Отправляет email-рассылки с помощью сервиса Sendsay

Хakep_daily

  Все выпуски  

Отчёт <<Кто пишет Linux 2015>> *


PDA   подписка    wiki   bugtrack   статьи    видео   блог   форум   поиск    друзья   






Microsoft внедрила стандарт для защиты данных в облаке
2015-02-18 16:13 Denis Mirkov

Microsoft объявила о поддержке нового международного стандарта для защиты конфиденциальных данных пользователей в облачных сервисах. Теперь компания обязуется защищать приватность юзеров, не использовать их данные в рекламных целях и информировать о юридических запросах на выдачу информации.

Стандарт ISO/IEC 27018 принят в прошлом году Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC). Он специально предназначен для провайдеров публичных облачных сервисов, которые хранят и обрабатывают персональную информацию пользователей.

Microsoft уверяет, что её сервисы проверил Британский институт стандартов. Тот подтвердил соответствие стандарту Office 365, Dynamics CRM Online и Microsoft Azure. Сервис Microsoft Intune был точно так же сертифицирован аудиторской компанией Bureau Veritas.

Как известно, Microsoft и другие американские компании сейчас подвергаются давлению в странах Евросоюза из-за своего тесного сотрудничества с правоохранительными органами и судами США. Компания старается сделать всё возможное, чтобы вернуть доверие клиентов.

Конечно, принятие ISO/IEC 27018 не решит полностью проблему с доверием, ведь правоохранительные органы по-прежнему могут присылать запросы и изымать информацию с серверов Microsoft. По крайней мере, теперь компания обязана уведомлять об этом пострадавшую сторону.

Прочитать полностью на сайте: Microsoft внедрила стандарт для защиты данных в облаке



ГСЧ во FreeBSD работает неправильно четыре месяца
2015-02-18 18:25 Denis Mirkov

Разработчики FreeBSD внезапно обнаружили некорректную работу встроенного генератора случайных чисел.

В официальном списке рассылки опубликовано письмо от разработчика Джона-Марка Гёрни (John-Mark Gurney).

Если вы работаете на текущей версии ядра r273872 или более поздней, пожалуйста, немедленно обновите ядро до версии r278907 или более поздней и заново сгенерируйте ключи.

Я обнаружил проблему, что новый код фреймворка не вызывал функцию randomdev_init_reader. Это означает, что read_random(9) не выдаёт хорошие случайные данные. В то же время, read_random(9) используется функцией arc4random(9), которая является основным методом источника данных для arc4random(3).

Это значит, что большинство или все сгенерированные ключи можно подобрать. Следовательно, они должны быть заново сгенерированы. В список входят, среди всего прочего, ключи SSH. Простого обновления ядра с патчем достаточно, чтобы исправить этот недостаток.

Следует подчеркнуть, что проблема затронула только ветку -CURRENT, а не стабильные релизы. Правда, некоторые крупные компании используют именно ветку -CURRENT. Теперь они могут за это поплатиться.

С другой стороны, разработчикам стоит задуматься о том, чтобы переименовать -CURRENT в нечто более очевидное: например, -ALPHA или -BETA. Пользователи должны чётко понимать, что это экспериментальная ветка.

Прочитать полностью на сайте: ГСЧ во FreeBSD работает неправильно четыре месяца



Одинаковые ключи SSH в тысячах устройств
2015-02-18 19:25 Denis Mirkov

Разработчик поисковой системы Shodan с декабря экспериментирует со своим краулером SSH, улучшая индексацию информации, которую сайты предъявляют вместе с отпечатком ключа SSH. Уже тогда он обратил внимание, что одинаковые отпечатки встречаются повсеместно. Очевидно, по какой-то причине устройства генерируют одинаковые ключи SSH.

Например, один отпечаток был найден более чем в 250 000 устройствах! Вот он.

dc:14:de:8e:d7:c1:15:43:23:82:25:81:d2:59:e8:c0

И многие другие отпечатки тоже многократно дублируются, что каждый может проверить самостоятельно, запустив следующий код на Python.

import shodan

api = shodan.Shodan(YOUR_API_KEY)

# Get the top 1,000 duplicated SSH fingerprints
results = api.count('port:22', facets=[('ssh.fingerprint', 1000)])

for facet in results['facets']['ssh.fingerprint']:
    print '%s --> %s' % (facet['value'], facet['count'])

Если пробить вышеупомянутый отпечаток через базу Shodan, то картина проясняется.

003

Похоже, мы имеем дело с инстансами Dropbear SSH, которые применяет оператор Telefonica de Espana. Похоже, какое-то их сетевое оборудование поставляется в конфигурации с дефолтным ключом SSH, и они решили использовать его повсеместно.

Следующий дубликат в списке встречается примерно 200 000 раз, третий результат — 150 000. Анализ показывает, что тенденция характерна для интернет-провайдеров и хостинг-провайдеров.

Список 1000 самых популярных отпечатков SSH опубликован здесь: https://gist.github.com/achillean/07f7f1e6b0e6e113a33c.

Прочитать полностью на сайте: Одинаковые ключи SSH в тысячах устройств



«Я знаю это»: игра для юниксоидов
2015-02-18 20:37 Denis Mirkov

Хакер и геймер Рено Бедар (Renaud Bédard) на конкурсе Global Game Jam 2015 создал очень необычную игру, действие которой происходит в трёхмерном интерфейсе файловой системы.

На создание такой игры его вдохновил… фильм «Парк Юрского периода» (1993). В одном из эпизодов этого фильма девочка по имени Лекс взламывает компьютерную систему с красивым графическим интерфейсом, чтобы запереть двери и защитить всех от хищников. В этот момент она заявляет: «Это система UNIX. Я знаю».

003

Собственно, эта фраза и вдохновила автора на создание игры с фантастическим 3D-интерфейсом псведо-UNIX.

Цель заключается в том, чтобы найти файл, доступ к которому запрещён. Искать рекомендуется в «поисковых узлах», которые обозначены фиолетовым цветом.

Для выигрыша нужно быстро-быстро набирать код. К счастью, набирать на клавиатуре можно что попало, как в «симуляторе хакера» hackertyper.net. Всё равно на выходе будет валидный код, как это обычно бывает в голливудских фильмах. Работает таймер, так что следует поторопиться, иначе придёт злобный админ и начнёт сканирование.

004

Чтобы спрятаться от админа во время сканирования в одном из «скрытых узлов», следует удерживать пробел. Во время игры умные советы тебе будет давать помощник Clicky.

005

После успешного выполнения задания поисковый узел будет деактивирован. Обычно для этого достаточно набрать около десяти строчек кода.

По иронии, игра нормально работает под Windows и Mac, а вот версия под Linux глючит. Автор обещает исправить в ближайшее время и выложить её на своей странице.

Windows (версия 1.0) : iknowthis_win_v1.zip (зеркало)
Mac Universal (версия 1.0) : iknowthis_mac_v1.zip (зеркало)

Прочитать полностью на сайте: «Я знаю это»: игра для юниксоидов



Нейросеть определяет лица под любым углом
2015-02-18 22:28 Denis Mirkov

Способность узнавать человека, лицо которого видно лишь частично, всегда было отличительной способностью человека. Теперь это не так.

Разработчики из научно-исследовательского подразделения Yahoo Labs в Калифорнии и Стэндфордского университета использовали свёрточную нейронную сеть (deep convolutional neural network) для создания системы, которая показала исключительно надёжный результат в распознавании лиц.

Идея в том, чтобы тренировать многоуровневую нейросеть на большой базе аннотированных фотоматериалов, так что она, в конце концов, начинает определять лица самостоятельно.

Если провести небольшой экскурс в историю, то до 2001 года вообще не существовало технологии, способной определять наличие лиц в реальном времени. Затем появился так называемый алгоритм Виолы-Джонса, который быстро внедрили у себя почти все производители цифровых камер. Однако, у метода Виолы-Джонса (определение носа и глаз по вертикальному светлому пятну и находящимся рядом тёмным пятнам) есть определённые ограничения: он замечает только лица, повёрнутые фронтально к камере.

В отличие от него, нейросеть Yahoo Labs успешно распознаёт лица, повёрнутые практически под любым углом.

005

Для тренировки системы использовалась база из 200 000 изображений с лицами под разным наклоном и углом, а также дополнительная база из 20 млн изображений без лиц. Тренировка проходила пакетами по 128 изображений в 50 000 проходов.

В результате получен надёжный детектор лиц, который разработчики назвали Deep Dense Face Detector. Его результаты отлично выглядят на фоне других алгоритмов. Более того, он значительно превосходит конкурентов в распознавании лиц, повёрнутых на 180° («вверх ногами»). Вероятно, эту функцию игнорировали создатели других алгоритмов, хотя для многих фотографий она нужна.

003

004

В будущем Yahoo планирует использовать этот алгоритм в поисковой системе по фотографиям. Как известно, корпорации принадлежит фотохостинг Flickr, где собрана одна из самых больших в мире коллекций фотографий.

Прочитать полностью на сайте: Нейросеть определяет лица под любым углом



Google не согласна с планом ФБР усилить слежку в интернете
2015-02-19 11:56 Denis Mirkov

Компания Google предупреждает общественность об изменениях в законодательстве, которые без лишней огласки продвигает министерство юстиции США.

По запросу минюста малоизвестная государственная организация — Консультативный совет по правилам уголовного судопроизводства — предлагает внести серьёзные изменения в процедуру получения информации у интернет-компаний. Эти изменения угрожают правам и свободам всех пользователей интернета, считает Google.

Google говорит о процессуальной статье 41 (Federal Rule of Criminal Procedure 41), которой руководствуются суды при выдаче ордеров на обыск. Сегодня статья 41 запрещает суду выдавать ордер за пределами своей юрисдикции, то есть за пределами соответствующего федерального округа, за некоторыми исключениями. Консультативный совет хочет значительно увеличить список исключений в случаях, когда речь идёт о компьютерах и сетях. Предлагаемые изменения позволят властям через судебный ордер получать «удалённый доступ» к базам электронных документов, если физическое расположение серверов «скрыто по технологическим причинам».

Google считает, что последствия принятия таких поправок очень серьёзные. Они могут нарушать конституционные права граждан, и поэтому должны обсуждаться в Конгрессе, а не на уровне какого-то технического комитета. Очевидно, что новые правила развяжут властям руки и позволят осуществлять обыски в дата-центрах по всему миру. Заниматься этим будет ФБР.

Кроме того, в документе не разъясняется понятие «удалённого доступа» к данным, а также каким образом он осуществляется. Это наводит на мысли о возможных хакерских атаках со стороны ФБР, об использовании ботнетов, троянов и других вредоносных программ.

Отдельно стоит упомянуть, что новые поправки позволяют выдать поисковый ордер на любого человека, который пользуется услугами VPN, потому что этот канал скрывает физическое местоположение сервера «по технологическим причинам», как и указано в нормативном акте.

Прочитать полностью на сайте: Google не согласна с планом ФБР усилить слежку в интернете



Отчёт «Кто пишет Linux 2015»
2015-02-19 13:41 Denis Mirkov

Linux Foundation опубликовала новый отчет со статистикой по разработчикам ядра “Who Writes Linux” (“Linux Kernel Development”), так что у нас есть возможность оценить тенденции развития самой популярной свободной операционной системы.

Предыдущий отчёт выходил в сентябре 2013 года, нынешний покрывает изменения, сделанные почти за полтора года, с версий 3.11 до 3.18.

003

Объём работы в последнее время вырос: каждая новая версия ядра включает в себя более 10 000 патчей от 1400+ разработчиков.

За последние полтора года Linux значительно усовершенствован, добавилось много важного функционала, в том числе создание временных файлов O_TMPFILE, поддержка NFS 4.2, виртуализация на ARM-архитектуре средствами Xen и KVM, сжатый своп-кэш zswap, использование движков рендеринга GPU независимо от дисплея, многопоточная архитектура (multiqueue block layer) для увеличения производительности операций ввода-вывода, многочисленные сетевые улучшения и т.д.

По количеству патчей лидирует версия 3.15, а по интенсивности разработки — 3.16 (9,53 патча в час).

004

005

Количество файлов и строк кода постоянно растёт. В момент первоначального релиза в 1991 году ядро содержало около 10 000 строк, а сейчас — 18 997 848. За полтора года база разбухла примерно на 2 млн строк.

006

Версия 3.17 стала вторым случаем за 24 года, когда кодовая база уменьшилась с новым релизом. Впервые такой феномен наблюдался в версии 2.6.36 в 2010 году.

По данным Linux Foundation, всего 11,8% разработчиков ядра Linux в прошлом году заявлены как неоплачиваемые добровольцы. В 2012 году таких было 14,6%, тенденция к снижению наблюдается уже много лет. «Люди, которые начинают писать код для ядра, очень быстро находят работу», — сказал Линус Торвальдс.

Независимые разработчики внесли 12,4% правок в ядро Linux — больше, чем любая корпорация.

007

Сам Линус практически отошёл от дел. Он не входит ни в 30 самых активных авторов, ни в 20 самых активных редакторов, которые проверяют патчи перед их включением в ядро. Каждый год его активность снижается, и за последний период он проинспектировал всего 329 патчей (0,4%) от общего количества. Для сравнения, лидер по этому показателю Грег Кроа-Хартман (Greg Kroah-Hartman) проинспектировал 13 028 патчей (14,4%).

В целом, Linux подтверждает свою роль как самого успешного Open Source проекта в истории программирования. За время отслеживания статистики с 2005 года в этом уникальном коллективном эксперименте приняли участие 11 800 разработчиков.

Прочитать полностью на сайте: Отчёт «Кто пишет Linux 2015»




© Copyright Gameland

В избранное