(i) Microsoft tut wieder mal Microsoft-Dinge und plant, WSUS einstellen.

In Windows-Umgebungen benötigt man WSUS, um Windows-Updates lokal gesteuert auszurollen. Künftig möchte Microsoft dies lieber in ihre Azure-Cloud integriert haben, ohne Ausweichmöglichkeit für die Kunden.

Das reiht sich ein in eine ganze Reihe von Aktionen, um Kunden in die (Microsoft-)Cloud zu treiben, wie z.B. der Versuch, die User zu Cloud-Accounts für das Windows-Login zu nötigen, oder die Transition von Exchange in die Cloud.

Jetzt wäre doch für Unternehmen eine gute Gelegenheit, die IT-Strategie zu überdenken und zu überlegen, ob Microsoft zukünftig wirklich noch eine brauchbare Grundlage ist (die Sicherheitsprobleme haben wir dabei noch gar nicht erwähnt).

(i) Jemand hat sich mal CUPS genauer angeschaut, höchst Bedenkliches gefunden und in diesem unterhaltsam geschriebenen Beitrag dokumentiert.

Kurzversion: RCE in cups-browsed, sofort patchen, oder noch besser: Gleich deinstallieren.

(i) Software-Empfehlung: Die Hälfte von Firefox besteht ja inzwischen aus unerwünschten oder (aus Nutzersicht) gar schädlichen "Funktionen". Zwar kann man diese mit dutzenden von Einstellungen manuell abschalten, jedoch wächst der Aufwand dafür immer weiter an.

Was liegt also näher, als dies zu automatisieren? Wie so oft, wenn man denkt, man hätte eine gute Idee gehabt, hat diese schon jemand anderes umgesetzt.

Wir verweisen daher gerne auf Arkenfox user.js: Dabei handelt es sich um ein Firefox-Konfigurationsfile (user.js); oder gemäss Beschreibung der Autoren:

The arkenfox user.js is a template which aims to provide as much privacy and enhanced security as possible, and to reduce tracking and fingerprinting as much as possible - while minimizing any loss of functionality and breakage (but it will happen).

Dieses kann entweder manuell in den Firefox-Profilordner kopiert werden, oder mit dem verfügbaren Shell-Script installiert werden. Dies sollte Firefox bzgl. Datenschnüfflerei erstmal ruhigstellen, und bringt zudem noch Sicherheitsvorteile durch verkleinerte Angriffsoberfläche.

(i) Opfer der AI: Wordfreq ist eine Python-Lib, um die Häufigkeiten von Wörtern zu bestimmen. Deren Autor wirft nun hin. Hintergrund ist, dass sich diese Library auf gesammelte Texte aus öffentlichen Quellen stützt, und diese zunehmend durch den Output von LLM-Sprachmodellen "verseucht" werden bzw. nicht mehr authentisch bzw. von Menschen produziert sind. Der Frust des Autors über die Situation ist verständlich.

Auch lesenswert der referenzierte Beitrag, wo es darum geht, wie ChatGPT gewisse Wörter und Phrasen übermässig häufig verwendet (z.B. das Wort "delve"). Diese Wörter tauchen merkwürdigerweise plötzlich übermässig oft in diversen wissenschaftlichen Publikationen auf, was nahelegt, dass diese Dokumente durch ChatGPT "überarbeitet" wurden. Höchst bedenklich.

(i) Heute bin ich auf ein sehr interessantes Paper eines Sicherheitsforschers gestossen. Es geht darin um eine neue Methode zur Überwindung von Airgaps:

Our test shows that with a PIXHELL attack, textual and binary data can be exfiltrated from air-gapped, audio- gapped computers at a distance of 2m via sound modulated from LCD screens

Selbst wenn also ein Gerät gar keinen Lautsprecher hat, lässt sich via LCD-Monitor trotzdem noch ein akustisches Signal erzeugen, mit dem sich tatsächlich Daten exfiltrieren lassen. Eindrücklich!

(i) Interessanter Artikel zu einem typischen IT-Problem. Es geht um Spamassassin, bzw. die Schwierigkeiten, welche sich beim Betrieb eines eigenen Mailservers präsentieren:

All told, it not surprising that many people who would have once run their own mail systems have decided to throw in the towel and use one of the big providers instead. What was once a nice, federated service (in a much simpler time) has become a complex mess with high barriers to entry, pushing users into a small number of large, proprietary services.

Das Problem ist, dass die Alternative (die gesamte Korrespondenz bei den Datenkraken von Microsoft, Google etc. zu lagern) noch viel furchtbarer ist.

Deshalb betreiben wir auch nach wie vor unsere eigene E-Mail Infrastruktur, auch wenn dies mit beträchtlichem Aufwand und gelegentlichen Problemen verbunden ist.

Dem Trend, zur Bekämpfung von Spam auf Dienste bzw. Feeds von Drittanbietern (White/Blacklists etc.) zurückzugreifen (was im Artikel das Problem verursachte) sollte man unserer Meinung nach kritisch gegenüber stehen. Dadurch holt man sich nur zusätzliche Abhängigkeiten ins Haus.

(i) Nicht mehr ganz taufrischer, aber gut gemachter Artikel zum Thema "Boot Security" unter Linux.

Ich befürchte es ist auch heute noch so, dass die initial Ramdisk (initrd) unverschlüsselt auf der Platte liegt und beim Boot auch nicht authentisiert wird, so dass das "Evil Maid"-Szenario ein Problem bleibt.

Ob dies wie vorgeschlagen mit TPM und Systemd gelöst werden kann/sollte, wird in der Community wohl noch (kontrovers) diskutiert werden.

Ergänzung: Bei Fedora scheinen Bemühungen für signiertes initrd im Gange zu sein.