The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

23.08.2019 IBM, Google, Microsoft и Intel образовали альянс для развития открытых технологий защиты данных (94)
  Организация Linux Foundation объявила об учреждении консорциума Confidential Computing Consortium, нацеленного на разработку открытых технологий и стандаров, связанных с безопасной обработкой данных в памяти и конфиденциальными вычислениями. К совместному проекту уже присоединились такие компании, как Alibaba, Arm, Baidu, Google, IBM, Intel, Tencent и Microsoft, которые намерены сообща на нейтральной площадке развивать технологии для изоляции данных в памяти в процессе вычислений.

Конечной целью является предоставление средств для поддержания полного цикла обработки данных в шифрованном виде, без нахождения информации в открытой форме на отдельных этапах. В область интересов консорциума прежде всего подпадают технологии, связанные с использованием зашифрованных данных в процессе вычислений, а именно, применение изолированных анклавов, протоколы для многосторонних вычислений, манипуляции с зашифрованными данными в памяти и полная изоляция данных в памяти (например, для предотвращение доступа администратора хост-системы к данным в памяти гостевых систем).

Для независимой разработки в составе Confidential Computing Consortium переданы следующие проекты:

  • Компания Intel передала для продолжения совместной разработки открытые ранее компоненты для использования технологии SGX (Software Guard Extensions) в Linux, включая SDK с набором инструментов и библиотек. SGX предлагает использовать набор специальных процессорных инструкций для выделения приложениям пользовательского уровня закрытых области памяти, содержимое которых зашифровано и не может быть прочитано и изменено даже ядром и кодом, выполняемым в режимах ring0, SMM и VMM;
  • Microsoft передал фреймврок Open Enclav, позволяющий создавать приложения для различных архитектур TEE (Trusted Execution Environment), используя единый API и абстрактное представление анклава. Подготовленное при помощи Open Enclav приложение может запускаться на системах с различными реализациями анклавов. Из TEE в настоящее время поддерживается только Intel SGX. В разработке находится код для поддержки ARM TrustZone. О поддержке Keystone, AMD PSP (Platform Security Processor) и AMD SEV (Secure Encryption Virtualization) ничего не сообщается.
  • Компания Red Hat передала проект Enarx, предоставляющий слой абстракции для создания универсальных приложений для выполнения в анклавах, поддерживающих различные окружения TEE, независимые от аппаратных архитектур и позволяющие применять различные языки программирования (используется runtime на базе WebAssembly). В настоящее время проектом поддерживаются технологии AMD SEV и Intel SGX.

Из упущенных из виду схожих проектов можно отметить фреймворк Asylo, который развивается в основном силами инженеров Google, но не является официально поддерживаемым продуктом Google. Фреймворк позволяет легко адаптировать приложения для выноса части функциональности, требующей повышенной защиты, на сторону защищённого анклава. Из аппаратных механизмов изоляции в Asylo поддерживается только Intel SGX, но доступен и программный механизм формирования анклавов на базе применения виртуализации.

Напомним, что анклав (TEE, Trusted Execution Environment) подразумевает предоставление процессором специальной изолированной области, которая позволяет вынести часть функциональности приложений и операционной системы в отдельное окружение, содержимое памяти и выполняемый код в котором недоступны из основной системы, независимо от уровня имеющихся привилегий. Для своего выполнения в анклав могут перемещаться реализации различных алгоритмов шифрования, функции обработки закрытых ключей и паролей, процедуры аутентификации, код для работы с конфиденциальными данными.

В случае компрометации основной системы злоумышленник не сможет определить хранимую в анклаве информацию и будет ограничен лишь внешним программным интерфейсом. Применение аппаратных анклавов может рассматриваться как альтернатива применению для защиты вычислений методов на основе гомоморфного шифрования или протоколов конфиденциального вычисления, но в отличие от данных технологий анклав практически не влияет на производительность вычислений с конфиденциальными данными и существенно упрощает разработку.

  1. OpenNews: Google открыл систему для анализа наборов данных без нарушения конфиденциальности
  2. OpenNews: Первая открытая реализация анклава для аппаратно изолированных окружений
  3. OpenNews: Найден метод обхода механизма защиты AMD Secure Encrypted Virtualization
  4. OpenNews: Google анонсировал Asylo, универсальный фреймворк для защищённых анклавов
  5. OpenNews: Компания Intel открыла компоненты для использования технологии защиты SGX в Linux
Обсуждение (94) | Тип: К сведению |
23.08.2019 Уязвимость, позволяющая выйти из изолированного окружения QEMU (26 +10)
  Раскрыты детали критической уязвимости (CVE-2019-14378) в обработчике SLIRP, по умолчанию применяемом в QEMU для организации канала связи между виртуальным сетевым адаптером в гостевой системе и сетевым бэкендом на стороне QEMU. Проблема также затрагивает системы виртуализации на базе KVM (в режиме Usermode) и Virtualbox, в которых используются бэкенд slirp из QEMU, а также приложения, применяющие сетевой стек в пространстве пользователя libSLIRP (эмулятор TCP/IP).

Уязвимость позволяет добиться выполнения кода на стороне хост-системы с правами процесса-обработчика QEMU при отправки со стороны гостевой системы специально оформленного очень большого сетевого пакета, для которого требуется проведение фрагментации. Из-за ошибки в функции ip_reass(), вызываемой при пересборке входящих пакетов, первый фрагмент может не уместиться в выделенный буфер и его хвост будет записан в следующие за буфером области памяти.

Для тестирования уже доступен рабочий прототип эксплоита, в котором предусмотрен обход ASLR и выполнение кода через перезапись памяти массива main_loop_tlg, включающий список QEMUTimerList с обработчиками, вызываемыми по таймеру. Уязвимость уже устранена в Fedora и SUSE/openSUSE, но остаётся неисправленной в Debian, Arch Linux и FreeBSD. В Ubuntu и RHEL проблема не проявляется из-за неиспользования slirp. Уязвимость остаётся неисправленной в последнем выпуске libslirp 4.0 (исправление пока доступно в виде патча).

