Am heutigen Freitag, dem 25. Mai tritt nicht nur die DSGVO in Kraft sondern ich auch meinen Urlaub an. Das bedeutet leider drei Wochen keine News. Das fällt mir nicht leicht, da das Blog eine stetige Aufwärtstendenz zeigt, aber es geht nicht anders. Ich reise leicht (nur mit Phone und Tablet) und am Urlaubsort macht sich Internet sowieso rar. Ich werde, falls es am vor Ort Linux-Aktivitäten und ausreichend Internet gibt, vielleicht einen kleinen Bericht liefern. Mal schaun.
Kleine Umfrage
Damit hier nicht komplett Grabesruhe herrscht, habe ich eine kleine Umfrage aufgesetzt, um euch nach neun Monaten LinuxNews zu euren Eindrücken zu befragen. Mit täglichen News geht es dann ab dem 19. Juni weiter.
[yop_poll id=“1″]
Die Ergebnisse gibt es nach dem Urlaub. Das Plugin, das die Umfrage erstellt ist ein wenig grottig, was die Formatierung angeht, aber es ist DSVGO-konform *sigh*. In der Kürze der Zeit fand ich nichts anderes.
Die Berichterstattung um die Lücken in E-Mail-Clients, die Angreifer nutzen können, um verschlüsselte E-Mails zu entschlüsseln und zu entwenden, rief viel Kritik bei Entwicklern und Sicherheitsexperten hervor. So hatte sich Werner Koch, der Erfinder von GNU Privacy Guard (GnuPG) auf der GnuPG-Mailingliste dahingehend geäußert, in Sachen OpenPGP sei die Panikmache vor allem der EFF übertrieben. Jetzt haben sich auch die PGP-Entwickler in einer gemeinsamen Erklärung zur Ehrenrettung ihrer Software entschieden. Es äußern sich Andy Yen, der Gründer von ProtonMail, Phillip Zimmermann als Erfinder von Pretty Good Privacy (PGP), Patrick Brunschwig als Entwickler von Enigmail sowie der Mailvelope-Gründer Thomas Oberndörfer.
Unnötig aufgebauscht
Die Kritik richtet sich auch hier gegen die Berichterstattung der Electronic Frontier Foundation (EFF), die ein Papier der Entdecker der Lücken aufgegriffen hatte und damit ein weltweites Medienecho bis hin zur Tagesschau ausgelöst hatten. Die PGP-Entwickler richten sich gegen einige Aussagen in der Presseberichterstattung und stellen klar:
[su_quote style=“modern-light“ cite=“PGP-Entwickler“ url=“https://protonmail.com/blog/pgp-efail-statement/“]»Diese Aussagen sind höchst irreführend und potenziell gefährlich. PGP ist nicht defekt. Die von EFail identifizierten Schwachstellen sind keine Fehler des OpenPGP-Protokolls selbst, sondern Fehler in bestimmten Implementierungen von PGP, darunter in Apple Mail, Mozilla Thunderbird und Microsoft Outlook. Viele andere häufig verwendete Software, die auf PGP basiert, sind von der EFail-Schwachstelle in keiner Weise betroffen, wie die Forscher selbst in ihrem Beitrag betonen. Als offener Standard kann jeder PGP implementiere und es überrascht nicht, dass einige Implementierungen Sicherheitslücken aufweisen. Dies bedeutet jedoch nicht, dass PGP selbst defekt ist.«[/su_quote]
Empfehlung für Anwender
Die Empfehlung der Verfasser der Stellungnahme geht dahin, stets aktuelle Versionen der jeweiligen Software zu verwenden. So wurde beispielsweise der E-Mail-Client Thunderbird bereits aktualisiert und größtenteils gegen die Lücken immunisiert. Die Entwickler bitten darum, dass jeder auch seine Kommunikationspartner informiert und zur Aktualisierung der Software animiert.
Software, die auf PGP, GnuPG, Mailvelope und ProtonMail basiert, war nie gegen EFAIL anfällig. Enigmail und GPGtools waren verwundbar, jedoch ließ sich ein Angriff relativ leicht verhindern. Bei der Verwendung von Enigmail muss Version 2.05 verwendet werden und nur einfaches HTML ohne Nachladen externer Inhalte oder noch besser, reine Textansicht in Thunderbird. Bei GPGTools muss ebenfalls das Nachladen externer Inhalte deaktiviert werden.
Empfehlung der EFF zu rigide
Die EFF empfahl Benutzern, PGP-Plugins zu deaktivieren oder die Verwendung von PGP ganz einzustellen. Das sei so ähnlich wie zu sagen: »Einige Schlösser könnten aufgebrochen werden, deshalb müssen wir alle Türen entfernen.« Das sei besonders gefährlich, da es Personen gefährden kann, die sich aus Sicherheitsgründen auf PGP-Verschlüsselung verlassen, so die Entwickler. Somit ist nach EFAIL die Benutzung von E-Mail genauso (un)-sicher wie eh und je.
Eine der besten Möglichkeiten, konform zur anstehenden europäischen Datenschutz-Grundverordnung (DSGVO) zu sein, ist es, Dienste auf der eigenen Plattform anzubieten und somit eine gesamte Ebene von externen Unternehmen, die Daten sammeln könnten, von vornherein auszuschließen. Das sieht auch Nextcloud so und bietet in diesem Zusammenhang ab heute zwei DSGVO-Apps sowie ein DSGVO-Handbuch und eine Checkliste an, die auf rund 20 Seiten unter anderem Dinge wie das konforme Verhalten bei Nutzeranfragen nach erhobenen privaten Daten erläutern. Die Apps und die DSGVO-Checkliste werden für die Öffentlichkeit freigegeben, während die Kunden Zugriff auf das komplette Compliance-Kit inklusive DSVGO-Administrationshandbuch haben.
Zwei Apps für mehr DSGVO-Konformität
Die Apps können im Nextcloud App Store gefunden werden, während die GDPR-Checkliste von der Website heruntergeladen werden kann. Bei den Apps handelt es sich um Data Request und User Account Deletion. Während Data Request dem Anwender erlaubt, seine von Nextcloud gespeicherten Daten einzusehen oder zu löschen, ermöglicht User Account Deletion die vollständige Löschung eines Nextcloud-Kontos.
Partnerschaft mit Red Hat
Darüber hinaus, und auch hier im gleichen Konzext, erklärt Nextcloud eine Partnerschaft mit Red Hat, mit der integrierte OpenShift- sowie Storage- Lösungen für Nextcloud-Kunden aus einer Hand erwachsen sollen. Die Erfahrung von Red Hat im Bereich File-Storage und Hosting und Nextcloud als Kollaborations- und File-Syncing-Plattform sollen Unternehmen dabei helfen, ihre Daten wieder unter eigene Kontrolle zu bekommen. Die Partnerschaft bietet Nextcloud-Kunden hybride und private Cloud-, Container-Management- und Speichertechnologien und darüber hinaus eine Full-Stack-Plattform, die die Benutzerfreundlichkeit und Produktivität der Public Cloud mit den Kontroll- und Regel-Funktionen kombiniert, die Unternehmen heute benötigen.
Die Anfang des Monats entdeckten acht neuen Sicherheitslücken in Intel-CPUs, die unter dem Sammelbegriff Spectre-NG eingeführt wurden, wurden von Intel damals bestätigt. Bei den von mehreren Forscherteams entdeckten Lücken schätzt der Hersteller die Hälfte als »hochriskant« und den Rest mit der Gefährlichkeitsstufe »mittel« ein. Jetzt wurden zwei der Lücken offiziell mit Spectre 3a und 4 bezeichnet. Die US-Sicherheitsbehörde US-Cert bezeichnet sie offiziell als Side-Channel Vulnerability Variants 3a und 4, nachdem Intel sie am Pfingstmontag öffentlich gemacht hatte. Die neuen Verwundbarkeiten ähneln denen von Spectre, indem sie auch durch Lücken in der spekulativen Ausführung ausgenutzt werden können.
Nicht nur Intel
Bei Variante 3a handelt es sich um die als CVE-2018-3640 kategorisierte und in ihrer Gefählichkeit als »moderate« eingestufte »Rogue System Register Read«-Lücke (RSRE). Variante 4, auch »Speculative Store Bypass« (SSB) genannt, trägt die Kennung CVE-2018-3639 und ist als »important« gekennzeichnet. Intel kündigte Updates an und erklärte, die beiden Lücken beträfen wiederum fast alle CPUs des Herstellers aus den letzten zehn Jahren. Damit nicht genug, sind auch Prozessoren von AMD, ARM und IBMs Power8, Power9 und System Z betroffen. Intel hat inzwischen eine Liste seiner betroffenen Prozessoren veröffentlicht. Auch AMD und ARM haben Stellung bezogen.
Microcode-Updates in der Erprobung
Wann die Updates verfügbar sind, hat Intel bisher ebenso wenig verraten wie die anderen Hersteller. Es ist lediglich bekannt, dass Microcode-Updates in Beta-Versionen vorliegen, die in den nächsten Monaten stabil verfügbar werden sollen. Die Linux-Kernel-Entwickler haben bereits gestern Patches für Kernel 4.17 eingereicht. So reichte Thomas Gleixner Patches gegen SSB ein. Über Nacht folgten Patches für die PowerPC-Plattform. Die Patches sollen nun auf die weiteren unterstützten Kernel-Versionen rückportiert werden. Allerdings wird eine weitestgehende Entschärfung der Lücken auch diesmal nicht ohne neue Microcodes gehen.
Die Bestellfrist für das Librem-5-Dev-Kit, ein Entwickler-Bausatz ohne Gehäuse und Akku, endet am 31.Mai. Das teilte Hersteller Purism auf seiner Webseite mit. Daraus geht auch hervor, dass dies eine einmalige Auflage ist, die nicht wiederholt wird. Nach dem Bausatz wird als nächstes das fertige Librem 5 Linux-Smartphone ausgeliefert. Purism hat die Spezifikationen für das Librem 5 Entwickler-Kit fertiggestellt und wird in der ersten Juniwoche 2018 alle Einzelteile bestellen und fertigen lassen. Der Preis für den Bausatz beläuft sich auf 399 US-Dollar.
Leicht verspätet
War die Auslieferung ursprünglich bereits für den Monat Juni vorgesehen, entschloss sich Purism, im Sinne der Kunden beim Prozessor auf die ersten Exemplare des i.MX-8M System On Module (SOM) zu warten anstatt den bereits länger verfügbaren Vorgänger i.MX-6 auszuliefern. Der neue Liefertermin für die Bausätze ist, je nach Eingang der Bestellung, August oder September.
Noch Änderungen möglich
Der Bausatz, dessen Komponenten noch Änderungen unterliegen können, besteht aus Mainboard, Touchscreen, Netzteil, einem Kamera-Modul sowie Kabeln und Sensoren. Neben dem i.MX-8M-SOM sind mindestens 2 GByte LPDDR4 RAM (das Endprodukt wird 4 GByte enthalten) und 16 GByte eMMC-Speicher mit im Paket. Der 5.7-Zoll große Touchscreen verfügt über eine Auflösung von 720 × 1440 Punkten. Zwei M.2-Karten für 3G und 4G Netzwerke sowie WLAN und Bluetooth sorgen für Kontakt mit der Außenwelt.
Ohne Gehäuse und Akku
Das Mainboard bringt alle notwendigen Motoren, Sensoren und Slots für USB-3, microSD und SIM-Karte, 3,5mm Stereo-Audio-Jack sowie Mini-HDMI für einen externen Monitor mit. Wie die Notebooks von Purism verfügt auch dieses Board über Hardware-Killswitches für WLAN, Bluetooth, Kamera und Mikrofon. Im Unterschied zum fertigen Librem 5, an dessen Liefertermin im Januar 2019 Purism festhält, enthält der Entwickler-Bausatz kein Gehäuse und keinen Akku, der dabei nicht benötigt wird.
Am 18. Mai stellte Mozilla eine neue Version des E-Mail-Clients Thunderbird bereit. Thunderbird 52.8.0 beseitigt mehrere Sicherheitslücken, unter anderem auch in Bezug auf das Auslesen verschlüsselter E-Mails durch EFAIL. Ein Bug, der erst in der nächsten Version behoben werden wird, ist das weiterhin mögliche Darstellen mehrerer Teile einer Mail in einem einzigen HTML-Kontext. Damit besteht weiterhin die Gefahr einer direkten Exfiltration, bei der sich ein Angreifer durch Manipulation recht einfach den Inhalt verschlüsselter Mails übersenden lassen kann.
Direkte Exfiltration
Um einen Exfiltrations-Rückkanal zu erstellen, benötigt der Angreifer zunächst Zugriff auf die verschlüsselten E-Mails, etwa durch Abhören des Netzwerkverkehrs, durch Eindringen in E-Mail-Konten, E-Mail-Server oder Client-Computer. Der Angreifer manipuliert eine verschlüsselte E-Mail in einer bestimmten Weise und sendet diese geänderte verschlüsselte E-Mail an das Opfer. Der E-Mail-Client des Opfers entschlüsselt die E-Mail und lädt die manipulativ eingefügten externen Inhalte, wodurch der Klartext an den Angreifer weitergegeben wird.
Externe Inhalte derzeit meiden
Das funktioniert bei Thunderbird aber nur, wenn der Anwender selbst die Funktion zum Nachladen externer Inhalte aktiviert hat. Die ist bei Thunderbird von Hause aus deaktiviert. So rät Mozilla dann auch, falls verschlüsselte Mails nachfragen, ob sie externe Inhalte nachladen sollen, dies zurzeit unbedingt zu verneinen. In jedem Fall sollte möglichst zeitnah Thunderbird 52.8.0 installiert werden. Bis zur nächsten Thunderbird-Version 52.8.1 sollten Anwender auf alle Fälle Vorsicht walten lassen, falls Mail-Verschlüsselung per PGP oder S/MIME verwendet wird. Wann mit Entwarnung durch Thunderbird 52.8.1 zu rechnen ist, hat Mozilla noch nicht erklärt. Standardmäßig wäre das nächste Release erst am 26.6.
Eine Beta-Version des am 12. Juni erwarteten KDE Plasma 5.13 steht zum Testen bereit. Das Plasma-Team hat vier Monate an dieser neuen Ausgabe gearbeitet, die eine Fülle an Verbesserungen bietet. Die optisch auffälligsten Änderungen betreffen Plasma Browser Integration, die neu gestalteten Systemeinstellungen, den neue Login-Screen und den Software-Installer Discover.
Plasma Browser Integration
Unter Plasma Browser Integration sind eine Reihe von neuen Funktionen zusammengefasst, die Firefox, Chrome und Chromium-basierte Browser mit dem Plasma-Desktop interagieren lassen. Downloads werden nun wie bei der Übertragung von Dateien mit Dolphin im Plasma-Benachrichtigungs-Popup angezeigt. Das Mediensteuerungs-Plasmoid kann im Browser laufende Videos und Musik stumm schalten und überspringen. Mit KDE Connect können Links an Smartphones gesendet werden. Browser-Tabs können direkt mit KRunner über die Tastenkombination Alt-Space geöffnet werden. Um die Plasma Browser Integration zu aktivieren muss lediglich das entsprechende Plugin im verwendeten Browser installiert werden.
Überarbeitung der Systemeinstellungen
Die KDE-Systemeinstellungen werden bereits seit einiger Zeit optisch und organisatorisch neu gestaltet. Die KDE Visual Design Group hat viele der Werkzeuge in den Systemeinstellungen unter die Lupe genommen und ist dabei, ein neues Designkonzept zu implementieren. Dabei verleiht das Kirigami-Framework von KDE den Seiten ihr neues Aussehen. Bereits umgesetzt ist das Re-Design bei den Themen-Werkzeugen, bestehend aus den Icon-, Desktop-Themen- und Cursor-Themen-Seiten. Die Splashscreen-Seite kann nun neue Splashscreens aus dem KDE Store herunterladen, während die Schriftartenseite jetzt eine Vorschau der Subpixel-Anti-Aliasing-Einstellungen anzeigt. Die Seite für Mauseinstellungen wurde neu geschrieben und bietet Libinput-Unterstützung unter X und Wayland an.
Sperr- und Anmeldebildschirm
Die Sperr- und Anmeldebildschirme haben ebenfalls ein neues Design und passen standardmäßig das Hintergrundbild der aktuellen Plasma-Version an. Der Sperrbildschirm verfügt nun über einen glatten Übergang von Fade zu Blur, um die Bedienelemente anzuzeigen, sodass er wie ein Bildschirmschoner verwendet werden kann. Verantwortlich für den Blur-Effekt, der auch im Dash-Menü den durchscheinenden Hintergrund verwischt, ist der Compositor KWin, der in Sachen Blur und Desktopwechsel eine Menge dazugelernt hat. Für Wayland unterstützt KWin mittels des XDG-Desktop-Portal-KDE erstmals Screencasts und das Teilen des Desktop.
Discover, KDEs Software- und Addon-Installer, hat mehr Funktionen und zeigt ebenfalls Verbesserungen im Design und in der Handhabung. Auch hier trägt das Kirigami-Framework dazu bei, die Darstellung von Listen und Kategorieseiten zu verbessern. Diese verwenden nun Toolbars anstelle von großen Bannerbildern. Listen können sortiert werden und verwenden das neue Kirigami-Cards-Widget. Das Bewertungssystem mit Sternen wird nun auf Listen und App-Seiten angezeigt. Anwendungssymbole verwenden das für den Desktop voreingestellte Icon-Theme. Alle AppStream-Metadaten werden nun auf der Anwendungsseite angezeigt. Die Arbeit an den neuen App-Formaten Flatpak und Snap wurde fortgesetzt. Die Snap-Unterstützung ermöglicht nun die Kontrolle über die Berechtigungen von Anwendungen und es ist möglich, Snaps zu installieren, die den klassischen Modus verwenden. Die Flatpak-Unterstützung bietet die Möglichkeit, das bevorzugte Repository auszuwählen, aus dem installiert werden soll, wenn mehr als eines eingerichtet ist.
Weitere Verbesserungen
Als technische Vorschau bringt Plasma 5.13 die Integration des GTK-Global-Menu mit. Der Kalender bietet ein neues Plugin für astronomische Events. KRunner bietet weitrere Plugins. So kann per F2 künftig unter anderem auch auf Konsolenprofile zugegriffen werden. Plasma Vault hat ein neues Backend für CryFS erhalten. Zudem können offene Vaults per KDE Connect geschlossen werden und Offline-Vaults werden unterstützt. Bei der Multi-Monitor-Unterstützung erscheint beim Anschluss eines neuen Monitors nun ein Dialog zur Konfiguration.
KDE Plasma 5.13 wird am 12. Juni veröffentlicht und erhält bis zum September insgesamt fünf Aktualisierungen, bis es am 9. Oktober von Plasma 5.14 abgelöst wird.
Purism, das Unternehmen, das sicherheitsorientierte Hard- und Software entwickelt und produziert gab jetzt eine Partnerschaft mit dem Open-Source-Unternehmen Nitrokey, Hersteller von OpenPGP-Sicherheitstoken und Hardware-Sicherheitsmodulen (HSMs) bekannt, um Purekey, Purisms eigenen OpenPGP-Sicherheitstoken zu entwickeln. Nitrokey-Token bieten kryptografische Funktionen zum Schutz von E-Mails, Dateien, Festplatten, Serverzertifikaten und Online-Konten. Die Ankündigung folgt nur wenige Wochen nach der Bekanntgabe der Partnerschaft mit Kryptografie-Pionier und GnuPG-Erfinder Werner Koch.
Einzeln oder mit Notebook
Purism-Kunden sollen einen Purekey einzeln oder zusätzlich bei einer Laptop-Bestellung erwerben können. Für Aufträge zusammen mit einem Laptop kann Purism den Purekey werksseitig so vorkonfigurieren, dass er als einfach zu bedienende Festplattenentschlüsselung fungiert und mit vorverschlüsselten Notebooks ausgeliefert werden kann. Kunden können ihren Purekey beim Booten einstecken und ihr Laufwerk automatisch entschlüsseln, ohne eine lange Passphrase eingeben zu müssen. Die werksseitig generierten Schlüssel können vom Kunden jederzeit durch eigene Schlüssel ersetzt werden.
Purekey integriert mit TPM und Heads
Purekey soll auch ein wichtiger Bestandteil des abgesicherten Boot-Vorgangs von Purism sein. Purism wird Purekey eng in seine nicht manipulierbare Boot-Software integrieren, sodass Kunden Manipulationen an ihrer Hardware bereits ab Werk erkennen können.
Unternehmenskunden verwenden seit langem Sicherheitstoken für die einfache und sichere Schlüsselverwaltung – von der E-Mail-Verschlüsselung bis hin zur Code-Signierung und Multi-Faktor-Authentifizierung. Mit Purekey sollen Privatkunden und IT-Abteilungen eine integrierte Lösung für Festplatten- und E-Mail-Verschlüsselung, Authentifizierung und einen manipulationssicheren Boot-Vorgang erwerben können, die einfach zu bedienen ist.
Am 25. Mai soll openSUSE Leap 15 offiziell freigegeben werden. Die Distribution steht im bereits seit einem Vierteljahrhundert rotierenden SUSE-Produktuniversum in der Mitte zwischen dem Rolling-Release Tumbleweed und der kommerziellen Ausgabe SUSE Linux Enterprise Server (SLES) und speist sich aus beiden. Im Februar hatte ich bereits auf einen Blick auf einen Snapshot im Betas-Status geworfen. Heute geht es eher um ein herausragendes Merkmal des neuen openSUSE Leap – die transaktionalen Updates.
Neue Herausforderungen
In den letzten Jahren trugen die Weiterentwicklung des Linux-Kernels und die Entstehung neuer Paketformate und Container dazu bei, dass sich vielerorts die Art und Weise, wie Software und deren Konglomerierung zu Distributionen aktualisiert wird, veränderte. Im Internet der Dinge (IoT), wo Linux auf eingebetteten Geräten läuft, sind Updates einerseits enorm wichtig, andererseits aber sehr schwierig. Sie müssen zentralisiert und automatisiert durchgeführt und kontrolliert werden. Geht dabei etwas schief, wäre bei herkömmlichen Methoden der Aktualisierung guter Rat teuer.
Deswegen kommen dort und anderswo sogenannte atomare Updates, auch als transaktionale Updates bezeichnet, zum Einsatz. Dabei wird ein Update gebündelt, nicht ungleich einem Image vollzogen. Geht dabei etwas schief, wird das gesamte Update zurückgerollt und der Zustand vor dem Update wieder hergestellt. So aktualisiert etwa Canonical seine Snaps, die bereits in vielen Geräten des IoT werkeln.
OSTree
Auch die Container-Variante von Fedora, Atomic-Workstation, trägt diese Art der Aktualisierung bereits im Namen. Gerade arbeiten die Fedora-Entwickler daran, die Workstation-Ausgabe der Distribution im Rahmen des Projekts Silverblue transaktional zu gestalten. Den Update-Mechanismen liegt die Bibliothek libostree zugrunde, die zusammen mit einigen Kommandozeilentools als OSTree bezeichnet wird. Das Paketformat Flatpak bedient sich dieses Modells ebenso wie die gerade in Version 3.4 erschienene Endless OS. Dazu wurde bei Endless eigens ein Updater geschrieben.
Btrfs + Snapper + Zypper
OpenSuse verfügt durch die Verwendung von Btrfs als Dateisystem und per Snapper kontrollierte Snapshots des Systems bereits seit längerem über ein ähnliches System, allerdings entkoppelt vom Aktualisierungsmechanismus der Distribution. Zu festgelegten Zeiten oder vor einem umfangreichen Update wird mit Snapper ein Snapshot erstellt, der eingespielt wird, falls das Update schiefgeht. Mit openSUSE Leap 15 wird dieses System nun direkt mit den Aktualisierungen verknüpft. Aus dem auf Tumbleweed basierenden Projekt Kubic, das der Entwicklung von Container-Technologien dient, stammt die Entwicklung, die künftig den Anwendern von openSUSE Leap alternativ transaktionale Updates bescheren wird.
Dabei werden Aktualisierungen entweder in einer einzigen Transaktion oder gar nicht auf das System angewendet. Dies geschieht ohne Beeinflussung des laufenden Systems. Wenn ein Update fehlschlägt oder wenn das erfolgreiche Update als inkompatibel oder anderweitig fehlerhaft angesehen wird, kann es verworfen werden, um das System sofort wieder in seinen vorherigen Betriebszustand zu versetzen.
Unberührt
Transaktions-Updates berühren nie direkt das laufende System. Anstatt das aktuelle System zu patchen, erstellt das Transaktions-Update-Tool einen neuen Snapshot. Alle für das Update erforderlichen Operationen werden vorerst nur in diesem Snapshot ausgeführt. Am Ende des Updates wird bei erfolgreicher Aktualisierung ein abgeschlossener Snapshot als neuer Standard markiert. Diese Updates werden dann beim Neustart des Systems wirksam. Wenn die Aktualisierung nicht erfolgreich war, wird der Snapshot verworfen und keine Änderung am System vorgenommen.
Wer die neue Technik bereits jetzt testen möchte, wählt bei der Installation von openSUSE Leap 15 im Tab »User Interface« die Option »Transactional Server«. Das Image der Beta-Version ist rund 3.6 GByte groß. Viel Spaß beim Testen.
Nachdem vor einigen Tagen Malware im Snap Store von Ubuntu in zwei Apps entdeckt und entfernt worden war, äußert sich nun Mark Shuttleworth ausführlich zu Crypto-Mining-Apps und zur Sicherheit des Snap Stores. Shuttleworth stellt eingangs klar, dass es im Snap Store keine Regel gibt, die Crypto-Mining-Apps verbietet und diese Apps auch weder juristisch noch moralisch verwerflich seien. Allerdings müsse der Anwender informiert werden, dass die entsprechende App im Hintergrund CPU-Ressourcen des Nutzer-PCs verwendet, um Cryptowährungen und somit Gewinn für den Autor der App zu generieren.
Nicolas Tomb, der Autor der beiden Snaps, die jeweils ein Spiel und den Code zum Crypto-Mining enthielten, hatte an keiner Stelle erwähnt, dass die App im Hintergrund Crypto-Mining betreibt. Im Gegenteil hatte er diese Funktionalität verschleiert und mit einer proprietären Lizenz den Einblick in den Code verhindert. Die entsprechenden Apps werden jetzt von vertrauenswürdiger Seite neu verpackt und wieder in den Snap Store eingestellt.
Sicherheit gewährleisten
Eine Herausforderung beim Betrieb eines Software-Repositories ist, sicherzustellen, dass die veröffentlichte Software tatsächlich nur das tut, was sie soll. In den klassischen Ubuntu-Repositories basiert die Software auf einer vertrauenswürdigen Infrastruktur, wo Pakete per Entwickler-Schlüssel abgesichert sind. Snaps ermöglichen es Publishern, ihre Software über eine Vielzahl von Linux-Distributionen schneller an Benutzer zu verteilen, jedoch bei verminderter Kontrolle. Die meisten App-Stores bieten ein automatisches Review auf technische Funktionalität und zusätzlich eine manuelle Durchsicht auf verdächtige Komponenten. Laut Shuttleworth ist beides auch beim Ubuntu Snap Store der Fall.
Weiterhin meint Shuttleworth:
Selbst dann ist es aufgrund der inhärenten Komplexität der Software unmöglich, dass ein großes Repository Software erst dann akzeptiert, wenn jede einzelne Datei im Detail geprüft wurde. Das gilt unabhängig davon, ob Quellcode verfügbar ist oder nicht, denn keine Institution kann es sich leisten, jeden Tag Hunderttausende von eingehenden Quelltextzeilen zu überprüfen. Aus diesem Grund basiert das erfolgreichste Vertrauensmodell auf der Herkunft der Software, nicht auf ihrem Inhalt. Mit anderen Worten, vertrauen Sie dem Herausgeber und nicht der Anwendung selbst.
Keine Ausreden zulässig
Der letzte Satz drückt aber genau das aus, was anscheinend im Snap Store bisher nicht angewendet wird. Shuttleworth verspricht im weiteren Text, die Sicherheit schrittweise zu erhöhen. Eine der Maßnahmen dazu soll die Verifizierung von vertrauenswürdigen Publishern sein. Snaps aus solchen Quellen sollen dann speziell als vertrauenswürdig ausgewiesen werden. Es bleibt abzuwarten, wie sich die Situation hier verbessert. Im Endeffekt kann sich aber Shuttleworh nicht reinwaschen, indem er sagt, es sei wegen der Komplexität nicht möglich, einen sicheren Snap Store zu betreiben. Wenn das nicht möglich ist, muss das Angebot so eingeschränkt werden, dass die Sicherheit gewährleistet werden kann oder der Laden sollte schließen.
