LN-Waschpress

Autor: sla

  • AVMultimedia-Distribution auch für Tablets

    AVMultimedia
    Screenshot: ft

    AVMultimedia entstand aus der Idee, ein vollwertiges Media-Center mit den Bearbeitungsmöglichkeiten eines Desktop-Rechners zu vereinen. Bisher war es meist nicht möglich, mit einem Media-Center die dort versammelten Media-Daten auch zu bearbeiten. Diese Idee griff der Schweizer Entwickler Urs Pfister auf, der seit 20 Jahren das Unternehmen Archivista betreibt, auf. Als Grundlage stand bereits die Archivistabox für das neue Projekt zur Verfügung.

    Dritte Version in zwei Monaten

    Die erste Version der Linux-Distribution AVMultimerdia erschien im Februar, eine zweite Version aufgrund zahlreicher Rückmeldungen der Benutzer bereits eine Woche später. Diese Version habe ich als Grundlage für einen gerade erschienenen Artikel in der Zeitschrift Linux User verwendet. Nun liegt seit einigen Tagen zum 20. Firmenjubiläum von Archivista eine erweiterte Version AVMultimedia 2018/III vor.

    Jetzt auch für Tablets

    Die aktuelle Version 2018/III bietet im Vergleich zur Version vom Februar viele Neuerungen. Auf den ersten Blick dürfte dabei die Unterstützung für Touch-Screens und Stift-Eingabegeräte auffallen. Ebenso neu sind aber der grafische Starter, welcher AVMultimedia (bei einer leeren Festplatte) automatisiert auf den internen Datenträger aufspielt. Geblieben ist dabei, dass AVMultimedia komplett im Hauptspeicher (RAM) arbeitet und in ca. 30 bis 40 Sekunden komplett eingerichtet ist.

    Im Unterschied zu herkömmlichen Tablets, wo kein vollwertiger Desktop zur Verfügung steht, arbeitet AVMultimedia konsequent anders. Sämtliche gängigen Business-Applikationen stehen direkt auf dem Tablet zur Verfügung. Dank einer frei konfigurierbaren OnScreen-Tastatur können — auch im Tablet-Modus — alle Office-Dokumente erstellt und bearbeitet werden.

    Einfach erweiterbar

    Wer AVMultimedia erweitern möchte, kann zu den konventionellen Linux-Paketen von Debian greifen. Deutlich komfortabler ist in dieser Umgebung aber der Einsatz von AppImages. AVMultimedia arbeitet auf AMD-/Intel-basierten Tablets mit mindestens vier GByte RAM. USB und HDMI werden dabei von Haus aus unterstützt. AVMultimedia wurde während der Entwicklung erfolgreich an 4K-Monitoren getestet. Damit eignet sich AVMultimedia — getreu dem Namen — für professionelle Präsentationen auf hochauflösenden Bildschirmen genauso wie für Ad-Hoc-Darbietungen aller Art.

    Media-Center Kodi integriert

    Dank dem integrierten Media-Center Kodi können multimediale Inhalte einfach präsentiert werden. Mit der leichtgewichtigen Video-Schnittsoftware Flowblade lassen sich unterwegs erstellte Videos über mehrere Spuren nachbearbeiten und mit umfangreichen Effekten anreichern. Ob dabei leichtfüssige oder leistungsstarke AMD/Intel-Prozessoren zum Einsatz kommen, hängt primär vom eigenen Budget ab. Dank dem USB-Stick-Modus kann AVMultimedia aber auch auf allen bestehenden Rechnern  zum Einsatz kommen, ohne das aufgespielte Betriebssystem zu verändern.

    Als Image oder mit Hardware erhältlich

    AVMultimedia steht auf SourceForge mit einem Umfang von 1,3 GByte zum Download bereit. Wer AVMultimedia fix und fertig samt Hardware beziehen möchte, kann auf der Plattform Azurgo ein 2in1-Tablet mit vorinstalliertem System für rund 300 Euro mit QuadCore-CPU, 4 GB RAM,  64 GB Speicher und abnehmbarer Tastatur beziehen. Laut Angaben von Pfister kann dieses Tablet dank RAM-Modus bei der Leistung mit weit teureren Geräten mithalten.