  1. OpenNews: Выпуск эмулятора QEMU 4.1
  2. OpenNews: Критическая уязвимость, позволяющая выполнить код вне гостевой системы в Xen, KVM, VirtualBox и QEMU
  3. OpenNews: Уязвимость в устройстве QEMU PCNET позволяет выполнить код вне гостевой системы
  4. OpenNews: Уязвимость в IDE-подсистеме QEMU позволяет скомпрометировать Xen, KVM и VirtualBox
  5. OpenNews: QEMU/KVM и Xen подвержены уязвимости в коде эмуляции VGA
Обсуждение (26 +10) | Тип: Проблемы безопасности |
22.08.2019 Компания Google представила инициативу Privacy Sandbox (100 –43)
  Компания Google выступила с инициативой Privacy Sandbox, в рамках которой предложила для реализации в браузерах несколько API, позволяющих достичь компромисса между потребностью пользователей сохранить конфиденциальность и желанием рекламных сетей и сайтов отслеживать предпочтения посетителей.

Практика показывает, что конфронтация лишь усугубляет ситуацию. Например, внедрение блокировки используемых для отслеживания Cookie привело к более интенсивному использованию альтернативных техник, таких как методы косвенной идентификации (browser fingerprinting), пытающихся выделить пользователя из общей массы, полагаясь на применяемые им специфичные настройки (установленные шрифты, MIME-типы, режимы шифрования и т.п.) и особенности оборудования (экранное разрешение, специфичные артефакты при отрисовке и т.п.).

Google предлагает предоставить штатный Floc API, который даст возможность рекламным сетям определить категорию интересов пользователя, но не позволит провести индивидуальную идентификацию. API будет оперировать общими группами интересов, охватывающих большие обезличенные массы пользователей (например, "любители классической музыки"), но не позволит манипулировать данными на уровне истории посещения конкретных сайтов. Для измерения эффективности рекламы и оценки конверсии кликов развивается Conversion Measurement API, дающий возможность получить обобщённые сведения об активности пользователей на сайте, после перехода через клик на рекламу.

Для выделения из общего потока активности мошенников и спамеров (например, накрутка кликов или проведение ложных транзакций для обмана рекламодателей и владельцев сайтов) подготовлен Trust Token API, основанный на использовании протокола Privacy Pass, который уже применяется CloudFlare для классификации пользователей Tor. API даёт возможность разделить пользователей на заслуживающих доверия и не заслуживающих доверия, без использования межсайтовых идентификаторов.

Для предотвращения косвенной идентификации предлагается техника Privacy Budget. Суть метода в том, что браузер отдаёт информацию, которую потенциально можно использовать для идентификации, только в определённом объёме. Если лимит на число обращений к API превышен и выдача дальнейшей информации может привести к нарушению анонимности, то дальнейший доступ к определённым API блокируется.

  1. OpenNews: В Chrome появится защита от передачи сторонних Cookie и скрытой идентификации
  2. OpenNews: В Firefox Beta добавлен блокировщик скриптов майнинга и скрытой идентификации
  3. OpenNews: 0.77% крупнейших сайтов используют Canvas для скрытой идентификации посетителей
  4. OpenNews: Принадлежащий GitLab сервис Gitter использует методы скрытой идентификации пользователей
  5. OpenNews: Представлена новая техника скрытой идентификации системы и браузера
Обсуждение (100 –43) | Тип: Тема для размышления |
22.08.2019 Организация Linux Foundation опубликовала автомобильный дистрибутив AGL UCB 8.0 (25 +3)
  Организация Linux Foundation представила восьмой выпуск дистрибутива AGL UCB (Automotive Grade Linux Unified Code Base), в рамках которого развивается универсальная платформа для использования в различных автомобильных подсистемах, от приборных панелей до автомобильных информационно-развлекательных систем.

Дистрибутив основан на наработках проектов Tizen, GENIVI и Yocto. Графическое окружение базируется на Qt, Wayland и наработках проекта Weston IVI Shell. Демонстрационные сборки платформы сформированы для QEMU, плат Renesas M3, Intel Minnowboard Max (Atom E38xx), TI Vayu и Raspberry Pi 3. При участии сообщества развиваются сборки для плат NXP i.MX6, DragonBoard 410c и Raspberry Pi 4. Исходные тексты наработок проекта доступны через Git. В разработке проекта участвуют такие компании, как Toyota, Ford, Nissan, Honda, Jaguar Land Rover, Mazda, Mitsubishi и Subaru.

AGL UCB может использоваться автопроизводителями как каркас для создания конечных решений, после проведения необходимой адаптации для оборудования и кастомизации интерфейса. Платформа позволяет уделить основное внимание разработке приложений и собственных методов организации работы пользователя, не задумываясь о низкоуровневой инфраструктуре и минимизируя затраты на сопровождение. Проект является полностью открытым - все компоненты доступны под свободными лицензиями.

Предоставляется набор рабочих прототипов типовых приложений, написанных с использованием технологий HTML5 и Qt. Например, имеется реализация домашнего экрана, web-браузера, приборной панели, навигационной системы (используется Google Maps), климат-контроля, мультимедийного проигрывателя с поддержкой DLNA, интерфейса для настройки звуковой подсистемы, программы для чтения новостей. Предлагаются компоненты для голосового управления, поиска информации, взаимодействия со смартфоном по Bluetooth и подключения к CAN-сети для доступа к датчикам и передачи данных между узлами автомобиля.

Особенности новой версии:

  • Добавлены профили устройств для приборного щитка и телематики (навигационных систем), а также демонстрационная реализация интерфейса телематики;
  • Системные компоненты обновлены до платформы Yocto 2.6;
  • Во фреймворк для разработки приложений добавлена поддержка запуска программ под непривилегированными пользователями и разделения полномочий на уровне пользователей (ранее приложения и системные сервисы запускались под root). В пакет afm-util добавлена функция принудительного завершения приложений;
  • Графический стек обновлён до Wayland 1.17 и композитного сервера Weston 6.0;
  • В профилях приборной панели и интерфейсе для информационно-развлекательных систем добавлены компоненты для приёмников и передатчиков Waltham;
  • Менеджер приложений (Web App Manager) обновлён до кодовой базы Chromium 68 и избавлен от зависимостей Qt;
  • Реализован и задействован по умолчанию звуковой бэкенд на базе мультимедийного сервера PipeWire, идущего на смену PulseAudio;
  • Менеджер задач трансформирован в отдельно устанавливаемый виджет;
  • Добавлена начальная реализация системы управления сеансами (wireplumber);
  • Представлена новая реализация микшера звука. Временно убрана поддержка ввода/вывода звука через Bluetooth (будет возвращена в обновлении 8.0.1);
  • Добавлена поддержка стандарта коммуникационной и диагностической автомобильной шины J1939. Обеспечена поддержка защищённого режима записи для шины CAN;
  • Добавлен BSP-пакет (Board Support Package) для плат SanCloud BeagleBone Enhanced + Automotive Cape. Обновлены BSP-пакеты для Renesas RCar3 BSPs. Пакет i.MX6 переведён на использование открытого графического драйвера etnaviv для GPU Vivante. Добавлена начальная поддержка платы Raspberry Pi 4 (agl-image-minimal).
  • Обеспечена интеграция системы синтеза речи с Alexa Voice Agent.

    1. OpenNews: Организация Linux Foundation опубликовала автомобильный дистрибутив AGL UCB 7.0
    2. OpenNews: Доступен Wayland 1.17
    3. OpenNews: Проект Qt представил новую платформу для автомобильных систем
    4. OpenNews: Уязвимость в протоколе CAN, затрагивающая почти все современные автомобили
    5. OpenNews: Форд, Мазда, Мицубиси и Субару подключились к разработке открытой автомобильной Linux-платформы
Обсуждение (25 +3) | Тип: Программы |
22.08.2019 Десятое обновление прошивки UBports, пришедшей на смену Ubuntu Touch (14 +13)
  Проект UBports, который взял в свои руки разработку мобильной платформы Ubuntu Touch, после того как от неё отстранилась компания Canonical, опубликовал обновление прошивки OTA-10 (over-the-air) для всех официально поддерживаемых смартфонов и планшетов, которые были укомплектованы прошивкой на базе Ubuntu. Обновление сформировано для смартфонов OnePlus One, Fairphone 2, Nexus 4, Nexus 5, Nexus 7 2013, Meizu MX4/PRO 5, Bq Aquaris E5/E4.5/M10. Проектом также развивается экспериментальный порт рабочего стола Unity 8, доступный в сборках для Ubuntu 16.04 и 18.04.

Выпуск сформирован на основе Ubuntu 16.04 (сборка OTA-3 была основана на Ubuntu 15.04, а начиная с OTA-4 осуществлён переход на Ubuntu 16.04). Как и в прошлом выпуске при подготовке OTA-10 основное внимание было уделено исправлению ошибок и повышению стабильности. Переход на новые выпуски Mir и оболочки Unity 8 в очередной раз отложены. Тестирование сборки с Mir 1.1, qtcontacts-sqlite (из Sailfish) и нового Unity 8 производится в отдельной экспериментальной ветке "edge". Переход на новый Unity 8 приведёт к прекращению поддержки умных областей (Scope) и интеграции нового интерфейса запуска приложений App Launcher. В дальнейшем также ожидается появление полнофункциональной поддержки окружения для запуска Android-приложений, основанного на наработках проекта Anbox.

Основные изменения:

  • В приложение для отправки SMS и MMS добавлена поддержка подготовки черновиков сообщений - теперь в процессе написания текста можно покинуть чат, а после возвращения дописать и отправить сообщение. Налажена вставка номеров телефонов в поле получателя. Решена проблема со случайным переключением отображения имени пользователя и номера телефона в заголовке. В настройки добавлена опция для выбора тёмной или светлой тем оформления;
  • В менеджер приложений Libertine добавлена функция поиска пакетов в архиве repo.ubports.com (ранее поиск ограничивался PPA stable-phone-overlay) и перехода к установке выбранных пакетов из списка с результатами поиска;
  • Реализованы модули PulseAudio, обеспечивающие базовую поддержку звука для устройств на базе Android 7.1;
  • Добавлена урезанная реализация композитного менеджера SurfaceFlinger для использования камеры на некоторых устройствах с Android 7.1;
  • Добавлены новые заставки для устройств Fairphone 2 и Nexus 5;
  • Улучшена совместимость со смартфонами Nexus 5, Fairphone 2 и Oneplus One. Для Fairphone 2 реализовано корректное определение ориентации камеры и назначения звуковых каналов (проблемы с перевёрнутым селфи и перемены местами правого и левого звуковых каналов остались в прошлом);
  • В адресной книге добавлено поле "Label", упрощающее сортировку контактов по первой букве имени;
  • Реализовано отображение пиктограмм 4G и 5G для сетей, поддерживающих данные технологии;
  • Во встроенный браузер morph добавлена кнопка "Back to safety", выводимая при ошибках с сертификатами;
  • Из поставки удалены бэкенды "espoo" и "wolfpack", применяемые для приблизительного определения местоположения по базе адресов точек доступа Wi-Fi от сервисов HERE и Geoclue2. Бэкенды работали нестабильно, что приводило к выдаче ошибочных сведений о местоположении. После удаления бэкендов определение местоположения ограничено GPS и информацией от мобильной сети, но сервис стал работать точно и предсказуемо. В качестве замены wolfpack рассматривается возможность применения в будущем Mozilla Location Service.

  1. OpenNews: Девятое обновление прошивки UBports, пришедшей на смену Ubuntu Touch
  2. OpenNews: Опубликована финальная спецификация смартфона Librem 5
  3. OpenNews: Восьмое обновление прошивки UBports, пришедшей на смену Ubuntu Touch
  4. OpenNews: Седьмое обновление прошивки UBports, пришедшей на смену Ubuntu Touch
  5. OpenNews: Шестое обновление прошивки UBports, пришедшей на смену Ubuntu Touch
Обсуждение (14 +13) | Тип: Программы |
22.08.2019 Девятая платформа ALT (269)
  Представлен выпуск Девятой платформы (p9) - новой стабильной ветки репозиториев ALT, основанных на репозитории свободных программ Сизиф (Sisyphus). Платформа предназначена для разработки, тестирования, распространения, обновления и поддержки комплексных решений широкого спектра - от встроенных устройств до серверов предприятий и датацентров; создана и развивается командой ALT Linux Team, поддерживается компанией "Базальт СПО".

ALT p9 содержит репозитории пакетов и инфраструктуру для работы с восемью архитектурами:

  • четырьмя основными (синхронная сборка, открытые репозитории): x86_64, i586, aarch64 (ARMv8), ppc64le (Power8/9);
  • двумя дополнительными (догоняющая сборка, открытые репозитории): mipsel (32-битный MIPS), armh (ARMv7);
  • двумя закрытыми (отдельная сборка, образы и репозитории доступны владельцам оборудования по запросу): e2k (Эльбрус-4С), e2kv4 (Эльбрус-8С/1С+).

    Сборка для всех архитектур производится исключительно нативно; образы для ARM/MIPS включают в себя и варианты для запуска в QEMU. Список архитектурнозависимых пакетов для e2k доступен вместе с информацией по обычным веткам. С 2018 года в нестабильном репозитории Sisyphus поддерживается архитектура rv64gc (riscv64), которая будет добавлена в p9 после появления пользовательских систем на ней.

    Девятая платформа предоставляет пользователям и разработчикам возможность использования российских систем «Эльбрус», «Таволга», Yadro, «Элвис» и совместимых, широкого спектра оборудования мировых производителей, в том числе мощных серверов ARMv8 Huawei и разнообразных одноплатных систем ARMv7 и ARMv8 (например, nVidia Jetson Nano, Raspberry Pi 2/3 и основанные на Allwinner вроде Orange Pi Prime; работы по RPi4 ведутся).

    Основной версией ядра Linux (std-def) на момент выпуска является 4.19.66; также доступно более новое ядро (un-def) 5.2.9. Существенным отличием от p8 является переход менеджера пакетов RPM на версию 4.13 в качестве основы (ранее применялся глубокий форк версии 4.0.4); среди прочего это даёт поддержку rpmlib(FileDigests), чего ранее недоставало многим сторонним пакетам вроде Chrome, и центра приложений GNOME для страждущих магазина.

    Добавлена поддержка отечественных криптоалгоритмов при помощи openssl-gost-engine; также появился новый пакет gostsum, позволяющий вычислить контрольную сумму по алгоритму ГОСТ Р 34.11-2012.

    Значительное внимание уделено инфраструктурным свободным решениям, включая унифицированную сборку Samba, пригодную для развёртывания как файловых сервисов, так и контроллера домена Active Directory.

    Образы Docker для архитектур aarch64, i586, ppc64le и x86_64 доступны на hub.docker.com; образы для LXC/LXD - на images.linuxcontainers.org.

    Для быстрого начала работы с Девятой платформой «Базальт СПО» предлагает пользователям, предпочитающим самостоятельно определять состав и оформление системы, загрузочные образы комплектов входа (starterkits) для поддерживаемых архитектур.

    Доступны также бета-версии дистрибутивов Альт на Девятой платформе - Рабочая станция (обычная и К), Сервер, Образование; выпуск 9.0 запланирован на осень 2019 года. Также ведутся работы над Simply Linux 9 и новым дистрибутивом - Альт Сервер виртуализации. "Базальт СПО" приглашает всех разработчиков к совместному тестированию для обеспечения совместимости с Девятой платформой ALT.

    1. OpenNews: Первый выпуск ALT p9 starterkits
    2. OpenNews: Для платформы Эльбрус представлен новый дистрибутив АЛЬТ
    3. OpenNews: Выпуск дистрибутивов Альт Сервер, Альт Рабочая станция и Альт Образование 8.2
    4. OpenNews: Выпуск дистрибутива Альт Рабочая станция 8.2 c KDE
    5. OpenNews: Выпущена Восьмая платформа BaseALT (p8)
  • Обсуждение (269) | Автор: Michael Shigorin | Тип: Программы |
    21.08.2019 Удалённая DoS-уязвимость в IPv6-стеке FreeBSD (76 +6)
      Во FreeBSD устранена уязвимость (CVE-2019-5611), позволяющая вызвать крах ядра (packet-of-death) через отправку специально фрагментированных пакетов ICMPv6 MLD (Multicast Listener Discovery). Проблема вызвана отсутствием необходимой проверки в вызове m_pulldown(), что может привести к возврату не непрерывных цепочек mbufs, вопреки ожидания вызывающей стороны.

    Уязвимость устранена в обновлениях 12.0-RELEASE-p10, 11.3-RELEASE-p3 и 11.2-RELEASE-p14. В качестве обходного пути защиты можно отключить поддержку фрагментации для IPv6 или фильтровать на межсетевом экране опции в заголовке HBH (Hop-by-Hop). Интересно, что приводящая к уязвимости ошибка была выявлена ещё в 2006 году и устранена в OpenBSD, NetBSD и macOS, но осталась неисправленной во FreeBSD, несмотря на то, что разработчики FreeBSD были уведомлены о проблеме.

    Также можно отметить устранение во FreeBSD ещё двух уязвимостей:

    • CVE-2019-5603 - переполнение счётчика ссылок на структуры данных в mqueuefs при использовании 32-разрядных библиотек в 64-разрядном окружении (32-bit compat). Проблема проявляется при включении mqueuefs, которая не активна по умолчанию, и может привести к доступу к файлам, каталогам и сокетам, открытым процессами, принадлежащими другим пользователям, или для организации доступа к внешним файлам из jail-окружения. При наличии у пользователя root-доступа в jail, уязвимость позволяет получить root-доступ на стороне хост-окружения.
    • CVE-2019-5612 - проблема при многопоточном доступе к устройству /dev/midistat при возникновении состояния гонки может привести к чтению областей памяти ядра вне границ выделенного для midistat буфера. На 32-разрядных системах попытка эксплуатации уязвимости приводит к краху ядра, а на 64-разрядных позволяет узнать содержимое произвольных областей памяти ядра.

    1. OpenNews: Уязвимости в TCP-стеках Linux и FreeBSD, приводящие к удалённому отказу в обслуживании
    2. OpenNews: Уязвимость в ядре Linux, позволяющая вызвать крах через отправку UDP-пакета
    3. OpenNews: Уязвимости в драйвере ozwpan, позволяющие удалённо вызвать крах ядра Linux
    Обсуждение (76 +6) | Тип: Проблемы безопасности |
    21.08.2019 В Firefox, Chrome и Safari заблокирован внедряемый в Казахстане "национальный сертификат" (108 +54)
      Google, Mozilla и Apple объявили о помещении внедряемого в Казахстане "национального сертификата безопасности" в списки отозванных сертификатов. Использование данного корневого сертификата отныне будет приводить к выводу предупреждения о нарушении безопасности в Firefox, Chrome/Chromium и Safari, а также в основанных на их коде производных продуктах.

    Напомним, что в июле в Казахстане была предпринята попытка установки государственного контроля за защищённым трафиком к зарубежным сайтам под предлогом защиты пользователей. Абонентам ряда крупных провайдеров было предписано установить на свои компьютеры специальный корневой сертификат, который позволил бы на уровне провайдеров незаметно перехватывать шифрованный трафик и вклиниваться в HTTPS-соединения.

