LN-Waschpress

Blog

  • Erster Librem 5 Statusbericht erschienen

    Librem 5 Statusbericht
    Bild: Puri.sm

     

    Gestern veröffentlichte die Firma Purism den erste Statusbericht zum Linux-Smartphone Librem 5, dem künftig wöchentlich weitere Berichte, alternierend zur Technik und Betriebssystem und Design des Linux-Smartphones folgen sollen. Das im November schwarmfinanzierte Linux-Phone soll Anfang 2019 erscheinen. Für Vorbesteller und Interessierte enthält der Bericht eine beruhigende Nachricht.

    Doch von vorne. Zunächst geht es in dem Bericht um das Team. Aus über 100 Bewerbern wurden 15 neue Mitarbeiter bei Purism eingestellt. Dieses Team bildet den Kern der Entwicklung, der von verschiedenen Communities wie etwa GNOME, KDE, Matrix, Nextcloud und Monero ergänzt wird.

    i.MX8 gewinnt

    Doch nun zur guten Nachricht: Viele der Vorbesteller und andere Interessierte waren besorgt, das Librem 5 könnte mit einem SoC der Baureihe i.MX6 anstatt dessen Nachfolger i.MX8 erscheinen. Der i.MX6 ist mittlerweile bereits einige Jahre alt und wäre für ein Smartphone für rund 600 Euro leistungsmäßig nicht angemessen. Sein großer Vorteil ist der freie Etnativ-Treiber, der mit dem Vivante-Grafikchip des i.MX6 zusammenarbeitet.

    Die Baureihe i.MX8 schwebte bis vor kurzem in einem Vakuum, war sein Erscheinen doch bereits mehrfach verschoben worden und zu guter Letzt war nicht klar, ob und wann er erscheinen würde. Das änderte sich erst in den letzten Wochen während der Elektronikmesse CES in Las Vegas. Dort gab Hersteller NXP die baldige Verfügbarkeit bekannt und veröffentlichte eine erste Dokumentation. Vorserienmodelle sollen noch im ersten Jahresquartal verfügbar werden.

    ARM64 als Architektur

    Die ersten Tests auf einem Prototypen-Board finden allerdings in Ermangelung des i.MX8 derzeit noch mit der stärksten i.MX6-Variante Quadplus statt. Dabei stellte sich heraus, dass sowohl der Leistungsbedarf als auch die Hitzeentwicklung bei i.MX6 für ein Smartphone zu hoch waren. Also wird zur Freude der Unterstützer mit ziemlicher Sicherheit eine Variante des i.MX8 das Librem 5 motorisieren. Der Chip kann 1 – 4 Kerne haben, die  eine Kombination der Architekturen ARM Cortex-A72 und Cortex-A53 nutzen. Softwareseitig setzt das Purism-Team auf  AARCH64 aka ARM64, ein Build-Server für die Architektur steht bereit.

    Community-Beteiligung

    Die Grundlage des Betriebssystems bildet das hauseigene PureOS, die notwendigen Anpassungen werden von Entwicklern und den Communities von GNOME und KDE/Plasma beigetragen, während Zusatzdienste von Nextcloud und Monero angedacht sind. Derzeit bootet das System einen Mainline-Kernel in eine grafische Wayland-Umgebung. Dabei werden derzeit Displays verschiedener Hersteller getestet.

    Purism hat seit November mit über 80 Herstellern in  Asien, Europa und den USA gesprochen, die für die endgültige Herstellung der Geräte in Frage kommen. Im Februar und März sollen einige der Kontakte bei einer Besichtigung der Produktionsstätten vertieft werden.

     

  • AMD veröffentlicht Patches gegen Spectre

    AMD gegen Spectre
    Bild: „P1010310“ von Erman Syah Lizenz: CC-By-SA-2.0

     

    Nachdem Intel bereits letzte Woche Patches gegen die Sicherheitslücke Spectre veröffentlicht hat, zog AMD noch vor dem Wochenende nach. Der Anbieter, der sich zunächst ziemlich sicher vor den gefährlichen Lücken wähnte, ist nun nach eigener Einlassung doch betroffen. Vermutlich sind die AMD-Prozessoren zwar immun gegen die Auswirkungen von Variante 3 (Rogue Data Cache Load), auch als Meltdown bekannt, jedoch anfällig für die beiden Spectre-Typen Variante 1 (Bounds Check Bypass) und Variante 2 (Branch Target Injection).

    AMD gegen Spectre

    Mark Papermaster, Senior Vice President und Chief Technology Officer bei AMD erläutert die Details der Maßnahmen. Demnach arbeitet AMD eng mit Microsoft und der Linux Community zusammen um die Patches möglichst schnell und schonend an die Nutzer auszuliefern. Zudem arbeitet AMD mit den Kernel-Entwicklern bei der Umsetzung von Googles Retpoline-Patches, deren erster Teil bereits nächste Woche mit Kernel 4.15 erscheinen soll.

