Secure Boot Disaster Made By Fedora and Microsoft

Heute lese ich, daß Fedora einen Mini-Bootloader mit Microsoft-Zertifikat ausliefern will, so daß man Fedora 18 gemeinsam mit Windows 8 auf einem Computer betreiben kann.

Wie schon an vielen anderen Stellen erklärt wurde, hat diese spezielle Form von Sicherheit einen erheblichen Nachteil für alle Benutzer:

Man kann nur noch signierte Software booten.

Das bedeutet im Klartext:

  • Das Einspielen von Sicherheitsupdates für den Betriebssystemkern, das erfahrungsgemäß alle paar Wochen fällig ist, wird stark erschwert bis unmöglich gemacht, je nachdem, ob ein Weg gefunden wird, einen jeweils neuen Bootloader, dessen Signierung bezahlt werden muß, zu installieren.
  • Ein Systemupgrade wird nicht mehr funktionieren.
  • Ein Kernelupgrade, um etwa an neue Treiber zu kommen, wird nicht mehr funktionieren.
  • Ein selbstgebauter Kernel mit geänderten Optionen wird nicht mehr funktionieren. Solche Kernel erstelle ich aus beruflichen Gründen für interessierte Anwender, ebenso wie viele andere Dienstleister, etwa, um neue Hardware zu testen.
  • Es wird auf die angekündigte Weise wenn überhaupt, dann nur mit Fedora funktionieren, aber mit keiner anderen Distribution wie etwa Debian, Ubuntu, oder OpenSuSE. Benutzer von weniger verbreiteter Software, beispielsweise einer BSD-Variante, sind ganz aufgeschmissen.
  • Rettungs-CDs werden aus dem gleichen Grund nicht mehr funktionieren.

Unter dem Strich kann man das Problem so zusammenfassen:

Sie werden enteignet, indem Ihnen die Kontrolle über Ihren PC entzogen wird.

Das intendierte Verfahren stellt daher nicht weniger als einen Verrat (mindestens) seitens RedHat und Fedora gegenüber dem Rest der Linux-Gemeine dar, da der Erpressung seitens Microsoft nur gemeinsam mit Aussicht auf Erfolg entgegengetreten werden kann. Es siegt also vermutlich die größere Kriegskasse, nicht die bessere Technik und die bessere Zusammenarbeit, wie es bislang in der Szene der Freien Software bislang üblich war.

Außerdem werden damit für jeden Computer, der unter Linux läuft, regelmäßig Zahlungen an Microsoft fällig, wenn der Computer weiterlaufen soll (derzeit sind $99,- für jede Signierung, etwa für Sicherheitsupdates erforderlich). Muß man Microsoft die Kontrolle über den Preis, eine Linux-Maschine zu betreiben, in die Hand drücken?

Lassen Sie uns dieser Enteignung gemeinsam entgegentreten (Englisch).

Links:

FSFE (Deutsch)

Back to top


ITU im Internet? Nein Danke!

Noch in den Achtzigern waren die ISO-Jungs, die uns von X.500, dem großen Bruder von LDAP, zu dessen Betrieb allerdings mindestens ein kleiner Mainframe erforderlich war, X.400, wo man damals schon Emails für 50 Pfennig oder so - pro á 10kB - an Leute mit so schönen Adressen wie etwa c=US;a=;p=PoseyEnterprises;o=SouthCarolina;s=Posey;g=Brien verschicken konnte, und ähnlich nützlichen, vor allem aber teuren, Dingen vorgeschwärmt haben, der Meinung, das Internet sei nur ein kleines Strohfeuer, das bald im selbst verursachten Chaos untergehen würde. Wie wir alle wissen, fand diese Einschätzung damals in der Bevölkerung keine Mehrheit, so daß X.400 und Co. heute nur noch in Nischenanwendungen zu finden sind, wo es eben auf Geld nicht unbedingt ankommt. Diesem Chaos muß natürlich irgendwie entgegengewirkt werden, und auch im Internet müssen wieder Zucht, Ordnung, und das obligatorische Zoll- und Mauthäuschen aufgebaut werden. Es ist ja bekanntermaßen ein Unding, daß eine Mail nach Übersee genauso billig wie eine ins Nachbardorf ist, und daß jemand so einfach eine Emailadresse nach eigenem Gusto einrichten kann, statt sich diese - zumindest damals nur in bestimmten Formen, die den Wohnort und/oder Arbeitgeber des Antragstellers genau bezeichnen - erst beantragen und beglaubigen lassen zu müssen, das kann ja unmöglich ein Dauerzustand sein. Oder etwa doch?

Jedenfalls hat die Organisation, die damals diese hervorragenden Vorschläge zur strukturierten Kommunikation erarbeitet hat, kürzlich einen neuen Anlauf zur Eindämmung des Chaos in der Datenkommunikation unternommen und jetzt erklärt, daß sie allein prädestiniert sei, die Aufsicht über das Internet zu übernehmen. Und natürlich, daß dies eine eilige Angelegenheit sei, die keinen weiteren Aufschub dulde.

Dieser Einschätzung kann ich mich ganz und gar nicht anschließen, sondern ersuche die Leser dieser Zeilen darum, sich stattdessen möglichst gegen derartige Vorschläge (siehe Linkliste unten) zu engagieren, denn sonst ist der Tag, an dem man auch im Internet endlich Roaming-Gebühren nach Art von Handy-Telefonaten zahlen darf, dafür aber öfter eine Seite mit Stopschild - natürlich nur zu unser aller Sicherheit - zu sehen bekommt, nicht mehr weit.

Danke!

Hier sind ein paar Links von anderen Leuten, die schneller als ich waren, ohne jede Wertung:

Back to top


ICS on HTC Vision (aka Desire/Z)?

It looks like several people are severely unhappy with HTC's attitude towards ICS on their Vision device - at least, I am, and so are a number of petitioners on the web site mentioned below. Unfortunately, the fine folks at Cyanogenmod don't seem to make any progress, either, but at least, petitioning could be more focussed. So let's at least unify all petitions with that concern to build enough thrust:

Can we do the math to say that there are a total of more than 4.500 users to support this issue, and that nothing is to be gained if those are all spread across different petitions?

Ok, maybe there are duplicates (likely), but I'd say that awareness really should be raised.

And FWIW, vendors who don't at least don't stand in the way of easy updates by third parties should not get further sales. Imagine you could not update your PC because the vendor locked the device down to make it (too) hard for you.

Back to top



Christianity Promotes Science, Right?

I keep hearing that Christianity is what created a strategic advantage by promoting scientific progress in the West. Today, I stumbled over the following illustration that highlights this issue in graphical terms:

Christianity and Science

(original source)

As for claims that all significant libraries were located in monasteries:

Nothing beats claiming to promote science if you killed all non-believers first and prohibit the general people from even learning to read.

I guess I'll keep advocating Atheism for a while...

Back to top


Praxisbericht Datenschutz: Das Mobiltelefon

Wie schon anderweitig oft berichtet, sind Mobiltelefone grundsätzlich zur Dauer-Fernüberwachung von Personen geeignet. Viele normale Menschen verstehen dieses Problem nicht, oder sie verdrängen es. Auch ich benutze fleißig solche Geräte, weil ich einfach keine praktische Alternative zu den kleinen Helferlein sehe, die mir in unbekannten Gegenden den Weg weisen, mir meine Emails anzeigen, und was derlei Dinge mehr sind.

Doch im Jahre 2011 hat die ZEIT gemeinsam mit dem Politiker Malthe Spitz demonstriert, was Vorratsdatenspeicherung eigentlich ist: Es ist die fast totale Überwachung der Person, die das Gerät trägt. Wenn man jetzt noch die Spionagesoftware, wie sie vor einigen Wochen in einem Politmagazin anhand der Überwachung von Aktivisten während des arabischen Frühlings hinzunimmt, wo nachgewiesen wurde, daß Mikrofon und Kamera aus der Ferne unbemerkt eingeschaltet werden können, dann sollte das Potential wirklich jedem Nutzer klar werden.

Ich kann daher allen Leuten nur dringend empfehle, einmal die untenstehenden Links zu den Artikeln zu verfolgen, und, falls noch nicht geschehen, ein wenig mit der Auswertung herumzuspielen.

Back to top


Plone Configuration Tip

While wading through one of my buildouts, it occurred to me that I should look up the documentation for Plone's PrintingMailHost. This product is very nice for a developer, and I have been using it for some time. But today, I actually read the documentation and found this warning, which so far had escaped me:

If Zope is not running in debug mode, it will not install itself. However, I wouldn't recommend putting it on a production site. You never know what those monkeys may get up to...

I wanted the PrintingMailHost only in my development instance, and therefore changed my setup a little. Instead of globally adding the product to my eggs listing, I added it only for the development buildout:

[secondary]
... copy from the main buildout, then:

eggs =
    ${buildout:eggs}
    Products.PrintingMailHost

After re-running buildout, none of my production instances had a PrintingMailHost anymore.

Enjoy!

Back to top