  • AMD: Sicherheitslücken in Ryzen und Epyc bestätigt

    Quelle: Astaroth: The Processor von Brian Wong Lizenz: CC BY-SA 2.0

     

    Vor wenigen Tagen machte eine Meldung die Runde, die sehr an Meltdown und Spectre erinnerte. Die bis dahin unbekannte israelische Sicherheitsfirma CTS-Labs Research berichtete über 13 angebliche Lücken in AMDs aktuellen Desktop- und Server-Prozessoren Ryzen und Epyc. Die Aufmachung war reißerisch, inklusive martialischer Namen für die vermeintlichen Lücken. Zudem war die Art und Weise des Disclosure, also der Veröffentlichung äußerst ungewöhnlich, da AMD nur 24 Stunden Zeit hatte, die Richtigkeit der Berichte zu überprüfen, bevor sie veröffentlicht wurden. Geläufig sind hier mindestens 90 Tage.

    Dubioses Disclosure

    Die Sicherheits-Szene fand diese Herangehensweise äußerst verdächtig und hielt das Ganze für eine Promotion-Aktion oder den Versuch, AMDs Aktienkurs in einer konzertierten Aktion zu manipulieren. Allerdings bestätigten am nächsten Tag drei Forscher bekannter Sicherheitslabore die Funde. Jetzt hat auch AMD offiziell reagiert. AMDs CTO und Senior Vice President Mark Papermaster hat die Existenz aller 13 von CTS-Labs in den Prozessoren Ryzen und Epyc sowie in den von AMD verwendeten Promontory-Chipsätzen bestätigt.

    Any attacker gaining unauthorized administrative access would have a wide range of attacks at their disposal well beyond the exploits identified in this research.


    <em>Mark</em> <em>Papermaster</em>

    Keine Leistungseinbußen

    Die Schwachstellen betreffen die Firmware, die den AMD Secure Processor verwaltet, und die Chips, die in einigen Sockel AM4 und Sockel TR4 Desktop-Plattformen mit AMD-CPUs verwendet werden. Papermaster sagte, jede der Lücken werde in den nächsten Wochen durch neue Microcode-Versionen geschlossen, ohne dass dadurch Leistungseinbußen wie bei Meltdown und Spectre zu befürchten seien. Er stellte zudem klar, dass die Fehler nicht im Silizium der Prozessoren stecken, sondern in der Software, die darauf implementiert ist. Somit können die Lücken vollständig über den Microcode geschlossen werden.

    Schwer auszunutzen

    Papermaster betonte, dass alle gefundenen Lücken zu ihrer Ausbeutung voraussetzen, dass der Angreifer über administrative Rechte verfügt. Hat ein Angreifer diese, gehört der betroffene Rechner sowieso nicht mehr dem eigentlichen Eigner. Von daher sind die Funde von CTS-Lab zwar korrekt, aber wesentlich weniger spektakulär als die Aufmachung der Veröffentlichung vermuten ließ.

     

     

  • Mozillas Passwort-Manager unsicher

    Screenshot: ft

     

    Sowohl Firefox als auch Thunderbird erlauben es Benutzern, in den Einstellungen ein »Master-Passwort«  einzurichten. Dieses Master-Passwort dient der Verschlüsselung von Passwörtern, die in den Anwendungen vom Nutzer gespeichert werden. Generell ist diese Methode unterhalb der von ausgewachsenen Passwort-Managern angesiedelt, aber immer noch besser als keine Passwortverwaltung und daraus meist resultierend, die Mehrfachverwendung einfach zu merkender Passwörter.

    Mozilla Passwort-Manager unsicher

    Wie sich jetzt herausstellte, ist diese Funktion bei den Mozilla-Produkten nur sehr schlecht abgesichert und für jeden Hacker, der jemals den Begriff Brute-Force gehört hat, ein Kinderspiel. Das entdeckte jetzt Wladimir Palant, Entwickler der Adblock-Erweiterung. Herzstück der Verschlüsselung bei Mozilla ist die Funktion  sftkdb_passwordToKey(), die ein Passwort in einen Schlüssel umwandelt, indem es SHA-1-Hashing auf einen String anwendet, der aus einem zufälligen Salt und dem Master-Passwort besteht.

    SHA-1 zum Hashen

    Dieser Ansatz mit SHA-1 und die Implementierung seitens Mozilla hat zwei gewichtige Probleme. Zunächst ist SHA-1 bereits seit 2005 als gebrochen bekannt, wie der Kryptographieexperte Bruce Schneier damals in seinem Blog schrieb. Allerdings rechtfertigte damals der nötige Aufwand die Kosten nicht.

    2017 gelang Forschern bei Google und aus den Niederlanden erstmals ein Kollisionsangriff, bei dem zwei unterschiedliche PDF-Dateien mit demselben SHA-1-Hash erzeugt wurden. Seit 2015 gilt generell die Empfehlung, von SHA-1 auf die Nachfolger SHA-2 und SHA-3 zu wechseln, da es sich durch günstige Rechenkraft mittlerweile durchaus lohnen kann, SHA-1 zu knacken.

    Nur eine Iteration

    Das zweite Problem bei Mozillas Master-Passwort ist, das SHA-1 bei der Erzeugung des Schlüssels genau einmal iteriert. Branchenüblich sind hier Werte zwischen 10.000 und 500.000 Iterationen, je nachdem, was verschlüsselt wird. Das ist grob vergleichbar mit einem Paket, das nur einmal mit Geschenkpapier umwickelt ist, es ist schnell ausgepackt. Mit der Zahl der Lagen steigt auch der Aufwand des Entpackens.

    Bugreport mit Bart

    Nun hat Mozilla seit neun Jahren einen entsprechenden Bugreport vorliegen, dessen Brisanz unverständlicherweise niemand realisiert hat. Dabei ist SHA-2 bereits seit 2001 standardisiert. Mittlerweile kommt durch die Berichterstattung  auf BleepingComputer und der Diskussion auf Reddit wieder Leben in den Bugreport und die Mozillianer fragen sich, wie das passieren konnte. Nun wird hoffentlich schnell eine Lösung erarbeitet, die dieses Problem aus der Welt schafft.

  • Lector – ein neuer Ebook-Reader

    Lector
    Quelle: ebook von Jamais Cascio Lizenz: CC BY 2.0

     

    Mit Lector betritt ein neuer Ebook-Reader die Linux-Bühne. Er basiert auf dem Qt-Framework und ist unterhalb des für Linux, macOS und Windows verfügbaren Ebook-Managers Calibre angesiedelt. Calibre bietet eine in diesem Segment unerreichte Funktionsvielfalt bis in den professionellen Bereich, die aber nur wenige Anwender wirklich ausschöpfen. Diese Vielfalt steht dann schnell mal im Weg steht, wenn man Calibre für die Verwaltung seiner privaten Ebook-Sammlung konfigurieren möchte.

    Lector gegen Goliath

    Hier kommt Lector ins Spiel, dessen Funktionsumfang über das reine Lesen von elektronischen Büchern hinaus auch deren Verwaltung und Sortierung in einer Datenbank umfasst. Derzeit werden die Formate Epub, Mobi, AZW, AZW3, AZW4 und PDF unterstützt. Comic-Fans bietet das Programm die Formate CBR und CBZ. Weitere Formate sollen folgen. Die Anwendung ist in Python geschrieben, als Datenbank kommt SQLite3 zum Einsatz.

    Ausreichender Funktionsumfang

    Das Einlesen der Büchersammlung geht auch bei einer großen Sammlung problemlos vonstatten. Bücher werden danach mit ihrem Cover angezeigt. Die Sortierung erlaubt Anzeige nach Autor und vielem mehr. Metadaten wie Genre, Titel, Erscheinungsjahr, Autor und andere können einfach per Rechtsklick editiert werden. Zudem kann Einfluss auf den Schriftsatz, dessen Größe und Farbe genommen werden, auch stufenloser Zoom ist verfügbar. Bookmarks erlauben das Markieren von Seiten und deren Verwaltung in einer Bookmark-Leiste, ein Wörterbuch gehört ebenfalls zum Funktionsumfang von Lector.

    [su_slider source=“media: 4586,4587,4588″ link=“image“ width=“700″ height=“460″ autoplay=“0″ speed=“0″]

    Noch nicht fehlerfrei

    Lector ist noch an einem frühen Punkt seiner Entwicklung, funktioniert aber bereits grundlegend. Im AUR von Arch Linux findet sich die bisher einzige Version in einer Distribution. Ansonsten muss Lector aus dem Quellcode gebaut werden. Die Abhängigkeiten und eine Bauanleitung sind auf der GitHub-Seite vermerkt. Die Pakete können je nach Distribution leicht anders heißen, sind aber einfach zu identifizieren. Ein Flatpak von Lector ist bereits in Arbeit.

    Im Auge behalten

    Lector macht einen vielversprechenden Eindruck und könnte eine Lücke zwischen einfachen Ebook-Readern und dem Dickschiff Calibre füllen. Noch hat die Anwendung, zumindest unter Debian mit Qt 5.9 einige Fehler und stürzt gerne mal ab. Der Entwickler hat sie mit Qt 5.10.1 gebaut, das noch nicht in vielen Distributionen verfügbar ist. Vielleicht behebt das einige Fehler. Auf jeden Fall werde ich Lector im Auge behalten und weiterhin testen.

  • Plasma Mobile auf dem Librem 5

    Plasma Mobile auf dem Librem 5

    Plasma Mobile
    Quelle: Purism

     

    Im Purism-Blogpost der zu Ende gehenden Woche zur Entwicklung des Librem 5 Linux-Smartphone schildert Heather Ellsworth die erste Aktivierung von Plasma Mobile auf dem Testboard. Wer das Projekt verfolgt, weiß, dass das Librem 5 auf der Basis des hauseigenen und auf Debian basierenden PureOS zwei Alternativen bieten wird. Neben einer auf der GNOME-Shell basierenden mobilen Umgebung kann auch das aus dem KDE-Projekt stammende Plasma Mobile verwendet werden.

    Plasma Mobile auf dem i.MX 6 Testboard

    Letzteres wurde nun erstmals auf dem Testboard i.MX 6 der Firma NXP in Betrieb genommen. Das i.MX 6 Testboard wird mit ziemlicher Sicherheit gegen ein potenteres i.MX 8 ausgetauscht, sobald dieses in einer geeigneten Revision zur Verfügung steht. Nachdem einige Hürden überwunden waren, lief Plasma Mobile auf dem Board und erkannte bereits den Provider für den Telefonpart.

    Wayland und Weston

    Zunächst mussten allerdings die Pakete plasma-phone-components, kpeople-vcard, und plasma-settings gebaut werden, die in PureOS nicht verfügbar waren. Die technischen Feinheiten können im Developer-Blog nachgelesen werden. Als alle Teile am richtigen Platz waren, reichte der Befehl $ kwin_wayland --drm plasma-phone, um Plasma Mobile zu starten.

    Das Ergebnis war zunächst nicht berauschend, da das Display eher wie ein zwischen zwei Sendern gefangener Fernseher aussah. Nach einigem Debugging stellte sich heraus, dass der freie Etnativ-Grafiktreiber unter Wayland/Weston das Protokoll  zwp_linux_dmabuf benötigte, das in Plasma noch nicht verfügbar war. Nach dem Import bereits existierender Patches für kwin und kwayland zeigte sich Plasma Mobile dann kooperativ.

    Verschämter Mauszeiger

    Ein weiteres Problem stellte die Maussteuerung dar, die das derzeit noch fehlende Touch-Modul ersetzen musste. Der Mauszeiger war zwar vorhanden, aber unsichtbar. Mit der Kombination von STRG und Super-Key konnte der Zeiger jedoch sichtbar gemacht werden. Die SIM-Karte war schnell erkannt und zeigte den Provider richtig am Display an. Ein Telefonanruf kam dennoch nicht zustande, da das richtige Modem noch nicht integriert ist.

    Partner für Fertigung gesucht

    Purism-CEO Todd Weaver und einige Kollegen haben sich Anfang März in Stuttgart auf der Embedded World Elektronik-Messe mit Vertretern des Boardherstellers NXP getroffen und haben anschließend in Shenzhen in China Station gemacht, um einen Hersteller für die Fertigung des Librem 5 und anderer Hardware zu finden und zu verpflichten.

  • Intel CEO gibt Stellungnahme zu Meltdown und Spectre

    Bild: „Intel“ von Christian Rasmussen Lizenz: CC By-SA 2.0

     

    Intels CEO Brian Krzanich hat eine schriftliche Stellungnahme zu den Sicherheitslücken Meltdown und Spectre abgegeben, die seit Jahresbeginn für viel Furore sorgten. Darin gab er bekannt, dass die veröffentlichten Aktualisierungen des Microcodes nun alle CPUs der letzten fünf Jahre zu 100 Prozent abdecken. In den letzten Tagen war eine neue Version des Microcodes freigegeben worden und ist beispielsweise in Debian Unstable mit der Versionsnummer 3.20180312.1 bereits ausgerollt worden.

    [su_slider source=“media: 4558″ link=“image“ width=“700″ height=“460″ arrows=“no“ mousewheel=“no“ autoplay=“0″ speed=“0″]

    Spectre v1 braucht trotzdem Microcode

    Die achte Generation von Intels Core-Architektur, die auf den Namen Coffee Lake hört, erhielt ein neues Stepping oder eine neue Revision, die die Angriffsvektoren von Meltdown (Rogue Data Cache Load) und Spectre v.2  (Branch Target Injection) gänzlich schließen sollen, so Krzanich. Allerdings benötigt die Abwehr von Angriffen über Spectre in Variante 1 (Bound Check Bypass) auch dann zusätzlich immer noch Microcode.

    With these [microcode] updates now available, I encourage everyone to make sure they are always keeping their systems up-to-date. It’s one of the easiest ways to stay protected.


    <em>BrianKrzanich</em>

    Die achte Generation

    Da die 8th-Gen-Prozessoren bereits im Sommer letzten Jahres als »Coffee Lake« erschienen sind, ist hier nicht ganz klar, welche Desktop-Prozessoren  Krzanich damit meint. Vermutlich wird aber im Desktop-Segment Cascade Lake gemeint sein. Hier wird seit längerem über eine Core i9-8000-CPU als Nachfolger des Core i9-7000 gesprochen, der auch als Skylake-X bezeichnet wird. Diese neuen Prozessoren sollen »im Jahresverlauf« erscheinen. Auch und vor allem die Servervarianten Xeon Scalable (ebenfalls Cascade Lake) wurden bereits im Silizium gegen die Lücken gerüstet, was für Server besonders wichtig ist, da sie ein Hauptziel möglicher Angriffe darstellen.

    Fazit

    Somit bleibt zusammenzufassen: Bei CPUs für Desktop und Server, die ab 2018 auf den Markt kommen, sind die Lücken auf Silizium-Ebene geschlossen worden. Allerdings wird auch dort gegen Spectre v.1 immer noch Microcode gebraucht. Alle anderen CPUs der letzten fünf Jahre bleiben rein auf Software-Patches angewiesen. Meltdown sollte damit gut abgedeckt sein.

    Für Spectre v2 verwenden immer mehr Linux-Distributionen Googles Retpoline anstelle von Intels Microcode. Bei Googles Lösung fallen die Strafen in Form von langsamerer Code-Ausführung um einiges geringer aus. Wer noch ältere CPUs verwendet, bleibt von Intels Seite aus ungeschützt. Allerdings werden von Angriffen auf der Basis von Meltdown und Spectre kaum private PCs betroffen sein. Dazu ist der Aufwand viel zu hoch und der mögliche Gewinn zu klein.

  • GNOME 3.28 verbessert im Detail

    GNOME 3.82
    Trademarks sind Eigentum des jeweiligen Besitzers

     

    Zweimal im Jahr veröffentlicht das GNOME-Projekt eine neue Ausgabe seiner Desktop-Umgebung. Jetzt ist es wieder so weit und der von Fedora, Debian und Ubuntu standardmäßig genutzte Desktop erscheint als GNOME 3.28 »Chongqing«. Die neue Ausgabe bringt neue Funktionen sowie viele kleinere Verbesserungen und Fehlerbehebungen. Insgesamt enthält das Release 25832 Änderungen, die von 838 Mitwirkenden vorgenommen wurden.

    Nautilus

    Eine der herausragenden neuen Funktionen ist die Möglichkeit, im Dateimanager Nautilus favorisierte Dateien und Verzeichnisse mit einem Stern zu markieren. Aus der Seitenleiste heraus können solcherart gekennzeichnete Daten dann gesammelt angezeigt werden. Die Anwender von Ubuntu 18.04 LTS »Bionic Beaver« werden allerdings nicht in den Genuss dieser Neuerungen kommen, da dort Nautilus 3.26 ausgeliefert wird. Grund ist das bei GNOME 3.28 geänderte Verhalten, das keine Icons mehr auf dem Desktop mehr zulässt.

    [su_slider source=“media: 4542″ link=“image“ width=“700″ height=“460″ arrows=“no“ mousewheel=“no“ autoplay=“0″ speed=“0″]

    Kontakte, Kalender und Uhren

    Oft genutzte Adressen in der Kontakte-App können ebenfalls als Favoriten gekennzeichnet werden und sind so leichter auffindbar. Darüber hinaus kann dort nun nach Vor- oder Nachname gesucht werden. In der App GNOME-Uhren kann die Zeitzone UTC zu den angezeigten Weltzeiten hinzugefügt werden. Die Kalender-Anwendung wurde überarbeitet und bietet nun eine bessere Übersicht. Zellen mit vielen Terminen können vergrößert werden. Zudem können Wetterinformationen zu den eingetragenen Terminen angezeigt werden.

    [su_slider source=“media: 4541″ link=“image“ width=“700″ height=“460″ arrows=“no“ mousewheel=“no“ autoplay=“0″ speed=“0″]

    Fotos

    Die Handhabung von Medien und Unterhaltung wurde in GNOME 3.28 weiter verbessert. Viele dieser Änderungen finden sich in der Anwendung Fotos. Sie verfügt über eine neue Funktion zum Importieren von Geräten, mit der Sie ganz einfach Fotos von Wechseldatenträgern wie SD-Karten und USB-Laufwerken zur Sammlung hinzufügen können. Diese Funktion erkennt automatisch Geräte, die neue Bilder enthalten und ermöglicht auch, neue Bilder in Alben zu organisieren, während sie importiert werden. Zu den weiteren Verbesserungen in Fotos gehören neue Bearbeitungswerkzeuge für Schatten und Lichter sowie Leistungssteigerungen.

