Тысячи анкет с фотографиями

Знакомства

Найди свою любовь

Игры

Игры

Онлайн флеш игры

временная фотография

Из Олайне...

Новости мира открытых систем

Я очень дружу с Linux, чего и вам желаю...Поэтому самые свежие новости открытых систем и публикуются, огромное спасибо автору.


В рамках проекта LiteTree развивается вариант SQLite с поддержкой ветвления БД


Доступна новая встраиваемая СУБД LiteTree, построенная на базе модифицированного движка SQLite, переработанного для поддержки ветвления, по аналогии с Git. Наработки проекта распространяются под лицензией MIT.

LiteTree позволяет хранить несколько вариантов состояния одной базы данных, но в отличие от срезов состояния (снапшотов) каждая ветка может продолжать независимо развиваться, обновляться и дополняться. Таким образом, пользователь получает возможность обращения к БД через несколько точек подключения, каждая из которых связана с определённым ответвлением в развитии БД. Среди практического применения ветвления БД называется реализация структур хранения в виде блокчейнов. В том числе, СУБД LiteTree была создана компанией Blocko специально для проекта Aergo, развивающего универсальную платформу для создания бизнес-систем на базе блокчейна и P2P-коммуникаций.

Все транзакции в LiteTree сохраняются в виде коммитов, каждый из который имеет свой номер. По умолчанию БД привязывается к ветке master, но разработчик может создать ответвление, указав в качестве отправной точки определённый коммит (например, "PRAGMA new_branch=test at master.2"). После этого ветки разделяются и в каждую из них можно отдельно вносить изменения. В каждой ветке применяется идентичная модель нумерации коммитов (номер отражает удаление от первого коммита), что позволяет последовательно перебирать ветки, анализировать возникшие ветвления, возвращаться к любому состоянию БД в прошлом и создавать новые ветки, отбрасывая определённый пласт изменений.

Ограничением предложенной модели хранения является невозможность изменения данных после фиксации коммита - задним числом уже добавленные данные изменить нельзя, возможно только добавить изменение в вершине текущей ветки при помощи нового коммита или создать новую ветку начиная с изменяемого коммита, если необходимо изменить состояние БД относительно этого коммита. Также имеется возможность удаления хвоста ветки, начиная с заданного коммита, переименования ветки или полного удаления ветки.

Для обработки SQL-запросов и манипуляции блоками данных в LiteTree по возможности задействован уже проверенный код SQLite, но для хранения на диске блоков применяется LMDB. Данные сохраняются без применения сжатия с расчётом один блок SQLite на один сектор (4096 байт). Дублирующиеся в разных ветках данные сохраняются только в одном экземпляре, а при создании новой ветки существующие данные не копируются (при выполнении транзакции копируются только связанные с ней изменённые блоки).

Примечательно, что применяемый в LiteTree подход позволил существенно поднять производительность - по сравнению с SQLite новая СУБД в проведённых тестах оказалась более чем в два раза быстрее как при чтении, так и при записи данных. Из пока нереализованных планов на будущее упоминается предоставление средств для анализа различий между ветками, просмотра истории изменений, слияния веток, разграничение доступа к веткам и прикрепления метаданных к веткам или коммитам.

Дополнительно можно отметить похожий проект git-sqlite, позволяющий хранить различные ветки БД в форме Git-репозитория. В отличие от LiteTree в git-sqlite используются немодифицированные SQLite и Git, дополненные прослойками для определения различий между прошлой веткой и текущим состоянием БД, отражения этих различий в Git и слияния разных веток. Тем не менее, так как в git-sqlite для получения выбранной ветки требуется загрузка SQL-дампа из Git и перестроение БД, данная система больше подходит для решения задач архивирования и анализа изменений.

Источник: http://www.opennet.ru/opennews/art.shtml?num=49209

Грег Кроа-Хартман раскритиковал поведение Intel при исправлении уязвимостей Meltdown и Spectre


Грег Кроа-Хартман (Greg Kroah-Hartman), отвечающий за поддержку стабильной ветки ядра Linux, в своём выступлении на конференции Open Source Summit North America раскритиковал действия компании Intel по координации устранения уязвимостей Meltdown и Spectre до публичного раскрытия информации о данных проблемах.