    В то же время были зафиксированы попытки применения данного сертификата на практике для подмены трафика к Google, Facebook, Одноклассники, Вконтакте, Twitter, YouTube и других ресурсов. При установке TLS-соединения реальный сертификат целевого сайта подменялся сгенерированным на лету новым сертификатом, который помечался браузером как достоверный, если "национальный сертификат безопасности" был добавлен пользователем в хранилище корневых сертификатов, так как подставной сертификат связан цепочкой доверия с "национальным сертификатом безопасности". Без установки данного сертификата установить защищённое соединение с упомянутыми сайтами не представлялось возможным без применения дополнительных средств, таких как Tor или VPN.

    Первые попытки слежки за защищёнными соединениями в Казахстане были предприняты в 2015 году, когда правительство Казахстана попыталось добиться включения корневого сертификата подконтрольного удостоверяющего центра в хранилище корневых сертификатов Mozilla. В ходе аудита был выявлено намерение использовать данный сертификат для слежки за пользователями и заявка была отклонена. Год спустя в Казахстане были приняты поправки к закону «О связи», предписывающие установку сертификата самими пользователями, но на практике форсирование данного сертификата началось только в середине июля 2019 года.

    Две недели назад внедрение "национального сертификата безопасности" было отменено с пояснением, что это было лишь тестирование технологии. Провайдерам дано указание прекратить навязывать сертификаты пользователям, но за две недели внедрения сертификат уже успели установить многие казахские пользователи, поэтому потенциальная возможность перехвата трафика не исчезла. Со сворачиванием проекта также возросла опасность попадания связанных с "национальным сертификатом безопасности" ключей шифрования в другие руки в результате утечки данных (сгенерированный сертификат действует до 2024 года).

    Навязанный сертификат, от которого невозможно отказаться, нарушает схему проверки удостоверяющих центров, так как сгенерировавший данный сертификат орган не проходил аудит безопасности, не соглашался с требованиями к удостоверяющим центрам и не обязан следовать установленным правилам, т.е. может выдать сертификат для любого сайта любому пользователю под любым предлогом. Mozilla считает, что подобная деятельность подрывает безопасность пользователей и противоречит четвёртому принципу Манифеста Mozilla, который рассматривает безопасность и приватность как основополагающие факторы.

    1. OpenNews: В Казахстане ряд крупных провайдеров внедрил перехват HTTPS-трафика
    2. OpenNews: В Казахстане внедряется система тотального перехвата HTTPS-трафика
    3. OpenNews: Mozilla заблокировала сертификаты удостоверяющего центра DarkMatter
    4. OpenNews: Google заблокирует сертификаты DarkMatter в Chrome и Android
    Обсуждение (108 +54) | Тип: К сведению |
    21.08.2019 IBM объявил об открытии архитектуры процессоров Power (177 +65)
      Компания IBM объявила о переводе архитектуры набора команд (ISA) Power в разряд открытых. В 2013 году компания IBM уже учредила консорциум OpenPOWER, в рамках которого предоставила возможность лицензирования связанной с POWER интеллектуальной собственности и предоставила полный доступ к спецификациям. При этом за получение лицензии на производство чипов продолжали собираться отчисления. Отныне, создание собственных модификаций чипов на базе архитектура набора команд Power станет общедоступным и не требующим отчислений. В том числе предоставляется право безвозмездно использовать все связанные с Power патенты IBM, а управление проектом передаётся сообществу, которое теперь будет вовлечено в процессы принятия решений.

    Курирующая разработку организация OpenPOWER Foundation будет переведена под крыло Linux Foundation, что позволит создать независимую площадку для дальнейшего совместного развития архитектуры Power, без привязки к конкретному производителю. К консорциуму OpenPOWER уже присоединилось более 350 компаний. Сообществу передано более 3 млн строк кода системных прошивок, спецификаций и схем, необходимых для создания Power-совместимых чипов.

    Помимо перевода в разряд Open Hardware компонентов архитектуры набора команд, IBM передала сообществу и некоторые смежные технологии, применяемые в чипах Power9, включая программную реализацию (softcore) POWER ISA, а также эталонный дизайн для разработки расширений на базе интерфейсов OpenCAPI (Open Coherent Accelerator Processor Interface) и OMI (Open Memory Interface). Предоставленная программная реализация позволяет симулировать работу эталонного процессора с использованием FPGA Xilinx.

    Технология OpenCAPI даст возможность добиться максимальной производительности и избавиться от узких мест при организации взаимодействия между процессорными ядрами и интегрированными устройствами, такими как GPU, ASIC, различные аппаратные ускорители, сетевые чипы и контроллеры хранилищ данных. OMI позволит ускорить пропускную способность контроллеров памяти и снизить возникающие задержки. Например, благодаря указанным дополнениям на базе Power можно будет создавать специализированные чипы, оптимизированные для решения задач искусственного интеллекта и высокопроизводительного анализа данных в памяти.

    По сравнению с уже доступными открытыми архитектурами MIPS и RISC-V, архитектура Power прежде всего привлекательна готовностью для создания современных серверных систем, промышленных платформ и кластеров. Например, в сотрудничестве IBM c NVIDIA и Mellanox на базе архитектуры Power запущены два крупнейших в мире кластера, возглавляющих рейтинг суперкомпьютеров Top500.

    1. OpenNews: Google и Rackspace разрабатывают открытую архитектуру серверов на базе CPU POWER9
    2. OpenNews: Компания IBM начнёт лицензировать архитектуру POWER сторонним производителям
    3. OpenNews: Linux Foundation и RISC-V Foundation объединили усилия по продвижению архитектуры RISC-V
    4. OpenNews: Архитектура MIPS будет переведена в разряд открытых
    5. OpenNews: Опубликованы первые компоненты открытой микроархитектуры MIPS R6
    Обсуждение (177 +65) | Тип: К сведению | Интересно
    21.08.2019 Представлен notqmail, форк почтового сервера qmail (26 +14)
      Представлен первый выпуск проекта notqmail, в рамках которого началось развитие форка почтового сервера qmail. Qmail был создан Дэниелом Бернштейном (Daniel J. Bernstein) в 1995 году в целью предоставления более безопасной и быстрой замены sendmail. Последний выпуск qmail 1.03 был опубликован в 1998 году и с тех пор официальная поставка не обновлялась, но сервер остаётся примером качественного и безопасного ПО, поэтому продолжает применяться до сих пор и оброс многочисленными патчами и надстройками. В своё время на базе qmail 1.03 и накопившихся патчей был сформирован дистрибутив netqmail, но сейчас он находится в заброшенном виде и не обновлялся с 2007 года.

