Linux-Magazin News

Linux-Magazin News Feed abonnieren
Open Source im professionellen Einsatz
Aktualisiert: vor 33 Minuten 27 Sekunden

Whatsapp bekommt Proxy-Support gegen Zensur

Mo., 01/09/2023 - 12:06

Ähnlich wie die Konkurrenz von Signal unterstützt künftig auch Whatsapp einen Proxy-Server, um damit staatliche Blockaden zu umgehen.

Das Chatprogramm Whatsapp erhält Unterstützung für die Nutzung eines Proxy-Servers. Dies geschehe, weil “vielen anderen Menschen aufgrund von Internetsperren weiterhin die Möglichkeit verwehrt wird, Kontakt mit ihren Liebsten aufzunehmen”, teilte der Anbieter in seinem Blog mit. Der Proxy-Server ist also dazu gedacht, staatliche Zensur und Blockademaßnahmen zu umgehen, um in Kontakt bleiben zu können.

Zur Begründung dafür, warum das Team den Proxy erstellte, hieß es: “Wir wünschen uns für das Jahr 2023, dass das Internet für niemanden gesperrt wird. Solche Sperrungen, wie wir sie seit Monaten im Iran sehen, verletzen Menschenrechte und verhindern, dass sich Menschen in dringenden Notfällen Hilfe suchen können. Sollten diese Sperrungen jedoch weiterhin andauern, hoffen wir, dass diese Lösung Menschen ohne eine sichere und zuverlässige Verbindung unterstützen kann.”

Bereits vor zwei Jahren hatte das Team des sicheren Kryptomessengers Signal einen ähnlichen Proxy-Support vorgestellt, der ebenfalls dazu dient, staatliche Zensurmaßnahmen wie die im Iran zu umgehen. Dazu braucht es nur freiwillige Helfer und Organisationen, welche die Proxy – sei es für Signal oder Whatsapp – selbst hosten.

An der Sicherheit der Kommunikation ändert sich durch die Nutzung der Proxy-Server nichts, die Nachrichten sind auch bei Whatsapp weiter Ende-zu-Ende verschlüsselt und können weder von den Betreibern der Proxy-Server noch Whatsapp oder Meta selbst eingesehen werden. Für den Betrieb eines Whatsapp-Proxys stellte Whatsapp den Code samt Anleitung auf Github bereit. In der App ist die Nutzung eines Proxys dann in der aktuellen Version über die Einstellungen möglich.

Der Beitrag Whatsapp bekommt Proxy-Support gegen Zensur erschien zuerst auf Linux-Magazin.

Kategorien: Nachrichten

Citrix-Server: Entfernter Angreifer kann Befehle ausführen

Mo., 01/09/2023 - 09:57

Der Citrix-Server enthält kritische Sicherheitslücken, die es Angreifern erlauben Zugriff auf das System zu erlangen. Die Angreifer analysieren hierzu HTTP-Antworten, um auf die installierte Server-Version zu schließen. Anfällig hierfür sind Citrix ADC und Gateway.

Die Schwachstellen wurden in ADC-/Gateway-Version 13.0-88.14 korrigiert. Auf zahlreichen Systemen kommt allerdings noch die Version 12.1-65.21 zum Einsatz. Darin wurde die kritische Sicherheitslücke CVE-2022-27518 noch nicht geschlossen. Auf diesen Systemen können Angreifer seit Dezember 2022 die Schwachstelle ausnutzen und Zugriff erlangen. Allerdings sind nur Systeme mit SAML SP oder IdP-Konfigurationen angreifbar.

Der Beitrag Citrix-Server: Entfernter Angreifer kann Befehle ausführen erschien zuerst auf Linux-Magazin.

Kategorien: Nachrichten

Nitrux 2.6.0 nutzt Pipewire und Wayland

Mo., 01/09/2023 - 09:38

Die neue Version der Distribution Nitrux bedient sich standardmäßig beim Flathub-Repository, bringt Samba mit und offeriert erstmals den Pulseaudio Equalizer. Die Basis der hauseigenen Desktop-Umgebung stellt jetzt KDE Plasma 5.26.4.

Hinzu gesellt sich die Programmsammlung KDE Gear 22.12.0. Ebenfalls an Bord sind Firefox 108.0.1 und Mesa 23.0, im Hintergrund arbeitet standardmäßig der Liquorix Linux-Kernel in der Version 6.1.0-2.1.

Nitrux 2.6.0 unterstützt erstmals Wayland. Eine entsprechende Sitzung müssen Anwender jedoch explizit im Anmeldebildschirm (SDDM) aktivieren. Die Nitrux-Entwickler weisen explizit darauf hin, dass es unter dem proprietären Nvidia-Treiber noch zu Problemen kommen kann.

Beim Login hört man einen „Pop“-Ton. Dies ist dem Umstieg auf Pipewire geschuldet: Mit dem Ton testet die Distribution, ob Pipewire korrekt funktioniert. Wer mag, kann den Ton gegen einen eigenen ersetzen. Dazu muss man lediglich die Audio-Datei „“$HOME/.local/share/sounds/pop1.wav”“ gegen eine beliebige eigene austauschen.

Des Weiteren ist das Root-Dateisystem via „overlayroot“ gegen Schreibzugriffe geschützt. Unter anderem wollen die Nitrux-Entwickler damit sicherstellen, dass bei einem Update das Root-Dateisystem unverändert vorliegt.

Sofern man sich bei der Installation dazu entscheidet, den Datenträger komplett löschen zu lassen, teilt ihn Calamares nach einem neuen Schema auf. 20 Prozent des Platzes gehen für die Root-Partition und 60 Prozent für die Home-Partition drauf. Der Rest geht an eine Partition für Flatpak-Pakete („/var/lib/flatpak“) und eine weitere für „/Applications“.

Abschließend haben die Entwickler die Paketmanager „dpkg“, APT und PackageKit entfernt. Nitrux bevorzugt weiterhin die Programminstallation via AppImages oder Flatpaks. Wer unbedingt Software über einen Paketmanager einspielen möchte, dem empfiehlt das Nitrux-Team den Weg über das Tool Distrobox.

Der Beitrag Nitrux 2.6.0 nutzt Pipewire und Wayland erschien zuerst auf Linux-Magazin.

Kategorien: Nachrichten

Android: Kritische Schwachstelle im Kernel

So., 01/08/2023 - 16:14

Im Rahmen des Android Patchdays hat Google mehrere Sicherheitslücken im Android-System geschlossen. Ein entfernter Angreifer kann aufgrund dieser Schwachstellen höhere Rechte auf Android-Geräten erlangen. Des Weiteren kann der Angreifer auch Attacken direkt auf Kernel-Ebene starten.

Google hat, wie üblich, keine Details zu den Sicherheitslecks veröffentlicht. Allerdings stuft Google die Schwachstellen im Android-Framework mit dem Bedrohungsgrad “hoch” ein, da sie es erlauben, dass ein AngreifersCode ausführt. Zum Ausnutzen der Schwachstelle benötigt der Angreifer keine besonderen Berechtigungen auf dem System. Die Kernel-Schwachstellen werden von Google als “kritisch” eingestuft. Diese betreffen beispielsweise die WLAN-Komponente des Android-Systems. Darüber kann der Angreifer beliebigen Schadcode auf dem System ausführen.

Die meisten der korrigierten Schwachstellen betreffen die Android-Versionen 10, 11, 12, 12L und 13.

Der Beitrag Android: Kritische Schwachstelle im Kernel erschien zuerst auf Linux-Magazin.

Kategorien: Nachrichten

Beliebteste Browser und Betriebssysteme im Jahr 2022

Do., 01/05/2023 - 09:08

Das Unternehmen Statcounter veröffentlicht regelmäßig unter anderem die Marktanteile von Betriebssystemen und Browsern. Demnach verwendeten die meisten Nutzerinnen und Nutzer im Jahr 2022 den Browser Chrome. Firefox verlor langsam aber stetig Marktanteile.

Einen Einbruch gab es im März, zum Ende des Jahres lag der Markteinteil von Firefox nur bei 7,21 Prozent. Demgegenüber verwendeten Chrome zum Jahreswechsel 66,41 Prozent. Diese Zahlen gelten für die weltweite Nutzung. Gemäß Statcounter ist in Deutschland Firefox deutlich populärer: Dort lief er im letzten Jahr auf fast 20 Prozent aller Systeme. Chrome lag Ende des Jahres mit fast 45 Prozent aber auch in Deutschland vorne. Statcounter untersuchte allerdings nur die Browsernutzung unabhängig vom Betriebssystem. Es bleibt somit offen, ob die Marktanteile der Browser unter Linux identisch ausfallen.

In einer weiteren Statistik führt Statcounter die Marktanteile der Betriebssysteme auf. Demnach blieb der Marktanteil von Windows weltweit bis zum Jahresende unter 30 Prozent. Linux blieb relativ konstant bei etwas über 1 Prozent. Marktführer ist und bleibt Android mit 44,6 Prozent.

Die Statistiken sind allerdings mit Vorsicht zu genießen: Statcounter verwendet nach eigenen Angaben einen Tracking-Code auf über 1,5 Millionen Webseiten, über den das Unternehmen die Browser-Kennung ausliest. Server bleiben somit unerkannt, gleiches gilt für anonymisierte Browser.

Der Beitrag Beliebteste Browser und Betriebssysteme im Jahr 2022 erschien zuerst auf Linux-Magazin.

Kategorien: Nachrichten

Busybox 1.36 bringt weitere Kommandozeilenwerkzeuge mit

Do., 01/05/2023 - 08:48

Nach rund einem Jahr Entwicklungszeit liegt eine neue Version von Busybox vor. Sie offeriert gleich mehrere neue Befehle, darunter tree, tsort und seedrng. Letztgenanntes Tool kann den Zufallsgenerator im Kernel über passende Seed Files initialisieren.

Die meisten Anwender dürften jedoch mit „tsort“ und „tree“ in Verbindung kommen. Letztgenanntes Werkzeug zeigt Verzeichnisse in einer Baumstruktur auf dem Bildschirm an. „tsort“ wiederum führt auf Daten eine topologischen Sortierung aus.

Des Weiteren lässt sich die PATH-Variable in „crontab“-Dateien setzen, während „fdisk“ mit Datenträger umgehen kann, die den Embedded Base Root Requirements (EBBR) folgen. Viele Kommandos kennen zudem weitere Standardparameter. So liefert etwa „sort“ mit „-h“ eine Hilfe. Auf x86-Systemen berechnet Busybox 1.36 via „libbb“ auf Wunsch hardwarebeschleunigt SHA1- und SHA256-Prüfsummen. „udhcpc6“ nutzt schließlich noch ein anderes Hilfsscript namens „/usr/share/udhcpc/default6.script“.

Busybox fasst zahlreiche Standard-Unix-Kommandos in einem äußerst kompakten Programm zusammen und kommt daher vor allem in Embedded Systemen zum Einsatz. Sämtliche Änderungen der Version 1.36 listet die offizielle Ankündigung auf.

Der Beitrag Busybox 1.36 bringt weitere Kommandozeilenwerkzeuge mit erschien zuerst auf Linux-Magazin.

Kategorien: Nachrichten

Nightly-Builds von PyTorch waren kompromittiert

Mi., 01/04/2023 - 11:19

Anwender, die die Machine-Learning-Bibliothek PyTorch als Nightly-Build zwischen dem 25. Dezember 2022 und dem 30. Dezember 2022 über “pip” auf Linux installiert haben, sollten ihn deinstallieren und die neuesten nächtlichen Binarys einspielen. Die Pakete hätten eine Abhängigkeit installiert, die im Python Package Index (PyPI) Code-Repository kompromittiert wurde und ein bösartiges Binärprogramm ausgeführt habe, melden die Entwickler.

Dieser Supply-Chain-Angriff betreffe direkt die Abhängigkeiten von Paketen, die in öffentlichen Paketindizes gehostet seien, heißt es weiter. Benutzer der stabilen PyTorch-Pakete seien nicht betroffen.

Das bösartige Binary werde ausgeführt, wenn das Triton-Paket importiert werde, was aber expliziten Code erfordere und nicht das Standardverhalten von PyTorch sei, teilen die Entwickler mit.

Bei dem betroffenen Paket handle es sich um “torchtriton”. Es sei in das Code-Repository Python Package Index (PyPI) hochgeladen worden und habe denselben Paketnamen getragen wie das Paket, das man im nightly PyTorch-Paketindex anbieten. Da der PyPI-Index Vorrang habe, sei aber dieses bösartige Paket anstelle der Version aus dem offiziellen Repository installiert worden.

Der Blog-Beitrag zum Problem nennt weitere Details und Prüfmöglichkeiten.

Der Beitrag Nightly-Builds von PyTorch waren kompromittiert erschien zuerst auf Linux-Magazin.

Kategorien: Nachrichten

Vanilla OS wird stable

Mi., 01/04/2023 - 11:03

Mit Version 22.10 gilt das auf Ubuntu aufbauende Vanilla OS erstmals als stable und orientiert sich mit der Versionsnummer am unterliegenden Ubuntu. Die Macher hinter Vanilla OS sehen sich als Projekt, das sich viele Ziele setzt und Technologien wie das Apx-Subsystem, sein eigenes automatisches Aktualisierungssystem und die ABRoot-Transaktionen einsetzt.

Gnome 43 dient als Desktop-Umgebung, dabei habe man darauf geachtet, Gnome möglichst unverändert einzusetzen.Alle offiziellen Vanilla-OS-Anwendungen seien mit GTK4 und Libadwaita erstellt, um so konsistent wie möglich mit Gnome zu sein. Mit Apx führe man ein neues Paradigma in der Paketverwaltung ein. Die Idee dahinter verwende das System nur als eine Box zum Speichern der Dateien zu verwenden und halte es von Paketen sauber. Damit begrenze man das Risiko von Schäden durch schlecht konstruierte Pakete.

Umgesetzt werde das durch die Installation von Software in einem oder mehreren Containern, die komplett von Apx verwaltet würden, heißt es in der Ankündigung. Diese Container hätten nur eingeschränkten Zugriff auf die Systemressourcen könnten aber dennoch dieselben Treiber und Hardware verwenden. Standardmäßig stelle Apx einen Container zur Verfügung, der auf der jeweiligen Linux-Distribution basiere (Ubuntu 22.10 für Vanilla OS 22.10) und alle Befehle aus dem Paketmanager der Distribution (apt für Ubuntu) einbinde.

Nutzer könnten aber auch Pakete aus anderen Paketdistributionen installieren. Zum Beispiel werde mit dem –aur-Flag ein neuer Container auf Basis von Arch Linux erstellt. In diesem Fall verwaltet apx die Pakete aus dem AUR (Pacman und yay) und bindet sie eng in das Hostsystem ein. Die Verwendung des Flags–dnf mit apx erzeuge einen neuen Container auf der Basis von Fedora Linux. In diesem Fall verwalte apx die Pakete aus dem DNF-Repository von Fedora und integriere sie in das Wirtssystem.

ABRoot sei eine neue Technologie, die es ermöglicht, Änderungen an Ihrem System atomar durchzuführen und so das Risiko begrenze, das System kaputt zu machen. Atomarität beschreibe die Fähigkeit, einen bestimmten Vorgang so durchzuführen, dass bei einem Fehlschlag nichts verändert wird und bei einem Erfolg die Änderungen vollständig übernommen werde, so die Entwickler. ABRoot erreicht dies, indem es zwischen zwei Root-Dateisystemen agiere: A und B.

Die Ankündigung nennt weitere Features und erläutert den Installationsprozess.

Der Beitrag Vanilla OS wird stable erschien zuerst auf Linux-Magazin.

Kategorien: Nachrichten

Viele Internetnutzer von Cybercrime betroffen

Di., 01/03/2023 - 10:31

In einer Umfrage hat der Digitalverband Bitkom ermittelt, dass im Jahr 2022 rund 75 Prozent der Internetnutzer von Cyberkriminalität betroffen waren.

Bitkom hat dafür 1014 Personen ab 16 Jahren in Deutschland befragt, die das Internet nutzen. 22 Prozent haben angegeben, keine solchen Erfahrungen gemacht zu haben, 3 Prozent wollten keine Angaben machen. Im Vorjahr hatten 21 Prozent angegeben, nicht von Cyberkriminalität betroffen gewesen zu sein, 2020 waren es noch 34 Prozent, 2019 waren es 40 Prozent.

Fast die Hälfte der Internutzerinnen und -nutzer berichtet, dass persönliche Daten ungefragt weitergeben wurden (46 Prozent). Viele wurden zudem Opfer von Betrug, sowohl beim Online-Einkauf (29 Prozent) als auch bei Geldgeschäften wie Online-Banking oder dem Missbrauch der eigenen Kontodaten (13 Prozent). Bei rund einem Viertel (27 Prozent) wurde der Computer mit Schadprogrammen infiziert, 17 Prozent bemerkten solche Vorfälle auf dem Smartphone.

Von Ransomware-Attacken betroffen waren 2 Prozent auf dem Smartphone und 1 Prozent auf dem Computer. Bei 9 Prozent wurden Zugangsdaten zu Online-Diensten ausspioniert, 3 Prozent mussten Identitätsdiebstahl erleben. Auch in der direkten Interaktion mit anderen Onlinern gab es zahlreiche strafbare Handlungen. So wurden 23 Prozent im Internet massiv beleidigt oder angegriffen, 9 Prozent sind sexuell belästigt worden – mit 13 Prozent sind hier Frauen deutlich häufiger betroffen als Männer (6 Prozent).

Ein Drittel der Betroffenen (32 Prozent) hat auf die Vorfälle überhaupt nicht reagiert, rund die Hälfte (56 Prozent) hat das Gespräch mit Freunden und Bekannten gesucht und 6 Prozent haben andere auf die Vorfälle aufmerksam gemacht, etwa mit Beiträgen in sozialen Netzwerken. Ebenfalls knapp die Hälfte (47 Prozent) hat sich an das Unternehmen gewandt, das in Zusammenhang mit der kriminellen Aktivität stand, etwa die Social-Media-Plattform, die Bank oder der E-Mail-Anbieter. 18 Prozent haben ihren Account bei dem betreffenden Unternehmen gelöscht oder gekündigt. Rund ein Fünftel (18 Prozent) hat Strafanzeige bei der Polizei gestellt, 9 Prozent haben sich an andere Behörden wie etwa das Bundesamt für Sicherheit in der Informationstechnologie (BSI) gewandt und 1 Prozent hat einen Rechtsanwalt eingeschaltet. Praktisch niemand (0,1 Prozent) gibt an, auf Forderungen der Kriminellen eingegangen zu sein.

Eine breite Mehrheit der Onliner spricht sich für einen stärkeren Einsatz der Polizei gegen Cyberkriminalität aus. 97 Prozent fordern mehr Geld für spezielle Polizeieinheiten, die gegen Kriminelle im Internet vorgehen. Und 93 Prozent verlangen, dass die Polizei mehr Präsenz im digitalen Raum zeigt.

Der Beitrag Viele Internetnutzer von Cybercrime betroffen erschien zuerst auf Linux-Magazin.

Kategorien: Nachrichten

Curl-Entwickler kritisiert fehlende Unterstützung von Apple

Mo., 01/02/2023 - 12:05

Entwickler Daniel Stenberg hat immer wieder Probleme mit Großkonzernen und deren Open-Source-Einstellung. Über Apple zeigt er sich nun enttäuscht.

Der Hauptentwickler der Download- und Transferbibliothek Curl, Daniel Stenberg, berichtet in seinem Blog über eine Hardware-Spende eines “großzügigen” Mitglieds der größeren Curl-Community. Dabei handelt es sich um einen Mac Mini mit M1-Chip (Test), der für die Entwicklung genutzt werden soll. Stenberg nutzt die Gelegenheit aber auch erneut für Kritik an dem Hardware-Hersteller Apple und dessen Verhältnis zur Open-Source-Entwicklung.

Unter der Überschrift “Apple hilft nicht” schreibt der schwedische Entwickler: “Apple liefert und verwendet Curl seit zwanzig Jahren in seinen Produkten, aber weder unterstützen sie, noch helfen sie oder tragen auf andere Weise zur Entwicklung bei. Sie sponsern uns auch in keiner Weise, wie etwa mit Hardware.”

Schon allein deshalb sei das Curl-Projekt auf eine Hardware-Spende angewiesen, die Stenberg auch dankend angenommen hat. Denn Curl-Nutzer hätten natürlich auch ab und an Probleme auf Apple-Plattformen. Ohne direkten Zugriff auf die passende Hardware sei es aber schwierig, diese zu beheben. Der Entwickler weist dabei auf einen Tweet von Apple aus dem vergangenen Jahr hin, wo das Unternehmen als Antwort auf eine Support-Anfrage eines Nutzers der Apple-Systeme auf das Curl-Projekt verwies.

Damals schrieb Stenberg in seinem Blog: “Stellen Sie sich vor, Sie führen ein Billionen-Dollar-Unternehmen, das verschiedene Open-Source-Komponenten in Ihre Produkte bündelt und jährlich Milliarden von Dollar Gewinn macht. Wenn sich einer Ihrer Benutzer an Sie wendet und um Hilfe bittet, für ein Produkt, das Sie an Ihre Kunden liefern, verweisen Sie den Benutzer stattdessen auf das Open-Source-Projekt. Ein Projekt, das von Freiwilligen betrieben wird, das Sie nie mit einem Cent gesponsert haben. Wer würde so etwas nur tun?” Die Antwort lieferte Stenberg mit einem Screenshot des Tweets von Apple nach.

Die Curl-Bibliothek wird in einer Vielzahl von Produkten eingesetzt und ist vermutlich eines der am häufigsten verwendeten Open-Source-Projekte überhaupt. Die allermeisten mit dem Internet verbundenen Geräte dürften über eine Variante von Curl verfügen. Dazu gehören Waschmaschinen, Autos oder Fernsehgeräte ebenso wie klassische PC- und Server-Betriebssysteme. Die Finanzierung und Entwicklung von Curl erscheint im Vergleich dazu aber extrem prekär, finanzielle Unterstützung durch die Unternehmen gibt es so gut wie nie.

So hat Stenberg den Code über einen Zeitraum von etwa zwei Jahrzehnten ausschließlich in seiner Freizeit gepflegt. Erst seit wenigen Jahren kann der Entwickler in Vollzeit an dem Projekt arbeiten. Mithilfe von Geld aus dem Sovereign Tech Fund der Bundesregierung soll es möglich werden, dass erstmals ein zweiter Entwickler direkt an Curl arbeiten kann – zunächst für sechs Monate.

Die Situation scheint aber vielen Nutzern nicht immer bewusst zu sein. So berichtet Stenberg mehr oder weniger regelmäßig von Support-Anfragen durch Endnutzer, die Stenbergs E-Mail offenbar in den Lizenzhinweisen diverser Produkte finden. Darüber hinaus erhielt der Entwickler, erst Anfang dieses Jahres eine dringende E-Mail eines Fortune-500-Konzerns, mit der Bitte um Antwort innerhalb von 24 Stunden. Das Unternehmen ist offenbar davon ausgegangen, einen Support-Vertrag für Curl zu haben, was nicht der Fall war.