Intel был информирован о проблемах Meltdown и Spectre ещё в июле 2017 года, но до 25 октября ведущие разработчики ядра Linux знали о проблемах лишь на уровне слухов. Возможно, разработчики не получили бы информацию и в дальнейшем, но один из влиятельных поставщиков операционных систем настоял в Intel на раскрытии информации и для разработчиков ядра.

Обычно устранение опасных уязвимостей в ядре производится сообща с привлечением команды Linux kernel security team и при участии мэйнтейнеров ядра из дистрибутивов. Но в случае с Meltdown и Spectre всё было перевёрнуто с ног на голову и Intel в индивидуальном порядке информировал только SUSE, Red Hat и Canonical на условиях соглашения о неразглашении. Информированным производителям дистрибутивов были поставлены условия, запрещающие взаимодействие между собой, и каждому дистрибутиву пришлось создавать собственные исправления.

В конце концов компанию Intel удалось убедить в необходимости выработки общего для всех решения и Intel согласился провести совместную встречу, но разрешил сделать это только за считанные дни до планируемого раскрытия сведений. Таким образом, пик работы над исправлением пришёлся на последнюю неделю 2017 года, что обеспечило вовлечённым в процесс исправления разработчикам незабываемое авральное Рождество и Новый год.

Многие производители и проекты не были информированы о проблемах, в том числе информация не была предоставлена компании Oracle и проекту Debian. Так как Debian является одним из самых популярных дистрибутивов Linux, в момент публичного раскрытия данных об уязвимостях большая часть пользователей Linux оказалась совершенно не защищена.

В последующем, компания Intel учла замечания по процессу раскрытия сведений и координируя исправление августовской уязвимости Foreshadow заранее предупредила о проблеме разработчиков ядра Linux и дала возможность коллегиально подготовить исправление. Более того, работа над уязвимостями в CPU позволила наладить сотрудничество с разработчиками ядра Windows и организовать обмен информацией о возникающих проблемах и развиваемых методах исправления уязвимостей, не привязанных к конкретной операционной системе.

По словам Грега Кроа-Хартмана в настоящее время в свежих выпусках ядра Linux присутствует защита от всех известных уязвимостей класса Meltdown и Spectre. При этом, пока не все исправления перенесены в старую, но ещё поддерживаемую, ветку 4.4. Несмотря на наличие защиты на уровне ядра, пользователям рекомендовано установить и обновление микрокода Intel, в котором представлены новые возможности, позволяющие задействовать дополнительные уровни защиты, которые могут оказаться полезными для блокирования ещё неизвестных уязвимостей класса Spectre.

По мнению Грега новые варианты Spectre будут всплывать ещё многие годы и для их блокирования предстоит большая работа по созданию систем для автоматического выявления типовых шаблонов в коде, которые могут вызывать проявление подобных уязвимостей. Данные механизмы выявления ошибок также могут быть включены в состав компиляторов для обнаружения и исключения опасных сочетаний инструкций на этапе сборки.

Источник: http://www.opennet.ru/opennews/art.shtml?num=49205

Google представил криптографическую библиотеку Tink


Компания Google представила открытую криптографическую библиотеку Tink, нацеленную на предоставление простого для корректного применения криптографического API, при использовании которого трудно допустить ошибки, способные привести к снижению безопасности. Предоставляется полноценная поддержка языков Java (в том числе для Android), C++ и Obj-C, а также экспериментальная поддержка Go и JavaScript. Код поставляется под лицензией Apache 2.0.

Библиотека подготовлена командой, занимавшейся разработкой инструментария Wycheproof и выявившей более 40 уязвимостей и слабых мест в различных популярных криптографических библиотеках и реализациях алгоритмов шифрования. В результате данной работы родилась идея создания предельно простого API, который не позволял бы совершать ошибки, вызванные недопониманием работы алгоритмов шифрования, и который без риска для безопасности смогли бы использовать разработчики не имеющие опыта в криптографии.

В итоге появился проект Tink, сконцентрированный на сокращении числа потенциальных ошибок, которые могут появиться в результате ненадлежащего применения API, спроектированный с учётом опыта анализа слабых мест в различных реализациях алгоритмов шифрования, написанный с оглядкой на безопасность, прошедший жесткое рецензирование кода и досконально протестированный. В Google Tink уже применяется во многих внутренних проектах, таких как AdMob, Google Pay, Google Assistant, Firebase и Android Search App.

Основу программного интерфейса Tink составляет набор криптографических примитивов, каждый из которых охватывает определённую область без углубления в детали, например, для симметричного шифрования по ключу предлагается примитив AEAD, предоставляющий две операции - шифрование и расшифровка, и не требующий от разработчика выбора конкретных алгоритмов шифрования и определения их параметров (например, векторов инициализации (nonce)). Перед использованием примитива выполняется его регистрация, после чего генерируется или загружается необходимый для операции набор ключей и привязывается к примитиву.

В настоящее время предлагаются следующие примитивы:

  • AEAD (Authenticated Encryption with Associated Data) - симметричное аутентифицированное шифрование по фиксированному ключу с опциональной возможностью прикрепления аутентифицированных, но не зашифрованных, связанных данных. Поддерживается как шифрование блоков, так и потоков данных;
  • MAC (Message Authentication Codes) - коды аутентификации сообщений для обеспечения целостности и аутентификации источника данных;
  • Функции для создания цифровой подписи и её проверки (PublicKeySign и PublicKeyVerify);
  • Функции гибридного шифрования, сочетающие скорость симметричного шифрования с удобством шифрования по открытым ключам;

Каждый примитив поддерживает опции для работы в stateless-режиме (безопасный для многопоточных программ), с использованием безопасных операций копирования (copy-safe) и для применения ключей, длиной как минимум 128 бит. Библиотека автоматически блокирует попытки выполнения потенциально небезопасных операций, таких как попытки загрузки ключей из незашифрованных файлов на диске. Доступен API для ротации ключей и взаимодействия со внешними системами управления ключами, такими как Google Cloud KMS, Amazon KMS, Android Keystore и Apple iOS KeyChain.

Библиотека имеет модульную архитектуру и позволяет подключать свои реализации примитивов и заменять существующие примитивы и компоненты управления ключами, не меняя программный код конечных приложений. Например, в случае выявления уязвимости в каком-то алгоритме шифрования достаточно будет заменить примитив в самой библиотеке и перегенерировать ключи, при этом не трогая код приложений. В текущем виде предлагаемые примитивы базируются на использовании библиотек BoringSSL и Java Cryptography Architecture, которые выступают низкоуровневой основой.

Tink также позволяет исключать из сборки излишнюю функциональность. Например, если в программе используется только проверка цифровой подписи, то разработчик для сокращения размера кода приложения может удалить компоненты симметричного шифрования.

Источник: http://www.opennet.ru/opennews/art.shtml?num=49202

В Firefox решено по умолчанию блокировать отслеживание перемещений между сайтами


Компания Mozilla объявила о кардинальном изменении политики в отношении отслеживания перемещений пользователей между сайтами. Представители Mozilla признают, что недооценивали вред от неконтролируемого сбора данных о пользователях. Некоторые негативные последствия неконтролируемого отслеживания сразу заметны, например, таргетированная реклама и снижение производительности из-за загрузки лишнего кода, но после инцидентов, подобных утечке в результате деятельности Cambridge Analytica, становится ясно, что видимое проявление отслеживания пользователей лишь вершина айсберга.

В одном из ближайших выпусков Firefox функции блокирования кода для отслеживания поведения пользователя и перемещений между сайтами будет активирована по умолчанию. Раньше пользователю предоставлялась опциональная возможность активировать в режиме приватного просмотра блокировку внешних JavaScript-скриптов, изображений и iframe-страниц, используемых для отслеживания пользователей вопреки установке заголовка Do Not Track (блокировка по чёрному списку disconnect.me). В одном из следующих выпусков Firefox привязка к режиму приватного просмотра будет убрана, а блокирование подобных элементов будет включено по умолчанию для любых сайтов.

Интерфейс управления блокировкой будет существенно расширен и позволит выключать блокировку для отдельных сайтов, контролировать информацию, к которой могут получить доступ сайты, выбирать тип блокирования содержимого, просматривать список применяемых блокировок и управлять подключенными списками блокировки.

Положительным эффектом от изменения также станет ощутимое ускорение загрузки страниц, так как счётчики и код для отслеживания не будут отнимать ресурсы и конкурировать с загрузкой основного содержимого. Проведённое в 2015 году исследование показало, что включение блокировки отслеживания приводит к сокращению времени загрузки страниц в среднем на 44% и уменьшению размера загружаемых данных на 39%. Новое исследование, проведённое в этом году разработчиками блокировщика рекламы Ghostery, показало, что в среднем при открытии сайта около 55.4% времени тратятся на загрузку внешнего кода для отслеживания пользователей.

План противостояния Mozilla отслеживанию пользователей выглядит следующим образом: В Firefox 63 запланировано блокирование по умолчанию медленно загружаемого стороннего кода, который замедляет открытие страниц. В Firefox 65 для любого кода отслеживания, загружаемого со сторонних сайтов (cross-site tracking), будет выполняться очистка установленных Cookie и блокироваться доступ к локальным хранилищам. Указанные возможности уже доступны для тестирования в экспериментальной ветке Firefox Nightly для участников программы SHIELD Studies (about:studies).

В дальнейшем планируется блокировать по умолчанию сбор информации, которая может применяться для идентификации пользователя (fingerprint), а также блокировать работу скриптов для майнинга криптовалют. Кроме того, рассматривается возможность встраивания в браузер блокировщика назойливой рекламы (перекрывающие контент всплывающие окна, автовоспроизводимая со звуком видеореклама, реклама со счётчиком секунд до закрытия, очень большие закреплённые блоки) и интеграции поддержки работы через анонимную сеть Tor.

Источник: http://www.opennet.ru/opennews/art.shtml?num=49201

Система обнаружения атак Snort 3 перешла на стадию бета-тестирования


После почти четырёх лет нахождения на стадии альфа-разработки представлен первый бета выпуск полностью переработанной системы предотвращения атак Snort 3.0, также известной как проект Snort++, работа над которым с перерывами ведётся ещё с 2005 года.

Кроме переосмысления концепции и переработки архитектуры в Snort 3 реализованы следующие значительные новшества:

  • Осуществлён переход на новую систему конфигурации, предлагающую упрощённый синтаксис и позволяющую использовать скрипты для динамического формирования настроек. Для обработки файлов конфигурации используется LuaJIT. Предоставляются плагины на базе LuaJIT с реализацией дополнительных опций для правил и системы ведения логов;
  • Модернизирован движок определения атак, актуализированы правила, добавлена возможность привязки буферов в правилах (sticky buffers). Задействован поисковый движок Hyperscan, позволивший использовать в правилах быстрые и более точно срабатывающие шаблоны на основе регулярных выражений;
  • Добавлен новый режим интроспекции для HTTP, учитывающий состояние сеанса и охватывающий 99% ситуаций, поддерживаемых тестовым набором HTTP Evader. В разработке находится код для поддержки HTTP/2;
  • Существенно увеличена производительность режима глубокого инспектирования пакетов. Добавлена возможность многопоточной обработки пакетов, допускающая одновременное выполнение нескольких нитей с обработчиками пакетов и обеспечивающая линейную масштабируемость в зависимости от числа ядер CPU;
  • Реализовано общее хранилище конфигурации и таблицы атрибутов, которое совместно используется в разных подсистемах, что позволило заметно снизить потребления памяти благодаря исключению дублирования информации;
  • Новая система журналирования событий, использующая формат JSON и легко интегрируемая с внешними платформами, такими как Elastic Stack;
  • Переход на модульную архитектуру, возможность расширения функциональности через подключение плагинов и реализация ключевых подсистем в виде заменяемых плагинов. В настоящее время для Snort 3 уже реализовано 225 плагинов, охватывающих различные области применения, например, позволяющие добавить собственные кодеки, режимы интроспекции, методы журналирования, действия и опции в правилах;
  • Автоматическое определение работающих служб, избавляющее от необходимости ручного указания активных сетевых портов.


Источник: http://www.opennet.ru/opennews/art.shtml?num=49200

Уязвимость, позволяющая удалённо выполнить код на сервере PHP-репозитория Packagist


В Packagist, крупнейшем репозитории пакетов на языке PHP, ежемесячно обслуживающем более 400 млн загрузок и по умолчанию применяемом в пакетной менеджере Composer, выявлена критическая уязвимость, позволяющая выполнить код на сервере проекта через передачу специально оформленных значений в форму добавления нового пакета.

Уязвимость вызвана отсутствием должной проверки передаваемых значений перед их обработкой в shell-скриптах. В частности, для выполнения произвольных shell-команд в текстовое поле с URL репозитория добавляемого проекта достаточно было ввести строку вида "$(код)". На стороне сервера данный URL передаётся в качестве аргумента при вызове команд git, p4, svn и hg. Для git и hg выполняется экранирование строки кавычками, но для p4 (Perforce) и svn (Subversion) строка передаётся как есть, например, при вводе "$(sleep 1)" будет запущена команда "svn info --non-interactive $(sleep 1)". Разработчики Packagist уже исправили проблему, добавив экранирование при помощи вызова ProcessExecutor::escape().

К сожалению, халатное отношение к безопасности присуще разработчикам многих современных репозиториев пакетов, что облегчает возможность компрометации подобных систем злоумышленниками. Например, выявивший проблему исследователь безопасности в прошлом году обнаружил похожую проблему в RubyGems, позволяющую выполнить код на сервере RubyGems.org при загрузке специально оформленного gem-пакета, а также продемонстрировал возможность запуска своего кода на некоторых зеркалах NPM и нашёл способ удаления произвольных файлов из репозитория PyPI. Исследователь также выявил уязвимость в часто применяемой с NPM сети доставки контента unpkg.com, которая позволяла записать любые данные на сервер и в том числе заменить содержимое отдаваемых пакетов, что давало возможность организовать запуск любого JavaScript-кода на сайтах, использующих unpkg.

Источник: http://www.opennet.ru/opennews/art.shtml?num=49198

Intel объявил о разработке высоконадёжного дистрибутива Linux


Компания Intel представила новый проект "The Intel Safety Critical Project for Linux OS", в рамках которого началась работа над высоконадёжным дистрибутивом Linux, пригодным для применения в областях, критичных к возникновению сбоев. В настоящее время проект находится на стадии планирования и подготовки инфраструктуры. Развиваемые в рамках проекта наработки будут публиковаться под свободными лицензиями. Дистрибутив сможет применяться там, где требуется гарантированное обеспечение надёжности и любой системный сбой может иметь фатальные последствия. Например, в качестве областей применения называется оснащения производственных систем, роботов, дронов и автомобилей.

Некоторые производители промышленных систем озабочены созданием новой узкоспециализированной ОС, но Intel не согласен с подобным подходом и считает, что для подобных задач подойдёт Linux-дистрибутив, модернизированный для гарантированного обеспечения надёжности. Решение Intel позволит использовать единую физическую инфраструктуру как для выполнения критичных задач, так и обычных процессов, к которым не предъявляются особые требования к надёжности. Система изначально будет рассчитана на использование на многоядерных системах без ущерба надёжности. Кроме работы напрямую поверх оборудования (bare metal) будет предоставлена возможность использования виртуализации для раздельного запуска гостевых систем с критичными приложениями.

В качестве основы предлагается использовать наработки дистрибутива Clear Linux, примечательного обеспечением строгой изоляции приложений при помощи контейнеров, разделённых с использованием полноценной виртуализации. Базовая часть дистрибутива содержит только минимальный набор инструментов для запуска контейнеров. Система работает в режиме stateless, т.е. не сохраняет своё состояние и после установки не содержит каких-либо настроек в директории /etc, а генерирует настройки на лету на основе указанных при запуске шаблонов.

Из особенностей Clear Linux, делающих его интересным решением для высоконадёжных систем упоминается:

  • Бинарная модель поставки дистрибутива;
  • Агрегирование пакетов в наборы (bundle), образующие готовую функциональность, независимо от того, сколько программных компонентов их образуют. Bundle и образ системного окружения формируются на основе репозитория RPM-пакетов, но поставляются без разделения на пакеты. Внутри контейнеров выполняется специально оптимизированная копия Clear Linux, содержащая необходимые для запуска целевого приложения наборы (bundle);
  • Эффективная система установки обновлений, встроенная в базовую часть дистрибутива и обеспечивающая ускоренную доставку обновлений с исправлением критических проблем и уязвимостей. Обновление в Clear Linux включает только непосредственно изменившиеся данные, поэтому типовые исправления уязвимостей и ошибок занимают всего несколько килобайт и устанавливаются почти мгновенно;
  • Единая система версионирования - версия дистрибутива представляет состояние и версии всех входящих в него компонентов, что удобно для создания воспроизводимых конфигураций и отслеживания изменений компонентов дистрибутива на файловом уровне. Изменение/обновлений любой части системы всегда приводит к изменению общей версии всего дистрибутива (если в обычных дистрибутивах лишь увеличивается номер версии определённого пакета, то в Clear Linux увеличивается версия самого дистрибутива);
  • Автоматизированный процесс разработки и подготовки релизов, снижающий издержки на разработку, развёртывание, поддержку и сопровождение ОС.

Для реализации сценария работы с использованием виртуализации (запуск критичных сервисов в отдельных гостевых системах) планируется задействовать легковесный гипервизор для встраиваемых устройств ACRN, в своё время созданный в Intel, но в настоящее время развиваемый в рамках совместного проекта под эгидой организации Linux Foundation. ACRN изначально рассчитан на минимизацию накладных расходов, готовность для задач, работающих в режиме реального времени, и обеспечение высокой надёжности, пригодной для использования в критически важных системах.

Вариант "Bare metal":

Вариант на базе виртуализации:



Источник: http://www.opennet.ru/opennews/art.shtml?num=49196

Компания Mozilla опубликовала статистику по использованию Firefox


В рамках инициативы по увеличению прозрачности обработки данных, поступающих в результате отправки телеметрии и обращения пользователей к серверам проекта, компания Mozilla начала публикацию отчётов (Firefox Public Data Report), в которых обобщена основная статистика по активности пользователей и использованию браузера.

По данным Mozilla за последний год зафиксировано 861 млн активных пользователей стационарной версии Firefox (данные о мобильной версии пока не опубликованы). Ежемесячная активная аудитория Firefox составляет 256 млн пользователей. Доля пользователей Linux составляет 2.65%, macOS - 6.87%, Windows - 89.8%.

Некоторые другие показатели:

  • В среднем пользователи работают в Firеfox около 5 часов в день. Когда браузер открыт типичный пользователь Firefox тратит на взаимодействие с браузером примерно треть своего времени;
  • Самой свежей версией Firefox пользуется 75% клиентов. При этом в день релиза обновления устанавливает примерно 15% пользователей, спустя неделю охват новой версией составляет 30-50%, а показатель в 70% достигается в среднем спустя четыре недели;
  • Наиболее популярной является англоязычная сборка, которую загружают 40% пользователей, далее следуют сборки на немецком (11%), французском (6.5%) и русском (5.3%) языках;
  • Примерно у 1.3% пользователей постоянно включена блокировка отслеживания перемещений на сайтах (опция Tracking Protection в конфигураторе меню);
  • У 35% пользователей установлены дополнения. Наиболее востребованы дополнения у пользователей из России - 60%. Наименьший спрос на дополнения в Китае (20% ) и Бразилии (18%);
  • Десять самых популярных дополнений:
    • Adblock Plus 9.384%
    • uBlock Origin 3.296%
    • Video DownloadHelper 2.697%
    • Cisco Webex Extension 1.411%
    • Визуальные закладки 1.255%
    • Search Extension by Ask 1.184%
    • AdBlock 0.969%
    • SaveFrom.net помощник 0.925%
    • Советник Яндекс.Маркета 0.868%
    • Ghostery – Privacy Ad Blocker 0.795%
  • 82% пользователей используют 64-разрядные системы, а 18% - 32-разрядные;
  • Плагин Adobe Flash установлен у 60% пользователей (данные на конец мая);
  • В системах 32.6% пользователей установлено 4 Гб ОЗУ, 23.9% - 8 Гб, 12.5% - 2 Гб, 12.1% - 3 Гб, 7.1% - 16 Гб. У 88.7% пользователей CPU Intel, а у 11.2% - AMD. В 66% случаев используется GPU Intel, в 15% - GPU AMD и в 14% - GPU NVIDIA. Наиболее популярным экранным разрешением является 1366×768 (33%), на втором месте 1920×1080 (23%), на третьем 1600x900 (8%).


Источник: http://www.opennet.ru/opennews/art.shtml?num=49195

Релиз Solaris 11.4


После трёх лет разработки компания Oracle опубликовала релиз операционной системы Solaris 11.4. Установочные образы доступны для архитектур x86_64 и SPARC.

Начиная с Solaris 11.4 осуществлён переход на новую модель разработки, в соответствии с которой новые значительные выпуски Solaris 11 теперь будут выпускаться раз в год, а новые возможности будут предлагаться по мере готовности и доставляться через ближайший канал доставки, например, могут быть включены в сервисные обновления (SRU), CPU (critical patch update) или релиз. Релизы Oracle Solaris 11 будут включать как все новшества, раннее доставленные в обновлениях SRU, так и ранее недоступные новшества, которые признаны готовыми к моменту формирования релиза. В релизах также будут доставляться обновления версий сторонних открытых компонентов, входящих в состав Solaris.

Основные новшества:

  • Добавлен инструментарий для изолированного запуска привилегированных и непривилегированных приложений, позволяющий ограничить доступ приложения к локальным ресурсам с учётом контекста использования данной программы. Например, администратору БД можно предоставить возможность работы только с выборочными базами данных, запретив доступ к файлам остальных БД. Настройка изолированных окружений производится утилитой sandboxadm, а для запуска приложений в этих окружениях предложена команда sandbox;
  • Из OpenBSD портирован код пакетного фильтра PF, который пришёл на смену пакетному фильтру IP Filter (IPF). Также перенесён демон pflogd для сохранения данных о трафике (содержимом пакетов) и ftp-proxy для создания прокси-сервисов для доступа к FTP c пробросом соединений через NAT;
  • В файловой системе ZFS улучшена поддержка репликации, реализуемой командой "send streams", для создания архивов и резервных копий. Добавлена поддержка потоков в RAW-режиме (позволяет передавать сжатые данные) и улучшена работа дедупликации. Обеспечена возможность возобновления прерванных операций send и receive. Представлены средства для ограничения пропускной способности для операций Read и Write. Добавлена поддержка вызовов e reflink() и reflinkat() для быстрого копирования файлов без дублирования содержимого. Добавлена возможность асинхронного удаления частей ФС, позволяющая существенно ускорить выполнение операций удаления больших наборов данных;
  • Добавлен новый механизм для автоматической защиты ключевых приложений и ядра системы при помощи технологии Oracle SPARC Silicon Secured Memory, предоставляющей аппаратные механизмы для защиты программ от несанкционированного доступа к памяти (используется техника установки и проверки меток для выделенной памяти и обращающихся к ней указателей). Режим по умолчанию включен для ядра, а для приложений может быть активирован при помощи утилиты sxadm;
  • Для архитектуры x86 добавлена поддержка режима UEFI Secure Boot и возможность защищённой сетевой загрузки из внешних сетей (WANboot);
  • Упрощены сборка, управление внесением изменений и запуск защищённых сервисов в окружениях, не меняющих своё состояние (read-only);
  • Улучшены средства для миграции изолированных зон между разными системами при помощи совместно используемых хранилищ, таких как NFS. Добавлена функция реконфигурации зоны на лету (live), позволяющая добавлять данные без перезагрузки. Обеспечена возможность установки порядка загрузки зон через определение зависимостей между зонами;
  • Добавлена возможность гранулированного ограничения доступа через привязку меток к файлам и каталогам и предоставление доступа отдельным процессам;
  • Добавлена поддержка cloudbase-init для начальной настройки гостевых систем;
  • Добавлены поддержка NFS Server 4.1, возможность монтирования NFSv3 поверх TCP и режим планового восстановления NFS-клиента, позволяющий снизить время простоя клиента при перезагрузке NFS-серверов. Добавлена поддержка протокола SMB 3.0;
  • Проведены оптимизации для увеличения производительности СУБД Oracle и Java;
  • Представлено новое хранилище статистики StatsStore, в котором отражаются изменения состояния системы и различные события. Для просмотра и анализа накопленной статистики, параметров системы и сведений о производительности предложен web-интерфейс Web Dashboard Analytics, наглядно отображающий информацию в форме графиков;
  • Модернизированы встроенные средства аудита безопасности и автоматизирована генерация комплаенс-отчётов. Добавлена возможность аудита на уровне отслеживания доступа к отдельным файлам, аудита верифицированной загрузки, просмотра истории выполнения привилегированных программ;
  • В системный менеджер SMF добавлен новый тип сервисов Goal, который можно использовать в качестве единого механизма для мониторинга за группой сервисов. В SMF добавлена утилита svc-create-first-boot для создания сервисов для первой загрузки. Добавлен RAD API для управления режимом автоматической установки;
  • Добавлена утилита sysadm для управления переводом системы в режим обслуживания;
  • Добавлен режим (dehydrate в archiveadm) для создания унифицированных архивов, избавленных от лишних данных (можно удалять произвольные части ОС из архива), которые позволяют сократить размер архива и упростить перемещение в другие облачные окружения;
  • В состав включена библиотека libucrypto с поддержкой механизмов для аппаратного ускорения операций шифрования. Oracle Solaris Cryptographic Framework обновлён до версии PKCS #11 v2.40 (ранее поддерживался PKCS #11 v2.20) с поддержкой цифровых подписей и шифрования на базе алгоритма AES, а также хэшей SHA-512 и протокола TLS 1.2;
  • Обеспечено повсеместное использование шифрования с возможностью получения ключей с серверов при помощи протокола OASIS KMIP (Key Management Interoperability Protocol);
  • Для разработчиков предоставлена поддержка стандарта C11, добавлена библиотека libproc для разбора /proc, расширена поддержка локали, в Dtrace и pstack добавлена поддержка отладочного формата DWARF, в DTrace добавлены провайдеры SCSI, MIB и fileops;
  • Возможность использования команды "zpool remove" для удаления из пула первичных устройств хранения ZFS. Данные из удаляемого устройства автоматически будут перенесены на устройства, остающиеся в пуле. Прогресс переноса данных перед удалением можно оценить при помощи команды "zpool status";
  • Режим проверки (Scrub) ZFS-пула по расписанию. По умолчанию процесс фоновой проверки целостности пула теперь запускается раз в 30 дней и автоматически корректирует приоритет выполнения данной операции, в зависимости от нагрузки в системе. Посмотреть время последней проверки можно командой "zpool status";
  • Поддержка протокола SMB 3.1.1, в котором появилась возможность прозрачного переключения клиента на резервный хост в случае сбоя (Transparent Failover) и режим многоканальной передачи данных с использованием нескольких разных сетевых соединений;
  • В команду compliance добавлена поддержка Oracle Solaris Cluster;
  • Добавлен пакет ssh-ldap-getpubkey для организации аутентификации в SSH с хранением публичных ключей в LDAP;
  • Добавлены пакеты с LLVM/Clang, компилятором языка Go, Augeas, Cython, Python-модулем cx_Oracle, MCollective, ODPI-C (Oracle Database Programming Interface-C) и фильтрами печати paps;
  • Пользовательское окружение обновлено до версии GNOME 3.24 (раньше предлагался GNOME 2.30). В графическом стеке задействован X.org Server 1.19 (был 1.14);
  • Обновлены версии программ, в том числе GCC 7.3, ISC BIND 9.10, MySQL 5.7, Open Fabric Enterprise Distribution 3.18, Oracle Instant Client 12.2, Perl 5.26, Puppet 5.5, Python 3.5. Добавлена поддержка Unicode 8.0.
  • Прекращена поддержка систем на базе процессоров SPARC T1, T2 и T3, а также SPARC64 VII+ и систем Sun4u, таких как SPARC Enterprise M4000.


