Laut dem VPN-Anbieter Atlas VPN sind im Jahr 2022 Passwörter mit Bezug zu Prominenten wie Taylor Swift, Bad Bunny, Jennifer Lopez, Ben Affleck und Elon Musk beliebt gewesen.  AtlasVPN hat für seine Analyse mit Hilfe von SpyCloud Passwörter aus verschiedenen Listen im Dark Web extrahiert.

Auch Bad Bunny, der meistgestreamte Künstler auf Spotify im Jahr 2022, hat Nutzer dazu inspiriert, Bad Bunny, titi und verano als Passwörter zu nutzen, wobei die beiden letzteren Songs des Künstlers sind. Die Übernahme von Twitter durch Elon Musk führte ebenfalls dazu, dass twitter und elon musk als Passwörter verwendet wurden.

Die Beliebtheit von Streaming-Diensten spiegele sich in Passwörtern wie youtube, netflix und hulu wider und der Tod von Queen Elizabeth und andere Nachrichten über die königliche Familie führten zur Verwendung von queen, queen elizabeth und royal family als Passwörter, die insgesamt 167.000 Mal verwendet wurden.

Rangliste der Passwörter aus dem DarkWeb. Quelle: Spycloud

Passwörtern, die mit Familie und Liebe in Verbindung stehen, stellen laut AtlasVPN ebenfalls ein hohes Sicherheitsrisiko dar. Passwörter wie wife, husband, boyfriend und family fanden sich über 7 Millionen Mal in den durchsuchten Listen.

Und Passwörter, wie password, 123456, qwerty und ähnliche, sind und bleiben die unsicherste Wahl, um ein Konto zu schützen, warnt AtlasVPN.

Der Beitrag Queen Elizabeth und Taylor Swift inspirieren zu Passwörtern erschien zuerst auf Linux-Magazin.

Die Wahl des Debian-Projektleiters (DPL) wird in diesem Jahr wohl eine klare Angelegenheit. Zur Wahl steht nur der amtierende Projektleiter Jonathan Carter. Er bewirbt sich um eine vierte Amtszeit.

Jonathan Carter bewirbt sich wie bei Debian üblich über eine Wahlplattform, die online einzusehen ist. Er berichtet dort von dem Weg durch die Pandemie. Auch die Highlights wie das Release von Debian11 Bullseye ist in diese Zeit gefallen. Zu weiteren wichtigen Ereignissen zählt er die Entscheidung, unfreie Firmware auf den Installationsmedien von Debian zuzulassen.

Zu den Zielen für die kommende Wahlperiode ist eine Verkürzung der Wartezeit in der NEW Queue. Dort stauen sich derzeit neue oder bearbeitete Pakete, bei denen es um die Frage geht, ob sie den Debian-Richtlinien entsprechen und ins Archiv können. Die langen Wartezeiten dort hätten zu Unmut bei den Entwicklern geführt und für lange Verzögerungen gesorgt. Carter will nun rechtlichen Beistand in diese Diskussion einbringen, um die Wartezeiten zu verkürzen, wenn es etwa um Urheberrechtsfragen geht. In seiner ausführlichen Plattform nennt er weitere Vorhaben.

Die Wahlkampagne geht vom 11. bis 31. März, dann folgt vom 1. bis 14. April die Wahl. Der Zeitplan ist hier einzusehen.

Der Beitrag Wahl zum Debian Projektleiter steht an erschien zuerst auf Linux-Magazin.

Oracle hat das Java Development Kit (JDK) 20 veröffentlicht. JDK 20 ist ein so genanntes Short-Term-Release und erfährt sechs Monate Unterstützung. Produktionsreife Binärdateien unter der GPL sind von Oracle erhältlich.

Das neueste Upgrade von Standard-Java enthält sieben neuen Funktionen, die sich alle entweder in einer Inkubations- oder in einer Vorschauphase befinden. Ein Vektor-API, Virtual Threads, Record Patterns, Scoped Values und eine Foreign Function & Memory API zählen laut den Release Notes  dazu.

Die Funktionen in JDK 20 werden nach Angaben von Oracle jetzt zunehmend zu Standards weiterentwickelt. Die neuen Funktionen stammen aus Java-Projekten Amber, Panama und Loom stammen. Amber ist dabei für die Record Patterns und Pattern Matching für Switch zuständig. Panama für die Verbindung der JVM mit nativem Code (Foreign Function & Memory API nebst Vector API) und Loom entwickelt die neuen JVM-Funktionen und die darauf aufbauenden APIs (Scoped Values, Virtual Threads und Structured Concurrency).

Open-Source-Builds des Java Development Kit 20 sind hier verfügbar.

Der Beitrag Java Development Kit 20 mit neuen Funktionen erschien zuerst auf Linux-Magazin.

Cyber-Sicherheit sollte zum festen Bestandteil des Risikomanagements in Unternehmen werden, rät das Bundesamt für Sicherheit in der Informationstechnik (BSI).  Im Handbuch „Management von Cyber-Risiken“ hat das BSI einen Leitfaden für Cyber-Sicherheit zusammengestellt.

Das Handbuch sei in Zusammenarbeit mit der Internet Security Alliance (ISA) und deutschen Expertinnen und Experten aus der Wirtschaft für die deutsche IT-Sicherheitslandschaft angepasst worden, teilt das BSI mit. Es erhalte nun ein weitreichendes Update und widme sich einer umfassenden Unternehmenskultur, die Cyber-Sicherheit jederzeit berücksichtige und so die Resilienz der Unternehmen erhöhe.

Das Thema Cyber-Sicherheit wurde im Handbuch bislang an fünf Prinzipien diskutiert. Mit der Neuauflage sei erstmals ein neues, sechstes Prinzip zum Schutz ganzer Branchen eingeführt. Dieses sei zuvor von der ISA/NACD mit dem World Economic Forum entwickelt worden, so das BSI.

Das Handbuch nebst Toolkit ist zum Download verfügbar. Die sechs Prinzipien werden auch anhand von Videos erläutert.

Die Prinzipien heißen:

• Cyber-Sicherheit nicht nur als IT-Thema, sondern als Baustein des unternehmensweiten Risikomanagements verstehen.
• Rechtliche Auswirkungen von Cyber-Risiken verstehen und genau untersuchen.
• Zugang zu Cyber-Sicherheitsexpertise sowie regelmäßigen Austausch sicherstellen
• Umsetzung geeigneter Rahmenbedingungen sowie Ressourcen für das Cyber-Risikomanagement sicherstellen
• Risikoanalyse erstellen sowie Definition von Risikobereitschaft in Abhängigkeit von Geschäftszielen und -strategien formulieren
• Unternehmensweite Zusammenarbeit und den Austausch von Best-Practice fördern

Der Beitrag BSI aktualisiert Handbuch „Management von Cyber-Risiken“ erschien zuerst auf Linux-Magazin.

Wenn die EU-Kommission am heutigen Mittwoch den Gesetzesentwurf für ein Recht auf Reparatur vorlegt, sind sich der Digitalverband Bitkom und die Verbraucherzentrale Bundesverband (vzb) einig, dass es Anreize für Verbraucher geben sollte.

Der Bitkom hat in einer Umfrage ermittelt, dass wenn das Smartphone einen Defekt hat, 52 Prozent der Nutzer auf eine Reparatur setzen. Befragt wurden 1003 Personen in Deutschland ab 16 Jahren, darunter 854 Nutzerinnen und Nutzer eines Smartphones oder Handys. Laut Umfrage werden für Reparaturen verschiedene Möglichkeiten genutzt: Ein Viertel (24 Prozent) hat einen Schaden schon einmal durch den Hersteller reparieren lassen. 19 Prozent haben die Reparatur-Dienste des Händlers in Anspruch genommen und 9 Prozent waren in einer spezialisierten Werkstatt. 10 Prozent haben auch schon einmal einen Schaden selbst repariert.

69 Prozent sprachen sich in der Umfrage aber generell für eine Mehrwertsteuersenkung auf Reparaturen aus. „Wer Reparaturen von Geräten fördern will, muss die richtigen Anreize setzen. Eine Mehrwertsteuersenkung auf Ersatzteile und Reparaturdienstleistungen für IT-Hardware wie Smartphones und Laptops ist ein solcher Anreiz, der direkt und unmittelbar wirkt“, so Bitkom-Hauptgeschäftsführer Bernhard Rohleder.

Bei den Verbraucherschützern sieht man das ähnlich. Berlin müsse nicht auf Brüssel warten, sagte Ramona Pop, Vorständin des Verbraucherzentrale Bundesverbands. Die deutsche Bundesregierung sollte im Sinne ihres Aktionsprogramms „Reparieren statt Wegwerfen“ eigene Maßnahmen vorlegen. Ein Reparaturbonus – also ein staatlicher Zuschuss zu den Reparaturkosten – seien ein erster Schritt und eine finanzielle Entlastung für Verbraucher und gut für Klima und Umwelt. Jede Reparatur verlängere die Lebensdauer eines Produkts. Das reduziere klimaschädliche Emissionen und schone die Umwelt, kommentierte Ramona Pop weiter.

Der Beitrag Recht auf Reparatur: Verbände fordern Bonus für Verbraucher erschien zuerst auf Linux-Magazin.

Die OpenStack-Community hat heute mit OpenStack Antelope die 27. Version der Open-Source-Cloud-Infrastruktursoftware veröffentlicht und kehrt damit zum “A” in ihrem alphabetischen Release-Namensprotokoll zurück und führt einen neuen Release-Prozess ein.

OpenStack Antelope sei die erste Version eines neuen Release-Zyklus, der die Anforderungen an die Nutzer, alle sechs Monate ein Upgrade durchzuführen, verringern soll, teilt die federführende Opneinfrastructure Foundation mit. OpenStack ließe sich nun für einen jährlichen Upgrade-Zyklus einrichten um dann mit jedem Skip Level Upgrade Release Process, kurz “SLURP”-Release ein Upgrade durchzuführen, heißt es in der Ankündigung. Die “Nicht-SLURP”-Releases werden weiterhin im Sechsmonatszeitraum für diejenigen verfügbar sein, die häufiger aktualisieren möchten. Antelope sei die erste SLURP-Version; OpenStack Bobcat, die 28. Version von OpenStack, sei dann eine Nicht-SLURP-Version, die für Oktober 2023 geplant sei.

Die Antelope-Version umfasst zudem 9794 Änderungen, die von über 601 Autoren aus mehr als 110 Organisationen und über 40 Ländern vorgenommen worden seien, teilt die Foundation mit.

Kendall Nelson, Senior Advocate für Upstream-Entwickler bei der OpenInfra Foundation sagte, dass Antelope Sicherheitsverbesserungen in Neutron und Glance mitbringe und Fortschritte beim Hardware-Enablement in Cyborg und der Rezertifizierung von Magnum als Kubernetes-Orchestrator. Dies stehe für die Verbesserungen bei der Stabilität und dem Support für die Integration von neuer Hard- und Software, so Nelson.

