В списке рассылки ядра Linux опубликован набор патчей с реализаций LSM-модуля WhiteEgret, представляющего средства для обеспечения защиты системы через применение белого списка исполняемых компонентов. WhiteEgret допускает исполнение только кода приложений и библиотек, которые явно разрешены и занесены в заранее определённый белый список. Исполнение всех не включённых в список приложений блокируется, что не позволяет выполнить в системе недозволенные программы и вредоносное ПО. WhiteEgret хорошо подходит для статичных окружений, состав которых не меняется длительное время, например, для типовых серверов и промышленных управляющих систем. Обработка белого списка дозволенных программ выполняется в пользовательском окружении при помощи процесса WEUA (WhiteEgret User Application). В процессе обработки системных вызовов execve и mmap_file ядро отправляет в WEUA запрос, передавая полный путь к исполняемому файлу. WEUA на основании белого списка принимает решение о возможности исполнения данного файла. Вызов
В целях повышения безопасности сервисов, работающих в контейнерах, в systemd добавлены настройки сервисов "ReadOnlySystem" и "ProtectedHome". Настройка "ReadOnlySystem" примонтирует разделы /usr и /boot для указанного сервиса в режиме "только для чтения". Это позволит убедиться, что сервис не сможет несанкционированно изменять части операционной системы, если такое поведение сервиса заведомо не предполагается. Настройка "ProtectedHome" примонтирует разделы /home и /run/user в режиме только для чтения или заменит указанные пути на пустую несуществующую директорию. Это позволит добиться того, что указанный сервис не получит доступа к конфиденциальным пользовательским данным. Отмечается, что данные настройки будут также применены ко всем долговременно работающим процессам самого systemd. Настройки будут включены в состав будущего выпуска systemd 214.
Компания Google опубликовала сведения об организации на территории Турции перехвата обращений пользователей к общедоступному DNS-серверу Google (8.8.8.8). Перехват осуществляется большинством турецких интернет-провайдеров и используется для организации подмены DNS-ответов, при попытке определения имён неугодных сайтов. Следует отметить, что блокирование YouTube и Twitter в Турции вначале было организовано через подмену DNS-обращений, поэтому перехват DNS-службы Google является лишь частным проявлением глобальной подмены DNS на стороне турецких провайдеров, вышедшей за рамки перехвата местных DNS-серверов. Позднее, после того как в турецком сегменте Сети появилась волна рецептов по использованию внешних DNS-серверов, таких как OpenDNS (208.67.222.222, 208.67.220.220) и Google DNS (8.8.8.8, 8.8.4.4), власти предприняли более жёсткую блокировку на уровне IP, что способствовало росту популярности Tor, VPN и различных внешних анонимайзеров.
Компания Google открыла под лицензией GPLv2 код с реализацией технологии изоляции уровня ОС Lmctfy (Let Me Contain That For You), позволяющей запускать приложения в изолированных контейнерах с ограничением ресурсов. Несмотря на то, что проект является открытым вариантом используемого в Google стека изолированных контейнеров, Lmctfy пока находится в стадии активной разработки и не рекомендуется для промышленной эксплуатации. Концептуально Lmctfy очень похож на технологии виртуализации OpenVZ и LXC и даже использует те же механизмы для осуществления изоляции, включая пространства имен и cgroups, позволяющие отделить процессы контейнера от основной системы и ограничить их в ресурсах. Контейнеры могут создаваться по инициативе запускаемого приложения и управляться приложением через специальный API, который предоставляется библиотекой liblmctfy. Для создания контейнеров и запуска в них приложений также можно использовать CLI-интерфейс. Внутри контейнера поддерживается создание дочерних субконтейнеров, что в
Для рассмотрения в Конгресс США передан новый законопроект "Unlocking Technology Act of 2013", который легализует право на разблокировку собственного мобильного телефона. Закон также позволяет пользователям обходить технические средства защиты авторских прав (DRM), если в таком случае не будет нарушен закон об авторском праве, а также разрабатывать и продавать программное обеспечение для разблокировки мобильных устройств. Закон был вынесен на рассмотрение в четверг членами палаты Зо Лофгрен, Томасом Мэсси и Джаредом Полисом.
Разработчики web-браузера Chrome рассказали о следующем поколении средств для обеспечения безопасности выполнения Chrome на платформе Linux. Начиная с вышедшей на днях экспериментальной версии Chrome 23.0.1255.0 при работе в Linux применяется расширенный режим изоляции, реализованный в виде многоуровневой системы sandbox-ов. Первый уровень защиты обеспечивает setuid-sandbox, блокирующий доступ к файловой системе, сети и сторонним процессам (процесс помещается через CLONE_NEWPID в отдельный PID namespace, выполняется chroot в пустую директорию и блокируется сеть через CLONE_NEWNET). Поверх setuid sandbox дополнительно реализован seccomp-bpf sandbox, который ограничивает доступ процесса только к системным вызовам, необходимым для выполнения штатных функций. Работа seccomp-bpf sandbox базируется на интегрированной в ядро Linux 3.5 поддержке механизма seccomp filter, позволяющий определять в приложении правила доступа к системным вызовам, в том числе учитывая передаваемые и возвращаемые аргументы. Например,
В свежих ночных сборках Firefox появилась поддержка опции "click-to-play", позволяющей по умолчанию запретить выполнение плагинов, если не получено явное согласие пользователя на отображение каждого обрабатываемого ими объекта. В частности, при включении данной опции вместо Flash-контента будет отображаться чёрная область с предложением кликнуть мышью для активации. Если опция не будет отменена в процессе разработки, то поддержка click-to-play может появиться в релизе Firefox 14, который ожидается в конце июля. В настоящее время Flash-плагин установлен у около 99% пользователей сети. Проблема состоит в том, что в плагинах регулярно выявляют критические уязвимости, которые последнее время активно эксплуатируются и становятся одним их основных путей распространения вредоносного ПО. Кроме того, отображение Flash-анимации занимает много системных ресурсов, что приводит к повышенному потреблению энергии при навигации в автономном режиме и временами создаёт значительную паразитную нагрузку, мешающую работе
Фонд СПО объявил о проведении конкурса комиксов для привлечения внимания к попыткам привязать пользователей к определённым прошивкам и операционным системам, например через внедрение технологии для блокирования загрузки систем, не имеющих цифровой подписи от производителя. Работы будут приниматься до 17 марта. На конкурс допускаются только произведения, распространяемые под свободными лицензиями. Работы победителей будут в течение месяца размещены на главной странице fsf.org. Кроме того, пользователям предлагается подписать петицию, выразив своё несогласие с попыткам компании Microsoft привязать пользователей ПК к своей системе путем блокирования возможности установки сторонних операционных систем. Напомним, что сертификация оборудования на совместимость с Windows 8 требует, чтобы оборудование поставлялось с включённой опцией безопасной загрузки в UEFI, блокирующей загрузку систем, не имеющих цифровой подписи. Негативная реакция общественности вынудила Microsoft внести изменения в условия сертификации для
Даниэль Беррандж (Daniel Berrange), работающий в компании Red Hat над развитием средств виртуализации, представил первый публичный выпуск пакета libvirt-sandbox, позволяющего организовать выполнение произвольных пользовательских приложений в изолированном окружении, построенном с использованием libvirt. В рамках libvirt-sandbox подготовлен API, расширяющий возможности libvirt в плане изолированного запуска отдельных приложений, и специальная сервисная утилита virt-sandbox. Несколько лет назад компания Red Hat подготовила утилиту sandbox, которая позволяет организовать безопасное выполнение не вызывающих доверия программ с обеспечением изоляции при помощи SELinux, что накладывало определённые ограничения на функциональность sandbox. Утилита virt-sandbox существенно отличается от своего предшественника тем, что использует для изоляции полноценные виртуальные машины и не ограничивается только запуском подозрительных программ, а позиционируется также для более безопасного выполнения программ в повседневной
Один из разработчиков Mozilla сообщил о возобновлении работ, связанных с проектом Electrolysis, в рамках которого запланирован перевод Firefox на многопроцессную архитектуру, при которой пользовательский интерфейс и обработка контента будут обрабатываться разными процессами. Кроме того, рассматривается возможность использования многопроцессной модели для обеспечения полной изоляции отдельных вкладок, виджетов, групп вкладок и страниц одного домена. Часть наработок проекта уже интегрирована в Firefox 4 и используется для выполнения плагинов в отдельных процессах. Кроме того, в Mobile Firefox 4.0 для платформы Android уже задействован механизм обработки вкладок разными процессами. Отмечается, что процесс перехода на многопроцессную модель достаточно сложен и длителен, новая архитектура будет внедряться постепенно. Конкретные сроки не указаны, но с учетом 16-недельного цикла подготовки релизов, новые наработки можно будет увидеть не раньше, чем в версии Firefox 8. По заявлению разработчиков Mozilla, каждый