Schlagwort-Archive: Betriebssystem

Heimkehr des Linux-Kernels

Linus Torvalds hat sein offizielles Git-Repository auf Kernel.org wieder in Betrieb genommen.

Aus Anlass des Release Candidate 9 für die kommende Linux-Version 3.1 hat der Kernel-Chef sein Repository unter der alten Adresse auf Git.kernel.org aktualisiert. Gleichzeitig erfuhr auch das in der Zwischenzeit verwendete Github-Konto ein Update.

Der Release Candidate bringt laut Torvalds nur kleine Verbesserungen: Fixes gab es beispielsweise im DRM-Code für Radeon- und i915-Grafikchips, für Netzwerktreiber sowie für das verteilte Dateisystem Ceph. Auch der Sparc-Port erfuhr kleine Änderungen.

Daneben besitzt Linus nun einen stärkeren GPG-Schlüssel, der bereits von mehr Parteien unterschrieben ist als es der alte je war. Damit nimmt er an der Sicherheitsstruktur für Kernel.org teil, die H. Peter Anvin und die anderen Admins nach dem Server-Einbruch aufbauen. Wer den neuen Schlüssel importiert, kann mit dem Kommando „git verify-tag“ die Signatur der getaggten Kernel-Releases prüfen. Bezugsquelle und Fingerprint des Schlüssels nennt Torvalds in seiner Mitteilung an die Kernel-Mailingliste.

Den originalen Artikel mit Links von Mathias Huber, findet ihr unter Heimkehr des Linux-Kernels von Linux-Magazin.

Freundliche Grüße
das OSS-Haus Team

Kroah-Hartman stellt Kernel 3.0.4 als Patch auf die Mailingliste

Die anhaltenden Störungen bei Kernel.org als angestammtem Download-Refugium für den Linux-Kernel lassen Maintainer Greg Kroah-Hartman neue Wege gehen.

Kroah-Hartman veröffentlicht das fällige Update schlicht als Patch. Wie er auf der Mailingliste schreibt kann es der Nutzer auf die Quelltext von Kernel 3.0.0 anwenden, ohne sich um die seit Erscheinen der 3.0 erschienenen drei vorangegangenen Patches kümmern zu müssen.

Der Kernel-Hacker hat sich für diese Methode entschieden, weil er immer mehr Anfragen bekomme, wie es denn nun weitergehe mit den Kernel-Updates. Fragen zum Vorgehen und zur Sicherheit des schlicht über die Mailingliste erhaltenen Codes nimmt Kroah-Hartman entgegen.

Den originalen Artikel mit Link von Ulrich Bantle, findet ihr unter Kroah-Hartman stellt Kernel 3.0.4 als Patch auf die Mailingliste von Linux-Magazin.

Freundliche Grüße
das OSS-Haus Team

Vorwurf: Windows-8-Feature behindert Linux

Microsoft bemüht sich um Klarheit um Secure Boot, das andere Betriebssysteme wie Linux auf PCs verhindern soll.

In einem Beitrag für den Blog „Building Windows 8“ erklärt der Microsoft-Mann Tony Mangefeste, wie das Feature Secure Boot den PC gegen so genannte Boot Loader Attacks schützen soll. Das ist Schadsoftware, die einen PC infiziert, bevor das Betriebssystem gestartet ist.

Secure Boot ist ein Feature des Unified Extensible Firmware Interface (UEFI), einer neuen Boot-Umgebung, die den traditionellen BIOS-Prozess ablösen soll. Und Windows 8 wird den Modus Secure Boot in UEFI nutzen, um das Betriebssystem schon vor dem Hochfahren vor Gefahren zu schützen. Der Linux-Entwickler Matthew Garret von Red Hat, kritisiert jedoch, dass die Sicherheitszertifikate, die Microsoft dafür verwendet, lediglich Microsoft-Betriebssysteme unterstützten werden.

„Ein System, das nur mit OEM- (Original Equipment Manufacturer) und Microsoft-Keys ausgeliefert wird, wird kein Linux booten“, so Garret in einem Blog. Das könnte sich jedoch auch auf die Installation neuer Hardware-Komponenten auswirken, erklärt Garret, denn auch diese müssten ebenfalls gegenüber der EFI-Umgebung authentifiziert werden. Eine neue Grafikkarte ohne entsprechendem Key würde von der Firmware keinen Grafik-Support bekommen.

Mangefeste bemüht sich jetzt um Schadensbegrenzung. Anwender hätten die Möglichkeit, Secure Boot zu deaktivieren und die Zertifikate zu verwalten, wenn sie andere Systeme im Dual-Boot-Modus betreiben oder die Hardware-Konfiguration verändern wollen. Microsoft unterstütze demnach die OEMs dabei, flexibel zu entscheiden, wer die Sicherheitszertifikate verwaltet und auch wie diese Zertifikate importiert und verwaltet werden. „Wir glauben, dass es wichtig ist, den OEMs diese Flexibilität zu geben und auch unseren Anwendern die Entscheidung zu überlassen, wie sie ihre Systeme verwalten wollen“, so Mangefeste.

Demnach könnten Nutzer, die „ältere Betriebssysteme“ verwenden wollen, Secure Boot deaktivieren oder auch die Zertifikate modifizieren. Microsoft würde also nicht festlegen, dass auch andere Betriebssysteme Secure Boot verwenden müssen.

Diese Einlassung bringt jedoch wiederum Garret auf den Plan, der diese Schilderung korrekt aber missverständlich nennt. Weil Microsoft mit den OEMs zusammenarbeite, könne Microsoft von den Herstellern verlangen, dass sie Zertifikate für Windows mitliefern, was andere Anbieter von Betriebssystemen wie etwa Red Hat nicht könnten. Damit wäre ein Nutzer nicht in der Lage, einen Secure Boot auf einem Nicht-Microsoft-System durchzuführen: „Die Wahrheit ist, dass Microsoft die Kontrolle vom Endnutzer wegnimmt und sie in die Hände von Microsoft und den Hardware-Herstellern legt.“ Es würde dadurch schwerer, ein anderes Betriebssystem als Windows zu verwenden. „UEFI Secure Boot ist ein wertvolles und wichtiges Feature, das Microsoft missbraucht, um eine bessere Kontrolle über den Markt zu gewinnen.

Den originalen Artikel mit Links von Martin Schindler, findet ihr unter Vorwurf: Windows-8-Feature behindert Linux von silicon.de.

Freundliche Grüße
das OSS-Haus Team

Android: Oracle will 1,1 Milliarden Dollar

Oracle hat den wegen angeblicher Patent- und Urheberrechtsverletzungen geforderten Schadensersatz deutlich nach unten korrigiert.

Laut der jüngsten Forderung müsste Google wegen angeblicher Patent- und Urheberrechtsverletzungen nur noch 1,16 Milliarden Dollar an Oracle bezahlen. Ursprünglich hatte Oracle wegen der vorgeblichen widerrechtlichen Nutzung von Java-Code im Mobilbetriebssystem Android zwischen 2,1 und bis zu 6,1 Milliarden Dollar gefordert.

Die neue Summe geht aus einem Schreiben an das betreffende US-Bezirksgericht hervor und stammt von dem Oracle-Anwalt Steven Holztman. Demnach fordere Oracle 960 Millionen Dollar wegen der Verletzung von Urheberrechten und weitere 202 Millionen Dollar wegen Patentverletzungen.

Bereits im Sommer hatte der zuständige Richter William Alsup Oarcles Forderungen als zu hoch zurückgewiesen. Damals hatte er aber auch dem Kläger die Möglichkeit eingeräumt, einen neuen Betrag zu nennen.

Google weist die Vorwürfe zurück, wissentlich Java-Urheberrechte und -Patente in Android verletzt zu haben. Im Oktober wird der Rechtsstreit weiter verhandelt.

Den originalen Artikel mit Links von Martin Schindler, findet ihr unter Android: Oracle will 1,1 Milliarden Dollar von silicon.de.

Freundliche Grüße
das OSS-Haus Team

Linux wird nicht ausgebootet

Mit Secure Boot, das Microsoft mit Windows 8 forcieren will, sollen Rechner künftig nur noch signierte Betriebssysteme starten. Was auf den ersten Blick wie ein Kampagne gegen Linux und Open Source aussieht, ist in Wahrheit ein ausgeklügeltes Sicherheitssystem, von dem Server-Distributionen profitieren können.

PCs und Notebooks könnten sich künftig weigern, Linux oder andere Betriebssysteme zu starten, wenn zuvor Windows 8 installiert wurde. Dafür wäre die Secure-Boot-Funktion der UEFI-Firmware künftiger Rechner verantwortlich, die Microsoft ab Windows 8 unterstützen will. Ist Secure Boot aktiviert, startet die UEFI-Firmware nur noch signierte Betriebssysteme, deren Signaturschlüssel vom Mainboard- oder UEFI-Hersteller in einer speziellen Datenbank hinterlegt sind. So sieht es die am 6. April 2011 veröffentlichte UEFI-Spezifikation 2.3.1 vor, die derzeit unter den Chip- und Mainboard-Herstellern diskutiert wird – denn schon die nächste Generation Chipsätze soll die neue Spezifikation unterstützen.

Mit Secure Boot wollen Microsoft und die Hardware-Hersteller, so auch die offiziellen Stellungnahmen, Angreifern das Leben schwer machen: Die Sicherheitsmechanismen eines Betriebssystems mögen noch so ausgefeilt sein – wird zuvor etwa über einen Bootsektor-Virus ein Schadprogramm in den Speicher geladen, kann es die Schutzmechanismen nach Belieben aushebeln. Bootet der Rechner nur noch signierte Bootloader, Betriebssysteme und Hypervisors von einigen wenigen vertrauenswürdigen Quellen, können Angreifer das Betriebssystem nicht mehr manipulieren und den Schutzmechanismen des Betriebssystems nicht mehr zuvor kommen. Außerdem sieht der UEFI-Standard vor, dass die Firmware den Key für eine verschlüsselte Festplattenpartition an das signierte Betriebssystem weiterreicht.

Um Linux auf einem solchen Rechner anstandslos starten zu können, müssten Bootloader und Kernel signiert sein und der öffentliche Signaturschlüssel in der Datenbank der Mainboard-Firmware vorliegen. Die Hersteller dürften durchaus damit einverstanden sein, die Schlüssel der großen und der kommerziellen Distributoren wie Red Hat, Oracle und Suse aufzunehmen. Damit kämen die Enterprise-Distributionen dieser Hersteller in den Genuss der gleichen Manipulationssicherheit wie Windows 8.

Ob sie aber auch freien Projekten wie Debian und Fedora und den unzähligen kleinen Linux-Distributionen genügend vertrauen, um deren Schlüssel standardmäßig auf den Mainboards zu hinterlegen, ist fraglich. Schließlich genügt einem Angreifer Zugang zu einem einzigen Signaturschlüssel, um seine Schadprogramme korrekt signieren und unbemerkt in den Bootvorgang einfügen zu können.

Die UEFI-Spezifikation sieht allerdings auch vor, unsignierte Software zu starten: So wird unter Punkt 27.7.3.3 bei Schritt 5 explizit die Möglichkeit beschrieben, den Benutzer nach einem (zuvor festzulegenden) Passwort zu fragen, falls die UEFI-Firmware auf ein nicht signiertes Boot-Image stößt. So lässt sich verhindern, dass sich ein Angreifer unbemerkt in den Bootvorgang einklinkt – ohne dem (autorisierten) Benutzer Beschränkungen bei der Software aufzuerlegen.

Damit das Passwort nicht bei jedem Start erneut abgefragt wird, müssten die Linux-Distributoren den Bootloader und ihren Kernel dennoch signieren – und den Signaturschlüssel mit Hilfe einer UEFI-Applikation in der Schlüsseldatenbank des Mainboards nachtragen.

Technisch ist dies eine durchaus lösbare Aufgabe, die Umsetzung bereitet jedoch rechtliche Probleme: So wird der heutige Standard-Bootloader Grub 2 unter der GPLv3-Lizenz veröffentlicht, die vorschreibt, dass der Signaturschlüssel ebenfalls offengelegt werden müsste. Damit würde man Angreifern jedoch Tür und Tor öffnen, da sie sich dann auf jedem Rechner mit Grub-Installation wiederum unbemerkt in den Bootprozess jedes installierten Betriebssystems einklinken könnten. Die Installation von Linux und Grub könnte sich letztlich sogar als Sicherheitsrisiko entpuppen.

Den originalen Artikel mit allen Links von Mirko Dölle, findet ihr unter Die Woche: Linux wird nicht ausgebootet von heise – Open Source.

Freundliche Grüße
das OSS-Haus Team