Lösch-lösch-lösch-habe Unsinn geschrieben.
beaClientSecurity lässt sich nicht installieren
|
Anmeldungsdatum: Beiträge: 323 |
|
||
|
Anmeldungsdatum: Beiträge: Zähle... |
Hat bei mir unter Ubuntu MATE 22.04 leider nicht geklappt, inklusive falscher Meldung, das Installation des Zertifikats werde beim Neustart des Browsers fortgesetzt. Das beA bleibt leider eine haarsträubende Lamersoft (und finanziell ein Fass ohne Boden). |
||
|
Anmeldungsdatum: Beiträge: 57 |
Kurz vorausgeschickt, die ClientSecurity wird weiterhin lediglich unter Ubuntu 20.04 LTS unterstützt. Da upstream-seitig LTS-Flavours nur für 3 Jahre unterstützt werden, ist, Stand heute, die einzige unterstützte Linux-Verteilung Vanilla Ubuntu 20.04 LTS, das heißt mit Gnome-Desktop. Für macOS werden die letzten drei, jährlich erschienenen Versionen unterstützt. Vor wenigen Tagen wurde die Unterstützung für macOS 11 Big Sur von 2020 seitens der BRAK eingestellt und Unterstützung für die diesen September erschienene Version macOS 14 Sonoma bekanntgegeben (Link oben). Unter Windows werden die (halb-)jährlich erscheinenden Versionsaktualisierungen – technisch Neuinstallationen – seit 2015 (Windows 10) bzw. seit Einführung des beA unterstützt. Da kann man schon eine Diskriminierung erkennen. Dass nicht wenigstens zwei relativ aktuelle LTS-Versionen unterstützt werden, erscheint mir durchaus eine Frechheit (oder nennt es Versagen). Über andere Linux-Verteilungen möchte ich hier gar nicht sprechen. Die andere Sichtweise ist die, dass die deutsche Anwaltschaft bezüglich der Qualität der gelieferten Dienstleistung „beA“ ein gehöriges Maß an Gleichgültigkeit an den Tag legt. Das gehört dazugesagt. Wenn niemand der BRAK in den Hintern tritt, braucht diese sich auch nicht zu bewegen. Ich wiederhole mich, die BRAK ist bezüglich beA nicht Interessenvertreter der Anwaltschaft, sondern Lieferant, dessen Leistung permanent einer Prüfung unterliegen muss, deren Ergebnis gegebenenfalls auch zu Konsequenzen führt. Wem auffällt, dass die Anwaltschaft gegenüber der BRAK überhaupt keine Sanktionsmöglichkeiten hat, erkennt den organisatorischen Konstruktionsfehler des beA. Ohne Konsequenzen kann man nicht über Verantwortung sprechen. So sieht organisierte Verantwortungslosigkeit in Deutschland aus. Inmitten von Juristen. Zum technischen Teil, wie sieht denn die Ausgabe von
aus? |
||
|
Anmeldungsdatum: Beiträge: 323 |
Schade, dass danage sich nicht mehr meldet! Danke für deinen Einsatz flu! Bei mir läuft es problemlos auf Version 22.04.3 LTS (Jammy Jellyfish) 64-bit und Mate 1.26.0. Aber die Sorge, dass es mit jedem Update Ubuntus, Mates oder beAs einfach vorbei sein kann, beschleicht mich natürlich. Wie kann es sein, dass uns die BRAK zur Nutzung von veralteten Ubuntu-Versionen zwingt? Alte Versionen haben doch Sicherheitslücken! Das kann nicht einmal rechtens sein. Die Linux-nutzenden Anwälte sind aber auch einfach zu dumm, sich nicht zu organisieren. Oder kennt jemand eine Plattform / Forum, wo das der Fall ist? In einer Demokratie funktionieren viele Dinge nur mit einer gewissen Lobby. |
||
|
Anmeldungsdatum: Beiträge: 57 |
Hier noch eine Antwort auf dorobers Bedenken bezüglich Ubuntu Pro. Es handelt sich um eine „Kurzfassung“. Die ursprüngliche war erheblich zu lang geraten und deshalb nie gesendet worden. Du sprichst einige Dinge an, die etwas auseinander gehalten werden müssen. Von wem geht für einen Anwalt eigentlich eine Gefahr aus? Gegen wen lassen sich überhaupt Maßnahmen ergreifen und gegen wen nicht? Als unvollständige Auswahl an Interessenten an einem unberechtigten digitalen Zugriff seien genannt:
Die ersten beiden Punkte betreffen jeden Computernutzer gleichermaßen. Bei den anderen könnte man meinen, die Gefahr gezielter Attacken wäre bei Anwälten abhängig von der eigenen Klientel und beträfe etwa Rechtsanwälte für Menschenrecht oder möglicherweise Wirtschaftsrecht. Sofern sich ein Klient (unwissentlich) mit der OK anlegt, dürften aber letztlich alle zivilrechtlichen Fachanwälte mögliche Ziele sein. Und wenn ein Strafverteidiger sich mit dem Staat/Behörden in einem Boot wähnt, ist er für Fälle von Relevanz nicht geeignet. Schon heute nicht. Wie die politische Lage in fünf Jahren aussieht, weiß kein Mensch. Brüche gab es in den letzten Jahren bereits genügend. In der digitalen Welt sind die Kosten für Ausspähmaßnahmen, das Entdeckungsrisiko und noch einmal die Gefahr des Nachweises sehr gering. Die althergebrachte Rechnung aus dem analogen Zeitalter, Ausspähung kostet Zeit, Geld und personelle Ressourcen, und man könne das Risiko daher schon grob individuell einschätzen, stimmt leider nicht mehr. Die sich im Netz bewegenden Anwälte bilden ein grundsätzlich interessantes Ziel. Allerdings ist diese Tatsache in der (recht IT-fernen) Anwaltschaft noch kein gesetztes Wissen. Die ruhige Lage der Kanzlei täuscht bisher über die Bedrohungslage im Netz. Dies als kurze Einleitung, es soll ja im folgenden nur um Ubuntu Pro gehen. Schutz vor dem Betriebssystemhersteller¶
Kurze Antwort: Über die Aktualisierungsfunktion. Aber dazu später mehr. Zunächst einmal zu Canonicals „Geschäftsgebaren“. Der Anlass für Shuttleworths Äußerung „Wir sind Root.“ war ein Herunterspielen der Bedenken von Kunden über die geplante Amazon Lens. In der Tat wäre die Amazon Lens für Canonical der Einstieg in das Geschäftsmodell von Google, Facebook, Microsoft u. ä. gewesen, die ihre Nutzer auf dem Werbemarkt verkaufen und für die daher jedes Dokument, jeder Tastendruck, jeder Mausklick, jede Mausbewegung des Nutzers eine wertvolle, vermarktungsfähige Informationsquelle darstellt. In seiner Replik auf die Bedenken hat Shuttleworth allerdings zu einem rhetorischen Trick gegriffen, ins technische Fach gewechselt und den Kunden ihre Ahnungslosigkeit unter die Nase gerieben. Dass nämlich letztlich das Vertrauen in den Hersteller von Anfang an unbegründet bzw. unreflektiert vergeben wurde und dieses jetzt zu entziehen ebenso unbegründet wäre. Im Kern ist da sogar etwas dran, Kundenschelte ist jedoch immer gewagt. Den Worten nach ist Shuttleworth auf die Kundenbedenken jedenfalls nicht eingegangen. Den Taten nach jedoch schon. Die Amazon Lens ist Geschichte. Ich glaube, dass Canonical im Laufe der Diskussionen nochmal genauer hingesehen und die Rechnung über den monetären Wert ihrer nicht-zahlenden Kundschaft neu aufgemacht hat. Der Kern des Geschäftsmodells ist der Verkauf von Dienstleistungen (B2B). Deren gefühlte Qualität wird aber durch eine Vielzahl von Effekten von der nicht-zahlenden Kundschaft positiv beeinflusst. Jeder Fehler, der von nicht-zahlenden Kunden gemeldet und daraufhin behoben wird, wird von weniger zahlenden Kunden wahrgenommen. Das ist nur ein offensichtliches Beispiel, es gibt noch viele weitere positive Effekte einer möglichst großen Nutzerbasis, zahlend oder nicht-zahlend. Je mehr nicht-zahlende Kunden wegen der Amazon Lens abwandern, desto schlechter für das Geschäft. Das muss beim Einstieg in die Nutzervermarktung gegengerechnet werden. Das Ergebnis der Abwägung ist bekannt. Festzustellen bleibt, dass sich Canonicals Geschäftsmodell ohne Amazon Lens o. ä. weiterhin wesentlich von dem von Microsoft oder Google unterscheidet. Derzeit und wegen des Geschäftsgebarens sehe ich Canonical nicht als primäre Gefahr für Anwender. Diese Bewertung darf und sollte aber jeder gern individuell vornehmen. Zu den Möglichkeiten von Sicherheitsorganen¶Da ist aber immer noch die Sache mit Root, oder? Das stimmt, aber es handelt sich dabei auch um einen zu ehrlichen, selten gehörten Hinweis auf eine dunkle Ecke, die jedem aktualisierbaren Betriebssystem innewohnt, die von Microsoft, Apple oder Google eingeschlossen. Die Gefahr „Root zu sein“ geht aber weniger vom Hersteller aus (solange dieser seine Kunden nicht vermarktet), sondern von einschlägigen Diensten, deren Zusammenarbeit sich Hersteller in der Regel nicht entziehen können. Worum geht es? Ein sicherer Weg der Infiltration sind Aktualisierungen: Ein Sicherheitsdienst richtet einen eigenen Paket-Spiegel ein, kompromittiert ausgewählte Binärpakete und lässt sich die Schlüssel für die Signatur der Pakete sowie für die benötigten Server-Zertifikate durch den jeweiligen Betriebssystemhersteller per Anordnung aushändigen und muss der Zielperson nur noch selektiv die Internetverbindung auf die eigene Paket-Quelle umbiegen. (Dazu benötigt man Zugriff auf das Netzwerk der Zielperson, d. h. dessen Internetprovider, nicht aber den Rechner selbst. Die kompromittierten Pakete landen keinesfalls in der Öffentlichkeit.) Dagegen kann man als einfacher Nutzer wenig tun und das funktioniert mit jedem gängigen Betriebssystem. (Ein Schutz dagegen ist zwar möglich, allerdings mit hohem Aufwand verbunden.) Ein Nachteil dieser Methode ist, dass der Betriebssystemhersteller (und der ISP) Mitwisser sind und daher grundsätzlich die Gefahr besteht, dass solche Praktiken konkret bekannt werden. Ein anderer Nachteil ist, dass dieser Weg nur ausgewählten Diensten geeigneter Jurisdiktionen zur Verfügung steht. Welche das sind, wird nutzerseitig durch die Wahl des Betriebssystems festgelegt. Sieht man sich die Menge der in der EU relevanten Betriebssysteme an, erkennt man, dass die Auswahl an Diensten, mit denen man im Falle eines Falles unbemerkt den eigenen Rechner teilt, äußerst dürftig ist. (Spoiler: Die deutschen Dienste sind nicht dabei.) Obwohl Aktualisierungen einen Generalschlüssel für jeden Rechner darstellen, haben aufgrund der Nachteile die üblichen Wege – per Zero Day oder Hausbesuch* aufgespielter Staatstrojaner – ebenfalls ihre Berechtigung und sind bei schlecht gewarteten Zielrechnern und rechtlich stärker reglementierten oder anderweitig beschränkten Diensten auch erste Wahl. * Hausbesuch im weiteren Sinne. Um Zugriff auf vollverschlüsselte, zum Beispiel tragbare Rechner zu erlangen, müssen diese auch in Betrieb sein. Dazu werden für die Zielperson Stresssituationen inszeniert, in denen diese den Überblick verliert. Was allerdings mit Personalaufwand verbunden ist. Merke: Wird Mann von einer attraktiven Frau angesprochen, erst einmal den Rechner runterfahren. Mag witzig klingen, Paranoia ist aber auf Dauer nicht witzig, sondern lästig. Das Risiko der Infiltration durch staatliche Akteure (deutsche oder aus dem Herstellerland) sehe ich durch ein Abonnement von Ubuntu Pro weder erhöht noch verringert. Bezüglich Ubuntu Pro lässt sich in die eingangs gezeigte Aufzählung möglicher Angreifer noch eine andere Ordnung bringen. Insgesamt verschlechtert aus meiner Sicht ein Abonnement von Ubuntu Pro die eigene Lage weder gegenüber
Es verbessert aber die Lage gegenüber
Damit das hier nicht wie Beruhigungsfernsehen klingt:
Das ist ein valider Punkt. Die Information über die eigene Identität und die der verwendeten Rechner muss bei gewerblicher Nutzung von Ubuntu Pro preisgegeben werden. Wie oben geschildert, würde die anschließende „Maßnahme“ aber nicht vom Hersteller ausgehen und auch ohne Ubuntu Pro erfolgen. Die Frage ist, ob sich staatliche Akteure zuvor routinemäßig bei Canonical über deine IT-Infrastruktur erkundigen. Für Anwälte könnte man diese Annahme aufgrund der bekannten Auswahl an unterstützten Betriebssystemen seitens der BRAK durchaus bejahen. Für Strafverteidiger, für die die Gefährdung durch staatliche Akteure möglicherweise eine größere Rolle spielt als durch nicht-staatliche, könnte das ein Argument sein, auf Ubuntu Pro zu verzichten.
Wenn allerdings dein Kanzleisitz innerhalb des Hoheitsgebietes eines NATO-Staates liegt, dann wird aus dem Versuch, den Five Eyes zu entkommen, kein spannender Film. Der Einwand der Identitätspreisgabe verliert nämlich an Bedeutung, wenn die für den Betriebssystemhersteller zuständigen Dienste in deinem Land sowieso Vorzugsbehandlung (Amtshilfe oder den Status einer Naturgewalt) genießen. Die Abwägung für oder gegen Ubuntu Pro ist nicht trivial und muss individuell erfolgen. Bei positivem Ergebnis sei zur Aktivierung der zusätzlichen Paket-Spiegel nochmal auf diesen Beitrag verwiesen. |
||
|
Anmeldungsdatum: Beiträge: 323 |
Danke für deine Ausführungen, denen ich zu 93,45 % direkt zustimmen kann. Warum du aber bspw meinst, mein Internetprovider müsse im Falle eines Angriffs involviert werden, verstehe ich nicht. Wäre das so, würde ich ruhiger schlafen, weil ich mir sicher bin, dass die Five Eyes es nach Möglichkeit meiden, Personen ohne diesen angloamerikanischen "Corps-Geist" hinzuzuziehen. Wieso nicht allen ein Update einspielen, was den Zugriff von außen von sich aus anbietet, wird das System von außen definiert irgendwie 'gesondert behandelt', bspw. über einen standardmäßig offenen Port an ungeraden Tagen die auf einen Freitag fallen eine Codezahl angeboten? Evtl unter Nutzung der der IME. Ein (An-)"Ping" mit dem Zusatz "799kdhdiuo832" führt bestimmungsgemäß zu der Reaktion "Insert 2nd Code to open Remote Root Terminal on target device" ? ps. Ich überlege ob man nicht mal auf bspw. Juraforum eine Gruppe für beA-Linux etablieren könnte, kenne das aber noch nicht "im Alltag" und auch nicht den Herausgeber. |
||
|
Anmeldungsdatum: Beiträge: 57 |
Aus absehbarem Zeitmangel eine kurze Antwort. Eine längere hole ich vielleicht bei Gelegenheit nach.
Serienmäßig durch Geheimdienste kompromittierte Binaries zu verteilen, widerspricht dem Grundsatz der plausiblen Abstreitbarkeit. Nicht für Microsoft & Co., sondern für Geheimdienste selber. Es geht nicht darum, einen Skandal zu vermeiden, sondern darum, dass Aktualisierungen als Reaktion besser geschützt werden könnten, womit den Five Eyes der weltweit funktionierende Generalschlüssel abhandenkommen würde. Man könnte noch differenzieren zwischen proprietären und offenen Betriebssystemen. Aber das ist es in Kurzform. Nachweisbar kompromittiertes Material gelangt nicht in die breite Öffentlichkeit. Und wenn, dann darf man annehmen, dass es nicht von Profis stammt.
Auf dem tragbaren Rechner oder dem Handy werden Aktualisierungen aber auch automatisch am Hotspot des von einem Bekannten empfohlenen und wirklich kuscheligen Cafés an der Ecke gesucht. Warum sich insbesondere Zielpersonen dort so wohlfühlen, wer der zuvorkommende Betreiber des Cafés ist, zum Beispiel der Geheimdienst Ihrer Majestät, das können diese nicht ahnen. Merke: Niemals geschenktes Internet verwenden. Auch nicht im Hotel, der Bahn, Bibliothek, Schnellrestaurant (da braucht man gar nicht fragen, wer mit drin steckt), Kino, ... Und Kindern sind die Vorteile einer Verzichtskultur auch schnell erklärt ... |
||
|
Anmeldungsdatum: Beiträge: 57 |
Nochmal zum ISP, sofern die Five Eyes in einem Staat Amtshilfe genießen, würde ich nicht davon ausgehen, dass die Hilfe darin besteht, dass deutsche Dienste eine Maßnahme auf Zuruf durchführen. Sondern dass NSA, GCHQ & Co. in Freundesland in jedem vereinbarten Einzelfall weitgehend autonom agieren können. Dem jeweiligen ISP gegenüber geben sich die Mitarbeiter selbstverständlich nicht als ausländischen Dienst zu erkennen. Eine Corps-Geist voraussetzende Zusammenarbeit findet so gar nicht statt. |
||
|
Anmeldungsdatum: Beiträge: 323 |
Sondern eher so? |
||
|
Anmeldungsdatum: Beiträge: 323 |
Hat jemand schon Erfahrung mit der aktuellen LTS, also Ubuntu 24.04 LTS „Noble Numbat“ ? Die wird ja offiziell NICHT unterstützt. Jammy Jellyfish, 22.04 (LTS) wird noch bis April 2027 (Derivate nur bis 2025) unterstützt. ps: Wir haben nun 24.04 (Mate). Es gab wieder ein Problem mit der Zertifikatshinterlegung, was aber durch manuelles Hinterlegen gelöst werden konnte. |