Connect with us

Datenschutz & Sicherheit

sudo-rs ändert 46 Jahre alte Konvention bei Passworteingabe


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Die Rust-Implementierung sudo-rs bricht mit einer jahrzehntealten Unix-Konvention: Beim Eintippen von Passwörtern erscheinen nun standardmäßig Sternchen auf dem Bildschirm. Wie aus einem Commit im GitHub-Repository hervorgeht, aktiviert die Software die Option „pwfeedback“ seit Mitte Februar 2026 standardmäßig. Traditionell zeigt sudo seit 46 Jahren beim Eintippen von Passwörtern keinerlei Rückmeldung – eine bewusste Designentscheidung aus Sicherheitsgründen.

Weiterlesen nach der Anzeige

Die Entwickler begründen die Änderung mit Usability-Verbesserungen für neue Anwender. In der Commit-Nachricht heißt es, die Sicherheit sei zwar theoretisch schlechter, da Passwortlängen für Beobachter in der physischen Nähe des Nutzers sichtbar würden. Dieser minimale Nachteil werde jedoch durch die deutlich verbesserte Bedienbarkeit aufgewogen. Tatsächlich ist sudo damit eines der letzten Unix-Tools, das überhaupt keine visuelle Rückmeldung bei der Passworteingabe gibt – andere Anwendungen zeigen längst Platzhalterzeichen.

Die Änderung betrifft Ubuntu-Anwender mit allen Versionen, die sudo-rs standardmäßig einsetzen. In einem Bug-Report beschwerte sich zumindest ein traditionell eingestellter Nutzer vehement über die Neuerung: Das Anzeigen von Asterisken verstoße gegen Jahrzehnte der Praxis und verrate die Passwortlänge an „Shoulder Surfer“ – Personen, die dem Nutzer über die Schulter schauen. Ubuntu markierte den Fehlerbericht jedoch als „Won’t Fix“. Eine Rücknahme der Änderung ist nicht geplant.

Einfache Deaktivierung möglich

Administratoren, die das alte Verhalten bevorzugen, können die Sternchen-Anzeige deaktivieren. Dazu muss in der sudoers-Konfigurationsdatei die Zeile Defaults !pwfeedback eingefügt werden. Für Server-Umgebungen dürfte die Änderung weniger relevant sein, da dort typischerweise SSH-Keys statt Passwörter zum Einsatz kommen.

sudo-rs ist eine vollständige Neuimplementierung des sudo-Befehls in der Programmiersprache Rust. Das Projekt zielt darauf ab, die Sicherheitsprobleme zu vermeiden, die aus der 30 Jahre alten C-Codebasis des Originals resultieren können. Rust verhindert durch seinen Borrow Checker ganze Klassen von Speicherverwaltungsfehlern wie Buffer Overflows. Auch in vielen anderen Distributionen lässt sich sudo-rs inzwischen statt des herkömmlichen sudo einsetzen, wobei eine mit Ubuntu vergleichbare Umstellung bei den anderen Mainstream-Systemen bislang nicht erfolgt ist.

Die Trifecta Tech Foundation, die sudo-rs entwickelt, ließ das Projekt bereits zweimal extern auditieren. Die letzte Prüfung im August 2025 fand keine Sicherheitslücken. Beim ersten Audit 2023 entdeckten die Prüfer eine Path-Traversal-Schwachstelle, die allerdings auch das originale sudo betraf. Ubuntu-Nutzer können noch bis Version 26.04 via update-alternatives zum klassischen sudo zurückwechseln.

Weiterlesen nach der Anzeige


(fo)



Source link

Verwandte Themen:
Weiterlesen

Datenschutz & Sicherheit

Anonymisierendes Linux: Tails 7.5 mit sichererem Thunderbird


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Die Linux-Distribution Tails, die zum anonymen Surfen im Netz dient, ist in Version 7.5 erschienen. Auffälligste Neuerung ist die Auslagerung des Mailprogramms Thunderbird in ein externes Paket. Das dient der besseren Sicherheit.

Weiterlesen nach der Anzeige

Das schreiben die Tails-Maintainer in der Versionsankündigung zu Fassung 7.5 der anonymisierenden Linux-Distribution. Zentrale Softwarepakete bringen die Programmierer damit auf den aktuellen Stand. So ist der Tor-Browser nun in Version 15.0.7 dabei, der Tor-Client hingegen auf Stand 0.4.9.5.

Tails: Sichererer E-Mail-Client

Thunderbird kommt zwar in der Fassung 140.7.1 mit, allerdings installiert Tails den Mail-Client nun als Zusatzsoftware, um seine Sicherheit zu verbessern. Dazu müssen die Features „Thunderbird Email Client“ und „Zusätzliche Software“ beim persistenten Speicher aktiviert sein. Dadurch installiert Tails bei jedem Start den Thunderbird neu aus dem persistenten Speicher. Als Grund nennen die Entwickler, dass Mozilla stets neue Thunderbird-Versionen veröffentlicht hat, nur wenige Tage nach dem Release neuer Tails-Versionen. Dadurch war Thunderbird fast ständig nicht mehr aktuell und enthielt bekannte Sicherheitslücken.

Das Problem löst das stets aktuelle Installationspaket im persistenten Speicher. Nach der Installation zeigt Tails einen Dialog mit dem Titel „Thunderbird Migration“ an. Dort findet sich auch der Hinweis, dass Thunderbird mit Tails 7.8, das im Mai 2026 erwartet wird, nicht mehr länger als Standard-Software mitgeliefert wird.

Aktualisierte Tails-Images

Wie üblich stellt das Tails-Projekt einmal Abbilder zum Verfrachten der Distribution auf USB-Sticks und einmal ISO-Images zum Brennen auf DVD oder Testen in virtuellen Maschinen bereit. Mit solch einem USB-Stick oder einer DVD lassen sich etwa fremde Rechner starten, sodass darauf eine vertrauenswürdige Umgebung zum Surfen im Netz läuft. Mit dem persistenten Speicherbereich auf dem Stick lassen sich dann auch Daten mitnehmen, die Neustarts überdauern.

Weiterlesen nach der Anzeige

Mitte Februar haben die Tails-Entwickler die Version 7.4.2 als Notfall-Update herausgegeben. Darin haben sie insbesondere den Linux-Kernel aktualisiert, wodurch mehr als hundert Schwachstellen darin ausgebessert wurden. Die hätten Angreifer in Kombination mit anderen Sicherheitslücken etwa zur Deanonymisierung von Nutzern und Nutzerinnen missbrauchen können.

Siehe auch:

  • Tails: Download schnell und sicher von heise.de


(dmk)



Source link

Weiterlesen

Datenschutz & Sicherheit

EU soll „vollständig und endgültig“ auf Chatkontrolle verzichten


Smartphone-Bildschirm mit Messenger-Icons und Daumen, der drückt
Auch Inhalte von verschlüsselten Messengern wie Signal und WhatsApp sind im Fokus der Chatkontrolle. – Alle Rechte vorbehalten IMAGO / photothek

Die EU-Gesetzgeber sollen in den Trilog-Verhandlungen zur CSA-Verordnung vollständig und endgültig auf eine Chatkontrolle verzichten. Das fordern die unabhängigen Datenschutzbehörden aus Bund und Ländern.

Die Datenschutzkonferenz appelliert in einer Stellungnahme (PDF) an die Verhandelnden, von der Massenüberwachung privater Chats per Aufdeckungsanordnungen, dem flächendeckenden Scannen privater Nachrichten und einem Durchbrechen der Ende-zu-Ende-Verschlüsselung ohne Ausnahme abzusehen.

„Hintertüren in der Verschlüsselung gefährden die Sicherheit der Kommunikation aller Bürgerinnen und Bürgern und könnten auch von Kriminellen ausgenutzt werden“, so die Datenschützer:innen. Zu den Gefahren für eine Ende-zu-Ende-Verschlüsselung zählen die Datenschützer auch das Client-Side-Scanning, bei dem Inhalte vor dem Verschlüsseln auf dem Endgerät durchsucht werden.

Generell dürfe eine Überwachung privater Kommunikation nur gezielt und bei einem konkreten Verdacht zum Einsatz kommen, so die Datenschutzkonferenz. Auch ein Ziel wie die Verhinderung und Verfolgung von sexuellem Missbrauch von Kindern rechtfertige keinen Generalverdacht gegen Millionen von Bürger:innen. Die Aufsichtsbehörden begründen dies unter anderem mit dem Recht auf Vertraulichkeit der Kommunikation und dem Recht auf informationelle Selbstbestimmung.

Erste Einigungen im Trilog

Ein Großteil der Trilog-Verhandlungen passiert auf Arbeitsebene. Gestern fand die zweite Verhandlung auf politischer Ebene statt. Laut Tagesspiegel Background Digitalisierung (€) haben sich Rat und Parlament „vorläufig auf eine Reihe politisch sensibler Fragen geeinigt“, die Informationen sind aber vage. Bisher ging es vor allem um das EU-Zentrum gegen Kindesmissbrauch, nicht direkt um die Chatkontrolle. Die dritten politischen Trilog-Verhandlungen sind für den 11. Mai angesetzt.

Der Trilog ist im EU-Gesetzgebungsverfahren der Abschnitt, in dem EU-Kommission, EU-Parlament und der Rat ihre vorher gefundenen Positionen zusammen verhandeln und eine finale Version des Gesetzestextes erarbeiten, die dann später dem Europaparlament zur Abstimmung gegeben wird. Der Trilog ist erfahrungsgemäß eine intransparente Phase des Gesetzgebungsprozesses, in dem noch viel passieren kann. Wer im Trilog, welche Verhandlungspositionen vertritt und was die strittigen Punkte sind, haben wir in diesem Erklär-Artikel beschrieben.



Source link

Weiterlesen

Datenschutz & Sicherheit

Bericht: US-Verteidigungsministerium will Chinas Infrastruktur mit KI abklopfen


Das US-Verteidigungsministerium will mithilfe von Künstlicher Intelligenz Schwachstellen in der chinesischen Infrastruktur ausmachen. Das berichtet die Financial Times unter Berufung auf nicht namentlich genannte Quellen. Das Ministerium verhandele dazu mit führenden US-KI-Unternehmen über Partnerschaften. Im Fokus liegen Stromnetze, Versorgungsanlagen, sensible Netzwerke sowie andere Systeme.

Weiterlesen nach der Anzeige

Ziel sei es, dass KI eigenständig in Computernetzwerke eindringt, Schwachstellen in der Software kartiert und potenzielle Angriffsziele in die US-Kriegsplanung integriert. Das Ministerium plane, bestehende Werkzeuge für die Cyberspionage durch KI zu ergänzen. Eine Überlegung sei, Kraftwerke in der Nähe von Rechenzentren im Konfliktfall auszuschalten, um die KI-Fähigkeiten von Gegnern zu schwächen.

KI soll Chinas Manpower-Vorteil ausgleichen

Die USA sehen in KI eine Chance, mit Chinas Fähigkeiten in der Cyberkriegsführung gleichzuziehen. Das, was China in diesem Bereich an Manpower bereithalte, könnte für die USA die KI sein. In kürzerer Zeit könnten mehr potenzielle Schwachstellen abgeklopft werden. Das Verteidigungsministerium hat bereits Verträge mit Firmen wie OpenAI, Anthropic, Google und xAI im Umfang von je bis zu 200 Millionen US-Dollar. Hierbei geht es um Militär-, Cyber- und Sicherheitsanwendungen.

Im Ansinnen der US-Regierung steckt weiteres Konfliktpotenzial für einen bestehenden Streit mit Anthropic. Hierbei ging es um die Nutzung der KI-Modelle für die Massenüberwachung der US-Bevölkerung und für den Betrieb in vollautonomen Waffensystemen. Anthropic hatte dies als Überschreiten roter Linien bezeichnet. Das Verteidigungsministerium drohte damit, das KI-Unternehmen als Risiko für die Lieferketten einzustufen, wenn es nicht kooperiere. Auch eine Verpflichtung zur Bereitstellung der Technik per Kriegsgesetz stand als Drohung im Raum. Anthropic weist ein entsprechendes Ultimatum zurück.

Im US-Verteidigungsministerium herrsche die Ansicht vor, dass China keine Skrupel haben wird, KI auf jede erdenkliche Weise für Konflikte einzusetzen, zitiert die FT einen Informanten. Deshalb wollten auch die USA weitreichend von KI Gebrauch machen.


(mki)



Source link

Weiterlesen

Beliebt