Skip to content

Update auf Debian 12

^ v M ><
Debian 12 ist vor kurzem veröffentlich worden, Zeit für Updates. Wie üblich ging das weitestgehend problemlos über die Bühne, nur ein paar Dinge brauchten etwas händisches Nachtreten:

Firmware Pakete


Die unfreien Firmware-Pakete wurden von non-free nach non-free-firmware ausgelagert. Entsprechend muss die /etc/apt/sources.list ergänzt werden, sonst werden die Firmware-Pakete nicht aktualisiert.

vim


Alle paar Releases wieder gibt es eine kaputte Version von vim, die man wieder zurechtkonfigurieren muss, damit z.B. einfügen per Mittelklick auch in meiner Umgebung (d.h. viel SSH und xterm) noch geht. Hier die aktuelle Config:
let g:skip_defaults_vim = 1
filetype plugin indent on
set tabstop=4
set shiftwidth=4
set paste
set noai
set vb
syntax enable

Die erste Zeile setzt erst mal alles auf Standardeinstellungen zurück, damit man anfangen kann zu arbeiten...

Zoneminder


Die Maschine wurde von Debian 10 und Zoneminder ab externem Repo erst zu Debian 11 mit Zoneminder ab backports aktualisiert und dann auf Debian 12 (ohne Extras) angehoben. Wichtig war nur nach jedem Update einmal zmupdate.pl -f auszuführen.

Nextcloud


Das Nextcloud-Update war etwas fummelig. Debian 11 kommt mit PHP 7.4, welches ab Nextcloud 26 nicht mehr unterstützt wird. Debian 12 kommt mit PHP 8.2, welches von Nextcloud 25 noch nicht unterstützt wird. Also war hier folgendes vorgehen angesagt:
- Nextcloud auf das letzte 25er Release aktualisieren
- Debian aktualisieren
- Auf Nextcloud 26 (wichtig, nicht latest, denn das ist bereits 27 oder noch neuer) von Hand aktualisieren
- Nextcloud über den eingebauten Updater auf die neuste Version bringen.

Die Covid Tracing App des Bundes...

^ v M ><
Was sagt der Hersteller: WIR RESCHPEKTIEREN DEN DATENSCHUTZ, IM FALL!

Schlimm genug: Die App verbindet sich mehrmals täglich zu Servern "des Bundes" (mehr dazu gleich), "um Konfigurationsdaten zu laden". Yeah right. Alleine das macht prinzipiell rückverfolgbar. Theoretisch wissen sie somit, wann ich zuhause, im Mobilnetz, im Büro, bei Freunden, an bestimmten SBB-Bahnhöfen, im Ausland oder zufällig mit Staatsfeinden ins gleiche WLAN eingeloggt bin.
Praktisch wird es nicht ganz einfach sein, da bei der Serververbindung nur eine begrenzte Menge Informationen über mein Telefon mitgegeben wird (App UserAgent Config Abruf).
Dies natürlich unter der Voraussetzung, dass die zu installierende Version aus dem Appstore dem entspricht, was da bei Microsoft-Github publiziert wird.

Ein weiterer Blick in den Sourcecode in Kombination mit ein paar DNS-Lookups macht alles noch viel schlimmer.

Verbindungen aufgebaut werden zu folgenden vier URLs:
https://codegen-service.bag.admin.ch/
https://www.pt.bfs.admin.ch/
https://www.pt.bfs.admin.ch/
https://www.pt1.bfs.admin.ch/
Und sind die wenigstens in der Schweiz, bei einem Schweizer Provider gehostet?

dig +short codegen-service.bag.admin.ch
162.23.137.58
$ dig +short www.pt-d.bfs.admin.ch
dhubv7mx4v0yy.cloudfront.net.
13.226.154.78
13.226.154.73
13.226.154.33
13.226.154.13
$ dig +short www.pt-d.bfs.admin.ch
dhubv7mx4v0yy.cloudfront.net.
13.226.154.13
13.226.154.73
13.226.154.78
13.226.154.33
$ dig +short www.pt1-d.bfs.admin.ch
pt1-d.bit.admin.ch.
162.23.137.59
$ dig +short www.pt1.bfs.admin.ch
pt1.bit.admin.ch.
162.23.137.65

Aber wem gehören diese Server denn?
$ whois 13.226.154.78
[..]
Organization: Amazon Technologies Inc. (AT-88-Z)

Natürlich! Immerhin: Dafür wurden sie ja schon kritisiert. Und das haben sie auch von Anfang an so angesagt. Leider haben es entweder der Bund oder die Medien ([1] [2]) da nicht ganz genau genommen mit der Wahrheit, wird doch behauptet, man nehme die Server von Amazon Deutschland.

Doch ein GeoIP-Lookup der hinter den CloudFlare verteilten Amazon-Server zeigt:
$ geoiplookup 13.226.154.78
GeoIP Country Edition: US, United States

Und wo gehen meine Datenpakete denn so überall durch, auf dem Weg zu Uncle Sam?
traceroute to 13.226.154.78 (13.226.154.78), 30 hops max, 60 byte packets
[..]
9 pd9ef372e.dip0.t-ipconnect.de (217.239.55.46) 30.289 ms 30.243 ms 29.741 ms
10 xe-5-2-0-0.ldn4nqp1.uk.ip.tdc.net (80.150.170.174) 32.190 ms 31.931 ms 32.210 ms
[..]

Schlaaaand und extraeuropäisches Territorium (UK)! Können wir da nicht noch die Russen und die Chinesen irgendwie auch involvieren?

Immerhin: Der IP-Range 162.23.0.0/16 gehört dem Bund und routet in die Schweiz.
Und: Alle Verbindungen werden zumindest verschlüsselt aufgebaut und die Zertifikate sind im Code gepinnt (uuuh, ich seh schon den Totalausfall kommen, wenn die Zertifikate erneuert werden müssen...).

Fazit: Es ist schlimm. Aber es könnte wirklich sehr viel schlimmer sein. V.a. in Anbetracht dessen, dass das arbeitende Steuergelder sind.

Konsequenz: Installiert, aber nur auf dem Zweittelefon, in dem keine SIM-Karte eingesetzt ist, das kaum ein WLAN ausser meinem daheim kennt und bei dem es mir egal ist, wenn der Akku nach 30 Minuten alle ist.

Bye Bye ICQ

^ v M ><
oh-oh! Nachdem ICQ schon vor einigen Monaten das Protokoll mal wieder geändert hatte und dadurch mein XMPP-to-ICQ-Transport nicht mehr funktionierte, habe ich heute Morgen aufgeräumt und ICQ komplett entsorgt. Die verwendete Transport-Software pyicqt wird seit 11 Jahren nicht mehr weiterentwickelt, da besteht keine Hoffnung auf Wiederbelebung.

Zeit, ein Kapitel endgültig abzuschliessen. Und wieder einmal das Mantra zu wiederholen: Nutzt freie Protokolle!