    [su_slider source=“media: 4543″ link=“image“ width=“700″ height=“460″ arrows=“no“ mousewheel=“no“ autoplay=“0″ speed=“0″]

    Videos, Musik, Bildschirmtastatur

    Weiterhin im Bereich Multimedia kann die App Videos nun das MJPEG-Format abspielen, während in Musik Playlisten per Drag&Drop neu geordnet werden können. Die Bildschirmtastatur von GNOME wurde für 3.28 komplett neu geschrieben und ist wesentlich einfacher zu bedienen als die Vorgängerversion. Die neue Tastatur wird automatisch aktiviert, wenn ein Textbereich ausgewählt wird, und die Ansicht wird verschoben, um sicherzustellen, dass der Textbereich während der Eingabe sichtbar ist.

    Auslastung

    GNOME-Auslastung ist eine neue Anwendung, die in 3.28 als Technologievorschau eingeführt wird. Die neue Anwendung wurde entwickelt, um die Diagnose und Behebung von Leistungs- und Kapazitätsproblemen zu erleichtern. Die erste Version enthält Funktionen zur Untersuchung des CPU- und Speicherverbrauchs. Problembereiche werden hervorgehoben, sodass es schnell und einfach möglich ist, die Ursache von Problemen zu identifizieren.

    Die Auslastungs-Vorschau ermöglicht es auch, die Plattennutzung zu untersuchen. Diese Schnittstelle hebt übliche Quellen der Plattennutzung hervor, die gelöscht werden können, wie etwa Papierkorb und temporäre Dateien. Für die Zukunft sind weitere Funktionen geplant, darunter die Möglichkeit, die Netzwerk- und Energieausnutzung zu untersuchen.

    [su_slider source=“media: 4544″ link=“image“ width=“700″ height=“460″ arrows=“no“ mousewheel=“no“ autoplay=“0″ speed=“0″]

    Boxen

    Boxen, die GNOME-Anwendung zur Verwendung von Remote- und virtuellen Maschinen, bietet eine Reihe neuer Funktionen und Verbesserungen. Eine wichtige Neuerung ist das automatische Herunterladen von Betriebssystemen direkt aus dem neuen Assistenten. Um eine virtuelle Maschine zu erstellen muss lediglich das Betriebssystem ausgewählt werden, den Rest erledigt Boxen.

    Die neue Version von Boxen vereinfacht zudem die Übertragung von Daten zwischen dem Host und virtuellen Maschinen. Um Daten zu übertragen können diese per Drag&Drop in das Fenster von Boxen gezogen werden. Alternativ kann die Option Dateien senden ausgewählt und die zu übertragenden Dateien mithilfe eines Dateiauswahlfensters bestimmt werden. In beiden Fällen gibt Boxen Rückmeldung über den Fortschritt der Dateiübertragungen und die Restzeit.

    [su_slider source=“media: 4540″ link=“image“ width=“700″ height=“460″ arrows=“no“ mousewheel=“no“ autoplay=“0″ speed=“0″]

    Alles weitere…

    Viele weitere kleine Verbesserungen können den Release Notes entnommen werden. GNOME 3.28 steht derzeit als Quellcode zur Verfügung. Ubuntu im April und Fedora im Mai werden unter den ersten Distributionen sein, die die neue Version der Desktop-Umgebung ausliefern. Bei Ubuntus GNOME  handelt es sich allerdings um eine leicht angepasste Version.

  • Raspberry Pi 3 Model B+ vorgestellt

    Raspberry Pi 3 B+
    Bild: Raspberry Pi Foundation

     

    Der Einplatinenrechner Raspberry Pi hat gerade seinen sechsten Geburtstag gefeiert und kann bereits auf eine lange Reihe an Modellen und Erfolgen zurückblicken. In dieser Zeit wurden unter anderem der originale Pi, Pi 2, Pi 3 und der Pi Zero veröffentlicht. Insgesamt wurden über 18 Millionen Pis verkauft, davon alleine 9 Millionen Pi 3. Diese Zahlen werden mit der Bekanntgabe des neuen Modells Raspberry Pi 3 Model B+ weiter ansteigen, denn das neue Modell hat einige einschneidende Verbesserungen gegenüber dem vor zwei Jahren veröffentlichten Raspberry Pi 3 Model B zu bieten. Dabei wird es ebenfalls, wie der Vorgänger, für 35 US-Dollar über die virtuelle Ladentheke gehen.

    Raspberry Pi 3 Model B+

    Das neue Modell bietet:

    • eine 1.4GHz 64-bit Quad-Core ARM Cortex-A53 CPU
    • Dual-Band 802.11ac WLAN und Bluetooth 4.2
    • Schnelleres Ethernet (Gigabit Ethernet over USB 2.0)
    • Power-over-Ethernet-Unterstützung (mit separatem PoE HAT)
    • Verbessertes Booten über PXE und USB-Massenspeicher
    • besseres Hitzemanagement

    Schnelleres Netzwerk

    Der Netzwerkdurchsatz soll sowohl bei Ethernet als auch bei WLAN durch Dual-Band ungefähr zwei- bis dreimal schneller sein. Dazu wurde der bisherige Chip LAN9514-USB-Hub gegen einen LAN7515-USB-2.0-Hub Ethernet-Controller getauscht  Der neue Pi wurde um den Broadcom  BCM2837B0 herum entworfen, eine aktualisierte Version des  BCM2837 im Pi 3B.

    Der mit einem Heat-Spreader versehene SoC kann einerseits höhere Takte bieten, andererseits mit niedrigerer Spannung laufen um den Energieverbrauch zu senken. Dual-Band WLAN und Bluetooth 4.2 werden von einem Cypress-CYW43455-Chip bereitgestellt, der an eine  Proant-PCB-Antenne ähnlich der im Pi Zero angeschlossen ist. Im Vergleich mit dem Vorgänger bringt das verbesserte Leistung im 2,4-GHz-Band, die im 5-GHz-Band nochmals wesentlich verbessert wird.

    Power over Ethernet

    Durch das Hinzufügen von vier neuen Pins, die vom Haupt-GPIO-Header abgesetzt sind, wird die Unterstützung für Power-over-Ethernet realisiert. Ein offizielles PoE-HAT-Add-On-Board wird in Kürze veröffentlicht. Der ursprüngliche Raspberry Pi 3 war das erste Pi-Board, das mehrere Boot-Modi unterstützte – einschließlich PXE-Netzwerk-Booten und Booten von USB-Massenspeichergeräten.

    Dies bedeutet, dass beispielsweise Raspbian von einer USB-Festplatte booten kann, die schneller als eine SD-Karte ist. Das im Dezember in Raspbian integrierte PiServer-Tool bietet einfache Pi-Netzwerkverwaltung. Das bedeutet, dass man damit einen Cluster von Raspberry Pi 3 in einem verkabelten Netzwerk verwalten kann, ohne das die Boards SD-Karten brauchen, wenn sie remote in ein verwaltetes Betriebssystem-Image booten.

     

  • Let’s Encrypt bietet Wildcard-Zertifikate

    Wildcard-Zertifikate
    Quelle: : HTTPS von Sean MacEntee Lizenz: CC BY 2.0

     

    Let’s Encrypt, die Certificate Authority (CA) für kostenlose TLS-Zertifikate zur Absicherung von Webseiten per HTTPS, gibt die Freigabe des ACMEv2-Protokolls bekannt. Damit einher geht die Möglichkeit, jetzt mit Let’s Encrypt auch Wildcard-Zertifikate auszustellen. Die Veröffentlichung kommt mit einigen Wochen Verspätung.  Der Grund für die Verschiebung war eine gemeldete Sicherheitslücke in TLS-SNI-01, einer der drei Validierungsmethoden von Let’s Encrypt. Die Nutzung von TLS-SNI zur Validierung von Domains wurde daraufhin gesperrt.

    Erste Clients sprechen ACMEv2

    Wie Josh Aas, Geschäftsführer von Let’s Encrypt in seiner Ankündigung schreibt, ist Acmev2 für Wildcard-Zertifikate zwingend, sodass der benutzte Client dieses neue Protokoll bereits unterstützen muss. Einige Clients unterstützen ACMEv2 bereits, aber bei weitem nicht alle. ACME steht für Automated Certificate Management Environment und dient zur automatischen Prüfung der Inhaberschaft von Internet-Domains bei der Ausstellung von Zertifikaten.

    Nicht immer empfohlen

    Laut Aas können Wildcard-Zertifikate die Zertifikatsverwaltung in einigen Fällen vereinfachen, allerdings empfiehlt er für die meisten Anwendungsfälle nach wie vor Nicht-Wildcard-Zertifikate. RFC 6125 beschäftigt sich mit den Sicherheitsaspekten von Wildcard-Zertifikaten. Über ein Let’s-Encrypt-Konto können über einen Zeitraum von drei Stunden bis zu 300 Wildcard-Zertifikate angefordert werden, sodass auch Hosting-Provider wie WordPress.com und andere, die Let’s Encrypt unterstützen, Anfragen ihrer Kunden zügig bearbeiten können.

    Eine Ebene von Subdomains

    Mit Wildcard-Zertifikaten können alle Subdomains einer Domain mit nur einem Zertifikat abgedeckt werden. Das gilt allerdings nur für eine Ebene von Subdomains. Die technischen Hintergründe zu ACMEv2 vermittelt ein Eintrag im Let’s-Encrypt-Community-Blog. Das Protokoll ist derzeit in der Phase der Standardisierung bei der Internet Engineering Task Force. Es können also noch geringfügige Änderungen am Protokoll einfließen, was die jetzige Nutzung zum Ausstellen von Wildcard-Zertifikaten aber nicht einschränkt.

  • Angebliche Sicherheitslücken in aktuellen AMD-CPUs entdeckt

    Sicherheitslücken in aktuellen AMD-CPUs
    Quelle: Astaroth: The Processor von Brian Wong Lizenz: CC BY-SA 2.0

     

    War AMD bei Meltdown und Spectre noch relativ glimpflich davongekommen, so könnte die Glückssträhne unter Umständen nun zu Ende zu sein. Das israelische IT-Sicherheitsunternehmen CTS-Labs hat nach eigenen Angaben 13 Sicherheitslücken in AMDs aktuellen Prozessoren Ryzen und EPYC entdeckt, die die Bereiche Desktop und Server abdecken. Diese wurden in vier Klassen mit den Namen Ryzenfall, Masterkey, Fallout und Chimera eingeteilt. Die Lücken befinden sich angeblich, wie auch Meltdown und Spectre, in Bereichen der CPUs, die sicherheitsrelevante Daten des Anwenders vorübergehend speichern.

    Unübliches Vorgehen

    Die seit einem Jahr bestehende Firma CTS-Labs hält anscheinend nicht viel von der Gepflogenheit, einem Unternehmen die üblichen 90 Tage zur Untersuchung zu gewähren, bevor Sicherheitslücken öffentlich gemacht werden. Das Labor veröffentlichte seine Erkenntnisse bereits 24 Stunden nach Bekanntgabe an AMD. Daher liegt derzeit von AMD auch nur eine allgemeine Stellungnahme vor, man überprüfe derzeit die Angaben von CTS-Labs. Mittlerweile sind laut Heise.de Zweifel an der Seriosität der Firma CTS-Labs angebracht. Weder liegt ein Proof of concept für die Lücken vor, noch wurden sie als Common Vulnerabilities and Exposures (CVE)  gemeldet.

    Unterschiedliche Angriffsvektoren

    Die beschriebenen Sicherheitslücken setzen an verschiedenen Punkten der Prozessoren an. Die drei Lücken, die unter der Bezeichnung Masterkey laufen sowie die Lücke Ryzenfall-4 finden sich angeblich im Platform Security Processor (PSP) der Prozessoren. Dieser auch als »AMD Secure Processor« bekannte Bereich, der mit Intels Management Engine vergleichbar ist,  befindet sich in allen AMD-Prozessoren seit 2014. Er ist in einem ARM Cortex-A5-Kern integriert. Um diese Lücken auszunutzen ist physischer Zugriff auf das Gerät oder die Kombination mit anderen Attacken notwendig.

    Einfallstor Microsoft Device Guard

    Ryzenfall und Fallout umfassen mehrere Lücken, die einerseits den Microsoft Device Guard von Windows 10 sowie per Code-Injection den Sytem Management Mode (SMM) der x86-Architektur umgehen. Ryzenfall kann mit Admin-Rechten sowohl Code im PSP ausführen als auch auf dem PSP vorbehaltene Speicherbereiche zugreifen. Chimera dagegen sitzt laut CTS-Labs im Chipsatz und der Firmware von USB-Controllern, die nur auf  Ryzen und Ryzen Pro verbaut sind. Hier gelang es den Forschern, Code im Chipsatz auszuführen.

    Zweifel erlaubt

    Was an den Lücken dran ist, werden die nächsten Tage zeigen. Sollte der Fund echt sein, könnten Angreifer Kontrolle über Ryzen und EPYC Prozessoren und Chipsets erhalten und mit Malware infizieren. Zudem können Passwörter und andere sicherheitskritische Daten gestohlen und alle Sicherheitsmechanismen der CPUs umgangen werden.

    Verdächtig ist in jedem Fall die auf 24 Stunden verkürzte Vorlaufzeit. Mittlerweile wurden Vermutungen laut, es handle sich um einen Versuch der Kursmanipulation. Anlass dazu gibt ein Nachruf auf AMD auf der Webseite von Viceroy Research. Erst gestern warnte die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) vor dem Unternehmen, dessen Webseite kein Impressum aufweist. Auch Linus Torvalds hat auf G+ mittlerweile heftige Zweifel an der Echtheit der Lücken geäussert.