Mit einem Entwurf für ein Cyberresilienzgesetz möchte die EU-Kommission für mehr IT-Sicherheit sorgen.

Mit einem Cyberresilienzgesetz möchte die EU-Kommission Verbraucher und Unternehmen vor Produkten mit unzureichenden Sicherheitsmerkmalen schützen. Hierzu hat sie am 15. September einen Gesetzentwurf veröffentlicht, der unter anderem Hersteller zu Softwareaktualisierungen verpflichten soll.

Laut einer Pressemitteilung der EU-Kommission sollen Hersteller verpflichtet werden, Unterstützung und Softwareaktualisierungen bereitzustellen, um festgestellte Schwachstellen zu beheben. Das solle über die gesamte angedachte Nutzungsdauer, mindestens aber fünf Jahre lang, gelten. Zudem sollen die Verbraucher über die Cybersicherheit der Produkte, die sie kaufen und verwenden, ausreichend informiert werden.

Der Branchenverband Bitkom kritisiert die kurze Umsetzungszeit von zwei Jahren, lobt den Gesetzentwurf selbst jedoch ausdrücklich: “Der Cyber Resilience Act kann einen wichtigen Beitrag zur Stärkung der Sicherheit vernetzter Geräte leisten. Ein wirksamer Schutz vor Cyberkriminellen ist Voraussetzung dafür, dass die Geräte und Technologien im vernetzten Zuhause auf ein neues Sicherheitsniveau gebracht werden. Krisenfestigkeit war wohl selten so wichtig wie heute, der Cyber Resilience Act kommt genau zur richtigen Zeit.”

Der EU-Abgeordnete der Piratenpartei, Patrick Breyer, hält das Gesetz für überfällig, kritisiert jedoch, dass es an einer klaren Verpflichtung kommerzieller Hersteller fehle, bekannte Sicherheitslücken unverzüglich zu beheben. “Für selbst verschuldete Sicherheitslücken müssen kommerzielle Hersteller haftbar gemacht werden, damit sich IT-Sicherheit finanziell lohnt! Andererseits ist die ehrenamtliche Entwicklung freier Software bedroht, weil an kommerzielle Hersteller dieselben Anforderungen gestellt werden sollen wie an ehrenamtliche.” Daher sei der Vorstoß unausgereift und müsse überarbeitet werden.

“Wir müssen uns darauf verlassen können, dass die Produkte, die im Binnenmarkt angeboten werden, sicher sind”, sagte Wettbewerbskommissarin Margrethe Vestager. “Ähnlich, wie das CE-Kennzeichen bei Spielzeug oder Kühlschränken die Sicherheit bescheinigt, stellt das Cyberresilienzgesetz sicher, dass die angebotenen vernetzten Hardware- und Softwareprodukte strenge Cybersicherheitsanforderungen erfüllen. Dazu nehmen wir diejenigen in die Pflicht, die die Produkte in Verkehr bringen.”

Der Gesetzentwurf muss nun vom Europäischen Parlament und Rat geprüft werden. “Nach der Verabschiedung haben Wirtschaftsteilnehmer und Mitgliedstaaten zwei Jahre Zeit, um sich auf die neuen Anforderungen einzustellen”, heißt es von der EU-Kommission. Abweichend davon soll eine Meldepflicht in Bezug auf aktiv ausgenutzte Schwachstellen und Vorfälle bereits ein Jahr ab dem Inkrafttreten gelten, da dafür weniger organisatorische Anpassungen erforderlich seien als für die anderen neuen Verpflichtungen.

Der Beitrag EU-Kommission will Sicherheitsupdates vorschreiben erschien zuerst auf Linux-Magazin.

Version 15.0 des Unicode-Standards ist jetzt verfügbar, einschließlich der Kernspezifikation, Anhänge und Datendateien. Diese Version fügt 4489 Zeichen hinzu.

Damit erhöhe sich die Gesamtzahl auf 149.186 Zeichen, teilt das Unicode Consortium mit. Darunter befinden sich auch zwei neue Skripte und damit insgesamt 161 Skripte, 20 neue Emoji-Zeichen und 4193 CJK-Ideogramme (Chinesisch, Japanisch und Koreanisch). Bei den neue Emojis finden sich Haarsträhnen, Maracas, Quallen, Khanda und rosa Herzen.

Der Unicode-Standard bildet die Grundlage für die Verarbeitung, Speicherung und den nahtlosen Datenaustausch von Textdaten in beliebigen Sprachen in allen modernen Software- und Informationstechnologieprotokollen. Er bietet eine einheitliche, universelle Architektur und Kodierung für alle Sprachen der Welt.

Der Beitrag Unicode-Standards in Version 15.0 verfügbar erschien zuerst auf Linux-Magazin.

Hardwarehersteller Lenovo meldet Sicherheitslücken im BIOS seiner PC-Modelle. Nach Angaben des Herstellers kann darüber Schadcode ausgeführt werden.

Betroffen sind laut der Auflistung der einzelnen Geräte von Lenovo die nahezu gesamte Rechnerpalette. Der Anbieter stuft das Risiko der Lücken als hoch ein. Insgesamt seien es fünf Sicherheitsprobleme, so Lenovo. Nicht alle Geräte seien aber von allen Lücken betroffen.

