Линус Торвальдс объявил выпуске тестовой версии ядра Linux 3.1-rc1. Окно по приему изменений для будущего релиза ядра будет открыто еще около двух недель. 75% представленных в новом тестовым выпуске изменений касаются драйверов устройств, а 12% – поддержки аппаратных архитектур (большинство изменений связано с x86, ASoC и ARM). 40% всех изменений в драйверах относятся к тестовому дереву “staging”, 20% – к драйверам сетевых устройств, 10% – к звуковой подсистеме ALSA. Достаточно большое число коммитов зафиксировано в подсистемах KVM, iwlagn и SCSI.
Архив за год: 2011
Ликбез по уязвимостям в веб-приложениях, а также самые частые ошибки разработчиков
Эта статья — продолжение цикла статей по информационной безопасности в веб-приложениях (и не только).
Вообще думал написать о «белом ящике», но я решил что нужно сначала ликвидировать возможные пробелы у целевой аудитории (в основном веб-разработчики) в этой области.
Может многие и все знают, о чем я пишу в статье, но я попытаюсь разбавлять ее практическими примерами и занятным опытом.
Планирую, что это статья — предпоследняя. После данный цикл будет повторен, только в более сложном варианте, с бОльшим углублением в данную тему. Надеюсь меня хватит на это, и вообще, что есть смысл об этом писать.
Как обычно — ответственность за все полученные знания только на читателе 🙂
Наиболее часто допускаемые ошибки при разработке веб-приложений (в плане безопасности), а также краткий ликбез по эксплуатированию «популярных» уязвимостей.
Для начала немного о SQL инъекциях, XSS/CSRF, RFI/LFI
SQL inj — SQL инъекция, выполнение несанкционированных запросов
XSS/CSRF — внедрение произвольного JS кода/скрипта в страницу. XSS — Cross Site Scripting (первая буква в аббревиатуре «X» чтобы не было путаницы с CSS (стилями). CSRF — выполнение произвольных действий в браузере пользователя
RFI/LFI — Remote/Local file including. Использование удаленных («извне»)/локальных файлов в своих целях
DoS — Denial Of Service. «Умный» вывод ресурса из строя (в отличии от DDoS). Данная атака производится при возможности выполнения «долгих» запросов или длительном выполнении кода.
Для того, чтобы знать, как защищать — надо знать, как взламывают ;]
Самое необходимое о модулях ядра в Linux
Ядро — это та часть операционной системы, работа которой полностью скрыта от пользователя, т. к. пользователь с ним не работает напрямую: пользователь работает с программами. Но, тем не менее, без ядра невозможна работа ни одной программы, т.е. они без ядра бесполезны. Этот механизм чем-то напоминает отношения официанта и клиента: работа хорошего официанта должна быть практически не заметна для клиента, но без официанта клиент не сможет передать заказ повару, и этот заказ не будет доставлен.
В Linux ядро монолитное, т.е. все его драйвера и подсистемы работают в своем адресном пространстве, отделенном от пользовательского. Сам термин «монолит» говорит о том, что в ядре сконцентрировано всё, и, по логике, ничего не может в него добавляться или удаляться. В случае с ядром Linux — это правда лишь отчасти: ядро Linux может работать в таком режиме, однако, в подавляющем большинстве сборок возможна модификация части кода ядра без его перекомпиляции, и даже без его выгрузки. Это достигается путем загрузки и выгрузки некоторых частей ядра, которые называются модулями. Чаще всего в процессе работы необходимо подключать модули драйверов устройств, поддержки криптографических алгоритмов, сетевых средств, и, чтобы уметь это правильно делать, нужно разбираться в строении ядра и уметь правильно работать с его модулями. Об этом и пойдет речь в этой статье.
Как взламывают мобильные платформы: взгляд экспертов
Мошенникам удаётся зарабатывать десятки миллионов рублей благодаря простейшим трюкам, на которые поддаются неопытные пользователи мобильных телефонов.
Автор: Андрей Письменный | Раздел: Статьи | Дата: 29 июля 2011 года
Став, по сути, настоящими компьютерами, мобильные телефоны унаследовали и многие беды, свойственные ПК. Одна из них – возможность несанкционированного доступа к личным данным и возможностям устройства. К сожалению, полностью защититься от этих бед не помогает ничто, ведь зачастую пользователи сами открывают вредоносным программам доступ к своим телефонам.
В начале июля 2011 года “Лаборатория Касперского” организовала для журналистов и блоггеров экспедицию в город Козьмодемьянск, в рамках которой прошла конференция по проблемам безопасности. Одна из наиболее интересных секций была посвящена мобильным платформам. На ней сотрудники “Лаборатории Касперского” и приглашённые эксперты рассказали о том, какие напасти угрожают обладателям мобильных телефонов и что можно сделать для самозащиты.
Самый простой и понятный каждому способ утечки личных данных – вместе с потерянным или украденным телефоном. Пропажа устройства может оказаться лишь первой из бед – если в нём были сохранены ценные данные, вроде паролей от различных сервисов или банковских систем, они с лёгкостью могут оказаться в руках злоумышленников.
«Почта России» начинает принимать жалобы online
Пожаловаться на «Почту» теперь можно гендиректору предприятия Александру Киселеву в режиме online. На официальном сайте www.russianpost.ru начинает работать новый интерактивный сервис «Почты России» – «Общественная приемная».
«Мы хотим знать обо всех недочетах, которые допускаем в своей работе. И рассчитываем на вашу помощь. Только в том случае, если у нас будет объективная обратная связь, «Почта России» сможет стать еще более современным предприятием, отвечающим самым высоким мировым стандартам качества услуг и сервиса. Мы готовы постепенно решить все проблемы. Потому что модернизация «Почты» невозможна без вашего участия», – говорит гендиректор ФГУП «Почта России» Александр Киселев.
Компания Microsoft предложила ввести в обиход новый термин Open Surface
Джиануго Рабеллино (Gianugo Rabellino), совмещающий участие в работе организации Apache Software Foundation с работой в компании Microsoft на посту директора по стратегии взаимодействия с Linux и открытым ПО, в своём выступлении на конференции OSCON 2011 предложил ввести в обиход ещё один термин – Open Surface (“Открытая поверхность” или менее буквальный, но более подходящий перевод – “Открытая внешность”). Необходимость введения нового термина связывается с потребностью информирования потребителей об использования в продукте открытых API, протоколов и стандартов.
Часто возникает ситуация, когда продукт с изначально закрытым кодом поставляется под видом открытой разработки только из-за того, что для взаимодействия с ним предоставлен открытый API. Подобная практика также распространена среди компаний, занимающихся предоставлением различных облачных сервисов, внешняя оболочка для доступа к которым поставляется с открытым кодом, но непосредственное выполнение операций производится в закрытой инфраструктуре. Для отделения подобных псевдооткрытых систем от настоящих разработок open source и предлагается ввести новый термин.
Биткойн изнутри
Множество неоднозначных статей написаных про биткойн побудили написать меня статью о внутреннем устройстве этой системы. Меня удивило, что некоторые авторы писали о цифровых монетах без понимания внутреннего устройства, и смысл длительных рассуждений был безуспешной попыткой узнать лохотрон ли это. Надеюсь после данной статьи вера или доверие bitcoin перейдет в уверенность и осознанность. Я не буду раскрывать в этой статье общественно-экономического влияния цифровых монет, а сосредоточусь исключительно на внутренних алгоритмах.
Электронная цифровая подпись (ЭЦП)
К сожалению, я не нашел подходящих простых образов, чтобы показать как изнутри работает криптография на эллиптических кривых. Возьмем этот инструмент «на веру». Те же алгоритмы используются в банковском секторе (и не только), поэтому крах ЭЦП приведет к кризису многих отраслей. Итак, закрытым ключом мы подписываем «письма передачи прав собственности» (транзакции), и тем самым отдаем свои монеты кому-то другому. Открытым ключом мы проверяем подлинность чужих транзакций.
проверка
проверка
Что нового будет в третьей версии Filesystem Hierarchy Standard?
На сайте linux.com появилась небольшая статья, описывающая грядущие изменения в стандарте отвечающем за иерахию файловой системы в Unix-системах.
Коротко о планируемых изменениях в Filesytem Hierarchy Standard 3.0:
1. Появление каталога /run для для размещения там необходимых при запуске системы файлов, таких как PID процессов или информацию о сессиях пользователей. Каталог /var/run с этого момента становится символической ссылкой на /run. Причиной побудившей к такому шагу является то, что каталог /var, как правило, выносится на отдельный раздел, так как там хранятся журналы, кэш почтовых и веб-серверов, который монтируется при загрузке в последнюю очередь. Впрочем, дискуссия касательно данного решения всё ещё идёт.
Локальная сеть на светодиодах (800 Mbps)
Оказывается, самые обычные светодиоды вполне подходят для передачи данных на высоких скоростях. Достаточно только написать софт для модуляции мерцания LED и поставить фотоприёмник на «другом конце линии» — вот и выходит готовый канал VLC (Visible Light Communication), то есть линия коммуникации в видимом свете. Похоже на оптоволокно, только по воздуху.
Инженеры из Института телекоммуникаций Фраунгофера (Берлин) недавно поставили новый рекорд по скорости передачи данных в VLC-канале на светодиодах четырёх цветов: 800 Мбит/с. Им удалось поднять работоспособную WLAN, где каждый узел видел соседей в радиусе примерно 1,8 м.
Интересное в этой технологии то, что похожие светодиоды используются в конструкции бытовых LED-лампочек белого света.
Светодиодная лампа E27 JDR
Таким образом, осветительные приборы в доме (торшеры, люстры, украшения новогодней ёлки) теоретически могут стать частью такой сети, если начнут мерцать по правильному протоколу. Практическая ценность в том, что такие модемы не генерируют радиоизлучения, так что могут использоваться как альтернатива WiFi в больницах, самолётах и т.д. Такое мерцание не воспринимается человеческим глазом.