LN-Waschpress

Autor: sla

  • KDE e.V erhält 200.000 US-Dollar vom Pinapple Fund

    Pineapple Fund
    Foto: Pineapple Supply Co. auf Unsplash

     

    KDE e.V, der Verein hinter der KDE-Gemeinschaft gab heute bekannt, 200.000 US-Dollar als Spende vom Pinapple Fund erhalten zu haben. Das stimmt so nur indirekt, da die Spende sich auf 17,35 BitCoin belief. Der Pinapple Fund machte bereits Ende Januar in der Open-Source-Szene von sich reden, als die Free Software Foundation  (FSF) 91,45 Bitcoin erhielt, was zu dem Zeitpunkt einer Million Dollar entsprach.

    Lydia Pintscher als Präsidentin des KDE e.V. freut sich über den Geldsegen:

    »KDE ist sehr dankbar für diese Spende. Wir möchten dem Pinapple Fund unsere tief empfundene Wertschätzung für seine Großzügigkeit aussprechen. Wir werden die Mittel einsetzen, um unsere Sache voranzutreiben und Freie Software für jedermann und auf allen Plattformen zugänglich zu machen. Das Geld wird uns helfen, unsere Vision zu verwirklichen, eine Welt zu schaffen, in der jeder die Kontrolle über sein digitales Leben hat und Freiheit und Privatsphäre genießt.«

    Bitcoin-Philantropie

    Der Pineapple Fund war erst im Dezember ins Leben gerufen worden. Der Gründer bleibt anonym hinter dem Pseudonym »Pine«. Er sagt von sich selbst, er gehöre zu den 250 Menschen mit dem größten Bitcoin-Vermögen auf der Welt. Der Fund hat das Ziel, insgesamt 86 Millionen Dollar in Bitcoin an gemeinnützige Organisationen zu spenden. Derzeit sind bereits 52.612.250 Dollar an insgsamt 57 Organisationen gegangen. Die New York Times bezeichnete diese Art der Gönnerschaft als »mysteriöse Cryptocurrency-Philantropie«.

    Breit gestreut

    Once you have enough money, money doesn't matter« Pine

    Alle Transaktionen sind im Internet zu verfolgen, da Pine seine Bitcoin-Adresse öffentlich macht. Die Projekte der mit Bitcoin bedachten Organisationen reichen von klinischen Studien mit Psychedelika gegen PTSD über sauberes Wasser für Afrika bis hin zum Unterrichten von Kindern im Lesen und Schreiben. Es geht dem Pinapple Fund dabei darum, mit den Zuwendungen mutige und intelligente Wetten auf die Zukunft abzuschließen, die hoffentlich jeden auf der Erde beeinflussen werden.

    Unter den Beschenkten sind neben der FSF und dem KDE e.V. noch weitere Projekte aus dem Umfeld freier Software wie Let’s Encrypt, Apache Foundation, Software Freedom Conservancy, OpenstreetMap, OpenBSD und die Electronic Frontier Foundation (EFF).

  • Let’s Encrypt erreicht 50 Millionen aktive Zertifikate

    Let's Encrypt
    Logo: Let’s Encrypt Lizenz: CC BY-NC 4.0

     

    Die Zertifizierungsstelle  (CA) Let’s Encrypt hat die Marke von 50 Millionen aktiver Zertifikate überschritten. Das Ende 2014 gegründete freie Projekt ist mit dem Angebot kostenloser und automatisierter TLS-Zertifikate in drei Jahren zu einer der größten CAs weltweit geworden. Die Zertifikate verschlüsseln die Transportwege zwischen Webseiten und Servern per HTTPS und tragen damit erheblich zur Sicherheit des Internet bei. Hauptsponsoren des Projekts sind unter anderem Akamai, Cisco, die Electronic Frontier Foundation, die Ford-Foundation, Google und Mozilla.

    Bald auch Wildcard-Zertifikate

    Die Zahl der per Zertifikat von Let’s Encrypt geschützten Webseiten beläuft sich derzeit auf rund 66 Millionen. Damit konnte 2017 die Zahl der verschlüsselten Webseiten von 46 auf 67 Prozent angehoben werden. Für das Jahr 2018 hat sich die Internet Security Research Group (ISRG), die hinter Let’s Encrypt steht, viel vorgenommen. Die Zahl der aktiven Zertifikate sowie der eindeutigen Domains soll im kommenden Jahr auf 90, respektive 120 Millionen erhöht werden. Weitere Pläne für 2018 sehen mit dem ACME-Protokoll in Version 2 für Ende Februar die Unterstützung für Wildcard-Zertifikate vor. Später im Jahr will Let’s Encrypt ECDSA-Root-Zertifikate einführen. ECDSA gilt als die Zukunft digitaler Signatur-Algorithmen, die als effizienter als RSA angesehen werden.

