Kategorie: Linux

Firefox 60 kommt mit Enterprise-Policies

Firefox Logo 57+

Firefox bringt von Haus aus keine Unterstützung für die Konfiguration via Gruppenrichtlinien mit. Aus diesem Grund berichtete ich kürzlich über zwei gängige Möglichkeiten, wie sich Firefox-Einstellungen per Gruppenrichtlinien steuern lassen.

Jetzt kommt Bewegung in das Thema, denn Mozilla möchte den Browser fit für Unternehmen machen. Im nächsten Extended-Support-Release (ESR) soll Firefox eine Policy-Engine enthalten. Ursprünglich war die nächste ESR-Version für Firefox 59 geplant, wurde mittlerweile aber auf Version 60 verschoben, um mehr Zeit für die Implementierung der Enterprise-Policies zu haben. Der geplante Releasetermin ist der 8. Mai 2018.

Durch die Policy-Engine soll die Verteilung von Unternehmensrichtlinien ermöglicht werden. Da Mozilla eine universelle Lösung für alle Betriebssysteme entwickeln möchte, wird vorerst keine direkte Unterstützung für Windows-Gruppenrichtlinien geboten. Vielmehr werden die Einstellungen mit Hilfe einer JSON-Datei verteilt, die dann durch die Richtlinien-Engine ausgewertet und angewendet werden. Im Mozilla-Wiki existiert bereits ein Artikel mit weiteren Details zur Umsetzung und Konfiguration. Darauf aufbauend sollen später dann auch zusätzliche Funktionen von Betriebssystemen unterstützt werden, also z.B. Windows-Gruppenrichtlinien.

Ich bin gespannt wie Mozilla das Thema weiter ausbaut. Anfangs wird man sich auf wenige Funktionen beschränken. Beispielsweise soll es möglich sein, den Zugriff auf die Konfigurationsseiten „about:config“ oder „about:addons“ zu unterbinden oder Funktionalitäten wie Pocket und Screenshots zu deaktivieren. Bei der weiteren Entwicklung der Policy-Engine möchte Mozilla die Möglichkeiten deutlich ausbauen. Ebenso möchte man bei der Weiterentwicklung auch das Feedback von Nutzern mit einfließen lassen. Obwohl man das Thema Jahre verschlafen hat, scheint man mit der vorläufigen Planung auf einem guten Weg zu sein um auch bei Unternehmen wieder Fuß fassen zu können.

Firefox 58 – Die Neuerungen

Firefox Logo 57+

Am 23. Januar 2018 hat Mozilla Firefox 58 veröffentlicht. Nach dem wohl größten Update (Firefox 57) in der Geschichte von Firefox geht es der Hersteller in der neuen Version etwas langsamer an. Dennoch bringt Version 58 einige Neuerungen und Performanceverbesserungen.

  • optimiertes Caching für JavaScript sorgt für höhere Performance
  • schnelleres Rendern von Grafiken und Webseiten unter Windows durch Off-Main-Thread Painting (OMTP)
  • Benutzerprofile die mit Firefox 58 erzeugt werden, sind mit älteren Browserversionen nicht mehr kompatibel
  • Screenshot-Funktion bietet nun die Möglichkeit Screenshots direkt in die Zwischenablage zu kopieren und funktioniert nun auch im Private-Modus
  • Unterstützung für Autofill bei Kreditkarteninformationen
  • WebVR-Unterstützung für Apple macOS
  • Warnung wenn Webseiten Symantec-Zertifikate einsetzen (ab Firefox 60 werden keine Symantec-Zertifikate mehr akzeptiert, die vor dem 01.06.2016 ausgestellt worden sind, ab Firefox 63 überhaupt keine Symantec-Zertifikate mehr, dies betrifft auch Zertifikate von Thawte, VeriSign, Equifax, GeoTrust sowie RapidSSL, da diese zu Symantec gehören)
  • Root-Zertifikate von StartCom und WoSign entfernt
  • viele weitere kleine Verbesserungen, eine komplette Übersicht aller Änderungen und Neuerungen findet ihr wie immer bei Sören Hentzschel
  • Behebung diverser Sicherheitslücken

Download Firefox 58
Download Firefox 58 (64 Bit)
Portable Firefox @ Horst Scheuer

Meltdown und Spectre: CPU-Sicherheitslücken betreffen alle Hersteller

Meltdown und Spectre

In der Zwischenzeit gibt es viele neue Informationen über die gestern berichtete Sicherheitslücke in Intel-CPUs. Demnach handelt es sich insgesamt um zwei Sicherheitslücken mit insgesamt drei Angriffsvektoren, wovon eine Lücke auch alle anderen CPU-Hersteller betrifft. Dadurch verschärft sich die ganze Situation enorm, denn neben x86-Plattformen sind damit auch Smartphones, Tablets und viele weitere Geräte und Betriebssysteme betroffen.