    Angepasster GCC

    Damit Retpoline auch etwas ausrichten kann braucht es aber auch eine angepasste GNU Compiler Collection (GCC). Hier wurden am Sonntag entsprechende Anpassungen gegen Spectre (CVE-2017-5715)  für den noch in der Entwicklung befindlichen GCC 8 auf Git hochgeladen. Für den derzeit von vielen aktuellen Distributionen genutzten GCC 7 werden die Änderungen zurückportiert. Distributionen, die ältere Compiler-Versionen nutzen müssen vermutlich selbst tätig werden.

    Neuer Microcode

    AMD will im Wochenverlauf ein weiteres neues Microcode-Update speziell für Ryzen- und EPYC-Prozessoren herausgeben. In den kommenden Wochen soll neuer Microcode für ältere Generationen von AMD-Chips erscheinen. Papermaster betont, AMD-Radeon-GPUs seien nicht betroffen, da sie keine spekulative Ausführung nutzen.

    Sowohl die bisherigen Patches von Intel als auch von AMD liefen nicht auf allen Plattformen gleich gut. Besonders bei Intel sind viele Rechner nach Einspielen der Patches mit Haswell- und Broadwell-Prozessoren von spontanen Reboots betroffen.

  • Nextcloud Talk als Skype-Alternative

    Nextcloud Talk als Skype-Alternative

    Nextcloud Talk
    Logo: Nextcloud

     

    Nextcloud, die freie Software für das Speichern, Synchronisieren und gemeinschaftliche Bearbeiten von Daten auf dem eigenen Server hat sein Angebot um Nextcloud Talk erweitert. Dabei handelt es sich um eine Open-Source-Kommunikations-Software für Audio-/Video-Chats, die auf dem eigenen Server gehostet wird und echte Ende-zu-Ende-Verschlüsselung bietet. Dazu wurde in über 1,5 Jahren die anfangs an Nextcloud angebundene Kommunikationslösung Spreed.ME zum jetzt angekündigten Talk weiterentwickelt.

    Peer-to-Peer und WebRTC

    Talk setzt auf Peer-to-Peer und nutzt WebRTC zur Verbindung der Teilnehmer. Für die Qualität der übertragenen Videodaten sorgt der High-Efficiency-Video-Coding-Standard H265. Die Software bietet private oder öffentliche Chats zwischen zwei Personen oder Gruppen und unterstützt Audio, Video und Text. Zudem können Dateien und der Bildschirminhalt oder Teile davon ausgetauscht werden. Die Software ist zudem für gemeinsames Arbeiten mit Nextcloud Files und Nextcloud Groupware integriert.

    Bereit für den Unternehmenseinsatz

    Wenn bei Gruppenchats, Webinaren oder Konferenzen die Bandbreite knapp wird, können Unternehmen das Spreed High Speed Backend des Nextcloud-Partners Struktur AG buchen. Dabei werden per Multipoint Control Unit (MCU) die einzelnen Videodatenströme zusammengefasst, sodass pro Teilnehmer nur noch eine eingehende sowie eine ausgehende Leitung vorliegt. Zudem bietet die Software, die lokal installiert wird, ein SIP-Gate zur Teilnahme an Gruppenchats per Telefonnummer. Das lohnt sich allerdings nur für Unternehmen, denn die Preise liegen bei 5.000 Euro für den Server und 50 Euro je Nutzer pro Jahr.

    Alternative zu Skype und Google Hangouts

    Alle weiteren Funktionen sind frei zugänglich, was Talk zu einer freien und selbstgehosteten Alternative zu Diensten wie Skype oder Google Hangouts macht. Alternative auch deshalb, weil selbst andere Anwendungen wie WhatsApp Calls, Threema, Signal Calls oder der Facebook Messenger oder das jetzt auch Ende-zu-Ende-verschlüsselte Skype zum Signaling einen zentralen Server des Anbieters nutzen, der dann über die Meta-Daten unserer Kommunikation verfügt. Zudem ist die Verschlüsselung nicht verifizierbar solange der Quellcode nicht zur Verfügung steht. Erfreulicherweise wurde vor wenigen Tagen das ART-Protokoll hinter dem Facebook-Messenger als Open Source auf GitHub veröffentlicht. Bei Talk übernimmt der eigene Nextcloud-Server das Signaling und die Metadaten bleiben privat.

    Damit erhält der Markt der Chat-Anwendungen aus dem Open-Source-Bereich eine professionell entwickelte Anwendung. Bisherige freie Alternativen wussten nie völlig zu überzeugen. Zudem ist Talk eine logische Erweiterung der kollaborativen Möglichkeiten, die Nextcloud zur Bearbeitung von Dokumenten bietet. Ein weiterer Vorteil: Ein Login reicht aus und alle Kontakte in Nextcloud sind auch für Talk verfügbar. Einladungen können auch  über den Nextcloud-Kalender verschickt werden.

    Webinterface plus Mobile-Apps

    Im Mittelpunkt der Anwendung steht die App,  die im Nextcloud Store bereitsteht. Diese wird  von dort mit einem Klick auf dem eigenen Nextcloud-Server installiert. Als Frontend dienen ein Webinterface sowie Apps für Android und iOS. Dabei müssen Teilnehmer kein Konto haben oder Software installieren. Bei den Mobil-Apps wird ein Teilnehmer per Push-Benachrichtigung von einem Anruf unterrichtet. Nextcloud Talk wird demnächst zusammen mit Nextcloud 13 bereitgestellt. Wer zur Verbesserung der Software beitragen möchte, kann bereits jetzt Nextcloud 13 RC1 installieren und Talkin Version 1.0 ausprobieren. Der Quellcode der Anwendung steht auf GitHub zur Einsicht bereit. Um möglicher Verwirrung vorzubeugen: Spreed heißt jetzt Talk, auch wenn im Netz an verschiedenen Stellen noch der alte Name Spreed auftaucht.

     

    [su_slider source=“media: 3527″ link=“image“ width=“700″ height=“460″ mousewheel=“no“ autoplay=“0″ speed=“0″]

     

    Ich habe Talk eine halbe Stunde in einem Video-Chat mit Nextclouds Jos Poortvliet ausprobieren können und bin erfreut über die bereits jetzt gegebene Stabilität und Qualität der Anwendung. Hier wächst eine freie Alternative heran, die die Privatsphäre achtet und niemandem verrät, wann und mit wem ich was kommuniziere. Damit ist Talk eine logische Fortsetzung der Entwicklung von Nextcloud und eine willkommene Bereicherung der Möglichkleiten, mit Open Source voll verschlüsselt zu chatten.

     

  • Weiterer Fehler in Intels AMT gefährdet Notebooks

    Intel AMT
    Bild: „Intel“ von Christian Rasmussen Lizenz: CC By-SA 2.0

     

    Das Jahr fing schlimm an für Intel. Und so geht es auch weiter. Nicht nur die Hardware, auch die Software scheint erneut mit heißer Nadel gestrickt zu sein. Finnische Sicherheitsforscher der Firma F-Secure beschreiben einen weiteren Fehler in Intels Active Management Technology (AMT), einem Bestandteil der mit reichlich negativen Schlagzeilen behafteten Intel Managment Engine.

    AMT wird in praktisch allen Desktops, Servern und Tablets, welche auf Intel vPro basieren, eingesetzt. Unter anderem sind dies die Intel-Core-i-Serien i3, i5, i7 und die Intel Xeon Prozessorfamilien. Unter Linux lässt sich recht einfach feststellen, ob AMT an Bord ist. Der Befehl lspci listet dann eine Zeile zu einem Communication Controller, die entweder die Kürzel HECI oder MEI enthält.

    Noch eine Lücke in Intels ME

    Zu den bereits bekannten Sicherheitsmängeln in Intels Active Management Technology (AMT) kommt nun eine weitere Lücke hinzu, die es Angreifern erlaubt, Anmeldeinformationen auf Firmen-Laptops zu umgehen. Wie F-Secure berichtet, erlauben unsichere Standardeinstellungen in Intel AMT es einem Eindringling, Benutzer- und BIOS-Passwörter sowie TPM- und Bitlocker-PINs vollständig zu umgehen und in 30 Sekunden in fast jeden Firmen-Laptop einzubrechen, wenn physischer Zugriff auf das Gerät besteht. Der neueste Fehler erhält seine Brisanz wegen der einfachen Ausnutzung. »Die Schwachstelle kann in Sekundenschnelle ohne eine einzige Codezeile ausgenutzt werden«  berichteten die Entdecker bei F-Secure.

    BIOS-Passwort verhindert den Angriff nicht

    Das Setzen eines BIOS-Passworts, das normalerweise verhindert, dass ein unbefugter Benutzer das Gerät hochfährt oder Änderungen an ihm vornimmt, verhindert laut F-Secure nicht den Zugriff auf die AMT-BIOS-Erweiterung. Dies ermöglicht einem Angreifer Zugriff auf die Konfiguration von AMT und ermöglicht unter Umständen die Fernausnutzung. Um die Lücke auszunutzen muss ein Angreifer lediglich den Zielcomputer einschalten und während des Bootvorgangs die Tastenkombination STRG+P drücken. Der Angreifer kann sich dann mit dem Standardpasswort admin in die Intel Management Engine BIOS Extension (MEBx) einloggen, sofern hier kein neues Passwort gesetzt wurde. Im BIOS findet sich unter Security oder Config eine Option, AMT anzuschalten.

    Laut F-Secure steht es dem Angreifer dann frei, das Standardkennwort zu ändern, den Fernzugriff zu aktivieren und das Benutzer-Opt-In von AMT auf None zu setzen.  Harry Sintonen, Senior Security Consultant bei F-Secure, schreibt der Lücke ein hohes zerstörerisches Potential zu, wenn er sagt: »In der Praxis kann es einem Angreifer die vollständige Kontrolle über den Arbeitslaptop eines Einzelnen geben, trotz der umfangreichsten Sicherheitsmaßnahmen.«

    Mit VPN-Support doppelt brisant

    Der Angriff fällt wegen der sehr kurzen Zeit, die er zur Ausführung braucht in die Kategorie »evil maid attacks«. Notebooks in Hotelzimmern, alleingelassene Laptops im Büro sind für solche Angriffe anfällig. Potenziert wird das Problem bei neueren CPUs, die per AMT über VPN-Support verfügen. Hier steht dem Angreifer schnell das Firmennetzwerk offen.

    Auch die Gerätehersteller in der Pflicht

    Das Problem wird dadurch befördert, dass viele Gerätehersteller nicht in Einklang mit Intels nach den letzten Lücken im November 2017 nochmals überarbeiteten Anleitung (PDF) vorgehen und das Passwort bereits vor der Auslieferung ändern oder AMT standardmäßig deaktivieren. Den meisten Anwendern entgeht bisher die Problematik, selbst in vielen Unternehmen nehmen die Administratoren hier keine Änderungen vor. Sintonen rät, die AMT völlig abzuschalten, falls diese Option im BIOS angeboten wird. Auf jeden Fall sollte sie mit einem sicheren Passwort versehen werden. Obwohl Privatanwender hier nicht völlig außen vor sind, wird diese Lücke vermutlich eher in Unternehmen und Organisationen ausgenutzt.

  • Barcelona hui – München pfui

     

    Barcelona
    Bild: „HDR_sagradafamfrontal“ von Jose Luis Hidalgo R. Lizenz: CC-By-2.0

     

    München verjagt gerade den Pinguin, der daraufhin weiter nach Barcelona zieht. Hatten wir erst kürzlich über Freie Software in Europa berichtet, so gibt es nachträglich einen Zuwachs zu berichten. Die katalanische Hauptstadt will in den nächsten Jahren zunächst auf Open-Source-Anwendungen und anschließend auf Linux als Unterbau setzen.

    Zweigeteilter Ansatz

    Das berichtete kürzlich die größte spanische Tageszeitung El País. Demnach sollen im Jahr 2018 rund 70 Prozent des IT-Budgets der Stadt in Open-Source-Software investiert werden. Francesca Bria, die Kommissarin für Technologie und digitale Innovation im Stadtrat, sagte der Tageszeitung, der Übergang auf Open-Source-Anwendungen soll abgeschlossen sein, bevor das Mandat der derzeitigen Verwaltung im Frühjahr 2019 ausläuft.

    Als Erstes sollen der Outlook Mail-Client und der Exchange Server durch Open-Xchange ersetzt werden. Es folgen Firefox und LibreOffice anstelle von Internet Explorer und Microsoft Office. Wenn dies abgeschlossen ist, fällt die Wahl vermutlich auf Ubuntu als Linux-Distribution, um Windows auf den Clients der Verwaltung zu ersetzen. Die Stadt Barcelona betreibt bereits jetzt rund 1.000 Desktops mit Ubuntu als Teil eines Pilotprojekts.

    Barcelona unterstützt »Public Money, Public Code«

    Barcelona ist mit diesem Projekt die erste Stadt, die sich der Kampagne Public Money, Public Code der Free Software Foundation Europe (FSFE) anschließt. Der Kampagne der FSFE liegt ein offener Brief zugrunde, der fordert, dass öffentlich finanzierte Software auch immer freie Software sein sollte. Dies unterstützt auch Kommissarin Bria, wenn sie gegenüber El País sagt: »Das Geld der Steuerzahler sollte in wiederverwendbare Systeme investiert werden, die dem lokalen Ökosystem offen stehen«

    Mit der Open-Source-Strategie will die Verwaltung der Stadt Barcelona verhindern, dass weiterhin große Summen an Steuergeldern für Software-Lizenzen ausgegeben werden. Die Abhängigkeit von proprietären Anbietern, deren Verträge mit der Stadt zum Teil sei Jahrzehnten bestehen, soll beendet werden.

    Quellcodes wiederverwenden

    Darüber hinaus fördere Open-Source-Software die Wiederverwendung von Quellcode, so Bria. Anwendungen, die von der Stadt Barcelona entwickelt und öffentlich zugänglich gemacht werden, sollten auch anderswo weiterverwendet werden. Ein gutes Beispiel hierfür ist die 2012 in Barcelona entwickelte Sentilo-Plattform, ein Open-Source-Sensor- und Aktuatoren-Netzwerk, das mittlerweile auch von der spanischen Stadt Terrassa genutzt und mitentwickelt wird. Sentilo wird darüber hinaus in Dubai und Japan eingesetzt.

    15 Jahre Freie Software in Spanien

    Mit diesem Schritt könnte Barcelona das werden, was München hätte werden sollen – eine Stadt, die so weit als irgend möglich auf freie Software setzt. Spanien hat eine lange Tradition, wenn es um freie Software geht. So werden in der Extremadura als einer der ärmsten Regionen Spaniens bereits seit 2002 großflächig Debian-basierte Distributionen eingesetzt. Im Jahr 2012 wurden über 4.000 Schulen in Andalusien auf 220.000 Desktops mit Guadalinex, einem Ubuntu-Derivat, ausgerüstet.