    [su_slider source=“media: 4192,4193″ link=“image“ width=“700″ height=“460″ mousewheel=“no“ autoplay=“0″ speed=“0″]

    Einfach und kostenlos

    Der Erfolg von Let’s Encrypt liegt einerseits darin, dass die Zertifikate kostenfrei ausgegeben werden, andererseits aber auch an der Einfachheit mit der sie erstellt und automatisiert erneuert werden können. Mittlerweile gibt es über 60 Clients für unterschiedliche Plattformen, von denen der von der Electronic Fronmtier Foundation (EFF) entwickelte Certbot der bekannteste ist.

    Die Infrastruktur hinter der Certificate Authority (CA) Let’s Encrypt besteht derzeit aus rund 70 Servern, Switches und Firewalls. Der Finanzbedarf des Projekts bleibt dabei weiterhin relativ gering. Das Budget für 2018 beträgt gerade einmal drei Millionen US-Dollar.

  • Mit Ncdu Festplatten durchsuchen

    Ncdu
    Bild: Hard Drive by: William Warby Lizenz: CC-By-SA-2.0

    Festplatten kennen eigentlich nur drei Zustände: leer, voll und kaputt. Wenn mal wieder der zweite Zustand erreicht ist, fragt man sich zunächst: »Wie konnte das geschehen?« und gleich danach: »Was ist da drauf?« Unter Linux gibt es mehrere Möglichkeiten, die letzte Frage zu beantworten. In meinen Linux-Anfängen hab ich mir einen Überblick mit grafischen Tools wie KDirStat, Filelight oder Baobab verschafft. Diese haben mehrere Nachteile: Zunächst ist der Aufbau des grafischen Abbilds der Festplatte bei großen Partitionen mit vielen Verzeichnissen und Dateien ziemlich langsam. Zudem braucht man dann immer noch eine Maus um anhand der Tooltips den Inhalt der farbigen Kuchenstücke zu ergründen.

    Für Konsoleros

    Deshalb benutze ich schon seit vielen Jahren dafür das Kommandozeilen-Tool ncdu, was für NCurses Disk Usage steht. Es ist eine Erweiterung des Linux-Standard-Werkzeugs du durch die freie Toolkit Ncurses . Wenn dann über Nacht mal wieder das Log von xsession.errors vollgelaufen ist und die Festplatte kein freies Bit mehr aufweist, lässt sich mit ncdu auch ohne grafische Oberfläche der Bösewicht schnell identifizieren und mit Bordmitteln löschen. Jägern und Sammlern hilft das Tool, ihren Sammeltrieb überschaubar zu halten. Auch auf Servern erweist sich ncdu als extrem nützlich.

    Überall verfügbar

    Ncdu gibt es fertig paketiert bei den meisten Distributionen im Archiv. Es wurde von  Yoran Heling 2007 erstmals veröffentlicht, steht unter einer MIT-Lizenz und steht neben Linux auch für Unix, BSD und IBMs z/OS zur Verfügung. Die Bedienung ist denkbar einfach. Das Home-Verzeichnis wird beispielsweise mit – wen wunderts – ncdu /home/USERNAME aufgerufen.

    [su_custom_gallery source=“media: 4181″ link=“image“ width=“700″ height=“470″]

    Einfache Bedienung

    Daraufhin erscheint in Windeseile eine Liste aller dort versammelten Ordner, absteigend nach Größe organisiert. Die Navigation geschieht mit den Plus-Minus-Pfeiltasten. Die Rechts-Links-Tasten dienen dem Abstieg in der Ordnerhierarchie und wieder zurück. Ist ein Ordner oder eine Datei ausgemacht, die entfernt werden soll so erledigt das ein Tastendruck auf d. Soll der Inhalt alphabetisch sortiert werden, hilft die Taste n, mit s geht es wieder zurück. Alle weiteren Optionen listet das ausführliche Manual auf.

  • MeltdownPrime und SpectrePrime – neue Angriffsszenarien

    MeltdownPrime und SpectrePrime
    Foto: Markus Spiske auf Unsplash

     

    Das Ende der Fahnenstange ist noch nicht erreicht bei den Sicherheitslücken in den CPUs fast aller Hersteller der letzten 25 Jahre. Sicherheitsforscher der Universität Princeton und von Nvidia haben weitere Angriffsszenarien zur Ausnutzung von Meltdown und Spectre entdeckt, die nicht von den anfänglichen »Proof-of-concept«-Beispielen abgedeckt sind. Wie The Register gestern berichtete, beschreibt ein Forschungspapier unter dem Titel MeltdownPrime and SpectrePrime: Automatically-Synthesized Attacks Exploiting Invalidation-Based Coherence Protocols (PDF) neue Varianten der Meltdown- und Spectre-Exploits.

    Neue Wege für Malware

    Das Forscherteam hat neue Wege für Malware entdeckt, um sensible Informationen wie Passwörter und andere Geheimnisse aus dem Speicher eines anfälligen Computers zu extrahieren, indem es die Designfehler in modernen Prozessoren ausnutzt. Die Patches, die gerade entwickelt und ausgerollt werden, um den Angriffsvektor der Meltdown- und Spectre-Angriffe weiter zu verkleinern, werden diese neuen Exploits wahrscheinlich abdecken. Erst gestern wurden weitere Verbesserungen in dieser Hinsicht in den Mainline-Kernel eingebracht.

    Intel muß zurück ans Reißbrett

    Andererseits greifen die neuen Exploits so tief in die Chip-Architektur ein, dass die Änderungen direkt im Silicon, die Intel gerade plant, vermutlich nicht ausreichen um die CPU-Blaupausen von diesen Schwachstellen zu befreien. Es gibt allerdings bisher noch keine bekannt gewordenen Angriffe, die auf dem ursprünglichen oder dem neuen Exploit basieren. Das ist aber vermutlich eher der Komplexität der Sache geschuldet als dem Desinteresse der potentiellen Ausnutzer dieser Lücken.

    Automatisierte Suche

    Die Forscher haben ein bisher nicht näher beschriebenes Werkzeug entwickelt, das Microschip-Architektureen auf Angriffsszenarien hin überprüft. Sie identifizierten dabei neue Wege, um die Fehler des Prozessors auszunutzen. Diese neuesten Exploit-Techniken werden als MeltdownPrime und SpectrePrime bezeichnet. Die neuen Exploits unterscheiden sich von ihren Vorgängern unter anderem dadurch, dass sie als Zweikern-Angriffeausgelegt sind, sie verwenden zwei CPU-Kerne gegeneinander und nutzen die Art und Weise aus, wie in Mehrkernsystemen auf Speicher zugegriffen wird.

    Höhere Preisgelder

    Derweil hat Intel sein Bug-Bounty-Programm ausgedehnt. Die Erweiterung soll bis zum Jahresende aufrechterhalten werden und speziell weitere Seitenkanalattacken wie Spectre enthüllen. Die Preisgelder belaufen sich dabei auf bis zu 250.000 US-Dollar pro Entdeckung. Der bisherige Modus der Einladung von Intel, am Programm entfällt, es können Sicherheitsforscher aus der ganzen Welt teilnehmen.

  • Chrome Browser blockiert Werbung

     

    Chrome blockiert Werbung
    Photo by Andre Benz on Unsplash

    Ab dem 15. Februar blockiert Googles Browser Chrome Werbung, notfalls auch die eigene. Dabei will der Konzern, der selbst massiv von Werbung lebt, aber nicht den Ad-Blockern Konkurrenz machen, die durchschnittlich von 31 Prozent aller Besucher im Internet benutzt werden. Ad-Blocker versuchen, jegliche Werbung zu unterdrücken. Der Browser Opera bringt bereits einen solchen restriktiven Adblocker mit, ebenso der Browser Brave des ehemaligen Mozilla-Vorstands  Brendan Eich. Google verfolgt ein anderes Modell und will Werbung selektiv blockieren.

    Webseiten, die nicht als reines Hobby betrieben werden, müssen sich finanzieren, das ist einzusehen. Das geschieht auf verschiedenen Wegen. Werbung ist eines der Finanzierungsmodelle, Walled Gardens mit Subskriptionspreis ein anderes. Ein alternatives Modell ist Patreon, das bereits von vielen Blogs und anderen Projekten zur Finanzierung genutzt wird.

