NOP::News

@nuancesprognews Нравится 0
Это ваш канал? Подтвердите владение для дополнительных возможностей

Коротко о главных трендах в IT индустрии
Гео и язык канала
Россия, Русский
Категория
Технологии


Гео канала
Россия
Язык канала
Русский
Категория
Технологии
Добавлен в индекс
08.04.2019 22:13
реклама
Наполнение и ведение Теlegram-каналов
Надоело тратить время на наполнение и ведение канала?
Бот для продвижения telegram каналов
Автоматическое продвижение каналов через подборки
TGAlertsBot
Мониторинг упоминаний ключевых слов в каналах и чатах.
714
подписчиков
~1
охват 1 публикации
~6
дневной охват
~15
постов / месяц
0.1%
ERR %
4.93
индекс цитирования
Репосты и упоминания канала
6 упоминаний канала
2 упоминаний публикаций
4 репостов
Новые каналы
NOP::Nuances of programming
Kalipso
HTTP Response 418
NOP::Nuances of programming
NOP::Nuances of programming
NOP::Nuances of programming
NOP::Nuances of programming
NOP::Nuances of programming
NOP::Nuances of programming
Каналы, которые цитирует @nuancesprognews
NOP::Nuances of programming
NOP::Humor
Яндекс
Последние публикации
Удалённые
С упоминаниями
Репосты
NOP::News 23 May, 13:24
NOP::News 10 Dec 2019, 12:00
​​Найден способ бесплатно продлить установку патчей для Windows 7

Сообщество специалистов, оказывающих техническую поддержку на форуме My Digital Life, нашло способ обойти установленные Microsoft ограничения на загрузку обновлений безопасности для системы Windows 7. Ранее необходимо было заплатить, чтобы продлить срок выпуска патчей, теперь же любой пользователь устаревшей ОС может воспользоваться пролонгированной поддержкой.

Напомним, что официальная дата окончания срока поддержки Windows 7 — 14 января 2020 года. В этой связи Microsoft предложила модель Windows 7 Extended Security Updates (ESU) — платная услуга, которая может продлить выпуск патчей для этой версии системы до 2023 года. ESU может стоить от $25 до $200 за одну машину (Enterprise или Pro). При этом стоит учитывать, что воспользоваться ESU сможет далеко не каждая компания.

Как же обойти установленные Microsoft ограничения? В прошлом месяце корпорация выпустила апдейт Windows 7 ESU (KB4528069), который должен помочь администраторам понять, подходят ли их системы для программы продлённого выпуска обновлений. При установке KB4528069 пользователь должен предоставить лицензионный ключ ESU, который в дальнейшем будет использоваться для верификации выходящих патчей. И вот тут вклинились специалисты My Digital Life, создавшие специальный инструмент BypassESU, обходящий процесс проверки ключа ESU. Благодаря этому установить тестовый апдейт может любой пользователь.

➡️ https://nsprg.ru/taghd
Читать полностью
NOP::News 9 Dec 2019, 12:00
​​Компания Mozilla представила движок распознавания речи DeepSpeech 0.6

Представлен выпуск развиваемого компанией Mozilla движка распознавания речи DeepSpeech 0.6, который реализует одноимённую архитектуру распознавания речи, предложенную исследователями из компании Baidu. Реализация написана на языке Python с использованием платформы машинного обучения TensorFlow и распространяется под свободной лицензией MPL 2.0. Поддерживается работа в Linux, Android, macOS и Windows. Производительности достаточно для использования движка на платах LePotato, Raspberry Pi 3 и Raspberry Pi 4.

В наборе также предлагаются обученные модели, примеры звуковых файлов и инструментарий для распознавания из командной строки. Для встраивания функции распознавания речи в свои программы предложены готовые к применению модули для Python, NodeJS, C++ и .NET (сторонними разработчиками отдельно подготовлены модули для Rust и Go). Готовая модель поставляется только для английского языка, но для других языков по прилагаемой инструкции можно обучить систему самостоятельно, используя голосовые данные, собранные проектом Common Voice.

DeepSpeech значительно проще традиционных систем и при этом обеспечивает более высокое качество распознавания при наличии постороннего шума. В разработке не используются традиционные акустические модели и концепция фонем, вместо них применяется хорошо оптимизированная система машинного обучения на основе нейронной сети, которая позволяет обойтись без разработки отдельных компонентов для моделирования различных отклонений, таких как шум, эхо и особенности речи.

Обратной стороной подобного подхода является то, что для получения качественного распознавания и обучения нейронной сети движок DeepSpeech требует большого объёма разнородных данных, надиктованных в реальных условиях разными голосами и при наличии естественных шумов. Сбором подобных данных занимается созданный в Mozilla проект Common Voice, предоставляющий проверенный набор данных с 780 часами на английском языке, 325 на немецком, 173 на французском и 27 часами на русском.

Конечной целью проекта Common Voice является накопление 10 тысяч часов c записями различного произношения типовых фраз человеческой речи, что позволит достичь приемлемого уровня ошибок при распознавании. В текущем виде участниками проекта уже надиктовано в сумме 4.3 тысячи часов, из которых 3.5 тысячи прошли проверку. При обучении итоговой модели английского языка для DeepSpeech использовано 3816 часов речи, кроме Common Voice охватывающей данные от проектов LibriSpeech, Fisher и Switchboard, а также включающей около 1700 часов транскрибированных записей радиошоу.

При использовании предлагаемой для загрузки готовой модели английского языка уровень ошибок распознавания в DeepSpeech составляет 7.5% при оценке тестовым набором LibriSpeech. Для сравнения, уровень ошибок при распознавании человеком оценивается в 5.83%.

DeepSpeech состоит из двух подсистем - акустической модели и декодировщика. Акустическая модель использует методы глубинного машинного обучения для вычисления вероятности наличия определённых символов в подаваемом на вход звуке. Декодировщик применяет алгоритм лучевого поиска для преобразования данных о вероятности символов в текстовое представление.

➡️ https://nsprg.ru/3p0xw
Читать полностью
NOP::News 8 Dec 2019, 12:00
​​Началось общее голосование о системах инициализации в Debian

Проект Debian объявил о начале общего голосования (GR, general resolution) разработчиков проекта по вопросу поддержки нескольких систем инициализации, которое определит дальнейшую политику проекта в отношении привязки к systemd, поддержки альтернативных систем инициализации и взаимодействия с производными дистрибутивами, не использующими systemd. Голосование продлится до 27 декабря включительно, итоги будут подведены 28 декабря.

Напомним, что в 2014 году технический комитет утвердил переход дистрибутива по умолчанию на systemd, но не выработал решения по отношению к поддержке нескольких систем инициализации (при голосование победил пункт, указывающий на неготовность комитета вынести решение по данному вопросу). Лидер комитета порекомендовал сопровождающим пакеты сохранить поддержку sysvinit в качестве альтернативной системы инициализации, но указал, что не может навязывать свою точку зрения и в каждом случае решение следует принимать самостоятельно.

После этого некоторыми разработчиками была предпринята попытка проведения общего голосования, но предварительное голосование показало отсутствие необходимости принятия решения по вопросу использования нескольких систем инициализации. Несколько месяцев назад, после проблем с включением пакета elogind (необходим для работы GNOME без systemd) в ветку testing из-за конфликта с libsystemd, вопрос был повторно поднят лидером проекта Debian, так как разработчики не смогли договориться, а их общение переросло в противостояние и зашло в тупик.

Проводимое ныне голосование позволит утвердить политику в отношении нескольких систем инициализации, и если победит пункт, обязывающий поддерживать альтернативные системы, мэйнтейнеры не смогут игнорировать или затягивать подобные вопросы. После обсуждения трёх изначально предложенных лидером проекта пунктов голосования, число вариантов было расширено до восьми. При голосовании допускается выбор сразу нескольких пунктов c ранжированием выбранных элементов по уровню предпочтения. Право голоса имеют около тысячи разработчиков, участвующих в сопровождении пакетов и поддержании инфраструктуры.

Предложенные варианты:

1. Основное внимание фокусируется на systemd. Предоставление поддержки альтернативных систем инициализации не является приоритетом, но сопровождающие вправе опционально включать в пакеты init-скрипты для таких систем.
2. Поддержка разнообразных систем инициализации и возможность загрузки Debian с системами инициализации, отличными от systemd. Для запуска сервисов пакеты обязательно должны включать init-скрипты, поставка только unit-файлов systemd без sysv init-скриптов недопустима.
3. Предпочитаемым остаётся systemd, но оставляется возможность сопровождения и альтернативных систем инициализации. Технологии, такие как elogind, позволяющие в альтернативных окружениях запускать приложения, привязанные к systemd, рассматриваются как важные. В пакеты допускается включение init-файлов для альтернативных систем.
4. Поддержка систем, не использующих systemd, но без внесения изменений, мешающих развитию. Разработчики соглашаются поддерживать несколько систем инициализации в обозримом будущем, но также считают необходимым работать над улучшением поддержки systemd. Разработкой и сопровождением специфичных решений следует заниматься заинтересованным в таких решениях сообществам, но другие мэйнтейнеры должны активно помогать и способствовать решению проблем, когда в этом возникает необходимость. В идеале пакеты должны функционировать при использовании любой системы инициализации, для чего можно поставлять традиционные init-скрипты или использовать иные механизмы, позволяющие работать без systemd. Невозможность работы без systemd рассматривается как ошибка, но не как ошибка блокирующая релиз, за исключением случаев, когда имеется готовое решение для работы без systemd, но его отказываются сохранять (например, когда проблема вызвана удалением ранее поставлявшегося init-скрипта).

➡️ https://nsprg.ru/3br4s
Читать полностью
NOP::News 7 Dec 2019, 14:00
​​Уязвимость, позволяющая вклиниваться в TCP-соединения, осуществляемые через VPN-туннели

Опубликована техника атаки (CVE-2019-14899), позволяющая подменить, изменить или подставить пакеты в TCP-соединения, пробрасываемые через VPN-туннели. Проблема затрагивает Linux, FreeBSD, OpenBSD, Android, macOS, iOS и другие Unix-подобные системы. Linux поддерживает механизм rp filter (reverse path filtering) для IPv4, включение которого в режим "Strict" нейтрализует данную проблему.

Метод позволяет осуществить подстановку пакетов на уровне TCP-соединений, проходящих внутри шифрованного туннеля, но не позволяет вклиниваться в соединения, применяющие дополнительные слои шифрования (например, TLS, HTTPS, SSH). Применяемые в VPN алгоритмы шифрования не имеют значения, так как поддельные пакеты поступают из внешнего интерфейса, а обрабатываются ядром как пакеты из VPN-интерфейса. Наиболее вероятной целью атаки является вмешательство в незашифрованные соединения HTTP, но не исключается и использование атаки для манипуляция с ответами DNS.

Успешная подмена пакетов продемонстрирована для туннелей, создаваемых при помощи OpenVPN, WireGuard и IKEv2/IPSec.Tor проблеме не подвержен, так как использует SOCKS для проброса трафика и привязку к loopback-интерфейсу. Для IPv4 атака возможна в случае перевода rpfilter в режим "Loose" (sysctl net.ipv4.conf.all.rp filter = 2). Изначально в большинстве систем применялся режим "Strict", но начиная с systemd 240, выпущенного в декабре прошлого года, режим работы по умолчанию был заменён на "Loose" и данное изменение отразилось в настройках по умолчанию многих дистрибутивов Linux.

➡️ https://nsprg.ru/msu4n
Читать полностью
NOP::News 7 Dec 2019, 12:00
​​Android может лишиться одного из преимуществ над iOS

Одно из преимуществ мобильной ОС Android — возможность беспроблемной установки приложений из любых удобных источников. Но вскоре ситуация может измениться — по данным инсайдеров, в новой версии системы защиты Advanced Protection появится функция ограничения доступа к программам, опубликованным за пределами магазина Google Play.
Google Advanced Protection Program

Упоминание готовящегося нововведения обнаружилось в новой бета-версии программы Advanced Protection Program для Google Play. Опубликованные ими комментарии кода содержат фразы «для дополнительной безопасности Advanced Protection не позволит использование приложений, загруженных вне магазина Google Play» и «приложение заблокировано Advanced Protection». Сейчас сторонние приложения уже проходят проверку системой защиты Google Play Protect, которая предотвращает установку подозрительных программ.

Хотя участие в программе не обязательно для разработчиков, в перспективе они смогут использовать программу безопасности Google в качестве DRM-защиты, публикуя вне Google Play только часть приложений. Учитывая, что речь идёт о бета-версии, до изменения политики магазина приложений может пройти ещё несколько месяцев, либо данная функция вообще не будет реализована. Компания Google утечку официально не прокомментировала.

➡️ https://nsprg.ru/ntlhx
Читать полностью
NOP::News 6 Dec 2019, 12:01
​​Уязвимости в OpenBSD, позволяющие повысить привилегии и обойти аутентификацию в smtpd, ldapd и radiusd

Компания Qualys выявила четыре уязвимости в OpenBSD, одна из которых позволяет удалённо подключиться без аутентификации к некоторым сетевым сервисам, а три остальные повысить свои привилегии в системе. В отчёте Qualys отмечена быстрая реакция разработчиков OpenBSD - все проблемы были устранены в OpenBSD 6.5 и OpenBSD 6.6 в течение 40 часов после приватного уведомления.

Удалённо эксплуатируемая уязвимость вызвана ошибкой при организации вызова обработчика аутентификации в библиотеке libc, которая вызывает программу /usr/libexec/auth/loginstyle с передачей аргументов в командной строке. В том числе при вызове loginstyle при помощи опционального параметра "-s service" допускается передача названия протокола. В случае использования в начале имени пользователя символа "-", данное имя будет обработано как опция при запуске loginstyle. Соответственно, если указать при аутентификации в качестве имени пользователя "-schallenge" или "-schallenge:passwd" то loginstyle воспримет обращение как запрос использования обработчика S/Key.

Проблема в том, что протокол S/Key в loginstyle поддерживается лишь формально, а фактически игнорируется с выводом признака успешной аутентификации. Таким образом, атакующий может, представившись пользователем "-schallenge", обойти аутентификацию и получить доступ без указания пароля или ключей. Потенциально проблеме подвержены все сетевые сервисы, использующие штатные вызовы libc для проведения аутентификации. Например, возможность обращения в обход аутентификации подтверждена в smtpd (AUTH PLAIN), ldapd и radiusd.

В sshd уязвимость не проявляется, так как в нём имеется дополнительная защита с проверкой присутствия пользователя в системе. Тем не менее, sshd можно использовать для проверки подверженности системы уязвимости - при обращении с именем пользователя "-sresponse:passwd" соединение зависает, так как sshd ждёт от loginpasswd возвращения параметров вызова (challenge), а loginpasswd ждет передачи недостающих параметров (имя "-sresponse" воспринимается как опция). Потенциально локальный атакующий может попытаться обойти аутентификацию в утилите su, но передача имени "-sresponse" приводит к краху процесса из-за возвращения нулевого указателя при выполнении функции getpwnamr("-schallenge", ...).

Другие уязвимости:

- CVE-2019-19520 - локальное повышение привилегий через манипуляции с утилитой xlock, поставляемой с флагом sgid, меняющим группу на "auth". В коде xlock переопределение путей к библиотекам запрещается только при смене идентификатора пользователя (suid), что позволяет атакующему изменить переменную окружения "LIBGLDRIVERSPATH" и организовать загрузку своей разделяемой библиотеки, код которой будет выполнен после повышения привилегий до группы "auth".
- CVE-2019-19522 - позволяет локальному пользователю, входящему в группу "auth", запустить код с правами root при включении в системе аутентификации через S/Key или YubiKey (по умолчанию не активны). Вхождение в группу "auth", доступ к которой может быть получен через эксплуатацию вышеотмеченной уязвимости в xlock, позволяет записать файлы в каталоги /etc/skey и /var/db/yubikey. Например, атакующий может добавить новый файл /etc/skey/root для генерации одноразовых ключей для аутентификации под пользователем root через S/Key.

➡️ https://nsprg.ru/vis08
Читать полностью
NOP::News 5 Dec 2019, 14:00
​​В каталоге Python-пакетов PyPI выявлены две вредоносные библиотеки

В каталоге Python-пакетов PyPI (Python Package Index) обнаружены вредоносные пакеты "python3-dateutil" и "jeIlyfish", которые были загружены одним автором olgired2017 и маскировались под популярные пакеты "dateutil" и "jellyfish" (отличается использованием символа "I" (i) вместо "l" (L) в названии). После установки указанных пакетов на сервер злоумышленника отправлялись найденные в системе ключи шифрования и конфиденциальные данные пользователя. В настоящее время проблемные пакеты уже удалены из каталога PyPI.

Непосредственно вредоносный код присутствовал в пакете "jeIlyfish", а пакет "python3-dateutil" использовал его в качестве зависимости. Названия были выбраны из расчёта на невнимательных пользователей, допускающих опечатки при поиске (тайпсквоттинг). Вредоносный пакет "jeIlyfish" был загружен около года назад — 11 декабря 2018 года и оставался незамеченным. Пакет "python3-dateutil" был загружен 29 ноября 2019 года и через несколько дней вызвал подозрение у одного из разработчиков. Информация о числе установок вредоносных пакетов не приводится.

Пакет jellyfish включал в себя код, загружающий список хэшей из внешнего репозитория на базе GitLab. Разбор логики работы с этими хэшами показал, что они содержат скрипт, закодированный при помощи функции base64 и запускаемый после декодировки. Скрипт находил в системе ключи SSH и GPG, а также некоторые типы файлов из домашнего каталога и учётные данные для проектов PyCharm, после чего отправлял их на внешний сервер, запущенный в облачной инфраструктуре DigitalOcean.

➡️ https://nsprg.ru/vci0s
Читать полностью
NOP::News 5 Dec 2019, 12:00
​​15 уязвимостей в USB-драйверах, поставляемых в ядре Linux

Андрей Коновалов из компании Google опубликовал отчёт о выявлении очередных 15 уязвимостей (CVE-2019-19523 - CVE-2019-19537) в USB-драйверах, предлагаемых в ядре Linux. Это третья порция проблем, найденных при проведении fuzzing-тестирования USB-стека в пакете syzkaller - ранее данный исследователь уже сообщал о наличии 29 уязвимостей.

На этот раз в списке включены только уязвимости, вызванные обращением к уже освобождённым областям памяти (use-after-free) или приводящие к утечке данных из памяти ядра. Проблемы, которые могут использоваться для отказа в обслуживании в отчёт не включены. Уязвимости потенциально могут быть эксплуатируемы при подключении к компьютеру специально подготовленных USB-устройств. Исправления для всех упомянутых в отчёте проблем уже включены в состав ядра, но некоторые не вошедшие в отчёт ошибки пока остаются неисправленными.

Также можно отметить выявление четырёх уязвимостей (CVE-2019-14895, CVE-2019-14896, CVE-2019-14897, CVE-2019-14901) в драйвере для беспроводных чипов Marvell, которые могут привести к переполнению буфера. Атака может быть совершена удалённо через отправку определённым образом оформленных кадров при соединении с беспроводной точкой доступа злоумышленника. В качестве наиболее вероятной угрозы отмечается удалённый отказ в обслуживании (крах ядра), но не исключается и возможность выполнения кода в системе.

➡️ https://nsprg.ru/vci0s
Читать полностью
NOP::News 4 Dec 2019, 12:00
​​Microsoft развивает новый язык программирования на основе Rust

Компания Microsoft в рамках экспериментального проекта Verona развивает новый язык программирования, основанный на языке Rust и ориентированный на разработку защищённых приложений, не подверженных типовым проблемам с безопасностью. Исходные тексты текущих наработок, связанных с проектом, в ближайшее время планируется открыть под лицензией Apache 2.0.

Рассматривается возможность использования развиваемого языка в том числе для переработки низкоуровневых компонентов Windows с целью блокирования потенциальных проблем, всплывающих при применении языков C и C++. Безопасность кода повышается за счёт автоматического управления памятью, которое избавит разработчиков от необходимости манипулирования указателями и защитит от проблем, возникающих из-за низкоуровневой работы с памятью, таких как обращение к области памяти после её освобождения, разыменование нулевых указателей и выход за границы буфера.

Основным отличием Verona от Rust является применение модели владения на основе групп объектов, а не единичных объектов. Данные в Verona рассматриваются как структуры, представляющие собой коллекции объектов. Проверки заимствования и контроль владения производятся в привязке к группе объектов, что позволяет обеспечить безопасность при манипуляциях с составными структурам и лучше отражает уровень абстракции, обычно применяемый при разработке.

➡️ https://nsprg.ru/zg6t3
Читать полностью
NOP::News 3 Dec 2019, 12:00
​​Новая версия Kali Linux умеет маскироваться под Windows 10

Релиз Kali Linux 2019.4 состоялся на прошлой неделе. Новая версия отметилась режимом «Undercover», позволяющим быстро сделать рабочий стол Kali похожим на Windows 10. Как известно, Kali является Linux-дистрибутивом, созданным специально для этичных хакеров и пентестеров. Обычно исследователи задействуют Kali для тестирования систем безопасности организаций.

Есть мнение, что использующий Kali человек может вызвать подозрение в общественных местах. Именно поэтому разработчики реализовали режим «Undercover» в Kali Linux 2019.4.

Таким образом, пользователь этого дистрибутива сможет визуально превратить рабочий стол в копию Windows 10, тем самым будет вызывать меньше подозрений.

«Скажем, вы работаете в общественном месте, прорабатываете схемы взлома, но при этом не хотите, чтобы кто-то увидел логотип Kali и задался вопросом: чем вы занимаетесь. Именно поэтому мы написали небольшой скрипт, который поменяет вид вашего Kali на схожую с Windows тему», — пишут программисты. «В результате вы сможете работать более незаметно, а когда окажетесь в более уединённой обстановке, запустите скрипт ещё раз — вы вернётесь к стандартному виду Kali».

Чтобы активировать вышеупомянутый скрипт, произведите следующие действия: Откройте терминал. Введите kali-undercover и нажмите «Enter».

➡️ https://nsprg.ru/z1578
Читать полностью
NOP::News 2 Dec 2019, 12:00
​​Прогресс в использовании ОС Redox на реальном оборудовании

Джереми Соллер (Jeremy Soller), основатель операционной системы Redox, написанной на языке Rust, рассказал об успешном использовании Redox на ноутбуке System76 Galaga Pro (Джереми Соллер работает в компании System76). Из уже полностью работоспособных компонентов отмечаются клавиатуры, тачпад, накопитель (NVMe) и Ethernet.

Эксперименты с Redox на ноутбуке уже позволили улучшить работу драйверов, добавить поддержку HiDPI в некоторые приложения и создать новые компоненты, такие как pkgar, упрощающие установку Redox с Live-образов. Среди задач, на которых теперь сфокусировано внимание упоминается достижение возможности самосборки системы (сборки Redox из окружения на базе Redox). Через несколько месяцев Соллер планирует на одном из компьютеров перейти к постоянной работе над Redox из рабочего окружения на базе Redox, после того как будут внесены некоторые доработки, связанные с компилятором rustc.

Применяемая в Redox концепция микроядра упрощает разработку драйверов, так как можно перекомпилировать и перезапускать подсистему, обеспечивающую функционирование драйверов, без остановки работы. Ожидается, что разработка в окружении на базе Redox позволит повысить эффективность портирования программ и решения проблем с поддержкой оборудования. Например, планируется довести до полноценного состояния USB-стек и добавить графические драйверы.

Напомним, что операционная система развивается в соответствии с философией Unix и заимствует некоторые идей из SeL4, Minix и Plan 9. Redox использует концепцию микроядра, при котором на уровне ядра обеспечивается только взаимодействие между процессами и управление ресурсами, а вся остальная функциональность вынесена в библиотеки, которые могут использоваться как ядром, так и пользовательскими приложениями. Все драйверы выполняются в пространстве пользователя в изолированных sandbox-окружениях. Для совместимости с существующими приложениями предоставляется специальная POSIX-прослойка, позволяющая запускать многие программы без портирования.

В системе применяется принцип "все есть URL". Например, для записи в лог может использоваться URL "log://", для взаимодействия между процессами "bus://", для сетевого взаимодействия "tcp://" и т.п. Модули, которые могут быть реализованы в форме драйверов, расширений ядра и пользовательских приложений, могут регистрировать свои обработчики URL, например, можно написать модуль обращения к портам ввода/вывода и привязать его к URL "portio://", после чего можно использовать его для доступа к 60 порту через открытие URL "portio://60". Наработки проекта распространяются под свободной лицензией MIT.

Пользовательское окружение в Redox построено на базе собственной графической оболочки Orbital (не путать с другой оболочной Orbital, использующей Qt и Wayland) и тулкита OrbTk, предоставляющего API, похожий на Flutter, React и Redux. В качестве web-браузера применяется Netsurf. Проектом также развивается собственный пакетный менеджер, набор стандартных утилит (binutils, coreutils, netutils, extrautils), командная оболочка ion, стандартная Си-библиотека relibc, vim-подобный текстовый редактор sodium, сетевой стек и файловая система TFS, развиваемая на основе идей ZFS (модульный вариант ZFS на языке Rust). Конфигурация задаётся на языке Toml.

➡️ https://nsprg.ru/trmsa
Читать полностью
NOP::News 1 Dec 2019, 12:01
​​Релиз платформы совместной разработки Kallithea 0.5

Представлен выпуск системы управления репозиториями Kallithea 0.5, основанной энтузиастами и представителями организации Software Freedom Conservancy с целью продолжения развития свободной кодовой базы RhodeCode, после превращения данной платформы в полупроприетарный коммерческий продукт. Kallithea позволяет развернуть инфраструктуру управления разработкой, которая поддерживает системы контроля версий Git и Mercurial, и по решаемым задачам напоминает GitHub, GitLab и Bitbucket. Код проекта написан на языке Python и распространяется под лицензией GPLv3.

Kallithea включает в себя высокопроизводительный сервер обработки push/pull-запросов и веб-интерфейс для организации совместной разработки, который позволяет управлять репозиториями, разделять права доступа, рецензировать код, отслеживать активность других участников, делать форки проектов, отправлять пулл-реквесты или изменять код на месте, через простой редактор. Поддерживается интеграция с централизованной базой пользователей предприятия, основанной на LDAP или ActiveDirectory. Поддерживается создание групп репозиториев и групп разработчиков с унификацией управления членами группы. Внешний вид интерфейса может легко быть изменён через систему шаблонов. Поддерживается наглядное представление активности в виде графиков. В системе рецензирования изменений поддерживается обсуждение изменений и отправка уведомлений.

Серверная часть платформы является многопоточной, что позволяет одновременно обслуживать несколько pull/push-запросов. Для увеличения производительности в системе активно используется кэширование и выполнение действий в асинхронном режиме. В систему интегрированы средства резервного копирования, позволяющие периодически архивировать и сохранять через "scp" копию всех данных. Для отслеживания активности в репозиториях поддерживается специальная прослойка, ведущая журнал всех обращений и позволяющая аутентифицировать каждый запрос. Для работы с репозиториями задействована библиотека vcs, мета-данные о проектах могут хранится в SQLite, PostgreSQL или других БД, поддерживаемых в SQLAlchemy.

Основные изменения:

- Проведена чистка системы прав доступа - права доступа всегда рассматриваются только как добавочные, т.е. гарантируется, что у любого пользователя как минимум будут те же права, что и у пользователя по умолчанию.
- В конфигурационном файле арекращена поддержка настройки api access controllers whitelist. Аутентификация через ключ доступа к API теперь автоматически предоставляет доступ к всем API, разрешённых пользователю.
- Прекращена поддержка Python 2.6. В настоящее время поддерживается только ветка Python 2.7, но разработчики работают над обеспечением полноценной поддержки Python 3.x.
- Удалена функция блокировки репозитория (pull-to-lock, push-to-unlock).

➡️ https://nsprg.ru/8q5bw
Читать полностью
NOP::News 30 Nov 2019, 12:01
​​Выпуск Bubblewrap 0.4.0, прослойки для создания изолированных окружений

Доступен новый выпуск инструментария Bubblewrap 0.4.0, предназначенного для организации работы изолированных окружений в Linux и функционирующий на уровне приложений непривилегированных пользователей. На практике Bubblewrap используется проектом Flatpak в качестве прослойки для изоляции запускаемых из пакетов приложений. Код проекта написан на языке Си и распространяется под лицензией LGPLv2+.

Для изоляции используются традиционные для Linux технологии контейнерной виртуализации, основанные на использовании cgroups, пространств имён (namespaces), Seccomp и SELinux. Для выполнения привилегированных операций по настройке контейнера Bubblewrap запускается с правами root (исполняемый файл c suid-флагом) с последующим сбросом привилегий после завершения инициализации контейнера.

Изоляция на уровне файловой системы производится через создание по умолчанию нового пространства имён точек монтирования (mount namespace), в котором при помощи tmpfs создаётся пустой корневой раздел. В данный раздел при необходимости прикрепляются разделы внешней ФС в режиме "mount --bind" (например, при запуске c опцией "bwrap --ro-bind /usr /usr" раздел /usr пробрасывается из основной системы в режиме только для чтения). Сетевые возможности ограничиваются доступом к loopback-интерфейсу с изоляцией сетевого стека через флаги CLONENEWNET и CLONENEWUTS.

Ключевым отличием от похожего проекта Firejail, который также использует модель запуска с применением setuid, является то, что в Bubblewrap прослойка для создания контейнеров включает только необходимый минимум возможностей, а все расширенные функции, необходимые для запуска графических приложений, взаимодействия с рабочим столом и фильтрации обращений к Pulseaudio, вынесены на сторону Flatpak и выполняются уже после сброса привилегий. Firejail же объединяет в одном исполняемом файле все сопутствующие функции, что усложняет его аудит и поддержание безопасности на должном уровне.

Новый выпуск примечателен реализацией поддержки присоединения существующих пространств имён идентификаторов пользователей (user namespaces) и процессов (pid namespaces). Для управления подключением пространств имён добавлены флаги "--userns", "--userns2" и "--pidns". Данная возможность не работает в режиме setuid и требует применения отдельного режима, который может работать без получения прав root, но требует активации user namespaces в системе (по умолчанию отключены в Debian и RHEL/CentOS) и не исключает возможность эксплуатации потенциально остающихся уязвимостей для обода ограничений "user namespaces". Из новых возможностей Bubblewrap 0.4 также отмечается возможность сборки с Си-библиотекой musl вместо glibc и поддержка сохранения информации о пространствах имён в файл со статистикой в формате JSON.

➡️ https://nsprg.ru/1r5nh
Читать полностью
NOP::News 29 Nov 2019, 12:01
​​Решение Kaspersky Sandbox поможет бизнесу бороться со сложными угрозами

«Лаборатория Касперского» выпустила новое решение Kaspersky Sandbox, которое поможет организациям эффективнее бороться со сложными угрозами, способными обходить традиционные защитные средства на конечных устройствах – компьютерах и серверах.

Kaspersky Sandbox (песочница) автоматически анализирует новые подозрительные файлы, попадающие в корпоративную сеть, и отправляет вердикт об их безопасности или вредоносности в системы защиты конечных устройств. Новое решение дополняет защитные возможности платформы Kaspersky Security для бизнеса и помогает компаниям (прежде всего средним и крупным организациям, у которых нет специально выделенных ИБ-сотрудников или отделов) противостоять продвинутым угрозам без привлечения или найма отдельных специалистов по информационной безопасности.

Как показало недавнее исследование «Лаборатории Касперского», для 42% компаний в России распознавание продвинутых атак в общей массе киберугроз становится всё более сложной задачей. А это значит, что специалистам по информационной безопасности приходится тратить много времени на анализ большого количества вредоносных файлов вместо того, чтобы реагировать на более критичные угрозы. В небольших компаниях проблема усугубляется ещё и тем, что зачастую в них нет отдельных экспертов по кибербезопасности и все подобные задачи ложатся на и без того перегруженный IT-отдел.

В отличие от множества специализированных аналитических сервисов, ориентированных на экспертов по информационной безопасности, Kaspersky Sandbox не требует ручного управления. В случае если на каком-либо конечном устройстве базовое защитное решение обнаруживает подозрительный файл, который однозначно не может быть классифицирован как вредоносный, он автоматически отправляется для анализа в Kaspersky Sandbox.

Это решение, в свою очередь, проводит поведенческий анализ полученного объекта, а также собирает и оценивает все связанные с ним артефакты. Если Kaspersky Sandbox «видит», что подозрительный файл исполняет опасные действия, например запускает шифрование или загружает дополнительные модули через уязвимость нулевого дня, то определяет его как вредоносный и направляет информацию об этом в базовую защитную систему. А та уже принимает конкретные действия в отношении новой угрозы. В случае с решениями из линейки Kaspersky Security для бизнеса, к примеру, порядок действий может быть таким: отправить объект в карантин, оповестить пользователя, просканировать критические области операционной системы или другие устройства в корпоративной сети на предмет наличия в них этого же вредоносного файла, чтобы предотвратить распространение зловреда внутри организации.

Kaspersky Sandbox хранит данные о вердиктах по проанализированным объектам в операционной памяти на сервере. И в случае если запрос на анализ подозрительного файла, который уже был проверен продуктом, придёт от другого защитного решения для конечных устройств, Kaspersky Sandbox быстро передаст информацию из этой базы знаний. Такой подход исключает повторные проверки одних и тех же файлов, что значительно ускоряет время реагирования на проблему и снижает нагрузку на серверы.

➡️ https://nsprg.ru/p99mg
Читать полностью
NOP::News 28 Nov 2019, 12:01
​​Релиз системы сборки CMake 3.16

Представлен релиз кроссплатформенного открытого генератора сценариев сборки CMake 3.16, выступающего в качестве альтернативы Autotools и используемого в таких проектах, как KDE, LLVM/Clang, MySQL, MariaDB, ReactOS и Blender. Код CMake написан на языке C++ и распространяется под лицензией BSD.

CMake примечателен предоставлением простого языка сценариев, средствами расширения функциональности через модули, минимальным числом зависимостей (нет привязки к M4, Perl или Python), поддержкой кэширования, наличием инструментов для кросс-компиляции, поддержкой генерации файлов сборки для широкого спектра систем сборки и компиляторов, наличием утилит ctest и cpack для определения сценариев тестирования и сборки пакетов, утилитой cmake-gui для интерактивной настройки параметров сборки.

Основные улучшения:

- Добавлена поддержка языков Objective C ("OBJC") и Objective C++ ("OBJCXX"), которые могут быть активированы через команды project() и enable language(), после чего код в файлах ".m" ".mm" будет компилироваться как код на Objective C и Objective C++, а не как код на C++, как это было раньше;
- Добавлена поддержка компилятора Clang на платформе Solaris;
- Добавлены новые параметры командной строки: "cmake -E true|false" для вывода кодов возврата 0 и 1; "cmake --trace-redirect=" для перенаправления информации о трассировке в файл, вместо "stderr"; команда "cmake --loglevel" переименована в "--log-level" для приведения в соответствие с наименованием остальных команд;
- Добавлена команда "target precompile headers()" для перечисления списка заголовочный файлов, используемых при предкомпиляции (сокращает время сборки);
- Добавлено свойство "UNITYBUILD", активирующее пакетный режим обработки исходных файлов в генераторах для ускорения сборки;
- Добавлены команды "find file()", "find library()", "find path()", "find package()" и "find program()" для поиска файлов, библиотек, путей, пакетов и исполняемых файлов в соответствии с переменными, определяющими пути поиска различных категорий файлов.
- В команду "file()" добавлен режим "file(GET RUNTIME DEPENDENCIES)", позволяющий рекурсивно извлечь список библиотек, задействованных при динамическом связывании исполняемого файла или библиотеки. Режим пришёл на смену команде GetPrerequisites(), которая теперь объявлена устаревшей;
- В команде "ctest(1)" реализована возможность сериализации тестов, отталкиваясь от ресурсов, требуемых для каждого теста;
- Объявлена устаревшей переменная "CMAKE FIND PACKAGE NO PACKAGE REGISTRY", вместо которой следует использовать "CMAKE FIND USE PACKAGE REGISTRY";

➡️ https://nsprg.ru/zh8lr
Читать полностью
NOP::News 27 Nov 2019, 14:00
​​Релиз дистрибутива Devuan 2.1, форка Debian 9 без systemd

Спустя полтора года с момента формирования ветки 2.0 представлен релиз дистрибутива Devuan 2.1 "ASCII", форка Debian GNU/Linux, поставляемого без системного менеджера systemd. Выпуск продолжает использовать пакетную базу Debian 9 "Stretch". Переход на пакетную базу Debian 10 будет произведён в выпуске Devuan 3 "Beowulf", который находится в процессе разработки.

Для загрузки подготовлены Live-сборки и установочные iso-образы для архитектур AMD64 и i386 (для ARM и виртуальных машин официальные сборки не сформированы и будут позднее подготовлены сообществом). Специфичные для Devuan пакеты можно загрузить из репозитория packages.devuan.org. Поддерживается миграция на Devuan 2.1 с Debian 8.x "Jessie" или Debian 9.x "Stretch".

Из изменений в Devuan 2.1 отмечается добавление в установочные образы штатной опции для использования системы инициализации OpenRC. Возможность использования OpenRC в качестве альтернативы SysVinit была доступна и ранее, но требовала манипуляций в экспертном режиме установки. Только в экспертном режиме продолжают предоставляться такие возможности как смена загрузчика (установка lilo вместо grub) и исключение несвободных прошивок. В качестве предлагаемого по умолчанию репозитория установлен deb.devuan.org, в случайном порядке перебрасывающий на одно из 12 зеркал (привязанные к странам зеркала нужно выставлять отдельно).

В состав live-сборок включены пакеты memtest86+, lvm2 и mdadm. К DBus применён патч, во время загрузки генерирующий новый идентификатор системы (machine-id) для DBus (использование идентификатора настраивается через /etc/default/dbus). В состав сборок Devuan 2.1 также включены все сформированные для Debian 9 обновления с устранением уязвимостей, которые ранее уже были доставлены через штатную систему установки обновлений пакетов.

Напомним, что в рамках проекта Devuan поддерживаются ответвления для 381 пакета Debian, которые модифицированы для избавления от привязок к systemd, ребрендинга или адаптации для особенностей инфраструктуры Devuan. Два пакета (devuan-baseconf, jenkins-debian-glue-buildenv-devuan) присутствуют только в Devuan и связаны с настройкой репозиториев и работой сборочной системы. В остальном Devuan полностью совместим с Debian и может использоваться в качестве основы для создания специализированных сборок Debian без systemd.

Рабочим стол по умолчанию основан на Xfce и дисплейном менеджере Slim. Опционально доступны для установки KDE, MATE, Cinnamon и LXQt. Вместо systemd поставляется классическая система инициализации SysVinit. Опционально предусмотрен режим работы без D-Bus, позволяющий создавать минималистичные конфигурации рабочего стола на базе оконных менеджеров blackbox, fluxbox, fvwm, fvwm-crystal и openbox. Для настройки сети предлагается вариант конфигуратора NetworkManager, не привязанный к systemd. Вместо systemd-udev задействован eudev, форк udev от проекта Gentoo. Для управления пользовательскими сеансами в KDE, Cinnamon и LXQt предлагается elogind, вариант logind, не привязанный к systemd. В Xfce и MATE используется consolekit.

➡️ https://nsprg.ru/7u87h
Читать полностью
NOP::News 27 Nov 2019, 12:00
​​В России закончились свободные IP-адреса

Дефицит IP-адресов наиболее распространённого протокола IPv4 для России, Европы и Ближнего Востока наметился не один месяц назад. Теперь же региональный интернет-регистратор RIPE Network Coordination Centre заявил, что проблема вышла на новый уровень и способна привести к замедлению развития интернета.

По данным RIPE NCC, 25 ноября были распределены последние оставшиеся адреса из доступного пула. В ближайшем будущем компания намерена выдавать адреса, высвобождаемые закрывающимися компаниями или сетями, возвращающими идентификаторы, в которых больше нет необходимости. Адреса будут передаваться локальными интернет-регистраторам в соответствии с их позициями в «листе ожидания».

Тем не менее представители регистратора утверждают, что объёмы высвобождающихся ресурсов «даже близко не соответствуют имеющимся потребностям в регионах», а без широкого распространения альтернативного протокола IPv6 возникнет риск ограничения роста интернета. Количество адресов IPv6, в свою очередь, в 1028 раз больше числа адресов IPv4, то есть практически бесконечно даже в долгосрочной перспективе.

В RIPE NCC отметили, что дефицит IP-адресов не окажет ощутимого влияния на абонентов в краткосрочной перспективе, но призвали операторов к скорейшему переходу на протокол нового поколения.

➡️ https://nsprg.ru/sq1tr
Читать полностью
NOP::News 26 Nov 2019, 12:00
​​В интернет утекли данные более миллиарда пользователей соцсетей

Эксперт по кибербезопасности Винни Троя обнаружил на просторах интернета базу данных с информацией об 1,2 миллиарда профилей популярных соцсетей — Facebook, Twitter, LinkedIn и Github. Сведения о пользователях лежат в открытом доступе в облачном хранилище от Google.

По словам эксперта, в базе собрана информация из профилей пользователей, почти 50 миллионов номеров домашних и мобильных телефонов, записи из истории трудоустройства в LinkedIn и около 622 адресов электронной почты. Никакой важной информации вроде паролей, номеров банковских карт или кодов безопасности он не обнаружил.

Журналисты издания Wired проверили данные из утечки на подлинность. Они выбрали шесть случайных человек и нашли в базе сведения по четырём из них. Вся хранящаяся информация соответствовала действительности.

В ходе изучения данных Троя выяснил, что большая часть принадлежала американской компании People Data Labs. На это указывают непосредственно названия файлов. Основатель People Data Labs Шон Торн уже отреагировал на заявление и заверил, что они не пользуются облачным сервисом Google, где находятся данные. Он также уточнил, что при передаче информации клиенту она удаляется с их серверов и полностью переходит под ответственность покупателя.

На момент написания новости нет информации, кто разместил все эти сведения в облаке и с какой целью. Интересно, что спустя несколько часов после того, как Винни Троя рассказал о находке в Федеральное бюро расследований, сервера с утечкой отключили.

➡️ https://nsprg.ru/bpqbc
Читать полностью
NOP::News 25 Nov 2019, 12:00
​​Google выпустил дистрибутив Mendel Linux 4.0 для плат Coral

Компания Google представила обновление дистрибутива Mendel Linux, предназначенного для использования на платах Coral, таких как Dev Board и SoM. Плата Dev Board представляет собой платформу для быстрой разработки прототипов аппаратных систем на базе Google Edge TPU (Tensor Processing Unit) для ускорения операций, связанных с машинным обучением и нейронными сетями. SoM (System-on-Module) является одним из готовых решений для выполнения связанных с машинным обучением приложений.

Дистрибутив Mendel Linux основан на пакетной базе Debian и полностью совместим с репозиториями данного проекта (используются не изменённые бинарные пакеты и обновления из основных репозиториев Debian). Изменения сводятся к сборке образа, загружаемого с карт eMMC, и включению компонентов для поддержки аппаратных компонентов платформы Coral. Специфичные для Coral компоненты распространяются под лицензией Apache 2.0.

Mendel Linux 4.0 стал первым выпуском, обновлённым до Debian 10 ("buster"). Сборка оптимизирована для встраиваемых систем и не содержит лишнего, в том числе нововведений Debian 10, связанных с поддержкой SecureBoot и AppArmor. Из новшеств отмечается поддержка OpenCV и OpenCL, использование оверлеев Device Tree, а также обновление GStreamer, Python 3.7, ядра Linux 4.14 и загрузчика U-Boot bootloader 2017.03.3.

Из специфичных нововведений упоминается возможность использования устанавливаемого на платы Coral GPU (Vivante GC7000) для ускорения преобразования пиксельных данных из цветовой модели YUV в RGB производительностью до 130 кадров в секунду для видео с разрешением 1080p, что может оказаться полезным при использовании плат для обработки видео с камер, генерирующих поток в формате YUV. Для применения машинного обучения для обработки потокового видео и звука на лету предложено использовать открытый фреймворк MediaPipe. Например, на его базе можно реализовать систему распознавания и отслеживания объектов или лиц в видео, передаваемом с камеры наблюдения.

Готовые и уже натренированные типовые модели машинного обучения, скомпилированные для процессоров Edge TPU, используемых на платах Coral, продолжают поставляться на сайте проекта, но постепенно переносятся и в общий каталог общедоступных моделей TensorFlow Hub. Для упрощения разработки собственных решений на основе плат Coral и Mendel Linux подготовлено руководство, показывающее как из подручных материалов собрать умный сортировщик, распределяющий цветные и белые шарики по разным корзинам, используя Raspberry Pi и Coral USB Accelerator.

➡️ https://nsprg.ru/tvp7i
Читать полностью