Um die Lücken auszunutzen brauchen Angreifer laut Lenovo lokalen Zugang zu den Rechnern mit nicht genauer beschriebenen erweiterten Rechten, was die Gefährdung abmildert. Gelingt der Zugang, ist in einem Fall das Ausführen von Code möglich. Andere Lücken ermöglichen etwa den Zugriff auf den System-Management-Mode-Speicher (SMM) und damit unter Umständen auch auf das Betriebssystem.

Von der Lücke zum Ausführen von Code (CVE-2021-28216) ist TianoCore EDK II betroffen. Dieser quelloffene UEFI-Code werde in der gesamten Industrie in allen modernen Computern verwendet schreibt Lenovo. Im Bugzilla des betroffenen Projekts heißt es , dass für einen erfolgreichen Angriff ein Angreifer bereits das SMM kompromittiert oder UEFI Secure Boot umgangen haben müsse, um bei letzterem die Attributprüfung zu umgehen.

Lenovo erläutert in seiner Warnmeldung wie vorzugehen ist. Außerdem enthält sie eine Tabelle mit betroffenen Geräten und den abgesicherten Firmware-Versionen dafür.

Der Beitrag Lenovo-Rechner haben BIOS-Lücke erschien zuerst auf Linux-Magazin.

Das National Institute of Standards and Technology (NIST) des US-Handelsministeriums hat mit Google einen Kooperationsvertrag unterzeichnet, um Chips zu entwickeln und zu produzieren. Die Designs der Chips sind dann Open Source und sollen Forschern zur Entwicklung neuer Nanotechnologie- und Halbleitergeräte dienen.

Wie das NIST mitteilt, werden die Chips von SkyWater Technology in Minnesota hergestellt. Google trage die anfänglichen Kosten für den Aufbau der Produktion übernehmen und den ersten Produktionslauf. Das NIST wiederum entwickle in Zusammenarbeit mit Universitäten die Schaltkreise für die Chips, teilt das Institut mit. Die Schaltkreisentwürfe stünden dann als Open Source zur Verfügung. Forscher an Hochschulen und in kleinen Unternehmen sollen sie ohne Einschränkungen oder Lizenzgebühren nutzen können.

Große Unternehmen, die Halbleiter entwickeln und herstellen, hätten oft leichten Zugang zu diesen Chips. Da die Kosten jedoch in die Hunderttausende Dollar gehen, stellten sie eine große Hürde für die Innovation von Forschern an Universitäten und in Start-ups dar, heißt es weiter. Diese Hürde soll das Programm beseitigen.

Nist und Google informieren am 20. und 21. September bei einem Workshop zu den Plänen. Informationen  zur Anmeldung finden sich auf der NIST-Website.

Der Beitrag Open-Source-Chips von Google und NIST erschien zuerst auf Linux-Magazin.

Die Verbraucherzentrale Nordrhein-Westfalen warnt vor Phishing-Mails und -Kurznachrichten, in denen Angreifer sich betrügerisch als Banken und Behörden ausgeben, die Informationen zur Energiepauschale benötigen, damit diese ausgezahlt werden kann.

Die Betrüger behaupten per E-Mail und SMS, man müsse persönliche Daten verifizieren. Eine E-Mail sei den Verbraucherschützern aufgefallen, die angeblich von der Sparkasse stammt. Die Empfänger sollen damit dazu gebracht werden, eine betrügerische Internetseite zu öffnen und persönliche Daten einzutippen, teilt die Verbraucherzentrale mit. Es werde in den Mails und Nachrichten behauptet, dass man erst dadurch die Energiepauschale der Bundesregierung erhalten würde.

Betrügerische Mail zu Phishing-Zwecken.

Anders als oft üblich, sei die betrügerische Mitteilung nahezu ohne Rechtschreibfehler und in guter Grammatik geschrieben, heißt es weiter. Vergleichbare Behauptungen seien inzwischen auch mit den Logos anderer Banken im Umlauf– zum Beispiel der Volksbanken und Raiffeisenbanken.

Der Beitrag Phishingangriffe nutzen Energiepauschale aus erschien zuerst auf Linux-Magazin.

IBM hat seinen neuen Mainframe vorgestellt. Der LinuxONE Emperor 4 basiert ausschließlich auf Linux und soll Energie sparen.

Das System ist mit einem IBM Telum Dual-Prozessor-Chip mit 16 Kernen bestückt. Der Chip ist in 7nm-Technologie gefertigt und läuft mit 5,2 GHz. Die Einsparungen bezeichnet IBM als enorm. Ein IBM LinuxONE Emperor 4 soll den CO2-Fußabdruck um etwa 75 Prozent pro Jahr senken können, im Vergleich zu x86-Servern, auf denen dieselben Linux-Workloads unter ähnlichen Bedingungen ausgeführt werden.

LinuxOne-System von IBM. Quelle: IBM

Das System ist mit bis zu 200 konfigurierbaren Kernen in einem Modell erhältlich. IBM bietet für Optionen an: Max39, Max82, Max125, Max168 und das Spitzenmodell Max200. Der Emperor 4 ist als Plattform für Linux und Kubernetes konzipiert und baut auf IBMs z16-Technologie auf. Erste Modelle sollen bereits im September erhältlich sein.

Der Beitrag IBM stellt den LinuxONE Emperor 4 vor erschien zuerst auf Linux-Magazin.

Aachen, Düsseldorf und Nürnberg sind erstmals unter den zehn Bestplatzierten des Smart City Index, dem Digital-Ranking der deutschen Großstädte des Digitalverbands Bitkom. Wie der Digitalverband mitteilt, sind Berlin, Freiburg im Breisgau und Karlsruhe aus den Top 10 verdrängt worden.

Der Aufsteiger Aachen habe im Vorjahr auf Rang 17, Düsseldorf auf dem 19. und Nürnberg auf dem 16. Platz gelegen, heißt es weiter. Dem Städtevergleich liegt eine Analyse zugrunde, für die Bitkom Research rund 11.000 Datenpunkte erfasst, überprüft und qualifiziert. Die folgenden Städte haben es in alphabetischer Reihenfolge unter die Top 10 geschafft:

•     Aachen
•     Bochum
•     Darmstadt
•     Dresden
•     Düsseldorf
•     Hamburg
•     Köln
•     München
•     Nürnberg
•     Stuttgart

Das komplette Ranking wird Ende September im Vorfeld der Smart Country Convention veröffentlicht. Der Smart City Index analysiert und bewertet die Städte in fünf Kategorien: Verwaltung, IT-Infrastruktur, Energie/Umwelt, Mobilität und Gesellschaft. Für jede Stadt wurden 133 Parameter untersucht – von Online-Bürger-Services über Sharing-Angebote für Mobilität und intelligente Ampelanlagen bis hin zur Breitbandverfügbarkeit. In den fünf Kategorien wurden für jede Stadt Index-Werte errechnet, aus denen sich Gesamtwert und Gesamtrang ergeben.

Der Beitrag Smart City Index mit drei Aufsteigern erschien zuerst auf Linux-Magazin.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den Mindeststandard für Mobile Device Management (MDM) in der neuen Version 2.0 veröffentlicht. Der MDM trifft Vorgaben zur Integration und zentralen Verwaltung mobiler Endgeräte in der IT-Infrastruktur der Bundesverwaltung.

Wie das BSI mitteilt, wurde die Struktur des neuen Mindeststandards von Grund auf neugestaltet. Das sei daran zu erkennen, dass die : Sicherheitsanforderungen nun nach Themen anstatt wie bisher nach Adressat sortiert seien. Außerdem habe man die Sicherheitsanforderungen stärker mit den Bausteinen des IT-Grundschutz-Kompendiums verzahnt. Viele Sicherheitsanforderungen seien zudem aktualisiert und mit dem jüngst veröffentlichten Common-Criteria-Schutzprofil für Mobile Device Management – Trusted Server abgeglichen worden. Zu den Themen Strategie, Arbeitsweise des MDMs, Vertrauenswürdige Kommunikation, Sichere Konfiguration der mobilen Endgeräte und Betriebsprozesse seien zudem neue Sicherheitsanforderungen erarbeitet worden.

Der Mindeststandard des BSI für Mobile Device Management steht zum Download (PDF).

Der Beitrag BSI veröffentlicht Mobile Device Management 2.0 erschien zuerst auf Linux-Magazin.

Die Preisanpassungsklausel in den Abonnementbedingungen des Musik-Streamingdienstes Spotify ist unzulässig. Das hat das Landgericht Berlin nach einer Klage des Verbraucherzentrale Bundesverbands (vzbv) entschieden.

Das in Schweden ansässige Unternehmen hatte sich in den Nutzungsbedingungen vorbehalten, die Abonnementgebühren und sonstigen Preise zu erhöhen, um “die gestiegenen Gesamtkosten” für die Bereitstellung der Streamingdienste auszugleichen. Zu den Gesamtkosten zählten zum Beispiel Produktions- und Lizenzkosten, Personal-, Verwaltungs- und Finanzierungskosten sowie Steuern, Gebühren und sonstige Abgaben. Eine Preissenkung infolge gesunkener Kosten sah die Klausel nicht vor. Das hatte die vzbv vor das Landgericht Berlin ziehen lassen.

Das Landgericht Berlin schloss sich der Auffassung des vzbv an, dass Kunden durch die unausgewogenen Klausel des Streamingdienstes benachteiligt werden. Kostensenkungen seien bei Preisänderungen ebenso zu berücksichtigen wie Kostenerhöhungen und diese nach denselben Maßstäben an die Kund:innen weiterzugeben, urteilte das Gericht. Dem werde die Spotify-Klausel nicht gerecht.

Das Berliner Landgericht stellte klar: Das Recht des Kunden, den Vertrag jederzeit zu kündigen, gleiche die Benachteiligung durch die Preisänderungsklausel nicht aus. Kunden hätten in der Regel kein Interesse an einer Kündigung, weil sie mit einem Anbieterwechsel ihre gespeicherten Playlists sowie weitere Einstellungen verlieren und ihnen bei einem anderen Anbieter nicht die gleichen Inhalte zur Verfügung stehen würden. Das Unternehmen hat gegen die Entscheidung des Landgerichts Berufung eingelegt.

Der Beitrag Klausel für Preisanpassungen bei Spotify unwirksam erschien zuerst auf Linux-Magazin.

Mit einem weiteren Point-Release für die Ausgabe 11 hebt das Projekt seine Distribution auf den Versionsstand Debian 11.5 an. Das Release behebe hauptsächlich Sicherheitslücken der Stable-Veröffentlichung sowie einige ernste Probleme, teilt das Projekt mit.

Daneben sind auch einige Aktualisierungen für Pakete dabei, etwa das aktuelle Clamav. Bei den Fehlerbehebungen ist das Projekt mit Debian 11.5 ebenfalls aktiv. 58 Bugfixes zählt die Ankündigung auf. Außerdem sind 53 Security-Updates enthalten.

Debian 11.5 Bullseye bekommt mit dem Update auch neue Images, die aber nur für Neueinsteiger interessant sind. Wer Debian 11 nutzt und regelmäßig Updates macht, muss nur wenig nachinstallieren.  Vorhandene Installationen könnten auf diese Revision angehoben werden, indem das Paketverwaltungssystem auf einen der vielen HTTP-Spiegel von Debian verwiesen werde, empfiehlt die Ankündigung.

Der Beitrag Debian 11.5 bringt Sicherheitsupdates erschien zuerst auf Linux-Magazin.

Sicherheitsforscher des Chaos Computer Clubs (CCC) haben sich die Technik hinter dem vor der Einführung stehenden E-Rezept angeschaut, mit ernüchterndem Ergebnis: Im Klartext gespeicherte medizinische Gesundheitsdaten, mangelhafte Verfügbarkeit und Datenschutz und keine Sicherheit beim Abruf des E-Rezeptes.

Die Gematik ist eine von den Spitzenorganisationen des Gesundheitswesens gegründete Gesellschaft, deren Aufgabe die Entwicklung technischer Spezifikationen der erforderlichen Datenformate, Dienste und Komponenten für die Telematikinfrastruktur (TI) ist. Sie ist für die Entwicklung des E-Rezeptes zuständig.

Im Einzelnen bemängelt der CCC die mangelnde Verfügbarkeit. Die Anforderungen an die Verfügbarkeit im Sektor “Medikamentenversorgung” der Kritischen Infrastrukturen (Kritis) seien mit dem vorliegenden E-Rezept-System nicht realisierbar. Käme es, wie im Jahr 2020 geschehen, zu einem Ausfall zentraler Dienste der Telematikinfrastruktur, wäre es wochenlang unmöglich, E-Rezepte einzulösen, bemängelt der CCC. Und ob bei einer wie geplant verpflichtenden Einführung des E-Rezeptes die Papierverfahren für den Havarie- oder Katastrophenfall bestehen bleibe, sei ungewiss.

Dass beim E-Rezept an zentraler Stelle medizinische Daten im Klartext anfallen, ist ein weiterer Kritikpunkt. Eine Ende-zu-Ende-Verschlüsselung, wie sie längst industrieüblich sei, sehe die Gematik beim E-Rezept nicht vor. Das Statement der Gematik dazu laute: “Die E-Rezepte werden von der Arztpraxis verschlüsselt an einen zentralen Dienst übertragen, dort verschlüsselt gespeichert und verarbeitet und wieder verschlüsselt von der Apotheke abgerufen. Damit sind die E-Rezepte vor unbefugtem Zugriff geschützt.”

Der CCC kritisiert, dass der entscheidende Teil – die Verarbeitung – unverschlüsselt erfolge. Die Gematik verspreche zwar, die Daten in einer „vertrauenswürdigen Ausführungsumgebung“ (VAU) zu verarbeiten, überprüfen können dies der Nutzer jedoch nicht. Zudem handle es sich bei dieser VAU um eine veraltete und mehrfach erfolgreich angegriffene Technologie mit dem Namen „Intel SGX“, die primär für Kopierschutz eingesetzt werde.

Dass es ausreicht, das E-Rezept mit der elektronischen Gesundheitskarte (eGK) über die Krankenversichertennummer in einer Apotheke abzurufen, sehen die CCC-Forscher als inakzeptabel an.

Und dass auf Prüfungen im Backend – also auf dem zentralen Datenlager der gematik – verzichtet werde und man sich darauf verlasse, dass die (Online-)Apotheke die Präsenz der eGK schon irgendwie prüfe, sei unzureichend und lasse selbst simple Betrügereien zu. Ein Mitarbeiter aus dem Bereich der Online-Versandapotheken könnte bei bekannt gewordenen Versichertennummern Prominenter Zugriff auf deren Verschreibungen nehmen und sie an die Boulevardpresse verkaufen, teilt der CCC mit.

Die Gematik müsse sich klar zu einer Ende-zu-Ende-Verschlüsselung bekennen und an der Sicherheit arbeiten, fordert der CCC. Zudem sollten dass BSI und der BfDI künftig die Spezifikationen kritischer begutachten und sich nicht von Formulierungen wie „durchgängig verschlüsselt“ täuschen lassen.

Der Beitrag CCC kritisiert E-Rezept wegen mangelhaftem Datenschutz erschien zuerst auf Linux-Magazin.

Die Siemens-Tochter Mendix veranstaltet am 23. und 24. September den Low-Code for Good-Hackathon, mit dem gemeinnützige Organisationen unterstützt werden sollen. Nun stehen die designierten gemeinnützigen Organisationen fest, die am MxHacks 2022: Low-Code for Good teilnehmen, teilt das Unternehmen mit.

Die die Welcome App Netherlands Foundation (EMEA), die New Hope Community Services (APAC) und Project Alianza (Amerika) sind die auserwählten. Es hätten sich für den ersten globalen Mendix-Hackathon rund 1000 Teilnehmer aus 45 Ländern angemeldet, heißt es weiter. Der Hackathon werde an vier Orten auf drei Kontinenten stattfinden: Boston, London, Rotterdam und Singapur. Zudem kann online teilgenommen werden.

Durch die Auswahl echter Anwendungsbeispiele von gemeinnützigen Organisationen für den Hackathon möchte Mendix eine Plattform und eine Community schaffen, die für jeden zugänglich ist.

Teams von bis zu vier Personen und einzelne Entwickler können unabhängig voneinander teilnehmen oder sich vor der Veranstaltung in einer Matchmaking-Sitzung zu einem Team zusammenschließen, teilt Mendix mit. Auch gemischte Teams seien zugelassen, bei denen einige Mitglieder vor Ort teilnehmen, während andere sich per Remote-Zugriff anmelden. Entwickler können sich auf der MxHacks-Seite für den Hackathon anmelden.

Der Beitrag Low-Code for Good-Hackathon sucht Teilnehmer erschien zuerst auf Linux-Magazin.

Die Bundesnetzagentur hat für einige Haushalte in Niedersachsen eine Unterversorgung mit Telekommunikationsdiensten nach dem neuen Recht auf Versorgung festgestellt. Nach dem Telekommunikationsgesetz haben Bürger einen Rechtsanspruch auf Versorgung mit einem Mindestangebot an Sprachkommunikation, also Telefon, und einem schnellen Internetzugangsdienst, teilt die Bundesnetzagentur mit.

Die Feststellung betreffe die Gemeinden Mittelstenahe, Halvesbostel, Brackel sowie Stuhr in Niedersachsen, in denen eine Versorgung mit Telekommunikationsdiensten weder aktuell noch in objektiv absehbarer Zeit angemessen oder ausreichend erbracht wird, heißt es seitens der Bundesnetzagentur. Es ist das erste Mal, dass die Bundesnetzagentur dieses neue Instrument anwendet.

Das weitere Verfahren sieht vor, dass Telekommunikationsanbieter sich nun in ein einem nächsten Schritt innerhalb eines Monats gegenüber der Bundesnetzagentur zur Versorgung der betroffenen Haushalte verpflichten können. Sollte kein Unternehmen ein Angebot machen, verpflichte die Bundesnetzagentur innerhalb von vier Monaten eines oder mehrere Unternehmen dazu, die betroffenen Haushalte mit einem Telekommunikationsanschluss zu versehen und Telekommunikationsdienste anzubieten.

Die so verpflichteten Anbieter müssen dann spätestens nach drei Monaten beginnen, die Voraussetzung für die Anbindung zu schaffen, heißt es in der Mitteilung der Agentur weiter. In der Regel sollte das Mindestangebot dann innerhalb von weiteren drei Monaten zur Verfügung stehen. Wie lange es dann dauere, bis ein Anschluss zur Verfügung stehe, hängt zum Beispiel davon ab, ob erhebliche Baumaßnahmen erforderlich seien, teilt die Bundesnetzagentur mit.

Der Beitrag Kein Internet: Bundesnetzagentur verpflichtet Provider zum Ausbau erschien zuerst auf Linux-Magazin.

Das als Firmware-Ersatz für WLAN-Router und sonstige Geräte gedachte Linux-Betriebssystem OpenWRT ist in Version 22.03 erschienen. Die neue Version enthält rund 3800 Änderungen gegenüber der Vorgängerversion 21.02 und ist seit rund einem Jahr in Entwicklung.

Eine neue Firewall-Implementierung mit nftables ist eine der größeren Neuerungen. Firewall4 werde nun standardmäßig verwendet und ersetze die iptables-basierte Firewall3-Implementierung in den OpenWrt-Standardimages. Firewall4 verwende nftables anstelle von iptables zur Konfiguration des Linux-Netfilter-Regelsatzes, teilen die OpenWRT-Macher mit.

Wie gewohnt ist die Zahl der unterstützten Geräte gewachsen. OpenWrt 22.03 unterstützt insgesamt 1580 Geräte und davon seien 180 neue Geräte gegenüber dem Vorgänger hinzugekommen. Darunter seien mehr als 15 Geräte, die Wifi 6 unterstützen.

Vorausschauend löst OpenWRT in der neuen Version auch das Jahr 2038-Problem für 32-Bit-Systeme. OpenWrt 22.03 verwende musl 1.2.x, wodurch der time_t-Typ auf 32-Bit-Systemen von 32 auf 64 Bit geändert wurde, auf 64-Bit-Systemen sei er immer schon 64 Bit lang. Das 2038-Prtoblem besteht darin, dass ein Unix-Zeitstempel, der in einer 32-Bit-Ganzzahl gespeichert ist, am 19. Januar 2038 überläuft. Mit der Umstellung auf 64 Bit geschehe dies 292 Milliarden Jahre später, heißt es in der Ankündigung. Wegen der Änderung der musl libc ABI sei aber eine Neukompilierung aller User-Space-Anwendungen, die gegen musl libc gelinkt sind nötig. Dies gelte nicht für 64-Bit-Systeme, wo dies bereits bei der Definition der ABI vor vielen Jahren gemacht wurde, die glibc ARC ABI habe bereits eine 64-Bit time_t.

Der Beitrag OpenWRT 22.03 bringt viel Neues erschien zuerst auf Linux-Magazin.

Ein Bündnis von 13 Organisationen aus Umweltschutz, Digitalpolitik, Entwicklungszusammenarbeit und Wissenschaft hat einen Forderungskatalog zur Gestaltung einer nachhaltigeren digitalen Gesellschaft veröffentlicht, teilt die Free Software Foundation Europe mit. Bei der bevorstehenden Konferenz für Digitalisierung und Nachhaltigkeit „Bits & Bäume“ sollen diese Forderungen vertieft werden.

Die Digitalisierung müsse mehr in den Dienst der Gesellschaft und des sozialen und ökologischen Wandels gestellt werden, fordern die Organisationen. In ihrem Forderungskatalog für die Gestaltung einer nachhaltigeren digitalen Gesellschaft steht etwa, dass sich Digitalisierung am Natur-, Klima- und Ressourcenschutz sowie am Erhalt der Biodiversität ausrichten solle. Digitalisierung müsse ein weltweit gerechtes und nachhaltiges Wirtschaftssystem unterstützen, dass allen eine Teilhabe ermögliche und lokale Gemeinschaften sowie gesellschaftliche Gruppen bei der Gestaltung der globalen Digitalwirtschaft und -politik aktiv mit einbeziehe, heißt es weiter.

Die Konferenz für Digitalisierung und Nachhaltigkeit „Bits & Bäume“ findet vom 30. September bis 2. Oktober 2022 in Berlin statt. Die FSFE ist Teil des Trägerkreises und damit Mitveranstalter. Das Programm der Konferenz hier einzusehen.

Der Beitrag Bits & Bäume: Bündnis fordert eine nachhaltige Digitalisierung erschien zuerst auf Linux-Magazin.

Bei der IFA in Berlin hat Hersteller AVM den neuen intelligenten Heizkörperregler FritzDECT 302 vorgestellt. Im Zusammenspiel mit dem ebenfalls neuen FritzOS 7.50 sollen Nutzer damit Heizkosten sparen können.

Mit FritzDECT 302 lasse sich die Raumtemperatur zusammen mit einer Fritzbox-Dect-Basis steuern. Das E-Paper-Display sei gut lesbar und der RTegler sei in 90-Grad-Schritten drehbar. Zu den Funktionen zähle eine Fenster-auf-Erkennung, eine Tastensperre, eine Kalkschutzfunktion und ein manueller Heizstopp mittels Frostschutz-Funktion. Die FritzDECT soll sich leicht an gängigen Heizkörpern anbringen lassen. Die Einrichtung erfolge via Fritzbox und die Steuerung per FritzApp Smart Home und Browser, auch von unterwegs, teilt AVM mit.

Der FritzDECT 302 sei bereits im Handel verfügbar und koste dort rund 69 Euro, teilt AVM mit.

Der Beitrag AVM bringt Heizkörperregler FritzDECT 302 erschien zuerst auf Linux-Magazin.

Mit Arti 1.0.0 hat das Tor-Projekt ihre Implementierung der Tor-Protokolle in der Programmiersprache Rust veröffentlicht. Arti sei nun für einen breiteren Einsatz bereit, teilt das Projekt mit.

Bei der Definition des jetzt erreichten Meilensteins 1.0.0 sei man zur Auffassung gelangt, dass Arti “bereit für den Produktionseinsatz” sei. Man sollte in der Lage sein, Arti in der realen Welt benutzen zu können und ein ähnliches Maß an Privatsphäre, Benutzerfreundlichkeit und Stabilität zu erhalten, wie man es mit einem C-Client Tor möglich sei. Und die APIs sollten einigermaßen stabil sein.

Die Entscheidung, mit der Umsetzung in Rust sei gefallen, nachdem die C-Tor-Implementierung in die Jahre gekommen sei. Man habe bei der weiteren Entwicklung in C immer unter Beschränkungen gelitten. C ermutige einen unnötigen Low-Level-Ansatz für viele Programmierprobleme, und es erfordere dann mühsame Sorgfalt und Aufwand, um sicher benutzbar zu sein.  Auch deswegen sei das Entwicklungstempo in C immer langsamer als gewünscht gewesen, heißt es im Blogbeitrag von Tor.

Außerdem sei die bestehende C-Implementierung im Laufe der Jahre zu einem nicht gerade modularen Design herangewachsen. Es sei fast alles ist mit allem anderen verbunden, was es noch schwieriger mache, den Code zu analysieren und sichere Verbesserungen vorzunehmen.

Der Beitrag Arti 1.0.0: Tor in Rust erschien zuerst auf Linux-Magazin.

Fotos vom Handy oder der SD-Karte kopiert Mike Schilli mit einem Go-Programm in eine datumsbasierte Dateistruktur auf dem Rechner. Ein Cache sorgt dafür, dass nur Neues übertragen und keine Zeit verplempert wird.

Im Video demonstriert er seine Lösung

Der Beitrag Snapshot 10/2022: Go organisiert Fotos mit Datum erschien zuerst auf Linux-Magazin.

In den vergangenen zwölf Monaten haben in Deutschland deutlich mehr Menschen mithilfe intelligenter Anwendungen versucht, die Energieeffizienz in ihrem Zuhause zu steigern und den Verbrauch zu reduzieren, das hat der Digitalverband Bitkom in einer Umfrage ermittelt.

25 Prozent der Bundesbürger nutzt inzwischen smarte Heizkörperthermostate. 2021 waren es erst 17 Prozent und 15 Prozent im Jahr 2020, so der Verband.  Smarte Thermostate regeln die Temperatur in der Wohnung abhängig davon, ob gerade gelüftet wird, ob Personen anwesend sind und teilweise sogar unter Berücksichtigung der Wettervorhersage – damit verbraucht die Heizung in der Regel deutlich weniger Energie als bei Steuerung von Hand.

Intelligente Rollläden oder Markisen, die sich bei starker Sonneneinstrahlung automatisch herunterfahren und so für Kühlung sorgen, setzt ein Fünftel ein (21 Prozent) – 2021 waren es noch 13 Prozent. Ebenfalls ein Fünftel (21 Prozent) nutzt smarte oder WLAN-Steckdosen, um Stand-by standardmäßig zu vermeiden (2021: 16 Prozent). 13 Prozent verfolgen ihren Verbrauch über intelligente Zähler (2021: 8 Prozent).

Die Befragung wurde unter 1315 Menschen in Deutschland ab 16 Jahren durchgeführt.

Der Beitrag Smart-Home-Technologie im Aufwind erschien zuerst auf Linux-Magazin.

Der Browser Chrome von Google braucht ein Update, das eine Sicherheitslücke schließt. Für diese Lücke existiert bereits ein Exploit, lässt Google wissen.

Entsprechende Meldungen habe man bekommen, heißt es im Chrome-Blog. Bei dem Sicherheitsproblem selbst handelt es sich um einen Fehler im IPC-System Mojo. Dort werden Eingaben nicht ausreichend geprüft, heißt es im Beitrag. Weitere Informationen hält Google zurück, um nicht weitere potenzielle Angreifer damit zu versorgen. Es ist also nicht nachvollziehbar, welche Auswirkungen ein erfolgreicher Exploit nach sich zieht.

Google stellt mit den Versionen 105.0.5195.102 für Windows, Mac und Linux gepatchte Ausgaben des Browsers bereit.

Der Beitrag Chrome braucht Update gegen Exploit erschien zuerst auf Linux-Magazin.

Canonical hat Ubuntu 20.04.5 LTS veröffentlicht. Damit bekommt Ubuntu 20.04 LTS alias Focal Fossa sein letztes Point-Release.

Ubuntu 20.04.5 LTS kommt mit einem Linux-Kernel 5.15 LTS. GNOME ist in Ausgabe 3.36.8 dabei. Der Browser Firefox liegt in aktueller Version 104 vor, LibreOffice als Ausgabe 6.4.7.2. Canonical stellt Images dieser Version zum Download. Wer 20.04 LTS bereits installiert hat und Updates einspielt, braucht diese Images nicht.

Derzeit aktuell ist die LTS-Ausgabe 22.04 von Ubuntu. Neben Ubuntu sind auch alle offiziellen Flavours auf den Stand von 20.04.5 LTS gebracht worden. Dazu zählen Kubuntu, Ubuntu Budgie, Ubuntu MATE, Lubuntu, Ubuntu Kylin, Ubuntu Studio und Xubuntu.

Der Beitrag Ubuntu 20.04.5 LTS ist fertig erschien zuerst auf Linux-Magazin.

Canonical ist seiner Linie treu geblieben und folgt dem Release-Rhythmus von Kubernetes mit seinen eigenen Produkten. Alle Upstream-Funktionen von Kubernetes 1.25 seien in Canonical Kubernetes für die Distributionen, MicroK8s und Charmed Kubernetes verfügbar, teilt der Anbieter mit.

Zusätzlich dazu hat Canonical für seine schlanke Kubernetes-Distribution MicroK8s, das über Snaps bereitgestellt wird und darüber Updates und Sicherheitsfunktionen erhält Strict Confinement als neuen Verfügbarkeitskanal eingeführt. Diese strikte Isolierung biete einen eingeschränkten Hostsystem-Zugriff und einen restriktiveren Sicherheitsstatus, teilt Canonical mit. Zudem sei die Snap-Größe von MicroK8s um bis zu 25 Prozent reduziert worden, damit Anwender Kubernetes schneller zum Laufen bringen können. Mit der Einführung von Core- und Community-Addon-Repositories seien zudem neue Observability-, Netzwerk- und Sicherheits-Addons erhältlich.

Charmed Kubernetes bringt einen Kube-OVN-Charme mit, teilt Canonical mit. Dieser ermögliche eine Reihe von neuen Netzwerkfunktionen wie BGP, VXLAN, QoS und IP Dualstack und mehr. Um die Ausfallsicherheit weiter zu verbessern, hat Canonical den Hashicorp Vault-Charme um HA-Funktionen erweitert.

OpenStack, vSphere und Azure seien die neuesten Cloud-Integrationen, die von den aktualisierten Charmed Kubernetes-Charms profitieren. Mit diesen Integrationen könnten Entwickler Canonicals Kubernetes einsetzen, indem sie die nativen Funktionen dieser Clouds nutzen.

Alle Komponenten von Charmed Kubernetes seien zudem auf der neuen Ubuntu-Version 22.04 mit deren Kernel-Funktionen und Sicherheitsverbesserungen ausführbar.

Der Beitrag Canonical Kubernetes 1.25 verfügbar erschien zuerst auf Linux-Magazin.

Gemäß seinem Trend Micro 2022 Midyear Roundup Report hat der Sicherheitsexperte im ersten Halbjahr 2022 insgesamt 63 Milliarden Cyberbedrohungen blockiert. Auffällig sei dabei die Zunahme von Ransomware-Angriffen auf Linux- und Embedded-Systeme im zweistelligen Prozentbereich gewesen, so Trend Micro.

Die Sicherheitsexperten erwarten deshalb, dass Attacken auf diese Systeme in den kommenden Jahren noch weiter zunehmen werden. Mit den 63 Milliarden blockierten Bedrohungen weltweit sei ebenfalls ein Anstieg von 52 Prozent im Vergleich zum gleichen Vorjahreszeitraum verbunden, berichtet der japanische Sichrheitsspezialist. Am häufigsten von Malware-Angriffen betroffen seien der öffentliche Sektor, produzierendes Gewerbe und das Gesundheitswesen, heißt es weiter.

Die Erkennung von Ransomware-as-a-Service-Angriffen sei in der ersten Hälfte des Jahres 2022 sprunghaft angestiegen, besonders von großen Akteuren: Bei LockBit sei ein Anstieg von 500 Prozent gegenüber dem Vorjahr beobachtet worden, die Erkennungen von Conti verdoppelten sich fast innerhalb von sechs Monaten. Speziell das Geschäftsmodell Ransomware-as-a-Service (RaaS) habe den Entwicklern von Ransomware und ihren Partnern („Affiliates“) erhebliche Gewinne beschert, berichtet Trend Micro.

Und ständig tauchten neue Ransomware-Gruppierungen auf. Am auffälligsten sei in der ersten Jahreshälfte eine Gruppierung namens Black Basta gewesen, die innerhalb von nur zwei Monaten 50 Unternehmen angegriffen hätten. Wie der Bericht zudem belege, würden viele Angriffe weiterhin auf große Unternehmen abzielen, sogenanntes „Big-Game Hunting“.

Einer der wichtigsten Angriffsvektoren für Ransomware sei die Ausnutzung von Schwachstellen. Die Zero-Day-Initiative (ZDI) von Trend Micro veröffentlichte im Berichtszeitraum Hinweise auf 944 Sicherheitslücken, was einem Anstieg von 23 Prozent gegenüber dem Vorjahr entspreche. Die Zahl der veröffentlichten Hinweise auf kritische Bugs sei im Jahresvergleich sogar um 400 Prozent gestiegen.

Es besteht Anlass zur Sorge, dass Angreifer zunehmend in der Lage seien, solche Schwachstellen schneller auszunutzen, als Anbieter Patch-Updates veröffentlichen und Unternehmen diese Patches einspielen könnten, warnt Trend Micro. Der Trend Micro 2022 Midyear Roundup Report ist online verfügbar.

Der Beitrag Sicherheitslagebericht:  Zunahme von Ransomware-Angriffen auf Linux-Systeme erschien zuerst auf Linux-Magazin.

Der deutschen Wirtschaft entsteht ein jährlicher Schaden von rund 203 Milliarden Euro durch Diebstahl von IT-Ausrüstung und Daten, Spionage und Sabotage. Das sind Ergebnisse einer Studie im des Digitalverbands Bitkom.

Für die Studie ließ der Bitkom mehr als 1000 Unternehmen quer durch alle Branchen repräsentativ befragen. Der so ermittelte Schaden liege etwas niedriger als im Rekordjahr 2021 mit 223 Milliarden Euro. In den Jahren 2018/2019 seien es noch 103 Milliarden Euro gewesen, so der Verband.

Praktisch jedes Unternehmen in Deutschland werde zum Opfer: 84 Prozent der Unternehmen waren im vergangenen Jahr betroffen, weitere 9 Prozent gehen davon aus. Dabei sind die Angriffe aus Russland und China zuletzt sprunghaft angestiegen. 43 Prozent der betroffenen Unternehmen haben mindestens eine Attacke aus China identifiziert (2021: 30 Prozent). 36 Prozent haben Urheber in Russland ausgemacht (2021: 23 Prozent). Zugleich gehen die Angreifer immer professioneller vor, teilt der Bitkom mit. Erstmals liegen das organisierte Verbrechen und Banden an der Spitze der Rangliste der Täterkreise. Bei 51 Prozent der betroffenen Unternehmen kamen Attacken aus diesem Umfeld. Vor einem Jahr lag ihr Anteil gerade einmal bei 29 Prozent, vor drei Jahren bei 21 Prozent.

Insbesondere digitale Angriffe beunruhigen laut der Studie die Wirtschaft. 39 Prozent der Befragten haben in den vergangenen zwölf Monaten erlebt, dass Cyberattacken auf ihr Unternehmen stark zugenommen haben, 45 Prozent meinen, sie haben eher zugenommen. Vor allem Betreiber kritischer Infrastrukturen erleben einen Anstieg der Angriffe: Hier sagen 49 Prozent, die Attacken haben stark zugenommen, und 38 Prozent, sie haben eher zugenommen. Die Sorgen vor den Folgen einer Cyberattacke wachsen: 45 Prozent der Unternehmen meinen, dass Cyberattacken ihre geschäftliche Existenz bedrohen können – vor einem Jahr lag der Anteil bei gerade einmal 9 Prozent.

Der Beitrag Milliardenschäden durch Diebstahl und Sabotage erschien zuerst auf Linux-Magazin.