    Im Jahr 2014 hat die Verwaltung der spanischen autonomen Region Valencia Zahlen veröffentlicht, nach denen die Schulen der Provinz innerhalb der letzten Jahre mehrere Millionen Euro sparten, indem sie auf rund 110.000 Computern Linux einsetzen. Auch die ebenfalls autonome Region Galizien setzt weiterhin auf freie Software, wie ein neuer Aktionsplan 2017 erläutert. Dabei fällt auf, dass es größtenteils autonome Regionen sind, die in Spanien Open Source einsetzen. Ein Grund hierfür könnten kleinere Verwaltungen mit mehr eigenem Spielraum sein.

  • Wichtige Neuerungen für Ubuntu 17.10

     

     

     

    Neuerungen für Ubuntu 17.10
    Bild: Canonical

     

    Ubuntu 17.10 »Artful Aardvark« erfährt in den kommenden Tagen zwei wichtige Änderungen. Am morgigen Donnerstag wird die im Oktober 2017 veröffentlichte Ausgabe Ubuntu 17.10 erneut als Ubuntu 17.10.1 veröffentlicht. Es ist dies das erste Mal, dass eine Ausgabe von Ubuntu, die nicht mit der Langzeitunterstützung LTS ausgestattet ist, ein Punkt-Release erhält. Grund für die Neuveröffentlichung ist ein Fehler in einem Treiber, der dazu führen konnte, das Notebooks von Lenovo und anderen Herstellern bereits nach dem Booten der Live-Medien von Ubuntu 17.10 ein korrumpiertes BIOS aufweisen konnten.

    Fatale Folgen

    Die Folgen reichten von nicht mehr speicherbaren BIOS-Einstellungen über den Verlust der Bootfähigkeit per USB bis hin zu gar nicht mehr bootenden Systemen. Daraufhin zog Canonical das Desktop-Image von Ubuntu 17.10 vom Download-Server zurück, weshalb auch mit Fug und Recht von einer Neuveröffentlichung gesprochen werden kann. Der Grund für den fatalen Fehler war schnell gefunden. Der Intel-SPI-Treiber, der unter anderem dazu dient, das BIOS aus dem System heraus aktualisieren zu können, war schnell als der Schuldige ausgemacht. Die Ubuntu-Entwickler hatten diesen Treiber im Kernel aktiviert. Der Hilfstext weist darauf hin, dass man genau wissen sollte was man tut, wenn man den Treiber aktiviert.

    Neuveröffentlichung

    Ubuntu-Entwickler Steve Langasek kündigte vor einigen Tagen auf der Ubuntu-Mailing-Liste für den 11. Januar eine Neuveröffentlichung von Ubuntu 17.10 an. Vermutlich werden auch einige andere Varianten aus der Ubuntu-Familie neue Images erhalten. Bei den Daily-Builds steht unter dem Stichwort  »Artful Dot One« bereits seit Tagen ein entsprechendes Ubuntu-Image bereit. Die Neuveröffentlichung am morgigen 11.1 war angesichts des nahenden Endes der Unterstützung für Ubuntu 17.04 »Zesty Zapus« am 13. Januar notwendig geworden.

    Kernel-Patches bis zurück zu Ubuntu 12.04 ESM

    Dabei blieb keine Zeit, sich um die Eindämmung von Meltdown und Spectre zu kümmern. Der Ubuntu-Kernel 4.13.0.21,  der mit 17.10.1 veröffentlicht wird, enthält keine Patches gegen die Lücken. Deshalb sollten Neuinstallationen von 17.10.1 gleich ein Update erhalten. Dazu wird heute noch der Kernel 4.13.0.25.26, der die KPTI-Patches gegen Meltdown enthält, veröffentlicht. Außerdem werden Kernel 4.4.0-108.131 für Ubuntu 16.04 LTS, Kernel 3.13.0.139.148 für Ubuntu 14.04 LTS und 4.4.0-108.131~14.04.1 für Ubuntu 14.04.5 LTS veröffentlicht.  Für Ubuntu 12.04 ESM (Extended Security Maintenance) mit verlängertem Support steht Kernel 3.2.0-132.178 bereit, für Ubuntu 12.04.5 ESM trägt der gepatchte Kernel die Versionsnummer 3.13.0.139.129. Zudem gibt es einen neuen gepatchten  Nvidia-Treiber 384.111.

  • Notebook-Hersteller Purism stellt Ziele für 2018 vor

    Bild: puri.sm

     

    Purism hat in den drei Jahren seines Bestehens viel geschafft. Der kalifornische Linux-Hardware-Hersteller gründete sich 2014 mit einer Crowdfunding-Kampagne für das Notebook Librem 15, die fast 600.000 US-Dollar einbrachte. Mittlerweile ist die 3. Revision des Librem 15 auf dem Markt und ist mit Coreboot und abgeschalteter Intel ME ausgestattet. Als zweites Notebook wurde das Librem 13 veröffentlicht, das derzeit in Revision 2 verfügbar ist. Das dazugehörige, auf Debian basierende Betriebssystem PureOS wurde von der Free Software Foundation (FSF) in die Liste der unterstützten Betriebssysteme aufgenommen.

    Wichtige Partnerschaften

    Ende 2017 konnte das Crowdfunding für das Linux-Smartphone Librem 5 mit Erfolg abgeschlossen werden. Mittlerweile wurden zur Verwirklichung der Ziele des Librem 5 Partnerschaften mit KDE, GNOME, Nextcloud und der Crypto-Währung Monero eingegangen. Im neuen Jahr liegt der Schwerpunkt der Arbeit bei Purism zunächst klar auf der Veröffentlichung des Entwickler-Mainboards für das für den Januar 2019 angekündigte Librem 5. Um Entwickler bei der Erstellung von Apps mittels PureOS oder jeder anderen Linux-Distribution für das Librem 5 zu unterstützen, soll eine gute Dokumentation erstellt werden.

    Spannendes Convertible

    Die Notebooks Librem 13 und 14 sollen in 2018 eine 4. Revision erhalten. Zudem soll das bereits erwartete Librem 11 Tablet den Markt erreichen. Es handelt sich hierbei um ein 11.6-Zoll 2-in-1-Convertible mit PureOS. Neben mehr Öffentlichkeitsarbeit auf Konferenzen sollen die Notebooks mit TPM+Heads ausgestattet werden. Zudem sollen die »Purist Ethical Services« vorgestellt werden, zu denen es noch keine weiteren Informationen gibt.

    Bisher hat Purism seine Ziele stets konsequent umgesetzt. Das lässt auf ein gutes Gelingen bei den Projekten Librem 5 und Librem 11 hoffen.

     

  • Freie Software im öffentlichen Sektor Europas

    Freie Software in Europa
    Bild „Old Europe Spy“ von Maik MeidCC BY-SA 2.0

     

    Angesichts der Rückmigration der bayrischen Landeshauptstadt München von Linux zu Windows und vermutlich LibreOffice zu Microsoft Office und den damit verbundenen enormen Kosten bietet sich ein Blick auf entsprechende Erfolgsgeschichten im In- und Ausland an. Dabei stellt sich heraus, dass die 16.000 Rechner, die die Verwaltung in München unter LiMux und LibreOffice noch betreibt eine vergleichsweise kleine Migration hin zu freier Software war.

    Freie Software in Eurpopa

    Die Stiftung hinter LibreOffice, The Document Foundation (TDF), hat eine Liste herausgegeben, die bereits abgeschlossene oder noch laufende europaweite Migrationen zu Linux oder LibreOffice aufzeigt. Geht es um die nackten Zahlen, so liegt hier Frankreichs Verwaltung vorne. Bereits 2012 wurde der Einsatz von LibreOffice in insgesamt 11 von 17 Ministerien, darunter Gesundheit, Soziales und dem Außenministerium beschlossen. Seitdem wird die Installation von LibreOffice auf einer halben Million Rechnern vorangetrieben. Verantwortlich dafür zeichnet die interministerielle Arbeitsgruppe MIMO, die 2015 bekannt gab, die Umsetzung sei beinahe abgeschlossen.

    Frankreich, Spanien und Italien sind Spitzenreiter

    Zahlenmäßig auf dem 2. Platz liegt Spaniens Provinz Andalusien, wo man bereits 2010 damit begann, Ubuntu in 2.000 Schulen auszurollen. Dabei sollen insgesamt 220.000 Desktops für rund 600.000 Schüler und 75.000 Lehrer mit Ubuntu ausgestattet werden. Das Ziel dieser Migration sind insgesamt 6.000 Schulen. In Italien hat das Verteidigungsministerium im Oktober 2015 im Rahmen des Projekts LibreDifesa damit begonnen, über 100.000 PCs mit LibreOffice auszustatten. Bis 2020 soll das Projekt abgeschlossen sein. Die Office-Suite wird auf allen Rechnern installiert, sobald deren Microsoft-Office-Lizenz ausläuft. So waren 2017 rund 75.000 Rechner bereits mit der Open-Source-Lösung ausgestattet. Das Verteidigungsministerium rechnet mit Einsparungen von 26 – 29 Mio. Euro bis 2020.

    Einsparungen in Millionenhöhe

    In Spanien spart die Region Valencia jährlich 1,5 Mio. Euro an Lizenzkosten, seit dort 2012 rund 120.000 Rechner der Verwaltung mit LibreOffice ausgestattet wurden. Zudem wurden in der Region alle Schulen mit insgesamt 110.000 Rechnern mit der auf Ubuntu LTS basierenden Linux-Distribution Lliurex mit MATE als Desktop ausgestattet. Seit 2015 wurden dabei über 30 Mio. Euro eingespart.

    In Frankreich hat die Gendarmerie seit  2013 rund 72.000 Rechner auf Ubuntu umgestellt. Neben den Einsparungen sei ein weiterer Vorteil die Unabhängigkeit von kommerziellen Herstellern, wie Major Stéphane Dumond vom Innenministerium auf der Evento Linux Konferenz 2013 betonte.

    Deutschland weit hinten

    Die Liste der TDF führt noch viele weitere Migrationen in Europa und aller Welt auf, die eines klar zeigen: Deutschland liegt, was den Einsatz von Open Source und Freier Software angeht, weit hinten. Das einzige Projekt, das für Deutschland aufgeführt ist, wurde in München aus politischem Kalkül in den letzten Jahren schlachtreif geschossen und kürzlich zu Grabe getragen.

     

     

  • Meltdown & Spectre aus Sicht eines Kernel-Entwicklers

    Meltdown & Spectre
    Bild: „Greg Kroah-Hartman“: von tian2992CC BY-SA 2.0

     

    Kernel-Entwickler Greg Kroah-Hartman (GregKH) hat in seinem Blog einen Statusbericht über den derzeitigen Stand der Dinge bei Meltdown und Spectre veröffentlicht. Als Essenz bleiben zwei Kernsätze:

    • Linux-Nutzer sollten in den nächsten Monaten noch eifriger auf zeitnahe Kernel-Updates achten.
    • Wer eine Distribution nutzt, die noch keinen aktualisierten Kernel mit den KPTI-Patches anbietet, sollte jetzt die Distribution wechseln.

    GregKH, der Maintainer der Stable-Kernel-Reihe, verweist zum Verständnis der Ereignisse auf das Projekt-Zero-Papier der GoogleSicherheitsforscher, das er in seiner Qualität für preisverdächtig hält. Weitere technische Details, wie die Kernel-Entwickler die Lücken zu schließen versuchen, finden sich auf LWN im Artikel »Addressing Meltdown and Spectre in the kernel«, der allerdings derzeit nur für Abonnenten zugänglich ist.

    Kritik an den betroffenen Unternehmen gibt es nicht nur von Linus Torvalds, sondern auch von GregKH, wenn der sagt, dies sei ein Paradebeispiel dafür, wie man nicht mit der Kernel-Entwicklergemeinde umgehen sollte. Es gibt laut GregKH dazu noch einiges zu sagen, jetzt sollen allerdings zunächst die Fehler beseitigt werden.

    Meltdown – x86

    Der heute erwartete Kernel 4.15-rc7 wird alle Patches gegen Meltdown enthalten, die bisher verfügbar sind. Da aber die wenigsten Anwender rc-Kernel nutzen, hat GregKH als Hüter der stabilen Kernelreihen den Page-Table-Isolation-Code, der Meltdown-Angriffe vereitelt, in den aktuellen Kernel 4.14.12 übernommen. In  den nächsten Tagen wird dieser von 4.14.13 abgelöst, der einige Patches für Systeme enthält, die Bootprobleme mit 4.14.12 haben. Auch die LTS-Kernel 4.4 und 4.9 sind mit der Option CONFIG_PAGE_TABLE_ISOLATION neu gebaut und veröffentlicht worden.

    Meltdown – ARM64

    Die Meltdown-Patches für ARM64 sind noch im aktuellen Kernel-Zweig integriert. Sie sind fertig und sollen, sobald 4.15 in wenigen Wochen aus der Tür ist, in 4.16-rc1 gemerged werden. Anwender, die auf einen ARM64-Kernel angewiesen sind, sollten daher derzeit auf den Android Common Kernel-Zweig setzen. Die Patches sind dort in die Zweige 3.18, 4.4 und 4.9 gemerged worden.

    Spectre

    Bisher sind keine Patches gegen diesen Angriffsvektor in die offiziellen Kernelreihen eingebracht worden. Es liegen eine Menge Patches auf diversen Mailinglisten vor, die das Problem angehen, aber alle sind noch in heftiger Entwicklung begriffen. Teilweise gibt es Konflikte zwischen diesen Patches, die zum Teil noch nicht einmal so weit sind, dass sie gebaut werden können. Hier herrscht ziemliches Durcheinander. Das liegt daran, dass die Spectre-Probleme die letzten waren, die von den Kernel-Entwicklern angegangen wurden. Alle arbeiteten an Meltdown-Lösungen, und es lagen keine wirklichen Informationen darüber vor, was genau das Spectre-Problem überhaupt war.

    Aus diesem Grund wird es noch einige Wochen brauchen, um diese Probleme zu lösen und sie Upstream zusammenzuführen. Die Korrekturen kommen in verschiedenen Subsystemen des Kernels an und werden gesammelt und in den stabilen Kernel-Updates veröffentlicht sobald sie gemerged sind. Also ist es auch hier am besten, mit den Kernel-Releases der verwendeten Distribution oder den LTS- und stabilen Kernel-Releases auf dem Laufenden zu bleiben.

    Meltdown & Spectre: Alle im gleichen Boot

    Die gesamte Industrie sitzt hier derzeit im gleichen Boot. Kein Betriebssystem scheint gegen Spectre bisher ausreichend gewappnet. Die vorgeschlagenen Lösungen sind nicht gerade trivial, aber einige von ihnen sind erstaunlich gut. Der Retpoline-Post von Googles Paul Turner ist ein Beispiel für einige der neuen Konzepte, die zur Lösung dieser Probleme entwickelt wurden. Dies wird in den nächsten Jahren ein Bereich mit vielen Forschungsarbeiten sein, um Wege aufzuzeigen, wie man die potenziellen Probleme im Bereich der spekulativen Ausführung bei modernen Prozessoren in den Griff bekommt.

    Derzeit liegen Patches für Meltdown und Spectre lediglich für die Architekturen x86 und arm64 vor. Einige Patches sind in Unternehmens-Distributionen gesichtet worden, die hoffentlich bald in den Upstream eingeführt werden.

    »Im Moment gibt es eine Menge sehr überarbeiteter, mürrischer, schlafloser und einfach nur angepisster Kernel-Entwickler, die so hart wie möglich daran arbeiten, diese Probleme zu lösen, die sie selbst überhaupt nicht verursacht haben. Bitte seid hier rücksichtsvoll. Sie brauchen die ganze Liebe und Unterstützung und kostenlose Versorgung mit ihrem Lieblingsgetränk, das wir ihnen zur Verfügung stellen können, um sicherzustellen, dass wir alle so schnell wie möglich mit reparierten Systemen arbeiten können.«

     

     

  • CPU-Gau: Korrigierte CPUs in weiter Ferne

     

    CPU-Gau
    Bild: „IntelPentium4_Northwood_SL6SB_2015-05-09-17.26.07_-_ZS-PMax_-_Stack-DSC03946-DSC04026“ von Fritzchens Fritz Lizenz: CC-0

     

    Die Auswirkungen des CPU-Super-Gau, der in den letzten Tagen immer deutlicher die Züge einer IT-Katastrophe annahm sind noch nicht völlig überschaubar. Klar ist aber, dass letztendlich nur der Austausch der CPU die ultimative Lösung ist. Aber selbst wer sowieso in naher Zukunft die Anschaffung einer neuen CPU oder eines neuen Rechners geplant hat, wird seine zeitliche Planung neu überdenken müssen.

    Intel-Mitarbeiter klärt auf

    Die Tweet-Serie des ehemaligen Intel-Mitarbeiters Joe Fitz klärt uns darüber auf, dass hier mit Jahren und nicht mit Monaten zu rechnen ist, bis korrigiertes Silizium die Kunden erreicht. Aufgrund der gegebenen und über Jahrzehnte gewachsenen Komplexität heutiger Prozessoren ist es sehr aufwendig, das Layout auch nur in kleinsten Schritten zu ändern. Jedes sogenannte Stepping – bei Software würde man von einem Build-Vorgang sprechen – kostet einige Millionen Dollar und dauert einige Monate. Es ist jedoch mit einem Stepping nicht getan, ganz abgesehen von dem darauf folgenden Testzeitraum und der Auslieferung an die OEMs und der Händler für den Endkundenmarkt.

    Die Zahl der Steppings ist relativ eng begrenzt, will man profitabel bleiben. Den Änderungen am Layout sind zudem enge Grenzen gesetzt, was das Ausmaß pro Stepping angeht. Es sind bei weitem nicht alles »full layer steppings«. So können etwa keine logischen Gatter geändert werden, ohne weitreichende Regressionen hervorzurufen. Bestenfalls kann man die Art, wie die Gatter angebunden sind, verändern.

    Kleine Änderungen und hohe Kosten pro Stepping

    Die Grenzen der möglichen Veränderungen sind von einem Bit bis hin zu wenigen Byte eng gesteckt. Instruktionen können ausgetauscht, die Richtung eines Branch angepasst werden. Verändert man mehr, beeinflusst man alles drum herum. Somit liegt der Zeitrahmen selbst für kleinste Veränderungen bei mehreren Monaten für die Steppings, weitere Monate für interne Tests des Fixes. Dann folgen Regressions-Tests gegen 50 Jahre Code, die die CPU unterstützt. Ist das alles erfolgreich durchlaufen, folgt noch einmal ein halbes Jahr für die Produktion, gefolgt von der Auslieferung.

     

     

    Das beschriebene Szenario mag zur Reperatur der jetzt aufgefundenen Fehler im Design unter Umständen aber auch nicht ausreichen.  Dann müsste man bei den Chip-Herstellern von der Entwicklungsphase zurück in die Planunsgsphase. Dann würden aus 1-2 Jahren der oben beschriebenen Änderungen und Steppings, die alle in die im Schaubild gelbe Entwicklungsphase fallen schnell 5-6 Jahre unter Einbeziehung der rosa Planungsphase.

    Teurer Design-Fehler

    Für Intel und die anderen betroffenen Hersteller bedeutet das, dass der Absatz der bereits produzierten und im aktuellen Stepping noch zu produzierenden CPUs wahrscheinlich hohe Verluste nach sich ziehen werden, die von den Entwicklungskosten für eine bereinigte Architektur nochmals erhöht werden. Zudem sieht sich Intel bereits ersten Klagen gegenüber, die ebenfalls die Kasse strapazieren werden. Die bisherigen Klagen beziehen sich darauf, dass Intel in den letzten Monaten bewusst schadhafte CPUs verkauft habe ohne dies den Kunden mitzuteilen.