Тысячи анкет с фотографиями

Знакомства

Найди свою любовь

Игры

Игры

Онлайн флеш игры

временная фотография

Из Олайне...

Новости мира открытых систем

Я очень дружу с Linux, чего и вам желаю...Поэтому самые свежие новости открытых систем и публикуются, огромное спасибо автору.


Следующий выпуск DragonFly BSD будет поставляться с начальной реализацией ФС HAMMER2


Мэтью Диллон (Matthew Dillon), лидер проекта DragonFly BSD, объявил о поставке в следующем выпуске DragonFly BSD начальной реализации файловой системы HAMMER2, которая развивается проектом с 2012 года. Следующий релиз DragonFly BSD намечен на сентябрь. Поддержка HAMMER2 будет включена в базовую поставку, но без опции для настройки в инсталляторе, так как будет позиционироваться как экспериментальная ФС.

Отмечается, что в первом выпуске HAMMER2 работа будет ограничена только средствами работы на одном разделе (single-image), без использования функций кластеризации (multi-master зеркалирование с распределением данных на несколько хостов) и работы на нескольких разделах, которые пока не готовы. Также не доведена до конца поддержка квот и хранения данных в зашифрвоанном виде. При этом в первом выпуске HAMMER2 будет поддерживаться установка на загрузочные разделы, дедупликация данных (dedup) на лету, хранение данных в сжатом виде и поддержка монтирования снапшотов, доступных на запись. Возможно к релизу разработчики успеют довести до должного уровня функцию зеркалирования данных на несколько разделов.

В анонсе отмечается, что физическая структура ФС заслуживает особой гордости, благодаря высоким показателям эффективности структур хранения. Например, по сравнению с HAMMER1 гранулированность распределения блоков снижена с 2 Мб до 16 Кб с возможностью дополнительного разбиения блока для обеспечения минимального размера выделяемой области данных в 1 Кб. Содержимое мелких файлов (до 512 Кб включительно) и директорий в которых размещено до 4 элементов (без учёта "." и "..") интегрируется непосредственно в состав inode.

Размер указателя на блоки (blockrefs) увеличен до 128 байт, но данное увеличение оправдано такими дополнительными функциями как встраивание хэшей содержимого директорий, кодирование параметров имён файлов до 64-символов (для параметров имён длиннее 64 символов выделяется отдельный блок), возможность хранения хэшей проверки дедупликации и криптохэшей, размером до 512 бит.

Источник: http://www.opennet.ru/opennews/art.shtml?num=47063

Выпуск мобильной платформы Android 8.0 "Oreo"


Компания Google представила выпуск платформы Android 8.0 "Oreo". В ближайшее время обновление будет предложено пользователям устройств Pixel, Pixel XL, Pixel C, Nexus 5X, Nexus 6P и Nexus Player. До конца года ожидаются новые устройства на базе Android 8 или обновления прошивок от компаний Essential, General Mobile, HMD Global Home of Nokia Phones, Huawei, HTC, Kyocera, LG, Motorola, Samsung, Sharp и Sony. Связанные с новым выпуском исходные тексты сегодня будут размещены в Git-репозиторий проекта (ветка android-8.0.0_r1).

Из ключевых новшеств можно отметить режим "картинка в картинке", каналы уведомлений, адаптивные пиктограммы, технология прямого соединения Wi-Fi Aware, фреймворк Telecom, AAudio API для профессиональной обработки звука, универсальные компоненты поддержки оборудования, возможность подключения обработчиков автоматического заполнения форм, включение в поставку библиотеки машинного обучения TensorFlow Lite, средства для управления выводом на несколько экранов, поддержка новых API Java 8, универсальные компоненты поддержки оборудования, поддержка языка Kotlin.

Особенности нового выпуска:

  • Поддержка многооконного режима "картинка в картинке" (PIP API, Picture in Picture), позволяющего приложениям выводить окна поверх мультимедийного контента. Например, при поступлении нового сообщения в чате во время просмотра видео можно отобразить окно для написания ответа непосредственно поверх видео. Ранее PIP API был доступен только для Android TV, но теперь адаптирован для смартфонов и планшетов. Кроме PIP API в новой версии также предоставлена возможность создания приложениям окон, выводимых поверх контетента (overlay window) вместо системного окна для отображения предупреждений;
  • Реализация каналов уведомлений, позволяющих приложениям разделять уведомления на категории с предоставлением пользователю гибких возможностей по управлению различными типами уведомлений. Вместо управления всеми уведомлениями приложения как одним целым, появилась возможность настройки поведения или блокирования отдельных каналов, на которые приложение разделяет свои уведомления. Например, для приложения чтения новостей можно отключить уведомления о показе политических и спортивных мероприятий, оставив вывод уведомлений о новостях развития технологий. В новом выпуске также представлены новые методы оформления и группировки уведомлений, возможность скрытия уведомлений на определённое время;
  • Новый API Autofill для создания индивидуальных приложений-обработчиков автоматического заполнения форм. По аналогии с тем, как можно подключать различные реализации экранных клавиатур, появилась возможность создания приложений, берущих на себя работу сохранения и безопасного доступа к таким данным, как адреса, имена пользователей, пароли, номера карт и т.п.
  • Новая реализация домашнего экрана для Android TV, нацеленная на упрощение поиска, предварительной оценки и просмотра контента, предоставляемого приложениями. Приложения могут публиковать один или более каналов, которые по выбору пользователя могут размещаться на домашнем экране;
  • Полноценная поддержка технологии Instant Apps, позволяющей создавать приложения, которые можно напрямую запускать из Google Play без выполнения установки на устройство. При запуске подобные программы по аналогии с web-приложениями загружаются динамически, а после завершения работы не остаются в системе. Для запуска программы достаточно ссылки, которую можно разместить на устройстве в форме ярлыка. При этом Instant Apps могут использовать те же технологии, что и обычные устанавливаемые приложения для Android;
  • Реализация умной системы выделения текста. Благодаря применению машинного обучения теперь автоматически распознаются упоминания в тексте адресов, номеров телефонов, ссылок, email и подобной информации, что позволяет при выполнении операций копирования в буфер обмена обеспечить выделения данных элементов целиком, а не посимвольно. Кроме того, предоставлены средства для рекомендации приложений для дальнейших операций с выделенным блоком (например, для email будет предложен почтовый клиент);
  • Представлена начальная реализация TensorFlow Lite, легковесного варианта платформы машинного обучения TensorFlow, позволяющего интегрировать в мобильные приложения функции классификации и распознавания изображений, текста и видео, создания чат-ботов и т.п. Для задействования в подобных приложениях средств для аппаратного ускорения вычислений развивается специальный Neural Network API;
  • Продолжается работа над проектом Android Vitals, ориентированным на оптимизацию производительности графической подсистемы, ускорение запуска, продление автономной работы от аккумулятора и повышение стабильности платформы. Добавлена новая система для автоматического ограничения активности фонового выполнения приложений. Ограничение производится в трёх направлениях: блокирование неявных broadcast-обработчиков, лимитирование доступа к сервисам в фоновом режиме и снижение частоты предоставления информации о местоположении. Проведена оптимизация Android Runtime: по сравнению с Android 7 скорость прохождения некоторых тестов увеличилась до двух раз;
  • В Play Console добавлен интерфейс для определения типовых проблем в приложениях - крахов, зависаний, приостановки вывода, медленной отрисовки, частых пробуждений из спящего режима, проблем с блокировками. Информация о данных проблемах теперь выводится в Play Console вместе с оценкой возможных причин и рекомендациями по устранению;
  • Добавлена поддержка организации вывода на несколько экранов (multi-display). Если приложение поддерживает многооконный режим и к устройству подключено несколько экранов, то пользователь теперь может перемещать окна с из одного экрана на другой, а приложение выбирать на каком экране отобразить информацию;
  • Реализована возможность разработки с использованием новых API, появившихся в Java 8, включая API java.time. Поддержка языковых возможностей Java 8 добавлена в компилятор javac и набор утилит dx. Инструментарий Jack переведён в разряд устаревших;
  • Шрифты стали полноценными ресурсами и могут использоваться приложениями в XML-макетах, в том числе в XML можно определять семейства шрифтов, указывая стиль, размер и файлы со шрифтами;
  • Поддержка адаптивных пиктограмм, подстраивающихся под интерфейс, применяемый производителем устройства. Например, можно сделать пиктограмму, которая может быть как круглой, так и квадратной или со сглаженными углами. Также реализованы новые анимированные действия с пиктограммами, применяемые в ланчере, ярлыках, настройках, диалогах обмена данными и обзорном экране;
  • Возможность использования цветового пространства Wide-gamut в приложениях, работающих с изображениями;
  • Добавлена поддержка звуковых кодеков для высококачественной передачи звука через Bluetooth, таких как LDAC;
  • Добавлена поддержка технологии Wi-Fi Aware (Neighbor Awareness Networking или NAN), которая при наличии совместимого оборудования позволяет находить и подключаться к другим устройствам, поддерживающим Wi-Fi Aware, через установку прямого беспроводного соединения без необходимости использования точки доступа;
  • Реализован ассистент настройки Wi-Fi, позволяющий автоматически соединяться с открытыми беспроводными сетями, а для защиты трафика обеспечить работу через VPN, предоставляемый Google;
  • Представлен фреймворк Telecom, расширяющий API ConnectionService и позволяющий интегрировать сторонние программы дозвона с системным пользовательским интерфейсом и бесшовно взаимодействовать с другими звуковыми приложениями. Например, приложение может отображать информацию о поступившем звонке в различных видах интерфейсов, таких как головной экран автомобильной информационно-развлекательной системы;
  • Добавлены средства для организации навигации по интерфейсу с использованием клавиатуры. Например, перемещения указателя клавишами управления курсором или смена фокуса табуляцией. Возможность стала актуальной после реализации поддержки в Google Play возможности запуска приложений на устройствах с Chrome OS, снабжённых полноценной клавиатурой;
  • Добавлено 60 новых картинок emoji;
  • Обеспечена поддержка всех моделей принтеров, сертифицированных альянсом Mopria. В Android 8 поддерживается примерно 97% от всех выпускаемых в мире моделей принтеров;
  • Представлен API AAudio API, предназначенный для использования в приложениях профессиональной обработки звука, требующих максимальной производительности и минимальных задержек при работе со звуком. При использовании AAudio отправка и получение звуковых данных производится через потоки;
  • В браузерном движке WebView появилась поддержка многопроцессного режима, при котором обработка разного web-контента выносится в отдельные изолированные друг от друга процессы. В Android O данный режим включен по умолчанию. Для приложений в WebView также предложены новые API для обработки ошибок и крахов. Опционально реализована возможность предварительной проверки URL на безопасность связанного с ним контента в сервисе Google Safe Browsing;
  • Добавлена функция автоматического изменения размера форм для ввода текста (TextView) для заполнения всего доступного экранного пространства;
  • По умолчанию для приложений задействован seccomp filter, через который обеспечена блокировка доступа к опасным системным вызовам, которые могут стать объектом атаки, но нетипичны для использования из пользовательских приложений (например, управление разделом подкачки). Для систем ARM64 заблокировано 17 и 271 системных вызовов, а для ARM - 70 из 364.
  • Представлена платформа Android Go, предназначенная для комплектации устройств с небольшим размером ОЗУ. В основе Android Go лежат штатные оптимизированные системные компоненты платформы Android, способные обеспечить эффективную и комфортную работу на устройствах, имеющих 1 Гб оперативной памяти и менее. Вторым звеном является специально оптимизированный набор приложений Google Apps, который адаптирован для снижения потребления памяти, места в постоянном хранилище и трафика. В том числе подготовлены специальные сокращённые варианты просмотрщика видео YouTube Go, браузера Chrome и экранной клавиатуры Gboard;
  • Реализована прослойка Treble, которая позволяет производителям создавать универсальные компоненты поддержки оборудования, не привязанные к конкретным версиям Android и используемым в них выпускам ядра Linux. Если ранее производитель вынужден был портировать компоненты для поддержки оборудования для ядра каждого нового выпуска, то теперь для новых выпусков можно использовать уже подготовленную основу, обеспечивающую взаимодействие с оборудованием. Низкоуровневые компоненты, специфичные для каждого устройства, выделены в отдельный слой, который отделён от Android OS Framework (т.е. от используемого в Android ядра Linux) и может развиваться независимо;
  • В список официально поддерживаемых языков для разработки приложений для платформы Android добавлен язык Kotlin, рассчитанный на компиляцию приложений в форму для последующего выполнения внутри стандартной виртуальной машины Java (JVM) или Android.


Источник: http://www.opennet.ru/opennews/art.shtml?num=47061

Проект OpenBSD представил технику защиты RETGUARD


Тео де Раадт (Theo de Raadt) представил предварительную реализацию техники защиты RETGUARD, которую планируется интегрировать в OpenBSD для усложнения выполнения эксплоитов, построенных с использованием заимствования кусков кода и приёмов возвратно-ориентированного программирования (ROP, Return-Oriented Programming).

Суть метода защиты RETGUARD заключается в искажении адреса возврата обработчиков типовых функций системных библиотек и ядра - перед началом обработчика и перед командой возврата управления (ret) добавляется вызов "xorq %rsp,(%rsp)" для x86_64 или "xorl %esp,(%esp)" для 32-разрядных систем x86. При штатном ходе выполнения первый xor инвертирует адрес возврата, а второй инвертирует его второй раз, возвращая к изначальному виду. При выполнении эксплоита осуществляется переход на составляющий эксплоит блок заимствованных машинных инструкций (гаджет), точка входа в который как правило не совпадает с началом функции. Так как управление передано не на начало, а в определённую часть тела функции, первый "xor" будет пропущен и "xor" перед выходом исказит переданный эксплоитом адрес возврата.

Метод реализован в виде патча к компилятору clang, который на этапе компиляции производит автоматическую подстановку кода инвертирования адреса возврата во все функции. Для функций системной библиотеки и ядра, написанных на языке ассемблер, подготовлены отдельные патчи, в которых команды "xor" добавлены вручную. Для активации нового метода защиты в приложениях не требуется отдельных действий, достаточно наложить патч, после чего пересобрать gnu/usr.bin/clang и затем этим clang пересобрать систему.

Код пока оценивается как экспериментальный и предлагается для тестирования перед включением в основной состав OpenBSD. При этом работа базовой системы и большинства портов с предложенным патчем отмечается как не вызывающая нареканий. Тем не менее выявлены отдельные проблемы при сборке нескольких крупных портов, в коде которых используются прямые манипуляции с адресами возврата. В дальнейшем после отладки и интеграции защиты адресов возврата планируется реализовать похожую технику для усложнения использования гаджетов, в которых возврат управления обеспечен через подстановку адреса для команды jmp (pop/jmp или JOP).

Напомним, что техника заимствования кусков кода используется для эксплуатации переполнений буфера в условиях, когда в страницах памяти стека и буфера установлен запрет на исполнение кода. Для организации выполнения кода атакующего в таких условиях логика выполнения shell-кода формируется с использованием методов возвратно-ориентированного программирования (ROP) - атакующий не пытается разместить свой код в памяти, а оперирует уже имеющимися в загруженных библиотеках кусками машинных инструкций, завершающихся инструкцией возврата управления (как правило, это окончания библиотечных функций). Работа эксплоита сводится к построению цепочки вызовов подобных блоков ("гаджетов") для получения нужной функциональности. Для автоматизации выявления гаджетов применяются специальные инструменты. Используя готовые блоки машинных инструкций (гаджеты) можно организовать достаточно сложные операции, в том числе организовать работу условных операторов и циклов.

Источник: http://www.opennet.ru/opennews/art.shtml?num=47060

Red Hat передаёт язык Ceylon на попечительство организации Eclipse Foundation


Компания Red Hat инициировала процесс передачи управления над разработкой языка программирования Ceylon некоммерческой организации Eclipse Foundation, курирующей развитие платформы для создания интегрированных сред разработки и различных проектов на языке Java. Основной целью передачи проекта является воплощение в жизнь независимой от конкретного производителя модели управления, которая позволит привлечь к разработке новых участников и повысить популярность платформы среди пользователей.

Организация Eclipse Foundation утвердила приём Ceylon в число проектов Eclipse и начала процесс интеграции в инкубаторе. Кроме дистрибутива Ceylon, включающего компиляторы, утилиты, базовые библиотеки и стандартный набор модулей, в руки Eclipse также перейдут SDK, транслятор Java2Ceylon, сервер Ceylon Herd для распространения модулей, интегрированная среда разработки Web IDE, а также плагины для Eclipse IDE и IntelliJ IDE. После перехода под крыло Eclipse Foundation код Ceylon будет распространяться под лицензиями Apache 2.0 и Eclipse Public License 1.0. (ранее, некоторые компоненты поставлялись под AGPL).

Из планов по дальнейшему развитию Ceylon в составе сообщества Eclipse отмечается перевод JVM-бэкенда на ECJ (Eclipse Compiler for Java), завершение реализации средств для обобщённого программирования высшего порядка (higher-order generics), добавление поддержки async/await, обеспечение переносимости с языком TypeScript, реализация в плагине для Eclipse техники отложенной генерации бинарных файлов, интеграция поддержки среды разработки Eclipse Che.

Напомним, что язык Ceylon был создан компанией Red Hat в 2011 году с целью избавить Java от устаревших концепций и подходов, которые мешают дальнейшей эволюции языка и достижению более высокого уровня эффективности. Кроме реализации лучших возможностей Java, в Ceylon были заимствованы некоторые дополнительные конструкции из языков Smalltalk, Python и ML. Написанные на языке Ceylon программы и модули могут выполняться в стандартной виртуальной машине Java (JVM) или компилироваться в JavaScript для выполнения в web-браузере или под управлением Node.js. Поддерживается бесшовная интеграция с другими языками, базирующимися на JVM, например, модули на языке Ceylon можно использовать в программах на Java и наоборот.

Язык использует статическую типизацию и спроектирован с оглядкой на простоту изучения, лёгкость восприятия кода и разработку больших проектов, в которых участвует большое число программистов. Синтаксис Ceylon во многом напоминает Си, Java и C#. При помощи Ceylon значительно проще создавать фреймворки и библиотеки классов, а также естественно описывать древовидные структуры (в частности, формировать пользовательский интерфейс). В язык добавлены элементы, упрощающие написание кода, который можно использовать повторно в других проектах.

Модули на языке Ceylon упаковываются в архивы .car и помещаются в специальные репозитории. В процессе выполнения приложения нужные модули загружаются сразу из внешнего или локального репозитория, не требуя предварительной установки. Язык поддерживает архитектуру модульной "peer-to-peer" загрузки классов, обладающую такими возможностями как учет требований приложения к версиям модулей и поддержку работы сразу с несколькими репозиториями модулей, как локальными, так и внешними.

Некоторые особенности Ceylon:

  • Статическая типизация (тип любого значения любого выражения может быть определён без исполнения программы), позволяющая выявлять ошибки на этапе компиляции, а не в процессе исполнения;
  • Отсутствие специальных типов, всё реализовано в виде объектов;
  • Именованные и опциональные параметры;
  • Nullable-типы (кроме значений базового типа, допускается использование состояний NULL);
  • Отсутствие необходимости явного указания геттеров/сеттеров (getter/setters);
  • Определение типов для локальных блоков (через ключевое слово "local");
  • Удобная организация работы с последовательностями (массивами);
  • Реализация функций высшего порядка, аргументом или возвращаемым результатом в которых выступают другие функции;
  • Использование для присвоения первоначальных значений (инициализации переменных) оператора ":=";
  • Новый синтаксис интерполяции строк;
  • Новые типы: Natural, Numeric и т.п.
  • Классы, методы и атрибуты выглядят одинаково;
  • Использование для определения существующих языковых концепций новых ключевых слов: shared, satisfies, assign, variable, local;
  • Упрощение уровней public, protected, private access, visibility;
  • Определение inline-функций в стиле Smalltalk.

Дополнение: Доступен Ceylon 1.3.3, последний выпуск, сформированный под управлением Red Hat. Следующем станет выпуск Ceylon 1.4.0, который станет первым релизом после миграции в Eclipse Foundation.

Источник: http://www.opennet.ru/opennews/art.shtml?num=47059

В тестовых сборках Ubuntu 17.10 по умолчанию задействована панель Ubuntu Dock


Разработчики Ubuntu сообщили о включении в тестовые сборки Ubuntu 17.10 новой панели Ubuntu Dock, которая выполнена в виде расширения к оболочке GNOME Shell. Оформление Ubuntu Dock во многом напоминает панель Unity, что позволит сохранить привычный внешний вид и упростить миграцию пользователей Unity на GNOME. Параллельно доступен классический сеанс GNOME, поставляемый без расширений.

Панель основана на коде расширения Dash To Dock и позиционируется как лёгкий форк, отличающийся от основного расширения главным образом предлагаемыми по умолчанию настройками и иным идентификатором расширения. Состояние репозитория Ubuntu Dock решено поддерживать максимально приближенным к основному проекту и постоянно синхронизировать кодовые базы. Развитие функциональности предлагается производить в рамках основного проекта Dash To Dock.

Смена идентификатора произведена так как панель входит в поставку по умолчанию и требуется предотвратить автоматическое обновление из каталога расширений GNOME в обход репозитория и не дожидаясь признания готовности службами контроля качества и безопасности Ubuntu. Иной идентификатор также позволяет установить Dash to Doc параллельно с Ubuntu Dock, если пользователя не устраивают предлагаемые настройки или не хочется ждать появления обновлений в репзитории.

Среди других изменений, которые выполнены на уровне конфигурации gsettings, т.е. без изменения кода:

  • Обеспечение постоянной видимости панели (без автоскрытия);
  • Размещение панели по всей высоте экрана;
  • Сокращение интервалов между пиктограммами;
  • Уменьшение уровня прозрачности;
  • Фиксированная ширина без привязки к числу запущенных приложений;
  • Выделение точкой запущенных программ;
  • Отключение панели с настройками (настройки перенесены в GNOME Control Center);
  • Изменение поведения кнопки выбора приложений - для приближения поведения к штатному GNOME, кнопка перемещена вниз и изменёна реализация прокрутки при выборе виртуального рабочего стола.




Источник: http://www.opennet.ru/opennews/art.shtml?num=47053

Facebook отказался перелицензировать React для проектов фонда Apache


Компания Facebook сообщила, что не имеет возможности отказаться от применяемой ныне лицензии BSD с дополнительным соглашением об использовании патентов ("BSD+Patent"). Представители Facebook пояснили, что отказ от текущего текста приложения о патентах приведёт к ослаблению защиты от патентных троллей и увеличению ресурсов, которые придётся тратить на отражение необоснованных патентных исков.

Напомним, что в прошлом месяце Фонд Apache добавил "BSD+Patent" в список несовместимых лицензий, код под которыми не разрешается использовать в проектах Apache. До 31 августа проектам Apache предписано избавиться от зависимостей под лицензией "BSD+Patent", таких как JavaScript-фреймворк React, применяемый в том числе в Apache CouchDB. Как вариант выхода из сложившейся ситуации Facebook было предложено перелицензировать код React под более современной лицензией Apache 2.0, которая близка к используемой в Facebook связке и включает пункты для минимизации рисков от патентных исков (лицензия отзывается в случае патентного иска против создателя открытого кода).

Facebook указывает, что патентное дополнение, в котором фонд Apache усмотрел несбалансированное перекладывание рисков на потребителей продуктов, является ценой текущей политики открытости, при которой Facebook пытается развивать в качестве открытого ПО по возможности все свои программные и аппаратные проекты. К сожалению, такая большая компания как Facebook является привлекательной целью для различных патентных исков, и компания не готова отказаться от текущего варианта патентного соглашения как дополнительного рубежа защиты. В текущей ситуации Facebook не может сменить лицензию, не подставляя себя под удар необоснованных судебных исков.

Facebook подчёркивает, что ограничения, касающиеся связки "BSD+Patent" внесены только во внутренние правила Фонда Apache и затрагивают только проекты данной некоммерческой организации. При этом связка остаётся полностью совместимой с лицензией Apache 2.0 и проектами на её основе, развиваемыми не под эгидой Фонда Apache. Ранее в черный список Фонда Apache также были добавлены такие лицензии, как GPL, AGPL, LGPL и BSD-4-Clause.

Источник: http://www.opennet.ru/opennews/art.shtml?num=47051

Получение контроля над смартфоном после ремонта через комплектующие


Исследователи из Университета имени Давида Бен-Гуриона в Негеве (Израиль) на проходящей на днях конференции USENIX Security 2017 опубликовали результаты эксперимента по оценке возможности внедрения в смартфоны шпионских и вредоносных закладок через установку во время ремонта специально модифицированных деталей.

В качестве подтверждения реалистичности подобных атак рассмотрена ситуация замены повреждённого экрана. Исследователями были подготовлены прототипы модифицированных экранов для смартфонов Huawei Nexus 6P и LG G Pad 7.0, в которые был встроен дополнительный чип, контролирующий коммуникационную шину I2C, по которой осуществляется передача данных от аппаратного компонента к драйверу. По аналогии с MITM атака классифицирована как CITM ("Chip-In-The-Middle") и в контенте сенсорного экрана позволяет перехватывать сенсорный ввод, а также симулировать операции с сенсорным экраном.

Модифицированные комплектующие могли применяться для сохранения ввода с виртуальной клавиатуры и симуляции действий пользователя (например, продемонстрирована установка вредоносной программы и создание фотоснимка с последующей отправкой атакующему по email). Кроме подстановки ввода возможно проведение прямой атаки на драйвер операционной системы в обход встроенных в смартфоны средств защиты, в случае отсутствия в драйвере необходимых проверок корректности данных, поступающих со стороны оборудования (например, исследователями выявлено переполнение буфера в драйвере контроллера сенсорного экрана).

Технически закладка создана на базе микроконтроллера ATmega328 из Arduino, припаянного к шине контроллера сенсорной панели. Благодаря использованию готового чипа стоимость оборудования для проведения атаки составила менее 10 долларов. Низкая стоимость позволяет легко наладить массовое производство вредоносных комплектующих и их поставку под видом обычных деталей. Прототипы атак продемонстрированы для платформы Android, но утверждается, что нет никаких преград повторить опыт для iOS.

Опасность атаки через поддельные комплектующие в том, что без специальной экспертизы их достаточно сложно отличить от легитимных деталей. Сенсорные экраны и многие другие компоненты, включая датчики ориентации, контроллеры беспроводного заряда и NFS-приемники, обычно поставляются сторонними производителями. Драйверы для взаимодействия с подобными компонентами встраиваются в основную ОС и в отличие от драйверов для подключаемых USB-накопителей или сетевых устройств не выполняют дополнительных проверок корректности взаимодействия аппаратного компонента и центрального процессора, полностью доверяя встроенному оборудованию.

Видеоролики с практическими демонстрациями возможных атак:

  • Установка стороннего ПО через симуляцию действий с сенсорным экраном (запускается Google Play и устанавливается произвольная программа);

  • Создание фотоснимка и отправка на email.

  • Организация фишинг-атаки через подмену вводимого URL.

  • Сохранение и перехват последовательности разблокировки телефона.

  • Предоставление атакующему полного контроля за устройством через эксплуатацию уязвимости в ядре ОС (эксплуатируется переполнение буфера в драйвере, отключается SELinux и создаётся внешнее сетевое соединение с доступом к shell).



Источник: http://www.opennet.ru/opennews/art.shtml?num=47050

Компания Oracle намерена передать разработку Java EE независимому сообществу


Компания Oracle поделилась планами о дальнейшей судьбе платформы Java EE (Java Platform Enterprise Edition). Отмечается, что работа над спецификацией Java EE 8 близка к завершению - компания намерена опубликовать эталонную реализацию Java EE 8 в этом месяце и представить её на конференции JavaOne 2017. В дальнейшем компания Oracle рассчитывает модернизировать модель разработки Java EE и сделать её по-настоящему открытой платформой, не только с позиции доступности кода, но и в области участия сообщества в развитии платформы.

Сейчас процесс разработки полностью подконтролен Oracle и не является достаточно гибким и открытым. В качестве основного варианта модернизации разработки рассматривается перемещение технологий Java EE, включая эталонную реализацию и компоненты для оценки совместимости, под крыло некоммерческой организации, которая будет курировать разработку платформы при участии сообщества. Подобный шаг позволит оптимизировать процессы разработки, реализовать более гибкую модель лицензирования и изменить методы принятия решений. Выбор организации ещё не утверждён, но наиболее вероятным претендентом является Eclipse Foundation.

При этом Oracle не бросает Java EE на произвол судьбы и намерена выполнить все текущие обязательства перед разработчиками, пользователями, клиентами, партнёрами, участниками разработки и лицензиатами. После передачи Java EE сообществу Oracle продолжит активное участие в развитии технологий Java EE и обеспечит поддержку существующих реализаций Java EE, в том числе реализации Java EE 8. Oracle считает, что более открытый процесс разработки, не зависящий от одного вендора, привлечёт к работе над платформой новых участников и ускорит внедрение инноваций.

Источник: http://www.opennet.ru/opennews/art.shtml?num=47049

Отслеживание перемещения в соседней комнате при помощи динамика и микрофона обычного ПК


Группа исследователей из Вашингтонского университета разработала метод создания сонара для отслеживания перемещения людей и определения положения предметов при помощи штатных микрофонов и громкоговорителей ноутбуков, ПК, смартфонов и различных потребительских устройств, таких как умные телевизоры, мультимедийные центры или персональные помощники (например, Amazon Alexa). Получив контроль за одним из подобных устройств атакующий может не только записывать разговоры, но и незаметно отслеживать активность людей в помещении при прослушивании ими специально изменённых музыкальных композиций.

Техника атаки получила название CovertBand и основана на подстановке в воспроизводимые в помещении музыкальные композиции специальных высокочастотных периодических всплесков (18-20 kHz), которые не заметны на фоне музыки, но хорошо улавливаются микрофоном. На основании изменения характера отражённых колебаний и задержек их поступления, вычисляется расстояние, размер и пространственная позиция объектов. При этом сканирующий сигнал оказался абсолютно незаметен для слушателя: из 33 добровольцев, ни один не смог распознать посторонний сигнал в предложенных для прослушивания популярных мелодиях.

В ходе эксперимента организация атаки через умный телевизор позволила достаточно точно отслеживать перемещения двух людей на двумерном плане комнаты, а также отличать случайные движения от повторяющихся. Отмечается, что метод также оказался успешно применим для отслеживания движения и определения расположения предметов в соседних помещениях, благодаря прохождению звука через стены, двери и окна. Отслеживание возможно на расстоянии до 6 метров в том же помещении и до 3 метров за стеной.

В результате сканирования через стену соседнего помещения ошибка в определении неподвижного предмета составила 8 см, а отслеживании движущегося объекта - 18 см (для сравнения, специализированные радары дают точность порядка 11 см, а метод анализа спектра Wi-Fi - 70 см.). Точность метода может быть увеличена при синхронном использовании нескольких микрофонов. Для увеличения дальности отслеживания можно увеличить расстояния между микрофоном и громкоговорителем. В качестве одного из методов противостояния работе сонара предлагается создать мобильное приложение, способное выявлять высокочастотную пульсацию и в ответ генерировать шумы на частоте 18-20 kHz.



Источник: http://www.opennet.ru/opennews/art.shtml?num=47046

Релиз растрового графического редактора Krita 3.2


Состоялся релиз растрового графического редактора Krita 3.2, развиваемого для художников и иллюстраторов. Редактор поддерживает многослойную обработку изображений, предоставляет средства для работы с различными цветовыми моделями и обладает большим набором средств для цифровой живописи, создания скетчей и формирования текстур. Для установки подготовлены самодостаточные образы в форматах AppImage и Snap для Linux (для Ubuntu дополнительно подготовлен PPA), а также бинарные сборки для macOS и Windows.

Ключевые улучшения:

  • Предложен новый плагин gmic-qt, созданный и поддерживаемый разработчиками фреймворка для обработки изображений G’Mic. Плагин предоставляет большую подборку готовых фильтров для обработки изображений и является аналогом плагина для редактора GIMP, реализованным на базе нового универсального интерфейса G’MIC-Qt, использующего библиотеку Qt и не привязанного к GIMP. Новый плагин встроен в сборки для Linux и Windows. Несмотря на то, что плагин пока позиционируется как экспериментальный, фактически он более стабилен, чем старый вариант плагина для интеграции с G’Mic;

  • Возвращён режим рисования пальцами, который присутствовал в Krita 2.8, но не был перенесён в процессе перехода на Qt 5;
  • Добавлен новый инструмент Smart Patch для чистки изображений и удаления лишних элементов. При помощи нового инструмента достаточно в общем виде пометить лишний объект и редактор сам вырежет его и смоделирует недостающий фон. Изначально инструмент был запланирован для включения в Krita 4.0, но в итоге был интегрирован раньше;

  • В набор кистей по умолчанию добавлена подборка кистей от художника под псевдонимом Radian, которые хорошо подходят для живописи;
  • Добавлены горячие клавиши для смены состояния слоёв, например для изменения видимости и закрепления слоя;
  • Реализован новый диалог для копирования и вставки информации о текущей системе при отправке уведомлений о проблемах;
  • Фильтр гауссового размытия (Gaussian Blur) оптимизирован для использования ядер, включающих до 1000 пикселей в диаметре;
  • Появился новый режим смешивания с фиксацией слоя - Hard Overlay;
  • Проведена чистка компонентов, связанных с OpenGL.


Источник: http://www.opennet.ru/opennews/art.shtml?num=47044


Новинки


страницы: