The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

30.04.2017 Релиз Kirigami 2.1, фреймворка для построения интерфейса от проекта KDE (8 –1)
  Представлен релиз фреймворка Kirigami 2.1, развиваемого сообществом KDE для быстрой разработки приложений с адаптивным интерфейсом, работающим без изменения на настольных и мобильных системах. Фреймворк является надстройкой над Qt Quick Controls и использует в качестве основы уже предоставляемые в Qt Quick элементы, такие как кнопки и поля ввода.

Приложения, использующие Kirigami, автоматически адаптируются к размеру экрана и доступным методам ввода, что позволяет комфортно работать с ними на настольных системах, планшетах с относительно большими сенсорными экранами и смартфонах с ограниченным экранным пространством. Kirigami даёт возможность комбинировать элементы Qt Quick в готовые блоки построения интерфейса, например, позволяет построить интерфейс в форме набора горизонтально сдвигаемых страниц, которые отображаются по одной или группируются в зависимости от размера экрана.

Для управления со смартфона предлагается концепция управления приложением одной рукой, основанная на формировании неинвазивных всплывающих окон - вместо открытия диалога подтверждения операции, пользователю предоставляется возможность отменить действие, после его совершения. В настоящее время поддерживается создание приложений для настольных дистрибутивов GNU/Linux на базе X11 и Wayland, Windows, Android, платформы Plasma Mobile и с минимальными модификациями для macOS и iOS.

Среди изменений в Kirigami 2.1:

  • Добавлен элемент ItemViewHeader, предоставляющий средства для определения заголовка списка ListViews и настройки отображения фонового изображения в шапке, к которому применяется эффект прокрутки при изменении размера. Разработчикам предоставляется несколько вариантов поведения элемента;
  • Добавлен универсальный корневой QML-элемент ApplicationItem, который можно использовать в гибридных приложениях, одновременно использующих QWidgets и QML. Основное оформление для данных приложений может быть основано как на QQuickView, так и на базе QQuickWidget;
  • Представлен новый элемент PageRow;
  • Проведена оптимизация отступов и интервалов между элементами в нижнем блоке кнопок и в выпадающих меню;
  • Переписана панель десктоп-режима, улучшена загрузка страниц в приложениях для рабочего стола;
  • Улучшено управление пиктограммами из системной темы оформления при запуске в десктоп-режиме;
  • Улучшена поддержка колеса мыши при отображении основных списков элементов;
  • Приведено в порядок поведение центральной прокручиваемой области.

  1. Главная ссылка к новости
  2. OpenNews: Проект KDE опубликовал фреймворк для построения интерфейса Kirigami UI 2.0
  3. OpenNews: Релиз Kirigami 1.1, фреймворка для построения интерфейса от проекта KDE
  4. OpenNews: Проект KDE опубликовал первый релиз Kirigami UI, фреймворка для построения интерфейса
  5. OpenNews: Проект KDE представил фреймворк для построения интерфейса Kirigami UI
  6. OpenNews: Мобильная платформа Plasma Mobile портирована для устройств Nexus 5X
Обсуждение (8 –1) | Тип: Программы |
29.04.2017 Выпуск VirtualBox 5.1.22 (6 +6)
  Компания Oracle выпустила корректирующий релиз системы виртуализации VirtualBox 5.1.22, в котором отмечено 6 исправлений. В новой версии устранены внесённые в прошлом выпуске регрессивные изменения, из-за которых на платформе Linux перестал работать бэкенд для вывода звука при помощи подсистемы ALSA, наблюдались проблемы с загрузкой библиотек OpenGL и не работала с символическими ссылками утилита mount.vboxsf. Также исправлены проблемы с программной виртуализацией на хостах с Solaris и устранены потенциальные крахи и зависания в подсистеме работы с хранилищем, проявляющиеся при редком стечении обстоятельств (например, при выполнении слияния снапшотов при отключенном асинхронном вводе/выводе).

  1. Главная ссылка к новости
  2. OpenNews: Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей
  3. OpenNews: Выпуск VirtualBox 5.1.20
  4. OpenNews: Выпуск VirtualBox 5.1.18
  5. OpenNews: Выпуск VirtualBox 5.1.16
Обсуждение (6 +6) | Тип: Программы |
29.04.2017 Доступна открытая игровая консоль Lakka 2.0 (19 +13)
  Состоялся релиз дистрибутива Lakka 2.0 который позволяет превратить компьютер, телеприставку или плату, подобную Raspberry Pi, в полноценную игровую консоль для запуска ретро игр. Проект построен в форме модификации дистрибутива LibreELEC, изначально рассчитанного на создание домашних кинотеатров. Для экономии средств при помощи Lakka можно сделать игровую консоль из Raspberry Pi или Odroid, используя пульты от уже имеющихся игровых приставок, включая Playstation 3, Dualshock 3, 8bitdo, XBox 1 и XBox360.

В основе Lakka лежит эмулятор игровых консолей RetroArch, обеспечивающий эмуляцию широкого спектра устройств и поддерживающий такие расширенные возможности, как многопользовательские игры, сохранение состояния, улучшение качества изображения старых игр при помощи шейдеров, перемотка игры назад, горячее подключение игровых пультов и видео стримминг. Для установки достаточно записать дистрибутив на SD-карту или USB-накопитель, подключить игровой пульт и загрузить систему.

Сборки Lakka формируются для платформ i386, x86_64 (GPU Intel, NVIDIA или AMD), Raspberry Pi 1/2/3, Orange Pi, Cubieboard, Cubieboard2, Cubietruck, Banana Pi, Hummingboard, Cubox-i, Odroid C1/C1+/XU3/XU4 и WeTek_Play и т.д.. Среди эмулируемых консолей: Atari 2600/7800/Jaguar/Lynx, Game Boy, Mega Drive, NES, Nintendo 64/DS, PCEngine, PSP, Sega 32X/CD, SuperNES и т.д.

Особенности новой версии:

Обсуждение (19 +13) | Тип: Программы |
29.04.2017 Анализ уязвимостей в Android-приложениях с открытыми сетевыми портами (23 +10)
  Группа исследователей из Мичиганского университета опубликовала доклад о безопасности мобильных приложений для платформы Android, которые открывают сетевые порты в слушающем режиме и принимают на них соединения. Отмечается, что обработка внешних сетевых запросов создаёт угрозу для безопасности мобильных устройств, которая обычно упускается из виду из-за не серверной специфики мобильных приложений. Исследователи разработали специализированную утилиту OPAnalyzer для статического анализа кода, которая выявляет открытие сетевых портов и оценивает наличие типовых уязвимостей в реализации.

Проверка более 100 тысяч приложений из каталога Google Play выявила 1632 программы, принимающие сетевые соединения, половина из которых насчитывает более 500 тысяч загрузок. Исследователи пришли к выводу, что почти половина всех обработчиков сетевых соединений не защищена и может быть использована для организации удалённых атак. Всего при автоматизированной проверке было выявлено 410 уязвимых приложений и 956 потенциальных методов эксплуатации уязвимостей. Вручную было подтверждено наличие уязвимостей в 57 приложениях, в том числе очень популярных, насчитывающих от 10 до 50 млн загрузок и предустанавливаемых на смартфоны некоторых производителей.

Выявленные уязвимости позволяют через отправку запросов на открытый приложением сетевой порт получить доступ к контактам и фотографиям, перехватить параметры аутентификации, установить вредоносное ПО, выполнить свой код на устройстве или отправить SMS на платный сервис. Уязвимости разделены на две категории: ошибки реализаций (например, отсутствие экранирования спецсимволов и ".." в путях) и вредоносные закладки (например, вшитый в приложения инженерный пароль для удалённого доступа).

По решаемым задачам обработчики внешних соединений в мобильных приложениях разделены на пять категорий: организация совместного доступа к данным (69.3%), прокси-сервисы (6.3%), удалённое выполнение операций (6.5%), приём VoIP-вызовов (2.3%) и приложения на базе платформы PhoneGap (14.6%). 60% уязвимостей при организации совместного доступа к данным связаны с ненадлежащим механизмом аутентификации клиента или её отсутствием. Основная проблема с прокси, которые обычно применяются в таких приложениях как фильтры содержимого и блокировщики рекламы, связана с ненадлежащим контролем доступа, что позволяет использовать их как усилитель DDoS-атак, для заметания следов или выделения прокэшированного контента.

Удалённое выполнение операций связано с предоставлением интерфейсов для выполнения определённых действий на телефоне, например отправки SMS с ПК или обращения к хранилищу. Гибридные приложения на базе фреймворка PhoneGap (Apache Cordova) разделены на бэкенд и фронтенд, который оформляется на JavaScript/HTML5. Обработчик PhoneGap должен привязываться к внутреннему сетевому интерфейсу, но по ошибке часто прикрепляется и к внешнему интерфейсу, при этом запросы аутентифицируются по UUID, и вероятность атаки через PhoneGap оценивается как маловероятная.

Для демонстрации возможных методов эксплуатации исследователи подготовили несколько сценариев атак:

  • Доступ к фотографиям атакующим в локальной сети, выполнившим сканирование доступных в сети устройств:
  • Доступ к фотографиям из вредоносного приложения, имеющего только право установки сетевых соединений:
  • Инициирование отправки платных SMS при клике на ссылку в браузере:
  • Перехват параметров аутентификации при работе пользователя с внешним сервисом:

  1. Главная ссылка к новости
  2. OpenNews: В Android и старых ядрах Linux устранена уязвимость, эксплуатируемая через отправку UDP-пакетов
  3. OpenNews: Небезопасное хранение данных в менеджерах паролей для платформы Android
  4. OpenNews: Большинство VPN-приложений для Android не заслуживают доверия
  5. OpenNews: Проект Tor представил прототип защищённого смартфона на платформе Android
  6. OpenNews: Исследование негативного влияния на безопасность локального перехвата HTTPS-трафика
Обсуждение (23 +10) | Тип: Проблемы безопасности |
28.04.2017 Серия уязвимостей и инженерный пароль в беспроводных точках доступа Moxa (16 +6)
  Исследователи безопасности из компании Cisco обнаружили наличие скрытой учётной записи для входа на точки доступа Moxa AWK-3131A, ориентированные на развёртывание беспроводной сети для управления объектами промышленной автоматизации. Используя недокументированную учётную запись (логин 94jo3dkru4, пароль moxaiwroot) любой злоумышленник может получить root-доступ к устройству по протоколам SSH или Telnet, которые включены по умолчанию. Для решения проблемы рекомендуется отключить сервисы SSH и Telnet, так как удаление учётной записи будет действовать только до перезагрузки.

Примечательно, что две недели назад в беспроводных точках доступа Moxa также нашли серию уязвимостей. Например, устройства подвержены CSRF-атакам, через форму ping-проверки можно выполнить любой код в системе, файл конфигурации и логи можно получить без аутентификации, применяются ненадёжные криптоалгоритмы для которых разработаны методы проведения атак, записываемый в Cookie сессионный ключ может быть использован для входа с других систем.

  1. Главная ссылка к новости
Обсуждение (16 +6) | Тип: Проблемы безопасности |
28.04.2017 Выпуск Wine 2.7 (4 +17)
  Состоялся экспериментальный выпуск открытой реализации Win32 API - Wine 2.7. С момента выпуска версии 2.6 был закрыт 31 отчёт об ошибках.

Наиболее важные изменения:

  • В WebServices добавлена поддержка TCP- и UDP-соединений;
  • В Direct3D 11 внесены улучшения, связанные с поддержкой шейдеров;
  • Улучшены средства для настройки high DPI;
  • Частично реализована библиотека GLU (OpenGL Utility Library);
  • Добавлена поддержка свежих версий API OSMesa;
  • Улучшено управление окнами в macOS;
  • Закрыты отчёты об ошибках, связанные с работой игр и приложений: Stronghold 2, Need for Speed: Carbon demo, Purge, Dirt 3, Photoshop CS6, DeSmuME 0.9.8, The Witcher 3, Nox, Transcendence, Steuer-Spar-Erklärung 2017, Tree of Savior, The Technomancer, Propellerhead Reason 5, Star Wars: Knights of the Old Republic 1 & 2.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск Wine 2.6
  3. OpenNews: Выпуск Wine 2.5
  4. OpenNews: Выпуск Wine 2.4
  5. OpenNews: Стабильный релиз Wine 2.0
  6. OpenNews: Выпуск проекта Wine Staging 2.0, дополняющего Wine 2.0
Обсуждение (4 +17) | Тип: Программы |
28.04.2017 Зафиксировано перенаправление трафика крупнейших финансовых сервисов через BGP (73 +17)
  Проект BGPMon, выполняющий мониторинг изменения BGP-маршрутов, зафиксировал аномальное перенаправление значительной части трафика крупнейших финансовых сервисов, включая Visa, MasterCard и некоторых банков. Из-за внесения изменений в анонсируемые через BGP маршруты, значительная часть трафика ряда финансовых сервисов начала направляться в сеть Ростелекома. Трафик перенаправлялся в течение 5-7 минут, после чего маршрутизация нормализовалась.

Аномалия была вызвана добавлением в таблицы маршрутизации Ростелекома 50 префиксов автономных систем (37 уникальных AS), среди которых были подсети ряда крупных финансовых сервисов и банков, что привело к тому, что данные автономные системы были анонсированы по BGP как находящиеся в сети Ростелекома. Подобные инциденты, вызванные ошибками персонала, возникают в глобальной Сети регулярно и будут продолжаться, пока не будут внедрены методы авторизации BGP-анонсов (сейчас любой оператор может анонсировать подсеть с фиктивными сведениями о длине маршрута и инициировать транзит через себя части трафика от ближних систем, не применяющих фильтрацию анонсов).

В случае Ростелекома вопросы вызывает присутствие известных финансовых сервисов в списке перенаправленных сетей (случайные утечки обычно менее избирательны) и то, что характер префиксов свидетельствует о ручном изменении таблиц маршрутизации, а не типичной утечке анонсов по цепочке "BGP - OSPF - BGP"). Тем не менее, скорее всего проблема вызвана ошибкой в конфигурации, так как проведение столько заметной и грубой атаки по перехвату трафика маловероятно.

Но даже если была совершена ошибка, настораживает сам факт интереса инженеров Ростелекома к сетям финансовых сервисов (возможно, ошибка была совершена в ходе настройки внутреннего мониторинга/зеркалирования проходящего через Ростелеком трафика для всплывших автономных систем, как в своё время заворачивание в Пакистане подсетей YouTube на null-интерфейс привело к появлению этих подсетей в BGP анонсах и стеканию трафика YouTube в Пакистан). В случае получения доступа к транзитному трафику Visa и MasterCard дешифровка почти исключена, но имеется возможность изучить характер трафика и источники запросов, что может быть использовано для проведения целевых атак на менее защищённые партнёрские компании.

  1. Главная ссылка к новости
  2. OpenNews: В рамках проекта GoBGP развивается реализация протокола BGP на языке Go
  3. OpenNews: BGP достиг рубежа в 512 тысяч маршрутов, что может привести к проблемам в интернете
  4. OpenNews: Выявлена техника MITM-атак, основанная на подстановке фиктивных BGP-маршрутов
  5. OpenNews: Эксперимент RIPE NCC выявил ошибку в реализации протокола BGP в Cisco IOS
  6. OpenNews: Проблемы в BGP названы одной из самых опасных уязвимостей Интернета
Обсуждение (73 +17) | Тип: Тема для размышления |
28.04.2017 Уязвимость в LibreSSL, затрагивающая механизм проверки TLS-сертификатов в nginx (24 +6)
  В развиваемой проектом OpenBSD библиотеке LibreSSL выявлена уязвимость (CVE-2017-8301), приводящая к пропуску проверки сертификатов TLS в приложениях, использующих API отложенной проверки на основе регистрации callback-обработчика и функции SSL_get_verify_result. Из подверженных уязвимости приложений отмечаются http-сервер nginx и IRC-сервер InspIRCd. Уязвимость выявлена разработчиками дистрибутива Alpine Linux.

Проблема проявляется начиная с выпуска LibreSSL 2.5.1 и присутствует в актуальном выпуске 2.5.3. Обновление с исправлением пока находится в процессе разработки. Подключение с некорректным сертификатом возможно только если callback-обработчик всегда возвращает значение 1 и следом результат верификации оценивается через вызов функции SSL_get_verify_result(). Проблема может затрагивать как серверы, к которым выполняется подключение по клиентским сертификатам, так и клиентское ПО, проверяющее сервер по серверному сертификату.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск LibreSSL 2.5.2
  3. OpenNews: Обновление OpenSSL 1.1.0e с устранением уязвимости
  4. OpenNews: Критическая уязвимость в криптографической библиотеке MbedTLS (PolarSSL)
  5. OpenNews: Выпуск LibreSSL 2.5.0
  6. OpenNews: Доступен минималистичный дистрибутив Alpine Linux 3.5
Обсуждение (24 +6) | Тип: Проблемы безопасности |
28.04.2017 Статус подготовки Debian 9 (56 +22)
  Разработчики Debian опубликовали новый отчёт о подготовке следующей значительной ветки Debian - "Stretch". Уже почти три месяца пакетная база Debian 9 находится на стадии полной заморозки перед релизом, при которой процесс переноса пакетов из unstable в testing полностью остановлен. В настоящее время насчитывается 143 критических для формирования релиза ошибки, при этом только одна из этих проблем помечена как блокирующая и остаётся неисправленной в Debian Sid. Точная дата релиза по-прежнему не определена, наиболее вероятно, что релиз выйдет в начале лета.

Для ускорения формирования релиза разработчики решились на компромисс и вывели обеспечение поддержки UEFI Secure Boot из категории блокирующих релиз, опасаясь того, что подгоняемая ограниченным временем команда, занимающаяся данной системой, наделает новых ошибок. Поэтому, вероятно Debian 9 выйдет без изначальной поддержки UEFI Secure Boot. В этом случае реализация данной технологии будет доведена до рабочего состояния уже после релиза.

Также опубликован отчёт от команды, занимающейся подготовкой установочных и загрузочных сборок Debian. Как уже сообщалось ранее, проект отказался от формирования для Debian 9 полных наборов образов на CD, которые включают более 80 компакт-дисков и не востребованы пользователями. Также почти полностью упразднены урезанные установочные CD-сборки с различными рабочими столами. Из CD-сборок остались только однодисковый образ с рабочим столом Xfce и сборка для загрузки пакетов по сети (netinst). Формирование полных образов на носителях DVD, Blu-Ray (BD) и двухслойном Blu-Ray (DLBD) будет продолжено для всех поддерживаемых архитектур.

Для архитектур amd64 и i386 возобновлено формирование еженедельно обновляемых Live-сборок с рабочими столами GNOME, KDE, Cinnamon, Mate, Xfce и LXDE, занимающих около 2 Гб. В отличие от прошлых выпусков в Live-сборках обеспечена поддержка загрузки на системах с UEFI. Из новых образов отмечаются сборки для развёртывании облачных систем (предлагается OpenStack) на оборудовании ARM64 и неофициальные сборки с несвободными прошивками, формируемые в формах live, netinst и DVD. К релизу также планируется завершить реорганизацию страниц загрузки на сайте проекта, что упростит навигацию по предоставляемым сборкам.

  1. Главная ссылка к новости
  2. OpenNews: Debian прекращает поддержку FTP на своих серверах
  3. OpenNews: Статус подготовки релиза Debian 9 "Stretch"
  4. OpenNews: Третий кандидат в релизы инсталлятора Debian 9
  5. OpenNews: Debian 9.0 "Stretch" перешёл на стадию заморозки перед релизом
  6. OpenNews: Debian прекратит формирование CD-образов
Обсуждение (56 +22) | Тип: К сведению |
27.04.2017 Система защищённых коммуникаций Nomx оказалась примером халатного отношения к безопасности (67 +32)
  Исследователь Скот Хельме при поддержке издания BBC (Scott Helme) провёл тестирование устройства nomx, позиционируемого как реализация наиболее защищённого коммуникационного протокола ("The world’s most secure communications protocol. Everything else is insecure."). На деле, nomx оказался примером наплевательского отношения к безопасности, граничащим с жульничеством.

Младшая модель nomx продаётся по цене $199, а стоимость старшей модели для крупных корпоративных сетей доходит до 10 тысяч долларов. Первое, что вызвало удивление стала начинка устройства. В корпусе была размещена обычная плата Raspberry Pi за 35 долларов, SD-карта и пара светодиодов.

Не меньшее удивление вызвала программная начинка - на устройстве загружался дистрибутив Raspbian 7 (wheezy) с сильно устаревшими версиями пакетов, например сам дистрибутив обновлён 7 мая 2015 года, nginx и Dovecot от 2012 года, PHP от 2015 года, OpenSSL и MySQL от 2016 года. При этом в системе не был предусмотрен механизм установки обновлений.

Web-интерфейс (на базе PostfixAdmin) открывался по HTTP, не был защищён от CSRF-атак и содержал аккаунт, позволяющий войти с правами администратора введя логин "admin@example.com" и пароль "password". Упоминаемый в рекламе безопасный коммуникационный протокол nomx оказался обычным SMTP-сервером, не использующим MX-записи в DNS, с самоподписанным сертификатом, без настройки SPF, DKIM и DMARC, и с привязкой к API регистратора доменов GoDaddy.

Компания nomx отрицает наличие уязвимости и проблем с безопасностью, указывая, что устройство успешно прошло все тесты на безопасность и ни один пользователь не был скомпрометирован (исследователь опубликовал эксплоит и подробно описал технику CSRF-атаки, которую может повторить любой желающий, как и изучить состав прошивки). По поводу Raspberry Pi утверждается, что к исследователю в руки попал демонстрационный, а не серийный образец.

  1. Главная ссылка к новости
Обсуждение (67 +32) | Тип: Проблемы безопасности |
27.04.2017 В Chrome появятся дополнительные предупреждения о небезопасности HTTP (48 +7)
  Компания Google сообщила о решении расширить спектр ситуаций при которых будет выводиться сообщение о небезопасном соединении при обращении к сайтам по HTTP. Помимо уже выставляемой метки небезопасного соединения при заполнении форм ввода пароля и номеров кредитных карт, начиная с октября 2017 года аналогичное предупреждение будет выводиться при заполнении любых форм данных на страницах открытых по HTTP, а также при открытии сайтов по HTTP в режиме инкогнито.

По статистике Google предпринятые в Chrome 56 меры привели к сокращению обращений по HTTP к страницам с формами ввода паролей на 23%. В более отдалённом будущем компания Google намерена помечать небезопасными все обращения к сайтам по HTTP.

  1. Главная ссылка к новости
  2. OpenNews: Поставлена под сомнение валидность 30 тысяч HTTPS-сертификатов удостоверяющего центра Symantec
  3. OpenNews: Исследование негативного влияния на безопасность локального перехвата HTTPS-трафика
  4. OpenNews: Доля обращений по HTTPS среди пользователей Firefox превысила 50%
  5. OpenNews: Chrome начнёт помечать небезопасными страницы, открытые по HTTP
Обсуждение (48 +7) | Тип: К сведению |
27.04.2017 Выпуск web-браузера Vivaldi 1.9 (44 –16)
  Доступен выпуск проприетарного web-браузера Vivaldi 1.9, разрабатываемого на базе движка Chromium и продолжающего развитие идей классического браузера Opera, предоставляя широкий спектр возможностей, включая удобную систему группировки вкладок, боковую панель, конфигуратор с большим числом настроек, режим блокировки изображений и нежелательного контента, систему ведения заметок, режим горизонтального отображения вкладок. Интерфейс браузера написан на языке JavaScript с использованием библиотеки React, платформы Node.js, Browserify и различных готовых NPM-модулей. Сборки Vivaldi подготовлены для Linux, Windows и macOS. Для прошлых выпусков проект распространяет под открытой лицензией исходные тексты изменений к Chromium. Реализация интерфейса Vivaldi написана на JavaScript, доступна в исходных текстах, но под проприетарной лицензией.

Основные новшества:

  • В список поддерживаемых поисковых движков добавлен сервис Ecosia, который тратит заработанные на рекламе средства на посадку деревьев;
  • Добавлена функция сортировки заметок;
  • В панели с адресной строкой появилась возможность изменения местоположения кнопок дополнений;
  • В панель интерфейса просмотра истории посещений добавлена возможность фильтрации вывода по заданному сайту;
  • В контекстном меню появилась секция со списком ранее удалённых web-панелей;
  • Улучшена система автодополнения ввода URL в адресной строке;
  • Возможность выбора директории для сохранения скриншотов.
  • Движок Chromium обновлён до версии 58.0.3029.82;

  1. Главная ссылка к новости
  2. OpenNews: Создатель JavaScript и бывший руководитель Mozilla представил новый браузер Brave
  3. OpenNews: Выпуск web-браузера Chrome 58
  4. OpenNews: Выпуск браузера Otter 0.9.12, предлагающего интерфейс в стиле Opera 12
  5. OpenNews: Выпуск web-браузера Opera 43
  6. OpenNews: Выпуск web-браузера Vivaldi 1.8
Обсуждение (44 –16) | Тип: Программы |
27.04.2017 Первый стабильный выпуск ветки Tor 0.3.0 (197 +19)
  Представлен выпуск инструментария Tor 0.3.0.6, используемого для организации работы анонимной сети Tor. Tor 0.3.0.6 является первым стабильным выпуском ветки 0.3.0, которая развивалась последние пять месяцев.

Основные новшества:

  • Задействована идентификация шлюзов по цифровой подписи с открытым ключом Ed25519 (вместо RSA1024), разработанной Дэниэлом Бернштейном и отличающейся очень высокой скоростью верификации и создания подписей при более высоким уровнем безопасности, чем ECDSA и DSA. Ed25519 не подвержен проблемам с коллизиями в хэшах, не чувствителен к атакам через определение скорости работы кэша (cache-timing attacks) и атакам по сторонним каналам (side-channel attacks). В настройках по умолчанию выставлен параметр AuthDirPinKeys, отклоняющий подключение узлов при совпадении RSA-ключей, но изменении ключа Ed25519;
  • Заменён алгоритм выбора и замены сторожевых узлов (guard) с целью повышения надёжности работы в низкокачественных сетях и при ограниченном числе входных узлов, а также для противодействия атакам по захвате узлов (guard-capture attack) во враждебных локальных сетях;
  • Продолжено развитие дополнительного бэкенда для скрытых сервисов нового поколения. Узлы теперь поддерживают третью версию ячеек ESTABLISH_INTRO и протокола HSDir, описанных в спецификации prop224 ("Next Generation Hidden Services"). Сервисы и клиенты пока не используют данную возможность;
  • Для противодействия атакам по деанонимизации через анализ трафика DNS (например, атака DefecTor) изменён алгоритм выбора времени жизни (TTL) записей DNS на стороне клиента и сервера. Узлы теперь возвращают одно из двух возможных значений TTL, которое принимается клиентом ограниченное время (до трёх часов).

  1. Главная ссылка к новости
  2. OpenNews: Tor прекращает разработку hardened-версии своего браузера
  3. OpenNews: Четвёртый тестовый выпуск системы мгновенного обмена сообщениями от проекта Tor
  4. OpenNews: Выпуск web-браузера Tor Browser 6.5
  5. OpenNews: Первый стабильный выпуск ветки Tor 0.2.9
  6. OpenNews: Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Browser
Обсуждение (197 +19) | Тип: Программы |
27.04.2017 Libreboot возвращается в проект GNU (90 +31)
  Разработчики проекта Libreboot, в рамках которого развивается полностью свободное ответвление от CoreBoot, предоставляющее очищенную от бинарных вставок замену проприетарным прошивкам UEFI и BIOS, выступили с инициативой воссоединения с проектом GNU, отношения с которым были разорваны в результате конфликта в конце прошлого года. Одновременно Лия Роу (Leah Rowe), основной разработчик и основатель дистрибутива Libreboot, из-за решения которой были разорваны отношения с GNU, объявила об уходе с поста лидера проекта в пользу новой коллективной модели управления, принимающей решения на основе мнения сообщества.

Первым совместным решением стал возврат в проект GNU, за что проголосовало большинство разработчиков и представителей сообщества Libreboot. В поддержку вынесенного решения Лия заявила о готовности передать Фонду свободного ПО права на домен libreboot.org и предоставить SSH-доступ на сервер. Запрос на вступление уже отправлен в проект GNU, лидеры которого не против возвращения Libreboot, но официальное решение пока не принято.

Новая система управления Libreboot построена на принципах демократии и включает совет из 4 ключевых разработчиков, которые принимают решения коллегиально, учитывая мнение сообщества. В настоящий момент в совет вошли Лия Роу (Leah Rowe, бывший лидер), Свифт Гик (Swift Geek, активный разработчик), Paul Kocialkowski (активный разработчик) и Алиса Розенцвейг (Alyssa Rosenzweig, сисадмин и ответственная за взаимодействие с сообществом).

Дополнение: Кто-то из разработчиков Libreboot не согласился передавать домен libreboot.org Фонду СПО и теперь сообщество рассматривает передачу прав организации Software Freedom Conservancy (SFC).

  1. Главная ссылка к новости
  2. OpenNews: Ричард Столлман сообщил о выходе Libreboot из проекта GNU
  3. OpenNews: Проект GNU не даст Libreboot уйти в свободное плавание
  4. OpenNews: Libreboot вышел из состава GNU (новые подробности)
  5. OpenNews: Первый выпуск Libreboot, после перехода под крыло проекта GNU
  6. OpenNews: Libreboot вошел в число проектов GNU
Обсуждение (90 +31) | Тип: К сведению |
26.04.2017 Возможность атаки на телевизоры Samsung через Wi-Fi Direct (49 +13)
  В телевизорах Samsung Smart TV на базе ОС Tizen выявлена уязвимость, позволяющая атакующему без проведения аутентификации выдать себя за другое устройство, сопряжённое с телевизором по Wi-Fi Direct. Проблема остаётся неисправленной, так как компания Samsung после месяца переписки не признала её уязвимостью. В качестве обходного метода защиты рекомендуется удалить все устройства, помещённые в белый список, и не использовать соединения по Wi-Fi Direct.

Технология Wi-Fi Direct (Wi-Fi P2P) даёт возможность организовать прямое беспроводное соединение между устройствами без применения точки доступа. При установке соединения осуществляется сопряжение устройств по PIN-коду, нажатию клавиши или через NFC. Для того чтобы не набирать каждый раз код подтверждения в Samsung Smart TV применяются белые списки, в которых сохраняются MAC-адреса подключавшихся устройств. Повторное подключение производится без аутентификации.

Атакующий может перехватить MAC-адрес сопряжённого устройства и использовать его для подсоединения к телевизору без аутентификации. Злоумышленник может воспользоваться сервисом удалённого управления, зеркалированием экрана по DNLA и любыми другими доступными сервисами. В качестве примера приводится возможная атака на телевизоры в комнатах ожидания различных компаний. Подключившись к такому телевизору атакующий может использовать его как начальную точку для проведения атаки на корпоративную сеть, узнав в настройках телевизора пароль подключения к локальной беспроводной сети.

  1. Главная ссылка к новости
  2. OpenNews: Продемонстрирована атака на Smart TV через подмену сигнала цифрового телевидения
  3. OpenNews: Офисная техника может стать причиной утечки информации
  4. OpenNews: Открыт код инструментария для проведения атак через модификацию прошивок USB-накопителей
  5. OpenNews: Представлена техника атаки на микроконтроллеры, встроенные в MicroSD-карты
  6. OpenNews: Представлена атака, использующая уязвимость в 4G-чипе смартфонов Huawei
Обсуждение (49 +13) | Тип: Проблемы безопасности |
Следующая страница (раньше) >>


  Закладки на сайте
  Проследить за страницей
Created 1996-2017 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor TopList