    Амитай Шлеер (Amitai Schleier), участник разработки NetBSD и автор различных патчей и настроек к qmail, совместно с заинтересованными энтузиастами основал проект notqmail, нацеленный на продолжение разработки qmail в форме целостного продукта, а не набора патчей. Как и qmail, новый проект распространяется как общественное достояние (полный отказ от авторских прав c возможностью распространять и использовать продукт всеми и без ограничений).

    Notqmail также продолжает придерживаться общих принципов qmail - архитектурной простоты, стабильности и минимального числа ошибок. Разработчики notqmail с большой осторожностью относятся к включению изменений и добавляют только необходимую в современных реалиях функциональность, сохраняя базовую совместимость с qmail и предлагая релизы, которые могут применяться для замены существующих установок qmail. Для сохранения должного уровня стабильности и безопасности релизы планируется выпускать очень часто и включать в каждый лишь небольшое число изменений, давая возможность пользователям собственными руками проверить предлагаемые изменения. Для упрощения перехода на новые выпуски планируется подготовить механизм надёжной, простой и регулярной установки обновлений.

    Изначальная архитектура qmail будет сохраняться и базовые компоненты останутся в неизменном виде, что в определённой степени сохранит совместимость с ранее выпущенными надстройками и патчами для qmail 1.03. Дополнительные возможности планируется реализовывать в форме расширений, при необходимости добавляя необходимые программные интерфейсы в базовое ядро qmail. Из планируемых для включения новых возможностей отмечаются средства для проверки получателя SMTP, режимы аутентификации и шифрования (AUTH и TLS), поддержка SPF, SRS, DKIM, DMARC, EAI и SNI.

    В первом выпуске проекта (1.07) решены проблемы с совместимостью с актуальными выпусками FreeBSD и macOS, добавлена возможность использования utmpx вместо utmp, решены проблемы с совместимостью с резолверами на базе BIND 9. Упрощена установка в произвольные каталоги, обеспечена возможность установки без входа под пользователем root и добавлена возможность сборки без необходимости создания отдельного пользователя qmail (может запускаться под произвольным непривилегированным пользователем). Добавлена проверка UID/GID во время выполнения.

    В версии 1.08 планируется подготовить пакеты для Debian (deb) и RHEL (rpm), а также провести рефакторинг для замены устаревших Си-конструкций на варианты, соответствующие стандарту C89. В выпуске 1.9 запланировано добавление новых программных интерфейсов для расширений. В версии 2.0 ожидается изменение настроек системы почтовых очередей, добавление утилиты для восстановления очередей и доведение API до возможности подключения расширений для интеграции с LDAP.

    1. OpenNews: Автор qmail, D. J. Bernstein, изменил лицензию на все свои программы
    2. OpenNews: Создатель qmail, спустя 10 лет, оценивает безопасность проекта
    3. OpenNews: Обновление Exim 4.92.1 с устранением уязвимости
    4. OpenNews: Релиз почтового сервера Postfix 3.4.0
    Обсуждение (26 +14) | Тип: Программы |
    20.08.2019 Bitbucket прекращает поддержку Mercurial (171 +1)
      Платформа совместной разработки Bitbucket прекращает поддержку системы управления исходными текстами Mercurial в пользу Git. Напомним, что изначально сервис Bitbucket ориентировался только на Mercurial, но начиная с 2011 года также стал предоставлять поддержку Git. Отмечается, что теперь Bitbucket эволюционировал из инструментария для управления версиями в платформу для управления полным циклом разработки ПО.

    В нынешнем году развитие Bitbucket будет сконцентрировано в области расширения средств автоматизации и совместной разработки, которые помогут упростить планирование, кодирование и развёртывание проектов. Поддержка двух систем управления версиями тормозит и усложняет реализацию намеченных планов, поэтому решено сосредоточить всё внимание только на Git и полностью отказаться от Mercurial. Git выбран как более актуальный, функциональный и востребованный продукт.

    По данным опроса Stack Overflow почти 90% разработчиков предпочитают Git, а Mercurial используют всего 3% опрошенных. Подобную тенденцию подтверждает и внутренняя статистика Bitbucket, которая показывает неуклонное снижение популярности Mercurial - из новых пользователей Mercurial выбирают менее 1%. При этом, Mercurial продолжает использоваться для разработки проектов Mozilla, OpenOffice.org, OpenSolaris, OpenJDK, Nginx, Xine и W3C.

    1 февраля 2020 года в Bitbucket будет запрещено создание новых репозиторев Mercurial, а 1 июня 2020 года будет отключена вся связанная с Mercurial функциональность, в том числе убраны специфичные для Mercurial API, а также удалены все репозитории Mercurial. Пользователям рекомендуется мигрировать на Git для чего предложены утилиты для конвертирования репозиториев. В случае, если разработчики не желают менять привычный инструментарий, предлагается перейти на другие хостинги открытого кода. Например, поддержка Mercurial предоставляется в SourceForge, Mozdev и Savannah.

    1. OpenNews: Хостинг открытых проектов Bitbucket объявил о поддержке Git
    2. OpenNews: Компания Atlassian выкупила хостинг открытых проектов Bitbucket
    3. OpenNews: GitHub и SourceForge признаны неприемлемыми для размещения кода проектов GNU
    4. OpenNews: Открыты исходные тексты системы управления версиями BitKeeper
    5. OpenNews: Выпуск распределённой системы управления версиями Mercurial 4.9
    Обсуждение (171 +1) | Тип: К сведению |
    20.08.2019 В rest-client и ещё 10 Ruby-пакетах выявлен вредоносный код (21 +8)
      В популярном gem-пакете rest-client, насчитывающем в сумме 113 миллионов загрузок, выявлена подстановка вредоносного кода (CVE-2019-15224), который загружает исполняемые команды и отправляет информацию на внешний хост. Атака была произведена через компрометацию учётной записи разработчика rest-client в репозитории rubygems.org, после чего злоумышленники 13 и 14 августа опубликовали выпуски 1.6.10-1.6.13, включающие вредоносные изменения. До блокировки вредоносных версий их успели загрузить около тысячи пользователей (атакующие чтобы не привлекать внимание выпустили обновления старых версий).

    Вредоносное изменение переопределяет метод "#authenticate" в классе Identity, после чего каждый вызов метода приводит к отправке переданного при попытке аутентификации email и пароля на хост злоумышленников. Таким образом осуществляется перехват параметров входа пользователей сервисов, использующих класс Identity и установивших уязвимую версию библиотеки rest-client, которая фигурирует в качестве зависимости во многих популярных Ruby-пакетах, включая ast (64 млн загрузок), oauth (32 млн), fastlane (18 млн) и kubeclient (3.7 млн).

    Кроме того, в код добавлен бэкдор, позволяющий выполнить произвольный Ruby-код через функцию eval. Код передаётся через Cookie, заверенную ключом атакующего. Для информирования злоумышленников об установке вредоносного пакета на внешний хост отправляется URL системы жертвы и подборка сведений об окружении, таких как сохранённые пароли к СУБД и облачным службам. C использованием вышеотмеченного вредоносного кода зафиксированы попытки загрузки скриптов для майтинга криптовалюты.

    После изучения вредоносного кода было выявлено, что аналогичные изменения присутствуют ещё в 10 пакетах в Ruby Gems, которые не были захвачены, а специально подготовлены злоумышленниками на базе других популярных библиотек с похожими именами, в которых тире было заменено на подчёркивание или наоборот (например, на базе cron-parser создан вредоносный пакет cron_parser, а на базе doge_coin вредоносный пакет doge-coin). Проблемные пакеты:

    Первый вредоносный пакет из данного списка был размещён 12 мая, но большая часть появилась в июле. В сумме указанные пакеты успели загрузить около 2500 раз.

    Дополнение: Разработчик rest-client уточнил, что злоумышленники смогли захватить управление его учётной записью из-за использования ненадёжного пароля, который был в обиходе более 10 лет и кроме rubygems.org применялся на других сайтах, некоторые из которых ранее подвергались взломам и утечкам пользовательских баз.

    1. OpenNews: Зафиксирована подстановка вредоносного кода в Ruby-пакет Strong_password
    2. OpenNews: В Ruby-библиотеке bootstrap-sass выявлен бэкдор
    3. OpenNews: В каталоге PyPI выявлены вредоносные пакеты
    4. OpenNews: Применение тайпсквоттинга для распространения вредоносных модулей NPM, PyPI и Gems
    5. OpenNews: В зависимостях к npm-пакету с установщиком PureScript выявлены вредоносные изменения
    Обсуждение (21 +8) | Тип: Проблемы безопасности |
    20.08.2019 Выпуск новой стабильной ветки Tor 0.4.1 (62 +15)
      Представлен выпуск инструментария Tor 0.4.1.5, используемого для организации работы анонимной сети Tor. Tor 0.4.1.5 признан первым стабильным выпуском ветки 0.4.1, которая развивалась последние четыре месяца. Ветка 0.4.1 будет сопровождаться в рамках штатного цикла сопровождения - выпуск обновлений будет прекращён через 9 месяцев или через 3 месяца после релиза ветки 0.4.2.x. Длительный цикл поддержки (LTS) обеспечен для ветки 0.3.5, обновления для которой будут выпускаться до 1 февраля 2022 года.

    Основные новшества:

    • Реализована экспериментальная поддержка добавочного заполнения на уровне цепочек, позволяющего усилить защиту от методов определения трафика Tor. Клиент теперь добавляет добавочные ячейки (padding cells) вначале цепочек INTRODUCE и RENDEZVOUS, делая трафик этих цепочек более похожим на обычный исходящий трафик. Ценой усиления защиты является добавление двух дополнительных ячеек в каждом направлении для цепочек RENDEZVOUS, а также одной вышестоящей и 10 нижестоящих ячеек для цепочек INTRODUCE. Метод активируется при указании в настройках опции MiddleNodes и может быть отключен через опцию CircuitPadding;
    • Добавлена поддержка аутентифицированых ячеек SENDME для защиты от DoS-атаки, основанной на создании паразитной нагрузки, в случае когда клиент запрашивает загрузку больших файлов и приостанавливает операции чтения после отправки запросов, но продолжает отправлять управляющие команды SENDME, инструктирующие входные узлы продолжать передачу данных. Каждая ячейка SENDME теперь включает хэш трафика, который она подтверждает, и конечный узел при получении ячейки SENDME может удостовериться, что другая сторона уже получила трафик, отправленный при обработке прошлых ячеек;
    • В состав включена реализация обобщённой подсистемы для передачи сообщений в режиме издатель-подписчик, которая может использоваться для организации внутримодульного взаимодействия;
    • Для разбора управляющих команд задействована обобщённая подсистема парсинга вместо отдельного разборка входных данных каждой команды;
    • Проведена оптимизация производительности, позволяющая снизить нагрузку на CPU. Tor теперь использует отдельный быстрый генератор псевдослучайных чисел (PRNG) для каждого потока, который основан на применении режима шифрования AES-CTR и использовании конструкций буферизации как в libottery и новом коде arc4random() из OpenBSD. Для небольших выходных данных предложенный генератор работает быстрее CSPRNG из OpenSSL 1.1.1 почти в 100 раз. Несмотря на то, что новый PRNG оценивается разработчиками Tor как криптографический надёжный, он пока используется только в местах, требующих высокой производительности, например, в коде планирования прикрепления добавочного заполнения;
    • Добавлена опция "--list-modules" для вывода списка включённых модулей;
    • Для третьей версии протокола скрытых сервисов реализована команда HSFETCH, которая ранее поддерживалась только во второй версии;
    • Устранены ошибки в кода запуска Tor (bootstrap) и обеспечении работы третьей версии протокола скрытых сервисов.

    1. OpenNews: Выпуск новой стабильной ветки Tor 0.4.0
    2. OpenNews: DoS-атаки для снижения производительности сети Tor
    3. OpenNews: Возобновление работы по интеграции поддержки Tor в Firefox
    4. OpenNews: Доступны Tor Browser 8.5 и первая стабильная версия Tor Browser для Android
    5. OpenNews: Проект Tor представил OnionShare 2, приложение для защищённого обмена файлами
    Обсуждение (62 +15) | Тип: Программы |
    19.08.2019 В Webmin найден бэкдор, позволяющий удалённо получить доступ с правами root (72 +26)
      В пакете Webmin, предоставляющем средства для удалённого управления сервером, выявлен бэкдор (CVE-2019-15107), обнаруженный в официальных сборках проекта, распространяемых через Sourceforge и рекомендованных на основном сайте. Бэкдор присутствовал в сборках с 1.882 по 1.921 включительно (в git-репозитории код с бэкдором отсутствовал) и позволял удалённо без прохождения аутентификации выполнить произвольные shell-команды в системе с правами root.

    Для атаки достаточно наличия открытого сетевого порта с Webmin и активности в web-интерфейсе функции смены устаревшего пароля (по умолчанию включена в сборках 1.890, но в остальных версиях выключена). Проблема устранена в обновлении 1.930. В качестве временной меры для блокирования бэкдора достаточно убрать настройку "passwd_mode=" из файла конфигурации /etc/webmin/miniserv.conf. Для тестирования подготовлен прототип эксплоита.

    Проблема была обнаружена в скрипте password_change.cgi, в котором для проверки введённого в web-форме старого пароля используется функция unix_crypt, которой передаётся полученный от пользователя пароль без выполнения экранирования спецсимволов. В git-репозитории данная функция является обвязкой над модулем Crypt::UnixCrypt и не представляет опасности, но в поставляемом на сайте Sourceforge архиве с кодом вызывается код, который напрямую обращается к /etc/shadow, но делает это при помощи shell-конструкции. Для атаки достаточно указать в поле со старым паролем символ "|" и следующий после него код будет выполнен с правами root на сервере.

    По заявлению разработчиков Webmin, вредоносный код был подставлен в результате компрометации инфраструктуры проекта. Подробности пока не сообщаются, поэтому не ясно, ограничился ли взлом захватом управления над учётной записью в Sourceforge или затронул и другие элементы инфраструктуры разработки и сборки Webmin. Вредоносный код присутствовал в архивах с марта 2018 года. Проблема также затронула сборки Usermin. В настоящее время все загрузочные архивы пересобраны из Git.

    1. OpenNews: Уязвимость в Webmin, позволяющая удалять произвольные файлы в системе
    2. OpenNews: Бэкдор в зависимости к event-stream, популярной библиотеке для Node.js
    3. OpenNews: Особенность отображения проектов на GitHub создала видимость внедрения бэкдора в ядро Linux
    4. OpenNews: На GitHub выявлено 73 репозитория с бэкдорами
    5. OpenNews: Опубликован zero-day эксплоит для атаки на системы с панелью управления Plesk
    Обсуждение (72 +26) | Тип: Проблемы безопасности |
    19.08.2019 Выпуск пакетного фильтра nftables 0.9.2 (45 +13)
      Состоялся релиз пакетного фильтра nftables 0.9.2, развивающегося в качестве замены iptables, ip6table, arptables и ebtables за счёт унификации интерфейсов фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов. В пакет nftables входят компоненты пакетного фильтра, работающие в пространстве пользователя, в то время как на уровне ядра работу обеспечивает подсистема nf_tables, входящая в состав ядра Linux начиная с выпуска 3.13. Необходимые для работы выпуска nftables 0.9.2 изменения включения в состав ядра Linux 5.3.

    На уровне ядра предоставляется лишь общий интерфейс, не зависящий от конкретного протокола и предоставляющий базовые функции извлечения данных из пакетов, выполнения операций с данными и управления потоком. Непосредственно логика фильтрации и специфичные для протоколов обработчики компилируются в байткод в пространстве пользователя, после чего данный байткод загружается в ядро при помощи интерфейса Netlink и выполняется в специальной виртуальной машине, напоминающей BPF (Berkeley Packet Filters). Подобный подход позволяет значительно сократить размер кода фильтрации, работающего на уровне ядра и вынести все функции разбора правил и логики работы с протоколами в пространство пользователя.

    Основные новшества:

    • Возможность проверки номера порта из заголовка пакета транспортного уровня независимо от типа протокола 4 уровня:
      
         add rule x y ip protocol { tcp, udp } th dport 53
      
    • Поддержка восстановления времени жизни набора элементов:
      
         add element ip x y { 1.1.1.1 timeout 30s expires 15s }
      
    • Возможность проверки отдельных опций (lsrr, rr, ssrr и ra) из пакетов IPv4:
      
         add rule x y ip option rr exists drop
      

      Для опций маршрутизации возможна проверка полей type, ptr, length и addr:

      
         add rule x y ip option rr type 1 drop
      
    • В выражениях теперь допустимо указание сетевых префиксов и диапазонов адресов:
      
         iifname ens3 snat to 10.0.0.0/28
         iifname ens3 snat to 10.0.0.1-10.0.0.15
      
    • Поддержка использования переменных в определениях цепочек:
      
          define default_policy = accept
          add chain ip foo bar { type filter hook input priority filter; policy $default_policy }
      
    • Указание приоритета цепочки теперь может производиться как в числовом, таки символьном виде:
      
          define prio = filter
          define prionum = 10
          define prioffset = "filter - 150"
      
          add table ip foo
          add chain ip foo bar { type filter hook input priority $prio; }
          add chain ip foo ber { type filter hook input priority $prionum; }
          add chain ip foo bor { type filter hook input priority $prioffset; }
      
    • Реализована поддержка модуля synproxy. Например, для размещения TCP-порта 8888 под защитой synproxy можно использовать набор правил:
      
          table ip x {
                  chain y {
                          type filter hook prerouting priority raw; policy accept;
                          tcp dport 8888 tcp flags syn notrack
                  }
      
                  chain z {
                          type filter hook forward priority filter; policy accept;
                          tcp dport 8888 ct state invalid,untracked synproxy mss 1460 \\
                             wscale 7 timestamp sack-perm  ct state invalid drop
                  }
          }
      
    • Для определения в таблице conntrack связанных с текущим соединением ожидаемых дополнительных соединений, которые применяются в требующих установки нескольких соединений протоколах и сценариях, теперь можно определять политики через штатные наборы правил. Например, для определения ожидаемых после соединений к TCP порту 8888 последующих соединений к порту 5432 можно указать следующие правила:
      
              table x {
                      ct expectation myexpect {
                              protocol tcp
                              dport 5432
                              timeout 1h
                              size 12
                              l3proto ip
                      }
      
                      chain input {
                              type filter hook input priority 0;
                              ct state new tcp dport 8888 ct expectation set myexpect
                              ct state established,related counter accept
                      }
              }
      
      
      
      
      

    1. OpenNews: Выпуск пакетного фильтра nftables 0.9.1
    2. OpenNews: Релиз iptables 1.8.0
    3. OpenNews: Разработчики Netfilter официально объявили инструментарий iptables устаревшим
    4. OpenNews: В состав ядра 4.18 одобрено включение нового пакетного фильтра bpfilter
    5. Борьба с SYN-флудом при помощи iptables и SYNPROXY
    Обсуждение (45 +13) | Тип: Программы |
    Следующая страница (раньше) >>



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру