Normale Ansicht

Es gibt neue verfügbare Artikel. Klicken Sie, um die Seite zu aktualisieren.
Gestern — 27. März 2024Haupt-Feeds
Ältere BeiträgeHaupt-Feeds

Zeichen setzen – auf den Chemnitzer Linux-Tagen 2024

24. Februar 2024 um 06:00

In drei Wochen beginnen die Chemnitzer Linux-Tage 2024 mit dem diesjährigen Motto „Zeichen setzen“. Am 16. und 17. März erwartet euch im Hörsaalgebäude an der Richenhainer Straße 90 ein vielfältiges Programm an Vorträgen und Workshops. Hier finden sich Vorträge für interessierte Neueinsteiger wie für alte Hasen.

So geht es am Samstag im Einsteigerforum beispielsweise um die Digitalisierung analoger Fotos, das Erstellen von Urlaubsvideos mit der Software OpenShot oder die Verschlüsselung von E-Mails. In der Rubrik „Schule“ gibt Arto Teräs einen Einblick in den Einsatz der Open-Source-Lösung Puavo an finnischen und deutschen Schulen. Zusätzlich stehen Vorträge aus den Bereichen Finanzen, Medien, Datensicherheit, KI oder Netzwerk auf dem Programm. Am Sonntag gibt das Organisationsteam der Chemnitzer Linux-Tage mit „make CLT“ Einblicke in die Planung und Strukturen der Veranstaltung selbst. In der Rubrik „Soft Skills” wird es um die Schätzung von Aufwänden oder notwendige Fähigkeiten von Software-Entwicklern gehen.

Eintrittskarten können online im Vorverkauf und an der Tageskasse erworben werden. Kinder bis 12 Jahren haben freien Eintritt.

Während viele Besucher bereits Stammgäste sind, werden auch neue Gesichter herzlich willkommen. Lasst euch gern von der hier herrschenden Atmosphäre voller Begeisterung für freie Software und Technik anstecken und begeistern.

Ich selbst freue mich, am Samstag um 10:00 Uhr in V6 den Vortrag mit dem obskuren Namen ::1 beisteuern zu dürfen. Update: Unverhofft kommt oft. Uns so freue ich mich am Sonntag um 10:00 Uhr in Raum V7 noch in einem zweiten Vortrag vertreten zu sein. Zusammen mit Michael Decker von der ASPICON GmbH erfahrt ihr, wie man „Mit Ansible Collections & Workflows gegen das Playbook-Chaos“ angehen kann.

Darüber hinaus beteilige ich mich als Sessionleiter für die folgenden drei Vorträge an der Veranstaltung:

So habe ich auf jeden Fall einen Platz im Raum sicher. ;-)

Wer ebenfalls helfen möchte, kann sich unter Mitmachen! informieren und melden.

Für mich ist dieses Jahr einiges im Programm dabei. Doch freue ich mich ebenso sehr auf ein Wiedersehen mit alten Bekannten aus der Gemeinschaft und darauf, neue Gesichter (Namen kann ich mir meist erst Jahre später merken) kennenzulernen.

Also bis bald in der Karl-Marx-Stadt.

Chemnitzer Linux-Tage Banner

BSI startet Codeanalyse von freien Videokonferenzsysteme und eID-Templates

17. August 2023 um 07:41

Im Rahmen eines Projektes zur Codeanalyse von Open Source Software hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) Videokonferenzsysteme und eID-Templates untersucht.

Das Projekt „Codeanalyse von Open Source Software“ (CAOS) hat das BSI im Jahr 2021 gestartet. Aufgabe des Projekts ist die Schwachstellenanalyse mit dem Ziel, die Sicherheit von Open Source Software zu erhöhen. Das Projekt soll damit Entwickler bei der Erstellung sicherer Softwareanwendungen unterstützen und das Vertrauen in Open Source Software steigern.

Das BSI überprüfte nun gemeinsam mit der mgm security partners GmbH den Quellcode der Videokonferenzsysteme BigBlueButton und Jitsi auf mögliche Mängel, teilte das BSI mit. Kritische Schwachstellen habe man den betroffenen Entwicklern sofort mitgeteilt und diese hätten die gefundenen Sicherheitslücken schnell beheben können. Weitere Mängel seien im Rahmen eines Responsible-Disclosure-Verfahren adressiert worden. Bei den nun veröffentlichten Ergebnissen handelt es sich um eine Kombination aus Sourcecode Review, dynamischer Analyse und Schnittstellenanalyse in den Bereichen Netzwerkschnittstellen, Protokolle und Standards.

Damit Bürgerinnen und Bürger die Online-Funktion des Personalausweises nutzen können, müssten Diensteanbieter ihr Angebot in die Infrastruktur elektronischer Identitäten (eID) integrieren. eID-Templates sollen die Authentifizierung bei WordPress- oder Nextcloud-Installationen sicher gestalten und sind Teil der geplanten Einführung der „eID-Card“. Auch diese Templates hat das BSI untersucht und die Ergebnisse veröffentlicht

Um die Sicherheit von Open Source Software in Zukunft zu erhöhen, seien weitere Codeanalysen geplant. Das Projekt zur „Codeanalyse von Open Source Software“ werde unter dem Namen CAOS 2.0 fortgeführt.

Der Beitrag BSI startet Codeanalyse von freien Videokonferenzsysteme und eID-Templates erschien zuerst auf Linux-Magazin.

Opensuse Conference 2023 in Nürnberg

23. Mai 2023 um 08:51

Vom 26. bis 28. Mai findet im Z-Bau in Nürnberg die Opensuse Conference 2023 statt. Die Konferenz ist die jährliche Veranstaltung der Opensuse-Community.

Vor der eigentlichen Veranstaltung gibt es eine Pre-Party, die für den 25. Mai im Kater Murr geplant ist. Bei der Konferenz selbst bilden die organisierten Vorträge, Workshops und BoF-Sitzungen dann den Rahmen für zwanglosere Treffen und Hacking-Sessions.

Neben der Möglichkeit, in Nürnberg teilzunehmen bietet die Veranstaltung auch die Option, sich per Streaming zuzuschalten. Die Veranstalter wollen einen entsprechenden Link veröffentlichen, sobald er am Tag der Veranstaltung verfügbar ist. Man solle dann per Video an den Workshops entweder unter https://meet.opensuse.org/Seminarraum1 oder https://meet.opensuse.org/Seminarraum2 teilnehmen.

Die Teilnahme a der Konferenz ist kostenlos. Auf der Webseite der Konferenz sind weitere Informationen verfügbar.

Der Beitrag Opensuse Conference 2023 in Nürnberg erschien zuerst auf Linux-Magazin.

Kritische Sicherheitslücken in Konferenzsoftware Zoom

16. März 2023 um 09:44

Die Videokonferenzlösung Zoom braucht Updates. In der Software stecken laut dem Anbieter mehrere hochkritische Sicherheitslücken. Unter anderem wird damit das Ausführen von Schadcode möglich. Betroffen von den Lücken sind die Zoom-Versionen für Android, iOS, Linux, macOS und Windows vor Version 5.13.5.

Eine mit dem Risikopotenzial „hoch“ eingestufte Sicherheitslücke steckt in einer falschen Implementierung beim  Server-Message-Block-Protokoll (SMB) in den Zoom Clients. Wenn ein Opfer eine lokale Aufzeichnung an einem SMB-Speicherort speichert und sie später über einen Link vom Zoom-Webportal öffnet, könnte ein Angreifer, der sich in einem benachbarten Netzwerk des Opfer-Clients befindet, einen bösartigen SMB-Server einrichten, der auf Client-Anfragen antwortet und den Client dazu bringt, vom Angreifer kontrollierte ausführbare Dateien auszuführen, heißt es im Security Bulletin der Zoom-Entwickler.

Eine weitere hochriskante Lücke steckt im Windows-Installer des Zoom-Clients für IT-Admins vor Version 5.13.5. Über eine lokale Schwachstelle ist dort die Ausweitung von Rechten möglich. Ein lokaler Benutzer mit niedrigen Privilegien könnte laut Bulletin diese Schwachstelle in einer Angriffskette während des Installationsprozesses ausnutzen, um seine Privilegien auf den System-Benutzer zu erweitern.

Die insgesamt vier Lücken sind bei Zoom in den Security Bulletins aufgeführt. Updates sind über die Zoom-Webseite erhältlich oder über die in der App aufrufbare Prüfung nach Updates. Die erreicht man nach einem Klick auf das Profilbild und dann auf den Eintrag “Nach Updates suchen”.

Der Beitrag Kritische Sicherheitslücken in Konferenzsoftware Zoom erschien zuerst auf Linux-Magazin.

Videolösung OpenTalk kommt unter Open Source-Lizenz

09. Februar 2023 um 11:32

OpenTalk, deutscher Anbieter für sichere Videokonferenzen, hat seine gleichnamige Kommunikationsplattform unter der Open Source-Lizenz „EUPL“ (European Public License) auf OpenCoDE.de veröffentlicht.

OpenTalk sei von Grund auf neu konzipiert und erfülle Sicherheitsansprüche für vertrauliche Kommunikation, teilt das Unternehmen mit. Mit der nun erfolgten Veröffentlichung des Codes will der Anbieter Transparenz zeigen und die Möglichkeit bieten, OpenTalk in der Community-Version selbst und kostenlos zu installieren.

Alle grundlegenden Funktionen von OpenTalk seien in der Community-Version kostenfrei enthalten. Funktionen wie die revisionssichere Abstimmung, eine Automoderation großer Gruppen oder die automatisierte Installation auf Kubernetes-Clustern seien dagegen der kostenpflichtigen Enterprise-Version vorbehalten, teilt OpenTalk mit.

OpenTalk sieht sich mit den beiden Versionen die Lücke zwischen den freien Lösungen wie Jitsi oder BBB und den kommerziellen Anbietern wie Zoom, Teams oder WebEx schließen.

„Eine Open Source-Philosophie gehört zu den Grundfesten unserer Überzeugung und ist fester Bestandteil unserer Arbeit. Es stand von Beginn an fest, dass wir mit OpenTalk eine hochwertige und leistungsfähige Videokonferenzlösung erschaffen und der Community zur freien Nutzung zur Verfügung stellen“, sagt Peer Heinlein, Geschäftsführer der OpenTalk GmbH.

„Um eine offizielle Zulassung auch für Kommunikation mit hohem Schutzbedarf zu erhalten, werden wir OpenTalk durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifizieren lassen“, so Heinlein weiter.

Das Projekt ist hier auf Gitlab zu finden. Eine Anleitung zur Installation gibt es hier.

Der Beitrag Videolösung OpenTalk kommt unter Open Source-Lizenz erschien zuerst auf Linux-Magazin.

Chemnitzer Linux-Tage suchen Vorträge, Workshops und Aussteller

05. Dezember 2022 um 08:46

Die nächsten Chemnitzer Linux-Tage finden am 11. und 12. März 2023 im Hörsaalgebäude der Technischen Universität Chemnitz statt. Für die Konferenz suchen die Veranstalter noch nach Vorträgen, Workshops, Ausstellern sowie Helfern für CLT Junior.

Wer gerne einen Vortrag halten, einen Workshop anbieten oder im Live-Bereich einen Stand buchen möchte, kann sich ab sofort auf der Website der Chemnitzer Linux-Tage (CLT) bewerben. Das Thema sollte sich dabei am gewählten Motto „Bewusst sein“ orientieren.

Mit diesem Motto möchten die Veranstalter unter anderem daran erinnern, dass Open Source ein ständiges Geben und Nehmen bedeutet. So vertrauen etwa Anwender auf die Arbeit der Softwareentwickler, die wiederum auf Algorithmen und Ideen ihrer Kollegen zurückgreifen. Wer sich für ein Open-Source-Projekt engagiert, besitzt zudem ein Verantwortungsbewusstsein gegenüber dem Projekt und der Community. Nachhaltige Entwicklung spricht für ein Ressourcenbewusstsein des Programmierers. Ein Sicherheitsbewusstsein wiederum sorgt für einen wohlüberlegten Umgang mit fremden Daten sowie die Abwehr von Angriffen. Das Motto des CLT lässt folglich zahlreiche Interpretationen und Themen zu.

Einreichungen beziehungsweise Bewerbungen sind noch bis zum 4. Januar 2023 möglich. Dabei stehen zwei verschiedene Formulare bereit: Während das eine Vorschläge zu Vorträgen und Workshops entgegennimmt, richtet sich das andere an Aussteller. Die entsprechenden Seiten verraten auch detailliert die jeweiligen Voraussetzungen beziehungsweise Teilnahmebedingungen.

Der Beitrag Chemnitzer Linux-Tage suchen Vorträge, Workshops und Aussteller erschien zuerst auf Linux-Magazin.

FrOSCon findet am 20./21. August statt

16. August 2022 um 09:57

Der Fachbereich Informatik der Hochschule Bonn-Rhein-Sieg veranstaltet am Wochenende vom 20./21. August mit Hilfe des FrOSCon e.V. die inzwischen 17. Free and Open Source Software Conference (FrOSCon) in der Hochschule Bonn-Rhein-Sieg in Sankt Augustin bei Bonn.

Nachdem Corona-bedingt die Konferenz in den vergangenen zwei Jahren virtuell abgehalten wurde, ist es dieses Mal wieder eine Präsenzkonferenz. Die Veranstalter weisen aber auf die Maskenpflicht für Teilnehmer hin. Der Eintritt ist dank der Sponsoren frei.

Im Programm sind rund 70 Vorträge zu unterschiedlichen Themenbereichen gelistet.  Außerdem haben sich die Veranstalter einige spezielle Schwerpunkte ausgedacht. Die heißen in diesem Jahr: “Wenn Du kein Wartungsfenster planst, plant es Dein System für Dich – jeder braucht mal eine Pause”; “Jeder nur einen Token – Identität ist das neue Einfallstor”; “A trip down memory lane – The state of embedded systems and TPMs”; “Nicht immer alles richtig machen – Warum eine gute Fehlerkultur wichtig ist”; “Diverse Föderationen – Optionen zur Kommunikation außerhalb der Mainstream-Platformen”.

Auf der Webseite der FrOSCon finden sich alle Informationen für Besucher.

Der Beitrag FrOSCon findet am 20./21. August statt erschien zuerst auf Linux-Magazin.

Sicherheitslücke in Zoom auch nach acht Monaten offen

16. August 2022 um 09:42

Ein Forscher hat im Dezember 2021 eine Lücke an Zoom gemeldet. Acht Monate später ist das Problem nicht behoben. Jetzt hat er sie veröffentlicht.

Der Sicherheitsforscher Patrick Wardle hat auf der Hackerkonferenz Def Con mehrere Sicherheitslücken in der Videokonferenzsoftware Zoom präsentiert. Für eine Zero Day unter MacOS gibt es bisher noch keinen Patch. Mit ihm lassen sich die Rechte ausweiten und so eine Schadsoftware als Administrator ausführen. Mehrere andere Fehler hat Zoom bereits behoben. Zuerst hatte das Onlinemagazin The Verge berichtet.

Das Sicherheitsproblem liegt demnach in der Aktualisierungfunktion von Zoom, die beispielsweise Updates einspielt oder die Software entfernt. Diese prüft zwar, ob ein heruntergeladenes Paket kryptografisch signiert wurde, durch einen Fehler in der Prüfungsmethode kann dem Updater jedoch ein beliebiges Zertifikat mit dem gleichen Namen wie das Signierzertifikat von Zoom übergeben werden.

So könnten Angreifer die Überprüfung der zu installierenden Software aushebeln und beispielsweise eine Schadsoftware ausführen. Die Schadsoftware wird durch den Zoom-Updater mit Administratorrechten ausgeführt. Die Sicherheitslücke kann jedoch erst genutzt werden, wenn Angreifer bereits Zugriff auf das System des Betroffenen haben, dann können sie allerdings ihre Rechte ausweiten und haben weitreichenden Zugriff auf das betroffene System.

Gemeldet hatte Wardle die Sicherheitslücke bereits im Dezember 2021. Ein erster Fix führte einen weiteren Fehler ein, mit dem sich die Sicherheitslücke weiterhin ausnutzen ließ, nur eben etwas komplizierter, erklärte Wardle The Verge. Nach acht Monaten habe er sich nun entschlossen, die Sicherheitslücke öffentlich zu machen, auch wenn sie weiterhin nicht behoben sei.

“Für mich war das irgendwie problematisch, weil ich nicht nur die Bugs an Zoom gemeldet habe, sondern auch die Fehler und wie man den Code behebt”, sagte Wardle. “Es war also wirklich frustrierend, sechs, sieben, acht Monate zu warten und zu wissen, dass alle Mac-Versionen von Zoom auf den Computern der Nutzer saßen und anfällig waren.” Durch die Veröffentlichung hofft Wardle, dass der Fehler, der sehr einfach zu beheben sei, nun endlich behoben wird.

Kurz vor der Konferenz hatte Zoom laut The Verge ein Update herausgebracht, das die Lücke beheben sollte. Demnach wird die Update-Datei nun in einen Ordner verschoben, der dem Nutzer Root gehört. Da beim Kopieren die Lese- und Schreibrechte des Nutzers mitkopiert werden, kann dieser auch weiterhin die Datei verändern – und entsprechend auch Angreifer weiterhin die Datei austauschen und ihre Rechte ausweiten.

Matt Nagel, PR-Verantwortlicher für Sicherheit und Datenschutz bei Zoom, sagte in einer Stellungnahme zu The Verge: “Wir sind uns der neu gemeldeten Schwachstelle im Zoom Auto-Updater für macOS bewusst und arbeiten mit Nachdruck daran, sie zu beheben.”

Update: Zoom teilte mit, dass die Sicherheitslücke mittlerweile behoben worden sein soll: “Die neu gemeldete Sicherheitslücke für den MacOS Auto-Updater wurde im Zoom Client für Meetings für die MacOS Version 5.11.5 behoben.”

Der Beitrag Sicherheitslücke in Zoom auch nach acht Monaten offen erschien zuerst auf Linux-Magazin.

Jubiläum: 20. Kieler Open Source und Linux Tage

05. Juli 2022 um 09:47

Die 20. “Kieler Open Source und Linux Tage” (Kielux) finden am 16. und 17. September im Kitz, dem Kieler Innovations- und Technologiezentrum statt. Die Veranstalterplanen eine hybride Konferenz mit Live-Übertragungen.

Bereits zum 20. Mal finden in diesem Jahr die Kieler Open Source und Linux Tage statt. Der Call for Papers und Presentations dafür ist bereits gestartet und läuft noch bis Ende Juli. Ob der Vor-Ort-Anteil auch wirklich stattfinden kann hänge vom Pandemieverlauf und den Mitte September geltenden Hygieneregeln ab, teilen die Veranstalter mit.

Zusätzlich zur eigentlichen „Kielux“ sei auch wieder ein „Linux Presentation Day“ am 15. September geplant, der alle ansprechen soll, die das freie Betriebssystem erst einmal kennenlernen möchten.

Auf der Webseite der Kielux sind die Links zur Einreichung von Vorträgen und die Termine genannt.

Der Beitrag Jubiläum: 20. Kieler Open Source und Linux Tage erschien zuerst auf Linux-Magazin.

Hessen: Datenschutzbeauftragter erlaubt Zoom-Einsatz unter Auflagen

20. Juni 2022 um 10:21

An hessischen Hochschulen darf Zoom weiter genutzt werden, sofern die Maßnahmen des Hessischen Modells umgesetzt werden.

Lehrveranstaltungen an hessischen Universitäten können weiterhin über die Videokonferenzsoftware Zoom abgehalten werden, sofern die Vorgaben des sogenannten Hessischen Modells eingehalten werden. Das teilte die Behörde des Landesdatenschutzbeauftragten Alexander Roßnagel mit.

Aufgrund der Coronapandemie hatte die hessische Datenschutzbehörde den Einsatz von Videokonferenzsystemen wie Zoom geduldet, auch wenn diese nicht den datenschutzrechtlichen Anforderungen entsprachen. Diese Duldung lief im Juli 2021 aus. Hintergrund ist eine Entscheidung des Europäischen Gerichtshofes (EuGH). Nach diesem Schrems II genannten Urteil dürfen personenbezogene Daten nur in die USA übertragen werden, wenn sichergestellt wird, dass US-Behörden nicht auf sie zugreifen können. Dies könne ein US-Anbieter wie Zoom jedoch nicht garantieren, erklärte die hessische Datenschutzbehörde.

Die Universität Kassel hat nun mit Unterstützung der Datenschutzbehörde das Hessische Modell entwickelt, mit dem die personenbezogenen Daten der Teilnehmer an einer Zoom-Konferenz entsprechend geschützt werden sollen. Damit soll die Videokonferenzsoftware weiterhin genutzt werden können.

Für den Betrieb der Server des Videokonferenzsystems muss daher ein von Zoom unabhängiger Auftragsverarbeiter mit Servern und Sitz in der EU beauftragt werden. Alle Inhalte müssen Ende-zu-Ende-verschlüsselte werden und die Software darf ausschließlich für Lehrveranstaltungen genutzt werden. So müssen beispielsweise Einzelgespräche über andere Systeme abgewickelt werden.

Ein solches “alternatives datenschutzkonformes Videokonferenzsystem für andere Zwecke oder für Lehrpersonen, die nicht mit Zoom arbeiten wollen”, muss ohnehin von der Universität angeboten werden. Zudem müssten die Lehrkräfte sowie die Studenten ausführlich über “weiterführende, unterstützende Maßnahmen zum Schutz der informationellen Selbstbestimmung” informiert werden. Insgesamt müsse ein Abfluss von personenbezogenen Daten der Studenten in die USA verhindert werden, heißt es in der Zusammenfassung des Hessischen Modells.

“Das Hessische Modell zeigt, dass es sich lohnt, konstruktiv nach Wegen zu suchen, wie durch Technikgestaltung die Vorteile bestimmter IT-Systeme genutzt werden können, ohne dass der Datenschutz auf der Strecke bleibt. Insofern ist dieses Modell auch für andere Videokonferenzsysteme ein Vorbild und kann methodisch auf viele Probleme des Datenschutzes übertragen werden”, sagte Roßnagel.

Der Beitrag Hessen: Datenschutzbeauftragter erlaubt Zoom-Einsatz unter Auflagen erschien zuerst auf Linux-Magazin.

Videos der SambaXP online

14. Juni 2022 um 08:17

Die SambaXP ist die Hausmesse für Entwickler und Nutzer von Samba. Von der Anfang Juni veranstalteten Konferenz sind jetzt Videos der Vorträge online.

Im Youtube-Kanal der SambaXP finden sich insgesamt 11 Vortragsvideos der Konferenz. Die Themen reichen von Updates für Samba in Containern und Kubernetes über Authentifizierungs-Updates für Samba bis hin zum Erfahrungsbericht SMB 3.1.1 und Linux.

In einem Vortrag geht es zudem um die Hintergründe einer Attacke vom vergangenen November, die Microsoft und Samba zeitgleich veranlasste, eine Sicherheitsversion herauszugeben. Es sei damals nicht viel mehr gesagt worden als: patchen, patchen, patchen.

Slides zu den Vorträgen finden sich in den Archiven der Konferenz.

Der Beitrag Videos der SambaXP online erschien zuerst auf Linux-Magazin.

KIXCONF findet im Juni online statt

02. Juni 2022 um 08:10

Dem IT- und Service Management mit der Open Source Software KIX widmet sich die zweitägige Anwenderkonferenz KIXCONF, die am 22. Und 23. Juni als Online-Event stattfindet.

Veranstalter der KIXCONF ist die Chemnitzer cape IT GmbH, die auch Hersteller und Dienstleister für die Open Source Service Software KIX ist. Aus den Plänen, die Konferenz als Präsenzveranstaltung abzuhalten habe man wegen diverser Corona-Nachwehen abgesehen, teilt der Veranstalter mit.

Das Programm bleibe auch als Online-Format gleich: Am ersten Tag referierten KIX-Anwender über ihre Erfahrungen, die Product Owner berichten dabei über erfolgreich umgesetzte Weiterentwicklungen und die Zukunft der Software.

Die Teilnahme am ersten Tag sowie an zwei Workshops sei kostenfrei, teilt capeIT mit. Weitere Informationen zu den verschiedenen Vorträgen und Workshops gibt es auf der Webseite der Konferenz.

Der Beitrag KIXCONF findet im Juni online statt erschien zuerst auf Linux-Magazin.

Studie: Ciscos Webex telefoniert stummgeschaltet nach Hause

19. April 2022 um 07:32

Bei einer Untersuchung der Stummschaltefunktion von Videokonferenzsoftware fiel Ciscos Webex negativ auf.

Wer sich in einer Videokonferenzsoftware stumm schaltet, verhindert damit nicht unbedingt die Aufnahme oder Analyse von Audiodaten. Das haben Forscher der Loyola-Universität Chicago sowie der Universität Wisconsin-Madison herausgefunden. Untersucht wurden die Software von Zoom, Slack, Microsoft Teams/Skype, Google Meet, Cisco Webex, Bluejeans, Whereby, Gotomeeting, Jitsi und Discord.

Dabei untersuchten die Forscher, ob die Anwendungen auch im stummgeschalteten Zustand Daten aus dem Mikrofon auslesen und ob diese über das Internet an den jeweiligen Anbieter der Software übertragen werden. Dabei fanden sie heraus, dass alle Anwendungen gelegentlich Audiodaten erhoben, auch wenn sie stummgeschaltet waren. Nur bei den Webclients, die über den Browser aufgerufen wurden, war dies nicht der Fall, da sie die Stummschaltefunktion von WebRTC im Browser nutzen.

“Wir stellen fest, dass die Richtlinien für den Umgang mit Mikrofondaten bei den Videokonferenzsoftwares uneinheitlich sind – einige überwachen den Mikrofoneingang während der Stummschaltung kontinuierlich, andere tun dies in regelmäßigen Abständen”, heißt es in der Studie (PDF). Dabei fiel den Forschern vor allem Cisco Webex negativ auf, das sowohl unter Windows als auch unter MacOS in regelmäßigen Abständen Statistiken über die Audiodaten an ihre Telemetrieserver schickt – unabhängig davon, ob die Stummschaltetaste gedrückt wurde oder nicht.

Dabei werden zwar nicht die Audiodaten selbst übertragen, sondern Informationen über die Hintergrundlautstärke. Aus den übermittelten Telemetriedaten ist es jedoch möglich, Rückschlüsse auf die ursprünglichen Audiosignale zu ziehen. So konnten die Forscher mit einem Proof-of-Concept-Klassifikator mit einer über 80-prozentigen Genauigkeit eine von sechs häufigen Hintergrundaktivitäten wie Kochen, Putzen oder Tippen identifizieren.

Das Verhalten stimme nicht mit der Datenschutzrichtlinie von Cisco überein, in der betont wird, dass die Software “weder den Datenverkehr noch den Inhalt von Meetings überwacht oder stört”. Die Studie kritisiert zudem die Sicherheit von Ciscos Videokonferenzsoftware: “Nur in Webex waren wir in der Lage, Klartext abzufangen, unmittelbar bevor er an die Windows-Netzwerksocket-API weitergeleitet wird”, heißt es in der Studie. Alle anderen Anwendungen hätten die Daten verschlüsselt übertragen.

“Wir haben Cisco bereits im Januar über unsere Erkenntnisse informiert und sie haben versprochen, dies zu untersuchen”, sagte Kassem Fawaz, Assistenzprofessor für Elektro- und Computertechnik an der Universität Wisconsin-Madison, dem Onlinemagazin The Register. “Webex verwendet Mikrofon-Telemetriedaten, um einem Benutzer mitzuteilen, dass er stummgeschaltet ist, was als ‘Stummschaltungsbenachrichtigung’ bezeichnet wird”, erklärte Cisco. Es handle sich daher nicht um eine Schwachstelle in Webex.

Erst Anfang des Jahres entdeckten Wissenschaftler, dass die Videokonferenzsoftware Zoom unter MacOS auch nach einem beendeten Call weiter auf das Mikrofon zugriff. Dass der Einsatz von Videokonferenzsystemen aus den USA rechtlich schwierig ist, hatten die Datenschutzbeauftragten bereits im Jahr 2020 festgehalten. Bei einer kürzlich durchgeführten Prüfung der Videokonferenzsoftware an der Freien Universität Berlin (FU) durch die Berliner Datenschutzbeauftragten fiel Cisco Webex entsprechend durch. Der Einsatz der Software sei rechtswidrig, so das Fazit der Datenschutzbehörde.

Der Beitrag Studie: Ciscos Webex telefoniert stummgeschaltet nach Hause erschien zuerst auf Linux-Magazin.

Jitsi Meet Docker: WelcomePage anpassen

Von: dominion
11. Juni 2021 um 15:24

Im Tutorial Jitsi Meet Docker Instanz anpassen habe ich bereits gezeigt, wie man die Einstellungen der eigenen Docker Jitsi Meet Instanz anpassen kann. Nun zeige ich euch noch, wie die WelcomePage das Aussehen von...

by adminForge.

In eigener Sache: JitsiCloud

Von: dominion
10. Januar 2021 um 10:24

DSGVO-konforme Videokonferenz- und Speicherlösung Ich biete für Schulen, Gemeinden, Vereine, Unternehmen und Organisationen JitsiCloud zu einem attraktiven monatlichen Pauschalpreis an. Was ist JitsiCloud? Die JitsiCloud setzt sich aus Jitsi Meet und Nextcloud zusammen und...

by adminForge.

Jitsi Meet Docker Instanz anpassen

Von: dominion
24. April 2020 um 13:48

Im vorherigen Tutorial habe ich gezeigt, wie die adminForge Jitsi Meet Instanz via Docker/Docker-Compose aufgesetzt wurde. Tutorial: Eigene Jitsi Meet Instanz installieren (Docker / Ubuntu / Nginx) Was ist Jitsi Meet?: Videokonferenzen mit Jitsi...

by adminForge.

Quelle

❌
❌