    Wie auf dem Jahrmarkt

    Viele Webseiten übertreiben es mit der Werbung so sehr, dass der Besucher beim Betreten denkt, er sei auf einem Jahrmarkt. Solche Seiten machen die Benutzung eines Ad-Blockers zwingend und schaden anderen Webseiten, die Werbung dezent, ziel- und themengerichtet einsetzen. Hier setzt Google mit seiner Blockade an. Webseiten, die den Besucher aufdringlich mit Bild, Ton und Effekten drangsalieren, werden von Google ermahnt, dies abzustellen. Passiert dies innerhalb 30 Tagen nicht, wird Werbung auf dieser Seite künftig geblockt.

    Veträgliche Standards

    Dabei richtet sich Google an den Standards der Vereinigung Better Ads aus, in deren Vorstand der Suchmaschinenriese sitzt. Webseitenbetreiber können ihre Seite  mit dem »Ad Experience Report« selbst überprüfen. Die Standards, nach denen Google blockiert, verhindern Werbung, die automatisch Videos abspielt, Pop-ups einblendet, Werbung, die Seiteninhalte so lange verdeckt bis ein Timer abgelaufen ist oder Werbung die trotzt Scrollens große Teile des Seiteninhalts verdeckt. Auf Mobilgeräten soll zudem Werbung geblockt werden, die mehr als 30 Prozent des Displays einnimmt oder blinkt.

    Kein Tracking-Schutz

    Bisher nicht von Googles Maßnahmen erfasst ist Ad-Tracking. Das Anzeigen-Tracking, bei dem Programmcode im  Browser ausgeführt wird, trägt dazu bei, dass Werbung dazu beiträgt,  Webseiten langsamer zu laden, mehr Speicherplatz beanspruchen, die Datenmenge von Anwendern ohne Flatrate zu erhöhen und die Akkus von Smartphones und Laptops schneller zu leeren. Es kann aber durchaus sein, dass sich »Better Ads« dieses Problems noch annimmt. Mozilla blockiert bereits aktiv Tracking in Firefox.

    Die Werbebranche lenkt ein

    Google handelt hier natürlich nicht uneigennützig, sondern gehorcht der Erkenntnis, dass zu viel und zu aufdringliche Werbung zu einer Steigerung des Einsatzes von Adblockern führt. Hier gilt es einen Weg zu finden, der sowohl die Besucher im Internet als auch die Bedürfnisse der Webseitenbetreiber und der Werbewirtschaft berücksichtigt. Ich bin beispielsweise beruflich den ganzen Tag im Internet auf unzähligen Seiten unterwegs und hätte ohne strikten Ad-Blocker vermutlich andauernd Kopfschmerzen. Ich bin aber gerne bereit, auf Seiten mit unaufdringlicher Werbung eine Ausnahme in Ad-Blocker einzurichten.

  • Skype auch unter Linux angreifbar

    Skype
    Logo: Microsoft Lizenz: Public Domain

     

    In den aktuellen Versionen des Instant-Messaging-Dienstes Skype für Linux, macOS und Windows schlummert eine Sicherheitslücke, die sich sowohl lokal als auch aus der Ferne ausnutzen lässt, um Systemrechte auf dem betroffenen Rechner zu erlangen. Die Lücke befindet sich im Updater der Anwendung. Das meldete jetzt die US-Webseite ZDNet.

    DLL Hijacking

    Der deutsche Sicherheitsforscher Stefan Kanthak fand heraus, dass unter Windows ein Angreifer per DLL-Hijacking dem Updater Schadcode anstelle der erwarteten DLL unterschieben kann. Damit kann ein System komplett übernommen werden. Dazu muss die DLL mit Schadcode in einem temporären Ordner liegen, auf den der User des Systems Zugriff hat und den Namen der erwarteten DLL haben. Beim Start der Anwendung wird dann die mit manipuliertem Code versehene DLL geladen und der Schadcode ausgeführt.

    Auch unter Linux und macOS

    Eine Abwandlung dieser Technik funktioniert auch unter macOS und  Linux, wo der dynamische Linker benutzt und über die Variable  LD_LIBRARY_PATH manipuliert wird. Kanthak hatte die Lücke bereits im vergangenen September an Microsoft gemeldet, das die Anwendung 2011 übernommen hatte. Nach Begutachtung des Bugs ließ der Konzern aus Redmond verlauten, man könne das Problem reproduzieren, die Lücke sei aber nicht im Rahmen eines regulären Sicherheitsupdates zu beheben, sondern bedürfe einer umfangreichen Code-Revision des zwar integrierten, aber als eigenständig ausführbare Datei ausgelegten Updaters.

    Daher wird die Lücke vermutlich erst mit einer neuen Version von Skype behoben. Wann diese erscheinen wird ist derzeit noch nicht bekannt. Skype war bereits 2017 von Sicherheitsproblemen geplagt. Dasmals wurde Malware durch In-App-Werbung eingeschleust, die zu Ransomware-Attacken führen konnte.

     

     

  • VLC 3.0 unterstützt Chromecast und DASH

    VLC 3.0
    Screenshot: ft

     

    Der beliebte Open-Source-Videoplayer VLC ist in Version 3.0 erschienen und hat damit das größte Update in seiner Geschichte erfahren. Seit der letzten Hauptversion 2.2 sind fast drei Jahre vergangen. Die neue Version setzt die Tradition der Codenamen auf Basis von Romanfiguren von Terry Pratchett fort und gibt VLC 3.0 den Beinamen »Vetinari«

    Langzeitpflege

    Die neue Version genießt den LTS-Status der Langzeitpflege mindestens bis mit VLC 4 eine neue Hauptversion mit einer völlig überholten Oberfläche erscheint. Für einige Systeme ist VLC 3.0  auch die letzte funktionierende Version. Das gilt beispielsweise für Windows XP, Windows Vista, macOS-Versionen vor 10.10, Android vor 4.1 und iOS vor 9.0. Die Entwickler haben zudem mit 3.0 die Versionierung für alle Plattformen angepasst und ihnen den gleichen Unterbau verpasst.

    Verbesserte Hardware-Decodierung

    VLC 3.0 kommt mit standardmäßig eingeschalteter verbesserter Hardware-Decodierung, wobei unter Linux auch ein neuer VA-API-Dekoder mit verbessertem Rendering beiträgt. Die Hardware-beschleunigte Video-Dekodierung ist aber auf allen Plattformen für H264- und H265-Inhalte möglich, sodass HEVC-kodierte 4K-Videos mit 60 fps wiedergegeben werden können ohne die CPU ins Schwitzen zu bringen. Theoretisch soll das gar mit 8k funktionieren. Zudem wird  High Dynamic Range (HDR) unterstützt.

    VLC unterstützt OpenGL schon seit langem, aber erst in VLC 3.0 ist unter Linux und BSD nun OpenGL standardmäßig statt Xvideo als Standard-Videoausgang geschaltet. Darüber hinaus kann die aktuelle Version auf Netzwerkdateisysteme wie  FTP, SFTP SMB oder NFS per Network-Browsing direkt zugreifen.

    DASH streamt über HTTP-Server

    Das Streaming von Videos soll durch die neu unterstützte Technik Dynamic Adaptive Streaming over HTTP (DASH) sanfter werden. Dabei werden die Inhalte in eine Folge kleiner HTTP-basierter Datei-Segmente zerlegt und in einer Auswahl verschiedener Bitraten vorgehalten. Der Client wählt das Segment mit der höchstmöglichen Bitrate aus, das in der verfügbaren Zeit bis zur Wiedergabe übertragen werden kann, ohne dass die Wiedergabe stockt und erst wieder gepuffert werden muss.

    VLC 3.0 unterstützt endlich Chromecast

    Obwohl seit Jahren in Arbeit, bietet VLC 3.0 erstmals offiziell Chromecast-Unterstützung. Dazu wurde unter dem Menüpunkt Playback der neue Eintrag Renderer hinzugefügt. Hier werden im Netzwerk Geräte, die Chromecast beherrschen, angezeigt. Viele weitere Neuerungen und Verbesserungen sind in der Ankündigung des VideoLan-Projekts und im Changelog aufgelistet. Der Videoplayer kann für Linux, macOS, Windows, ChromeOS, BSD, Solaris, OS/2, Android und iOS von der Projektseite heruntergeladen werden. Allein für Linux wurde VLC 3.0 in den letzten vier Tagen bereits rund 1,3 Millionen mal heruntergeladen.

     

     

     

  • Ubuntu 18.04 LTS soll Snaps bringen

    Ubuntu 18.04 LTS Bionic Beaver
    Screenshot: ft

    Wenn es nach dem Willen von Ubuntu-Entwickler Steve Langasek geht, soll Ubuntu 18.04 LTS »Bionic Beaver« als erste Ubuntu-Version neben dem herkömmlichen DEB-Format auch  einige Pakete im neuen Snap-Format auf dem Image ausliefern. Das Format wird seit Ubuntu 16.04 LTS »Xenial Xerus« offiziell unterstützt. Bereits 2014 hatte Mark Shuttleworth auf dem Ubuntu-Summit Snaps für die Zukunft als gleichberechtigtes Paketformat oder gar als Ersatz für Debians Format angekündigt. Letzteres ist erst einmal nicht in Sicht, allerdings könnte Ubuntu 18.04 erstmals Snaps beinhalten. Den Vorreiter hat hier Martin Wimpress mit Ubuntu MATE gemacht, der bereits mit 17.10 ein Snap auslieferte.

    Was unterscheidet die Formate?

    Snaps sind Pakete, die den Großteil ihrer benötigten Abhängigkeiten im Paket selbst mitbringen. Zudem sind sie per Sandbox besonders abgesichert – zumindest theoretisch, denn das funktioniert nur unter Wayland einwandfrei. Da aber Ubuntu 18.04 LTS nicht, wie der Vorgänger Ubuntu 17.10 auf Wayland setzt, sondern zu X11 zurückkehrt, entfällt dieser Vorteil erst einmal. Nachteile des Snap-Formats, das eigentlich für das Internet der Dinge entwickelt wurde, ist prinzipbedingt die Größe der Pakete. So ist etwa das Snap von Spotify 168 MByte groß, Skype schlägt mit 110 MByte zu Buche. Zudem passen sie vom Design her nicht immer in das Gesamtbild einer Distribution.

    Vor- und Nachteile

    Zu den Vorteilen zählen automatische Updates, die aber auf Systemen mit wenig Platz auch schnell zu Problemen führen können. Die Möglichkeit zum Abschalten dieser automatisierten Updates wiederum würde einen großen Vorteil von Snaps zunichte machen. So werden etwa im Internet der Dinge Geräte wie Router, Switches und viele mehr automatisch mit neuer Firmware versorgt, was sie weniger anfällig gegen Angriffe macht. Deshalb hat sich Canonical bisher dagegen verwehrt. Sollten Snaps jetzt mit Ubuntu vermehrt für den Desktop ausgeliefert werden, sollte das für diesen Anwendungsfall neu überdacht werden.

    Transaktionelle Updates

    Zudem werden Snaps so aktualisiert, dass dank transaktioneller Updates auf die alte Version zurückgerollt wird, falls etwas schief geht. Gerade für LTS-Ausgaben machen daher Snaps von Paketen, die der Anwender aktuell halten will, durchaus Sinn. Diese können auch parallel zu den normalen Debian-Paketen einer Anwendung koexistieren. Sie sind quasi wartungsfrei und können über den Snapcraft-Store, das Software-Center oder per Kommandozeile installiert und administriert werden.

    Snaps für Ubuntu 18.04 LTS

    Steve Langasek hält daher die Zeit für reif, Snaps mit Ubuntu 18.04 LTS im April auszuliefern. Er hat dazu in einem Aufruf auf der Mailing-Liste der Ubuntu-Entwickler seine Kollegen aufgerufen, dazu Stellung zu nehmen. Im Anhang hat er Ideen zu Richtlinien ausgearbeitet, über die zu entscheiden ist. Bei der Menge an Fragen, die dort aufgeworfen werden ist es allerdings fraglich, ob die Zeit bis zur Veröffentlichung am 26. April ausreicht um dies in verantwortungsvoller Weise zu tun.

    Viele offene Fragen

    Dabei geht es um Lizenzen, die Vertrauenswürdigkeit der Quelltexte und Pakete, die ja nicht durch Repositories wie bei Debian abgesichert sind. Ferner stellen sich Fragen wie wer für die Behebung von Sicherheitsproblemen verantwortlich ist oder wie der Quelltext zugänglich zu machen ist, sodass die Snaps im Launchpad verfügbar sind. Wenn alle Fragen diese geklärt sind, so macht es gerade bei LTS Sinn, bestimmte Pakete wie etwa LibreOffice, Skype, Slack, Spotify oder andere Software aus dritter Hand als Snaps auszuliefern, da gerade bei LTS auch PPAs nicht der Weisheit letzter Schluss sind.

  • Der neueste Stand bei Spectre & Meltdown

    Meltdown und Spectre
    Bild: Google

     

    Es ist etwas ruhiger geworden um die katastrophalen Sicherheitslücken in den meisten der in letzten rund 20 Jahren verkauften Prozessoren, was aber keinesfalls als Entwarnung missverstanden werden sollte. Wer es noch nicht verinnerlicht hat, dem sei hier nochmals gesagt: Meltdown und Spectre werden erst völlig geschlossen sein, wenn Intel neue Steppings seiner Prozessoren am Markt hat. Das wird vermutlich nicht vor 2020 sein. Die für den Sommer 2018 von Intels CEO Brian Krzanich bei der Verkündung der Quartalsergebnisse für Q4 2017 am 25. Januar medienwirksam angekündigten neuen CPUs mit »eingebautem Schutz gegen Meltdown und Spectre« betreffen lediglich neue Server-CPUs. Die Aussage von Krzanich lässt zudem vermuten, das Intel schon länger Kenntnis von den Lücken hatte, denn Änderungen am Silicon dauern lange. Wörtlich sagte er, ohne weiter auf Details einzugehen:

    „We’re working to incorporate silicon-based changes to future products that will directly address the Spectre and Meltdown threats in hardware. And those products will begin appearing later this year.“

    Verbesserter Schutz mit 4.15.2 und 4.14.18

    Das bringt leider den Milliarden in aller Welt betroffenen Rechnern nichts. Wer in den nächsten zwei Jahren eine Intel-CPU für seinen PC kauft, der kauft mit ziemlicher Sicherheit Meltdown und Spectre mit ein. Auch die Entwickler des Linux-Kernel werden noch lange Zeit damit zubringen, die Patches gegen die Lücken zu verbessern. So wurden am 7. Februar die Linux-Versionen 4.15.2 und 4.14.18 veröffentlicht, die erste Maßnahmen gegen Spectre v1 enthalten. Heises Kernel-Spezi Thorsten Leemhuis geht hier mit seinem aktualisierten Kernel-Log in die Details. So wurde nicht nur initialer Schutz gegen Spectre v1 eingebaut, auch der Schutz vor Spectre v2 wurde verbessert. Meltdown hatten die Kernel-Entwickler schon seit 4.15-rc6  gut abgedeckt, sodass hier nur noch Detailverbesserungen einfließen.

    Spectre & Meltdown
    Spectre-Meltdown-Checker mit Kernel 4.15.1
    Spectre & Meltdown
    Spectre-Meltdown-Checker mit Kernel 4.15.2

     

    Intels zweiter Versuch

    Am 8. Februar gab Intel zudem bekannt, neuen Microcode veröffentlicht zu haben. Dieser ist in stabiler Version derzeit allerdings nur für mobile und stationäre Skylake-CPUs verfügbar. Das Update ist nicht für Broadwell,  Haswell, Kaby Lake, Skylake X, Skylake SP oder Coffee Lake geeignet. Neuer Microcode für diese Plattformen befindet sich laut Intel noch im Beta-Test. Die letzte Version des Microcodes zog Intel kürzlich zurück, da die Chip-Plattformen Broadwell und Haswell mit dieser Microcode-Version ungewollte Abstürze oder Neustarts der Hardware auslösten. Der neu veröffentlichte Microcode soll vor allem die Spectre-Lücke besser abdichten.

    Noch keine Angriffe bekannt

    Linux-Anwender kommen hierbei noch ganz gut weg, denn der  Microcode wird per Paket von den Distributionen ausgeliefert und jeweils beim Systemstart geladen. Windows-Nutzer müssen dazu ihr BIOS aktualisieren. Zudem dauert es bei Windows länger, bis die Fixes zu den Anwendern gelangen. Intel liefert den Microcode erst an die OEMs aus, die den Code dann an ihre Mainboards anpassen, bevor er den Anwendern dann als BIOS-Update angeboten wird.

    Verharmlosen hilft nicht

    Vereinzelt werden die Lücken derzeit kleiner geredet als sie sind. Als Aufhänger dient hier die Tatsache, dass »in the wild« noch kein Angriffsszenario umgesetzt werden konnte, das die Lücken ausnutzt. Die 139 Malware-Samples, über die vor einer Woche auch hier berichtet wurde, funktionieren bisher lediglich im Labor. Aber wie gesagt, die Lücken bleiben uns in abgemilderter Form noch lange erhalten und staatliche Hacker und Kriminelle werden nicht so schnell aufgeben.

    Allerdings ist der Grad der Sicherheit seit Bekanntwerden der Lücken Anfang Januar für Linux-Anwender stark verbessert worden. Spectre war von Anbeginn an nur von Profis auszunutzen. Heute ist das Dank der unermüdlichen Arbeit der Kernel-Entwickler wesentlich schwerer geworden.

     

  • KDE-Community stellt KDE Slimbook II vor

    KDE Slimbook II
    Bild : KDE Slimbook II Lizenz: CC-By-SA-2.0 

     

    Vor ziemlich genau einem Jahr stellte der spanische Hardware-Ausrüster Slimbook in Zusammenarbeit mit dem KDE-Projekt ein Ultrabook mit Intel i5- und i7-CPUs sowie vorinstalliertem und auf die Hardware abgestimmtem KDE Neon vor. Ich konnte das 13-Zoll-Ultrabook damals eine Woche lang ausgiebig testen und war durchaus angetan. Jetzt stellt der Hersteller mit dem KDE Slimbook II eine verbesserte Version vor, die zudem zur Einführung etwas günstiger ist als der Vorgänger sein soll.

    Hardware aufgewertet

    Das neue Slimbook II verfügt bei der Hardware mit den Intel i5-7200 Turbo 3.1GHz und Intel i7-7500 Turbo 3.5GHz über Intel-Prozessoren der 7. Generation, die um etwa 15 Prozent schneller zu Werke gehen als die Prozessoren der 6. Generation beim Vorgänger. Die iGPU hört hierbei auf die Bezeichnung Intel HD 620 4K. Ansonsten sind die Entwickler die Kritikpunkte des ersten Modells angegangen. Leider gibt es in der Standardausstattung lediglich vier GByte Arbeitsspeicher,  die bei der Bestellung auf bis zu 16 GByte erweitert werden können. Zudem stammen die Riegel nun aus einem Karton mit der Aufschrift DDR4 anstatt dem nicht mehr zeitgemäßen DDR3.

    Kritikpunkte ausgeräumt

    Das etwas wacklige Touchpad der ersten Version wurde ersetzt und bietet nun ein größeres Multi-Touchpad mit Gestensteuerung und fühlbarem Klick. Auch das Keyboard kann nun in deutscher Ausführung bestellt werden. Bei meinem letztjährigen Vorserienmodell war das noch nicht gegeben. Nichts geändert hat sich nach bisherigem Kenntnisstand bei den Festplatten. Die Kingston-SSD-Serie konnte damals bei der Geschwindigkeit nicht überzeugen. Es stehen aber gegen Aufpreis zwei Modelle von Samsung mit 250 und 500 GByte zur Auswahl. Zudem ist jetzt Platz für eine zweite SSD oder 2,5-Zoll HDD mit maximal 7 mm Höhe.  Das matte 13,3-Zoll Display löst mit 1920 x 1080 Bildpunkten auf. Das Slimbook II kommt auch wieder im haptisch und optisch guten Alu-Kleid. Das Gewicht wurde bei rund 1,3 Kg gehalten. Die Maße liegen bei 32,5 x 22 x 0,6 bis 1,6 cm.

    Angepasste Software

    Softwareseitig kommt wie beim Vorgänger KDE Neon zum Einsatz. Dabei handelt es sich um die stets aktuellsten KDE-Pakete, die zusammen mit Ubuntu zu einer Distribution geschnürt werden. Projektleiter Jonathan Riddell packt damit den aktuellsten Stand aus der KDE-Entwicklung täglich neu in Binärpakete, die über die Paketverwaltung aktualsisierbar sind. KDE Neon kommt in verschiedenen Varianten von den brandheißen Paketen aus dem KDE-Git bis hin zu einer etwas abgehangeneren, aber trotzdem sehr aktuellen User-Edition. Beim Slimbook II ist vermutlich letztere vorinmstalliert, ohne das dies bisher genauer spezifiziert ist. Wem das nicht aktzuell genug ist, der kann jederzeit die Sourcen anpassen.

     

    Wie es ausschaut, hat Anbieter Slimbook seinen Shop noch nicht entsprechend angepasst, sodass hier teilweise noch die alten Spezifikationen stehen. Auch der nicht näher spezifizierte Vorzugspreis fehlt noch. Der Hersteller erklärte auf Nachfrage, das im regulären Verkauf die Preise von € 699 respektive € 799 Bestand haben werden, was für das Gebotene ein vergleichsweise günstiger Preis ist. Immerhin funktioniert hier alles gleich nach dem Auspacken, es müssen keine Treiber oder ähnliches installiert werden.