Источник: http://www.opennet.ru/opennews/art.shtml?num=49192

Умные лампы как источник утечки информации


Исследователи из Техасского университета в Сан-Антонио изучили возможность применения умных ламп для организации передачи данных из изолированных систем, на которые имеется подконтрольное атакующим устройство, но оно не имеет возможность передать данные через интернет. Исследователями продемонстрирована два вида атак.

Первая атака проводится в пассивном режиме, без необходимости получения доступа к устройствам, и демонстрирует возможность определения предпочтений человека на основе анализа изменения яркости и цвета умной лампы с включённой функцией адаптивной подсветки (например, лампы LIFX и Philips Hue могут изменять яркость и цвет в такт звука и в зависимости от характера изображения на экране телевизора).

В ходе эксперимента было показано, что состояние яркости и цвета подобных ламп привязано к типовым шаблонам и, сопоставив характер изменения свечения с коллекцией типовых шаблонов, можно узнать музыкальный жанр и c определённой вероятностью определить воспроизводимую в помещении композицию или фильм (при проведении теста из 100 композиций удалось точно определить 51, а в 82 случаях определить жанр). Для снятия информации использовались простейшие датчики яркости и цветности, изображение на которых было сфокусировано при помощи объектива или телескопа.

При организации второй атаки была показана возможность создания канала однонаправленной передачи данных, информация в котором модулируется с изменением параметров свечения лампы. Для скрытия факта передачи применялась предоставляемая во многих умных лампах функция инфракрасной ночной подсветки. При анализе информации из-за окна при помощи телескопа и инфракрасного сенсора платы Arduino ATtiny85, снятие данных было обеспечено на расстоянии 50 метров со скоростью 32 бита в секунду. Так как обычно управление умными лампами осуществляется при помощи Wi-Fi, Bluetooth или Zigbee без дополнительной авторизации, продемонстрированный метод может использоваться для организации скрытой утечки данных со скомпрометированных мобильных устройств.



Источник: http://www.opennet.ru/opennews/art.shtml?num=49191


Новинки

страницы: