More on Bambu’s license issues

May 24th, 2024 2 comments

One and a half year back, I wrote about Bambu’s licensing issues and was given a rather an answer that didn’t really clear up anything. Either Bambu is directly lying, or they don’ know what (A)GPL is all about. It’s taken some time, but no change, and we still have the issue that you can’t add a printer by its IP address or add it at all unless it’s on the same subnet, since it’s all autodiscovery, not by mDNS, but SSDP, which doesn’t even have an RFC, but only an internet draft that expired in April 2000. Since this weakness isn’t in Bambu Studio (or OrcaSlicer), but in the closed-source plugins automatically downloaded from Bambu after installing the slicer, it makes it a lot harder to fix.

Below is an open letter, that is, an answer to the now closed (or reopened) support ticket regarding this issue.

Reply to Bambu Labs ticket US221126800001

I’m not sure if you’re openly dishonest here or just don’t understand the licensing in your reply on . The GPL explicitly says that linking to software licensed under (A)GPL, makes your software a derivated work, meaning that also must be GPL. This is why LGPL (former Library GPL, now Lesser GPL) was created, to allow people to write libraries with a GPL-like license, but still allow them to be used with closed software. AGPL is even stricter than GPL and does not allow linking to anything else and if that is done, that “anything else” is also GPL and you, as a distributor of that software, must give out the source code to whomever you’ve distributed the binaries. The FSF vs Cisco case shows this very well. Linksys, later obtained by Cisco, had taken the Linux kernel and some tools and ported it to their little router, the WRT54G. This became highly popular and people found it was running Linux, which was fun. Then they found the kernel reported “tainted”, meaning it had modules that were closed source. The public asked for the source code for these, which was denied, because that was “company property”. The public replied and said “no, it’s GPL since you’re linking it together, read the license”, but Cisco refused. FSF too them to court and won.

The files used by bambu studio, are (on a mac) libBambuSource.dylib, libbambu_networking.dylib and liblive555.dylib. Files with similar names exist on Windows (.dll) and Linux (.so). These are libraries, not executable programs. You can, on some OSes, make a library executable, but that doesn’t work for these (I tried). I looked through the source code, and it looks like you’re loading the networking module with netwoking_module = dlopen( library.c_str(), RTLD_LAZY); on line src/slic3r/Utils/NetworkAgent.cpp. That is loading and linking to a shared library, effectively breaking AGPL and GPL.

You told me last time that you don’t own the code for this software, and thus cannot distribute it. This is irrelevant, since you are the ones distributing the compiled product and linking to it, so you are responsible for distributing also the code.

So, please, without further ado, please let us have the code this time.

roy

Categories: Diverse Tags:

Bambu and logs

November 28th, 2022 2 comments

On the now famous Bambu X-1 Carbon and the upcoming P1P, we have gotten printers that can run in circles around your favourite Prusa, but then, it seems Bambu doesn’t care too much about open source licensing and the last thing that came up, are the logs. On the console, you can export system logs to the SD card for later examination, but only by Bambu itself. They spent months enabling encryption on the network connections to the cloud, but apparently, they have made sure to encrypt their logs well. This means that as a customer and an owner of the system, you’re unable to read the system logs to try to figure out what’s wrong if something happens. I asked them why and their reply was

Yes, the log file is encrypted and not open to the public. I can give feedback to relevant guys to see if some part of it can be made public. But I think if there is such a plan, we should announce it, please key an eye on our updates. I will resolve this ticket.

They have not replied to my question on why this was so, but apparently just ignored it.

As one that has worke with linux systems for around 25 years, I prefer open systems and although it is hard sometimes with giants like Dell or the likes, Bambu does its best to keep users like me from purchasing their printers. I hope they realise that one day.

Categories: Diverse Tags:

Bambu’s license issues

November 26th, 2022 5 comments

The Bambu X1 and Carbon variant is possibly the printer of the year and it comes with Bambu’s own slicer, BambuStudio. This is a fork of PrusaSlicer, which again is a fork of slic3r. When the slicer was released, this being a fork was not disclosed and it was presented as an in-house slicer. However, those who tested it, quickly found out about this and reported the licensing issues, in that you can’t just take open source code licensed under AGPL and use it as your own. In reply to this, Bambu opensourced its BambuStudio and put it on github. But, there’s a catch. The BambuStudio, on startup, downloads two closed source libraries for communication with the Bambu cloud service and the printer. The AGPL, however, like its sister GPL, states that libraries linked to the software are considered a derivative work, meaning the AGPL license also covers those libraries. Since Bambu hasn’t provided any source code for these libraries, that’s a clear violation against AGPL. I have reported this issue to Bambu, but so far, I haven’t gotten a reply. Let’s just hope Bambu will adapt to the license and not just ignore it.

Categories: Diverse Tags: ,

Bambu lab communication and security – answer

November 25th, 2022 4 comments

On November 23, I posted this post regarding the lack of security with Bambu WAN mode. Today, they replied and I said their developers mostly had a background in robotics and thus little understanding of internet security, but they’ve started to educate themselves

want to comment on some misunderstandings here

“The printer doesn’t have an ethernet port and wifi isn’t secure with PSK”

It is important to point out that this statement is not entirely accurate as the printer supports Wi-Fi security protocols, including WPA/WPA2-PSK.If the WLAN is protected by WPA/WPA2-PSK, which is generally the default security protection nowadays on wireless routers, the WLAN connection should be relatively safe.

What I wrote in the article, was that anyone with the known PSK, that is, anyone connected to the average access point used, will be on the same network. That the network is encrypted with WPA, still means they all have the same key, so once logged into the network, it’s all cleartext between clients on that network. Still – it’s better than nothing, but the best thing is to encrypt everything.

So, they summerise

The security of the LAN mode depends on the security of the WLAN at the moment. It is vulnerable if the LAN is not properly secured. We will work on an improvement for this by January 2023 and we will share an update when that becomes available.

The HTTP connection to the cloud vulnerabilitty has now been fixed.

This is good! Kudos to Bambu lab for fixing this quickly!

The cleartext keyID is a misunderstanding.

My apologies.

So, the WAN connection is a bit safer, and the LAN connection works, ish. All we now need if we want to use this in LAN mode, is a working camera.

roy

Categories: Diverse Tags: , ,

Bambu lab X1-Carbon – the flipside

November 23rd, 2022 3 comments

First look at the Bambu X1-Carbon with AMS

Intro

The Bambu Lab X1-Carbon with AMS (Automatic Material System) is a very good and very fast 3D printer with all the automatic features you can dream of and a bit more. If you search youtube, you’ll find countless of videos about it and how awesome it is and so on. But as always, there’s the flipside…

Some minor issues first, which can be mostly ignored

– Noise! The printer’s stepper drivers are noisy. That the rest of the printer also makes a lot of noise, is understandable with the speed it’s running, but we’ve had TMC2209 drivers a long time now, which are very silent indeed. Bambu has chosen to use their own drivers, possibly because of price or availability.

– The hotend thermistor is the same glass bead type as used by Creality and a lot more. These work well, but only until they break. When they do, they usually break the thin single filament wires going the last 2cm or so into the glass bead. Since these are aluminium wires, they are practically impossible to fix, so you’ll need to get a new thermistor. This could have been fixed with a barrel-like thermistor. I don’t know what sort of thermistor the bed uses, but it wouldn’t surprise me if it were the same.

– The hotend and nozzle are integrated, so the amount of nozzles available, is greatly reduced. As far as I know, there is no way to use high-flow nozzles like those from 3dsolex and Bondtech CHT (which are licensed from 3dsolex, who holds the patent for these). They are, however, decently priced, unless you compare them to the dollar-a-dozen-packs from China.

Now to a worse one, which I find harder to ignore

I ran an nmap sweep of the printer, I found it listens to ports 21 and 3000. The former is FTP and the latter is unknown (pptp?). FTP made me wonder. I connected with an FTP client and could verify it was a vsFTP server, a popular FTP server on *nix platforms. BambuStudio uses FTP and MQTT (the latter also cleartext) to communicate to the printer if in LAN mode. An attacker can pick up the username and password easily, log in and download videos and other files and also delete these from the printer. She may also (possibly, not tested) inject MQTT, which is used to control everything, which is worse. The FTP protocol is really outdated and has been for 10+ years. FTPS (that is, FTP with SSL/TLS) is an alternative, but impossible to use over NAT. SFTP (SSHs FTP version) is well proven and secure. The same applies to HTTPS. Sniffing the traffic between BambuStudio and the Bambu printer with wireshark, shows its login and password, which is as expected but indeed not a good idea. Some may argue that it should be secure-ish on a closed LAN, but then, the printer doesn’t have an ethernet port and wifi isn’t secure with PSK. If you have the key, it’s all cleartext unless it’s encrypted at higer leverls. Insecure protocols like FTP or telnet and the likes, are old and obsolete and should not be used in 2022.

And lastly, to the really bad stuff

The printer is more or less tied to using a cloud service. This is luckily local to the region you’re in, so since I’m in Norway, my printer speaks to a server in Frankfurt am Main, Germany. This is all nice until you look at the traffic, again with wireshark. BambuStudio opens a connection to the server over HTTP, meaning it’s all cleartext. The only authentication is OSSAccessKeyId=xxx in the URL, again, all in cleartext. This is completely insane, since anyone between the client (BambuStudio) and the server (somewhere in the cloud) can read this and the data sent, including opening up new HTTP sessions to the same server. HTTPS would’t have cost bambu anything, perhaps expcept they want a better certificate than those from Letsencrypt, but still, that’s not a lot.

Summary

It’s a good printer, by all means, but the total lack of encryption and use of archaic protocols like FTP, is alarming. I have seen a lot of bad equipment with similar issues during my >25 years in IT, but it has mostly been limited to PDUs and similar that can be easily isolated on their own network so that noone can sniff or alter the traffic. This cannot be done with the Bambu system, since it speaks to a cloud service and depends on this. The temporary solution to this, is to disconnect from the cloud completely, by using LAN mode on the printer. That way, you will have to setup the printer in BambuStudio again and you’ll lose all support for the Bambu Handy mobile app. You will also lose video support, which is possibly worse. The printer will still transmit data in cleartext, but only readable for those on the same network. Also, the printer will only be available on the local network to which it is connected, since it relies on mDNS, which is blocked in most routers. I have not found a way to manually add a printer to BambuStudio by its IP address.

Update 2022-11-24

Bambu lab replied to the bug report I sent them, along with the link to this blogpost and they wrote:

We appreciate all the feedback shared, and we want to assure you that our team is already working on improving the security of the printer network connection. At the moment I can’t give you an exact date for when the changes will come, but we are working on it.
At the same time, we will be sharing more information about this in a dedicated post. I will update the ticket when that happens. 

Update 2022-11-25

Bambu replied quickly and I have linked to their post and my comments on this blogpost

Categories: Diverse Tags: , ,

Åpent brev til pressen om Listhaug

March 23rd, 2018 No comments

Vi lever i interessante tider. Listhaug har fått sparken (nei, unnskyld, hun gikk bare tilfeldigvis av) og hun har brukt tida godt på å snakke om heksejakt og slikt. Jeg vil bare be pressen om én liten ting: La Listhaug være i fred litt. Ikke vær mikrofonstativ for henne for alt hun har å komme med. Det vil ikke føre til mer forsoning, ikke mer ro. Det vil etter alle solemerker bare føre til mer krangel og hat. Vi har nok av slikt.

Så vær så snill – uansett hvor stor kjendisfaktor dere mener Listhaug har, legg bånd på dere.

Takk

Categories: Diverse Tags:

Hvordan koke pinnekjøtt

March 12th, 2018 No comments

For noen år sia, skreiv jeg litt om hvordan jeg liker å lage pinnekjøtt og dette er en liten oppdatering av denne. Det som gjerne skjer, er jo at noen har funnet noe på tilbud etter jul, røkt, gjerne “eldhusrøkt”, eller på norsk “ihjælrøkt”. Så setter man likevel over pinnekjøttet, for det er jo godt med sånt, gjerne med litt stappe, poteter, hva du nå liker. Og så er kjøttet raskt ferdig. Røkt pinnekjøtt trenger normalt ikke mer enn etpar timers damping, sjøl med store stykker, sammenlikna med urøkt, som gjerne trenger opp mot fem timer eller noen ganger mer. Fint! Så serveres maten og gjestene spiser, kanskje litt forsiktig, kanskje med kommentarer om godt eller spesielt kjøtt osv. Svaret er at det smaker høgg. Eldhusrøkt pinnekjøtt inneholder nesten ikke noe vann etter røykinga, så damper du det, blir det seigt og jævlig. Kanskje det var derfor Hellstrøm valgte å koke pinnekjøttet? Da dette sist skjedde på lørdag, var den nyresturerte damperista litt lav (beina falt av, som de pleier, så noen skruer måtte til og den funker bedre enn noen gang, og nei, jeg bruker ikke bjørkepinner), så vi var litt overivrige på å tilsette vann for å unngå at det kokte tørt, og resultatet var at det som lå nederst, ble kokt i stedet for å bli dampa. Ok, greit, smake på, da. Konklusjonen er ganske klar:

Kjøttet i bunnen som hadde fått putre i vannet, var godt – det smakte sånn som det skulle. Det på toppen som blei dampa, var helt ødelagt og smakte omtrent som pinnekjøtt tilberedt av en skotte fra søndre Islay, ikke helt hvordan det skulle være. Så om røkt pinnekjøtt, i hvert fall “eldhusrøkt” eller tilsvarende: Ikke kjøp det – det smaker høgg, er seigt og egner seg mer for ei sulten bikkje, ei skjære eller en måse.

Men – alt håp er ikke ute. Har du eller noen likevel kjøpt det og etter det som skulle ha vært en flott middag, redd deg ut av det ved å følge Hellstrøm: Kok kjøttet eller la det i det minste trekke – gi det væske og liv og smak, så blir nok både du og gjestene litt mer fornøyd. Det hjelper sikkert med en god grønnsaksbuljong, men det er ikke sikkert det er nødvendig. Poenget er jo å få ut røyksmaken og få inn fuktighet. Etter en times tid med koking, kan det bli ganske godt. Har du allerede dampa det, ikke noe problem, men ikke kok det for hardt. Det holder å la det trekke.

God apetitt og god etterjul!

Categories: Mat Tags:

Om kryptovirus og sikkerhetskopiering

May 15th, 2017 1 comment
Til alle der ute som er redd for eller kanskje ikke redd for dette viruset: IT-ekspertisen anbefaler at du oppdaterer operativsystem osv jevnlig, og det er bra, men det aller, aller viktigste er uansett dette:
 

SIKKERHETSKOPIÉR DATAENE DINE!

 
Du kan ikke sikre deg mot alle angrep – det er ikke mulig – men du kan sikkerhetskopiere dataene. Det vil også hjelpe den dagen harddisken din tar kvelden (og husk at SSD-er dør like fort som en gammeldags harddisk). Med sikkerhetskopi (“backup” på nynorsk) mener jeg noe som er utilgjengelig for en angriper. En USB-disk som ligger tilkobla PC-en, vil bli like kryptert som datafilene, og vil således være fullstendig ubrukelig etter et angrep. Det finnes flere løsninger, noen bra, noen dårlige, men jeg nevner bare to her, siden det er bare dem jeg har brukt. Begge disse ligger på 60-80 kroner per måned.
 
Crashplan.com funker fint, og har ikke noen begrensning i datamengde (selv om det til tider går lovlig treigt opp dit). Løsninga støtter også kryptering på klientsida, sånn at det på serversida ikke kan dekrypteres. Fordelen er at PST/FBI/CIA/NSA ikke kan få tak i dataene dine uten veldig mye jobb (eller, gitt at du har et godt passord, er det praktisk talt umulig). Ulempa er jo at hvis du mister passordet, så mister du sikkerhetskopien.
 
Jottacloud.com, norsk, har også “ubegrensa” lagring, dvs, de kaller den dét, men sa tidligere at over 10TB er overdreven bruk. Etter at forbrukerombudet tok saken (etter at jeg klaga til dem), er teksten endra, men Jotta mener fremdeles at de vil kaste ut folk som lagrer for mye. De fleste har likevel ikke så mye data at de når grensa.
 
Oppdatering 2. September 2017

Crashplan har sluttet med privatabonnement, men har et abonnement nå for “Small Business” med omtrent samme vilkår, men til dobbel pris, $10 i måneden. I forbindelse med endringen, kan kunder med privatabonnement migrere dataene over til Small Business-abonnement, men bare hvis det er under 5TB. Crashplan forklarer dette svært luftig med “because of technical reasons”, men har ikke klart å komme med en forklaring på hva slags grunner dette er. Innen datalagring er det jo noen grenser, som 2TB eller 4TB på grunn av 32-bit-systemer, men ingen på 5TB, så det er etter min oppfatning høyst sannsynlig at de heller vil bli kvitt kunder som bruker mer enn vanlig

Jotta funker nå også på Linux, med Duplicati som klient. Denne fungerer på de fleste plattformer, ikke bare Linux. Hastigheten er ikke forbløffende høy, men jeg får 10-30Mbps opp dit. Hvor mye som er begrenset i klienten eller fra jotta sin del, veit jeg ikke, men jeg gjetter at mye ligger hos jotta. Uansett en god løsning for mange.

 
Google, Microsoft, Dropbox og et lass av andre tilbyr lagringsløsninger for private, men ofte blir det ganske dyrt når datamengdene stiger. Her er det også variabelt hvorvidt de tilbyr versjonering eller ikke – gjør de ikke dét (som med onedrive), er ikke tjenesten noe sikrere enn en lokal harddisk eller en minnepinne når det kommer et kryptovirus og tar over.
 
Og til sist – igjen – sørg for å sikkerhetskopiere alt, hele tida, uansett hvilket operativsystem du bruker. Mange brukere av macOS og Linux tror de er sikret, siden det tradisjonelt ikke har vært mange virus på disse plattformene, men det vil komme – alle systemer har sikkerhetsfeil som dukker opp etter ei stund, og noen vil da prøve å utnytte disse for å tjene en god slant penger.
Categories: Diverse Tags:

Oslos etymologi

April 26th, 2017 No comments

Har du ikke lurt på hvorfor ting heter det det heter? Hva er Rødtvet, eller Makrellbekken? Jeg plukka opp denne boka i dag på biblioteket, og den begynner med et flott utgangspunkt – dog ikke i Oslo, men Nesoddtangen. Resten av boka er en fornøyelig reise mellom diverse stedsnavn og deres etymologi dvs språklig opprinnelse. Flott bok!

Tidlig i oslohistoriens morgen stir du og jeg oppe på det som en gang skal bli kalt Ekeberg.Vi ser over på det lange landet som har kommet til syne bak de store øyene. «ET NES!» sier du og peker. «Ja,» sier jeg, «det er NES!» og derved har vi navngitt det nye landet NES, slik mange steder i landet blir kalt.

Etter noen hundre år stir vi der igjen og skuer ut på NES. Ingen av oss husker lenger hva navnet betyr. «Se!» sier jeg, «NES er jo en odde, en NESODDE!» Og ganske snart begynner vi å kalle landet for NESODDEN.

Atter noen hundre år går, og på en stopp oppe på Eikaberget står vi og beundrer Nesodden, et navn vi for lengst har glemt hva egentlig betyr. Derfor peke     r du ivrig: «Se! Nesodden er jo en tange! En NESODDENTANGE!». Uten tanke for at de tre ordene betyr det samme, har et nytt navn blitt til: NESODDTANGEN.

Men hva tenker vi neste gang vi står der,når det tredobbelte navnet har festnet seg som et skikkelig egennavn? Kanskje at landet der ute former en spiss? Vil vi da stå og se på NESODDTANGSPISSEN?

Categories: Etymologi, Oslo, Språk Tags:

Dette om autisme

March 23rd, 2017 No comments

Vi leser på forskning.no at 18 gener er koblet til autisme og at det derfor tilsynelatende ikke vises til å være en kobling mellom tilførsel av farlige kjemikalier og autisme. For å forstå dette, må man også forstå hvordan gener er oppbygd og hvordan disse virker og i denne sammenhengen hersker det dessverre mye forvirring.

Vi mennesker er som kjent oppbygd av naturlige, kjemiske midler, slik man finner i naturen. Disse fungerer sammen i en symbiose ikke ulikt det vi finner i planteriket. Vi består av proteiner og fett, vi har hjelpebakterier og hjelpesopp, og andre hjelpere som støtter vårt livs vei framover. Vi ble til slik siden det var det beste. Darwin beskrev det godt i sine skriverier om hvordan det dårlige skilles fra det gode, på naturlig vis. Her fungerer altså naturen perfekt, som beskrevet.

Autisme er, som mange vet, en genetisk sinnslidelse. Den fører til at man føres bort fra det sosiale og inn i det teknokratiske univers, der bare matematikk, fysikk og biologi gir leveevne. Slike lidelser ble tidligere behandlet av fagfolk, men regnes i dag for å være nærmest normale. Noen forfekter dem til og med med superlativer. De gener som ble forstyrret for at noe slikt skulle kunne skje, vet jeg ikke ord om, men her må det være utenforstående makter som må være årsaken.

Tilbake til nevnte artikkel, det er altså 18 gener som er koblet til autismens styggedom og dermed er det altså ikke vår feil. Vi ble bare født sånn. Likevel vet vi at tilførsel av farlige kjemikalier via vaksiner og tilsvarende, utgjøre en trussel mot det edle og rene mennesket. Skolevitenskapen gjør som den pleier, de finner noen kjemikalier som ser ut til å virke, og prøver dem ut på intetanende skolebarn for best mulig å prøve å holde styggedom i sjakk.

Om vaksiner og autisme

Vi vet at vaksiner fører til autisme og vi nyere forskning peker også mot at grunnen til dette, er vannets hukommelse. Vi vet fra homøopatien at vann husker sine tidligere stadier, fra det blir drukket til det finner veien til elven. I løpet av denne veien, må det gjennom deg, og i løpet av den ferden både tar det og gir det kunnskap. Vannet husker en tilstand om dårlige gener, men glemmer det. Det er bare traumen av kjemien fra vaksinen som får det til å huske dette igjen, det vi kaller vann-traume, som får vannet til å bringe dette tilbake til kroppene våre og dermed ta med seg det genetiske om autisme og gjenintrodusere det.

Vi må ikke tillate denne form for vanntraume. Vi må ikke det! Det handler om våre barn og barnebarn!

PS: Hvis du ikke fikk med deg ironien/sarkasmen i innlegget, les det én gang til, denne gangen i visshet på at jeg, artikkelforfatter, har god tiltro til skolemedisinen og vaksiner.

Categories: Diverse Tags: