Security Week 25: В *NIX реанимировали древнюю уязвимость, WannaCry оказался не доделан, ЦРУ прослушивает наши роутеры

Земля, 2005 год. По всей планете происходят загадочные события: Nokia выводит на рынок планшет на Linux, в глубокой тайне идет разработка игры с участниками группы Metallica в главных ролях, Джобс объявил о переходе Маков на платформу Intel.

Тем временем на конференции CancSecWest Гаэль Делалло из Beijaflore представил фундаментальный доклад об уязвимостях системы управления памятью в разнообразных NIX-ах, и проиллюстрировал свои находки эксплойтами для Apache. Все запатчились. Прошло несколько лет.

2010 год. Рафаль Войтчук продемонстрировал эксплуатацию уязвимости того же класса в сервере Xorg. В том же году Йон Оберайде опубликовал пару забавных сообщений о своих невинных играх с никсовым стеком. Все снова запатчились.

2016 год. Гуглевский Project Zero разродился исследованием эксплуатации уязвимостей стека под Ubuntu. Оберайде передает в комментах привет. Убунта запатчилась.

2017 год. Никогда такого не было, и вот опять. Qualys научилась мухлевать со стеком любых никсов, и все предыдущие патчи не спасли.
06/23/2017 21:40:17
0

Raspberry Pi3 против DragonBoard: разработка приложений на Python



Автор: Николай Хабаров, Embedded Expert DataArt, евангелист технологий умного дома.

Python идеально подходит для создания простых PoC-проектов. Всех преимуществ этого языка мы перечислять не будем, обратим внимание на особенность, которая кажется нам одной из самых интересных — кроссплатформенность. Именно благодаря ей Python оказывается очень удобным для создания встраиваемых систем. Не нужно компилировать двоичные файлы, нет необходимости заниматься развертыванием приложений. Тот же код работает как на ПК, так и на одноплатных решениях на базе Linux (например, Raspberry Pi).
06/23/2017 20:51:11
0

Symantec отказалась предоставить исходные коды для аудита в России

По российскому законодательству, западные компании обязаны подчиниться запросу ФСБ и предоставить для ознакомления исходный код своих проприетарных программ, прежде чем их допустят на российский рынок — власти хотят убедиться, что в программах нет встроенных бэкдоров. Этому требованию подчиняются все компании. Microsoft показывает исходный код Windows, а Cisco, IBM, SAP и другие компании делятся с Российской Федерацией исходным кодом своих файрводов, антивирусов, программ с криптографическими модулями. Но в последнее время у компаний такая практика вызывает озабоченность, потому что вместе с тем российские спецслужбы получают возможность найти уязвимости в проприетарных программах западных компаний, пишет Reuters. Эти уязвимости впоследствии могут быть использованы во время кибератак и для шпионажа.

Из опасений за безопасность своих продуктов одна компания — Symantec — прекратила сотрудничество с российскими аудиторами. То есть компания фактически уходит с российского рынка.
06/23/2017 20:50:01
0

Выпуск программы для управления фотографиями digiKam 5.6

Подготовлен релиз программы для управления коллекцией фотографий digiKam 5.6.0. Кроме закрытия 81 отчёта об ошибках новый выпуск примечателен следующими изменениями.
06/23/2017 20:45:14
0

Результаты внедрения Zextras для SaaS провайдера

В этой статье мы хотим рассказать о примере реального внедрения Zimbra Open Source Edition и Zextras Suite для европейского провайдера SaaS услуг, который специализируется на предоставлении услуг государственным, образовательным и медицинским учреждениям. Они предоставляют собственные облачные решения и обслуживают больше 21000 почтовых ящиков для более чем 200 различных доменов. Для модернизации ИТ инфраструктуры, желая предоставлять конечному пользователю высокотехнологичные и безопасные продукты, обеспечить надежную мобильную синхронизацию, управлять хранением файлов и предоставлять мультиаренду, было решено внедрить Zimbra Open Source Edition и полный комплект зимлетов Zextras Suite.

image

06/23/2017 19:39:07
0

Как держать 20 тысяч VPN клиентов на серверах за $5

Месяц назад мы с друзьями сделали бесплатный сервис для обхода блокировок сайтов в Украине Zaborona.Help. За это время сервис стал довольно популярным, аудитория выросла до 20 000 пользователей. Число одновременных подключений в пиковые часы — ≈6 000 клиентов.

Главная особенность нашего сервиса в том, что через VPN маршрутизируется трафик только к заблокированным сетям, остальные сайты работают напрямую. Это не влияет на скорость интернета и не подменяет IP-адрес для остальных сайтов.

В статье описываются тонкости настройки OpenVPN для большого числа клиентов, на дешевых VPS.

  • Как выбрать подходящий хостинг. Отличительные черты плохого хостинга. История о том, как мы долго искали и нашли хостинг в России.
  • Почему IPv6 — хорошо. Правильная настройка IPv6-адресов для VPN-клиентов.
  • Изменение конфигурации OpenVPN на лету, без перезапуска сервера и отключения клиентов.
  • Балансировка нагрузки между серверами и процессами OpenVPN
  • Тонкая настройка Linux для большого числа подключений
  • Особенности кривых операционных систем и роутеров пользователей


Наш опыт будет полезен для тех, кто собирается развернуть VPN для личных нужд, и тех, кто хочет создать сервис с большим числом клиентов.

06/23/2017 19:21:26
0

Может ли удвоение объема оперативной памяти сильно увеличить производительность игрового ноутбука? Проверяем на деле

Приветствуем зашедших в наш блог игроманов и им сочувствующих. Сегодня мы попробуем проверить, поможет ли доступный для пользователя апгрейд игрового ноутбука (читай – наращивание памяти и замена HDD на SDD) серьезно отразиться на общей производительности машинки.


Фото — asus.com

Вообще, апгрейд ПК, если мы не говорим о десктопах, где пользователь волен заменить все, до чего дотянется, довольно сильно ограничен, когда речь заходит о ноутбуках. Тем более – об ультрабуках. Так что если вы используете мобильную систему с дискретной графикой — вам может быть интересно.

И если в ноутбуках пока (пока) производители еще дают возможность добавить плашек памяти или поставить SSD для улучшения качества жизни (и цены ноутбука при перепродаже), то в ультрабуках все обычно раз и навсегда заботливо распаяно на плате, чтобы вы случайно не улучшили машинку самостоятельно вместо покупки новой.
06/23/2017 18:55:03
0

Стук снизу

Атмосфера на этом чердаке старенькой многоэтажки была особенная. На заляпанном полу валялись окурки и пустые бутылки, тут и там были постелены какие-то ветхие подобия матрасов. На матрасах сидели и лежали приличного вида люди, которые нашли здесь то, что не смогли найти в обычной жизни. Почти по центру, на вычурном стуле перед вычурным столом, обычно скучала хрупкого вида девочка, готовая на условный стук открыть небольшой люк в полу.

И вот снизу постучали.
06/23/2017 18:42:38
0

Выпуск Wine 2.11

Состоялся экспериментальный выпуск открытой реализации Win32 API - Wine 2.11. С момента выпуска версии 2.10 было закрыто 16 отчётов об ошибках.
06/23/2017 18:39:47
0

CocoaHeads Russia. Прямая трансляция

Трансляция идёт:



Привет, хабраюзеры!

Сегодня (23 июня 2017) в офисе Туту.ру пройдет очередной митап iOS разработчиков. Мы организуем прямую трансляцию митапа. Если вы не смогли к нам попасть, то у вас есть шанс увидеть все online.

Программа


  • 19:10 Открытие
  • 19:15 Анимация как средство самовыражения.
    Александр Зимин
  • 20:00 Перерыв
  • 20:25 Team Lead. Структурирование мыслей.
    Николай Ашанин
  • 21:00 Перерыв
  • 21:15 Викторина
  • 21:35 Реактивный VIPER.
    Дмитрий Котенко
  • 22:00 Автепати (трансляция в личные соцсеточки)
06/23/2017 18:12:24
0