Фонд Свободного ПО представил первую материнскую плату, получившую сертификат "Respect Your Freedom", который подтверждает соответствие устройства требованиям обеспечения приватности и свободы пользователей и даёт право использовать специальный логотип в связанных с продуктом материалах, подчёркивающий предоставление пользователю полного контроля над устройством. Сертификат получила материнская плата Vikings D16 (ASUS KGPE-D16), ориентированная на использование с выпускаемыми с конца 2011 года процессорами AMD Opteron 6200 на базе микроархитектуры Bulldozer.

Исследователи из группы TeamSIK опубликовали результаты проверки безопасности самых популярных менеджеров паролей для платформы Android. Менеджеры паролей часто рекомендуются как надёжный и безопасный способ хранения паролей с использованием гарантирующих конфеденциальность криптографических методов, но упускается то, что сам менеджер паролей является слабым звеном и может лишь создавать иллюзию защищённости, так как уязвимость в нём может привести к попаданию в руки злоумышленника сразу всех паролей. Например, какие бы надёжные криптографические методы не использовались для шифрования хранилища, их сведёт на нет шифрование мастер-пароля ключом, прописанным в коде приложения. Для изучения были выбраны самые популярные по числу загрузок менеджеры паролей, представленные в каталоге Google Play. Результаты предпринятой проверки оказались плачевными и не лучше, чем при анализе VPN-приложений для Android - в 9 менеджерах паролей выявлены серьёзные уязвимости, позволяющие получить доступ к ... Читать дальше »

В одной из крупнейших сетей доставки контента Cloudflare выявлена ошибка, которая привела к утечке неинициализированных отрывков оперативной памяти прокси-серверов, которые могли содержать конфиденциальные данные, фигурирующие при обработке запросов других сайтов. Проблема выявлена сотрудниками Google и получила кодовое имя "cloudbleed" по аналогии с уязвимостью "Heartbleed". Утечки совершались с 22 сентября 2016 года по 18 февраля 2017 года и приводили к появлению в открытом доступе такой информации, как пароли, токены OAut, сессионные cookie, закрытые сообщения, ключи для доступа к API и другие конфиденциальные данные. Информация утекала в составе ответов на случайные запросы. Пик утечки пришёлся на 13-18 февраля, в эти дни ежедневно отдавалось 100-200 тысяч страниц с частями неинициализированных блоков памяти, которые могли содержать приватные данные сайтов. Хуже всего, что утекающие в результате ошибки данные оседали в кэше поисковых систем и могли быть выловлены злоумышленниками ... Читать дальше »

Опубликован отчёт о развитии проекта FreeBSD с октября до декабрь 2016 года. Основные достижения: Система Отмечается значительный прогресс в организации динамического связывания объектных файлов FreeBSD с использованием компоновщика LLD, развиваемого проектом LLVM. Изменения, принятые в основные кодовые базы LLD и FreeBSD позволили осуществить связывание всей базовой системы FreeBSD/amd64 с использованием LLD. В настоящее время ведётся работа по обеспечению сборки дерева портов с использованием LLD, постепенно устраняются проблемы, всплывающие в портах и LLD. На момент написания отчёта LLD уже мог применяться для связывания около 95% портов для архитектуры amd64; Во FreeBSD HEAD добавлена начальная реализация фильтра /usr/sbin/prometheus_sysctl_exporter для формирования метрик о состоянии системы для платформы мониторинга Prometheus. Целью проекта является возможность экспорта всего дерева sysctl в виде метрик к Prometheus. Развиваемая возможность в том числе может быть использова ... Читать дальше »

В состоявшемся сегодня голосовании по выбору стратегии дальнейшего развития IT-инфраструктуры большинство членов городского совета одобрили инициативу по созданию проекта разработки нового клиентского ПО для госучреждений, основанного на платформе Windows, которое сможет заменить собой ныне применяемую открытую платформу LiMux. Администрации поручено подготовить точный план действий, рассчитать затраты и сроки перехода, после чего состоится повторное голосование, которое одобрит или отклонит предложенный план, и решит судьбу проекта LiMux. По мнению лидера мюнхенского отделения Партии Зелёных, которая выступала с критикой отказа от LiMux, несмотря на то, что финальное решение будет принято позднее, оно будет лишь формальным утверждением сметы, так как общее направление развития задано. Представитель Пиратской Партии, также отстаивающей сохранение LiMux, считает, что причиной решения стало то, что на LiMux свалили все организационные проблемы, хотя технологических проблем нет, а есть л ... Читать дальше »

После шести лет разработки сформирован первый стабильный релиз проекта ToaruOS, в рамках которого небольшой группой энтузиастов развивается написанная с нуля Unix-подобная операционная система со своим ядром, компонентами пространства пользователя и графическим интерфейсом. Отмечается, что новая ОС ещё далека до реализации всех задуманных возможностей, но ToaruOS 1.0 можно рассматривать как первый выпуск, готовый для применения конечными пользователями. Код проекта написан на языке Си и распространяется под лицензией BSD. Для загрузки подготовлен live-образ, размером 25 Мб, который можно протестировать в QEMU, VMware или VirtualBox. Проект стартовал в 2011 году в Иллинойсском университете и вначале развивался как исследовательская работа в области создания новых композитных графических интерфейсов. С 2012 года разработка трансформировалась в операционную систему ToaruOS, развиваемой в вначале в качестве студенческого проекта, а потом переросшей в хобби выходного дня. Проект развиваетс ... Читать дальше »

Состоялся релиз дистрибутива NethServer 7, предлагающего модульное решение для быстрого развёртывания серверов в небольших офисах или на предприятиях среднего размера. Дистрибутив основан на пакетной базе CentOS 7 и предоставляет web-интерфейс для управления доступными серверными компонентами. Размер установочного образа 755 Мб. Для ознакомления с возможностями интерфейса предоставляется online-демонстрация. Наработки проекта распространяются под свободными лицензиями. Пользователю предлагаются готовые модули для организации работы почтового сервера (Postfix, Dovecot, Amavis, ClamAV + web-клиент Roundcube), системы совместной работы (SOGo), межсетевого экрана (Shorewall), web-сервера (LAMP), файлового сервера (Samba), фильтрующего прокси (Squid, ClamAV и SquidGuard), VPN-сервера (OpenVPN, L2TP), облачного хранилища (ownCloud) и систем обнаружения и предотвращения вторжений. Установка и введение в строй нужного сервиса производится в один клик и не требует знания особенностей настройки ... Читать дальше »

Проект grsecurity представил первый выпуск набора патчей с реализацией механизма защиты RAP (Reuse Attack Protector) для ядра Linux, позволяющего блокировать работу эксплоитов, основанных на технике заимствования кусков кода. Набор патчей включает всю запланированную функциональность и опубликован под лицензией GPLv2 в публичной тестовой ветке grsecurity для ядра Linux 4.9 (стабильные ветки grsecurity распространяются платно). Техника заимствования кусков кода используется для эксплуатации переполнений буфера в условиях, когда в страницах памяти стека и буфера установлен запрет на исполнение кода. Для организации выполнения кода атакующего в таких условиях логика выполнения shell-кода формируется с использованием методов возвратно-ориентированного программирования (ROP) - атакующий не пытается разместить свой код в памяти, а оперирует уже имеющимися в загруженных библиотеках кусками машинных инструкций, завершающихся инструкцией возврата управления (как правило, это окончания библиоте ... Читать дальше »

После шести месяцев разработки состоялся релиз системной библиотеки GNU C Library (glibc) 2.25, которая полностью следует требованиям стандартов ISO C11 и POSIX.1-2008. В состав нового выпуска включены исправления от 51 разработчика. Из добавленных в Glibc 2.25 улучшений можно отметить: Обеспечена возможность сборки большей части glibc в режиме защиты стека от переполнения. Сборка с опцией "--enable-stack- protector=strong" переведена в разряд рекомендованных; В состав включены функции getentropy и getrandom, а также связанный с ними заголовочный файл sys/random.h. Getentropy и getrandom предложены проектом OpenBSD и предоставляют возможность получения значений от системного генератора псевдослучайных чисел через обращение к системному вызову, что обеспечивает надёжную защиту от атак, основанных на исчерпании доступных файловых дескрипторов (при отсутствии свободных дескрипторов невозможно задействовать /dev/urandom); Из OpenBSD перенесена функция explicit_bzero, предлагаемая как ... Читать дальше »

02.02.2017 21:46 Доля обращений по HTTPS среди пользователей Firefox превысила 50% В соответствии со статистикой сервиса Firefox Telemetry 31 января число обращений к сайтам по HTTPS впервые превысило число обращений по HTTP при рассмотрении усреднённых двухнедельных показателей. Год назад доля HTTPS составляла 40%. В пиковых значениях, при выборке в 24 часа, единичные превышения 50% были зафиксированы в октябре прошлого года. Статистика основана на показателях работы пользователей Firefox, согласившихся передавать обезличенные сводные данные в рамках программы Firefox Telemetry. Интересно, что несмотря на то, что за год доля запросов по HTTPS увеличилась с 40 до 50%, число сайтов с поддержкой HTTPS за последний год удвоилось. Отмечается, что если изначально прирост обращений по HTTPS формировали крупнейшие ресурсы, такие как Google и Facebook, то последнее время отмечается переход на HTTPS мелких сайтов, в основном благодаря появлению возможности бесплатно получить сертификат через ... Читать дальше »