Тысячи анкет с фотографиями

Знакомства

Найди свою любовь

Игры

Игры

Онлайн флеш игры

временная фотография

Из Олайне...

Новости мира открытых систем

Я очень дружу с Linux, чего и вам желаю...Поэтому самые свежие новости открытых систем и публикуются, огромное спасибо автору.


Анализ средств отслеживания действий пользователей на сайтах


Исследователи из Принстонского университета изучили 10 тысяч самых популярных сайтов по рейтингу Alexa и обнаружили, что на 1239 из них применяются сторонние скрипты для анализа поведения пользователей, которые в реальном режиме времени отслеживают нажатия клавиш, прокрутку экрана, движения мыши и клики, передавая сведения на сайт аналитики до окончания заполнения и отправки web-форм. Впоследствии, оператор подобных систем аналитики может повторно прокрутить сеанс, воссоздав все действия пользователя на странице.

Среди сайтов, на которых применяются скрипты для записи действий во время сеанса работы со страницей, такие ресурсы как yandex.ru, wordpress.com, microsoft.com, adobe.com, godaddy.com, avito.ru, spotify.com, livejournal.com, hp.com, skype.com, evernote.com, samsung.com, sberbank.ru, reuters.com, bitbucket.org, ibm.com, rbc.ru, intel.com, lenovo.com, ria.ru и digitalocean.com. Так как некоторые из рассмотренных систем аналитики в зависимости от настроек позволяют отключить детальное отслеживание действий пользователя во время сеанса, при построении списка оценивалось не просто присутствие кода счётчика, а именно определялся факт отправки меток.

При помощи фреймворка OpenWPM был подготовлен краулер, который загружал страницу, симулировал действия пользователя через подстановку уникальной метки в HTML и отслеживал попытки отправить данную метку на сервер аналитики (возможность передачи метки в составе закодированного набора данных учитывалось через подстановку достаточно большого блока и оценки изменения размера передаваемых данных). Пользователи могут определить применение систем анализа сеансов лишь при помощи встроенных в бразуеры средств для web-разработчиков, так как сайты никак не информируют посетителей о записи их действий со страницей.

Самое неприятное, что рассмотренные системы отслеживания сеансов не только передают на сторонние серверы содержимое web-форм до их отправки на основной сайт, но и транслируют поля с номерами кредитных карт, паспортными данными, адресами и другой персональной информацией. При этом все рассмотренные сервисы не передают сведения вводимые в полях для ввода паролей, а некоторые сервисы пытаются фильтровать данные кредитных карт. Сервисы Smartlook и UserReplay передают число символов в поле с паролем, а UserReplay последние 4 цифры номера кредитной карты. Сервис FullStory позволяет посимвольно восстановить ввод номеров кредитных карт на некоторых сайтах. Yandex, Hotjar и Smartlook предоставляют возможность входа в web-интерфейс аналитики по HTTP без шифрования. Опасность также представляет утечка учётных записей для входа в сервис аналитики, которые могут быть использованы злоумышленниками для организации сбора приватных данных.

Самыми навязчивыми исследователи назвали сервисы Yandex Metrika, FullStory, Hotjar и Smartlook, так как они по умолчанию обеспечивают запись ввода в полях форм. Но следует учитывать настройки конкретного сайта, например, в отчёте в общем виде указано, что Yandex Metrika передаёт на внешний сервер вводимые параметры кредитных карт и персональные данные, пропуская лишь значения в полях ввода паролей, но не для всех сайтов в списке это действует. Ручная проверка присутствующего в списке sberbank.ru показала, что отправляются только данные о кликах и прокрутке без передачи непосредственного содержимого web-форм.



Источник: http://www.opennet.ru/opennews/art.shtml?num=47613

Uber раскрыл сведения об утечке персональных данных 57 млн пассажиров


Компания Uber раскрыла информацию о произошедшем в октябре 2016 года инциденте, в результате которого злоумышленники получили доступ к данным в облаке Amazon AWS и смогли загрузить сведения о 600 тысячах водителей и 57 млн пассажиров сервиса.

Взлом был произведён путём перехвата параметров входа в приватную секцию GitHub, в которой разрабатывалось программное обеспечения для работы сервиса. В составе кода атакующие нашли параметры аутентификации для Amazon AWS S3 и подключившись к ним смогли загрузить актуальные данные о пользователях и водителях. В загруженных данных фигурировали ФИО, номера водительских удостоверений (для водителей), email и номера телефонов. По заверению представителей Uber сведения о местоположении, история передвижения, параметры счетов, коды кредитных карт и номера социального страхования не пострадали.

Особенностью инцидента стало то, что Uber пошёл на поводу у атаковавших и выплатил им 100 тысяч долларов в обмен на обещание удалить полученную информацию и не сообщать о произошедшем. Гарантией исполнения обещания стало то, что удалось выяснить личности атаковавших и в случае неисполнения обязательства им грозил серьёзный срок заключения. Передача денег была оформлена как выплата вознаграждения за участие в программе по выявлению уязвимостей (Uber Engineering Bug Bounty), подразумевающей подписание соглашения о неразглашении.

Информация о взломе раскрыта после вступления на пост нового руководителя компании, который считает недопустимым сокрытие подобных инцидентов. Новый CEO также уволил курирующего оформление сделки юриста и попросил покинуть свой пост руководителя службы безопасности. Сведения о выплате и увольнениях получены изданием Bloomberg из своих источников.

Источник: http://www.opennet.ru/opennews/art.shtml?num=47608

Проблемы с BCache в ядре Linux 4.14 могут привести к повреждению данных


Пользователи дистрибутива Gentoo обратили внимание на регрессивное изменение в ядре Linux 4.14, которое может привести к повреждению содержимого файловой системы при использовании механизма BCache для кэширования доступа к медленным жестким дискам на быстрых SSD-накопителях. Исправление уже предложено для ядра Linux и будет включено в выпуск 4.14.2.

Суть проблемы в том, что в ядре 4.14 в системе блочного ввода/вывода (bio) для указания информации о разделах было представлено новое поле bi_partno, вместо того чтобы использовать уже применяемый метод кодирования сведений в поле bi_bdev в структуре bdev->bd_contains. Функция __bio_clone_fast была адаптирована для копирования информации о диске, но некорректно обрабатывала информацию о разделах на нём, что могло привести к повреждению содержимого при использовании BCache.

В зависимости от настроек проблема проявляется выдачей некорректных данных при чтении из раздела BСache, но также отмечаются и случаи невосстановимых повреждений базового раздела после его монтирования в составе BCache. Не исключено, что проблема может проявляться и для других блочных подсистем ядра, использующих вызов __bio_clone_fast.

Источник: http://www.opennet.ru/opennews/art.shtml?num=47607

Серия критических уязвимостей в Intel Management Engine


Компания Intel объявила об устранении серии уязвимостей в различных версиях прошивок для подсистемы Intel ME (Management Engine) и связанных с ней компонентах Intel Trusted Execution Engine и Server Platform Service. Всего раскрыты данные о 10 новых уязвимостях, которые были выявлены в процессе проведения аудита безопасности Intel ME. Проблемы проявляются на системах с 6, 7 и 8 поколением процессоров Intel Core, в Intel Atom C3000, Atom E3900, Intel Pentium Apollo Lake и Celeron серии N и J, а также в серверных системах на базе Intel Xeon E3-1200 v5 и v6, Xeon W и Xeon Scalable. Всем пользователям рекомендовано установить обновление прошивки. Для проверки наличия уязвимостей для Linux и Windows подготовлена специальная утилита.

