Nachrichten

Das Softwareunternehmen HashiCorp hat zwei neue Open-Source-Projekte aus dem eigenen Workflow vorgestellt. Das erste namens Helios stellt ein flexibles Designsystem zur Verfügung, das zweite, Hermes, dient dem Dokumentenmanagement.

Helios dient den Produktteams von HashiCorp dazu, Benutzererfahrungen und -schnittstellen zu erstellen, teilt das Unternehmen mit. Intern habe man Helios vor sechs Monaten eingeführt, inzwischen sei es gewachsen und umfasse rund als 25 Ember.js-Komponenten und Hunderte von Icons. Durch die Einführung einer standardisierten Designsprache wolle man die Designqualität erhöhen und eine größere Konsistenz in den eigenen Produktlinien erreichen, teilt HashiCorp mit. Helios solle als freie Software auch anderen helfen. Der Quellcode ist auf Github zu finden. Helios steht unter Mozilla Public License Version 2.0.

Um mit dem Wachstum des Unternehmens die Herausforderungen der einhergehenden Skalierung zu bewältigen, habe man Hermes entwickelt, heißt es weiter. Das Dokumentenmanagementsystem helfe Mitarbeitern von HashiCorp, Dokumente zu erstellen, zu überprüfen, zu genehmigen und zu verwalten. Hermes sei nun ebenfalls als Open Source verfügbar und stehe unter der Mozilla Public License auf Github bereit.

Der Beitrag Design und Dokumente: HashiCorp stellt freie Projekte vor erschien zuerst auf Linux-Magazin.

Sicherheitsexperte Kaspersky hat die Stellenanzeigen und Lebensläufe untersucht, die von Januar 2020 bis Juni 2022 in 155 Dark-Web-Foren veröffentlicht wurden. Insgesamt seien in den beobachteten Dark-Web-Foren in dem fraglichen Zeitraum etwa 200.000 Stellenanzeigen veröffentlicht worden, teilen die Experten mit.

Wie jedes andere Unternehmen brauche auch die Cyberkriminalität Arbeitskräfte, schreibt Kaspersky in seinem Beitrag zur Analyse der Stellenanzeigen. Neue Teammitglieder, die an Cyberangriffen und anderen illegalen Aktivitäten teilnehmen sollen, würden dann genau dort rekrutiert, wo die Geschäfte gemacht werden – im Dark Web.

Die meisten Anzeigen seien im März 2020 aufgegeben worden, was wahrscheinlich mit dem Ausbruch der COVID-19-Pandemie und den daraus resultierenden Veränderungen am Arbeitsmarkt zusammenhänge, berichtet Kaspersky.

Die wichtigsten Arbeitgeber im Dark Web seien Hacker-Teams und APT-Gruppen (Advanced Persistent Threats ), die nach Personen suchen, die Malware-Code entwickeln und verbreiten können sowie in der Lage sind IT-Infrastrukturen aufzubauen.

Stellenanzeigen, in denen Entwickler gesucht werden, seien mit 61 Prozent an der Gesamtzahl am häufigsten. Und Entwickler führten auch die Liste der bestbezahlten IT-Jobs im Dark Web an: Das höchste Monatsgehalt, das in einer Anzeige für einen Entwickler geboten wurde, habe 20.000 US-Dollar betragen.

Die Methoden zur Auswahl von IT-Fachkräften auf dem Dark-Web-Markt entsprächen weitgehend denen von seriösen Unternehmen. Auch das Dark Web suche nach hochqualifizierten Arbeitskräften es werde versucht, die besten Kandidaten auszuwählen.

Eine Stellenanzeige habe sogar eine detaillierte Beschreibung des Personalauswahlverfahrens enthalten. Ein Bewerber musste sich dabei mehreren Prüfungsrunden und Testaufgaben unterziehen, bei denen es um die Verschlüsselung von ausführbaren Schadprogrammen und die Umgehung von Schutzmaßnahmen ging. Auch eine Probezeit war enthalten.

Cyberkriminelle, die hochqualifizierte Arbeitskräfte suchen, bieten laut Kaspersky die besten Konditionen an. Ein Stellenangebot habe so ausgesehen:

• Pünktliche Gehaltsabrechnung. Gehaltshöhe (2000 Dollar und mehr) wird nach erfolgreichem Testauftrag und Vorstellungsgespräch festgelegt
• Vollständiges Remote-Arbeiten, 5 Tage/Woche, Sa und So frei.
• bezahlter Urlaub
• Kein formeller Arbeitsvertrag
• Wir bieten eine kontinuierliche Gehaltserhöhung: Bei jedem erfolgreichen Einsatz erhalten Sie eine Gehaltserhöhung und einen Sofortbonus.

Ähnlich wie auf dem legalen Arbeitsmarkt bieten Arbeitgeber im Dark Web verschiedene Arbeitsmodelle an: Vollzeit, Teilzeit, Praktika, Geschäftsbeziehungen, Partnerschaften oder Team-Mitgliedschaft.

Der Beitrag Headhunting im Dark Web erschien zuerst auf Linux-Magazin.

Nachdem das KI-basierte Chattool ChatGPT derzeit einen Höhenflug erlebt, was Nutzung und mediales Interesse anbelangt, hat Anbieter OpenAI damit begonnen, ein neues Tool zu trainieren, das Texte erkennt, die mit Hilfe von künstlicher Intelligenz verfasst sind.

Der AI-Classifier von OpenAI soll zwischen von Menschen geschriebenen Texten und von KI verfassten Texten verschiedener Anbieter unterscheiden können. Auch wenn es unmöglich sei, alle von KI geschriebenen Texte zuverlässig zu erkennen, könnten gute Klassifikatoren Informationen für falsche Behauptungen liefern, dass KI-generierter Text von einem Menschen geschrieben wurden. Zu diesen Fällen zählt OIpenAI in einem Blogbeitrag etwa automatisierte Fehlinformationskampagnen, die Verwendung von KI-Tools für Betrügerein bei akademischen Arbeiten und die Positionierung eines KI-Chatbots als Mensch.

Der Klassifikator arbeite derzeit aber noch nicht zuverlässig, raumt OpenAI ein. Bei der Auswertung eines “Challenge Set” englischer Texte habe er 26 Prozent der von KI geschriebenen Texte korrekt als “wahrscheinlich von KI geschrieben”, während er von Menschen geschriebene Texte in 9 Prozent der Fälle fälschlicherweise als von KI geschrieben eingestuft habe (false positiv). Die Zuverlässigkeit des AI-Classifier verbessere sich in der Regel mit zunehmender Länge des Eingabetextes. Im Vergleich zu einem zuvor veröffentlichten Klassifikator sei der neue bei Texten von neueren KI-Systemen deutlich zuverlässiger.

Der Klassifikator steht öffentlich zur Verfügung. OpenAI erwartet sich Feedback darüber, ob Werkzeuge wie dieses nützlich sind, auch wenn sie nicht gänzlich zuverlässig arbeiten. Die Arbeit an der Erkennung von KI-generiertem Text werde fortgesetzt. Der kostenlos nutzbare Work-in-Progress-Klassifikator lässt sich hier ausprobieren.

Der Beitrag ChatGPT: OpenAI trainiert AI-Erkennung erschien zuerst auf Linux-Magazin.

Check Point Software Technologies, Anbieter von Cyber-Sicherheitslösungen, hat seinen Brand Phishing Report für das vierte Quartal 2022 veröffentlicht. Cyberkriminelle haben demnach bei ihren Versuchen, persönliche Informationen zu stehlen, im letzten Quartal des vergangenen Jahres am häufigsten die Marke Yahoo imitiert.

In den dazu verschickten massenhaften Phishing-E-Mails werde der Zielperson ein von Yahoo organisiertes Preisgeld im Wert von Hunderttausenden von Dollar versprochen. Das Opfer wird dann aufgefordert, seine persönlichen Daten und seine Bankverbindung mitzuteilen, damit man das vermeintliche Preisgeld überweisen könne.

Bei den von Check Point Software untersuchten Phishing-Versuchen sei der Technologiesektor die im vierten Quartal 2022 am häufigsten durch Marken-Phishing nachgeahmte Branche gewesen, gefolgt vom Logistiksektor und den sozialen Netzwerken.

Die Top 10 der am häufigsten nachgeahmten Marken:

•     Yahoo (20%)
•     DHL (16%)
•     Microsoft (11%)
•     Google (5,8%)
•     LinkedIn (5,7%)
•     WeTransfer (5,3%)
•     Netflix (4,4%)
•     FedEx (2,5%)
•     HSBC (2,3%)
•     WhatsApp (2,2%)

Der Beitrag Brand Phishing Report: Yahoo am häufigsten nachgeahmt erschien zuerst auf Linux-Magazin.

Die Linux Foundation hat die Open Metaverse Foundation (OMF) ins Leben gerufen und will damit den Grundstein für den Aufbau eines integrativen, globalen, anbieterneutralen und skalierbaren Metaversums durch Open-Source-Software und offene Spezifikationen legen.

Zahlreiche Organisationen und Open-Source-Gemeinschaften hätten sich in der OMF zusammengeschlossen. Die ChainHub Foundation, Cloud Native Computing Foundation, Futurewei, GenXP, Guangdong Digital Industry Research Institute, Hyperledger Foundation, LF Edge, LF Networking, OpenSDV, Open Voice Network und Veriken sind unter anderem genannt.

Die OMF will nun einen Raum für die Zusammenarbeit von Entwicklern, Ingenieuren, Akademikern und Vordenkern schaffen, die gemeinsam daran arbeiten, die schwierigen Herausforderungen beim Aufbau eines freien Metaversums zu lösen. Ein Blogbeitrag erläutert die Ziele und Projekte näher.

Der Beitrag Linux Foundation gründet Open Metaverse Foundation erschien zuerst auf Linux-Magazin.

Canonical hat sein Abonnement für Ubuntu Pro, in dem kritische Schwachstellen und andere Sicherheitsrisiken im Durchschnitt in weniger als 24 Stunden gepatcht werden sollen, aus der Betaphase in den Regelbetrieb überführt.

Ubuntu Pro sei nun für jedes Ubuntu LTS ab 16.04 LTS verfügbar, heißt es in der Ankündigung. Canonical hatte Ubuntu Pro im Oktober letzten Jahres als Beta-Version veröffentlicht. Es soll dabei helfen, rechtzeitig CVE-Patches zu erhalten, Systeme in großem Umfang abzusichern und konform zu Standards und Zertifizierungen wie FedRAMP, HIPAA und PCI-DSS zu bleiben. Das Abonnement erweitere die zehnjährige Sicherheitsabdeckung und den optionalen technischen Support von Canonical auf zusätzliche 23.000 Pakete über das Hauptbetriebssystem hinaus. Ubuntu Pro decke kritische, hohe und ausgewählte mittlere CVEs für Tausende von Anwendungen und Toolchains ab, darunter Ansible, Apache Tomcat, Apache Zookeeper, Docker, Nagios, Node.js, phpMyAdmin, Puppet, PowerDNS, Python, Redis, Rust und WordPress, teilt Canonical mit.

Das Standardabonnement decke alle Sicherheitsupdates für alle Pakete in den Ubuntu Main und Universe Repositories ab und koste 25 US-Dollar (rund 23 Euro) pro Jahr für Workstations oder 500 US-Dollar (rund 459 Euro) pro Jahr für Server. Weitere Preise finden sich hier. Es gibt eine 30-tägige kostenlosen Testversion.

Privatanwender und kleine geschäftliche Nutzung auf bis zu 5 Rechnern sei kostenfrei möglich. Daneben könnten offizielle Mitglieder der Ubuntu-Community Ubuntu Pro auf bis zu 50 Rechnern nutzen. Um den Token zu erhalten, müsse man sich lediglich mit seinem bestehenden Ubuntu One-Konto anmelden oder ein kostenloses Konto erstellen.

Der Beitrag Ubuntu Pro allgemein verfügbar erschien zuerst auf Linux-Magazin.

Am 29. April findet an der Hochschule Augsburg der 19. Linux-Infotag statt. Den ganzen Tag gibt es Vorträge und Workshops, hinzu kommen zahlreiche Informationsstände. Derzeit suchen die Veranstalter noch nach tatkräftiger Unterstützung.

Der Linux-Infotag dreht sich „rund um Linux, Open-Source und kreative Anwendungen von Technik, Wissenschaft und Bildung“. Die Veranstalter suchen noch nach Gruppen und Projekte, die sich an entsprechenden Ständen präsentieren möchten, sowie Vortragende und Workshop-Leiter in folgenden Themenbereichen:

• Digitale Gesellschaft (Hierunter fallen unter anderem die Vorstellung freie soziale Netzwerke oder der Open-Source-Einsatz in Bildungseinrichtungen.)
• Privatsphäre und Sicherheit (Hierzu gehören Themen wie Anonymisierung, VPNs oder die Ausstattung von Smartphones mit freier Software.)
• Linux-Interna und Anwendungen (Unter diesem weitgefassten Themengebiet fallen unter anderem die Bild- und Videobearbeitung, aber auch fortgeschrittene Themen wie Nextcloud und offene ERP-Systeme.)
• Programmieren und Soft-/Hardware-Entwicklung (In dieses Themengebiet gehört auch die Arbeit mit Docker.)
• Einstieg in Linux (Hierzu gehört der Umstieg von Windows oder macOS sowie eine „Führung durch den Distro-Dschungel“.)
• Programm für Kinder und Jugendliche (Neben Lernspielen wie GCompris soll hier auch die Programmierung eine Rolle spielen – beispielsweise mit Scratch.)

Interessenten dürfen zudem gerne eigene Themen einreichen. Die Vorträge sollten 45 Minuten dauern, die Workshops 2 bis 4 Stunden. Wer mitmachen möchte, kann noch bis zum 01.03.2023 über eine entsprechende Webseite Kontakt mit den Veranstaltern aufnehmen.

Weitere Informationen für Besucher liefert die Website des Augsburger Linux-Infotags. Veranstalter sind der Linux User Group Augsburg (LUGA) e.V. und die Hochschule Augsburg.

Der Beitrag CfP: Augsburger Linux-Infotag 2023 findet Ende April statt erschien zuerst auf Linux-Magazin.

Budgie 10.7 kommt knapp ein Jahr nach Version 10.6 als neue Release-Serie für den Budgie Desktop. Die neue Ausgabe bringt eine umfassende Umgestaltung der Architektur, neue APIs für die Erweiterbarkeit und eine verbesserte Benutzerfreundlichkeit mit.

Mit der neuen Version verbinden die Entwickler die Komponenten Budgie Desktop 10.7, Budgie Desktop View 1.2.1, Budgie Control Center 1.2.0 und Budgie Screensaver 5.1.0.

Budgie 10.7 führt einen neuen Anwendungsindexer ein, der libgnome-menus ersetzt und die Logik hinter Budgie Menu und Budgie Run Dialog vereinheitlicht, um die Konsistenz der gezeigten Anwendungen zu gewährleisten, teilen die Entwickler mit. Der neue Indexer biete eine zuverlässigere Indizierung von Anwendungen über mehrere Verzeichnisse hinweg.

Budgie Menu nutze nun die Switcheroo-Steuerung, wenn diese verfügbar ist, um zwischen GPU-Umgebungen wechseln zu können. Benutzer mit Dual-GPU-Setups könnten nun ihre Anwendungen starten, ohne sich Gedanken darüber machen zu müssen, welche GPU verwendet wird und manuell zwischen ihnen umzuschalten, heißt es weiter.

Budgie 10.7 führe auch eine in den Desktop integrierte Anwendung namens Budgie Screenshot ein, mit der sich schnell Screenshots von Fenstern, Bereichen oder dem gesamten Bildschirm erstellen lassen. Budgie Desktop ersetzt damit gnome-screenshot.

Dire neue Ausgabe biete die größte Anzahl an Änderungen und Funktionen seit der Version 10.5 an, schreiben die Entwickler in der Ankündigung. Sie sei größtenteils mit einem brandneuen Raven-Widget-API-System umgestaltet worden, das es Entwicklern von Drittanbietern ermögliche, ihre eigenen Raven-Widgets zu erstellen, sowie neue Widgets und aktualisierte Designs für bestehende Widgets.

Der Beitrag Budgie 10.7 ist benutzerfreundlicher erschien zuerst auf Linux-Magazin.

BIND ist ein Programmpaket für die Namensauflösung im Domain Name System (DNS). Neben dem DNS-Server selbst umfasst das Programmpaket einen Client und verschiedene Testprogramme. Aufgrund seiner weiten Verbreitung und der zeitnahen Umsetzung von DNS-RFCs gilt BIND seit Jahren als DNS-Referenzsoftware. Sicherheitslücken in dem BIND Server sind entsprechend problematisch, da meist sehr viele Systeme betroffen sind. Des Weiteren können über DNS-Schwachstellen großangelegte Denial-of-Service-Attacken gefahren werden, wenn die Namensauflösung nicht mehr korrekt funktioniert.

Solche Schwachstellen wurden kürzlich in BIND Version 9 und der BIND Preview Edition entdeckt. Konkret handelt es sich um drei unabhängige Schwachstellen, die es einem entfernten Angreifer erlauben, Denial-of-Service-Attacken gegen den DNS-Server durchzuführen. Dazu muss der Angreifer den Server mit DNS-Update-Nachrichten fluten. Irgendwann stellt dieser dann seinen Dienst ein und steht für die Namensauflösung nicht mehr zur Verfügung.

Der Beitrag Mehrere Schwachstelle in DNS-Software BIND erschien zuerst auf Linux-Magazin.

Die JavaScript-Runtime und Node.js-Alternative Deno verwandelt die Konfigurationsdatei deno.js in eine Import Map und unterstützt ab sofort Build-in Node.js-Module. Abschließend gab es ein paar kleinere Änderungen an den APIs.

In Node.js eingebaute Module wie „fs“, „path“ und „process“ konnten NPM-Pakete bereits seit der letzten Deno-Version über eine Kompatibilitätsschicht nutzen. Diese Module sind jetzt auch im Deno-Code verfügbar. Dazu nutzen JavaScript-Entwickler den „node:“ Specifier. Als Beispiel liefert die Ankündigung von Deno 1.30:

import { readFileSync } from “node:fs”;

console.log(readFileSync(“deno.json”, { encoding: “utf8” }));

Wichtig ist dabei die Nutzung der Import Map. „node:“ funktioniert sowohl in Deno als auch in Node.js. Wer Code für beide Runtimes erstellt, dem raten die Deno-Entwickler, grundsätzlich „node:“ zu verwenden.

Apropos Import Map: Die Konfigurationsdatei „deno.js“ lässt sich ab sofort als Import Map einspannen. Dazu definiert man direkt in der „deno.js“ mit „imports“ und „scopes“ eine Import Map. Deno erkennt sie dort automatisch, was wiederum eine ansonsten notwendige zweite Konfigurationsdatei spart.

Die Schnittstelle „Deno.permissions“ hat jetzt passende synchrone Funktionen spendiert bekommen, wie etwa „Deno.permissions.querySync()“. Des Weiteren akzeptieren „Deno.writeFile()“ und „Deno.writeTextFile()“ einen „ReadableStream“. Neu ist die API „Deno.env.has(name)“. Einzelne Test-Schritte dürfen zudem ab sofort auch Funktionen sein.

Der Beitrag Deno 1.30 unterstützt eingebaute Node.js-Module erschien zuerst auf Linux-Magazin.

Inwieweit Postgres als Cloud-DB taugt – darüber sprach das Linux-Magazin mit Marc Linster, CTO der Firma EDB, die verspricht das Beste aus der Welt der Datenbanken und der Cloud zusammenzubringen.

Linux Magazin: In der heutigen Zeit kommen immer mehr Anwendungen in Mode, die aus Microservices bestehen, die ihrerseits in Containern laufen. Wie lässt sich EnterpriseDB in ein solches Szenario integrieren?

Marc Linster: Viele unserer Kunden nutzen Microservices-Architekturen mit Postgres. Wir empfehlen die Verwendung eines Verbindungspoolers wie pgPool, um die Verbindungen der Anwendungsinstanzen zu bündeln und zu verwalten. Dies hilft, einen konsistenten Pool von Datenbankverbindungen zu schaffen, der die Nutzung der Ressourcen optimiert und eine Überlastung der Datenbank vermeidet.

Wir beobachten auch ein schnell wachsendes Interesse an der Verwendung von Kubernetes zur Bereitstellung und Verwaltung von Datenbanken. Zu diesem Zweck bieten wir CloudNativePG und EDB Postgres for Kubernetes an. CloudNativePG ist ein Open-Source-Kubernetes-Operator unter der Apache-2-Lizenz. EDB Postgres für Kubernetes baut auf der Open-Source-Version auf und fügt zusätzliche Unternehmensfunktionen hinzu.

Linux Magazin: Wenn ich es richtig verstehe, dann beherrschen jedenfalls die eben genannten Produkte kein horizontales Skalieren?

Marc Linster: Postgres unterstützt derzeit horizontale Leseskalierung. Mit CloudNativePG und EDB Postgres für Kubernetes ist es sehr einfach, Verbindungspools mit Lese- und Schreibzugriff zu verwalten und die Vorteile der horizontalen Leseskalierung zu nutzen – eine Option, die für Websites und andere Lösungen sehr beliebt ist, bei denen die Suchvorgänge die Transaktionen zum Erstellen, Aktualisieren und Löschen überwiegen.

Linux-Magazin: Es gibt für PostgreSQL etliche proprietäre Cloud-Angebote etwa für die Google Cloud, Microsofts Azure oder AWS. Wie steht es denn um eine Open-Source-Lösung für PostgreSQL in OpenStack? Dort hat Red Hat das Datenbankmodul Trove aus seiner OpenStack Platform 10 wieder entfernt – und ohnehin bezog sich dessen Dokumentation nur auf MySQL…

Marc Linster: Postgres unterstützt OpenStack, und wir haben Kunden, die Postgres als Teil ihrer OpenStack-Implementierung einsetzen. Trove hat versucht, eine neutrale universelle Schnittstelle für mehrere SQL-Datenbanken bereitzustellen, angefangen mit MySQL. Der Erfolg von Postgres bei Entwicklern (siehe Stackoverflow-Umfrage 2022) zeigt, dass die Community Postgres als ihre bevorzugte Lösung angenommen hat. Postgres ist Open Source, hat eine freie Lizenz, läuft überall und wird von einer großen und lebendigen Community unterstützt. Eine Trove-ähnliche Schicht, die eine Herstellerbindung vermeiden und Portabilität sicherstellen sollte, ist also nicht mehr wirklich notwendig.

Linux-Magazin: Containerisierte Anwendungen skalieren meistens in die Breite, starten bei Bedarf also mehr Instanzen desselben Service. Das ist bei einer klassischen SQL-Datenbank, die für den Betrieb auf einem einzelnen Server ausgelegt ist, nicht möglich. Welchen Ausweg bietet EnterpriseDB da?

Marc Linster: EDB Postgres Distributed (PGD), früher bekannt als BDR (für bi-direktionale Replikation), wird bereits von Kunden in Multi-Master-Lösungen eingesetzt, bei denen mehrere Datenbankinstanzen aktiv an einer verteilten Transaktionsmanagementlösung teilnehmen (z. B. Clickup). Zukünftige Pläne für Postgres Distributed beinhalten automatische Skalierung und volle horizontale Skalierbarkeit für Postgres.

Linux-Magazin: Das heißt, die ist Basis in diesem Fall eine Multi-Master-Replikation. Andere Projekte – für PostgreSQL beispielsweise YugabyteDB oder Vitess für MySQL – ziehen stattdessen eine Ebene unterhalb des SQL-Layers ein, die per Sharding und mithilfe einer eigenen Storage-Engine die Daten über viele Instanzen verteilt. Verwenden Sie da einen anderen Ansatz und warum?

Marc Linster: EDB Postgres Distributed wurde nicht ausschließlich als horizontale Skalierungsschicht entwickelt, wie dies bei einigen anderen Technologien der Fall war. Das Hauptproblem bei der horizontalen Skalierung besteht darin, wie sie an mehreren Standorten Hochverfügbarkeit ermöglichen kann. EDB konzentrierte sich auf die Fähigkeit, standortverteilte Datenbankoperationen durchzuführen, und nicht nur auf die einfache Skalierung für einen Standort ohne Hochverfügbarkeit. EDB Postgres Distributed bietet die Bausteine für eine Reihe von verteilten Datenbankarchitekturen mit mehreren Knoten: extrem Hochverfügbarkeit über mehrere Standorte, global verteilte Multi-Master-Systeme, Skalierung über Verteilungsbäume und horizontale Skalierung. Zukünftige Versionen von EDB Postgres Distributed werden diese Fähigkeiten nutzen, um extreme Hochverfügbarkeit an mehreren Standorten mit horizontaler Skalierbarkeit für Read-Write-Transaktionen zu kombinieren.

Linux-Magazin: Oracle propagiert sogenannte autonome Datenbanken als neueste Entwicklung, bei der Cloud-Technologie und maschinelles Lernen verwendet werden, um Datenbankoptimierung, Sicherheit, Sicherungen, Aktualisierungen und andere routinemäßige Managementaufgaben zu automatisieren. PostgreSQL sieht sich in vielen Fällen als günstiges Austauschprodukt für Oracle, was hat es in dieser Hinsicht entgegenzusetzen?

Marc Linster: Das Flaggschiffprodukt von EDB, EDB Postgres Advanced Server (EPAS), enthält einen Index Advisor, der Datenbankadministratoren und Entwickler bei der Optimierung von Abfragen unterstützt. Das kommende Release von EPAS 15 wird eine fortgeschrittene automatische Tuning-Technologie enthalten, die die Postgres-Konfiguration automatisch an die Rechen- und Speicherkonfiguration anpasst.

Linux-Magazin: Läuft die Datenbank in der Cloud liegen auch die – möglicherweise sensiblen – Daten auf Servern außerhalb des unmittelbaren Einflussbereichs des Anwenders. Welche Möglichkeiten des Datenschutzes, zum Beispiel durch Verschlüsselung, bietet EnterpriseDB?

Marc Linster: PostgreSQL und EPAS bieten traditionell mehrere Verteidigungslinien, um Daten vor unberechtigtem Zugriff zu schützen. Dazu gehören die Verschlüsselung während der Übertragung, Authentifizierung, Autorisierung und rollenbasierte Zugriffskontrolle. EPAS 15 (Release im Q1 2023) wird Funktionen zur transparenten Datenverschlüsselung (Transparent Data Encryption, TDE) enthalten. So werden Funktionen wie erweiterte Audits und eine SQL-Firewall, die bereits seit vielen Jahren in EPAS enthalten sind, unterstützt. TDE wird es Datenbankadministratoren ermöglichen, Daten so zu verschlüsseln, dass der Cloud-Anbieter (oder Hosting-Anbieter) keinen Zugriff auf die Daten hat. Das ist ein seit langem geäußerter Wunsch von Kunden aus dem Finanzsektor und anderen Branchen mit hohen Sicherheits- und Complianceansprüchen. TDE stellt für Postgres einen großen Schritt nach vorn dar.

Linux-Magazin: Gerade in einer Cloud-Umgebung muss sehr viel Wert auf die Sicherheit gelegt werden. Welchen Schutz gewährt EnterpriseDB gegen Hacker-Angriffe?

Marc Linster: Der verwaltete Cloud-Dienst BigAnimal von EDB hat für die Sicherheit ein Modell der geteilten Verantwortung eingeführt. Das BigAnimal-Team ist für die Verschlüsselung der Daten im Ruhezustand und bei der Übertragung sowohl für den Datenverkehr innerhalb des Clusters als auch zwischen den Clustern und dem Backup-Speicher verantwortlich. Die Kunden sind für die Verschlüsselung der Daten im Transit verantwortlich (BigAnimal unterstützt branchenübliche Verschlüsselung im Transit, setzte sie aber nicht durch). BigAnimal lässt sich in Authentifizierungs- und Single-Sign-On-Lösungen auf Unternehmensebene integrieren und bietet so einen umfassenden Schutz vor Eindringlingen und Hackern.

Linux-Magazin: Wir danken für das Gespräch.

Der Beitrag Taugt Postgres als Cloud-DB? erschien zuerst auf Linux-Magazin.

Sicherheitsexperte Kaspersky hat eine Prognose zu den Bedrohungen durch Cyberkriminelle für Unternehmen im Jahr 2023 veröffentlicht. Der Trend geht dabei in Richtung Malware-as-a-Service und öffentliche Ausschreibungen.

Im vergangenen Jahr seien etwa zwei Drittel der Großunternehmen in Deutschland mit mehr Cyberangriffen konfrontiert gewesen. Für das Jahr 2023 haben die Experten des Kaspersky Security Services die Bedrohungen untersucht, die für große Unternehmen und den staatlichen Sektor relevant sein könnten.

Eine Methode sei die Erpressung Erpressung durch Countdown bis zum Datenleck. Dabei berichten Ransomware-Akteure in ihren Blogs über erfolgreiche Hackerangriffe auf Unternehmen. Allein im September und November vergangenen Jahres hat Kaspersky rund 500 solche Beiträge aufgespürt.  Während Cyberkriminelle sich früher direkt an die Betroffenen wandten, posten sie in Blogs über die Sicherheitsverletzung und zeigen dort einen Countdown für die Veröffentlichung der durchgesickerten Daten an, anstatt privat ein Lösegeld zu fordern. Dieser Trend werde sich voraussichtlich auch in diesem Jahr fortsetzen glaubt Kaspersky. Die Cyberkriminellen profitieren davon, egal ob das betroffene Unternehmen zahlt oder nicht. Denn die Daten würden oft versteigert, wobei das Schlussgebot manchmal sogar das geforderte Lösegeld übersteige.

Countdown bis zu Veröffentlichung der Daten im Blog der Ransomware LockBit. Quelle: Kaspersky

Dass Cyberkriminelle sich mit falschen Leaks brüsten, sei ein weiteres Phänomen. Blog-Beiträge über Erpressungen seien medienwirksam. Das könnten weniger bekannte Akteure im Jahr 2023 ausnutzen, indem sie behaupten, ein Unternehmen angeblich gehackt zu haben, unabhängig davon, ob der Angriff tatsächlich stattgefunden hat. Schaden werde es dem so diffamierten Unternehmen trotzdem.

Dass Leaks persönlicher Daten berufliche Mail-Accounts gefährden werde sich auch im Jahr 2023 vermehrt fortsetzen. Neben der Privatsphäre des Einzelnen werde dadurch auch die Cybersicherheit von Unternehmen gefährdet. Mitarbeiter würden häufig berufliche E-Mail-Adressen einsetzen, um sich bei Websites von Drittanbietern zu registrieren. Öffentlich verfügbare E-Mail-Adressen seien für Cyberkriminelle interessant, um Diskussionen über potenzielle Angriffe im Darknet auszulösen und sie für Phishing und Social Engineering zu verwenden.

Malware-as-a-Service, Angriffe über die Cloud und kompromittierte Daten aus dem Dark Web stellen für Kaspersky ein weiteres Bedrohungsszenario dar. Die Kaspersky-Experten gehen davon aus, dass sich Ransomware-Angriffe durch Malware-as-a-Service (MaaS)-Tools immer ähnlicher werden. Durch immer komplexere Angriffe würden automatisierte Systeme nicht mehr ausreichen, um Sicherheit zu gewährleisten. Darüber hinaus werde die Cloud-Technologie zu einem beliebten Angriffsvektor werden.

Der Beitrag Kaspersky skizziert Cyberbedrohungen für Unternehmen erschien zuerst auf Linux-Magazin.

Mit der Veröffentlichung des letzten Updates am 16. Januar 2023 endete die von Suse gesponserte Wartung von Opensuse 15.3, teilt Opensuse mit.

Opensuse Leap 15.3 sei damit offiziell eingestellt und werde nicht mehr mit Updates und Patches versorgt, schreibt Marcus Meissner in der Announce-Liste. Opensuse Leap 15.3 wurde am 2. Juni 2020 veröffentlicht und erfuhr 18 Monate Sicherheits- und Bugfix-Support. Leap 15.3 sei auch die erste Veröffentlichung im Rahmen des neuen “Closing the Leap Gap”-Modells gewesen, bei dem Suse Linux Enterprise-Binaries direkt für Leap wiederverwendet wurden.

Nutzer von Leap 15.3 sollten nun schnell umsteigen. Die aktuell gewartete stabile Version sei Opensuse Leap 15.4, die bis etwa Ende 2023 gepflegt werde und damit dieselbe Laufzeit wie der reguläre Support für SLES 15 SP4 aufweise, heißt es weiter.

Wie das Upgrade möglichst problemlos funktioniert hat Suse auf dieser Webseite zusammengefasst.

Der Beitrag Opensuse Leap 15.3 erreicht Supportende erschien zuerst auf Linux-Magazin.

Die neue Version 0.3.65 des Audio- und Video-Systems Pipewire behebt eigentlich nur Fehler, die Entwickler haben ihrer Software aber dennoch ein paar interessante kleine neue Funktionen spendiert. Dazu gehört unter anderem ein neues Combine-Stream-Modul.

Über dieses Modul kann man die Ausgaben an mehrere Sinks gleichzeitig leiten oder ein virtuelles 5.1-Audiogerät mit drei Stereo-Soundkarten simulieren. Darüber hinaus unterstützt Pipewire 0.3.65 erstmals Bluetooth MIDI. Dies setzt allerdings voraus, dass der MIDI-Support im Bluez-Stack deaktiviert ist.

Eine neue ALSA-Plugin-Regel soll dafür sorgen, dass die Videoschnittsoftware Davinci Resolve mit einer „akzeptablen Latenz“ arbeitet. Dank der Hilfe von tinycompress unterstützt Pipewire die Weiterleitung von komprimiertem Audiomaterial via ALSA an entsprechende Hardware-Decoder. Passend dazu kann das Tool „pw-cat“ FFmpeg einspannen, um komprimierte Streams zu Demuxen.

Der Beitrag Pipewire unterstützt Bluetooth MIDI erschien zuerst auf Linux-Magazin.

Das WordPress-Plugin Learnpress in Versionen 4.1.7.3.2 und kleiner weist kritische Sicherheitslücken auf. Mit über 100.000 aktiven Installationen ist das umfangreiche Lernmanagement-Plugin sehr populär.

Mit Learnpress lassen sich einfach Kurse online erstellen und verkaufen. Anbieter Patchstack meldet mehrere kritische Sicherheitslücken im Plugin. Ein Update auf beseitigt die Probleme

Diese Schwachstellen ermöglichen es jedem nicht authentifizierten Benutzer, eine SQL-Abfrage in die Datenbank einzuschleusen und eine lokale Dateieinbindung durchzuführen. Zudem sei eine weitere SQL-Injection gefunden worden, für deren Ausnutzung ein Benutzer aber mit mindestens der Rolle “Contributor” erforderlich wäre.

Die beschriebenen Sicherheitslücke seien in Version 4.2.0 behoben, teilt Patchstack mit. Die neue Version ist bereits seit einigen Wochen zu haben, es seien aber noch viele Installationen nicht auf dem aktuellen Stand.

Der Beitrag Sicherheitslücken in WordPress-Plugin Learnpress erschien zuerst auf Linux-Magazin.

Wer Opensuse Leap oder Opensuse Tumbleweed installiert, muss standardmäßig ohne h.264-Codec auskommen. Eine Vereinbarung mit Cisco vereinfacht jetzt zumindest die nachträgliche Installation des Codecs.

Der Video-Codec h.264 kommt unter anderem bei Videokonferenzen via WebRTC-Standard zum Einsatz. Aufgrund von Patent- und Lizenzfragen installieren die Opensuse -Distributionen allerdings standardmäßig keine passende Implementierung. Hier mussten sich Anwender bislang etwa mit entsprechenden Paketen aus dem Packman-Repository behelfen.

Cisco stellt zwar seine Implementierung namens OpenH264 kostenlos zur Verfügung, begrenzt dessen die Weitergabe jedoch auf 100.000 Nutzer. Opensuse überschreitet jedoch diese Nutzerzahl deutlich. Die Fedora-Entwickler hatten deshalb ein spezielles Übereinkommen mit Cisco geschlossen.

Dem folgt jetzt auch das Opensuse -Team: Ein neues Übereinkommen mit Cisco ermöglicht ab sofort die Nutzung von OpenH264 auch unter Opensuse. Der Codec steht dabei in neuen Repositories bereit. Um sie einzubinden, ruft man unter Opensuse Leap den folgenden Befehl auf:

sudo zypper ar http://codecs.opensuse.org/openh264/openSUSE_Leap repo-openh264

Opensuse Tumbleweed- und MicroOS-Nutzer verwenden hingegen:

sudo zypper ar http://codecs.opensuse.org/openh264/openSUSE_Tumbleweed repo-openh264

In jedem Fall gelingt die Installation des Codecs via:

sudo zypper in gstreamer-1.20-plugin-openh264

Teil der Vereinbarung mit Cisco ist eine ausgeklügelte Paketerstellung: Der Open Build Service (OBS) baut aus dem OpenH264-Quellcode ein RPM-Paket. Dieses landet über eine automatisch generierte E-Mail bei Cisco. Den genauen Ablauf schildern die entsprechende Ankündigung sowie eine Seite im Opensuse-Wiki.

Der Beitrag Opensuse vereinfacht Installation von h.264-Codec erschien zuerst auf Linux-Magazin.

Nachdem viele Nutzer in der Vorversion des Live-Systems über Probleme gestolpert waren, bessern die Entwickler mit der Version 5.9 jetzt an vielen Stellen nach. So soll Tails durch das Update auf den Kernel 6.0.12 unter anderem besser auf einigen Grafikkarten laufen.

Auch das Display- und Anwendungsmenü, das Probleme unter GTK3-Anwendungen machte, funktioniere nun unter anderem in Tails 5.9 wieder. Zudem löscht KeePassXC in der Zwischenablage befindliche Passwörter automatisch nach 10 Sekunden. Weitere Korrekturen betreffen den Persistent Store. Zunächst hat das Tails-Team die Texte des entsprechenden Backup-Werkzeugs überarbeitet. Tails aktiviert zudem den Persistant Store auch dann korrekt, wenn die Aktivierung länger dauern oder das Dotfile-Feature symbolische Links enthalten sollte.

Das Live-System erlaubt das anonyme und sichere Surfen im Internet über das Tor-Netzwerk. Abschließend liegt der Tor Browser in Version 102.7 vor, der Tor-Client meldet sich in Version 0.4.7.13.

Der Beitrag Tails 5.9 behebt zahlreiche Probleme der Vorversion erschien zuerst auf Linux-Magazin.

Der Verein Digitalcourage, der sich unter anderem für Datenschutz einsetzt, warnt davor, dass bei vielen Online-Spielen auf der Playstation 5 über das Controller-Mikrofon das Mithören und Aufzeichnen von privaten Gesprächen möglich seien.

Schuld daran seien Design und Grundeinstellungen der Playstation 5. Im Controller stecke ein leistungsfähiges Mikrofon, das zwar Störgeräusche herausfiltere, doch nicht immer sei ausschließlich die Stimme des Spielenden zu hören. Beziehungsstreit, Kinderweinen, beiläufige Alltagsgespräche seien ebenfalls unter den ungewollt übertragenen Daten. Und das Controller-Mikrofon sei standardmäßig eingeschaltet und bereit zur Übertragung. Dass ein Warnhinweis auf dem Bildschirm erscheint, wenn das Mikrofon aus ist und zudem ein rotes Licht auf dem Controller bei ausgeschalteter Sprachübertragung leuchte, sei ebenfalls kontraproduktiv..

Die Voreinstellung, „Mikro an” als Standard sei genau das Gegenteil von dem, was die europäische Datenschutzgrundverordnung verlange – nämlich datenschutzfreundliche Voreinstellungen, kritisiert Markus Hamid von Digitalcourage.

Dass die unwissentlich entstandenen Sprachaufnahmen nicht nur von anderen Spielenden mitgehört und aufgezeichnet werden können sei ein Problem, dass sich Sony s in den Nutzungsbedingungen der Playstation-Software weitreichende Rechte einräumt, was den Zugriff und die Verwendung der Sprachaufnahmen angeht ein anderes. Die Firma behalte sich vor, die Sprachaufnahmen nicht nur zu speichern, sondern nach Gutdünken auch zusammen mit anderen persönlichen Informationen weiter zu verbreiten und zu verkaufen, warnt Digitalcourage. Sony selbst habe sich dazu auf eine Anfrage hin bisher nicht geäußert, teilen die Datenschützer weiter mit. In einem Blogbeitrag erläutert der Verein das Problem.

Der Beitrag Digitalcourage: Playstation 5 lauscht erschien zuerst auf Linux-Magazin.

Der Open Source Technology Improvement Fund (OSTIF) hat die Ergebnisse einer Sicherheitsüberprüfung und eines Bedrohungsmodells für Git veröffentlicht.

Git sei das weltweit am weitesten verbreitete Versionskontrollsystem und bilde nicht nur die Grundlage für Open Source, sondern auch für die überwiegende Mehrheit der öffentlichen und privaten Softwareentwicklung, schreibt der OSTIF.

Der OSTIF bedankt sich für die Finanzierung und Unterstützung durch das Google Open Source Security Team (GOSST) und die Hilfe der OpenSSF.

Im Security Audit seien insgesamt 35 Probleme entdeckt worden, darunter zwei kritische und ein sehr schwerwiegender Befund, teilt der OSTIF mit. Darüber hinaus seien während der Untersuchung eine Reihe von potenziell katastrophalen Sicherheitsfehlern entdeckt und intern vom Git-Sicherheitsteam behoben worden. In der aktuellen Veröffentlichung von Git seien die kritischen Bugs behoben.

Zu den kritischen Fehlern zählten Out-of-Bounds Reads und Writes. Die Fehler beim Lesen und Schreiben in zugewiesene Speicherbereiche haben zweimal das Gefahrenpotenzial kritisch und einmal hoch zugewiesen bekommen.

Der komplette Bericht zum Git Security Assessment ist online als PDF abrufbar.

Der Beitrag Security Audit für Git abgeschlossen erschien zuerst auf Linux-Magazin.

Die Entwickler können für Version 8 von Wine nach einem Jahr Entwicklungsarbeit über 8600 einzelnen Änderungen vermelden. Als wichtigste Errungenschaft gilt ihnen der Abschluss der Konvertierung in das PE-Format (Portable Executable).

Nach vier Jahren Arbeit sei die PE-Konvertierung nun endlich abgeschlossen, heißt es in der Ankündigung zu Wine 8. Alle Module können nun im PE-Format erstellt werden. Dies sei ein wichtiger Meilenstein auf dem Weg zur Unterstützung verschiedener Funktionen wie Kopierschutz, 32-Bit-Anwendungen auf 64-Bit-Hosts, Windows-Debugger, x86-Anwendungen auf ARM und einiges mehr, teilen die Entwickler mit. Dass einige Module führen immer noch direkte Aufrufe zwischen dem PE und dem Unix-Teil ausführten, statt über die NT-Systemaufrufschnittstelle zu gehen, soll in der Entwicklungsphase von Wine 8.x behoben werden.

WoW64-Support seie nun für fast alle Unix-Bibliotheken implementiert und ermögliche es einem 32-Bit PE-Modul, eine 64-Bit Unix-Bibliothek aufzurufen, heißt es weiter. Sobald die verbleibenden direkten PE/Unix-Aufrufe entfernt worden seien, werde es möglich, 32-Bit-Windows-Anwendungen ohne 32-Bit-Unix-Bibliotheken auszuführen.

Die ausführliche Ankündigung beschreibt weitere Neuerungen und Verbesserungen.

Der Beitrag Wine 8.0 bringt viel Neues erschien zuerst auf Linux-Magazin.