Google hat im Project Zero Blog detaillierte Informationen zu den Sicherheitslücken veröffentlicht. Die zwei Lücken hängen eng zusammen und wurden auf den Namen Meltdown und Spectre getauft, wobei es bei Spectre zwei Angriffsvektoren gibt. Des Weiteren wurde vor wenigen Stunden eine Webseite mit genauen Beschreibungen und umfangreicher Dokumentation zu den Problemen online gestellt: https://meltdownattack.com

Meltdown betrifft nach jetzigem Kenntnisstand nur Intel-CPUs. Laut Google sollen mit Ausnahme von Itanium und vor 2013 produzierte Atom-CPUs alle ausgelieferten CPUs seit 1995 betroffen sein. Meltdown erlaubt unprivilegierten Prozessen den Speicherbereich von anderen Prozessen auszulesen. Damit kann unter anderem auf geschützte Daten im Speicher des Betriebssystem-Kernels oder auf sensible Informationen wie Passwörter zugegriffen werden. Diese Sicherheitslücke kann durch KPTI (Kernel Page Table Isolation) „behoben“ werden.

Spectre hingegen betrifft praktisch alle CPUs. Neben Intel sind auch sämtliche AMD-Prozessoren und CPUs der ARM-Architektur betroffen. Spectre ähnelt Meltdown, hat aber einen anderen Fokus. Hier wird der auszulesende Prozess selbst manipuliert, sodass im Speicher liegende Daten wie zum Beispiel Passwörter ausgelesen werden können. Auf diese Weise könnte ein im Browser ausgeführtes JavaScript auf den kompletten Speicher zugreifen und somit Passwörter und Nutzerdaten von anderen Webseiten auslesen. Laut Google sei Spectre schwerer auszunutzen, allerdings auch schwerer zu beheben. An zentraler Stelle kann das Problem nur durch Änderungen in der CPU-Hardware behoben werden. Alternativ müssten alle Anwendungen einzeln angepasst werden. Chrome 64 soll als eine der ersten Anwendung entsprechende Gegenmaßnahmen enthalten und für eine striktere Trennung der offenen Tabs in verschiedene Prozesse sorgen.

Sicherheitslücke in Intel-CPUs betrifft alle Betriebssysteme

Intel Logo
Mittlerweile wurde bekannt, dass es sich um zwei Sicherheitslückenn handelt und auch Prozessoren von anderen Herstellern betroffen sind. Weitere Infos findet ihr in meinem Artikel „Meltdown und Spectre: CPU-Sicherheitslücken betreffen alle Hersteller“.

Offensichtlich steckt in fast allen Intel-CPUs eine ernste Sicherheitslücke, die alle Betriebssysteme betrifft. Zur Behebung müssen die Betriebssysteme auf Kernel-Ebene angepasst werden, was sich aber negativ auf die Leistung auswirken kann. Prozessoren von AMD sind wohl nicht betroffen.

Noch ist es zu früh, um genaue Details über die Sicherheitslücke zu erfahren. Am morgigen 4. Januar 2018 sollen ausführliche Informationen veröffentlicht werden. Es sieht aber so aus, als ob alle Intel-CPUs mit der Virtualization Technology VT-x betroffen sind. Ob es sich um einen Designfehler oder um einen Hardware-Bug handelt ist indes noch nicht geklärt. Gleichzeitig meldete sich ein AMD-Entwickler in einer Mailing-Liste und schreibt, dass AMD-Prozessoren nicht von dem Fehler betroffen sind, da diese keine spekulative Ausführung unterstützen.

Die Sicherheitslücke ist unter allen Betriebssystemen vorhanden und ermöglicht Nutzersoftware den Zugriff auf geschützte Daten im Speicher des Betriebssystem-Kernels. Die Lücke ist augenscheinlich schon länger bekannt, da die großen Betriebssystem-Hersteller schon seit Wochen an einem Workaround arbeiten. Hierfür müssen Änderungen im Betriebssystem-Kernel durchgeführt werden. Kurz gesagt besteht die Lösung wohl darin, den Speicher des Kernels komplett von anderen Prozessen zu trennen. Dadurch entstehen zwei komplett getrennte Adressräume, was im Umkehrschluss mehr Arbeit für den Prozessor bedeutet. Je nach verwendeter Software sollen die Leistungseinbußen bis zu 35 Prozent betragen. Bei ComputerBase gibt es erste Benchmarks unter Linux und Windows, welche auf einen realen Performanceverlust von 5-10% hindeuten. Eine komplette Behebung der Sicherheitslücke ohne Software-Workaround ist wohl nur durch Hardware-Änderungen zu erreichen.

Wie gravierend die Sicherheitslücke wohl sein muss, sieht man am Beispiel von Linux. Die neue Funktion KPTI (Kernel Page Table Isolation) erforderte massive Kernel-Umbaumaßnahmen im Bereich der virtuellen Speicherverwaltung. Neben dem neuen Kernel 4.15 sollen auch die beiden stabilen Kernel-Versionen 4.14 und 4.9 mit diesem Feature ausgestattet werden.

Microsoft arbeitet auch an entsprechenden Patches und hat die Insider-Builds wohl schon seit November 2017 damit ausgestattet.

Darüber hinaus werden alle Microsoft Azure Virtual Machines am 10. Januar 2018 einem wichtigen Update unterzogen. Auch Amazon hat bereits eine Info an seine Kunden versendet und kündigt für den 05. Januar ein wichtiges Sicherheitsupdate an.

Von Apple gibt es bezüglich macOS noch keine Stellungnahme.

Firefox 57 – Die Neuerungen

Firefox Logo 57+

Gestern wurde Firefox in der lang ersehnten Version 57 veröffentlicht. Laut Mozilla ist es wohl der größte und zeitgleich auch wichtigste Release in der Geschichte des Browsers. Für Firefox 57 (Quantum) wurden insgesamt sieben Millionen Zeilen Code überarbeitet, was rund 75 % der Codebasis entspricht.

Die größte Änderung neben dem überarbeiteten Design dürfte die Next-Generation-Web-Engine „Serve“ sein, womit Firefox deutlich schneller und stabiler sein soll. Nachfolgend versuche ich alle weiteren Neuerungen aufzulisten.

  • Neue Web-Engine „Servo“, Firefox soll damit laut Mozilla zweimal so schnell wie vor einem Jahr sein und zeitgleich 30 Prozent weniger Speicher verbrauchen
  • Unterstützung von alten XUL-Erweiterungen eingestellt, ab Firefox 57 werden nur noch WebExtensions Add-ons unterstützt
  • Neues Firefox-Logo
  • Überarbeitetes Design namens „Photon UI“
    Firefox 57 - Design
  • Neu gestaltetes Hauptmenü
    Firefox 57 - Hauptmenü
  • Neue Tab-Seite inklusive optionalem Activitiy Stream
  • Adressleiste und Suchfeld kombiniert (in den Einstellungen kann separates Suchfeld wiederhergestellt werden)
  • Neues Menü für seitenspezifische Aktionen in der Adressleiste (die einzelnen Punkte lassen sich in der Adressleiste ein- oder ausblenden)
    Firefox 57 - Aktionen Adressleiste
  • Mindestbreite der Tabs anpassbar (about:config via „browser.tabs.tabMinWidth“)
  • Bibliotheks-Menü vereint Zugriff auf Lesezeichen, Pocket-Liste, Chronik, Downloads und synchronisierte Tabs
  • Neues Design für Einstellungen, Add-on Manager und Fehler-Seiten
  • Neben dem Standard-Design sind die beiden alternativen Themes „Hell“ und „Dunkel“ verfügbar
  • Erweiterter Tracking-Schutz erlaubt bessere Konfiguration (bisher war der Schutz nur in privaten Fenstern aktiv)
  • Kontrolle über Local Storage (Einstellungen -> Websitedaten)
  • viele weitere kleine Verbesserungen, eine Übersicht findet ihr z.B. bei Sören Hentzschel
  • Behebung diverser Sicherheitslücken

Download Firefox 57
Download Firefox 57 (64 Bit)
Portable Firefox @ Horst Scheuer

Firefox 55 – Die Neuerungen

Firefox Logo 23+

Firefox 55 wurde bereits am 08. August 2017 veröffentlicht, hier noch kurz ein Blick auf die wichtigsten Neuerungen. Neben der Unterstützung für Virtuelle Realität (VR) bringt Version 55 außerdem ein paar Performanceverbesserungen mit sich und legt damit den Grundstein für das großen Firefox 57-Release Ende des Jahres.

  • Unterstützung für WebVR, VR-Brille wird benötigt, hier einiges VR-Demos von Mozilla
  • Adobe Flash Player nicht mehr standardmäßig aktiviert, sondern im Click-to-Play-Modus (User müssen bestätigen, dass Flash aktiviert wird)
  • Eingebaute Screenshot-Funktion „Firefox Screenshots“ kann komplette Webseite, sichtbaren Bereich oder beliebig definierbaren Bereich einer Webseite als Bild speichern (lokal oder auf Mozilla-Server)
  • Veränderte Adressleiste, zeigt Suchmaschinen-Vorschläge an und die Suchmaschinen aus der Suchleiste werden nun auch in der Adressleiste angezeigt
  • Verbesserte Performance
    • schnellere Sitzungswiederherstellung bei gleichzeitig geringerem Speicherverbrauch
    • Hardware-Beschleunigung des VP9-Codecs ab Windows 10 Anniversary Edition (Windows 10 Version 1607) soll CPU entlasten und bei Notebooks die Akkulaufzeit verbessern
    • Anzahl der Inhaltsprozesse für die Multiprozess-Architektur von Firefox festlegbar (maximal 7), was eine höhere Stabilität und Reaktionsfreudigkeit bringen soll
  • Der Stub-Installer installiert jetzt automatisch die 64-Bit Version, sofern ein 64-Bit-Betriebssystem mit mindestens 2 GByte RAM verwendet wird
  • Position der Sidebar (rechts oder links) kann festgelegt werden (bisher nur links)
  • WebRTC unterstützt nun Stereo-Mikrofone
  • macOS-User können nun eigene Tastaturkürzel festlegen
  • Behebung diverser Sicherheitslücken

Download Firefox 55
Download Firefox 55 (64 Bit)
Portable Firefox @ Horst Scheuer

Firefox 52 – Die Neuerungen

Firefox Logo 23+

Am Dienstag wurde Firefox 52 veröffentlicht. Die neue Version legt den Fokus vor allem auf die Themen Sicherheit und Datenschutz.

Nachfolgend wie immer ein kurzer Überblick zu den wichtigsten Neuerungen.

  • Unterstützung für NPAPI-Plugins außer Adobe Flash entfernt, davon betroffen sind z.B. Silverlight, Java, Adobe Acrobat und Google Hangouts
  • Warnung bei der Eingabe von Login-Daten auf unsicheren Webseiten (HTTP) wurde verschärft (bei Firefox 51 wurde lediglich ein rotes Schloss in der Adressleiste angezeigt, Firefox 52 warnt nun direkt im entsprechenden Formular)
  • Warnung vor unverschlüsselter Passwortübertragung (HTTP-Seiten die ein Passworteingabeformular nutzen werden nun als unsicher markiert)
  • Strict Secure Cookies (HTTP-Seiten können keine Cookies mit dem Attribut „secure“ setzen)
  • Warnung vor SHA-1-Zertifikaten
  • Schutz vor Font-Fingerprinting soll das Auslesen der installierten Schriftarten auf dem PC verhindern
  • Entfernung der Battery Status API
  • WebAssembly (wasm) ist nun standardmäßig aktiviert, es handelt sich um eine schnellere Alternative zu JavaScript, wobei diese nur bei komplexen Anwendungen z.B. Spielen zum Einsatz kommen soll
  • Automatische Captive Portal Erkennung zur einfacheren Verbindung ins Internet bei WLAN-Hotspots
  • Download-Dialog leicht überarbeitet (Benachrichtigung bei fehlerhaften Download, größere Buttons, Schnellzugriff auf die fünf letzten Downloads, bisher drei)
  • Unterstützung für die Multiprozess-Architektur Electrolysis (e10s) auf Touchscreens
  • Behebung diverser Sicherheitslücken

Download Firefox 52
Download Firefox 52 (64 Bit)
Portable Firefox @ Horst Scheuer

Firefox 51 – Die Neuerungen

Firefox Logo 23+

Gestern wurde Firefox 51 pünktlich zum geplanten Releasetermin veröffentlicht. Die erste Version im Jahr 2017 ist genau zehn Wochen nach Firefox 50 erschienen und bringt viele kleine, aber sinnvolle Änderungen mit.

Nachfolgend wie immer ein kurzer Überblick zu den wichtigsten Neuerungen. Wer es ausführlicher haben möchte sollte bei Sören Hentzschel vorbei schauen.

  • Warnung vor unverschlüsselter Passwortübertragung (HTTP-Seiten die ein Passworteingabeformular nutzen werden nun als unsicher markiert)
  • Warnung bei Zertifikaten mit unsicherer SHA-1-Signatur
  • Zertifikate von den Zertifizierungsstellen (CA) Wosign und Startcom, die nach dem 21. Oktober 2016 ausgestellt wurden, werden nicht mehr akzeptiert
  • vor kaputten Zertifikaten mit SHA-1-Signatur sowie jenen von Wosign und Startcom
  • Abspielen von FLAC-Dateien ohne Plugins möglich
  • WebRTC unterstützt nun den VP9-Codec
  • Unterstützung für WebGL 2 (ermöglicht eine bessere Videowiedergabe ohne GPU)
  • unter Linux wird zum Rendern von 2D-Inhalten die Grafik-Bibliothek Skia eingesetzt
  • die mit Firefox 17 eingeführte Social-API wurde fast komplett entfernt (bis auf den Teilen-Button)
  • Zoom-Stufe ist in der Adressleiste sichtbar, wenn sie nicht 100 % beträgt. Ein Klick darauf setzt die Größe auf 100 % zurück.
  • Unterstützung von IndexedDB 2.0
  • Im Info-Dialog wird angezeigt, ob es sich um eine 32-Bit- oder eine 64-Bit-Version von Firefox handelt
  • Behebung diverser Sicherheitslücken

Download Firefox 51
Download Firefox 51 (64 Bit)
Portable Firefox @ Horst Scheuer

Videos konvertieren: HandBrake in Version 1.0.1 veröffentlicht

HandBrake Icon

Nach mehr als 13 Jahren Entwicklung wurde der beliebte Open Source Video-Transcoder am Heiligabend in Version 1.0.0 veröffentlicht. Gestern wurde dann bereits Version 1.0.1 nachgeschoben. Neben vielen Neuerungen existiert nun auch eine ausführliche Dokumentation.

Die neue Online-Dokumentation ist weniger technisch gehalten und soll einfach verständlich sein. Unter anderem beschreibt sie Schritt für Schritt den Prozess zum Transkodierung von Videodateien und ist deshalb auch für Einsteiger geeignet. Aktuell steht sie jedoch nur in englischer Sprache zur Verfügung.

Zu den weiteren Neuerungen gehören überarbeitete Presets, welche eine bessere Kompatibilität gewährleisten und mehr Geräte abdecken sollen. Des Weiteren sind auch einige komplett neue Presets für neue Geräte oder das Web hinzugekommen. Presets sind Voreinstellungen, welche das Konvertieren in verschiedene Formate bzw. für verschiedene Abspielmedien (iPhone, Apple TV, Xbox, usw.) deutlich vereinfachen. Zudem wird der neue VP9-Codec und Ultra-HD Color Passthrough mit BT.2020-Farbraum unterstützt. Ebenso ist ein Quicksync-H.265/HEVC-Encoder mit an Bord, welcher jedoch erst ab einer Intel Skylake CPU verwendet werden kann. Die Audio-Passthru-Funktion unterstützt nun E-AC-3, FLAC und TrueHD. Außerdem gab es diverse kleine Änderungen unter der Haube und kleine Anpassungen an der Programmoberfläche für Mac und Windows. Das komplette Changelog zur neuen HandBrake-Version findet ihr bei Github.

Die Open Source-Software ist für Windows, macOS und sogar Linux zu haben.

Download HandBrake

HandBrake

Ping-Angriff BlackNurse kann Firewalls, Router und Server lahmlegen

Fast wöchentlich wird in den Medien über neue DDoS-Angriffe (Distributed Denial of Service) berichtet. Ziel der Angreifer ist es, eine mutwillige Überlastung von Diensten oder Webseiten herbeizuführen. Dies geschieht mit einer sehr großen Anzahl von Anfragen, wobei die Infrastruktur überlastet wird und reguläre Anfragen nur noch extrem langsam oder gar nicht mehr beantwortet werden können. Heutzutage kommt für diesen Zweck in der Regel ein Botnetz zum Einsatz, welches aus einer Vielzahl von ferngesteuerten PCs und bzw. oder aus IoT-Geräten (Internet of Things) besteht.

Eine weitaus effizientere Methode für DDoS-Angriffe besteht darin, Programmfehler auszunutzen und eine Fehlfunktion des Systems auszulösen. Im Falle von BlackNurse kann schon ein einziger PC ausreichen, um Firewalls, Router oder Server lahmzulegen. Sicherheitsforscher des dänischen Netzbetreibers TDC haben den sogenannten BlackNurse-Angriff entdeckt. Am 10. November 2016 wurde der Angriff veröffentlicht und die Webseite http://blacknurse.dk mit weiteren Informationen online gestellt.

Bei BlackNurse handelt es sich um eine ICMP-Attacke. Herkömmliche Ping-Flood-Angriffe basieren auf ICMP Type 8 Code 0 Paketen. Black Nurse hingegen setzt auf ICMP Type 3 Code 3 Pakete. Einzige Voraussetzung für einen Angriff ist, dass das Zielsystem ICMP-Type3-Code3 erlaubt. Schon ein einzelner Angreifer mit einer Bandbreite von 15-18 Mbit/s kann die notwendigen 40.000 – 50.000 Pakete pro Sekunde erzeugen, um Zielsysteme stark zu beeinträchtigen. Genauer gesagt steigt die CPU-Last auf dem Zielsystem so stark an, dass normale Anfragen nicht mehr bearbeitet werden.

Von BlackNurse sind einige Systeme betroffen, darunter auch Firewalls von namenhaften Herstellern wie Palo Alto Networks, Cisco, Dell oder Fortinet. Nicht betroffen sind hingegen Systeme von Check Point, WatchGuard, Juniper oder die in Deutschland weit verbreiteten FRITZ!Box-Router von AVM.

Prinzipiell kann jeder eine solche Attacke fahren, da zur Durchführung nur wenig technische Kenntnisse notwendig sind. Benötigt wird lediglich das Tool „Hping3„, welches z.B. schnell und einfach unter Ubuntu installiert und genutzt werden kann. Die entsprechenden ICMP-Type3-Code3-Pakete können folgendermaßen erstellt und an das Zielsystem gesendet werden:

hping3 -1 -C 3 -K 3 -i u20 TARGET-IP
hping3 -1 -C 3 -K 3 --flood TARGET-IP

Kategorien: Internet Linux Windows

VeraCrypt ist sicherer als TrueCrypt

VeraCrypt Logo

Der Truecrypt-Fork VeraCrypt wurde in Version 1.18 einem Security-Audit unterzogen. Die meisten sicherheitskritischen Probleme wurden jedoch bereits in der aktuell erhältlichen Version 1.19 behoben. Außerdem wurden in VeraCrypt viele der bekannten Sicherheitslücken von TrueCrypt geschlossen. Insgesamt kann man VeraCrypt daher als sicherer wie TrueCrypt ansehen.

Die Entwicklung von TrueCrypt wurde im Mai 2014 unter teilweise mysteriösen Umständen eingestellt. VeraCrypt entstand im Jahr 2013 als Abspaltung von TrueCrypt und erlangte durch das unerwartete Ende von TrueCrypt schnelle eine große Bekanntheit.

Der VeraCrypt-Audit wurde von der OSTIF-Initiative beauftragt und von der Sicherheitsfirma QuarksLab durchgeführt. Der komplette Bericht ist als PDF-Datei verfügbar. Der Report betrachtet zunächst die früheren Analysen des Truecrypt-Codes, welche durch das Open Crypto Audit Project (OCAP) und durch Googles Project Zero erfolgten. Demnach wurden die gravierendsten Sicherheitslücken in VeryCrypt behoben, allerdings sind einige kleinere Probleme nach wie vor existent. Beispielsweise hatte das OCAP-Audit festgestellt, dass der AES-Code von TrueCrypt Timing-Sidechannels besitzt und evtl. durch Cachetiming-Angriffe verwundbar ist. QuarksLab sieht es aber als sehr unwahrscheinlich an, dass Angreifer diese Lücke ausnutzen könnten.

Anschließend untersuchte QuarksLab den neuen Code von VeraCrypt, welcher unter anderem den UEFI-Bootloader und neue Verschlüsselungsalgorithmen betreffen. Insgesamt wurden acht kritische, drei mittlere und 15 kleinere Probleme gefunden. Die verwendeten Kompressionsbibliotheken wiesen zahlreiche Probleme auf, wurden aber mittlerweile durch die Bibliothek libzip ersetzt. Außerdem war der russische Verschlüsselungsalgorithmus GOST 28147-89 fehlerhaft implementiert, welcher aber bereits entfernt wurde. Fünf von den acht kritischen Lücken wurden in der neuen Version 1.19 behoben.

OSTIF und QuarksLabs sind der Meinung, dass VeraCrypt nach dem Audit wesentlich sicherer als davor ist.

Download VeraCrypt

Linux Mint und Ubuntu auf btrfs-Dateisystem installieren

Das btrfs-Dateisystem hat mit fortschreitender Entwicklung immer mehr Popularität erlangt und kommt mittlerweile bereits in vielen Systemen zum Einsatz. Mit DSM 6.0 setzt beispielsweise auch Synology auf das moderne Copy-On-Write-Dateisystem. Kein Wunder, denn der Fokus von btrfs liegt bei einer hohen Fehlertoleranz, guten Reparierbarkeit und leichten Administration. Darüber hinaus bietet btrfs viele Features, wie beispielsweise Subvolumes, Snapshots, inkrementellen Backups, Deduplizierung und die Unterstützung von mehreren Geräten. Weitere Infos zu btrfs und allen Features könnt ihr hier finden.

Nachfolgend möchte ich euch kurz aufzeigen, wie ihr Linux Mint oder Ubuntu auf einem btrfs-Dateisystem installieren könnt.

Installation

Als erstes solltet ihr die aktuelle Version der gewünschten Linux-Distribution herunterladen: Download Linux Mint oder Ubuntu.

Anschließend muss mit der heruntergeladenen ISO-Datei ein bootfähiges Medium erstellt werden. Zur Erstellung eines bootfähigen USB-Sticks empfehle ich das Tool Rufus.

Jetzt könnt ihr eure Live-Distribution starten. Sobald das System gebootet hat solltet ihr sicherstellen, dass die aktuellste Version der „btrfs-tools“ installiert ist. Öffnet ein Terminal und gebt folgendes ein:

sudo apt-get install btrfs-tools

Danach könnt ihr den Installer starten. Geht weiter bis ihr den Schritt „Installation type“ erreicht. Hier müsst ihr „Something else“ auswählen, da btrfs ansonsten nicht zum Einsatz kommt.

Die folgende Partitionierung müsst ihr manuell erstellen, was aber kein Problem darstellt. Das Partitionierungs-Tool zeigt alle vorhanden Festplatten und Partitionen an. In meinem Fall sind es fünf Festplatten ohne Partitionen.

Zuerst solltet ihr eine kleine Partition für den „Mount Point“ „/boot“ erstellen. 500 MByte ist eine gute Größe dafür. Es ist zwar möglich von einem btrfs-Dateisystem zu booten, allerdings existieren Probleme mit einigen GRUB 2-Funktionen, weshalb ich als Dateisystem „ext4“ verwende. Als nächstes wid eine Swap-Partition benötigt, die ich 2000 MByte groß wähle. Die dritte Partition ist die btrfs-Partition. Hier könnt ihr den restlichen vorhandenen Speicherplatz nutzen. Als „Mount Point“ bitte „/“ verwenden. Der Installer erstellt dann automatisch die bei btrfs zum Einsatz kommenden Subvolumes.

Nachdem ihr alle drei Partitionen angelegt habt, sollten eure Partitionen ähnlich wie bei mir im Screenshot aussehen. Die restlichen Festplatten habe ich in diesem Schritt ignoriert.

Mit Klick auf den Button „Install Now“ wird die Linux-Distribution auf die Festplatte installiert.

Kategorien: Linux Tutorials