Intel ME поставляется в большинстве современных материнских плат с процессорами Intel и реализован в виде отдельного микропроцессора, работающего независимо от CPU и выполняющего задачи, которые необходимо отделить от операционной системы, такие как обработка защищённого контента (DRM), реализация модулей TPM (Trusted Platform Module) и низкоуровневые интерфейсы для мониторинга и управления оборудованием. Начиная с Intel ME 11 в прошивке используется отдельная операционная система, основанная на коде ОС MINIX, которая работает параллельно с основной ОС без привлечения центрального процессора. Компрометация Intel ME позволяет получить полный доступ ко всему системному окружению, при том, что вредоносная активность будет незаметна из основной ОС.

Часть уязвимостей специфична для интерфейса удалённого управления оборудованием Active Management Technology (AMT), который используется на серверных системах и некоторых бизнес-моделях ноутбуков. Уязвимости позволяют выполнить произвольный код в контексте окружения AMT при наличии удалённого доступа к интерфейсу. Атакующий должен знать параметры аутентификации для подключения к AMT, но также может атаковать необновлённые системы с ранее найденной уязвимостью, позволяющей подключиться с пустым паролем. Сам по себе доступ к AMT уже предоставляет достаточный набор средств для совершения атаки на операционную систему, например, можно отключить UEFI Secure Boot для загрузки неверифицированных компонентов. Предоставляемая новыми уязвимостями возможность выполнения кода дополнительно позволяет манипулировать работой AMT, например отключить индикатор режима мониторинга и организовать скрытое наблюдение за содержимым экрана (при штатном режиме мониторинга на экран выводится рамка, уведомляющая пользователя о наблюдении).

Другая часть уязвимостей позволяет выполнить код в контексте ядра прошивки Intel ME, имея локальный доступ к основной системе. Уязвимости могут применяться для запуска вредоносного кода вне области видимости основной ОС и компрометации механизма Intel PTT (Platform Trust Technology), позволяющего выполнять модули TPM (Trusted Platform Module) с защищёнными обработчиками, например, используемыми для выполнения операций шифрования и хранения ключей в отдельном от операционной системы окружении. Уязвимости в Intel ME дают возможность получить доступ к этому окружению, в том числе к хранящимся там EK-ключам (Endorsement Key), используемым для идентификации модулей TPM, что сводит на нет уровень доверия к TPM-обработчикам.

Уязвимости также потенциально могут использоваться для обхода средств для загрузки в Intel ME только прошивок, заверенных цифровой подписью. Так как уязвимость эксплуатируется при обработке неподписанных данных, атакующий может изменить эти данные и добиться эксплуатации уязвимости при каждой загрузке Intel ME, после чего отключать Boot Guard и загружать любой код, полностью контролируя состав прошивки. Так как после загрузки окружение становится подконтрольным злоумышленнику и невозможно доверять информации из Intel ME в уже загруженной системе, единственным вариантом восстановления остаётся ручная перепрошивка Flash через SPI (для большинства компаний дешевле будет купить новое оборудование).

Дополнительно можно отметить планы Intel полностью прекратить поддержку BIOS к 2020 году, оставив только возможность использования UEFI. Обязательным станет использование спецификации UEFI Class 3, которая не предусматривает наличие интерфейса для Legacy BIOS.

Источник: http://www.opennet.ru/opennews/art.shtml?num=47597

Анализ степени дублирования кода на GitHub


Представлены результаты изучения дублирования кода в общем объёме исходных текстов, размещённых на GitHub. Проанализировано 4.5 млн различных проектов (без форков репозиториев), включающих более 428 млн файлов с кодом на языках Java, C++, Python и JavaScript. Из этих файлов лишь 85 млн оказались уникальными, т.е. 80% кода на GitHub являются копиями других файлов.

Определение дубликатов выполнялось несколькими методами: путём сравнения хэшей файлов (полные копии), хэшей сгруппированного набора токенов из файла (не учитывает форматирование и комментарии) и оценки частичного заимствования кода при помощи SourcererCC (определён отредактированный код с 80% общих токенов).

Наиболее часто дубликаты встречаются в коде на языке JavaScript, для которого лишь 6% файлов не совпадают (т.е. 94% файлов являются полными клонами 6% файлов), 5% не совпадают по хэшу набора токенов и 3% отличаются с учётом редактирования кода. Наименьшее число дубликатов выявлено для кода на языке Java, для которого не повторяется 60% файлов, 56% наборов токенов и 30% отличаются с учётом редактирования кода. Для C++ эти показатели составляют 27%, 23% и 13%, а для Python - 29%, 27% и 19%.

Наиболее часто повторяющимся стал пустой файл, размером 0 байт, который встречается 2.2 млн раз. Но игнорирование при проверке мелких файлов, в которых встречаются менее 50 токенов, почти не сказывается на уровне совпадений:

Распределение языков по уровню дублирования кода также сохраняется, если провести сравнение не на уровне файлов, а на уровне проектов. Например, около 15% проектов на JavaScript являются полными клонами других проектов, 31% проектов копируют более 80% кода из других проектов, а 48% копируют более 50% кода. Для Java эти показатели составляют 6%, 9% и 14%.



Попытки разобраться почему степень дублирования кода столь велика показали, что наиболее частой причиной появление дубликатов, является включение в репозитории проектов кода из сторонних библиотек и фреймворков, вместо подключения их как внешних зависимостей. Например, для JavaScript очень велика доля копий библиотек, распространяемых через NPM. Несмотря на то, что только 6% проектов включают каталог node_modules, 70% из всех дубликатов на JavaScript связаны с копированием модулей NPM.

В среднем в JavaScript-проект включается 63 зависимости, а уровень вложенности зависимостей составляет 5 (максимальное зафиксированное число зависимостей - 1261, максимальный уровень вложенности - 47). Кроме NPM-модулей достаточно часто в проект включается библиотека jQuery. В Java чаще остальных дублируются компоненты ActionBarSherlock и Cordova, в C/C++ - boost и freetype, в Python копирование распределено более равномерно по разнообразным библиотекам.

Совпадения на уровне изменённого кода (частичное совпадение при проверке SourcererCC)чаще всего оказались вызванными использованием "копипастинга", а также ненамеренным копированием кода или автогенерацией кода в процессе применения типовых фреймворков. Например, для Java чаще всего совпадения выявлялись в коде, сгенерированном при помощи Apache Axis, Android SDK и JAXB, для Python при помощи Django, а для JavaScript - Angular.

Источник: http://www.opennet.ru/opennews/art.shtml?num=47596

Линус Торвальдс раскритиковал ограничительные меры по усилению защиты ядра Linux


Линус Торвальдс не стесняясь в выражениях отверг заявку Кеса Кука (Kees Cook), предложившего включить в состав ядра 4.15 механизм защиты, блокирующий использование вызова usercopy при проведении некоторых видов атак. Суть предложенного метода в запрете применения usercopy для прямого копирования между пространством пользователя и некоторыми областями ядра с введением белого списка допустимых для использования областей памяти. Так как подобный подход потенциально может нарушить работу приложений, использующих usercopy, предусмотрен fallback-режим для kvm и sctp (ipv6).

Линус в целом не отказался принять патч, но заявил, что не станет это делать в рамках цикла разработки 4.15, так как у него есть сомнения, что предложенные патчи хорошо протестированы и учтены все нюансы их влияние на работу существующих приложений. Предложенное изменение затрагивает некоторые ключевые подсистемы ядра, а у него сейчас нет времени анализировать появление возможных регрессивных изменений. Также указывается, что неправильно пытаться переложить решение возможных несовместимостей на пользователей и уже по факту отлавливать всплывающие в приложениях проблемы.

После попыток уговорить Линуса изменить своё решение, он в очередной раз попытался довести до разработчиков, что сохранение совместимости является ключевым условием разработки ядра Linux и ограничительные меры требуют большого внимания и предварительной подготовки. Линус считает недопустимыми методы усиления безопасности, связанные с введением на ходу новых правил, нарушение которых приводит к блокировке выполнения ранее работающих приложений. Более четверти века ядро обходилось без подобных правил и нельзя внезапно пытаться что-то запретить и обрушить на пользователей изменения, после которых отдельные приложения перестанут работать.

