of this app, iOS was not tested and I don't know if it behaves in the same way]

I installed the version 6.4.0.24788 on an lab Android device. This device is configured to use a BurpSuite instance to log and inspect all the HTTP traffic. As usual, for the Android ecosystem, many permissions are requested by the application, besides the classic one (access to contacts, Internet, storage, …), those ones look more suspicious:

android.permission.REQUEST_INSTALL_PACKAGES Allows an application to request installing packages.
android.permission.WRITE_CONTACTS Allows an application to change contacts

Once you installed the application on your device, it's time for the basic configuration. This is a pretty straightforward process: You enter your credentials (email address + password) and the application takes care of everything for you (if your email platform supports autodiscovery services).

Now that you entered your email and password, you can consider them as lost because myMail will send them to the backend architecture:

GET /cgi-bin/auth?Password=XXXXXXXX&mobile=1&mob_json=1&simple=1&useragent=android&Login=johndoe%40pwn3d.be&Lang=en_GB&mp=android&mmp=mail&DeviceID=9ff695be583a7eb72048dbe5e321189a&client=mobile&DeviceInfo=%7B%22playservices%22%3A%2211400000%22%2C%22Timezone%22%3A%22%2B0100%22%2C%22OS%22%3A%22Android%22%2C%22DeviceName%22%3A%22samsung%20GT-S7275R%22%2C%22Device%22%3A%22GT-S7275R%22%2C%22AppVersion%22%3A%22com.my.mail6.4.0.24788%22%7D&idfa=f70118e8-2e56-4e75-aa3e-8ab003c1ce24&appsflyerid=1613031754648-6863156579261663340&current=google&first=google&md5_signature=be20216f2b3114b37c3c6a6977d04f89 HTTP/1.1
User-Agent: mobmail android 6.4.0.24788 com.my.mail
Host: aj-https[.]my[.]com
Connection: close
Accept-Encoding: gzip, deflate

Indeed, the application does not talk directly to your mail server but uses the my.com cloud infrastructure to take care of all email-related communications. The mobile app is just a client for the API and all traffic happens over HTTPS. This technique is used to provide the "push services":

Once configured, the app will poll the myMail cloud for messages:

GET /api/v1/messages/status?prefetch=1&sort=%7B%22type%22%3A%22id%22%2C%20%22order%22%3A%22desc%22%7D&snippet_limit=183&last_modified=1613681670&folder=0&offset=0&limit=20&email=johndoe%40pwn3d.be&token=1600745569219451055721945105573116678049%3A510f584c63015605190504070904050007020a01040003000406010403000000040200090c0d06030006030102090403XXXXXXXXXXXXXXXX&htmlencoded=false&mp=android&mmp=mail&DeviceID=9ff695be583a7eb72048dbe5e321189a&client=mobile&playservices=11400000&os=Android&os_version=4.2.2&ver=com.my.mail6.4.0.24788&vendor=samsung&model=GT-S7275R&device_type=Smartphone&country=GB&language=en_GB&timezone=%2B0100&device_name=samsung%20GT-S7275R&idfa=f70118e8-2e56-4e75-aa3e-8ab003c1ce24&device_year=2011&connection_class=MODERATE&current=google&first=google&appsflyerid=1613031754648-6863156579261663340&reqmode=fg&ExperimentID=Experiment_simple_signin&isExperiment=false&md5_signature=e29d6417e6ab8e90eabab6bdc5096c9e HTTP/1.1
Accept-Encoding: gzip, deflate
User-Agent: mobmail android 6.4.0.24788 com.my.mail
Cookie: Mpop=1613681611:510f584c630156051905000017031f051c054f6c5150445e05190401041d5b56585955565c19XXXXXXXXXXXXXXXX:johndoe@pwn3d.be:;domain=my.com
Host: aj-https[.]my[.]com
Connection: close

Because all the traffic is passing through the cloud, your attached files are also stored on their infrastructure. Here is an example of file download:

GET /cgi-bin/readmsg/cacert.cer?rid=354637854942502553472181455302888008800&&id=16130393950000000005;0;0&notype=1&notype=1&mp=android&mmp=mail&DeviceID=9ff695be583a7eb72048dbe5e321189a&client=mobile&playservices=11400000&os=Android&os_version=4.2.2&ver=com.my.mail6.4.0.24788&vendor=samsung&model=GT-S7275R&device_type=Smartphone&country=GB&language=en_GB&timezone=%2B0100&device_name=samsung%20GT-S7275R&idfa=f70118e8-2e56-4e75-aa3e-8ab003c1ce24&device_year=2011&connection_class=MODERATE&current=google&first=google&appsflyerid=1613031754648-6863156579261663340&reqmode=bg&ExperimentID=Experiment_simple_signin&isExperiment=false&md5_signature=3b75207d6ed3ff58fbbf874a2f13bebb HTTP/1.1
Accept-Encoding: gzip, deflate
User-Agent: mobmail android 6.4.0.24788 com.my.mail
Cookie: Mpop=1613681611:510f584c630156051905000017031f051c054f6c5150445e05190401041d5b56585955565c19XXXXXXXXXXXXXXXX:johndoe@pwn3d.be:;domain=my.com
Host: af[.]attachmy[.]com
Connection: close

But the worst has to come…

Once I completed my investigations, I first un-configured my test account. Before, I performed a proper logout:

GET /cgi-bin/logout?mp=android&mmp=mail&DeviceID=9ff695be583a7eb72048dbe5e321189a&client=mobile&playservices=11400000&os=Android&os_version=4.2.2&ver=com.my.mail6.4.0.24788&vendor=samsung&model=GT-S7275R&device_type=Smartphone&country=GB&language=en_GB&timezone=%2B0100&device_name=samsung%20GT-S7275R&idfa=f70118e8-2e56-4e75-aa3e-8ab003c1ce24&device_year=2011&connection_class=GOOD&current=google&first=google&appsflyerid=1613031754648-6863156579261663340&reqmode=fg&ExperimentID=Experiment_simple_signin&isExperiment=false&md5_signature=11f4aa0e644d79f8cadfb4aa0cd3b2e5 HTTP/1.1
Accept-Encoding: gzip, deflate
User-Agent: mobmail android 6.4.0.24788 com.my.mail
Cookie: Mpop=1613681611:510f584c630156051905000017031f051c054f6c5150445e05190401041d5b56585955565c195XXXXXXXXXXXXXXXX:johndoe@pwn3d.be:
Host: aj-https[.]my[.]com
Connection: close

While checking my mail server logs later, I saw this:

Feb 18 21:27:48 marge dovecot: imap-login: Login: user=, method=PLAIN, rip=185.30.176.168, lip=192.168.255.13, mpid=5140, TLS, session=<0JtFK6K7+7C5HrCo>
Feb 18 21:27:49 marge dovecot: imap(johndoe): Logged out in=275 out=1145

The my.com cloud infrastructure is still connecting to the mail account at regular intervals! Connections are coming from two /24:

The next step was to kill the app still running on the phone (but unconfigured). Same effect, polling was (and is still now) ongoing.

Once authenticated, my.com keeps a session with the mail server to fetch new emails. In my lab, it was a simple IMAP server:

root@marge:/var/tmp# net stat -anp |egrep "185\.30\.[76]*"
tcp 0 0 192.168.255.13:993 185.30.177.72:32735 ESTABLISHED 27234/dovecot/imap-

Let's switch our cap now and try to think like an attacker. myMail can also be very interesting because you can test credentials belonging to your target without any connection directly from your network/devices! The application can be used as a "proxy". In the case I was involved, one of the user who was detected as a myMail user never installed the application! This is perfect to monitor / steal data from your victim's mailbox which leaving artefacts.

Conclusion: from a user's experience, myMail is a nice application to handle multiple mailboxes, especially when you don't have a built-in push notification service but, if you use it in a corporate environment, you should keep in mind that they have ALL your data in their hands! By the way, my.com is an international subsidiary of mail.ru, which provides the well-known mail service with the same name. The application code is also full of Java classes like "ru/mail/mailapp/DTOConfigurationImpl.java" with references to mail.ru URLs:

The post myMail Manages Your Mailbox… in a Strange Way! appeared first on /dev/random.

19 Feb 2021 10:53am GMT

18 Feb 2021

feedPlanet Grep

Frank Goossens: Autoptimize Image Optimization to be less “lazy” with pictures

Up until now Autoptimize, when performing image optimization, relies on JS-based lazyloading (with the great lazysizes component) to differentiate between browser that support different image formats (AVIF, WebP and JPEG as fallback).

As JS-based Lazyload is going out of fashion though (with native lazyload being supported by more browsers and WordPress having out-of-the-box support for it too), it is time to start working on <picture> output in Autoptimize to serve "nextgen image formats" where different <source> tags offer the AVIF and WebP files and the <img> tag (which includes the loading="lazy" attribute) with JPEG as fallback.

For now that functionality is in a separate "power-up", available on Github. If you have Image Optimization active in Autoptimize (and you are on the Beta version, Autoptimize 2.8.1 is missing a filter which the power-up needs so download & install the Beta if not done yet), you can download the plugin Github and give it a go. All feedback is welcome!

Possibly related twitterless twaddle:

18 Feb 2021 6:04pm GMT

Dries Buytaert: Facebook unfriends Australia

Facebook social decay© Andrei Lacatusu

In response to a proposed law that requires technology companies to pay Australian publishers for linking to their news articles, Facebook made the sudden decision to restrict people and publishers from sharing news in Australia.

Facebook struggles to silence misinformation for years, but succeeds in silencing quality news in days. In both cases, Facebook's fast and loose approach continues to hurt millions of people ...

Social media platforms, news publishers, governments and internet users have been stuck in an inadequate equilibrium for years. The silver lining is that conflict is often necessary for driving positive changes.

My preferred outcome is that Australians "unfriend" Facebook, and switch back to reading real new websites.

18 Feb 2021 9:14am GMT

17 Feb 2021

feedPlanet Grep

Lionel Dricot: Et si les conspirationnistes avaient raison ?

De la nocivité des ondes à la bouffe bio et aux réseaux pédophiles, de la politique de la crise COVID à la distribution de vaccins : et si les complots étaient bien réels ? Réels mais pas tout à fait comme on les imagine.

Le complot des ondes électromagnétiques

Lorsque je me retrouve face à une personne qui me parle de la nocivité des ondes électromagnétiques, je lui demande d'abord si elle sait ce qu'est, physiquement, une telle onde. Dans la totalité des cas que j'ai vécus, la personne avoue son ignorance totale.

Une onde électromagnétique n'est qu'une série de particules, appelées photons, qui voyagent en vibrant à une certaine fréquence. Pour une certaine plage de fréquence, les photons deviennent visibles. On appelle cela… la lumière. Il y'a d'autres fréquences que nous ne voyons pas : l'infrarouge, l'ultraviolet et, bien entendu, les ondes radio.

Les ondes radio sont tellement difficiles à détecter qu'il est nécessaire de fabriquer des antennes particulièrement sophistiquées pour les capter. Antennes qui équipent nos téléphones.

Les ondes électromagnétiques peuvent être absorbées. L'énergie de leur vibration se transforme alors en chaleur. Pour vous en convaincre, il vous suffit de vous promener sous la plus grande source électromagnétique à notre disposition : le soleil. Les ondes émises par le soleil vous réchauffent. À trop grandes doses, elles peuvent même vous brûler. C'est le fameux « coup de soleil ». C'est également le principe qu'utilise votre four à micro-ondes, qui envoie des ondes à une fréquence dont l'énergie se transmet particulièrement bien à l'eau. C'est pour cela que votre four reste froid : il ne réchauffe que l'eau.

Les ondes électromagnétiques qui possèdent une très grande quantité d'énergie peuvent faire sauter un électron de l'atome qu'elles vont toucher. Cet atome est ionisé. Si un trop grand nombre d'atomes de notre ADN est ionisé, cet ADN ne pourra plus être réparé et cela peut induire des cancers. Il faut bien entendu une exposition longue, répétée à une source très puissante.

Par exemple le soleil. Responsable de nombreux cancers de la peau. Ou bien les rayons X, utilisés pour faire des radiographies médicales. L'avantage des ondes à très haute énergie, c'est qu'elles interagissent avec la première chose qu'elles touchent et qu'elles sont donc arrêtées facilement. C'est pour ça qu'il y'a des petits rideaux de caoutchouc plombé sur le tapis à rayons X  des aéroports. Ces protections servent essentiellement à protéger les employés qui, sans cela, seraient exposés en permanence aux rayons X. Pour le voyageur qui ne fait que passer deux fois par an, c'est bien moins essentiel.

En ce sens, les antennes GSM sont un peu comme des phares. Ils émettent des rayons électromagnétiques de la même façon. Seule la fréquence est différente.

Si un phare peut éblouir voire même brûler si on s'approche à quelques centimètres, personne n'ose imaginer que l'exposition à un phare puisse provoquer des cancers ou être nocive. De même pour votre routeur wifi : il n'émet pas plus d'énergie que votre ampoule halogène.

S'inquiéter de l'impact des ondes électromagnétiques semble donc absurde. Même si on venait à découvrir que certaines fréquences très précises pouvaient avoir un effet délétère, nous sommes dans un bain permanent d'ondes électromagnétiques depuis l'aube de l'humanité. Il est donc raisonnable de penser que tout impact actuellement inconnu, si un tel impact existe, est anecdotique.

Pourtant, je pense que les « anti-ondes » ont raison.

Les ondes sont nocives. Non pas parce qu'elles sont des ondes, mais à cause de l'usage que nous en faisons. Aujourd'hui, nous sommes en permanence hyperconnectés. Nos téléphones bruissent de notifications indésirables que nous ne savons pas désactiver. Nos maisons regorgent de petites lampes qui clignotent pour nous dire que le réseau est actif, que la tablette recharge. Quand je dors dans une chambre d'hôtel, je dois démonter la télévision pour accéder au routeur caché derrière et le débrancher. Non pas à cause des ondes, mais parce que je ne supporte pas ces lumières vertes clignotantes dans l'obscurité, lumière agrémentée de l'insupportable œil rouge luisant de la télévision en veille.

Comment ne pas être stressé à l'idée des millions de bits qui nous transperce en permanence pour aller notifier notre voisin de restaurant qu'une nouvelle vidéo YouTube est disponible ? Comment dormir en sachant toute cette activité qui nous traverse ? Les expériences ont montré que la sensibilité électromagnétique est belle et bien réelle. Que les gens en souffrent. Mais qu'elle n'est pas causée par la présence d'ondes électromagnétiques. Elle est causée par la croyance qu'il y'a des ondes électromagnétiques.

Les anti-ondes ont intuitivement perçu le problème. Avant de l'assigner à une raison qui n'est pas sous leur contrôle.

D'une manière générale, toutes les théories conspirationnistes sont des constructions basées sur un problème très juste. Problème auquel on a créé une cause artificielle absurde ou exagérée, cause qui symbolise et personnifie le problème afin d'avoir l'impression de le comprendre.

C'est pour cela que prouver l'absurdité d'une théorie du complot ne fonctionne pas. Le complot existe généralement réellement. Mais il est beaucoup trop simple, banal. Ce qui donne un sentiment d'impuissance. En lui donnant un nom, on se crée un ennemi identifié et la possibilité d'agir, de le combattre activement.

Le complot du deep state

Selon la légende, Dame Carcas libéra la ville de Carcassonne, assiégée par Charlemagne depuis cinq ans. La population mourant de faim, Dame Carcas eut l'idée de prendre le dernier porc de la ville, de nourrir avec le dernier sac de blé avant de le jeter du haut des remparts sur les assaillants. Ceux-ci se dirent que si la ville pouvait se permettre de balancer un porc nourri au blé, c'est qu'elle avait encore de nombreuses ressources et qu'il était préférable de lever le siège. Charlemagne ne se posa pas la question de savoir comment la ville pouvait avoir encore autant de ressources après cinq années de siège. Alors que les troupes s'éloignaient, Dame Carcas fit sonner les cloches de la ville qui en tirera désormais son nom : Carcas sonne !

La plupart des théories du complot se heurtent à un problème fondamental : leur réalité implique des milliers de spécialistes de domaines extrêmement différents travaillant dans le secret le plus total au sein d'une organisation incroyablement parfaite et efficace qui ne ferait jamais la moindre erreur. Or, il suffit d'ouvrir les yeux pour voir que dès que trois personnes travaillent ensemble, l'inefficacité est la loi.

Pour vous en convaincre, il vous suffit de regarder des films d'espionnage. L'histoire est toujours là même : un service ultra-secret de contre-espionnage lutte contre une organisation ultra-secrète d'espionnage qui cherche à accomplir son rôle en mettant au grand jour le service de contre-espionnage, qui s'engage donc dans une lutte de contre-contre-espionnage. C'est particulièrement marquant dans les « Missions Impossibles » ou dans la série Alias. Un peu de recul permet de se rendre compte que toutes ces organisations… ne servent strictement à rien. Même les scénaristes, spécialistes de la fiction, n'arrivent pas à trouver des idées pour justifier l'existence de telles organisations. On parachute alors artificiellement un terroriste qui veut faire sauter une bombe nucléaire, afin de camoufler légèrement la fatuité du scénario.

La réalité des services d'espionnage est tout autre. Des fonctionnaires qui, pour justifier leur budget et l'existence de leurs nombreux emplois, vont jusqu'à inventer des complots (un truc qui revient aussi dans Mission Impossible). Contrairement à Tom Cruise, les milliardaires surpuissants et les espions sont des humains qui mangent, dorment, font caca et se grattent les hémorroïdes. Ils font des erreurs de jugement, se laissent emporter par leur idéologie et leur sentiment de toute-puissance.

Et oui, ils tentent de favoriser leurs intérêts, même de manière illégale ou immorale. Cela consiste essentiellement à tenter de convaincre le monde d'acheter leur merde (le marketing), de commettre des délits d'initiés sur les plateformes boursières et de financer du lobbying politique pour que les lois soient en leur faveur. Là se trouvent les véritables complots, les véritables scandales qui ne requièrent la complicité que de quelques personnes, qui ne nécessitent pas de compétence ou de technologie particulière et qui ne sont, la plupart du temps, même pas secrets du tout !

La plupart des innovations secrètes de la guerre froide n'étaient que des canulars qui servaient à effrayer le camp adverse : rayons de la mort, rayon de contrôle des esprits, contacts extra-terrestres. D'ailleurs, les innovations réelles étaient tout sauf secrètes. La bombe nucléaire, la conquête spatiale, l'informatique et les prémices d'Internet. Comme le cochon de Dame Carcas, tout était entièrement public et les seules choses vraiment secrètes étaient ce qui n'existait pas, dans une tentative d'intoxication informationnelle.

Dans certains cas, la recherche des services secrets mènera à quelques rares avancées réelles. Ce fut par exemple le cas de Clifford Cocks qui inventa la cryptographie asymétrique en 1973 pour le compte des services secrets anglais. Malheureusement, cette invention purement théorique ne pouvait être mise en pratique sans un développement que Cocks ne pouvait réaliser seul. Elle fut dont jetée aux oubliettes avant que le concept ne soit redécouvert de l'autre côté de l'Atlantique, 3 ans plus tard, par Diffie, Hellman et Merkle qui la publieront et lanceront les bases d'une nouvelle science : la cryptographie informatique. Une fois encore l'histoire démontre que rien n'est réellement possible dans le secret et l'isolement. Le mythe de l'entrepreneur scientifique solitaire fonctionne dans les romans d'Ayn Rand (quand c'est un bon) et Ian Flemming (quand c'est un mauvais), pas dans la réalité.

La notion de « Deep state » ou d'élites secrètes prenant les décisions est plus rassurante que la vérité selon laquelle, oui, nos dirigeants sont corrompus, mais tout simplement comme des humains, pour favoriser leurs petits intérêts personnels en lieu et place de l'intérêt général. Le tout, en faisant des erreurs et en tentant de se justifier moralement que leur profit est bien pour l'intérêt général (comme la théorie du ruissellement des richesses ou l'idée selon laquelle la richesse se mérite). Les complots existent, mais ils sont petits, mesquins et pas particulièrement secrets.

Le complot des vaccins

L'idée d'un vaccin avec des puces pour nous surveiller ou des chemtrails pour contrôler nos esprits (technologies qui semblent complètement impossibles dans l'état actuel de nos connaissances et qu'il serait donc particulièrement difficile de développer en marge de la communauté scientifique, dans le secret le plus total) nous sert à oublier que nos téléphones nous surveillent déjà très bien et fournissent plus de données que ne peuvent en exploiter les gouvernements, que la télévision nous abrutit parfaitement, et que nous avons choisi de les utiliser, que personne ne nous a jamais forcés.

De même, les anti-vaccins pointent, avec justesse, le fait que l'oligopole pharmaceutique a un intérêt commercial évident à ce que nous soyons le plus possible malade pour consommer le plus de médicaments. Qu'à travers les brevets, l'industrie pharmaceutique privatise d'énormes budgets publics pour les transformer en juteux profits, parfois au détriment de notre santé. Mais il est difficile de se passer des médicaments. Il est donc plus simple d'attaquer les vaccins, médicaments dont la procédure est impressionnante (une piqure) et qui ont, à très court terme, un effet néfaste (fièvre ou durillon). Pire, on ne perçoit jamais l'utilité d'un vaccin. Si un vaccin fonctionne, on se dira toute sa vie qu'il n'était pas nécessaire… Et qu'on a été victime d'un complot.

Le vaccin, qui est probablement la plus belle invention de l'humanité en ce qui concerne le confort et l'espérance de vie, sert donc très injustement d'étendard à l'intuitif conflit d'intérêts et à la rapacité (réelle) de l'industrie pharmaceutique. La plupart des médicaments sont beaucoup moins efficaces que ce qu'ils prétendent, ils sont vendus à grands coups de marketing. Le simple fait que les devantures de pharmacie soient transformées en gigantesques panneaux publicitaires est un scandale en soi. Les vaccins sont peut-être l'exception la plus sûre, la plus bénéfique et la plus surveillée. Mais c'est aussi intuitivement la plus facile à critiquer.

Et ces critiques sont parfois nécessaires : les vaccins étant peu rentables (on ne les prend qu'une fois dans sa vie), l'industrie pharmaceutique tente de les faire développer sur des fonds publics à travers les universités avant de s'arroger tous les bénéfices en les revendant très cher aux états… qui ont financé leur mise au point ! L'université d'Oxford avait d'ailleurs annoncé son souhait de mettre son vaccin COVID dans le domaine public, sur le modèle de l'Open Source, avant de se raviser sous, à ce qu'il parait, la pression de la fondation Bill Gates. Un complot qui, sans remettre en cause la qualité du vaccin, me semble parfaitement plausible et réaliste. À  croire que les complots absurdes comme les puces 5G dans les vaccins sont inventés exprès pour décrédibiliser la moindre des critiques et nous détourner des véritables problématiques. À noter que la fondation Bill Gates joue un rôle positif prépondérant dans l'éradication de la polio. Rien n'est jamais parfaitement noir ni blanc. Le monde est complexe.

Le complot des réseaux pédophiles

Pour faire une bonne théorie du complot, il suffit donc de reprendre les souffrances réelles, de les amalgamer avec une histoire séduisante et choquante. Un exemple parmi tant d'autres est la persistance des théories de réseaux pédophiles très sophistiqués pour les élites. Parfois mâtinée de satanisme et de cannibalisme pour le décorum.

La pédophilie est bel et bien un problème de notre société. Hélas, elle est majoritairement présente au sein des familles elles-mêmes. Les enfants sont le plus souvent abusés par un parent ou un proche de confiance (comme l'ont souvent été les prêtres). Mais imaginer qu'un oncle ou un père puisse violer un enfant de sa propre famille est tellement affreux que nous rejetons la faute sur les ultra-riches. Ultra-riches qui ne font qu'ajouter de l'huile sur le feu en ayant parfois une sexualité débridée par un sentiment d'impunité, sentiment exacerbé par une culture machiste du viol menant parfois réellement à la pédophilie comme les affaires Weinstein ou Polanski.

Le traumatisme de l'affaire Dutroux en Belgique s'explique en partie, car il est difficile d'admettre qu'un pauvre type complètement malade puisse tout simplement enlever des gamines dans sa camionnette et les planquer dans sa cave. Que son nom était bien sur la liste des suspects, mais que la lenteur de la police à le démasquer s'explique essentiellement par l'application aveugle des procédures administratives en vigueur à l'époque, procédures ralenties par certains conflits de pouvoir au sein de la hiérarchie (ce qui a conduit, d'ailleurs, à une refonte complète de la police en Belgique). Il y'a un certain réconfort à imaginer que le crime n'est pas juste une série de malchances et de mesquineries administratives, mais bien la volonté d'une organisation toute puissante impliquant jusqu'à la famille royale.

Les complots de la juiverie internationale et de QAnon

Les théories du complot sont généralement l'illustration d'une perte de confiance justifiée envers les garants de la moralité et de l'autorité. Elles fleurissent le plus souvent en période de désarroi profond. La misère économique des années 30, juste après le krach boursier, permettra de mettre en avant la théorie séculaire de la cabale juive avec les conséquences que l'on sait en Allemagne. Je ne peux d'ailleurs m'empêcher de vous recommander l'excellent « Le cimetière de Prague », d'Umberto Eco, pour une illustration romancée de cette cabale.

La crise financière de 2008 n'échappe pas à la règle. Sur ses cendres naitront Donald Trump et QAnon qui n'ont, d'un point de vue historique, aucune originalité. Tout semble être, à la lettre près, issu des théories complotistes du passé.

Des thèses absurdes, mais avec, encore une fois, une intuition d'un problème très juste. Le problème de l'existence de l'industrie de la finance. Comment se fait-il qu'une industrie qui ne semble produire rien de concret pour les citoyens lambdas, qui génère des milliards, qui semble rendre chacun de ses membres millionnaires, comment se fait-il que cette industrie aux pratiques incompréhensibles reçoivent autant d'argent du gouvernement lors d'une difficulté qu'elle a elle-même créé ? Comment se fait-il que, dans ce qui se présente comme une démocratie, le principal facteur pour arriver au pouvoir soit la richesse ? Comment se fait-il que tous nos meilleurs cerveaux issus des écoles d'ingénieurs, de science ou d'administration soient recrutés dans le domaine de la finance ?

À ce sujet, je conseille le magnifique discours de Fabrice Luchini (préparé, mais jamais déclamé) dans le film « Alice et le maire ». Un film qui illustre de manière très réaliste les dessous de la politique : des gens stressés, qui enchainent les réunions et qui n'ont plus le temps de penser. Comment voulez-vous que ces organisations dont la vision à long terme relève de la prochaine élection puissent sérieusement mettre en place des complots d'envergure ?

Le complot de la malbouffe

Les théories du complot ne peuvent que diviser. Les intuitifs savent qu'elles représentent un problème réel. Les rationnels peuvent démontrer qu'elles sont absurdes et en viennent à nier l'existence du problème initial. Les deux camps ne peuvent donc plus se parler. Les comportements sensés et absurdes se mélangent.

Entrez dans un magasin de nourriture bio et vous serez abasourdi par le fatras de concepts dont une simple boîte de conserve peut se revendiquer.

Votre boîte est « bio ». Cela signifie qu'elle a reçu un label comme quoi elle utilisait une quantité limitée de certains pesticides.

La démarche est rationnelle. Si la nocivité des pesticides sur l'humain n'est pas toujours démontrée, elle l'est sur le vivant. L'absorption des pesticides par le corps a été démontrée et l'hypothèse que ces pesticides puissent avoir un impact sur la santé est sérieusement étudiée.

Votre boîte est également dans un emballage « écologique ». Cela semble intuitif, mais, malheureusement, la culture biologique produit énormément plus de CO2 que la culture avec pesticide. Ceci dit, les pesticides ont également un impact environnemental non négligeable, même si ce n'est pas du CO2.

L'aliment est également garanti sans OGM. Là, cela devient plus étrange. La nature produit en effet des OGM en permanence. C'est même le principe de l'évolution. Les OGM pourraient donc être particulièrement bénéfiques, par exemple en étant plus nutritifs. Rejeter les OGM, c'est rejeter le principe du bouturage, vieux comme l'agriculture. Mais le rejet des OGM est, encore une fois, le symptôme d'un réel problème, à savoir la volonté d'apposer une propriété intellectuelle sur les semences, procédé monopolistique dangereux. La lutte anti-OGM n'est pas tant contre le principe de l'OGM lui-même (la plupart des anti-OGM ne savent d'ailleurs pas ce qu'est un OGM) qu'une défiance envers ceux qui prétendent manipuler la nourriture sans vouloir nous dire comment ni nous permettre de le faire nous-mêmes. La défiance envers l'industrie qui pratique l'OGM  est pertinente. La défiance envers le principe même de l'OGM ne l'est sans doute pas.

Enfin, il arrive que votre nourriture (ou vos produits de beauté, s'ils sont de la marque Weleda) soit issue des principes de la biodynamie. La biodynamie est un concept inventé par Rudolf Steiner, un illuminé notoire qui a décidé de réinventer la philosophie, les sciences, la médecine, l'éducation et la religion en se basant uniquement sur son intuition. Il n'y connaissait strictement rien en agriculture, mais a un jour improvisé une conférence devant une centaine d'amis, dont seule une minorité d'agriculteurs, sur la meilleure manière de cultiver. Cette conférence a été retranscrite par une sténographe, mais Steiner lui-même a dit plusieurs fois qu'il n'avait pas relu cette transcription et que sa conférence avait pour objectif d'être orale, pas écrite. Que la transcription devait comporter énormément d'erreurs. Il mourra peu après sans jamais relire ni même mentionner le terme « biodynamie » qui sera inventé par après.

Il n'empêche que cette transcription erronée d'une conférence improvisée par un non-agriculteur passionné d'occultisme et de magie sert aujourd'hui de référence à toute une industrie. Les règles sont du style : « Telle plante doit être plantée quand Mars est visible dans le ciel parce que les fleurs sont rouges et que Mars est rouge. Et il faut répandre des rats morts dans le compost durant les nuits de pleines lunes parce que ça le fait ». Tout livre ou agriculteur qui se revendique de la biodynamie aujourd'hui ne fait qu'une chose : reprendre les élucubrations sans aucune substance empirique issues de la transcription erronée d'une seule et unique conférence d'un illuminé. Bref, la définition même de la théologie. Cependant, si on supprime toute la partie ésotérique, on retrouve les fondements de l'agriculture biologique. Comme n'importe quelle religion, la biodynamie est donc loin d'avoir tout faux. Tout simplement parce que, statistiquement, avoir tout faux est aussi improbable que d'avoir tout vrai et parce que, comme le souligne Kahneman, l'intuition est souvent juste. Mais pas toujours. Ce qui est son gros problème.

Donc, en achetant de la nourriture bio, ce que je fais personnellement, je mélange le plus souvent du sensé, du pas complètement sensé et de l'absurde total.

Tout cela à cause d'un problème intuitif bien réel : on possède désormais un confort suffisant pour faire le difficile concernant notre nourriture et force est de constater qu'on bouffe de la merde. À travers le sucre et les graisses saturées, les producteurs de nourriture ne cherchent qu'à nous rendre addicts à moindre coût au mépris le plus total de notre santé. Les aliments sont manipulés pour paraitre jolis en magasin, au détriment de leur composition. Depuis des décennies, des arnaques intellectuelles, parfois promues par nos gouvernements, ont servi les intérêts industriels (par exemple le fait de boire du lait pour renforcer les os ou le principe de la pyramide alimentaire, principe sans aucun fondement scientifique). Le complot est donc bel et bien réel !

Le complot des complotistes

Nous le sentons alors nous cherchons à préserver notre santé, à diminuer nos cancers en nous protégeant des ondes électromagnétiques et en bouffant bio. Ce qui, objectivement, pourrait avoir un impact positif. Très faible, mais ce n'est pas impossible.

Mais vous savez ce qui a un impact majeur sur notre santé ?

La cigarette, les pots d'échappement de voiture, l'alcool. Supprimez ces trois-là, dont deux sont à votre portée immédiate, et cela aura un million de fois plus d'effet que de bouffer bio et de mettre son GSM en mode avion la nuit. Pour un effet maximal, diminuez également la viande rouge, cancérigène établi, et faites 30 minutes d'exercice par jour.

Ils sont là les complots qui en veulent à votre santé. Ils crèvent les yeux. C'est le lobby du tabac qui fait qu'il est légal de fumer en public, en empestant autour de soi. C'est le lobby automobile qui vous vend des SUV en vous faisant pester sur les embouteillages et en tuant les jeunes adultes inconscients qui roulent à pleine vitesse. C'est le lobby de l'alcool qui fait des cartes blanches contre le concept de « tournée minérale » en Belgique et qui subventionne les cercles étudiants, ce sont les Facebook et Google qui accaparent toute votre vie privée et mettent en place des procédés monopolistiques qui les rendent incontournables.

Nous pouvons tous lutter contre ces complots qui nous menacent directement dans notre intégrité physique et mentale. Les plus grandes causes de mortalités évitables, hors suicide, peuvent se résumer à alcool, tabac et bagnole.

Mais c'est très difficile de renoncer à sa clope, à sa bagnole et à son compte Facebook. Alors on poste contre les vaccins, contre les OGMs et contre la 5G. On manifeste contre ce qu'on ne peut pas vraiment changer. Quitte à se mettre en danger un fumant de l'herbe « bio », en buvant des alcools distillés artisanalement et en refusant les vaccins pour ses enfants. Tout en le clamant haut et fort sur Facebook.

À force de remettre en question l'autorité, on se tourne alors vers des sources d'autorités sans aucune légitimité, mais qui nous font du bien. On prétend ne pas vouloir se faire manipuler et on va se mettre dans les pattes des intérêts commerciaux des gourous, des shamans et des vendeurs de cruches qui énergétisent l'eau. Sous prétexte de ne pas vouloir obéir, on en vient à faire exactement le contraire de ce que les autorités disent, sans réfléchir au fait qu'on est encore plus facilement manipulable, comme l'enfant qui dit toujours non et à qui on dit « Ne mange surtout pas ta soupe ! ».

Si vous pensez qu'un domaine quelconque est corrompu, de l'industrie alimentaire à la recherche scientifique, vous avez probablement raison. Mais ce n'est pas contre le domaine en question qu'il faut lutter, c'est contre la corruption. L'industrie de l'alimentation biologique, celle du cannabis, celle des cristaux énergétiques et des réseaux de coaching anti-cancer astrologique sont tout aussi corrompus, tout comme l'est la politique écologique. Ils comportent une partie de gens honnêtes dilués dans une population ne cherchant qu'à vider votre portefeuille.

Le plus dur à accepter c'est que, non, on ne nous cache pas la vérité. Elle est là, devant les yeux de qui veut bien la voir. Il n'y a rien de secret, rien de mystérieux. L'intelligence moyenne reste la même, quel que soit le niveau de richesse ou de pouvoir politique. Mais cette réalité est difficile à accepter, car elle n'offre pas de réponse toute faite, parce qu'elle n'offre aucune certitude, que des probabilités, parce qu'elle va très souvent en contradiction avec nos convictions et nos actions passées. Et parce que, si le complot est le plus souvent inventé ou exagéré, la souffrance qui en résulte est elle bien réelle.

Pour aller plus loin :  complot du Covid et autres lectures

« Vaincre les épidémies », par Didier Pittet et Thierry Crouzet.

Inventeur du gel hydroalcoolique que nous utilisons désormais tous les jours, Didier Pittet est un spécialiste suisse mondialement reconnu des maladies infectieuses et des épidémies. Dans ce livre, il retrace sa découverte du Covid, sa comparaison avec les autres épidémies (H1N1, grippe aviaire) et son expérience de devenir l'expert de référence pour Macron, qui enverra un jet privé le chercher pour l'amener à une réunion de l'Élysée. Ce livre illustre donc à merveille la vision d'une personne qui fait partie du plus haut niveau de pouvoir en ce qui concerne le COVID. Au menu : incompétences à tous les niveaux de décisions, conflits politiques qui impactent des décisions qui devraient être purement scientifiques, tentatives pas souvent efficaces de manipuler l'opinion publique « dans le bon sens » à travers le marketing. Dans le COVID comme partout, les complots sont bel et bien présents, mais tellement petits, humains, mesquins…

Didier Pittet vient d'être fait Docteur honoris causa de l'université où j'enseigne l'Open Source. Ce que je salue, car, avec la formule de son gel hydroalcoolique, il est un pionnier de l'Open Source dans le domaine de la santé.

Thierry Crouzet revient sur la nécessité de créer un vaccin Open Source.


https://tcrouzet.com/2020/12/02/je-veux-la-paix-dit-le-vaccin-mais-je-fais-la-guerre/

Ce qui n'est malheureusement pas le cas, comme je l'ai raconté, à cause de la fondation Bill Gates.


https://khn.org/news/rather-than-give-away-its-covid-vaccine-oxford-makes-a-deal-with-drugmaker/

Dans son intervention, le parlementaire belge François De Smet tente de trouver un juste milieu entre les mesures anti-Covid et les libertés publiques. Loin de crier au complot, dans un sens ou dans l'autre, il milite pour un équilibre raisonnable. Cela devient tellement rare que cela mérite d'être souligné. De la même façon, il avait dénoncé les procédures entourant le marché des vaccins anti-covid tout en militant pour plus de transparence. Un politicien qui me fait plaisir. Il risque de ne pas avoir beaucoup de voix. D'ailleurs, il ne semble intéresser personne d'autre que moi.

https://francoisdesmet.blog/2021/02/05/chambre-debat-covid-et-libertes-publiques/

https://francoisdesmet.blog/2020/12/22/chambre-vaccins-et-transparence/

Bad science, un livre et une chronique qui revient sur les arnaques scientifiques de l'industrie pharmaceutique, depuis Big Pharma aux laboratoires bio/indépendants qui fournissent les compléments alimentaires « alternatifs » (je n'ai pas lu le livre, je me fie à la critique de Cory Doctorow).


https://memex.craphound.com/2010/10/19/bad-science-comes-to-the-usa-ben-goldacres-tremendous-woo-fighting-book-in-print-in-the-states/

« Le cimetière de Prague », d'Umberto Eco. Avec sa verve habituelle, Eco nous plonge dans la vie d'un faussaire obligé de créer de toutes pièces les preuves d'un complot. Jouissif.

Compte-rendu de l'incompétence des services secrets anglais


https://www.bbc.co.uk/blogs/adamcurtis/entries/3662a707-0af9-3149-963f-47bea720b460

Un très long témoignage sur comment les théories du complot nous manipulent et sur le parallèle entre la diététique « alternative », les religions et les complots politiques.


https://wisetendersnob.medium.com/this-secret-message-could-change-your-life-wellness-culture-jesus-and-qanon-cd576e53c9c8

Photo by Markus Spiske on Unsplash

Je suis @ploum, ingénieur écrivain. Abonnez-vous par mail ou RSS pour ne rater aucun billet (max 2 par semaine). Je suis convaincu que Printeurs, mon dernier roman de science-fiction vous passionnera. Commander mes livres est le meilleur moyen de me soutenir et de m'aider à diffuser mes idées !

>

Vérifiez votre boite de réception ou votre répertoire d'indésirables pour confirmer votre abonnement.

Ce texte est publié sous la licence CC-By BE.

17 Feb 2021 11:41am GMT

Dries Buytaert: Building a personal memex

Cory Doctorow is one of the most prolific bloggers in the world, capable of publishing multiple great posts a day. He recently documented his writing and publishing process. It's fascinating.

Over the last 20 years, Cory built a huge, personal database of thoughts, articles and links. He explains how his database simplifies and supports his writing process:

The memex I've created by thinking about and then describing every interesting thing I've encountered is hugely important for how I understand the world. It's the raw material of every novel, article, story and speech I write.

Inspired by Cory, I brought back the Notes section on my site. I will use Notes to document articles or ideas that grab my attention, but that I'm not ready to write a longer blog post about. I'll build my own memex with the goal to become a better writer.

17 Feb 2021 8:27am GMT

13 Feb 2021

feedPlanet Grep

Frank Goossens: Fix for Elementor 3.1 YouTube not LYTE anymore

Elementor 3.1 came with "refactored YouTube source to use YouTube API in Video widget" which resulted in WP YouTube Lyte not being able to lyten up the YouTubes any more. Below code snippet (consider it beta) hooks into Elementor to fix this regression;

add_filter( 'elementor/frontend/widget/should_render', function( $should_render, $elementor_element ) {
        if ( function_exists( 'lyte_preparse' ) && 'Elementor\Widget_Video' === get_class( $elementor_element ) ) {
                $pas = get_private_property( $elementor_element , 'parsed_active_settings');
                if ( ! empty( $pas['youtube_url'] ) ) {
                        echo lyte_preparse( $pas['youtube_url'] );
                        return false;
                }
        }

        return $should_render;
}, 10, 2 );

// from https://www.lambda-out-loud.com/posts/accessing-private-properties-php/
function get_private_property( object $object, string $property ) {
    $array = (array) $object;
    $propertyLength = strlen( $property );
    foreach ( $array as $key => $value ) {
        if ( substr( $key, -$propertyLength ) === $property ) {
            return $value;
        }
    }
}

Hat tip to Koen for his assistance in digging into Elementor, much appreciated!

Possibly related twitterless twaddle:

13 Feb 2021 5:28pm GMT

12 Feb 2021

feedPlanet Grep

Xavier Mertens: [SANS ISC] Agent Tesla Dropped Through Automatic Click in Microsoft Help File

I published the following diary on isc.sans.edu: "Agent Tesla Dropped Through Automatic Click in Microsoft Help File'":

Attackers have plenty of resources to infect our systems. If some files may look suspicious because the extension is less common (like .xsl files), others look really safe and make the victim confident to open it. I spotted a phishing campaign that delivers a fake invoice. The attached file is a classic ZIP archive but it contains a .chm file: a Microsoft compiled HTML Help file. The file is named "INV00620224400.chm" (sha256:af9fe480abc56cf1e1354eb243ec9f5bee9cac0d75df38249d1c64236132ceab) and has a current VT score of 27/59. If you open this file, you will get a normal help file (.chm extension is handled by the c:\windows\hh.exe tool)… [Read more]

The post [SANS ISC] Agent Tesla Dropped Through Automatic Click in Microsoft Help File appeared first on /dev/random.

12 Feb 2021 11:20am GMT

11 Feb 2021

feedPlanet Grep

Claudio Ramirez: rakudo-pkg v2: Github Actions/CloudSmith, devbuilds, Alpine repos, nfpm

(In case you don't know rakudo-pkg: it's a project to provide native packages and relocatable builds of Rakudo for Linux distributions.)

The downward spiral of Travis since it was taken over by a Private Equity firm (there is a pattern here), triggered a long coming refactoring of the rakudo-pkg workflow. Until now the packages were created on Travis because it supported running Linux containers so we could tailor the build for each distribution/release. Almost at the same time JFrog announced it was sunsetting Bintray and other services popular with FOSS projects. The deb and rpm repos needed a new home.

Oh well, Travis and Bintray will be missed and certainly deserve our thanks for their service during years. It was difficult to imagine a better time to implement a few ideas from the good old TODO list.

From Travis to Github Actions

Github Actions is way faster than the post-P.E. Travis. Builds that took a few hours (we build around 25 distro/version combinations) now are done between 10 and 20 minutes. Not surprisingly this not only meant learning a complete new tool, but also a complete rewrite of the rakudo-pkg workflow.

Running on Github also means that every Github user can fork the repo including the rakudo-pkg Github workflows. One of the advantages of a rewrite is implementing new functionalities, like the new feature of rakudo-pkg to allow everyone to test the upstream MoarVM/NQP/Rakudo and zef commits/releases:

devbuild workflow

From Bintray to CloudSmith with Alpine repositories

Cloudsmith has a huge advantage over Bintray: it supports Alpine Linux repositories, making it a great addition to the rpm and deb repositories we already offer. The packages in the old repositories were GPG signed by BinTray. From now onwards, rakudo-pkg will be signed with his own key on Cloudsmith. Check the project's README for instructions how to change your configuration. So far the experience with CloudSmith has been stellar. Their support is impressively responsive and they solve issues immediately, sometime while we were chatting about it.

From fpm to nfpm

rakudo-pkg created packages with the venerable fpm, written in Ruby. While the tool is extremely capable, I spent most of the time of a release getting fpm to build on new versions of distributions. The Ruby Gems ecosystem looks like a moving target. Enter nfpm, inspired with fpm but with the promise of a single binary. Written it Go, it's more accessible to me to understand how it works and send fixes upstream if needed. The devs are also very responsive and fixed one issue I encountered extremely fast.

Feel free to open issues of send PRs if I missed something or if you have ideas to improve rakudo-pkg

11 Feb 2021 11:24am GMT

10 Feb 2021

feedPlanet Grep

FOSDEM organizers: Videos on video.fosdem.org

All talks have been recorded and they will be made available on video.fosdem.org/2021 as soon as the presenter reviews their talk. For FOSDEM 2021, we make a mix of the original recording submitted by the presenter and the Q&A happening in the main room. To make sure that the result is up to our quality standards, we request that the original presenter reviews the video so the result contains no errors or mistakes. This can take a while. We expect that it will take some days to some weeks for all videos to become available at video.fosdem.org/2021. See our舰

10 Feb 2021 11:00pm GMT