Schlagwort-Archive: heise.de

Copyright-Klage gegen Zeitzonen-Datenbank

Die unter anderem von allen Unix- und Linux-Versionen als Referenz für Zeitzoneninformationen genutzte Datenbank ist nicht mehr verfügbar. Wie das britische Nachrichtenportal The Register berichtet, wurde der FTP-Server, den die amerikanischen National Institutes of Health (NIH) betrieben haben, vom Netz genommen. Grund dafür soll eine Copyright-Klage gegen Arthur David Olson und Paul Eggert sein, die die so genannte Olson-Datenbank und den Server seit vielen Jahren pflegen.

Die bislang als Public Domain frei verfügbare tz-Datenbank enthält historische Informationen über die lokale Zeit für ausgewählte Orte der Erde (Beispiel: „Europe/Berlin“). Sie wird unter anderem von allen Unix- und Linux-Versionen sowie etlichen Websites und Java-Anwendungen verwendet. Die Zeitzonendaten sind normalerweise statisch gespeichert und werden über System-Updates aktualisiert. Linux legt die Daten im Verzeichnis /usr/share/zoneinfo ab.

Zeitzonen ändern sich erstaunlich oft: Der Java-Entwickler Stephen Colebourne schätzt in seinem Blog, dass es bis zu hundert Änderungen pro Jahr gibt. Bislang veröffentlichte Olson etwa im Monatstakt neue Versionen der tz-Datenbank. Mittlerweile hat Robert Elz vorübergehend ein Backup der Datenbank verfügbar gemacht.

Geklagt hat Astrolabe, Hersteller von Astrologie-Software, in Boston. Astrolabe bietet unter anderem das Programm ACS Atlas an, das aus den beiden Teilen „ACS International Atlas“ und „ACS American Atlas“ besteht. Mit der Software lässt sich die historische Zeit an jedem beliebigen Ort zwecks Erstellung von Horoskopen bestimmen.

Die Olson-Datenbank, so die Klage, verwende unrechtmäßig Material aus dem ACS Atlas, an dem Astrolabe das Copyright halte. Tatsächlich erwähnt ein Kommentar in der Zeitzonen-Datenbank das Buch „The American Atlas“ von ACS Publications als zuverlässige Quelle für Zeitzoneninformationen für die USA vor 1991. Wie die Copyright-Verhältnisse tatsächlich liegen und ob die Zeitzoneninformationen überhaupt durch das Urheberrecht geschützt sind, muss nun das Gericht entscheiden.

Den originalen Artikel mit allen Links von Oliver Diedrich, findet ihr unter Copyright-Klage gegen Zeitzonen-Datenbank von heise.de.

Freundliche Grüße
das OSS-Haus Team

Linux wird nicht ausgebootet

Mit Secure Boot, das Microsoft mit Windows 8 forcieren will, sollen Rechner künftig nur noch signierte Betriebssysteme starten. Was auf den ersten Blick wie ein Kampagne gegen Linux und Open Source aussieht, ist in Wahrheit ein ausgeklügeltes Sicherheitssystem, von dem Server-Distributionen profitieren können.

PCs und Notebooks könnten sich künftig weigern, Linux oder andere Betriebssysteme zu starten, wenn zuvor Windows 8 installiert wurde. Dafür wäre die Secure-Boot-Funktion der UEFI-Firmware künftiger Rechner verantwortlich, die Microsoft ab Windows 8 unterstützen will. Ist Secure Boot aktiviert, startet die UEFI-Firmware nur noch signierte Betriebssysteme, deren Signaturschlüssel vom Mainboard- oder UEFI-Hersteller in einer speziellen Datenbank hinterlegt sind. So sieht es die am 6. April 2011 veröffentlichte UEFI-Spezifikation 2.3.1 vor, die derzeit unter den Chip- und Mainboard-Herstellern diskutiert wird – denn schon die nächste Generation Chipsätze soll die neue Spezifikation unterstützen.

Mit Secure Boot wollen Microsoft und die Hardware-Hersteller, so auch die offiziellen Stellungnahmen, Angreifern das Leben schwer machen: Die Sicherheitsmechanismen eines Betriebssystems mögen noch so ausgefeilt sein – wird zuvor etwa über einen Bootsektor-Virus ein Schadprogramm in den Speicher geladen, kann es die Schutzmechanismen nach Belieben aushebeln. Bootet der Rechner nur noch signierte Bootloader, Betriebssysteme und Hypervisors von einigen wenigen vertrauenswürdigen Quellen, können Angreifer das Betriebssystem nicht mehr manipulieren und den Schutzmechanismen des Betriebssystems nicht mehr zuvor kommen. Außerdem sieht der UEFI-Standard vor, dass die Firmware den Key für eine verschlüsselte Festplattenpartition an das signierte Betriebssystem weiterreicht.

Um Linux auf einem solchen Rechner anstandslos starten zu können, müssten Bootloader und Kernel signiert sein und der öffentliche Signaturschlüssel in der Datenbank der Mainboard-Firmware vorliegen. Die Hersteller dürften durchaus damit einverstanden sein, die Schlüssel der großen und der kommerziellen Distributoren wie Red Hat, Oracle und Suse aufzunehmen. Damit kämen die Enterprise-Distributionen dieser Hersteller in den Genuss der gleichen Manipulationssicherheit wie Windows 8.

Ob sie aber auch freien Projekten wie Debian und Fedora und den unzähligen kleinen Linux-Distributionen genügend vertrauen, um deren Schlüssel standardmäßig auf den Mainboards zu hinterlegen, ist fraglich. Schließlich genügt einem Angreifer Zugang zu einem einzigen Signaturschlüssel, um seine Schadprogramme korrekt signieren und unbemerkt in den Bootvorgang einfügen zu können.

Die UEFI-Spezifikation sieht allerdings auch vor, unsignierte Software zu starten: So wird unter Punkt 27.7.3.3 bei Schritt 5 explizit die Möglichkeit beschrieben, den Benutzer nach einem (zuvor festzulegenden) Passwort zu fragen, falls die UEFI-Firmware auf ein nicht signiertes Boot-Image stößt. So lässt sich verhindern, dass sich ein Angreifer unbemerkt in den Bootvorgang einklinkt – ohne dem (autorisierten) Benutzer Beschränkungen bei der Software aufzuerlegen.

Damit das Passwort nicht bei jedem Start erneut abgefragt wird, müssten die Linux-Distributoren den Bootloader und ihren Kernel dennoch signieren – und den Signaturschlüssel mit Hilfe einer UEFI-Applikation in der Schlüsseldatenbank des Mainboards nachtragen.

Technisch ist dies eine durchaus lösbare Aufgabe, die Umsetzung bereitet jedoch rechtliche Probleme: So wird der heutige Standard-Bootloader Grub 2 unter der GPLv3-Lizenz veröffentlicht, die vorschreibt, dass der Signaturschlüssel ebenfalls offengelegt werden müsste. Damit würde man Angreifern jedoch Tür und Tor öffnen, da sie sich dann auf jedem Rechner mit Grub-Installation wiederum unbemerkt in den Bootprozess jedes installierten Betriebssystems einklinken könnten. Die Installation von Linux und Grub könnte sich letztlich sogar als Sicherheitsrisiko entpuppen.

Den originalen Artikel mit allen Links von Mirko Dölle, findet ihr unter Die Woche: Linux wird nicht ausgebootet von heise – Open Source.

Freundliche Grüße
das OSS-Haus Team

Linux-Community fürchtet Windows-„Verdongelung“

Windows 8 bringt unter anderem die neue Funktion Secure Boot, die auf PC-Mainboards und Notebooks mit den jüngsten UEFI-Versionen ab 2.3.1 den Start unsignierter Bootloader blockiert. Ist Secure Boot aktiv, lässt sich also auch kein Linux starten, sofern es nicht die nötigen Signaturen mitbringt und vom Besitzer oder Administrator des jeweiligen Computers explizit für das Gerät erlaubt wurde.

Das ist gerade die Intention von Secure Boot: Das System soll vor Zugriffen mit anderen Betriebssystemen geschützt werden, damit also nicht etwa ein Dieb Daten ausspäht, indem er einen gestohlenen PC beispielsweise von einem USB-Stick bootet. Zudem soll Secure Boot auch Manipulationen am Code des Betriebssystems erkennen, um Infektion mit Schadsoftware zu enttarnen. Secure Boot verlangt, dass sämtliche Firmware und Software, die für den Boot-Prozess nötig ist – also außer Bootloadern etwa auch UEFI-Treiber für Onboard-Komponenten und Erweiterungskarten – Signaturen vertrauenswürdiger Certificate Auhthorities (Trusted CAs) trägt.

Der Linux-Entwickler Matthew Garrett befürchtet jedoch, dass UEFI Secure Boot auch die Installation von Linux auf damit geschützten Systemen verhindert. Er sieht einerseits Schwierigkeiten darin, dass möglicherweise nicht alle PC-Hersteller überhaupt bereit sind, Schlüssel für signierte Linux-Software in der UEFI-Firmware ihrer jeweiligen Produkte zu hinterlegen. Andererseits erwartet er Probleme schon beim Bootloader Grub 2: Dieser steht unter der Lizenz GPLv3, die ausdrücklich verlange, dass solche Schlüssel veröffentlicht werden. Vermutlich müsste aber auch der Linux-Kernel signiert werden, was für individuell kompilierte Kernel großen Zusatzaufwand erfordere.

Unter Verweis auf eine Präsentation (PowerPoint-pptx-Datei), die auf der Windows-Entwicklerkonferenz Build gezeigt wurde, geht Garrett davon aus, dass alle Client-Systeme – Desktop-PCs, Notebooks, Tablets – mit Windows-8-Logo UEFI Secure Boot unterstützen müssen und diese Funktion auch aktiviert sein muss. Zumindest die zweite Vorgabe ergibt sich aus dieser Präsentation aber nicht zwingend: Es könnte ja auch vorgesehen sein, dass die Funktion ausdrücklich vom Besitzer oder Administrator des Rechners aktiviert werden muss. Außerdem dürften die meisten UEFI-tauglichen Systeme wie bisher zumindest optional ein Compatibility Support Module (CSM) laden können, das den Start von Betriebssystemen im BIOS-Modus ermöglicht, schon weil das eine zwingende Voraussetzung für die Installation von 32-Bit-Windows ist: Im UEFI-Modus lassen sich nur die x64-Versionen von Windows seit Vista installieren. Microsoft nennt Systeme, die alternativ im UEFI- oder BIOS-Modus starten können, Klasse-2-(Class-2-)Systeme; solche ohne CSM gehören zur Klasse 3.

Allerdings ist nicht klar, unter welchen Bedingungen sich mehrere Betriebssysteme, von denen manche im UEFI- und andere im BIOS-Modus starten, auf dieselbe Festplatte installieren lassen – das dürfte die Parallelinstallation bei Notebooks, Tablets und anderen Geräten mit nur einem Massenspeicher erschweren. Zumindest die angekündigten Windows-8-Mobilcomputer mit ARM-SoCs wird es überhaupt nur in Klasse-3-Versionen geben. Bei diesen Geräten will Microsoft die Sicherheit der Plattform auch dadurch steigern, dass unter der Metro-Oberfläche ausschließlich die Installation geprüfter und signierter Apps aus dem App Store vorgesehen ist.

Eine weitere Schwierigkeit für den Start alternativer Betriebssysteme könnte sich aus der Vollverschlüsselung von Festplatten per TCG Opal oder BitLocker ergeben, sofern der Bootloader Funktionen mitbringen muss, um selbstverschlüsselnden Laufwerken (Self-Encrypting Drives/SEDs) einen Schlüssel zu übergeben.

Den originalen Artikel mit allen Links von Christof Windeck, findet ihr unter Linux-Community fürchtet Windows-„Verdongelung“ von heise.de.

Die englische Version des Artikels findet ihr unter Community fears Windows 8 Secure Boot will block Linux.

Freundliche Grüße
das OSS-Haus Team

Bord-Unterhaltungssysteme der Boeing 787 mit Android

Bei dem Bord-Unterhaltungssystem von Boeings neuen Dreamliner-787-Flugzeugen, das Passagiere während des Fluges mit Filmen und Musik versorgt, soll offenbar das Betriebssystem Android zum Einsatz kommen. Dies berichten australische Medien. Demnach sollen die zentralen Android-Server sowie die Displays in den Sitzen von den Firmen Panasonic und Thales gefertigt werden.

Boeing will die Geräte in allen Klassen einsetzen. In die Rückenlehnen der Sitze der Economy Class sollen Touchscreens eingesetzt werden. In der Business und First Class, wo der Vordermann weit weg sitzt, denke man über Gestensteuerung nach. Davon existieren allerdings erst Protoypen. Die Größe der Displays soll je nach Flugzeugklasse von 7 bis 17 Zoll reichen.

Mit Boeings Entscheidung pro Android sind andere Bewerber wie Apple oder Microsoft aus dem Rennen. Anders als bei anderen Flugzeugtypen der Firma Boeing, bei denen die Fluggesellschaften die Bestuhlung und das In-Flight-Entertainment-System selbst wählen können, dürfen Kunden der 787 nur bestimmte, von Boeing ausgewählte Zulieferfirmen wählen. Damit will der Flugzeugbauer die Produktionsabläufe optimieren und Kosten einsparen.

Bei der Fertigung des Dreamliners hatten die Boeing-Ingenieure zuletzt mit vielen Pannen, Pech und vor allem Nieten zu kämpfen. Nach einigen Verzögerungen soll das erste Flugzeug nun am 26. September an die japanische Fluggesellschaft All Nippon Airways (ANA) übergeben werden.

Den originalen Artikel mit Links von Boi Feddern, findet ihr unter Bord-Unterhaltungssysteme der Boeing 787 mit Android von heise.de.

Freundliche Grüße
das OSS-Haus Team

Android vermehrt Ziel von Schadsoftware

Das Handy-Betriebssystem Android von Google wird nach Einschätzung von Sicherheitsexperten mit zunehmender Popularität vermehrt zur Zielscheibe von Viren-Attacken. Bereits 500 Varianten von Schadsoftware aus 56 Familien seien für die beliebte Plattform in Umlauf, so der Virenanalyst Kaspersky . Vor genau einem Jahr sei der erste Schädling aufgetreten. Heute zielten bereits über 20 Prozent aller mobilen Malware speziell auf Android. Grund dafür sei die wachsende Popularität der Plattform, die auch auf Tablet-Computern wie dem Samsung Galaxy Tab oder Motorolas Xoom eingesetzt wird.

Am meisten verbreitet seien heute sogenannte SMS-Trojaner, die sich per Kurznachricht einen Zugang zum Handy verschaffen und dann Schad- oder Spionagesoftware einschleusen oder teure SMS-Dienste anwählen, so der Virenanalyst Christian Funk. Erstmals seien auch Trojaner gefunden worden, die speziell auf das mobile Banking zielen und versuchen, sensible Bankdaten der Handy-Nutzer abzugreifen.

Hersteller von Antivirensoftware warnen seit geraumer Zeit vor der potenziellen Gefahr von Angriffen auf mobile Geräte. Über Jahre hatten sich die Funde allerdings auf wenige Schädlinge beschränkt, die sich zudem allenfalls mit aktiver Hilfe des Nutzer Zugriff auf ein Handy verschaffen konnten. (dpa)

Den originalen Artikel mit Links von Wolfgang Möhle, findet ihr unter Android vermehrt Ziel von Schadsoftware von heise.de.

Freundliche Grüße
das OSS-Haus Team