Flame

16 év után a kernel szintű biztonság javítását célzó grsecurity 2017. április 27-vel megszüntette az eddig ingyenesen elérhető úgynevezett test patchek elérhetőségét (is).

Ez a grsecurity részét képező, de külön is hozzáférhető PaX-ra is vonatkozik. Az utolsó ingyenes PaX patch a 4.9.24-hez készült.2 éve a hosszú karbantartású , úgynevezett stabil patch elérhetőségét fizetőssé tették, - kimondatlanul ugyan, de racionálisan nézve a helyzetet - idő kérdése volt, mikor az ingyenes elérhetőség is végleg megszűnik, ez 2017.04.27-én elérkezett.

A korábbi úgynevezett test patch-eket amelyeket a legfrissebb vanilla kernelekre lehet illeszteni, most "beta kernel patch"-nek hívják, és szintén egyfajta előfizetéses formában hozzáférhető április 27 óta. Így a grsecurity valószínűleg végleg kikerül a népszerű linux disztribúciók csomagtárából is. Az utolsó elérhető ingyenes test patch még a 4.9-es kernelhez készült. Hivatalos karbantartás ehhez már nem lesz, de némi barkácsolással valószínűleg megoldható lesz a 4.9 fa jövőbeni változásaihoz való illesztés, új biztonsági funkciókról viszont ez esetben a felhasználóknak le kell mondaniuk.

Mivel a debian stretch-et 4.9-es verzióval adják ki a debian felhasználók még saját kútfőből vagy backport tárolóból letöltött backportolt megoldással a grsecurity egy verzióját még használhatják akár egy pár évig is ingyenes formában amennyiben kitartanak a 4.9-es forrásfánál.

A részletes bejelentés itt elérhető.

Háttérinformáció a döntés okairól.

Hogy aztán középtávon a grsecurity marad egy jóval szűkebb felhasználói kör részére elérhető, vagy esetleg külön hobbi forkok alapján a 4.9-es verzióból létrejön egy új projekt az az idő kérdése lesz. Mivel a népszerű disztribúciókból való kikerülése borítékolható, az is biztos, hogy a fejlesztők tesztelési lehetősége is beszűkül.

A hardened gentoo pl. valószínűleg a jelenlegi formájában nem lesz folytatható.

Olvasnivaló fejlődésmániáséknak, szkeptikuséknak.

Cincálnivaló kötekedő mérnök úréknak.

http://countercomplex.blogspot.hu/2011_02_01_archive.html

Megjegyzés: Nem én írtam.

http://index.hu/tudomany/2017/04/23/a_magyar_nyelv_logikaja_kulfoldon_i…

a leírt nyelvek közül a magyarban felel meg a legjobban a hangzó mondatszerkezet a logikai szerkezetnek.

Régóta foglalkoztat a téma, hogy vajon miért kell Linuxéknak mindig újra és újra feltalálni a kereket, miért nem inkább a meglévő megoldásokra építkeznek.

Így van ez a kernelhez járó (főleg wifi kártya) firmware-ekkel is, amik nyilván minen betöltéskor feltöltődnek az eszközbe, újra és újra felülírva a korábban benne lévő, eredeti firmware-t.

Kérdés azonban az, hogy ez nem eredményezheti-e végül azt, hogy a firmware tárolására szolgáló memóriahely, a wifi kártyán belül, túllépi aa P/E ciklusait és ez által tönkremegy?

Nagyjából egyidős a LED háttérvilágítású monitorok és kijelzők megjelenésével az, hogy a gyártók PWM-mel szabályozzák a háttérvilágítás fényerejét. Ezzel még nem is lenne baj, ha a PWM frekvenciája nem lenne a fehér LED-ek utánvilágításához képest alacsony. Mivel az utóbbi tényezőt nagyon kevesen vették figyelembe, a végeredmény több millió eszköz, mely szemeket kifolyatva vibrál, a maximálisnál alacsonyabb fényerőn, egyre inkább (csökkenő kitöltési tényező). A felhasználónak pedig bizonyos esetekben csak két választása van az ilyen eszközöknél, főleg esti órákban és/vagy szegényesen megvilágított környezetben: vagy a vibrálásmentes teljes fényerővel égeti ki a szemét, vagy a PWM-mel folyatja ki.

A TFTCentral külön adatbázist tart fenn a flicker-free megjelenítőknek, melyek vagy nem PWM-et használnak, vagy kondenzátorral kiegészítettet, vagy olyan magas frekvencián, hogy a LED minimális utánvilágítása elegendő ahhoz, hogy ne vibráljon.

Az Intel nagy beszállítója a grafikus vezérlőknek mind üzleti, mind konzumer laptopokba. Jó kérdés, miért volt képtelen megoldani, hogy az eszközei magasabb PWM frekvencián vezéreljék a háttérvilágítást, mikor erre a driver-ben is lehetőséget ad (ezt egy, nem az Intel által fejlesztett tool ki is használja).

Jó kérdés, hogy a driver-ben miért 100-200 Hz az alapérték, ami a LED utánvilágítására való tekintettel még bőven szemmel is érzékelhető és zavaró (elég elhúzni előtte az ujjad).

Jó kérdés, miért engedték ezt a szabványügyi nagyokosok, meg a fogyasztóvédelmisek. Pláne, hogy ezek által a CRT-k elleni legfontosabb érv dől meg: a folyamatos vibrálás, ami fárasztja a szemet.

Jó kérdés még az, hogy ha a gyártóéknál bárkinek feltűnt ez, hogy képzelte egy termékmenedzser ilyen panelek forgalomba hozatalát olyan, újonnan itthon többszázezres/félmilliós laptopokban, mint a Dell Latitude E5420 vagy az E5430, vagy akár a ThinkPad T420, melyekre alapból olyan Intel grafikus driver települ, melyben a PWM default alacsony értékű.

Ugyanez a probélma tévkészülékeknél is fennál, annyi különbséggel, hogy ott esélye nincs bárkinek felraknirá egy programot, ami beállítja.

Keresek olyan Commodore 64-et, amitől más szívesen megválna. Lehetőleg olyan floppy-kat is szeretnék mellé venni, amiken van natív Facebook kliens, esetleg tartozik hozzá Facebook Messenger - BBS átalakító. Mindenképpen jó lenne, ha tudnék rajta DOC-ot és DOCX-et és PDF-et legalább olvasni, ehhez is kéne valamilyen program. Bár még csak VBScript-ben programoztam, a hozzá tartozó HUP klienst megírom én BASIC-ben. Ám ha van ilyen, elfogadom ingyen.

Ja és egy P3-at is keresek, de azt már egy bizonyos DigitalMech hupu részére. A részleteket ő fogja specifikálni.

Néhány éve, többek között a Google ráhatásának köszönhetően, tapasztaljuk azt az idealizmust, hogy egyre több weblap vált át teljes titkosításra, ami alatt azt értem, hogy minden egyes elérhető elem SSL csatornán (HTTPS) kell letöltődjön.

Bár a titkos csatornára erőltetett információknak csak elenyésző hányada igényel titkosítást, a legkényelmesebb és a legjobban marketingezhető opció nyilván az, hogy "hát akkor barátaim, titkosítsunk mindent". Az ingyenes tanúsítványszolgáltatókkal (mint a Let's Encrypt) ez pedig egyre inkább felgyorsult.

Az eredmény pedig minden háztartásban érezhető, még ha havi pár forintról van csak szó a villanyszámlában, akkor is, ugyanis az oda-vissza titkosításnak, processzortól függően, lesz egy szép kis overhead-je, a számítási kapacitástól függően.

Kérdezem én, mi értelme titkosítani azt, hogy ...

• milyen cikket olvasok a HWSW-n?
• milyen képek tartoznak az olvasott cikkekhez?
• milyen videót nézek a YouTube-on, vagy a Vimeo-n (igen, még a streaming URL is HTTPS-en jön le, tehát maga a videó is titkosítva lesz, ami az esetek 99%-ában úgyis publikus)?

Nem lenne egyszerűbb, ha ...

• csak azokat a részeit titkosítanánk a webnek, amiket valóban szükséges? Pl. bejelentkező felületek, kommentelő szekciók (iframe-ben, vagy bármi más JS által támogatott cuccban) stb. ?
• nem sújtanánk büntetőpontokkal azokat a weboldalakat, melyek szeretnék titkosítás nélkül szolgáltatni azon részeiket, melyekből nem nyerhető ki személyes információ (cikkek, képek)?
• nem hagynánk ismételten, sokadjára cserben azokat, akik régebbi operációs rendszert használnak?

Windows 95, 98, ME, 2000, XP, a mai naptól pedig a Vistával gyarapodott a halállista. A Microsoft mindet kivezette, tekintet nélkül arra, hányan szerették és használták volna továbbra is szívesen az előbb felsorolt operációs rendszereket, bár ez az arány a most hátrahagyott Vistánál nem túl magas. Ettől függetlenül, informatikusok lévén, ott van a választási lehetőségünk, hogy szakértelmünkre, tapasztalatainkra bízzuk megszűnt támogatású rendszerünk további értelmes használatát.

A nagy kérdés tehát, mit tehet az orvos, ha beteg, avagy hogyan maradjunk biztonságban egy, a gyártó által nem támogatott operációs rendszeren?A témakiírás nem feltétlenül a Vistára vonatkozik, sőt. A Windows XP-t a támogatás kivezetésekor (2014. április) több, mint 26% használta (cirka 400 millió ember), míg a Vista jelenleg mindössze csak 0,72%-kal "büszkélkedhet". Ráadásul, az XP-t még mindig legalább 7% használja világszerte, illetve több, mint 12% Magyarországon, annak ellenére, hogy a támogatás már 3 éve lejárt (forrás: NetMarketShare, StatCounter). Ez sokat elárul arról, melyek a valóban jó, közkedvelt és használható rendszerek. Ide tartozik az XP és ide nem tartozik a Vista. Utóbbi nagy valószínűséggel nagyon keveseknek fog hiányozni, szóval ezt a témát inkább a Microsoft jónak mondható, mégis hátrahagyott rendszereire hegyezném ki. Ettől függetlenül, szívesen látnék szempontokat, jó tanácsokat, megoldásokat akár olyan, már rég nem támogatott alternatív platformokkal kapcsolatban is, mint az IBM OS/2, vagy a régebbi Amiga OS-ek.

Természetesen, nem tekinthetőek értelmes válasznak a már jól ismert közhelyek, "upgrade-elj", "tegyél fel linuxot", "vegyél új gépet", "kösd le a netről", "sehogy", "apa kezdődik" stb. A korábbi témákban elszabadult indulatokra, túlburjánzó thread-ekre és a hatalmas mennyiségű offolásra való tekintettel azt szeretném kérni, hogy itt próbáljunk a témánál maradni. Nem az a kérdés, hogy miért akarunk, vagy nem akarunk régi rendszeren maradni, mert azt már megbeszéltük az XP-s és a növekedéses témában. Az a kérdés, hogy hogyan maradhatunk biztonságban egy régi rendszeren. Aki szerint nincs értelme régi rendszert megtartani, az örüljön, hogy azon a társadalmi-gazdasági szinten van, hogy megteheti, hogy újat vesz és csak indokolt esetben kommenteljen. Persze ez csak amolyan kérés. Cserébe igyekszem én is normálisabban, igényesebben válaszolni, a valóban biztonsággal kapcsolatos kommentekre.

Kiindulópontok, ötletek

• Támogatott böngésző használata, pl. Opera 36.
• Nem támogatott böngésző Sandboxie-ban való futtatása.
• Limited User Account (Win2K-tól elérhető) mindennapi használatra.
• Microsoft Enhanced Mitigation Experience Toolkit (EMET) régebbi rendszereken elérhető feature-jei.
• Autorun lekapcsolása minden meghajtóról, mondjuk Tweak UI segítségével, USB worm-okat távoltartandó.
• "Szürke" weboldalak mellőzése. Egy, moderátorok által folyamatosan ellenőrzött nCore mondjuk jöhet, de külföldi ingyenpornó, ingyenwarez nem.
• Böngésző mellőzése, natív célprogramok használata.
• Proxy szerver, ami a legmodernebb eljárásokkal megtisztítja a régi rendszert használó állomások irányába a forgalmat. Tehát, kiszedi belőle a hirdetéseket, a malware-t, a ransomware-t, a custom web font-ba ágyazott shellcode-ot stb.
• Valamire való, adott rendszerre még támogatott víruskereső használata, pl. Avast-ék nem hagyták annyiban a dolgot és továbbra is támogatják az XP rendszereket. Annak idején nyíltan ki is keltek a Microsoft ellen annak nemtörődömsége miatt, megjegyzem, helyesen. Egy másik, XP-t szintén támogató még a MalwareBytes és nem is áll szándékukban ezen változtatni.

Felvettettem trey-nek privátban, most nektek is publikusan.

Van itt néhány arc, köztük kiemelten szegecs, aki túlzásba viszi a személyeskedést, szurkálódást, másik bántását. Egy dolog trollkodni hébe hóba, szerintem annak bele kell férnie. De néhány arc bicskanyitogató stílusa szerintem közösségromboló.

Másik példa

Nem fejteném ki bővebben, kérném ki a véleményeteket az ügyben.

Vajon mi lehet a gond