Если такие изменения необходимы, то они должны внедряться постепенно с предварительным информированием пользователей и проведением подготовительной работы по выявлению возможных проблем и адаптации изменения для обхода этих проблем. Линус не отделяет уязвимости от других видов ошибок, и считает, что ради их устранения недопустимо вносить изменения, которые могут нарушить корректную работу пользовательских приложений.

Предложения сразу ввести блокировку приложений или останавливать работу системы при выявлении опасного поведения отмечаются как в корне неверные - по мнению Линуса, перед началом блокировки достаточно долгое время ограничительные средства усиления безопасности должны работать в режиме информирования - например, около года только выводить в лог сведения о наличии проблемы, и лишь затем можно применять более радикальные меры.

Источник: http://www.opennet.ru/opennews/art.shtml?num=47593

В ядро Linux добавлена поддержка архитектуры RISC-V


В состав ядра Linux принят код для обеспечения работы на системах с архитектурой RISC-V. Пользователи смогут воспользоваться RISC-V начиная с ядра 4.15. Также ожидается включение поддержки новой архитектуры в состав glibc.

После выхода ядра 4.15, ориентировочно в начале февраля 2018 года, RISC-V Linux ABI будет переведён в разряд стабильных интерфейсов, сохраняющих обратную совместимость и готовых для повсеместного использования. До февраля разработчики намерены устранить остающиеся недоработки в ABI. Дистрибутивы, желающие приступить к обеспечению поддержки RISC-V до выхода ядра 4.15 и новой версии Glibc, могут воспользоваться бэкпортами, размещёнными в репозитории freedom-u-sdk (для сборки следует использовать команду "make sim").

RISC-V предоставляет открытую и гибкую систему машинных инструкций, позволяющую создавать микропроцессоры для произвольных областей применения, не требуя при этом отчислений и не налагая условий на использование. RISC-V позволяет создавать полностью открытые SoC и процессоры. В настоящее время на базе спецификации RISC-V разными компаниями и сообществами развивается 7 вариантов ядер микропроцессоров (Rocket, ORCA, PULPino, OPenV/mriscv, VexRiscv, Roa Logic RV12, SCR1) и три SoC (lowRISC, Rocket Chip, Briey), которые разрабатываются под различными свободными лицензиями (BSD, MIT, Apache 2.0).

Источник: http://www.opennet.ru/opennews/art.shtml?num=47590

Проект Pale Moon представил новый браузер Basilisk и платформу UXP


Разработчики Pale Moon представили первый публичный выпуск нового браузера Basilisk, который основан на движке Goanna (ранее созданный проектом форк Gecko) и платформе UXP (Unified XUL Platform), в рамках которой выполнено ответвление остальных компонентов Firefox из репозитория Mozilla Central, избавленных от привязок к коду на языке Rust. Сборки нового браузера подготовлены для Linux (только 64-бит) и Windows.

В браузере обеспечена поддержка старых дополнений на языке XUL, оставлена возможность загрузки любых плагинов с интерфейсом NPAPI (в том числе Unity, Flash и Java), возвращена поддержка звуковой подсистемы ALSA, обеспечена отрисовка шрифтов через библиотеку Graphite. При этом Basilisk также полностью поддерживает современные технологии, включая стандарт ECMAscript 6, API WebExtensions, WebAssembly (WASM), HSTS и TLS 1.3.

В отличие от Pale Moon в Basilisk используется интерфейс пользователя Australis, в виде, соответствующем Firefox 56. Из не принятых возможностей отмечается отключение проверки дополнений по цифровой подписи, отключение многопроцессного режима (Electrolysis), отказ от компонентов на языке Rust и наработок по модернизации интерфейса, подготовленных в рамках проекта Photon и представленных в Firefox 57.

Basilisk позиционируется как экспериментальный браузер, выступающий полигоном для развития платформы UXP, поэтому разработчики не гарантируют стабильность проекта - все релизы будут иметь уровень качества beta-выпусков. В 2018 году браузер Pale Moon планируют перевести на новую платформу UXP, но до этого перехода требуется довести эту платформу до желаемого вида, поэтому и создан ещё один браузер Basilisk, который позволит вести разработку новой платформы параллельно с текущей веткой Pale Moon (по сути Basilisk можно рассматривать как экспериментальную ветку Pale Moon).

Источник: http://www.opennet.ru/opennews/art.shtml?num=47587

GitHub добавил средства информирования об уязвимостях в репозиториях


GitHub реализовал отображение меток, информирующих об использовании проектами зависимостей с неисправленными уязвимостями. Вместе с меткой также выводятся сведения о путях устранения проблемы и версиях, в которых уязвимость уже устранена. В настоящее время выставление меток добавлено только для проектов на языках Javascript и Ruby, которые составляют 75% от кода с зависимостями, размещённого на GitHub. В 2018 году ожидается вывод аналогичных меток для проектов на языке Python. Вывод уведомлений об уязвимостях и построение графа зависимостей по умолчанию включено для всех публично доступных проектов.

Дополнительно можно отметить публикацию отчёта о состоянии безопасности открытого кода, составленного с учётом существенного увеличения числа библиотек в репозиториях. Например, за год число пакетов в NPM увеличилось на 57%, в PyPi на 32%, а в RubyGems на 10.3%. Соответственно на 53.8% увеличилось число уязвимостей в библиотеках из подобных репозиториев, при том, что число уязвимостей в пакетах из состава RHEL наоборот уменьшилось на 65%.

По данным составителей отчёта вызывающие уязвимости ошибки в среднем находятся в коде два с половиной года и в 75% случаев выявляются не мэйнтенерами, а сторонними исследователями. В среднем на исправление проблемы после получения уведомления об уязвимости уходит 16 дней, при том, что 34% мэйнтенеров реагируют на проблему в течение первого дня, а 60% в течение недели. Для 14% проанализированных библиотек выявленные уязвимости так и не были устранены. Только в 16.1% случаев исправления были портированы для прошлых выпусков библиотек.

10% проектов запрашивают для уязвимостей идентификатор CVE, а 25% практикуют умалчивание связи исправленных проблем с уязвимостями. Лишь 11% уязвимостей в Node.js занесены в базу NVD (National Vulnerability Database), для Rubygems этот показатель сооставляет 67%.

Источник: http://www.opennet.ru/opennews/art.shtml?num=47586

Компания IBM представила открытый набор шрифтов Plex


Компания IBM открыла набор шрифтов Plex, доступный в пропорциональном (с засечками и без засечек) и моноширинном вариантах в 9 начертаниях (Bold, Italic, Light, ExtraLight, Medium, Regular, SemiBold, Text и Thin). Plex позиционируются как шрифты широкого назначения, которые могут применяться в различных областях, от Web и подготовки документов до редакторов кода. В компании IBM шрифт уже применяется на сайте, в рекламных материалах и в документообороте в качестве замены проприетарному семейству шрифтов Helvetica Neue, требующему выплаты отчислений.

Исходные тексты шрифта распространяются под свободной лицензией SIL Open Font License, позволяющей неограниченно модифицировать шрифт, использовать его в том числе для коммерческих целей, печати и на сайтах в Web. Для загрузки подготовлены различные форматы, включая ttf, otf, eot, woff и woff2. В настоящий момент в базовый состав не включены символы национальных алфавитов, но шрифт позиционируется как многоязычный с обещанием поддержки 110 языков. По словам разработчиков реализация символов кириллицы находится на финальной стадии и скоро будет опубликована.



Источник: http://www.opennet.ru/opennews/art.shtml?num=47583


Новинки


страницы: