Дата публикации:Mon, 02 Jan 2023 10:58:50 +0300
Итоговая подборка наиболее важных и заметных событий 2022 года, связанных с открытыми проектами и информационной безопасностью:
- Конфликты: Раскол среди основателей проекта elementary OS. Уход Норберта Прейнинга из Debian. Призыв SFC к прекращению использования GitHub. Раскол в сообществе Urho3D. Критика политики Фонда СПО по отношению к прошивкам. Переход Apache PLC4X на модель платного развития. Введение и отмена запрета на продажу открытого ПО в Microsoft Store. Попытка возвращения Tornado Cash.
Форки: Angie - форк Nginx, LeanQt - форк Qt 5, libSQL - форк SQLite, Forgejo - форк Gitea, Pulsar - форк Atom.
Поглощения: Perforce поглотил Puppet. Intel поглотил Linutronix (linux-rt). Mozilla купила компании Active Replica и Pulse.
Судебные разбирательства: Разбирательство разработчиков Netfilter. Разбирательство из-за GitHub Copilot.
Разбирательство с компанией Vizio о нарушении GPL. Иск Дэниэла Бернштейна, связанный со стандартизацией криптоалгоритмов. Завершение разбирательства между Stockfish и ChessBase о нарушении GPL. Иск за предоставление хостинга проекту Youtube-dl. Разбирательство, связанное с проектом Neo4j и лицензией AGPL.
Авторские права: Конфликт, связанный с торговыми марками PostgreSQL. Debian отсудил домен debian.community, а Red Hat попытался отобрать домен WeMakeFedora.org. Признание недействительным патента, использованного для атаки на GNOME. Попытка создания патентного пула для Opus.
Феномен ProtestWare. Внесение деструктивных изменений в NPM-пакеты colors и faker.
Лицензии: Движение против лицензии CC0 в Fedora. Изменение лицензии на SIMH в ответ на критику. Неправомерность удаления дополнительных условий к лицензии AGPL.
Платформы разработки: Платные приложения во Flathub. SourceHut запрещает размещение проектов, связанных с криптовалютами. Прекращение работы хостинга свободных проектов Fosshost. Движение в сторону обязательной двухфакторной аутентификации в GitHub, NPM, PyPI и Ruby Gems.
Создание национального репозитория открытого кода и государственного удостоверяющего центра со своим корневым TLS-сертификатом. Проект открытых картографических данных Overture Maps.
Языки программирования и компиляторы: GCC 12, LLVM 15, HPVM 2.0, Java 18/19, Ruby 3.2, PHP 8.2, Julia 1.8, Crystal 1.6, Go 1.19, Perl 5.36, .NET 7, Glibc 2.36, Cosmopolitan 2.0 (библиотека для переносимых исполняемых файлов). Планы по созданию ветки Perl 7. Новая сборочная система ALBS.
Новые языки: Carbon и Hare.
Python: Python 3.11. Новые компиляторы Codon, S6, Nuitka 1.0, Pyston-lite.
PikaScript - вариант Python для микроконтроллеров. Профилировщик памяти Memray.
Экспансия языка Rust: Включение поддержки Rust в ядро Linux и GCC. Развитие компонентов Android, Mesa, GStreamer, Ruby на Rust.
Разработка NVMe-драйвера на Rust. Первый стабильный выпуск Arti, официальной реализации Tor на языке Rust.
Системные компоненты: systemd 252/251. Предложение о модернизации разбивки загрузочных разделов. Новая архитектура верифицированной загрузки Linux. Redbean 2.0 (приложения в ZIP-архиве).
Аппаратное обеспечение: Прогресс адаптации Linux для чипов Apple M1 и M2.
Raspberry Pi Pico W. Открытый GPU VeriGPU. Инициативы бесплатного производства пробных партий открытых чипов. Intel подключился к разработке технологий на базе архитектуры RISC-V. Платформа для создания роботов OpenBot.
Прошивки: В Debian утверждена поставка проприетарных прошивок в установочных носителях и возможность проведения тайного голосования.
Открыт код прошивки блока PSE для чипов Intel Elkhart Lake. Sound Open Firmware 2.2. Создан фонд OSFF для координации разработки открытых прошивок. Открыт код прошивок для ноутбуков Framework. Дешифровка микрокода Intel.
Сетевая инфраструктура: Защищённый сетевой протокол PSP. Механизм TMO, позволяющий экономить 20-32% памяти на серверах.
Стандарты: UCIe - открытый стандарт для чиплетов. HTTP/3.0. WebAssembly 2.0. Vulkan 1.3. Решение о приостановке синхронизации мировых атомных часов с астрономическим временем.
Механизмы защиты: Caliptra - открытый IP-блок для создания заслуживающих доверия чипов. Дополнительная защита памяти процессов в OpenBSD. Инициатива по повышению безопасности 10 тысяч открытых проектов. Портирование pledge для Linux.
TUF - фреймворк для безопасной доставки обновлений. Средства для безопасной работы с буферами в C++.
Новые ОС: KataOS (защищённая ОС от Google),
Essence,
dahliaOS (гибрид Linux и Fuchsia), DentOS (для коммутаторов), Capyloon (на базе Firefox OS), DBOS (ОС на основе СУБД), Phantom.
Редакция Solaris для бесплатного использования.
BSD: FreeBSD 13.1/12.4, OpenBSD 7.2, DragonFlyBSD 6.2, NetBSD 9.3. Реализации pledge/unveil, NetLink и новый код VPN WireGuard для FreeBSD. MyBee - дистрибутив FreeBSD для виртуальных машин.
Мобильные платформы: Android 13, Android Go 13, LineageOS 19, /e/OS 1.0, webOS 2.19, KDE Plasma Mobile 22.11, postmarketOS, GNOME Shell для мобильных устройств. Поддержка RISC-V в Android.
Дистрибутивы: Ubuntu 22.04/22.10/Core 22, Fedora 36/37, RHEL 9.0/9.1/8.7, SUSE 15SP4, openSUSE Leap 15.4, Linux Mint 21, Microsoft CBL-Mariner 2.0.
Chrome OS Flex. Платформа ALP, идущая на смену SUSE Linux Enterprise. TrueNAS SCALE. openSUSE Leap Micro. SUSE Liberty Linux. openSUSE развивает новый инсталлятор D-Installer. CERN и Fermilab переходят на AlmaLinux. В Fedora намечен переход на DNF5 (MicroDNF). Первый стабильный релиз WSL, прослойки для запуска Linux-приложений в Windows. Дистрибутив SpiralLinux от создателя GeckoLinux.
Новые пользовательские окружения: Maui Shell, Material Shell, PaperDE, LWQt.
Обновление пользовательских окружений: Xfce 4.18, GNOME 43/42, KDE 5.26/5.25/5.24, Cinnamon 5.6, LXQt 1.2, Sway 1.8, Budgie 10.6, Phosh 0.22,
Regolith 2.0.
Превращение рабочего стола Budgie в независимый проект. Переход COSMIC с GTK на Iced. Порт LXQt, поддерживающий Wayland. Прекращение сопровождения Clutter.
GUI и графика: Qt 6.3/6.4, LeanQt (форк Qt 5), GTK 4.6/4.8, Libadwaita 1.0/1.2. Намерение прекращения поддержки X11 в GTK5. Продвижение Wayland. Libcamera - стек для поддержки камер в Linux.
Драйверы: Открытие части драйверов NVIDIA. Vulkan-драйвер NVK для видеокарт NVIDIA. Драйвер Xe для GPU Intel. Поддержка GPU Mali Valhall в драйвере Panfrost.
Мультимедия: Звуковые кодеки EnCodec, Lyra V2 и FLAC 1.4.
Игры: PhysX 5, Open 3D Engine 22.10. Steam для Chrome OS.
Новые открытые проекты: OpenIKED (реализация протокола IKEv2 для IPsec), система рендеринга MoonRay, утилита восстановления информации с дисков HDDSuperClone, эмулятор Nintendo Wii U Cemu, система реагирования на инциденты OnCall, платформа для ведения заметок Notesnook, пакетный менеджер tea, система управления исходными текстами Sapling, фреймворк для создания высоконагруженных приложений userver, почтовый сервер vSMTP.
Открыт код CP/M. Neptune OS (слой совместимости с Windows на базе микроядра seL4). Микроядро Helios и OC Ares.
СУБД: PostgrqSQL 15, MariaDB 11, MongoDB 6.0, Redis 7. Новые СУБД: FerretDB, EdgeDB, YDB, Dragonfly.
Web: Инициатива повышения совместимости между web-браузерами. Web-браузер Wolvic для устройств виртуальной реальности.
Web-браузер Ladybird на движке LibWeb и JavaScript-интерпретаторе LibJS.
Mozilla: Включение в Firefox режима полной изоляции Cookie. Развитие системы машинного перевода. Поддержка дополнений на базе третьей версии манифеста Chrome. Сервис MDN Plus. Проект K-9 Mail станет основой Thunderbird для Android.
Chrome: Отложено отключение второй версии манифеста. Chromium портирован для ОС Fuchsia. Прекращение поддержки Server Push. uBlock Origin и AdGuard с поддержкой нового манифеста Chrome.
Распределённые и P2P системы: Стандартизация децентрализованных идентификаторов. I2P 2.0.0. GNUnet Messenger. Браузер CENO для обхода цензуры. VPN Weron.
Машинное обучение: Генератор изображений Stable Diffusion. Система распознавания и перевода речи Whisper. Генератор движений человека. Сжатие видео. GitHub Copilot. Генератор кода по текстовому описанию от DeepMind. Набор данных для понимания речи на 51 языке.
Модель для машинного перевода, поддерживающую 200 языков.
Файловые системы: Composefs. Движок хранения HSE от Micron. Обсуждение удаления ReiserFS из ядра и прекращения поддержки в openSUSE. Blksnap (снапшоты блочных устройств).
Виртуализация и контейнеры: Kata Containers 3.0, VirtualBox 7.0, Qubes 4.1, система виртуализации Firecracker 1.0, LXC 5.0, LXD 5.0. Инструментарий контейнеров Finch от Amazon. Поддержка FreeBSD в containerd.
Ядро Linux: Механизм верификации корректности работы ядра. Переработка заголовочных файлов. ELKS 0.6 (вариант ядра для 16-разрядных процессоров Intel). Unbreakable Enterprise Kernel 7. Инициатива по прекращению поддержки CPU i486 в ядре. Ошибка в драйвере i915, потенциально способная повредить LCD-экраны.
Основные изменения в ядре:
5.16: системный вызов futex_waitv для повышения производительности Windows-игр в Wine, отслеживание ошибок в ФС через fanotify, концепция фолиантов в системе управления памятью, поддержка процессорных инструкций AMX, возможность резервирования памяти за сетевыми сокетами, поддержка в netfilter классификации пакетов на стадии "egress", задействование подсистемы DAMON для упреждающего вытеснения невостребованных областей памяти, улучшение обработки перегрузок при большом объёме операций записи, поддержка многоприводных жёстких дисков.
5.17: новая система управления производительностью для процессоров AMD, возможность рекурсивного маппинга идентификаторов пользователей в файловых системах, поддержка переносимых скомпилированных BPF-программ, перевод генератора псевдослучайных чисел на алгоритм BLAKE2s, утилита rtla для анализа выполнения в режиме реального времени, новый бэкенд fscache для кэширования сетевых ФС, возможность прикрепления имён к анонимным операциям mmap.
5.18: проведена большая чистка устаревшей функциональности, объявлена устаревшей ФС Reiserfs, реализованы события трассировки пользовательских процессов, добавлена поддержка механизма блокирования работы эксплоитов Intel IBT, включён режим выявления переполнения буферов при использовании функции memcpy(), добавлен механизм отслеживания вызовов функций fprobe, повышена производительность планировщика задач на CPU AMD Zen, в состав включён драйвер для управления функциональностью CPU Intel (SDS), интегрирована часть патчей для реструктуризации заголовочных файлов, одобрено применение стандарта C11.
5.19: поддержка процессорной архитектуры LoongArch, интеграция патчей "BIG TCP", режим "on-demand" в fscache, возможность применения ZSTD для сжатия прошивок, интерфейс для управления вытеснением памяти из пространства пользователя, повышение надёжности и производительности генератора псевдослучайных чисел, поддержка расширений Intel IFS (In-Field Scan), AMD SEV-SNP (Secure Nested Paging), Intel TDX (Trusted Domain Extensions) и ARM SME (Scalable Matrix Extension).
6.0: поддержка асинхронной буферизированной записи в XFS, блочный драйвер ublk, оптимизация планировщика задач, механизм верификации корректности работы ядра, поддержка блочного шифра ARIA.
6.1: поддержка разработки драйверов и модулей на языке Rust, модернизация механизма определения используемых страниц памяти, специальный менеджер памяти для BPF-программ, система диагностики проблем с памятью KMSAN, механизм защиты KCFI (Kernel Control-Flow Integrity), внедрение структуры Maple tree.
Проблемы с криптографией: Провал криптоалгоритма SIKE. Компрометация сквозного шифрования в Matrix-клиентах. Отключение шифрования в LUKS2-разделах. Обход UEFI Secure Boot через GRUB2. Обход блокировки экрана в Android. Уязвимости в XKCP, OpenSSL и LibKSBA. Возможность генерации фиктивных подписей ECDSA в Java SE.
Уязвимости в процессорах и оборудовании: Retbleed, Hertzbleed, SQUIP, AEPIC Leak, BHI, специфичные для AMD и Intel (MMIO) уязвимости. Компрометация терминала Starlink. Уязвимость в прошивках UEFI. Сбой ноутбуков при воспроизведении музыки Джанет Джексон.
Методы атак: Прослушивание через проходящий в помещении оптический кабель. Идентификация смартфонов по активности Bluetooth. Использование датчиков движения смартфона для прослушивания. Идентификация на основе информации о GPU. Атака на Node.js через манипуляции с прототипами объектов JavaScript. Фишинг через симуляцию интерфейса браузера.
Исследования: Анализ некорректного использования запятых в Python-коде. Симуляция полноразмерной сети Tor. Устройство для определения скрытого включения микрофона. Анализ вредоносного кода в эксплоитах.
Локальные уязвимости: snap, ядро Linux (i915, io_uring, MCTP, tmpfs, POSIX CPU timer, cls_route, nf_tables, lockdown, сборщик мусора, netfilter, perf, O_RDONLY, cgroups v1, ucount, VFS, XFS, eBPF), systemd-coredump, xterm, pixman, Enlightenment, firejail, uclibc, networkd-dispatcher, CRI-O, PolKit.
Удалённые уязвимости: FreeBSD ping, ядро Linux (ksmbd, Bluetooth, mac80211, TIPC), Bitbucket, Samba, Netatalk, NTFS-3G, Git, FFmpeg, Redis, Cargo, GitLab, muhttpd, rsync, django, unrar, ALAC-декодировщики MediaTek и Qualcomm, libinput, Spring Framework, zlib,
IPv6-стек OpenBSD, OpenSSH, Expat, Magento
Удалённые уязвимости в APC Smart-UPS, устройствах на базе SoC Realtek, оборудовании Zyxel, NetGear, Juniper, webOS, прошивки на базе InsydeH2O.
Взломы: NPM, NVIDIA, Samsung, LastPass. Компрометация SMS-сервиса Twilio для атаки на Signal.
Приватность: Mozilla развивает механизм передачи телеметрии рекламным сетям. Shufflecake для создания скрытых шифрованных разделов на диске. Ограничение возможностей VPN-приложений в Play Store. Инструментарий для сбора телеметрии от GNOME.
Продолжение выявления вредоносных пакетов в репозиториях и каталогах NPM, PyPI, crates.io. 1600 вредоносных образов в Docker Hub. Вредоносный код в дополнении для блокирования рекламы в Twitch. Волна форков с вредоносными изменениями на GitHub. Распространение вредоносных файлов через рекламу GIMP в Google. 73 тысячи токенов и паролей открытых проектов в публичных логах Travis CI. Уязвимости в RubyGems.org и NPM.
Сбой из-за нарушения обратной совместимости в популярном NPM-пакете.
Атаки на инфраструктуры: Утечка кода UEFI-прошивок для чипов Intel Alder Lake. Атаки на NPM и GitHub. Утечка репозиториев Dropbox.
Инциденты: IVI-система Hyundai оказалась заверена ключом из руководства по OpenSSL. Сертификаты Samsung, LG и MediaTek использовались для заверения вредоносных Android-приложений. Публикация на GitHub ключа доступа к базе пользователей Toyota T-Connect. Удаление пакета Atomicwrites из PyPI в из-за введения двухфакторной аутентификации. Отзыв 2 млн сертификатов Let's Encrypt. В Linuxfx выявлен вшитый пароль для доступа к базе пользователей.
За год на OpenNET было опубликовано 1566 новостей, на которые было оставлено 156213 комментариев. Осенью 2022 года проекту OpenNET исполнилось 26 лет.
Новость позаимствована с opennet.ru
Ссылка на оригинал: https://www.opennet.ru/opennews/art.shtml?num=58392