Laut der OpenStack-Benutzerumfrage 2022 wird Kubernetes inzwischen in über 85 Porzent der OpenStack-Deployments eingesetzt: 73 Prozent durch Vanilla Kubernetes selbst. Der Anstieg der OpenStack- und Kubernetes-Integrationen in der Produktion wird auch durch einen Anstieg auf 21 Prozent (von nur 16 Prozent im letzten Jahr) der Benutzer deutlich, die Produktions-Workloads mit Magnum, dem OpenStack-Service für die Container-Orchestrierung, ausführen.

In Antelopehabe man Magnum aktualisiert, um Kubernetes v1.24 auf Fedora CoreOS 36 und 37 zu unterstützen, teilen die Entwickler mit. Magnum wurde außerdem als Kubernetes-Orchestrator rezertifiziert und hat die von der Cloud Native Computing Foundation (CNCF) durchgeführten Software-Konformitätstests bestanden, heißt es weiter. Diese Zertifizierung stelle sicher, dass die Kubernetes-Version eines jeden Anbieters die erforderlichen APIs unterstützet. Für Unternehmen, die Kubernetes einsetzen, ermögliche die Konformität die Interoperabilität zwischen verschiedenen Kubernetes-Installationen.

Die Release Notes zu OpenStack Antelope stellen die Neuerungen und Änderungen vor.

Der Beitrag OpenStack Antelope startet neuen Release-Prozess erschien zuerst auf Linux-Magazin.

Die Entwickler des Linux-Desktopumghebung Gnome haben Version 44 mit dem Codenamen “Kuala Lumpur” veröffentlicht. Zu den Highlights zählen sie Verbesserungen der Einstellungen-App, ein verbessertes Menü für die Schnelleinstellungen und eine optimierte Software-App.

Der Punkt Device-Security war in der vorangegangenen Version 43 in die Einstellungen-App integriert worden. Seitdem gab es dafür größere Aktualisierungen, heißt es in den Release Notes. In der neuen Version werde der Sicherheitsstatus des Geräts als Beschreibung angezeigt, etwa. “Prüfung fehlgeschlagen”, “Prüfung bestanden” oder “Geschützt”. Dadurch sei das Panel leichter verständlich, teilen die Entwickler mit.

Die Einstellungen für Accessibility seien ebenfalls neu gestaltet worden. Die verschiedenen Abschnitte der Einstellungen für die Barrierefreiheit seien nun aufgeteilt, um die Navigation zu erleichtern. Das Design der einzelnen Einstellungen wurde ebenfalls verbessert, um klarer und konsistenter mit dem Rest der Einstellungen zu sein. Außerdem wurden zu vielen Einstellungen Beschreibungen hinzugefügt, heißt es seitens des Gnome-Projekts.

Neue Apps im Circle von Gnome. Quelle: Gnome

Außerdem haben die Gnome Circles, eine Sammlung von Apps, die im Rahmen von Gnome entwickelt werden, Zuwachs bekommen. Zehn neue Anwendungen stehen dort bereit. Die Einstellungsmöglichkeiten für Sound und Tastatur und Maus seien ebenfalls stark überarbeitet worden, steht in den Release Notes. Die führen weitere Verbesserungen und Neuerungen auf.

Der Beitrag Gnome 44, “Kuala Lumpur” veröffentlicht erschien zuerst auf Linux-Magazin.

Identitätsdiebstahl und der Missbrauch persönlicher Daten sind für fast die Hälfte der Internetnutzer die größte Sorge, so lautet das Ergebnis einer repräsentativen Umfrage des IT-Sicherheitsunternehmens Eset.

45,5 Prozent der Befragten sind laut der Umfrage besorgt, dass sie Opfer von Identitätsdiebstahl oder vom Missbrauch ihrer persönlichen Daten werden könnten. Jeder Vierte (25,8 Prozent) fürchtet sich vor einer Infektion mit Schadprogrammen, jeder Fünfte vor Betrug etwa durch Fake-Shops. Ransomware spiele bei Privatanwendern eine geringe Rolle, hat die Umfrage ergeben. Nur 8,1 Prozent befürchten, dass sie von solchen Verschlüsselungstrojanern betroffen sein könnten.

Aber auch der Schutz der Daten hat einen höheren Stellenwert erreicht. 34,2 Prozent der Befragten setzen bei jeder Gelegenheit auf die Zwei-Faktor-Authentifizierung – ein Zuwachs von 6,4 Prozent im Vergleich zur Umfrage aus dem vergangenen Jahr. 45,8 Prozent setzen zumindest teilweise auf die Zwei-Faktor-Authentifizierung. Und nur jeder Fünfte verzichte komplett darauf. Im Vergleich zum letzten Jahr sei das ein Rückgang um sechs Prozent, teilt Eset mit.

Jeder Dritte setzt auf einen Passwort-Manager (30,6 Prozent) ein Anstieg um fünf Prozent im Vergleich zur ESET Umfrage 2022. 21,4 Prozent der Internetnutzer haben ein klassisches Notizbuch im Einsatz, um sich ihre Passwörter aufzuschreiben. 32,2 Prozent der Befragten haben angegeben, dass Sie sich ihre Passwörter ohne Hilfsmittel merken. Den Browser als Speicherort für die Kennwörter nutzen 9,2 Prozent. Nur 6,6 Prozent nutzen identische Passwörter für mehrere Online-Dienste.

Der Beitrag Deutsche fürchten Identitätsdiebstahl erschien zuerst auf Linux-Magazin.

Das Europäische Polizeiamt Europol sieht Kriminelle die Fähigkeiten des Large Language Models (LLM) ChatGPT für ihre Zwecke missbrauchen.  Die von ChatGPT erzeugten realistisch wirkenden Texte etwa, seien ideal für Phishing und Social Engineering einzusetzen, teilt Europol mit.

Sorgen macht der europäischen Polizei besonders der Einsatz von ChatGPT in den drei Kriminalitätsbereiche Betrug und Social Engineering; Desinformation und Cybercrime. Im Fall des Social Engineering seien die Fähigkeit von ChatGPT, sehr realistische Texte zu verfassen sehr nützlich für Phishing-Zwecke. Zudem lasse sich die Fähigkeit von LLMs, Sprachmuster nachzubilden, nutzen, um den Sprachstil bestimmter Personen oder Gruppen zu imitieren. Diese Fähigkeit lasse sich im großen Stil missbrauchen, um potenzielle Opfer zu verleiten, kriminellen Akteuren zu vertrauen.

Dass ChatGPT authentisch klingende Texte produzieren könne, macht das Modell auch ideal für Propaganda- und Desinformationszwecke, da es mit relativ geringem Aufwand Nachrichten erstellen könne, die ein bestimmtes Narrativ widerspiegeln.

Nicht zuletzt sei ChatGPT in der Lage auch Code in einer Reihe verschiedener Programmiersprachen zu erzeugen. Für einen potenziellen Kriminellen mit geringen technischen Kenntnissen sei dies eine unschätzbare Ressource, um bösartigen Code für Angriff zu generieren.

Als Reaktion auf die wachsende öffentliche Aufmerksamkeit, die ChatGPT erregt, hat das Europol Innovation Lab eine Reihe von Workshops mit Fachleuten veranstaltet um zu untersuchen, wie Kriminelle LLMs missbrauchen können und wie sie Ermittler bei ihrer täglichen Arbeit unterstützen können. In einem Report zu ChatGPT sind die Ergebnisse dieser Sitzungen enthalten und zudem wichtige Informationen für Strafverfolgungsbehörden, die weiterhin nach neuen und aufkommenden Technologien Ausschau halten, die ihre Arbeit beeinflussen, teilt Europol mit.

Der Beitrag Europol warnt vor kriminellem Missbrauch von ChatGPT erschien zuerst auf Linux-Magazin.

Mozilla hat seinen Datensatz von Sprachmustern für das Training von Sprachtechnologien aktualisiert. Mit Common Voice Corpus 13.0 stehen noch einmal mehr Beispiele  von Sprachdateien für Entwickler von Spracherkennungsanwendungen zur Verfügung.

Der zum Download angebotene deutsche Sprachdatensatz umfasst Sprachdateien im Umfang von 1340 Stunden. Er ist 31,5 GByte groß und liefert 17.867 Stimmen. Jeder Eintrag im Datensatz besteht aus einer eindeutigen MP3- und zugehörigen Textdatei. Viele der aufgezeichneten Stunden im Datensatz enthielten auch demografische Metadaten wie Alter, Geschlecht und Akzent, mit deren Hilfe die Genauigkeit von Spracherkennungs-Engines trainiert werden könne, teilt Mozilla mit.

Der komplette Datensatz bestehe derzeit aus 17.690 bestätigten Stunden in 108 Sprachen. Mozilla Common Voice ist eine Open-Source-Initiative, um den Zugang zu Sprachtechnologie allgemein zu erleichtern. Die Teilnehmer am Projekt spenden Sprachdaten für einen freien, öffentlichen Datensatz, der von jedermann genutzt werden kann, um sprachgesteuerte Technologien zu trainieren. Das Projekt versucht damit, einzelnen Entwicklern und kleinen Unternehmen einen Datensatz zu bieten, denen ein solcher Zugang wegen fehlender finanzieller Mittel sonst verwehrt wäre.v

Der Beitrag Mozilla veröffentlicht Common Voice Corpus 13.0 erschien zuerst auf Linux-Magazin.

Verbraucher in Deutschland würden laut einer Umfrage des Digitalverbandes Bitkom für mehr Klimaschutz beim Online-Handel auf Annehmlichkeiten wie einer Lieferung am nächsten verzichten.

60 Prozent der Befragten würden beim Onlineshopping für mehr Nachhaltigkeit längere Lieferzeiten in Kauf nehmen und 56 Prozent auch Mindestbestellwerte oder Mindestmengen. 40 Prozent wären bereit, einen Aufpreis für umweltfreundliche Verpackungen zu zahlen und 39 Prozent würden kostenpflichtige Retouren akzeptieren. Zusätzliche Gebühren für einen klimafreundlichen Versand sind für 36 Prozent akzeptabel. Zu diesen Ergebnisse kommt eine Befragung im Auftrag des Digitalverbands Bitkom unter 1024 Online-Shoppern ab 16 Jahren in Deutschland.

Verbraucher für mehr Umweltschutz beim Shopping. Quelle: Bitkom

Nahezu einstimmig von 93 Prozent der Befragten heißt es, Händler sollten darauf achten, möglichst viele Waren in einen Karton zu packen. 70 Prozent sagen, dass Händler keine Werbeprospekte aus Papier mehr versenden sollten und 59 Prozent wünschen sich die Paketzustellungen nur noch mit Elektrofahrzeugen.

Die Umfrage hat ergeben, dass es den Online-Shoppern vor allem bei der Lieferung um den Umweltschutz geht und weniger bei den Waren selbst. 77 Prozent der Online-Shopper bündeln einzelne Online-Bestellungen aus Umweltschutzgründen, 70 Prozent schicken weniger Waren zurück und 67 Prozent wählen umweltfreundliche Verpackungen, wenn diese angeboten werden.

Der Beitrag Verbraucher für mehr Nachhaltigkeit beim Online-Handel erschien zuerst auf Linux-Magazin.

Das National Institute of Standards and Technology (NIST) hat die Programmiersprache Rust in die Liste der “Safer Languages” aufgenommen.

Rust verfüge über ein Ownership-Modell, das sowohl Speicher- als auch Threadsicherheit zur Kompilierzeit garantiere, ohne dass ein Garbage Collector erforderlich sei, begründet das NIST seine Wahl. Dieses Modell ermöglicht es den Benutzern, leistungsstarken Code zu schreiben und gleichzeitig viele Fehlerklassen zu eliminieren, heißt es weiter. Und obwohl Rust auch über einen unsicheren Modus verfüge, sei dessen Verwendung explizit, und erlaube nur einen engen Bereich von Aktionen.

Das 1901 gegründete NIST untersteht dem US-Handelsministerium und gilt als eine der ältesten naturwissenschaftlichen Forschungseinrichtungen in den USA. Eine der vielen Initiativen des NIST ist das Projekt Software Assurance Metrics And Tool Evaluation (SAMATE). Dieses Gremium “widmet sich der Verbesserung der Software Assurance durch die Entwicklung von Methoden zur Bewertung von Software-Tools, der Messung der Effektivität von Tools und Techniken sowie der Identifizierung von Lücken in Tools und Methoden”, heißt es auf der NIST-Website.

Die Safer Languages wiederum sind eine Kategorie der SMATE “Klassen von Software-Sicherheitsfunktionen”. Das NIST empfiehlt dort die Verwendung von Programmiersprachen mit eingebauten Sicherheitsfunktionen, die von den Entwicklern aktiv überwacht und unterstützt werden.

Neben Rust sind bei den Safer Languages auch die Programmiersprachen und Sprach-Tools SPARK, Escher C Verifier Language, Fail-Safe C, Safe-Secure C/C++ (SSCC), die CERT Coding Standards und CCured aufgeführt.

Der Beitrag NIST macht Rust zur Safer Language erschien zuerst auf Linux-Magazin.

Die quelloffene Cloud-Office-Lösung Onlyoffice Workspace ist in Version 12.5 mit neuen Sicherheitsfeatures erschienen.

Ein Limit für erfolglose Anmeldeversuche, Login-Sperrzeiten oder erweiterte Einstellungen für Passwörter und die Zwei-Faktor-Authentifizierung (2FA) zählen dazu. Überarbeitet zeigt sich auch das Dokumentenmanagement. Es baut nun auf die aktuelle Version der Dokumenteneditoren und bringt die Option mit, ganze Ordner inklusive Unterordnern per externen Links zu teilen sowie den Zugriff auf geteilte Dokumente zeitlich zu begrenzen und mit Passwortschutz zu versehen.

Neu ist auch ein Dark Mode, eine alternative Benutzeroberfläche mit einer dunkleren Farbpalette. Benutzer können den Dark Mode in den Profileinstellungen aktivieren. Sobald er aktiviert ist, werden alle Dokumente ebenfalls im Dark Mode geöffnet.

Neu ist zudem eine Impersonationsoption, die es Administratoren erlaubt, sich im Namen bestimmter Benutzer einzuloggen. Onlyoffice Workspace 12.5 steht ab sofort auf der offiziellen Website zum Download zur Verfügung. Onlyoffice Workspace lässt sich als Cloud-Version mit fünf Nutzern kostenlos testen. Ansonsten gibt es eine Bezahlvariante, deren Preis von der Zahl der Nutzer abhängt.

Der Beitrag Onlyoffice Workspace 12.5 verbessert Sicherheit erschien zuerst auf Linux-Magazin.

In einem offenen Brief setzen sich IT-Experten für eine Pause in der Entwicklung von KI-Systemen ein. Es solle einen sechsmonatigen Trainingsstop für KI-Systeme geben, die leistungsfähiger sind als GPT-4, fordern die rund 1400 Unterzeichner, zu denen auch Elon Musk, Steve Wozniak, Berkeley-Professor Stuart Russell und weitere prominente Namen aus der IT-Branche zählen.

Im Brief wird die Zukunft der Menschheit im Zusammenhang mit KI-Systemen düster beschrieben. Der Brief ist auf der Webseite des Future of Life-Instituts veröffentlicht. Das Institut, das sich als unpolitische Non-Profit-Organisation beschreibt, beschäftigt sich mit langfristigen Entwicklungen in Wissenschaft und Technik, die für die Zukunft der Menschheit eine Bedrohung darstellen können.

Im offenen Brief heißt es unter anderem:

“Heutige KI-Systeme werden bei allgemeinen Aufgaben immer konkurrenzfähiger für den Menschen, und wir müssen uns fragen: Sollen wir zulassen, dass Maschinen unsere Informationskanäle mit Propaganda und Unwahrheiten überfluten? Sollten wir alle Arbeitsplätze automatisieren, auch die erfüllenden? Sollten wir nicht-menschliche Intelligenzen entwickeln, die uns irgendwann zahlenmäßig überlegen, überlisten, überflüssig machen und ersetzen könnten? Sollen wir den Verlust der Kontrolle über unsere Zivilisation riskieren?“

Die für KI-Labs geforderte Pause solle, wenn nötig auch von Regierungen durchgesetzt werden, sollten die Akteure nicht dazu bereit sein.

KI-Labore und unabhängige Experten sollten diese Pause nutzen, um gemeinsam eine Reihe gemeinsamer Sicherheitsprotokolle für fortschrittliche KI-Designs und -Entwicklungen zu entwickeln und umzusetzen, die von unabhängigen externen Experten streng geprüft und überwacht werden, heißt es weiter. Diese Protokolle sollten dann gewährleisten, dass Systeme, die sich daran halten, zweifelsfrei sicher seien, schreiben die Experten im Brief.

Das Vorgehen bedeute keine generelle Pause in der KI-Entwicklung, sondern lediglich eine Abkehr von dem gefährlichen Wettlauf zu immer größeren, unberechenbaren Black-Box-Modellen mit emergenten Fähigkeiten, heißt es im Schreiben.

Der Beitrag IT-Experten fordern Entwicklungspause für KI erschien zuerst auf Linux-Magazin.

Bis zum 30. April machen wir Ihnen ein besonderes Angebot: Wenn Sie jetzt ein Linux-Magazin-Abo abschließen, sparen Sie über den ohnehin schon günstigeren Abo-Preis hinaus im ersten Jahr des Abonnements zusätzlich noch einmal 25 Prozent.

Insgesamt sind drei Varianten des Linux-Magazin-Abos Bestandteil der 25-Prozent-Aktion:

• Im Print-Digital-Abo mit DVD erhalten Sie 12 Print-Ausgaben mit DELUG-DVD und 12 Digital-Ausgaben. Im ersten Jahr zahlen Sie 7,75 Euro im Monat (93 Euro im Jahr). Danach kostet es wie aktuell 10,33 Euro im Monat (124 Euro pro Jahr).
• Das Print-Digital-Abo ohne DVD umfasst 12 Print-Ausgaben ohne Datenträger und 12 Digital-Ausgaben. Der Preis liegt hier bei 6,50 Euro im Monat (78 Euro im Jahr) für das erste Jahr, ab dem zweiten Jahr sind es 8,67 Euro pro Monat (104 Euro im Jahr).
• Auch das reine Digital-Abo bieten wir vergünstigt an. Sie erhalten 12 Digital-Ausgaben als PDF und per App für 5,33 Euro statt 7,08 Euro pro Monat (63,99 Euro im ersten Jahr, danach 84,99 Euro/Jahr).

Sichern Sie sich jetzt eines unserer Schnäppchen-Abos unter www.linux-magazin.de/25prozent!

Der Beitrag In eigener Sache: Beim Linux-Magazin-Abo 25 Prozent sparen erschien zuerst auf Linux-Magazin.

Im X.org Server  macht eine Use-After-Free-Lücke Probleme. Die Lücke lässt sich unter bestimmten Umständen lokal und remote ausführen.

Das Problem besteht laut der Mitteilung der Entwickler auf Systemen, auf denen der X-Server privilegiert ausgeführt wird. Dort kann die Lücke ausgenutzt werden, um eine lokale Privilegienerweiterung zu erlangen. Ein Ausführen von Code über eine entfernte Verbindung ist ebenfalls möglich, wenn SSH-X-Weiterleitungssitzungen zum Einsatz kommen.

Das Problem hängt mit dem Compositor-Overlay-Window zusammen. Use-After-Free Sicherheitslücke zur lokalen Privilegienerweiterung. Wenn ein Client das Compositor-Overlay-Fenster (auch bekannt als COW) explizit zerstört, hinterlässt der X-Server einen Zeiger auf dieses Fenster in der CompScreen-Struktur, was zu einem späteren Zeitpunkt ein Use-after-free auslösen kann. Ein Patch für dieses Problem sei in das Git-Repository des X.org-Servers aufgenommen worden. X.org-server 21.1.8 enthalte diesen Patch.

Der Beitrag Sicherheitslücke in X.org Server braucht Patch erschien zuerst auf Linux-Magazin.

Nur die Hälfte der Nutzer eines Smartphones in Deutschland macht Sicherungskopien von ihren Daten, hat der Digitalverband Bitkom in einer Befragung unter 1.004 Personen in Deutschland erfahren.

Laut der Befragung des Bitkom nutzen 30 Prozent die automatische Backup-Funktion ihres Geräts. 7 Prozent sichern ihre Daten nicht automatisch, sondern auf Eigeninitiative. 14 Prozent gehen besonders auf Nummer sicher und nutzen beide Möglichkeiten parallel.

13 Prozent derjenigen, die ihre Daten sichern, nutzen dazu ein kostenpflichtiges Angebot über eine Cloud. Die überwiegende Mehrheit setzt aber auf kostenlose Angebote (70 Prozent). 33 Prozent speichern die Daten auf externen Geräten wie einem Laptop, einem PC oder einer Festplatte.

Der Beitrag Smartphone-Nutzer sind Backup-Muffel erschien zuerst auf Linux-Magazin.

Mit der Version 3.11.7 des WordPress-Plugins Elementor Pro beheben die Entwickler eine kritische Sicherheitslücke, die es Angreifern unter Umständen erlaubt, WordPress sich als Administrator auszuführen.

Mit der Kombination Elementor Pro und dem auf der Website laufenden WooCommerce-Plugin sei es jedem authentifizierten Benutzer, etwa in der Rolle als “Abonnent” oder “Kunde” – möglich, beliebige WordPress-Einstellungen auf der Website zu aktualisieren, teilen die Entdecker der Lücke vom Sicherheitsanbieter Patchstack mit. Verantwortlich für die Lücke sei eine AJAX-Aktion von Elementor Pro, die nicht über eine angemessene Berechtigungskontrolle verfüge. Die Elementor-Pro-Versionen 3.11.6 und darunter seien von dieser Sicherheitslücke betroffen.

Die mangelhafte Kontrolle ermögliche es einem böswilligen Angreifer, die Registrierungsseite zu aktivieren – falls sie deaktiviert sei – und die Standardbenutzerrolle auf Administrator zu setzen, so dass er ein Konto erstellen könne, das über Administratorrechte verfüge. Danach sei es wahrscheinlich, dass er die Website entweder auf eine bösartige Domain umleite oder ein sonstige schädliche Aktionen ausführe, etwa ein bösartiges Plugin oder eine Backdoor zu installieren, um die Website weiter ausnutzen zu können.

Mit dem kürzlich veröffentlichten Elementor Pro 3.11.7 werde das Problem behoben. Da die Lücke bereits aktiv ausgenutzt werde, sei ein rasches Update nötig, teilt Patchstack in seinem Beitrag zur Lücke mit.

Der Beitrag WordPress-Plugin Elementor Pro wird aktiv angegriffen erschien zuerst auf Linux-Magazin.

Um sein NAS herauf- und herunterzufahren und den aktuellen Status zu prüfen, ohne sich vom Sessel zu erheben, programmiert Mike Schilli eine grafische Oberfläche, die ein Magic-Paket abschickt.

Als Backup-Lösung verwende ich ein Synology-NAS mit einigen dicken Festplatten. Im Video erläutert er seine Lösung.

Der Beitrag Snapshot 05/2023: Backup-Lösung per Maus und GUI steuern erschien zuerst auf Linux-Magazin.

Am 31. März 1998 hat Mozilla den Netscape Browser-Code zu freier Software gemacht. 25 Jahre später kann Mitchell Baker, CEO von Mozilla, auf eine Entwicklung von einer Handvoll Entwicklern in Mountain View hin zu einer breitgefächerten Non-Profit-Organisation mit einer Community rund um den Globus blicken.

Wir sind Technologen, Forscher und Aktivisten rund um den Globus – ganz zu schweigen von Zehntausenden von Freiwilligen, schreibt Mitchell Baker in ihrem Blogbeitrag. Die Mozilla-Chefin betont, dass es immer die Mission Mozillas war, im öffentlichen Interesse zu handeln, sei es, als Mozilla vor 25 Jahren seinen Browser-Code offenlegte, ob bei der Veröffentlichung von Firefox 1.0 im Jahr 2004 oder beim Start von Mozilla.ai Anfang dieses Jahres.

Denn jetzt, da sich KI als zentraler Baustein für die Zukunft der Datenverarbeitung herauskristallisiere, werde Mozilla seine Aufmerksamkeit in diese Richtung lenken und fragen: Wie können wir Produkte und Technologien wie maschinelles Lernen im öffentlichen Interesse einsetzen?

Mitchell Baker gibt sich zum Jubiläum nachdenklich und optimistisch zugleich: Ich bin realistisch, was die Herausforderungen angeht, vor denen das Internet steht. Aber ich bin auch optimistisch, was das Potenzial von Mozilla angeht, sie zu bewältigen. Und ich freue mich auf weitere 25 Jahre, in denen wir nicht nur Produkte entwickeln, sondern uns auch für ein besseres Internet einsetzen, philanthropisch tätig sind und politische Entscheidungen treffen.

Der Beitrag Mozilla feiert 25 Jahre freien Browser-Code erschien zuerst auf Linux-Magazin.

Qualys, Anbieter für cloudbasierte IT-Sicherheitslösungen, hat seinen 2023 TruRisk Research Report veröffentlicht. Der Bericht gibt einen Überblick über die Sicherheitslücken, die Qualys im Jahr 2022 weltweit entdeckt hat und zieht Schlüsse aus den Resultaten.

Mehr als 2,3 Milliarden Sicherheitsprobleme sind den Forschern ins Netz gegangen und 13 Billionen anonymisierten Datenpunkte seien eingehend untersucht worden, um festzustellen, welche Schwachstellen das größte Risiko für Unternehmen darstellen, heißt es im 2023 TruRisk Research Report. Diese Daten zeigen Risikofakten auf, die für alle über alle Branchen und Organisationen hinweg gelten, heißt es weiter. Zu den fünf wichtigsten Risikofaktoren zählen die Experten, den Faktor Geschwindigkeit, die Automatisierung, die Initial Access Brokers (IABs), Fehlkonfigurationen in Web-Anwendungen und Fehlkonfigurationen in der Infrastruktur von Unternehmen.

Beim Faktor Geschwindigkeit ist die Zeitspanne bis zum Patchen einer Lücke gemeint. Schwachstellen, für die es einen Exploit gibt, würden im Durchschnitt innerhalb von 30,6 Tagen gepatcht, wobei in diesem Zeitraum real nur 57,7 Prozent der Lücken geschlossen werden. Angreifer bräuchten dagegen durchschnittlich nur 19,5 Tage, um eine Angriffsmöglichkeit zu entwickeln. Angreifer hätten dann 11,1 Tage Zeit, um die Sicherheitslücken auszunutzen, heißt es im Report.

Automatisierung heißt, dass Patches, die automatisch installiert werden konnten, um 45 Prozent häufiger und 36 Prozent schneller implementiert werden als manuell installierte Patches.

Ein wachsender Trend in der Bedrohungslandschaft sind laut Report die sogenannten Initial Access Broker (IABs), die Zugänge zu kompromittierten Netzwerken und Firmen verkaufen.   Die IABs würden unter anderem nach Fehlkonfigurationen wie Standardkennwörtern oder ungeschützten Diensten suchen, um einen Zugang zu finden oder Schwachstellen in ungepatchten Systeme auszunutzen.

Beim Punkt Fehlkonfigurationen in Web-Anwendungen haben die Experten 370.000 Web-Applikationen und damit zusammenhängend Daten nach den Top-10-Sicherhietslücken des Web Application Security Project (OWASP) gescannt und 35 Millionen Sicherheitslücken entdeckt. 33 Prozent davon hätten der OWASP-Kategorie A05 entsprochen, seien also schlicht Fehlkonfigurationen, steht im Bericht.

Die Fehlkonfigurationen in der Infrastruktur beziehen sich unter anderem auf die Prüfung von Amazon Web Services (AWS), Google Cloud Platform (GCP) und Microsoft Azure gemäß den Benchmarks des Center for Internet Security (CIS). Zu den Ergebnissen zähle, dass die Datenexfiltration aufgrund von Fehlkonfigurationen in S3-Buckets ein ernstes Problem darstellen und zu hochgradigen Sicherheitsverletzungen führen könnten. Die schwachen Zugriffskontrollen in Amazon S3-Cloud-Speicher-Buckets hätten dabei maßgeblich zu diesen Vorfällen beigetragen, heißt es weiter.

Den 2023 TruRisk Research Report gibt es nach Angabe von Daten zum Download.

Der Beitrag TruRisk Research Report zeigt fünf Risikofaktoren auf erschien zuerst auf Linux-Magazin.

“Piz Bernina” ist der Codename des inzwischen dritten Prototyps für die Adaptable Linux Platform (ALP) von Suse.

Suse versteht die Adaptable Linux Platform anwendungsorientierte, sichere und flexible Plattform, die sich auf Workloads konzentriere und Abstraktionen von der Hardware und den Application Runtime Layers ermögliche.

Der nun vorgestellte Prototyp biete Confidential Computing, das sich in einem Trusted Execution Environment äußert, in dem Daten durch Isolierung, Verschlüsselung und Ausführung virtueller Maschinen geschützt seien.

Die Unterstützung von Confidential Virtual Machines (CVM) erfülle ALP nun mit weiteren Hardware-Anbietern und der Nutzung neuester Hardware für Confidential Computing. Integriert haben die Suse-Entwickler zudem die Container-Security-Plattform NeuVector. Damit sollen ALP-Nutzer bösartiges Verhalten erkennen und verhindern können. Teilt Suse mit.

Bei der Installation lasse sich nun auch Full Disk Encryption (FDE) mit dem Trusted Platform Module (TPM) auswählen und die S390-Architektur werde unterstützt. Im Blogbeitrag zu ALP sind die Neuerungen beschrieben.

Der Beitrag Suses Adaptable Linux Platform mit neuem Prototyp erschien zuerst auf Linux-Magazin.

Angreifer haben die Voice over IP (VOIP)-Clients der 3CX-Desktop-App infiziert. Die Software sei zwar durch den Hersteller signiert, enthalte jedoch schadhafte Elemente, die der Funktion eines Trojaners entsprechen, warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI). Betroffen sind nur die Windows- und MacOS-Versionen.

Den Angreifern ist es laut dem Anbieter der 3CX-Software gelungen, eine DLL-Datei mit Schadcode zu infizieren. Das Problem besteht unter MacOS in den Versionen 18.11.1213, 18.12.402, 18.12.407 und 18.12.416 und unter Windows in den Versionen 18.12.407 und 18.12.416. Die Web-Anwendung von 3CX ist nicht betroffen, weshalb der Anbieter auch dazu rät, diese zu nutzen und die betroffenen Anwendungen zu deinstallieren. Die Lücke, durch die der Code eingeschleust wurde, ist bereits seit 2013 behoben, allerdings hat Microsoft den Patch als Opt-in veröffentlicht, er muss in der Registry aktiviert werden.

Das Problem in der 3CX-Software kann laut BSI dazu führen, dass die Anwendung nach erfolgreicher Installation eine Verbindung zu einem Command and Control-Server (C&C-Server) aufbaut und weitere Schadsoftware nachlädt. Hieraus folge zum Beispiel die Installation einer Shell bei den Opfern, mit deren Hilfe die Täter weitere Befehle absetzen könnten, warnt das BSI.

Der Hersteller bietet Hilfestellung für betroffene Nutzer.

Der Beitrag VoIP-Software 3CX kommt mit Trojaner erschien zuerst auf Linux-Magazin.

Mit Apache Hop 2.4 bekommt die Open-Source-Plattform für Datenintegration unter anderem Unterstützung für die SQL-OLAP-Datenbank DuckDB.

Zudem zeige der Metadatentyp “Relationale Datenbankverbindung” in der Hop Gui nun an, welcher Datenbanktreiber installiert sei – falls vorhanden – und welche Version verfügbar sei, teilen die Entwickler mit.

Neu ist auch, dass eine neue JSR-223-Skripttransformation Skripte in ECMAScript (JavaScript als Teil der JVM), Groovy und Python (durch die Jython-Bibliothek) unterstütze. Daneben ermögliche es eine neue Datenüberprüfungstransformation, Datenvalidierungen hinzuzufügen, die jeweils die Eingabedaten für die verschiedenen Felder in den Eingabezeilen validieren können.

Mit der neuen Version, die kurz nach der Veröffentlichung der Ausgabe 2.3 erscheint, seien 98 Tickets abgearbeitet worden. Es gebe also viele Verbesserungen und eine erweiterte Dokumentation, heißt es in der Ankündigung.

Der Beitrag Apache Hop integriert DuckDB erschien zuerst auf Linux-Magazin.