Уже очень скоро игры и работа на Windows изменятся до неузнаваемости. Это становится возможным благодаря абсолютно новому устройству, релиза которого так скоро не ожидал никто: Microsoft HoloLens — гаджет нового типа, очки безмаркерной дополненной реальности для всего спектра устройств, в том числе персональных компьютеров, игровых консолей, смартфонов и планшетов. И с сегодняшнего дня допреальность Microsoft официально называется «голограммами». Название опережает возможности системы, как система опережает фантазии потребителей.
Устройство фактически представляет собой то, что уже давно собирается представить на суд потребителей компания Meta. Это нательный компьютер со встроенными вычислительными блоками (центральным и графическим процессором, а также выделенным чипом Holographic Processing Unit для рендеринга в реальном времени относительно окружающего пространства и предметов, то есть обработки данных с сенсоров), прозрачными проекционными линзами и датчиками положения, который может показывать трёхмерную компьютерную графику прямо в воздухе перед пользователем. 3D здесь самое натуральное: модели можно обойти по кругу, осмотреть сверху и снизу, как реальные предметы. С помощью системы стереокамер, датчиков движений и расстояния гаджет управляется жестами рук, и они не запутаются в проводах, потому, что проводов нет, ведь в устройстве используются исключительно беспроводные интерфейсы. Задавать команды можно и голосом, а в ответ вы получите объёмный звук и сможете, ориентируясь по нему, узнать, с какой стороны находится «голограмма». Подробные спецификации пока не раскрываются.
По словам ответственного за проект Алекса Кипмана (Alex Kipman), очки HoloLens уже используются инженерами NASA, которые с их помощью ходят по виртуальному Марсу, тестируя новые идеи. Представленная тут же видеодемонстрация дала понять, что от нового гаджета в определённых условиях можно добиться почти виртуальной реальности — глубокого погружения в компьютерный мир.
Технология «голограмм» реализована благодаря Holographic API, который поддерживается каждым устройством на Windows 10 и позволяет гаджетам следить за окружающей средой. Софт для работы с «голограммами» HoloStudio сравнивается с Paint или Solitaire — его пользователям обещают такое же привыкание, как первым попробовавшим самые культовые приложения Microsoft Windows.
Точная дата релиза HoloLens не известна; известно лишь, что компания выложит их на прилавки в рамках релиза Windows 10. Сенсации стоит ожидать в течение пары месяцев. Как отметил руководитель Microsoft Сатья Наделла, стоимость устройства будет достаточной для того, чтобы его могла позволить себе максимальная аудитория корпоративных пользователей и простых потребителей.
DNS был и остается одним из столпов интернета. Каждый раз, когда ты заходишь в сеть, ты его используешь. Но «стандарт де-факто» DNS-серверов, BIND, очень стар, громоздок и монолитен. В связи с этим мы решили рассмотреть несколько его современных альтернатив.
Введение
Раньше, в начале 2000-х, более-менее известных DNS-серверов было крайне мало. Де-факто стандартом для *nix-систем был BIND. Но время шло, BIND становился все более громоздким, и где-то в середине прошлого десятилетия начали обретать известность и другие реализации протокола DNS.
На данный момент существует более двадцати DNS-серверов — от самых маленьких, наподобие miniDNS, который содержит всего 107 строк кода (иное дело, что толком ничего, кроме выдачи одного ответа на любой DNS-запрос, от него не добьешься), до огромных проприетарных систем, содержащих, помимо DNS-сервера, еще много чего. Мы не будем описывать столь крайние случаи, опишем лишь более-менее распространенные и обновляемые свободные серверы имен. К таковым мы отнесли следующие:
PowerDNS;
NSD (только 4-ю версию);
Knot;
Unbound;
Yadifa;
pdnsd.
Все они имеют свои особенности, некоторые из них будут описаны в статье. Кроме того, не так давно на конференции HighLoad++ был представлен доклад о тестировании производительности DNS-серверов. Методы и результаты тестирования также будут здесь описаны.
Распределенный DNS
Ввиду попыток правительств некоторых государств «закрутить гайки» и ввести в интернет цензуру, некоторые задумались об альтернативной системе разрешения имен, которая была бы распределенной и децентрализованной и в которой доменное имя нельзя было бы отключить, просто попросив регистратора об этом. На данный момент возникло несколько подобного рода начинаний:
NameCoin;
BitDNS;
DNSchain;
DIANNA.
Все эти проекты основаны на принципе BitCoin — то есть, если вкратце, каждый домен хранится в DHT и на определенное время подписывается цепочкой блоков. Затем все происходит вновь.
Идея достаточно неплоха, но вот с реализацией пока что как-то мутновато — половина перечисленных проектов де-факто мертвы.
PowerDNS
PowerDNS — достаточно старый сервер, созданный в Голландии в конце 90-х годов прошлого века. Одна из его отличительных черт — разделение DNS-сервера на две совершенно независимые друг от друга части: авторитативный и рекурсивный серверы. Напомню, что авторитативный сервер для своей зоны царь и бог. Рекурсивный же запрашивает информацию аж от корневой зоны и кеширует ее.
PowerDNS поддерживает также множество источников информации — от файлов зон BIND до LDAP и собственных бэкендов, связь с которыми реализуется через пайпы, при этом их можно использовать одновременно. К слову, совместимость с конфигами BIND практически полная, и есть возможность конвертации файлов зон в базу данных. Помимо этого, в нем есть встроенный веб-сервер для снятия статистики и ограниченной возможности конфигурации.
Рекурсивный же сервер, PowerDNS Recursor, поддерживает Lua-скрипты для генерации ответов (впрочем, как и авторитативный), блок-листы и некоторые другие возможности, связанные с безопасностью.
Для установки PowerDNS в CentOS нужно добавить репозиторий — при этом их два: как для рекурсора, так и для авторитативного сервера. Переходим в каталог /etc/yum.repos.d/ и набираем следующие команды (для CentOS 6):
И теперь уже можно поставить один из них. Опишу сперва авторитативный сервер, а затем кратенько расскажу про рекурсор. Для установки авторитативного сервера (в качестве бэкенда будем использовать MySQL, но ты можешь выбрать любой другой) и некоторых полезных утилит набираем команду:
Рассмотрим интересные опции в файле конфигурации /etc/powerdns/pdns.conf:
any-to-tcp — принудительно переводит запрос ANY в TCP. Это может быть полезно для предотвращения amplification-атак вида (D)DoS-атак, которые основаны на том, что в протоколе UDP невозможно убедиться в подлинности отправителя пакета, и на том, что ответ содержит больше информации, чем сам запрос, что может привести к забиванию канала атакуемого объекта. Может быть равен yes или no;
webserver, webserver-address, webserver-password, webserver-port — относятся к встроенному веб-серверу, предоставляющему различную статистическую информацию, такую как частоту запросов, списки хостов, которые обращаются к серверу и которые шлют неверные запросы, и многое другое;
launch — указывает, какие модули бэкенда запускать для передачи им запросов. Собственно, это едва ли не основной параметр данного конфига. Допустимо указание нескольких бэкендов и псевдонимов для них.
После настройки фронтенда и выбора бэкенда необходимо настроить еще и последний. В случае с MySQL для этого нужно добавить примерно следующие строки в основной конфиг:
И создать пользователя и базу данных, импортировав при этом схему из /usr/share/doc/pdns-server-backend-mysql-3.3.1/ (она разнится в зависимости от того, будет ли использоваться DNSSEC или нет). Но на этом мы подробно останавливаться не будем.
Конфигурационный файл PowerDNS
PowerDNS: веб-интерфейс статистики
Установка рекурсора также проста, естественно, при условии наличия соответствующего репозитория:
# yum install pdns-recursor
Конфиг находится в том же самом каталоге, что и конфиг авторитативного сервера, только называется он recursor.conf. Естественно, одновременный запуск рекурсора и авторитативного сервера невозможен. В конфиге стоит отметить разве что опции max-cache-entries — максимальное количество закешированных записей, max-cache-ttl — время жизни записи в кеше и max-negative-ttl — время жизни тех записей, на которые сервер верхнего уровня вернул отрицательный ответ.
Авторитативный сервер PowerDNS с его возможностью получать данные о зонах оказывается в итоге очень гибким. К сожалению, эта гибкость выходит ему боком — из-за большого overhead’а он, вероятнее всего, будет реагировать на высокие нагрузки медленнее альтернатив.
NSD разработан нидерландской организацией NLnet Labs. Разработка началась в 1999 году. К настоящему времени в продакшене используются две версии данного сервера, но в статье будет описана лишь последняя, четвертая. Основные особенности:
некеширующий, только авторитативный;
полностью совместим с форматом зонных файлов BIND, которые заранее компилируются во внутреннюю memory-mapped БД NSD, nsd.db, что позволяет ускорить запуск сервера имен за счет предварительного парсинга файлов зон;
добавление зон на лету;
поддержка DNSSEC.
По состоянию на 2008 год NSD использовался как минимум в трех корневых серверах, а именно k.root-servers.net, h.root-servers.net (три сервера с балансировкой нагрузки) и l.root-servers.net. Сейчас, возможно, их количество выросло.
Для установки четвертой версии NSD потребуется скомпилировать его из исходников, поскольку пакеты для него пока что недоступны. Скачиваем их с официального сайта, распаковываем, собираем и ставим. В моем случае для сборки понадобилось поставить пакеты libevent-devel и openssl-devel.
Подготовка к сборке NSD
Основной конфигурационный файл NSD, /etc/nsd/nsd.conf, состоит из нескольких секций. Опишу их:
server: в данной секции настраиваются глобальные параметры, такие как количество используемых ядер процессора, адреса, на которых слушает сервер, путь к БД, имя пользователя, под которым сервер будет работать, максимальное количество запросов в секунду от одного источника и так далее;
zone: конфигурация зоны. Подобных секций, в отличие от предыдущей, может быть много. Здесь конфигурируются, к примеру, путь к файлу зоны, параметры ACL, список тех, кто может делать AXFR-запросы;
pattern: допустимо использовать паттерны для зон, при этом сам паттерн должен объявляться выше, чем объявляется зона. Включается он в зону с помощью параметра include-pattern: в секции конкретной зоны. Опять же подобных секций в конфиге может быть несколько;
key: параметры ключей DNSSEC (имя, алгоритм и сам ключ, который, впрочем, из соображений безопасности может быть вынесен в отдельный файл и включаться директивой include:);
remote-control: секция, описывающая параметры удаленного управления.
После настройки можно по желанию проверить как конфиг, так и файлы зон на наличие синтаксических ошибок, используя, соответственно, команды ‘nsd-checkconf’ и ‘nsd-checkzone’.
Кроме того, имеется утилита ‘nsd-control’ для управления, как локального, так и удаленного. Она позволяет добавлять и удалять зоны на лету, принудительно обновлять их, смотреть статистику.
Данный сервер, как видим, очень простой, и в нем отсутствуют некоторые расширенные параметры, относящиеся к безопасности (и не только — по некоторым данным, он игнорирует отдельные требования RFC 3597, которые нужны для нормальной работы с неизвестными и новыми ресурсными записями — RR). Однако благодаря своей простоте он требует минимума ресурсов.
Knot DNS
Данный сервер, по сравнению с ранее описанными, еще очень молод — чешская разработка 2011 года. Тем не менее он весьма быстро развивается. На данный момент доступна версия 1.5.3, в которой имеются следующие возможности (помимо полной совместимости со стандартами):
использование техники RCU для обновления зон;
модульная архитектура, появившаяся в версии 1.5.0;
начиная с версии 1.3, вместо связки Flex и Bison в качестве средства для написания парсера файлов зон используется Ragel; это позволило значительно ускорить процесс парсинга — для примера, обработка зоны .net (35 миллионов записей), которая ранее занимала около 1000 с, сейчас занимает около 10.
Для установки последней версии, разумеется, понадобятся исходники, но если самая свежая версия не обязательна, то можно использовать сторонние репозитории (тот же EPEL), благо версия сервера в них не сильно отстает от последней.
Файл конфигурации по синтаксису похож на старый добрый (или недобрый — тут уж для кого как) конфиг BIND. Тот же си-подобный синтаксис, только опций, пожалуй, меньше. Посмотрим на некоторые основные секции, имеющиеся здесь:
system — здесь конфигурируются примерно те же параметры, что в секции ‘server:’ NSD. Единственное, что стоит отметить, — так это возможность задать в целях безопасности строку версии для ответа на запрос класса CHAOS;
remotes — список серверов, с которыми допустим обмен зонами. Отмечу, что на момент парсинга этой опции Knot не делает разницы между первичными и вторичными серверами имен — это происходит на этапе их использования;
zones — содержит, во-первых, параметры, общие для всех зон, а во-вторых, сами зоны с их собственными параметрами (со ссылками на файлы зон). Из интересных опций отмечу возможность отключения запросов ANY и возможность дополнительных семантических проверок для файлов зон (по умолчанию они для увеличения производительности отключены). Также здесь можно указать и параметры для модулей;
log — параметры логирования. Поддерживается ведение логов в файл, в stdout/stderr и в syslog.
Кроме того, имеется возможность включать отдельные файлы директивой include.
Из модулей на данный момент доступно только два: dnstap, который позволяет логировать в бинарный формат, носящий то же имя, и synth_record, позволяющий генерировать на основе префикса и подсети прямые и обратные записи в случае отсутствия их в файле зоны. Подобная возможность полезна для IPv6-адресов, в противном случае большим провайдерам требуются просто-таки огромные файлы зон.
Хоть данный сервер и молод, выглядит он весьма многообещающе — его уже используют в зоне .CZ. Однако при текущих тенденциях есть небольшой риск, что он превратится в монстра наподобие BIND.
Unbound
Unbound является разработкой все той же NLnet Labs, что создала NSD, но в отличие от последнего он является исключительно кеширующим рекурсором. У него, как и у NSD, отличная поддержка DNSSEC (может выступать в роли валидатора для предотвращения DNS-спуфинга), весь кеш он хранит в памяти.
В отличие от NSD, он есть в репозитории EPEL, так что компилировать его не придется. Установка его более чем обычна:
# yum install unbound
Синтаксис конфигурационного файла, в общем-то, совпадает с таковым у NSD, поэтому его я тут описывать не буду, вместо этого опишу, какие настройки можно оптимизировать.
Во-первых, ‘num-threads’ рекомендуется установить равным количеству ядер. Во-вторых, все параметры, оканчивающиеся на ‘-slabs’, должны быть установлены степенями двойки, максимально близкими к ‘num-threads’. В-третьих, можно увеличить объем кеша, учитывая при этом, что общее количество памяти должно быть больше в 2,5 раза, чем все кеши, и что кеш набора ресурсных записей (‘rrset-cache-size’) должен быть вдвое больше кеша сообщений, ‘msg-cache-size’. Также можно увеличить количество открытых портов с помощью параметра ‘outgoing-range’. На загруженных серверах можно увеличить еще и буферы входящих/исходящих сокетов — ‘so-rcvbuf’ и ‘so-sndbuf’ соответственно.
Посмотрим, что у нас получится в итоге:
server:
# Используем все процессоры
num-threads: 8
# Степень двойки, максимально приближенная к предыдущему параметру
msg-cache-slabs: 8
rrset-cache-slabs: 8
infra-cache-slabs: 8
key-cache-slabs: 8
# Кэш, rrset=msg*2
rrset-cache-size: 500m
msg-cache-size: 250m
# Больше исходящих подключений
outgoing-range: 8192
# Увеличенные буферы сокетов — может потребоваться настройка параметров sysctl
so-rcvbuf: 8m
so-sndbuf: 8m
<...>
Про этот сервер можно сказать, что у него достаточно большое количество опций конфигурации для кеширующего резолвера.
YADIFA
YADIFA расшифровывается как Yet Another DNS Implementation For All и работает в зоне .EU. Разработка началась в 2009-м, но код открыли в 2012-м. По заявлениям разработчиков, потребление памяти у данного сервера самое минимальное из существующих — 135 байт на запись. Для установки нужна компиляция из исходников, которая осуществляется обычным путем.
Конфиг YADIFA, yadifad.conf, состоит из следующих секций (в формате, аналогичном HTML или XML, но им не являющемся):
<main> — здесь у нас, как обычно, общая конфигурация, и ничего нового тут не увидим;
<zone> — конфигурация для конкретной зоны; здесь, помимо расположения файлов зон, описывается, к примеру, интервал валидности автоматической подписи;
<key> — конфигурация для конкретного ключа, параметры абсолютно идентичны таковым у NSD;
<acl> — списки контроля доступа; в выражениях ACL у нас могут быть адреса (и подсети), определенные ключи и сами ACL (рекурсия не поддерживается); для запрета нужно перед объектом поставить восклицательный знак;
<channels> и <loggers> — конфигурация логирования; первая секция определяет, какие каналы куда писать (допустимо писать в файл, в syslog и в stderr), вторая же определяет источники для каналов, которых шесть (очевидно, по количеству подсистем): database — события, связанные с изменениями зон; dnssec — например, истечение срока подписи; server — сеть, запросы; statistics — внутренняя статистика; system — управление потоками и планировка; zone — подгрузка и внутреннее представление зон.
YADIFA обещает быть достаточно неплохим сервером. Однако ее компиляция заняла чуть больше времени, чем NSD, а размер почти вдвое больше — что наводит на мысли о достаточно нехорошей тенденции к раздуванию кода.
pdnsd
Очередной кеширующий DNS-сервер, разработка которого началась более десяти лет назад, имеет интересную особенность — его кеш сохраняется на жестком диске, что позволяет использовать данный сервер на медленных интернет-соединениях (в частности, dial-up). Кроме того, в конфиге может задаваться некое подобие зон, которые в терминологии pdnsd именуются «локальными записями». Поддерживаются следующие типы записей:
A;
PTR;
SOA;
CNAME;
MX;
TXT.
Для установки на CentOS достаточно скачать пакет с официального сайта, благо он там имеется:
Конфиг делится на секции: global, server, rr, neg, source и include. Рассмотрим их подробнее.
Секция global, понятное дело, описывает общие параметры сервера. Здесь интересен параметр paranoid, который служит для предотвращения DNS cache poisoning атаки путем отклонения записей, которые не относятся к пространству имен конкретного DNS-сервера. Еще одна интересная опция здесь — min_ttl, указывающая, сколько запись будет храниться в кеше. При этом она переопределяет время жизни, указанное в самой записи, например если в записи стоит TTL 30 мин, а min_ttl будет равна 60m, запись будет храниться в кеше 60 минут, а не 30.
Секция server (которых может быть несколько) описывает конфигурацию серверов, к которым pdnsd посылает запросы. В данной секции очень много параметров, касающихся проверки соединения. По этим параметрам видно, что данный сервер предназначен для работы в условиях крайне нестабильного и медленного канала.
В секциях rr указываются локальные записи. Еще раз отмечу, что это не замена полноценному авторитативному DNS-серверу, — это просто удобное средство для указания некоторых записей для 1.0.0.127.in-adrr.arpa.
Секции neg описывают домены, на которые дается отбой. Это может быть полезным для части программ, которые запрашивают несуществующие хосты и/или записи.
В секциях source можно использовать файл с синтаксисом /etc/host, что позволяет разрешать имена даже в том случае, если ни один DNS-сервер не доступен и в кеше этих имен нет.
Наконец, в секции include (которая, как и global, должна присутствовать в единственном экземпляре), можно подключать другие файлы конфигурации. Если конкретнее, эта возможность предусмотрена только для секции rr.
Может сложиться странное впечатление о данном сервере — из-за обилия опций, касающихся нестабильного соединения, кажется, будто он предназначен для работы в достаточно специфических условиях, в то время как он всего лишь рассчитан на телефонно-модемное соединение. Скорее всего, его имеет смысл использовать в SOHP-сетях, где DNS-трафик относительно мал.
Тестирование производительности DNS-серверов
Не так давно на конференции HighLoad++ было проведено тестирование производительности популярных DNS-серверов. Мы решили дать обзор его результатов. Но сначала опишем тестовый стенд. Сервер — двухпроцессорный Xeon E5-2670, 32 Гб DDR3-1333, сеть Intel X520-DA2 10 Гбит, на генераторе была почти идентичная конфигурация, только на сей раз процессор был один. На обеих машинах стоял Gentoo 3.7.9. Из описанных в данной статье серверов были протестированы следующие:
Knot (1.2.0 и 1.3.0-RC5);
YADIFA 1.0.2;
NSD (3.2.15 и 4.0.0b4);
PowerDNS 3.3;
Unbound 1.4.16;
pdnsd 1.2.9.
По итогам тестирования можно сказать, что Knot победитель. Это не кажется удивительным, ибо сервер очень юн. В то же время YADIFA оказался самым медленным, да и нагрузку он практически не держит — быть может, из-за того, что на момент тестирования он еще не «устаканился»? Следом за Knot идет NSD — скорее всего, из-за его базы данных. PowerDNS показал себя крепким середнячком. Pdnsd же, скорее всего, и не предназначен для высоких нагрузок. А вот Unbound огорчил — вроде и разработчики те же самые, что у NSD, однако он оказался чуть ли не аутсайдером.
Заключение
Как видим, все современные реализации серверов DNS содержат примерно идентичную функциональность. Однако некоторые администраторы (из-за лени или по незнанию) конфигурируют их не совсем правильно (помилуйте, зачем разрешать трансфер зон всем подряд?) или не используют некоторые возможности — такие как DNSSEC.
А вот с производительностью дело обстоит немного иначе. Похоже, сейчас в этом смысле идет незримая гонка — это значит, что данные, приведенные выше, возможно, уже устарели и тот же YADIFA из аутсайдеров пробился в лидеры. Так что в каждом отдельном случае стоит проводить подобные тесты самостоятельно.
Сегодня состоялась вторая презентация Windows 10, на которой показали финальные версии операционной системы и представили множество интересных функций.
Прежде всего, в Microsoft немного доработали уже существующие функции. Меню «Пуск» теперь можно развернуть на весь экран, переключаться между режимами для планшета и для компьютера стало проще, в One Drive появилась возможность загружать музыку, перерисовали меню настроек, а также добавили центр уведомлений.
Последний похож на Notification Center OS X, за исключением наличия в нём быстрого доступа к основным настройкам (регулировка яркости, включение/выключение Wi-Fi и Bluetooth). Разработчики могут добавлять кнопки или изображения в свои уведомления, что должно улучшить взаимодействие пользователей с приложениями.
Тем не менее главным нововведением Windows 10 стал голосовой помощник Cortana. Он получил большинство возможностей Siri и Google Now и поселился рядом с кнопкой «Пуск» на панели задач. Разработчики сделали Cortana персонализированным голосовым ассистентом. Это означает, что он постоянно обучается новой информации о пользователе, которую хранит в специальном блокноте. Чем чаще пользуешься помощником Cortana, тем лучше он тебя знает. Кроме этого, он отлично справляется с обыденными заданиями вроде установки будильника, отображения данных о погоде, оповещения о предстоящем авиарейсе или создания напоминаний. С помощью голосового ассистента можно искать нужные файлы на компьютере, открывать документы в специализированных приложениях или даже попросить включить музыку. А ещё у Cortana есть чувство юмора.
Так как обновлённая ОС стала мультиплатформенной, разработчики не могли не добавить синхронизацию между устройствами. Новое приложение «Галерея», например, теперь является универсальным для всех устройств и синхронизирует фотографии через One Drive. Центр уведомлений теперь также стал универсальным. Просмотрел уведомление на телефоне — и оно автоматически исчезнет на компьютере.
У Windows 10 появился новый браузер. Spartan, а именно такое кодовое название получила новинка, может похвастаться не только минималистичным дизайном, но и режимом заметок, чтения, множеством социальных возможностей и даже интегрированным помощником Cortana. При посещении веб-страниц появляться полезная информация от персонального голосового ассистента, основанная на предыдущем взаимодействии, сделанных заметках и напоминаниях.
Изменения мобильной версии ОС не такие радикальные. Разработчики вернули фоновое изображение на прежнее место, создали нормальное меню настроек, сделали уведомления более интерактивными, добавили возможность перемещать и масштабировать клавиатуру для удобства использования одной рукой, а также интегрировали Skype непосредственно в стандартный мессенджер.
Доработке подверглись и стандартные приложения. На десктопе появились «Люди», разработчики сделали немного красивее офисный пакет и календарь, а ещё полностью переработали приложение «Музыка» и добавили поддержку Cortana в стандартные «Карты».
Отдельное внимание на презентации уделили играм. Помимо отдельного приложения Xbox, работающего аналогично Game Center, все гаджеты на Windows 10 теперь получили возможность стриминга игр с Xbox One на ПК и планшеты. Геймеры также будут рады представленной DirectX 12 c обещанным 50-процентным приростом производительности в играх.
Для пользователей Windows 7, 8, 8.1 или Windows Phone 8 обновление до Windows 10 будет бесплатным. Новый билд предварительной версии Windows выйдет на следующей неделе. А первую версию для мобильных устройств обещают уже в феврале.
«По крайней мере 50 силовых структур и федеральных агентств тайно оснастили своих сотрудников радарами, позволяющими эффективно сканировать дома сквозь стены и проверять, есть ли кто-нибудь внутри», — пишет USA Today, отмечая при этом, что такая практика угрожает праву граждан на конфиденциальность частной жизни.
Среди агентств, которые закупили современное оборудование, — ФБР и Служба маршалов США. Судя по имеющимся документам, они начали перевооружение и использование таких радаров больше двух лет назад, «не сообщая об этом широкой публике и не получая разрешений через суд». Последнее может быть нарушением закона, поскольку Верховный суд США в своё время запретил использование высокотехнологичных сканеров для изучения домов граждан без получения ордера на обыск.
USA Today публикует отдельные характеристики: работа на расстоянии до 15 метров, угол сканирования 160°, вес 540 г. Удалось узнать и принцип работы прибора с излучением незатухающих волн на ступенчатых частотах (stepped frequency continuous wave, SFCW). Изготовление радаров по такой технологии подробно описано в научной литературе последних лет.
Технология пока достаточно новая и не привлекла внимание правозащитников. Но эксперты предупреждают, что судебные разборки по этому поводу неизбежны.
Естественно, такие радары уже появились (или скоро появятся) и у российских правоохранительных органов.
В декабре 2014 года стали известны планы правообладателей и лоббистов из MPAA усилить борьбу с нелицензионным контентом в интернете. Они решили, что могут закрывать доступ к «пиратским» сайтам, редактируя записи DNS.
Метод впервые предложили в пресловутом законопроекте Stop Online Piracy Act (SOPA) в 2011 году. К счастью, SOPA не прошёл через парламент из-за бурных протестов общественности.
Тем не менее, MPAA сейчас снова вернулась к лоббированию этой тактики. В декабре стало известно, что MPAA проводит испытания вместе с интернет-провайдерами (Comcast) для проверки, как система может работать на практике. Предполагается, что DNS-провайдерам будут рассылать судебные уведомления о блокировке сайта. От них потребуют удалять соответствующую запись из таблиц маршрутизации. Если все DNS-провайдеры сделают такое для какого-то сайта, то его URL де-факто исчезнет из интернета.
Сейчас в распоряжение издания TorrentFreak попали новые документы, которые проливают дополнительный свет на планы MPAA.
В декабрьских документах юристы голливудских студий ссылаются на некий прецедент “Fujian”. Как выяснилось сейчас, это связано с судебным процессом четырёхлетней давности против китайской компании Fujian Sharing Import & Export Ltd, которая продавала контрафактные товары через интернет. Чтобы бороться с ней, федеральный суд Нью-Йорка позволил принять ряд мер, в том числе редактирование записей DNS, изъятие доменов и исключение ссылок из результатов поисковой выдачи. В последующие годы правообладатели неоднократно обновляли список доменных имён нарушителей и принимали меры против них, не внося этот вопрос на рассмотрение суда.
Аналогичную практику хотят перенять и голливудские студии против «пиратских» сайтов. Таким образом, один раз установив нарушителя, они смогут произвольно без суда дополнять список доменных имён, чтобы обращаться к DNS-провайдерам с соответствующими запросами.
«Персонального помощника» Siri можно использовать таким образом, каким это никак не могла предусмотреть компания Apple — для скрытой передачи информации от злоумышленника к вредоносной программе, установленной на смартфоне, и обратно. Концептуальное приложение под названием iStegSiri внедряет постороннюю информацию в звуковые файлы, которые генерирует программа Siri.
В процессе MiTM-атаки, заняв позицию между устройством пользователя и серверами Siri, злоумышленник перехватывает эти сообщения и декодирует их. Таким образом, он может получать конфиденциальную информацию с телефона совершенно незаметно для пользователя, сетевого файрвола и антивирусных программ. По крайней мере, выявлять стеганографию в звуковых файлах не умеет ни один из существующих инструментов.
Приложение разработали исследователи Лука Кавильоне (Luca Caviglione) из Национального исследовательского совета Италии и Войцех Мазурчик (Wojciech Mazurczyk), доцент Варшавского технологического университета (Польша).
Авторы объясняют, что iStegSiri использует библиотеку Libactivator или действует через стандартные программные интерфейсы Apple.
Метод работает только на iPhone/iPad, которые подверглись процедуре джейлбрейка.
В альфа-версию Firefox внедрили экспериментальную поддержку технологии WebVR. Через специальное расширение WebVR Oculus Rift Enabler браузер теперь совместим со шлемом Oculus Rift.
Раньше для запуска приложений виртуальной реальности приходилось скачивать специальную версию Firefox. Теперь решено, что технология достаточно созрела, чтобы добавить её в одну из основных веток. Если всё пойдёт по плану, то через несколько месяцев WebVR выйдет и в основной ветке браузера. Правда, уже известно, что в бета-версии и в основной версии она будет отключена по умолчанию.
Вышеупомянутое расширение WebVR Oculus Rift Enabler (исходный код) просто устанавливает на компьютер библиотеку Oculus Rift SDK, с которой нужно работать Firefox. В будущем эту библиотеку тоже встроят прямо в браузер, так что никаких дополнительных расширений не понадобится.
Приложения виртуальной реальности в браузере в данный момент запускаются только в окнах, которые не поддерживают многопоточность (Non-e10s).
Кроме режима Direct-to-Rift (без установки расширения), разработчики сейчас стараются, чтобы поддержка виртуальной реальности появилась в версиях Firefox под Linux и Android, а также над совместимостью с Google Cardboard.
Марк Руссинович продолжает совершенствовать отдельные утилиты из пакета Sysinternals. Пару дней назад он выпустил Sysmon 2.0 — вторую версию популярной программы для мониторинга процессов в Windows.
Sysmon (System Monitor) — системная служба, которая после установки ведёт непрерывный мониторинг и запись логов. Служба загружается вместе с ОС и при умелом обращении позволяет тщательно изучить состояние операционной системы, найти следы вредоносной или подозрительной активности, а также понять, какие конкретно методы применяет злоумышленник или вредоносная программа. При этом следует помнить, что Sysmon не пытается анализировать логи и не даёт подсказок, а также не прячет свои процессы от нападающих.
Некоторые функции Sysmon
Запись событий о создании процесса с указанием всех параметров командной строки для текущего и родительского процессов.
Запись хэшей сохранённых файлов процессов с использованием алгоритмов SHA1 (по умолчанию), MD5, SHA256 или IMPHASH.
Одновременное использование нескольких хэшей.
Указание в логах GUID для процессов и событий, чтобы всегда можно было найти связи между ними.
Запись в логи факта загрузки драйверов и динамических библиотек с их цифровыми подписями и хэшами (новая функция в Sysmon 2.0).
Запись в логи сетевых соединений (если установить Sysmon с параметром –n), включая исходный процесс для каждого соединения, IP-адреса, номера портов, названия портов, хосты.
Определение факта принудительного изменения даты создания файла и отображение истинной даты создания файла (изменение даты часто используется вредоносными программами для сокрытия следов своей деятельности).
Автоматическая перезагрузка конфигурации при изменении реестра, поддержка файла конфигурации (новая функция в Sysmon 2.0).
Фильтрация по установленным правилам для включения или исключения из логов определённых событий (новая функция в Sysmon 2.0).
Начало записи в логи в начале загрузки операционной системы, чтобы зафиксировать активность даже продвинутых зловредов, проникших в ядро.
Кроме Sysmon 2.0, позавчера вышли новые версии других утилит Sysinternals: AccessChk 5.21 и RU 1.1.
Исследователи из Fujitsu Limited и Fujitsu Laboratories разработали «первую в мире» технологию автоматической идентификации идиотов пользователей, потенциально уязвимых для кибератаки. Идентификация происходит с помощью наблюдения, как юзеры используют электронную почту и как ведут себя в интернете во время веб-сёрфинга. Предполагается, что автоматический анализ значительно улучшит защищённость корпоративных сетей с большим количеством сотрудников, где никак нельзя уследить за всеми в ручном режиме.
Не секрет, что в большинстве компьютерных атак используется человеческий фактор — то самое уязвимое звено между экраном и клавиатурой. Например, людям рассылают фишинговые письма с поддельным обратным адресом, чтобы они щёлкнули по вредоносной ссылке или открыли файл с дроппером. Поскольку такие атаки проводятся на индивидуальной основе, отделу безопасности трудно выработать стандартизированные методы защиты.
Fujitsu Limited и Fujitsu Laboratories разработали онлайновый опросник, по результатам которого составляется профиль пользователя и вычисляется степень его уязвимости перед тремя видами атак:
вирусные инфекции,
мошенничество,
утечка конфиденциальной информации.
В то же время, система проводит анализ логов активности на персональном компьютере для уточнения оценки.
Разработанная методология представлена на 32-м симпозиуме по криптографии и информационной безопасности, который открылся 20 января 2015 года в городе Китакюсю (Япония). Исследование сделано по заказу министерства внутренних дел и коммуникаций Японии.