Der Beitrag Curl-Entwickler kritisiert fehlende Unterstützung von Apple erschien zuerst auf Linux-Magazin.

Kategorien: Nachrichten

Snapshot 02/2023: Tourenvorschläge aus dem Fundus holen

Mo., 01/02/2023 - 12:00

Steht Mike Schilli vor der Qual der Wahl, eine Wandertour aus seiner Sammlung von Stadtwanderwegen herauszusuchen, greift er zu einem selbst gebauten Vorschlagsprogramm.

Im Video demonstriert er seine Lösung

Youtube-Video An dieser Stelle finden Sie externe Inhalte von Youtube. Zum Schutz Ihrer persönlichen Daten werden externe Einbindungen erst angezeigt, wenn Sie dies durch Klick auf "Alle externen Inhalte laden" bestätigen: Alle externen Inhalte laden Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit werden personenbezogene Daten an Drittplattformen übermittelt. Für weitere Informationen besuchen Sie die Datenschutzseite.

Der Beitrag Snapshot 02/2023: Tourenvorschläge aus dem Fundus holen erschien zuerst auf Linux-Magazin.

Kategorien: Nachrichten

Viele nutzen Matrix, wenige finanzieren es

Mo., 01/02/2023 - 10:18

Matrix blickt auf ein erfolgreiches Jahr zurück – die Nutzerzahlen haben sich verdoppelt. Doch fehlende Finanzierung gefährdet die Kernentwicklung.

Im Matrix-Netzwerk ist im Jahr 2022 viel passiert – unter anderem haben sich die Nutzerzahlen verdoppelt, wie der Matrix-Gründer Matthew Hodgson in einem Blogeintrag schreibt. Allerdings gibt es auch Probleme, vor allem die Finanzierung der Kernarbeit an Matrix gestaltet sich schwierig.

“Dank der Situation bei Twitter erlebt die Welt ein großes Erwachen hinsichtlich der Bedeutung der Dezentralisierung”, schreibt Hodgson. Die Anzahl der sichtbaren Matrix-IDs habe sich von 44,1 auf 80,3 Millionen nahezu verdoppelt. Gleichzeitig gebe es viele neue Akteure im Matrix-Ökosystem: So scheine Reddit eine Chatfunktion auf Basis des Matrix-Protokolls zu entwickeln. Teamspeak habe den matrixbasierten Chat TS5 angekündigt. Auch Discourse arbeite an einer Matrix-Unterstützung und Thunderbird habe diese bereits eingeführt.

Von Luxemburg bis zur Ukraine sei von etlichen Regierungen Matrix eingeführt worden, erklärte Hodgson. In Deutschland wolle die BWI, das IT-Systemhaus der Bundeswehr, einen Bundesmessenger auf Matrix-Basis den Behörden anbieten, die Gematik Ärzten und Krankenkassen. Zudem sei die Fosdem 2022 mit mehr als 23.000 Teilnehmern über Matrix abgewickelt worden. Und WordPress-Entwickler Automattic arbeite an einem entsprechenden Plug-in für WordPress.

“Andererseits haben nur eine Handvoll dieser Initiativen dazu geführt, dass das Matrix-Kernteam Mittel erhalten hat. Dies gefährdet unmittelbar die Kernentwicklung von Matrix”, schreibt Hodgson. Damit sei man Zeuge der klassischen Tragik der Allmende (Tragedy of the Commons). Nach dieser sozialwissenschaftlichen Theorie werden Allgemeingüter, die frei verfügbar sind, aber über begrenzte Ressourcen verfügen, übernutzt.

Matrix sei Open Source und so weit entwickelt, dass es breit und in großem Maßstab eingesetzt werden könne. Das Netzwerk expandiere auch exponentiell. “Es zeigt sich jedoch, dass die große Mehrheit dieser kommerziellen Implementierungen keinen finanziellen Beitrag zur Matrix Foundation leistet – sei es durch direkte Spenden oder indirekte Unterstützung durch die Zusammenarbeit mit Element, die heute den größten Teil der Kernentwicklung von Matrix finanzieren”, kritisiert Hodgson.

Element sei nicht mehr in der Lage, die gesamte Matrix Foundation für alle anderen zu finanzieren und habe bereits einige Mitarbeiter des Kernteams entlassen müssen. Man arbeite daher an einem Ansatz, der sowohl die Gemeinschaft stärke als auch Organisationen zur Teilnahme ermutige.

Auch entwicklungstechnisch ist im vergangenen Jahr viel passiert. So wurde mit Vodozemac eine Rust-Implementierung der Ende-zu-Ende-Verschlüsselung Olm/Megolm geschaffen und auditiert, die wiederum auf der Signal-Verschlüsselung basiert. Diese soll in Element R zum Einsatz kommen, das sich allerdings wegen verantwortlich gemeldeter und behobener Sicherheitslücken in den bisherigen Implementierungen verzögert hat.

Ebenfalls in Arbeit ist ein Open-Source-Metaverse namens Third Room, das auf Matrix aufbaut. Hinzu kommen Voice over IP (VoIP), der leichtgewichtige Matrix-Webchat Hydrogen und Chatterbox.

Der Beitrag Viele nutzen Matrix, wenige finanzieren es erschien zuerst auf Linux-Magazin.

Kategorien: Nachrichten

Googles Suchbegriffe des Jahres 2022

Fr., 12/30/2022 - 11:27

Der Krieg in der Ukraine schlägt sich auch in den Top-10 der Suchbegriffe von Google im Jahr 2022 in Deutschland nieder. Der Begriff Ukraine ist auf Platz 1. Der russische Präsident Vladimir Putin kommt auf Platz 5.

Platz 2 und 3 belegen die Sportereignisse WM 2022 und Olympia 2022. Die Queen kommt auf Platz 4. Erstmals seit Beginn der Pandemie ist Corona nicht mehr unter den ersten zehn meistgesuchten allgemeinen Suchbegriffen bei Google.

Top-Ten-Liste der allgemeinen Suchanfragen aus Deutschland bei Google

Bei den Schlagzeilen hat die Nutzer ebenfalls die Ukraine am häufigsten beschäftigt. Es folgen Affenpocken, 9-Euro-Ticket, Hitzewarnung und Layla. Vladimir Putin belegt auch Platz 1 der Top 10 der gesuchten Persönlichkeiten 2022 in Deutschland. Johhny Depp, Amber Heard und Boris Becker folgen auf den Plätzen 2 bis 4.

Nutzer geben bei Google auch ganze Fragen ein. In den Fragen des Jahres spiegelt sich ein breites Spektrum an Themen wider. Es wurde etwa bei den Was-Fragen am häufigsten gefragt: Was sind Akren?, Was ist die NATO, Was ist ein Oligarch?. Und die Fragen, Warum greift Russland Ukraine an?; Warum ist Diesel teurer als Benzin? Und Warum spielt Alexandra Popp nicht?, beschäftigten die Deutschen am häufigsten.

Google bietet einen detaillierten Rückblick auf das Jahr 2022 an.

Der Beitrag Googles Suchbegriffe des Jahres 2022 erschien zuerst auf Linux-Magazin.

Kategorien: Nachrichten

Corona-Warn-App wird weiter genutzt

Fr., 12/30/2022 - 10:01

37 Prozent der Menschen in Deutschland nutzen weiterhin die Corona-Warn-App des Bundes. Weitere 17 Prozent haben die App früher genutzt, sie mittlerweile aber wieder deinstalliert.

ZU diesem Ergebnis kommt eine repräsentative Befragung des Digitalverbandes Bitkom unter 1144 Menschen in Deutschland ab 16 Jahren. 61 Prozent der Befragten stimmten auch der Aussage zu, die App solle über das Frühjahr hinaus weiterentwickelt und mit Updates versorgt werden. Aktuell plane die Bundesregierung, die App bis Ende Mai 2023 weiterzubetreiben. 32 Prozent der Nutzer hat die Corona-Warn-App nach eigenen Angaben konkret dabei geholfen, sich selbst oder andere vor einer Ansteckung mit dem Corona-Virus zu schützen.

Der Umfrage zufolge haben 92 Prozent die App auf ihrem Smartphone im Einsatz, um gewarnt zu werden oder andere zu warnen. 68 Prozent haben in der App ihren Impfstatus gespeichert. Sieben Prozent nutzen andere Funktionen der App wie etwa das Tagebuch oder die Eventregistrierung. Nach offiziellen Angaben wurde die Corona-Warn-App seit ihrem Launch im Juni 2020 fast 48 Millionen Mal heruntergeladen. Rund 55 Millionen Menschen ab 16 Jahren nutzen in Deutschland ein Smartphone.

Der Beitrag Corona-Warn-App wird weiter genutzt erschien zuerst auf Linux-Magazin.

Kategorien: Nachrichten

CCC ersteigert Biometrie-Datenbank des US-Militärs

Do., 12/29/2022 - 10:02

Dass das US-Militär beim Abzug aus Afghanistan Geräte zur biometrischen Erfassung von Menschen zurückgelassen haben sollen, hat den Chaos Computer Club alarmiert. Dem CCC ist es dann laut eigenen Angaben gelungen, über Internet-Auktionen solche Geräte zu ersteigern, inklusive einer umfassenden Biometrie-Datenbank mit Namen, Fingerabdrücken, Iris-Scans und Fotos von 2632 Personen, teilen die CCC-Aktivisten mit.

Wie der CCC berichtet, haben sich die Mitglieder Matthias Marx, Snoopy, Starbug und md Informationen zu diesen Geräten beschafft und seien dabei auf mehrere Angebote bei einem Online-Auktionshaus gestoßen. Es sei dann gelungen, insgesamt vier Geräte des Typs SEEK II (Secure Electronic Enrollment Kit) und zwei Geräte des Typs HIIDE 5 (Handheld Interagency Identity Detection Equipment) zu ersteigern.

Die forensische Untersuchung sei geradezu langweilig verlaufen, heißt es weiter, weil sämtliche Datenträger unverschlüsselt gewesen seien und als Zugangsschutz lediglich ein gut dokumentiertes Standardpasswort diente. Auch bei der Datenbank mit den biometrischen Daten habe es sich um eine Standard-Datenbank mit Standard-Datenformaten gehandelt, die vollständig exportiert werden konnte.

Auf den verschiedenen Geräten haben die CCC-Mitglieder Namen und biometrische Daten zweier US-Militärs, GPS-Koordinaten vergangener Einsatzorte sowie die Biometrie-Datenbank mit Namen, Fingerabdrücken, Iris-Scans und Fotos der 2632 Personen gefunden. Das Gerät mit dieser Datenbank sei zuletzt Mitte 2012 irgendwo zwischen Kabul und Kandahar eingesetzt worden, berichtet der CCC.

“Der verantwortungslose Umgang mit dieser Risiko-Technologie ist unfassbar”, sagte Matthias Marx, der die CCC-Forschungsgruppe geleitet hat. Die Konsequenzen seien lebensbedrohlich für die vielen Menschen in Afghanistan, die von US- und Bundesregierung im Stich gelassen worden seien. “Uns ist unbegreiflich, dass es den Hersteller und die militärischen ehemaligen Nutzer nicht kümmert, dass gebrauchte Geräte mit sensiblen Daten online verhökert werden”, sagte Marx weiter.

Der CCC habe den Hersteller der SEEK-Geräte, Crossmatch Technologies (heute: HID Global), und zwei bekannte Nutzer der Geräte, das US Department of Defense und die deutsche Bundeswehr über die Schwachstelle informiert. Insbesondere habe man darauf hingewiesen, dass gebrauchte Geräte mit hochsensiblen Daten einfach im Internet bestellt werden können.

Von der Bundeswehr sei lediglich eine Empfangsbestätigung gekommen, das Department of Defense habe an den Hersteller verwiesen, und der Hersteller habe nichts unternommen. Zweieinhalb Monate nach dieser Meldung habe man ein weiteres Biometrie-Gerät online bestellen können.

Der Beitrag CCC ersteigert Biometrie-Datenbank des US-Militärs erschien zuerst auf Linux-Magazin.

Kategorien: Nachrichten

Ksmbd: Kritische Lücke im SMB-Dienst des Linux-Kernels

Mi., 12/28/2022 - 10:21

Der Linux-Kernel verfügt seit vergangenem Jahr über eine eigene SMB-Implementierung. Diese enthält eine sehr gefährliche Lücke – Updates stehen bereit.

Die Sicherheitsforscher des Thalium-Teams des Rüstungskonzerns Thales haben eine Sicherheitslücke in der Umsetzung des SMB-Protokolls im Linux-Kernel (Ksmbd) gefunden, die als besonders kritisch eingestuft wird. Das Team der Zero Day Initiative (ZDI) von Trend Micro vergibt für die Lücke gar den CVSS-Höchstwert 10.0. Immerhin ermögliche die Lücke das Ausführen von Code mit Kernel-Rechten (Remote Code Execution, RCE), ohne dass eine Authentifizierung notwendig sei.

Das von Samsung initiierte Kernel-Modul Ksmbd soll eine Alternative zu Samba sein, das bisher unter Linux als Standardimplementierung des SMB-Protokolls dient, welches ursprünglich aus Windows stammt. Samba läuft allerdings im Userspace, so dass Ksmbd im Gegensatz dazu die Vorteile des Kernels nutzen können soll, wie etwa eine höhere Geschwindigkeit.

Erstmals in Linux integriert wurde das Ksmbd mit Linux 5.15. Auf die Sicherheit des Linux-Kernels fokussierte Entwickler kritisierten aber schon früh die schlechte Qualität des Codes und offenbar auch fehlende Vorkehrungen, wie LWN.net berichtete. Auf Grund der vergleichsweise geringen Entwicklungszeit von Ksmbd bisher ist davon auszugehen, dass das Modul bisher wenig Verbreitung gefunden hat und die meisten Nutzer weiterhin auf Samba setzen.

Bei der nun veröffentlichten Lücke handelt es sich um einen Use-After-Free-Fehler, der offenbar automatisiert gefunden wurde. Dazu heißt es bei der ZDI: “Das Problem ergibt sich aus dem Fehlen der Validierung der Existenz eines Objekts vor der Durchführung von Operationen an dem Objekt.” Ein Patch für die Lücke wurde bereits im Juli dieses Jahres in die stabilen Zweige des Linux-Kernels integriert, die beteiligten Forscher entschieden sich aber erst jetzt zu einer koordinierten Veröffentlichung.

Der Beitrag Ksmbd: Kritische Lücke im SMB-Dienst des Linux-Kernels erschien zuerst auf Linux-Magazin.

Kategorien: Nachrichten

Tails 5.8 ist ein Major-Release

Fr., 12/23/2022 - 10:43

Die Entwickler von Tails, the amnesic incognito live system, bezeichnen die neue Version 5.8 als das wichtigste Release seit Jahren. Version 5.8 bringe eine umfassende Neugestaltung bestehender Funktionen, wichtige Verbesserungen der Benutzerfreundlichkeit und erhöhte Sicherheit.

Zu den Highlights zählen die Entwickler die komplette Neugestaltung der Persistent Storage Funktion. Der Persistent Storage habe sich seit seiner ersten Veröffentlichung im Jahr 2012 kaum verändert, da der Code schwer zu ändern und zu verbessern war, berichten die Entwickler.

Zu den Neuerungen des Persistent Storage zähle nun, dass kein Neustart mehr erforderlich sei, nachdem der persistente Speicher erstellt wurde oder wenn eine neue Funktion aktiviert werde. Zudem könne das Passwort des persistenten Speichers in der neuen Anwendung geändert werden. Nicht zuletzt lasse sich der Persistent Storage direkt vom Willkommensbildschirm aus erstellen, wenn noch keiner vorhanden sei.

Das veraltete X.Org haben die Entwickler durch Wayland ersetzt. Auch wenn der Nutzer keinen visuellen Unterschied bemerke, bringe Wayland mehr Sicherheit in die Tiefe von Tails, da es für eine kompromittierte Anwendung in Tails schwieriger werde, eine andere Anwendung zu kompromittieren oder zu missbrauchen, schreiben die Entwickler.

Die Ankündigung nennt weitere Details und gibt Hinweise zum Download und der Installation.

Der Beitrag Tails 5.8 ist ein Major-Release erschien zuerst auf Linux-Magazin.

Kategorien: Nachrichten

Darktable 4.2.0 mit neuen Funktionen

Fr., 12/23/2022 - 10:25

In der neuen Version 4.2.0 des Raw-Foto-Editors Darktable stecken diverse neue Funktionen. Ein neues Modul für die Sigmoid-Darstellungstransformation ist eine davon.

Das Sigmoid-Modul könne anstelle der Module für Film- und Basiskurven verwendet werden, heiß´t es in der Ankündigung.

Desweiteren sind zwei neue Algorithmen im Modul für die Glanzlichtrekonstruktion enthalten: “inpaint opposed” und “segmentation based”. Der Algorithmus “inpaint opposed” habe sich als sehr stabil erwiesen und liefere in vielen Bildern gute Ergebnisse, so dass er den Algorithmus “clip highlights” als neuen Standardalgorithmus ersetze, teilen die Entwickler mit.

Das Snapshot-Modul haben die Macher von Darktable komplett überarbeitet. Statt einer festen Bildschirmaufnahme könne es nun eine dynamisch generierte Ansicht liefern, die die neue Pixelpipe-Funktionalität verwende. Die Aufnahme lasse sich nun mit Tastatur/Maus zoomen und schwenken.

Es sei nun auch möglich, den Effekt eines benutzerdefinierten Stils auf ein Bild in der Vorschau anzuzeigen, bevor er angewendet werde. Wenn der Mauszeiger über den Namen des Stils im Modul “Lighttable Styles” oder im Schnellzugriffsmenü der Dunkelkammer bewegt wird, erscheint ein Tooltip, der das Bild mit dem angewendeten Stil zusammen mit Details zu enthaltenen Modulen anzeige.

Das Team empfiehlt ein Backup, bevor das Update eingespielt wird.  Wer von der stabilen 4.0.x-Serie aktualisiere, sollte bedenken, dass die Änderungen während dieses Prozesses erhalten bleiben, aber die neue Bibliothek und Konfiguration nicht mehr mit 4.0.x verwendet werden könne.

In der Ankündigung sind weitere Informationen enthalten.

Der Beitrag Darktable 4.2.0 mit neuen Funktionen erschien zuerst auf Linux-Magazin.

Kategorien: Nachrichten

Bareos 22: Mehr Leistung für Plugins

Do., 12/22/2022 - 19:07

Das Kölner Open-Source-Unternehmen Bareos (Backup Archiving Recovery Open Sourced) hat seine gleichnamige freie Software für Datensicherung und Archivierung in Version 22 veröffentlicht. Die neue Ausgabe bringe unter anderem eine verbesserte IO-Performance der Plugins.

Dazu zählt, dass Python-Plugins für den Bareos File Daemon (FD) nun Lese- und Schreiboperationen direkt vom Bareos-Kern ausführen lassen können, ohne Umweg über den Python-Code, heißt es in der Ankündigung. Das sei zwar nicht für jedes Plugin möglich oder sinnvoll, merken die Entwickler an, bei entsprechend angepassten Plugins lasse sich so aber die Performance verdoppeln und ein Backup über ein Python-Plugin sei damit genauso schnell wie eine Sicherung direkt über den File Daemon.

Verbessert zeigt sich auch das VMware-Plugin. Das erstelle bereits seit Bareos 15.2 vollständige und inkrementelle Backups. Bislang sei es aber nur möglich gewesen, bestehende virtuelle Maschinen wiederherzustellen, mit Bareos 22 ließen sich nun auch neue VMs aus den Sicherungen erzeugen. Administratoren könnten dazu Zielordner, Rechner, Cluster und Datenspeicher frei wählen.

Bareos 22 fasse mehrere RHEL-Plattformen zusammen und stelle dafür nun ein einziges Paket bereit. Die Entwickler haben außerdem Ubuntu 22.04, Fedora 36 und 37, RHEL-9-Ableger (Rocky Linux, AlmaLinux, Oracle Linux, CentOS Stream) und OpenSUSE/SLES 15.4 in die Liste der unterstützten Distributionen aufgenommen.

Als Tech Preview haben die Entwickler eine erste Version der sogenannten Backup Checkpoints vorgestellt. Das Feature ermögliche die Wiederherstellung von unvollständigen Backup-Jobs.

Der Beitrag Bareos 22: Mehr Leistung für Plugins erschien zuerst auf Linux-Magazin.

Kategorien: Nachrichten

Mozilla will öffentliche Mastodon-Instanz starten

Do., 12/22/2022 - 10:26

Der Firefox-Hersteller Mozilla will in Kürze eine öffentliche Mastodon-Instanz hosten und das sogenannte Fediverse stärker unterstützen.

Der Browserhersteller Mozilla reagiert offenbar auf das gestiegene Interesse an Mastodon und ähnliche Alternativen zu etablierten sozialen Netzwerken und kündigt an, noch zu Beginn des Jahres 2023 eine öffentlich verfügbare Fediverse-Instanz unter der Domain Mozilla.social zu starten.

Dazu heißt es: “Wir sind bestrebt, uns der Community anzuschließen, um zu wachsen, zu experimentieren und zu lernen, wie wir gemeinsam die Herausforderungen zur Technik, Erfahrung und Vertrauenswürdigkeit lösen können, die hyperskalierten sozialen Systemen innewohnen.” Ziel sei demnach ein föderierter sozialer Raum, der unabhängig von Profitinteressen sei. Details dazu, wie und ob sich das Angebot von Mozilla refinanzieren soll, machten die Beteiligten bisher nicht. Der Firefox-Hersteller experimentiert aber seit Jahren mit Angeboten, die über Abo-Gebühren finanziert werden.

Mozilla arbeite darüber hinaus seit Jahren an Produkten, die in Zeiten des Überwachungskapitalismus für “Individualität und Privatsphäre” stünden. “Wir hoffen, diese Erfahrung in den Dienst des Fediverse einbringen zu können, genauso wie wir hoffen, von denen zu lernen, die bereits hart in dieser Gemeinschaft arbeiten”, betont das Team.

Die kommende Mastodon-Instanz soll für Mozilla aber zunächst nur der erste Schritt in das Fediverse sein. Das Potenzial dafür sei aber größer und breiter, heißt es. Dafür wird auf andere Projekte wie etwa Pixelfed verwiesen oder auch das Chat-Netzwerk Matrix. Mozilla schreibt: “Gemeinsam haben wir die Möglichkeit, die Lehren aus der Vergangenheit anzuwenden, um eine soziale Erfahrung für die Menschheit aufzubauen, die gesund, nachhaltig und vor der zentralisierten Kontrolle einer einzelnen Einheit geschützt ist.”

Der Beitrag Mozilla will öffentliche Mastodon-Instanz starten erschien zuerst auf Linux-Magazin.

Kategorien: Nachrichten

Seiten