Ein fauler Apfel im Korb reicht

https://www.hardwareluxx.de/index.php/news/software/browser-und-internet/59157-tracking-falsch-konfiguriertes-geraet-kann-die-ipv6-privacy-extensions-unbrauchbar-machen.html

Im Idealfall sollten alle Geräte die IPv6-Privacy-Extensions unterstützen und aktiviert haben, damit der Datenschutz gewahrt bleibt. Vom Max-Planck-Institut für Informatik haben einige Forscher anhand einer passiven Analyse eines großen Internet-Service-Providers herausgefunden, dass die IPv6-Privatsphäre bei 19 % der Endanwender dennoch in Gefahr ist. Hierbei reicht bereits ein Gerät aus, das sich nicht an die Privacy-Extensions-Richtlinien hält und stattdessen das reine SLAAC-Verfahren (Stateless Address Autoconfiguration) verwendet und den Network-Identifier-Anteil aus der physischen Netzwerkadresse (MAC) erstellt. Hierdurch könnten Dritte die Interneterkennung dauerhaft und gleichzeitig langfristig verfolgen. Des Weiteren hat dies zur Folge, dass diese IPv6-Adresse ohne Privacy-Extensions das gesamte Endbenutzer-Präfix als Tracking-Identificator verrät, wodurch die Geräte in Gefahr sein können, die eine IPv6-Adresse inklusive Privacy-Extensions hinterlegt (bekommen) haben.

Es betrifft hauptsächlich IoT-Devices, sagen die Forscher des Max-Planck-Instituts. Ob man da dann etwas konfigurieren kann, wenn bei der Herstellung geschlampt wurde? Aber mindestens wäre es ein Produktmangel, der zur Rückgabe berechtigt.

Sicherheitsrelevanter Kernel-Parameter wird geändert

https://www.phoronix.com/scan.php?page=news_item&px=Linux-Drop-No-RdRand

The Linux kernel has long honored the “nordrand” kernel parameter to disable kernel use of the Intel RDRAND and RDSEED instructions if not trusting them — either out of security concerns that they could be compromised by the vendor or running into hardware/firmware issues around RdRand usage. But the Linux kernel is preparing to drop that kernel parameter with users encouraged to use the more generic “random.trust_cpu” parameter.

Vielleicht gehören Sie zu denen, die Schwarzen Boxen kein Vertrauen entgegenbringen und haben deshalb Ihrem Linux-Kernel verboten, den Zufallszahlen der CPU zu vertrauen. Nur die Hersteller wissen schließlich, wie sie zustandekommen, und vorhersehbare Zufallszahlen waren ja schon sehr oft das Mittel, einen Verschlüsselungsalgorithmus brechen zu können. Und dafür gibt es seit 2018 den Kernel-Parameter „nordrand“, denn die Zufallszahlenerzeugung des Kernels ist immerhin Open Source, man hat also zumindest eine Chance, sie zu prüfen.

Voraussichtlich ab Kernel 5.20 wird die Option „nordrand“ jedoch nicht mehr zulässig sein, man muss stattdessen „random.trust_cpu=0“ angeben. Diese Option wird übrigens schon seit Einführung dieser Kernel-Fähigkeit erkannt, falls Sie also noch „nordrand“ verwenden, können Sie bereits jetzt umstellen.

Ob der Parameter aber noch viel bringt, sei dahingestellt. Linux hat längst auf das Problem reagiert, indem nämlich schon seit geraumer Zeit alle Zufallszahlen des Prozessors nicht mehr direkt genutzt werden, sondern erst durch die RNG Hash Funktion von Linux gehen müssen – womit es für den Prozessor kaum noch möglich sein sollte, brauchbar gezinkte Zufallszahlen durchzubekommen.

Neue Seitenkanal-Attacke erlaubt den Diebstahl von Kryptoschlüsseln

https://www.tomshardware.com/news/intel-amd-hertzbleed-cpu-vulnerability-boost-clock-speed-steal-crypto-keys

Intel and researchers from UT Austin, UIUC, and UW published papers today outlining the ‚Hertzbleed‘ chip vulnerability that allows side-channel attacks that can steal secret AES cryptographic keys by observing the CPU’s boost frequency/power mechanisms. According to external researchers, both Intel and AMD CPUs are impacted, but AMD hasn’t issued an advisory yet.

Via der Auswertung der Boost Clock Frequency ist es möglich, kryptographische Schlüssel zu stehlen. Es handelt sich um einen Seitenkanalangriff ähnlich den Spectre-Verwundbarkeiten, aber er ist auch aus der Ferne ausnutzbar, weil durch geeignete Rechenaufgaben Rückschlüsse auf die verwendete Prozessorfrequenz gezogen werden können. Intel hält den Angriff jedoch für wenig praktikabel, da es Tage dauern würde, die notwendigen Daten zusammenzubekommen, und wer wird schon im Browser ein und dieselbe Seite so lange offen und herumrechnen lassen. Aber wer weiß, vielleicht findet sich noch eine Abkürzung … der Angriff geht gegen AES, wenn das fällt, dann wars das mit dem Onlinebanking …

Nvidia gibt nach

https://www.golem.de/news/linux-nvidias-grosse-schoene-open-source-schummelei-2205-165301.html

Mit dem nun veröffentlichten Open-Source-Treiber für den Linux-Kernel ändert Nvidia seine Vorgehensweise technisch zwar grundlegend, der beschriebene Ansatz, allein im Sinne des Geschäfts statt mit der Community zu arbeiten, bleibt wohl aber wie bisher bestehen. Denn Nvidia sieht offenbar seine Marktmacht in einigen Bereichen durch deutliche Konkurrenz schwinden.

Unter Linux waren lange Zeit AMD oder Intel für Grafikkarten die bessere Wahl, weil diese Hersteller konsequent Open Source unterstützen. Offenbar sieht sich nun auch Nvidia aufgrund der Erfolge der Wettbewerber vor allem im Geschäftskundenbereich gezwungen, eine freie Variante seines Treibers anzubieten.

Mit einer Verzögerung von 10 Jahren hat Linus Torwalds Stinkefinger also doch noch gewirkt. Allerdings ist die Open Source Variante des Nvidia Treibers eine ziemliche Mogelpackung, wesentliche Teile bleiben proprietär, man hat sie einfach nur in die Firmware verschoben.

Außerdem ist die Performance des Open Source Treibers zumindest bisher enttäuschend. Bei Phoronix finden Sie die entsprechenden Benchmark-Ergebnisse, und sie belegen, dass die initiale Version des Open Source Treibers in allen Belangen der proprietären Variante deutlich unterlegen ist.

Das Kind mit dem Bade

https://www.hardwareluxx.de/index.php/news/allgemein/netzpolitik/58313-eu-parlament-sorgt-fuer-das-ende-von-festverbauten-akkus.html

Besonders ärgerlich ist es dann, wenn sich der Akku nicht ohne weiteres austauschen lässt und man stattdessen zu einem neuen Smartphone greifen muss … Wenn es nach dem EU-Parlament geht, soll sich dies jedoch in Zukunft ändern. Wie sich einer Pressemitteilung entnehmen lässt, möchte man neue Vorschriften für den gesamten Lebenszyklus von Batterien verhandeln … Bis 2024 müssen Gerätebatterien unter anderem für Smartphones so gestaltet werden, dass sich diese leicht austauschen lassen.

Natürlich ist es ein Unding, dass der Tausch der Batterie eines Smartphones entweder absurd teuer oder gar unmöglich ist. Aus Umweltschutzgründen, wegen der Kosten oder sogar schlicht nur deshalb, weil man sich vielleicht nicht die Mühe machen will, schon wieder etwas Neues stundenlang konfigurieren zu müssen, wo einem das Alte doch noch völlig reichen würde.

Ich denke, die EU-Kommission ist (mal wieder) über das Ziel hinausgeschossen, und was da geplant ist, das ist ein innovationsfeindlicher Wasserkopf. In der Pressemitteilung heißt es schließlich ausdrücklich, dass das sogar Verbraucher können sollen.

Nun hat es aber durchaus seinen Grund, warum Smartphone-Batterien  heutzutage verklebt und hoch integriert sind. Das war nämlich früher ganz anders, bei nahezu jedem Handy war es sehr einfach, selbst die Batterie zu tauschen. Aber will die EU-Kommission die Zeit zu Nokia-Knochen zurückdrehen?

Es ist praktisch nicht möglich, die aktuellen leichten und eleganten Designs zu realisieren, wenn da jeder dran rumbasteln können soll. Und abgesehen davon, wie soll man etwas wasserdicht konstruieren, das dann Hinz und Kunz „easily and safely“ auseinandernehmen und vor allem wieder zusammenbauen können?

Ich würde es für schlauer halten, es wäre a) verbindlich vorgeschrieben, dass Akkus tauschbar sein müssen und dass dieser Tausch b) zu einem gedeckelten Preis (für den Arbeitsaufwand) erfolgen muss. Dass eine größere Batterie teurer ist als eine kleine, wäre ja ok. Aber ein Hersteller sollte meiner Meinung bereits in der Konstruktion berücksichtigen müssen, dass ein Batterietausch problemlos und mit überschaubarem Aufwand erfolgen kann; und ich fände es auch richtig, wenn er zu diesem Designziel gesetzlich gezwungen wäre.

Gefährliche Smartwatches

https://www.giga.de/news/vorsicht-brandgefahr-hersteller-ruft-1-7-millionen-smartwatches-zurueck/

Die Google-Tochter Fitbit ruft insgesamt 1,7 Millionen Exemplare ihrer Ionic-Smartwatches zurück. Der Akku läuft Gefahr zu überhitzen und in Brand zu geraten. Verbrennungen dritten Grades sind möglich.

Das größte Problem an den Lithium-Ionen-Akkus ist m.Mng. die Brandgefahr. Man unterschätzt völlig, wieviel Energie in diesen kleinen Teilen gespeichert ist, und welche Verheerungen die anrichtet, wenn sie sich unkontrolliert und schlagartig entlädt.

Aber es gibt eine neue Entwicklung in der Batterie-Technologie, Natrium-Ionen Batterien. Die sind erheblich brandsicherer als Lithium-Ionen Batterien und sie sind viel günstiger, weil Natrium das sechsthäufige Element auf der Erde ist –  Lithium hingegen ist kaum noch verfügbar.

AMD überholt Intel

https://www.tomshardware.com/news/amds-market-cap-surpasses-intel

AMD is now a bigger company, by market capitalization, than Intel. It may be close, but AMD has passed Intel for the first time in the company’s history with a ~$197.75 billion market cap at the close of the market on February 15 compared to Intel’s $197.24 billion.

AMD hat vor zwei Tagen die Ak­qui­si­ti­on von Xilinx abgeschlossen und damit in der Börsenkapitalisierung zum ersten Mal Intel überholt. Vor nur 6 Jahren stand AMD kurz vor dem Bankrott – das ist ein wirklich beeindruckender Turnaround. Aber die Spatzen pfeifen es ja schon länger von den Dächern, AMD-CPUs sind inzwischen günstiger und besser als die von Intel. Seit der „Ryzen“-Serie ist es offensichtlich geworden, dass Intel Probleme hat mit der Innovation Schritt zu halten, und das zeigt sich jetzt auch im Marktwert.

Intel gibt sich aber noch nicht geschlagen. Mit der „Alder Lake“-Generation wurde der Thron des schnellsten Prozessors zumindest für den Moment zurückerobert, und auch im Preis-Leistungs-Verhältnis ist Intel wieder deutlich attraktiver geworden.

Weltraumwetterkapriolen

https://www.zerohedge.com/markets/40-spacex-satellites-hit-geomagnetic-storm-expected-fall-back-toward-earth-and-burn

Elon Musk’s satellite internet service Starlink experienced a devastating space-weather impact last Friday when a geomagnetic storm forced „dozens“ of newly launched … satellites into „safe-mode“ where they experienced „deorbiting“ and will or already have crashed back to Earth, according to a SpaceX blog post.

Ein, zumindest für mich, ziemlich überraschender Unfallablauf: Nach dem Aussetzen durch die Trägerrakete werden Starlink-Satelliten zunächst in einem niedrigen Orbit auf volle Funktion getestet, bevor sie in ihre endgültige höhere Umlaufbahn gehen.

Letzten Freitag traf aber ein Sonnensturm das Gebiet der neu ausgesetzten Satelliten, und der hat nicht etwa die Elektronik der Satelliten beschädigt, wie man intuitiv annehmen könnte. Sondern die Atmosphäre der Erde ausgedehnt (ich wusste nicht, dass Sonnenstürme dergleichen bewirken). Und daraufhin war die Atmosphäre dichter als in der betreffenden Höhe üblich, der Reibungswiderstand also höher, und das konnten die Satelliten nicht kompensieren und fast alle stürzten ab.

Im Dunkeln ists gut Munkeln

https://www.tomshardware.com/news/quantum-computing-researchers-achieve-100-million-quantum-operations

Researchers … have achieved a new record in maintaining quantum bits (qubits) in a coherent quantum state for more than five seconds. The research … is hailed as an important new step in extracting useful work from quantum computers – one that should scale quantum computing’s performance towards the much-sought-after quantum supremacy moment.

Während symmetrische Verschlüsselung wohl auch nach der Serienreife von Quantencomputern sicher bleiben wird (wobei die Meinungen der Fachwelt dazu auseinandergehen), sind vermutlich sämtliche aktuellen digitalen Geschäftsmodelle der Finanzindustrie, wesentlich beruhend auf asymmetrischer Verschlüsselung, Kuchenkrümel auf einer Müllhalde sobald Primzahlen nicht mehr sicher sind. Quantencomputer können eine Primzahlzerlegung drastisch schneller ausführen, als herkömmliche Hardware.

Aber egal, bis die Script-Kiddies sich einen Quantencomputer leisten können, wird die Public-Key-Transaktionssicherheit hoffentlich auf neue Füße gestellt sein. Ansätze für auf Quantentechnik beruhende derartige Verschlüsselungsverfahren gibt es längst.

Was mir jedoch mehr Sorge bereitet, ist das immer größere Auseinanderklaffen der Potenziale zwischen den (viel) Besitzenden und den immer zahlreicher werdenden Anderen. Dass das Weltwirtschaftsforum offenbar mit großen Medienkonzernen Stillhalteabkommen durchsetzt, damit ein global einheitliches Narrativ die Öffentlichkeit sowohl über den Fortgang als auch die Möglichkeiten der Quantencomputerforschung im Dunkeln hält, macht meine Sorgen bestimmt nicht kleiner.

Nicht gehaltene Versprechen

https://www.phoronix.com/scan.php?page=news_item&px=X.Org-Driver-Shambles-2022

Die Kompatibilität von Linux zu älterer Hardware wird schon seit Jahren nach meiner Beobachtung schlechter, dieser Artikel belegt sie mit harten Fakten.

Ich würde meinen, Hardware für Linux sollte nicht zu neu, aber auch nicht sehr alt sein. So ca. 2 – 5 Jahre alt, wobei jedoch m.Mng. der Support für neueste Hardware, einen aktuellen Kernel vorausgesetzt, besser geworden ist in den letzten Jahren. Vielleicht ist gerade das der Grund, warum die Unterstützung für ältere Maschinen nachlässt?

Besonders ärgerlich ist es, wenn man beim System-Upgrade auf einen neuen Kernel gezwungen wird, dieser aber mit der alten Hardware nicht mehr läuft. Zuletzt erlebt mit einem Zotac, eigentlich gar nicht so alt, aber beim Wechsel von Ubuntu 18 nach 20 war Schluss, weil der 5.4 Kernel partout nicht mehr mit dem Zotac arbeiten wollte. Natürlich ein Zotac-Problem, eigentlich, wenn das Bios von dem so schrottig ist und nicht aktualisiert wird. Aber machen kann man nix, jedenfalls nicht, wenn man nicht ohne Support und Updates dastehen will. Und mit einem alten Kernel will aber Ubuntu 20 nicht mehr… der Zotac steht jetzt also rum und wartet auf einen  Windows-Anwender. Das würde nämlich immer noch drauf laufen…

Intel auf neuen Wegen

https://www.tomshardware.com/news/intel-to-unveil-bitcoin-mining-bonanza-mine-asic-at-chip-conference

Intel will offenbar ins Crypto-Mining-Business. Sind ja reichlich spät dran damit. Wieviele Bitcoins gibt es eigentlich noch? Aber egal, solange jeden Tag 5 neue Crypto-Währungen erfunden werden, bleibt vielleicht trotzdem noch genug Geschäft übrig.

Hehre Ziele und dunkle Absichten

https://www.timesnownews.com/auto/features/article/cars-in-europe-to-get-a-black-box-and-other-new-safety-technologies-from/389820

EU has agreed to make it mandatory for all new vehicles in the continent to come fitted with a variety of new safety technologies from 2022. Aimed at protecting not only passengers, but also pedestrians and cyclists, the list of new technologies will include accident data recorder (black box), alcohol interlock installation facilitation, advanced emergency braking, intelligent speed assistance, etc … The new safety features will be made compulsory from 2022.

Das Problem an Black Boxes im Auto ist meiner Ansicht nach nicht, dass die zulässige Höchstgeschwindigkeit überwacht wird. Denn auch die EU will nicht vorschreiben, dass sie nicht überschritten werden dürfte, und es gibt ja durchaus Situationen, in denen das geboten und sogar von der STVO vorgegeben ist.

(Stellen Sie sich vor, Sie überholen auf der Landstraße mit 100 km/h einen Laster mit 80 km/h. Völlig legitimes Verhalten, Sie überschreiten nicht die zulässige Geschwindigkeit und die Geschwindigkeitsdifferenz ist ausreichend für einen Überholvorgang. Doch nun kommt Ihnen ein Irrer mit 180 km/h entgegen, womit Sie weder rechnen konnten noch mussten. Und dazu sagt auch die STVO klipp und klar, dass Sie in solch einer Situation selbstverständlich die Höchstgeschwindigkeit überschreiten dürften, um einen Unfall zu vermeiden. (Jedoch, ob aber Bremsen, Beschleunigen oder Ausweichen in die Wiese das Richtige wäre in irgendeiner gegebenen Situation wie beschrieben, kann nur im Einzelfall beurteilt werden.))

Also, dass Ihr Auto Ihnen nachweisen kann, wenn Sie zu schnell gefahren sind… nun ja. Zwingt Sie doch niemand dazu, und ohnehin können Gutachter in den meisten Fällen das auch mittels anderer Methoden. Abgesehen davon haben die meisten einigermaßen modernen Autos (seit 2013) sowieso einen Datenspeicher an Bord (Stichwort OBU), und wenn das Gericht es ernst meint, kann es diesen auch gutachterlich auslesen lassen. Kommt hin und wieder vor.

Nein, die Aufzeichnung der gefahrenen Geschwindigkeit stört mich nicht. Wer rumrast und andere damit gefährdet, soll, meiner Meinung, im Fall des Falles auch zur Verantwortung gezogen werden können… Meine Sorgen bei diesen Plänen liegen woanders. Im Zusammenhang mit einerseits den Grüne-Energie-Vorhaben, sowie andererseits den Emergency-Call-Gesetzen der EU wäre es mit Black Boxes mühelos möglich, ein System zu etablieren, das Ihren Bewegungsradius einschränkt. Sie sind ein Lohnsklave? Ihr Auto versagt an den Stadtgrenzen seinen Dienst. Sie sind ein Bonze? Natürlich dürfen Sie überall hin und sich an leeren Autobahnen erfreuen.

Sie verstehen. Man fragt sich schon, mit welchen Absichten im Hintergrund hier eigentlich gehandelt wird. Falls es tatsächlich darum geht, Kinder im Straßenverkehr zu sichern, prima, bin ich voll dafür. Aber die Erfahrung lehrt leider, die Kinder werden weiterhin gar nicht geschützt, aber jedes Missbrauchspotenzial wird voll ausgeschöpft. Wessen Interessen vertreten Politiker?

 

Das eigene Grab schaufeln

https://www.zerohedge.com/markets/amidst-historic-shortage-drivers-debate-about-autonomous-18-wheelers-has-begun

Forcing the issue are companies like J.B. Hunt, Uber’s freight division and FedEx – all of whom are testing autonomous big rigs. The technology, which could be useful now during the current driver shortage, is likely still years away. But that hasn’t stopped the issue from being hotly contested, according to a new Bloomberg report.

Selbstfahrende Laster sollen künftig noch mehr Arbeitslose hervorbringen, damit auch ja niemand mehr die damit transportierten Güter noch kaufen kann… mal davon abgesehen, dass es mir, bei dem katastrophalen Mangel an Verantwortungsgefühl und Qualitätsbewusstsein in der IT-Industrie, wie ihn jeder Patchday wieder und wieder beweist, schon sehr mulmig werden würde, wenn ich im Straßenverkehr so einer rollenden Großbombe begegnen würde.

Wo ist John Connor wenn man ihn braucht

https://www.golem.de/news/un-waffenkonvention-aechtung-von-autonomen-kampfrobotern-gescheitert-2112-161906.html

Der Versuch der Kampage „Stop Killer Robots“, die internationale Ächtung von bewaffneten autonomen Drohnen zu vereinbaren, ist am Widerstand der Länder mit den größten Waffenindustrien gescheitert.

Noch ein Schritt weiter Richtung Skynet. „Terminator“, das war keine Dystopie, sondern eine Handlungsvorlage.

Auf das Wesentliche fokussiert

https://ubports.volla.online/

Basierend auf Ubuntu Touch fertigt das deutsche Unternehmen „Hallo Welt Systeme“ Mobiltelefone, die besonderes Augenmerk auf Privatsphäre und das Vermeiden von überflüssiger und störender Bloatware legen.

Wer eine sehr gute Kamera benötigt, oder unterwegs spielen möchte, wird mit diesem Gerät wohl eher nicht glücklich werden. Für diejenigen, die ihr Handy für die Arbeit einsetzen, und Wert auf Datenschutz legen, vielleicht dennoch interessant.

Und abgesehen davon ist Ubuntu Touch auch ein durchaus spannender Versuch, die Mobilbetriebssystem-Dominanz der „Großen Zwei“ mit einer quelloffenen Technologie zu ergänzen.