bot

Следом за выявленной на прошлой неделе DoS-уязвимости SegmentSmack в TCP-стеках различных операционных систем, опубликована информация о другой похожей уязвимости (CVE-2018-5391, кодовое имя FragmentSmack), которая также позволяет организовать отказ в обслуживании через отправку специально оформленного набора сетевых пакетов, при обработке которого будут заняты все реcурсы CPU. Если первая уязвимость была связана с неэффективностью алгоритма обработки TCP-сегментов, то новая проблема затрагивает алгоритм пересборки фрагментированных IP-пакетов. Атака осуществляется через отправку потока фрагментированных IP-пакетов, в каждом из которых смещение фрагмента установлено случайным образом. В отличие от прошлой уязвимости SegmentSmack, в FragmentSmack возможно совершение атаки с использованием спуфинга (отправки пакетов с указанием несуществующего IP). При этом для новой атаки требуется большая интенсивность отправки: для полной утилизации ресурсов одного ядра CPU Intel Xeon D-1587@1.70GHz необходим поток на уровне 30 тысяч пакетов в секунду, в то время как для SegmentSmack было достаточно 2 тысячи пакетов в секунду. Наличие проблемы подтверждено в TCP стеках Linux и FreeBSD. В ядре Linux проблема проявляется начиная с выпуска ядра 3.9. Обновления с устранением проблемы подготовлены для Debian, Fedora, SUSE/openSUSE, Ubuntu, RHEL и FreeBSD. В качестве обходного пути защиты в Linux можно снизить значения sysctl net.ipv4.ipfrag_high_thresh и net.ipv4.ipfrag_low_thresh до 256kB и 192kB или ещё меньших значений. sysctl -w net.ipv4.ipfrag_low_thresh=262144 sysctl -w net.ipv4.ipfrag_high_thresh=196608 sysctl -w net.ipv6.ip6frag_low_thresh=262144 sysctl -w net.ipv6.ip6frag_high_thresh=196608 Во FreeBSD в качестве обходного пути защиты рекомендовано отключить пересборку фрагментированных пакетов: sysctl net.inet.ip.maxfragpackets=0 sysctl net.inet6.ip6.maxfrags=0 Источник: opennet

Стал известен владелец самого большого пакета акций крупнейшего в Украине обладателя оптоволоконной инфраструктуры - Атракома. Как сообщает liga.net: в прошлом месяце в Единый реестр Минюста были внесены изменения, согласно которым 50% акции в этой компании контролирует Олег Шевчук. Миноритарии - темные лошадки По-прежнему нет открытых данных, кто является миноритарными владельцами Атракома. Так, 33% контролирует швейцарская Zeig AG, которая записана на швейцарца с именем Гнем Виктор Лоренц. В открытых источниках он также упоминается как адвокат и партнер Schnurrenberger Tobler Gnehm & Partner в кантоне Цуг. Еще 17% контролирует офшор Larix Enterprises Ltd c пропиской на Маршалловых островах. Один из собеседников на рынке утверждает, что в миноритариях Атракома также есть Илья Солодовский, известный как экс-руководитель компании ESU, которая выступила в 2011 году единственным претендентом на госпакет акций Укртелекома от имени австрийской инвест-фирмы EPIC и впоследствии стала его владельцем. Примечательно, что сейчас ESU, которая занимается подрядами для телеком-операторов и уже не имеет никакого отношения к Укртелекому, оформлена на того же швейцарского юриста Гнема Виктора Лоренца. В числе миноритарных акционеров Атракома ранее назывался также экс-предправления Укртелекома Георгий Дзекон. Президент Конфедерации работодателей Украины Олег Шевчук - известный телеком-бизнесмен, общественный и политический деятель. В 2014 году с марта по ноябрь он был депутатом во фракции Батьківщина. Также он был депутатом блока Юлии Тимошенко с 2007-го по 2012 год. Долгое время, 1991- 2006 гг, Шевчук состоял в Партии зеленых, в составе которой стал впервые депутатом в 1998 году. Сейчас интересы Шевчука представлены в ряде компаний, работающих на рынке строительства и недвижимости. Первый большой капитал он заработал в первой половине 90-х, работая на рынке ферросплавов (создал и возглавил Ассоциацию ферросплавов УкрФа). Также в 90-х годах он основал группу компаний Обрий (ферросплавы, недвижимость, туризм, авиаперевозки, рекламный бизнес, медицина и пр.), из которой вышел в начале 2000-х. С мая 2018 года Шевчук решил раскрыть свое участие в ряде телеком-проектов в Украине. Так, вначале его представители поделились информацией, что бизнесмен является основным владельцем группы компаний - Омега Телеком, Омега ТВ и Омега Секьюритиз. Причем СМИ узнали о его причастности к Омега Телеком еще в 2013 году. Тогда Киевстар продал этой компании общеукраинскую магистральную сеть, принадлежащую дочерней компании Украинские радиосистемы (Beeline). После слияния двух мобильных операторов в Украине, одна из транспортных сетей оказалась лишней. И экс-президенту Киевстар Игорю Литовченко удалось договориться о сделке с Шевчуком, с которым он был хорошо знаком. Магистральную инфраструктуру собирается использовать фактически стартап Шевчука Омега ТВ для раздачи по всей стране интернет-провайдерам телевизионного контента. Источник: liga

После двух месяцев разработки Линус Торвальдс представил релиз ядра Linux 4.18. Среди наиболее заметных изменений в ядре 4.18: возможность монтирования ФС на базе FUSE непривилегированным пользователем, пакетный фильтр bpfilter, подсистема AF_XDP (eXpress Data Path), новый тип модулей ядра umh (usermode helper), device-mapper модуль writecache, поддержка SoC Qualcomm Snapdragon 845 и GPU AMD Vega 20, новый API поллинга для асинхронного ввода/вывода. В новую версию принято 13 тысяч исправлений от 1668 разработчиков, размер патча - 50 Мб (изменения затронули 12866 файлов, добавлено 521039 строк кода, удалено - 619603 строк). Около 49% всех представленных в 4.18 изменений связаны с драйверами устройств, примерно 14% изменений имеют отношение к обновлению кода специфичного для аппаратных архитектур, 13% связано с сетевым стеком, 5% - файловыми системами и 3% c внутренними подсистемами ядра. 9.5% всех исправлений подготовлено разработчиками компании Intel, 7.5% - Red Hat, 4.6% - AMD, 4.3% - IBM, 3.8% - Linaro, 3.4% - Renesas Electronics, 3.0% - Google, 2.9% - SUSE, 2.8% - Samsung, 2.2% - Mellanox, 2.1% - Huawei, 2.0% - Oracle. В состав ядра включен новый механизм фильтрации пакетов bpfilter, использующего предоставляемую ядром подсистему eBPF, но предлагая привычный синтаксис iptables. Bpfilter обрабатывает запросы API iptables и транслирует их в программы BPF, привязываемые к различным подсистемам. В настоящий момент в ядро добавлена только базовая инфраструктура для bpfilter, но ещё нехватает некоторых компонентов, необходимых для полноценного применения bpfilter для фильтрации пакетов; В качестве сопутствующей bpfilter разработки в ядро добавлен новый тип модулей ядра umh (usermode helper), которые выполняются в пространстве пользователя и привязываются в базовым модулям, предоставляя для них вспомогательную функциональность, которую нецелесообразно или опасно выполнять c привилегиями ядра (например в модуле bpfilter.ko через них выполняется разбор и трансляция в BPF правил фильтрации). Модули umh функционируют под управлением ядра, оформляются в виде модулей ядра и загружаются через modprobe, но выполняются в пространстве пользователя с привилегиями пользовательских приложений. Взаимодействие umh-модулей с обычными модулями ядра производится с использованием неименованных каналов (unix pipe); В состав ядра включена подсистема AF_XDP (eXpress Data Path), которая предоставляет средства для запуска BPF-программ на уровне сетевого драйвера, с возможностью прямого доступа к DMA-буферу пакетов, что позволяет создавать высокопроизводительные обработчики для работы в условиях большой сетевой нагрузки. В качестве примера реализованы обработчики для быстрой блокировки и перенаправления пакетов. Реализована возможность чтения данных из сетевого сокета в режиме zero-copy (флаг TCP_ZEROCOPY_RECEIVEY), позволяющем организовать передачу данных по сети без промежуточного копирования данных между ядром и пространством пользователя (поддержка записи в режиме zero-copy была представлена в ядре 4.14); В реализации протокола TLS на уровне ядра (KTLS) добавлена возможность задействования аппаратного ускорения операций с использовнием специализированных чипов. В настоящее время вынос связанных с работой TLS вычислений на плечи оборудования доступен только при использовании драйвера Mellanox mlx5; В TCP-стек добавлена поддержка режима сжатия для выборочного подтверждения соединений (SACK), что позволяет сократить число отправляемых SACK-пакетов при перегрузке сети; Добавлена возможность прикрепления BPF-программ к сокету и запуска обработчиков при вызове sendmsg(). Подобные обработчики могут применяться для выполнения такхи задач, как перезапись IP-адресов в исходящих пакетах; В подсистему шифрования (crypto) добавлена поддержка шифров AEGIS и MORUS, а также алгоритма сжатия Zstandard; Пользователь с правами root в пространстве имён идентификаторов пользователя (user namespaces) теперь может монтировать файловые системы, даже если у него нет на это прав вне пространства имён. При этом файловая система должна быть специально помечена для разрешения подобных операций (в настоящий момент операции разрешены только для ФС, реализуемых в пространстве пользователя при помощи модулей FUSE); В модуль fscrypt, применяемый для шифрования ФС F2FS и ext4, добавлена поддержка шифров Speck128 и Speck256, разработанных Агентством национальной безопасности США. Шифры обеспечивают очень высокую производительность программной реализации, которая обгоняет AES на системах без наличия средств аппаратного ускорения AES. Использование Speck позволяет применять шифрование на маломощных устройствах, на которых применение AES не оправдано из-за больших накладных расходов; Для 32-разрядной архитектуры ARM обеспечена защита от уязвимостей Spectre 1 и Spectre 2 (ранее защита от Spectre была обеспечена для архитектур x86, ARM64 и S390). Для ARM64 добавлена защита от Spectre v4. Проведена работа по переводу ядра на более защищёные от переполнения буфера варианты функций распределения памяти. Например, вызовы "kmalloc(count*size, gfp_flags)" заменены на "kmalloc_array(count, size, gfp_flags)"; Изменены настройки для включения защиты от переполнения стека - теперь автоматически включается наиболее действенный механизм защиты, доступный для текущей конфигурации; Для Device Mapper реализован новый модуль "writecache", который может применяться для кэширования операций записи блоков на SSD-накопителях или в постоянной памяти (кэширование операций чтения не реализовано, так как такие операции и так кэшируются кэше страниц памяти в ОЗУ); Обеспечена возможность применения флага IOCB_FLAG_IOPRIO для операций асинхронного ввода/вывода, позволяющего установить приоритет выполнения отдельных операций; Добавлен новый API поллинга (определение готовности файлового дескриптора к вводу/выводу без блокировки), основанный на использовании системы асинхронного ввода/вывода (AIO); В файловой системе Btrfs обеспечена возможность удаления пустого подраздела при помощи вызова rmdir() без специальных дополнительных привилегий. Добавлены новые ioctl-команды FS_IOC_FSGETXATTR и FS_IOC_FSSETXATTR для манипуляции с различными атрибутами файла (append, immutable, noatime, nodump и sync), которые в отличие от команд GET/SETFLAGS могут выставить атрибуты на уровне отдельных inode. Также реализован набор ioctl-команд для получения непривилегированным пользователем информации о подразделах; В файловой системе XFS появилась возможность смены метки для уже примонтированной ФС, добавлена поддержка резервирования пустых областей через вызов fallocate() для файлов подкачки, задействован FUA для обеспечения прямой записи данных в режиме O_DSYNC. Кроме того, началась интеграция нового инструментария для восстановления целостности ФС на лету и выполнена переработка кода growfs с целью подготовки интеграции поддержки подразделов (subvolume); В файловой системе ext4 продолжена работа по чистке кода и повышению надёжности работы в условиях обработки некорректных образов ФС, специально модифицированных для вредоносных целей; Из раздела "staging" удалён код кластерной файловой системы Lustre. В качестве причин упоминается отсутствие должной активности по приведению имеющегося кода к соответствию с остальным ядром, плохая адаптация кода к изменениям в VFS, а также игнорирование проблем и периодическая публикация патчей, ломающих имеющуюся функциональность; В файловой системе F2FS улучшена поддержка режима "discard"; В систему доменов управления питанием (genpd, generic power domain) добавлена поддержка уровней производительности, при помощи которых можно настраивать работу всей системы, включая периферийные устройства, для достижения требуемого баланса между потреблением энергии и производительностью; В контроллер ресурсов памяти group, позволяющий управлять расходованием памяти группой задач, добавлен параметр memory.min, который в отличие от ранее доступного параметра memory.low предоставляет более надёжную гарантию предоставления минимального размера доступной для группы оперативной памяти (не отключается при срабатывании OOM killer в условиях нехватки памяти); Добавлен системный вызов с реализацией перезапускаемых последовательностей (restartable sequences), позволяющих приложениям организовать неразрывное выполнение группы инструкций, не прерываемой и подтверждающей результат последней инструкцией в группе. По сути предоставляется средство для очень быстрого атомарного выполнения операций, которые в случае прерывания другим потоком очищаются и предпринимается повторная попытка выполнения. Возможность реализована для архитектур x86, ARM и PowerPC; Реализован новый параметр запуска ядра no5lvl, предназначенный для отключения пятиуровневых таблиц страниц памяти, даже если оборудование обеспечивает их поддержку; Из интерфейса /proc удалена статстика IPMI (по-прежнему оставлена в sysfs); Добавлена новая система определения макросов для конфигурации ядра, которую можно использовать для выноса различных тестов, выполняемых на этапе сборки, из makefile в файлы Kconfig; В JIT-компиляторе подсистемы eBPF реализована поддержка 32-разрядных систем x86; В драйвер Nouveau добавлена поддержка GPU NVIDIA Volta; В DRM-драйвер AMDGPU добавлена поддержка GPU AMD Vega 20, а также GPU Kabylake-G (VEGAM - intel и radeon на одном чипе). Добавлены профили управления питанием, напряжением и частотой для GPU Vega10. Реализован режим энергосбережения gfxoff для GPU Raven; В DRM-драйвере Intel включена поддержка чипов Icelake (ICL), проведён рефакторинг кода GuC/HuC и DPLL, включена поддержка NV12 и PSR/PSR2; В драйвере amdkfd для dGPU (дискретные GPU, такие как Fiji, Tonga, Polaris) добавлена поддержка GPU GFX9; Добавлен новый DRM-драйвер v3d для оборудования Broadcom V3D V3.x+; Добавлен драйвер xen-front с реализаций графического фронтэнда для гостевых систем XEN в режиме паравиртуализации (PV); Добавлена поддержка SoC Qualcomm Snapdragon 845, применяемого в новейших мобильных устройствах класса high-end; Добавлена поддержка игровых контроллеров Steam от компании Valve; Одновременно Латиноамериканский Фонд свободного ПО сформировал вариант полностью свободного ядра 4.18 - Linux-libre 4.18-gnu, очищенного от элементов прошивок и драйверов, содержащих несвободные компоненты или участки кода, область применения которых ограничена производителем. В новом выпуске представлен новый интерфейс для загрузки прошивок (firmware_reject_nowarn), не выводящий предупреждения в случае если прошивка не найдена. Добавлена чистка блобов для драйверов psp-dev и icn8505. Обновлён код чистки блобов в драйверах c3xxx, c62x, dvb-usb, dvb-usb-v2, iwlwifi, ks7010, ath10k, andgpu, i915, tg3, silead и ca0132. Прекращена чистка блобов для atom isp. Проведены ассемблерные файлы, вынесенные из основного кода amdkfd. Источник: Opennet

Китайская компания Bitmain, выпускающая компьютерное обеспечение, представила новый роутер AntRouter R3, который способен майнить криптовалюту. Устройство предназначено для распространения интернета по Wi-Fi и майнинга электронных денег Dash и Siacoin. Мощность оборудования для добычи криптовалюты составляет 300 M/s для Dash и 11.54 G/s для Siacoin. Роутер весит 2 кг. Его стоимость составляет 58 долларов. Компания гарантирует доставку в течение 10 дней после совершения оплаты. Bitmain Technologies Ltd. является частной компанией со штаб-квартирой в Пекине, с офисами в Шэньчжэне, Шанхае, Чэнду, Гонконге, Фучжоу, США, Израиле, Нидерландах и Швейцарии. Компания также управляет Antpool, одной из криптовалютных крупнейших площадок. Product model: R3-DASH Hash rate: 300M/s ± 5% Supply voltage: 85~265 VAC Supply current: 0.5A Core voltage: 0.83V Mining mode: Solo/Pool Chip mining frequency: 500M 220VAC Power @Mining frequency 500M@25°C: 24.37W 220VAC Power efficiency @25°C: 0.082 J/MH Surface temperature @25°C: 36℃ Operation temperature: 0-40 °C Storage temperature: -40-85 °C Operation humidity: 5%RH-95%RH，prevent condensation Number of channels: 1~11，A total of 11 channels Network standard: IEEE 802.11b/g/n Transmission rate 2.4G：300M, support 2*MIMO Network Interface: 10M/100M Adaptive WAN port Size (Length*Width*Hight): 208 X 148.6 X 69mm Noise: Maximum 40dB Weight(without package): 0.6kg Источник: finance

В прошлом месяце корпорация Intel подтвердила, что массовый выпуск 10-нанометровых чипов для потребительского рынка начнётся только во второй половине следующего года. Напомним, изначально 10-нм процессоры должны были появиться в продаже ещё в 2016 году. В серверном сегменте переход на новые технологические нормы займёт значительно больше времени и первые 10-нм чипы Xeon дебютируют только в 2020 году. Об этом стало известно из свежей дорожной карты Intel, опубликованной накануне в ходе мероприятия Data-Centric Innovation Summit. Итак, в последнем квартале этого года Intel выпустит семейство 14-нм процессоров Cascade Lake-SP, которые принесут с собой аппаратные «заплатки» от нашумевших уязвимостей Spectre и Meltdown, поддержку энергонезависимых модулей памяти Optane DC, а также набор инструкций DLBoost, представляющий собой новую версию AVX-512, оптимизированную для задач машинного обучения. По оценкам чипмейкера, данные CPU смогут похвастаться в 11 раз лучшим быстродействием в глубоком обучении, нежели нынешние решения Xeon-SP. В следующем году корпорация собирается представить новую серверную платформу, в состав которой войдут 14-нм процессоры Cooper Lake-SP. К их главным особенностям Intel относит дальнейшую оптимизацию DLBoost и поддержку формата Bfloat16, использующегося в связанных с искусственным интеллектом вычислениях. По предварительным сведениям, данные чипы получат конструктивное исполнение LGA4189. Наконец, в 2020 году Intel явит миру семейство 10-нанометровых процессоров Ice Lake-SP, работающих на той же платформе, что и их предшественники. По логике вещей, новинки будут отличаться лучшей энергоэффективностью и получат весомую прибавку в производительности. К сожалению, сама Intel пока ещё не готова говорить о сильных сторонах серверных чипов Ice Lake-SP. Источник: overclockers

Способ работает путем извлечения IE RSN из одного фрейма EAPOL. Разработчик популярного инструмента для взлома паролей Hashcat Дженс Стьюб (Jens Steube) обнаружил новый метод, позволяющий легко получить идентификатор парного мастер ключа (PMKID) с маршрутизатора с использованием шифрования WPA/WPA2, который затем может быть использован для взлома беспроводного пароля маршрутизатора. В то время как предыдущие методы взлома WPA/WPA2 требовали от злоумышленника дождаться входа пользователя в беспроводную сеть и полной аутентификации, новый метод работает гораздо проще. По словам специалиста, метод будет работать практически со всеми маршрутизаторами, использующими сети 802.11i/p/q/r с включенным роумингом. Данный способ работает путем извлечения IE RSN (Robust Security Network Information Element, надежного защитного сетевого элемента информации) из одного фрейма EAPOL. RSN IE -необязательное поле, содержащее идентификатор основного парного ключа, генерируемый маршрутизатором, когда пользователь пытается аутентифицироваться. PMK является частью обычного 4-стороннего рукопожатия, которое используется для подтверждения того, что и маршрутизатор, и клиент знают ключ или пароль от беспроводной сети. «PMKID вычисляется с использованием HMAC-SHA1, где ключ это PMK, а часть с данными представояет собой конкатенация фиксированной строковой метки PMK Name, MAC-адрес точки доступа и MAC-адрес станции», - пояснил Стьюб. Предыдущие методы взлома WPA/WPA2 требовали, чтобы злоумышленники терпеливо ждали, прослушивая беспроводную сеть до тех пор, пока пользователь не выполнит вход в систему. Затем они могли перехватить четырехстороннее рукопожатие и взломать ключ. Данный метод не позволяет взломать пароль непосредственно для беспроводной сети, однако, с его помощью можно получить хэш и упростить данную задачу. Источник: securitylab

В TCP-стеке ядра Linux выявлена опасная уязвимость (CVE-2018-5390), которая позволяет удалённо вызвать отказ в обслуживании из-за исчерпания доступных ресурсов CPU. Для совершения атаки достаточно отправить поток специальным образом оформленных пакетов на любой открытый TCP-порт. Атака может быть совершена только с реального IP-адреса (спуфинг невозможен так как требуется установка TCP-соединения). Суть проблемы в том, что при определённых параметрах сегментирования ядро при поступлении каждого пакета вызывает достаточно ресурсоёмкие функции tcp_collapse_ofo_queue() и tcp_prune_ofo_queue(). Из-за неэффективности применяемого алгортима, необходимые для обработки сегментов ресурсы CPU линейно возрастают в зависимости от числа сегментов в очереди пересборки пакетов. При выполнении операции пересборки большого числа сегментов, cоздаваемой нагрузки достаточно, чтобы полностью загрузить процессор при обработке потока с незначительной интенсивностью. Например, для появления существенных задержек в обработке запросов системой для каждого ядра CPU достаточно потока интенсивностью всего 2 тысячи пакетов в секунду. Уязвимость проявляется на всех ядрах Linux, начиная с выпуска 4.9 (атака может быть проведена и против более старых ядер, но требует существенного более интенсивного потока пакетов). Проблема устранена в обновлении ядра 4.17.12. Обновления пакетов подготовлены для Debian, SUSE и Fedora, и ожидаются для Ubuntu и RHEL. Дополнение: Проблема также проявляется во FreeBSD и вероятно в других операционных системах. Во FreeBSD проблема пока временно решена через ограничение размера очереди пересборки пакетов (net.inet.tcp.reass.maxqueuelen). Источник: Opennet

Более 200 тыс. маршрутизаторов MikroTik заражены скриптом для майнинга криптовалюты. Изначально активность злоумышленников ограничивалась устройствами из Бразилии, однако позже они стали ориентироваться на маршрутизаторы по всему миру. Специалисты по кибербезопасности из компании Trustwave обнаружили масштабную вредоносную кампанию, нацеленную на маршрутизаторы MikroTik. Злоумышленники изменяют конфигурацию устройств и внедряют в них копию скрипта Coinhive, позволяющего тайно майнить криптовалюту в браузере пользователя. По словам специалистов, изначально активность злоумышленников ограничивалась устройствами из Бразилии, однако позже они стали ориентироваться на маршрутизаторы MikroTik по всему миру. Киберпреступники проэксплуатировали обнаруженную в апреле текущего года уязвимость нулевого дня в компоненте Winbox маршрутизаторов MikroTik. Производитель выпустил исправление менее чем через день после обнаружения, однако, судя по всему, не все владельцы маршрутизаторов применили данный патч. Вскоре после раскрытия информации о проблеме, на портале GitHub появилось несколько PoC-эксплоитов. По словам исследователей, злоумышленники использовали один из PoC-кодов для изменения трафика, проходящего через маршрутизатор MikroTik, и внедрения копии библиотеки Coinhive на всех страницах, обслуживаемых маршрутизатором. В настоящее время инфицировано уже более 200 тыс. устройств по всему миру. «Существуют сотни тысяч этих устройств по всему миру, используемые интернет-провайдерами, различными организациями и предприятиями. При этом каждое устройство ежедневно обслуживает десятки, если не сотни пользователей», - отметили специалисты. Источник: securitylab

В скором времени в продажу поступит одноплатный компьютер Banana Pi BPI-R64, предназначенный для создания сетевых устройств — в первую очередь, маршрутизаторов. Решение полагается на процессор MediaTek MT7622. В состав этого чипа входят два вычислительных ядра ARM Cortex-A53 с тактовой частотой до 1,36 ГГц. Процессор функционирует в тандеме с 1 Гбайт оперативной памяти DDR3 SDRAM. Плата снабжена флеш-модулем eMMC вместимостью 8 Гбайт (опционально — 16, 32 и 64 Гбайт). Кроме того, есть слот для карты microSD ёмкостью до 256 Гбайт. Предусмотрен интерфейс SATA для подключения внешнего накопителя. Обеспечивается поддержка беспроводной связи Wi-Fi 802.11b/g/n и Wi-Fi 802.11ас (за счёт чипа MT7615), а также Bluetooth 5. Опционально может быть установлен модуль 4G для подключения к мобильным сетям. Новинка располагает одним разъёмом Gigabit Ethernet WAN, четырьмя разъёмами Gigabit Ethernet LAN, портом USB 3.0 и двумя коннекторами для подключения антенн. Говорится о поддержке OpenWrt, Android и Linux. Информации о цене платы Banana Pi BPI-R64 пока, к сожалению, нет. Источник: servernews

Специалисты в области безопасности разработали метод эксплуатации уязвимостей класса Spectre, присутствующих во всех современных процессорах, через подключение по сети. Все ранее описанные атаки Spectre предполагали локальное выполнение произвольного кода для извлечения из памяти или приложений важной информации, такой как пароли, ключи шифрования и прочие конфиденциальные данные. Однако команда исследователей из Грацкого технического университета (Австрия) разработала новый вариант атаки Spectre, позволяющий удаленно извлечь данные по сети без необходимости выполнения произвольного кода. Метод, получивший название NetSpectre, был успешно протестирован в рамках локальной сети и на виртуальных машинах в Google Cloud. Хотя в теории атаки NetSpectre могут представлять существенную угрозу, в действительности извлечение данных происходит довольно медленно. В частности, в ходе кеш-атак по сторонним каналам скорость составляла всего 15 бит/ч, а при использовании нового скрытого канала, основанного на времени исполнения инструкций AVX2, - 60 бит/ч. В экспериментах в Google Cloud ученым удалось извлечь данные с виртуальной машины со скоростью 3 бита/ч. Новая техника может использоваться не только для удаленного извлечения данных, но и для обхода технологии ASLR (Address Space Layout Randomization, случайное распределение адресного пространства), отметили исследователи. По их словам, для предотвращения атак NetSpectre достаточно уже существующих мер защиты, рекомендуемых для оригинальной уязвимости Spectre. К тому же, поскольку NetSpectre – сетевая атака, средствам защиты от DDoS-атак не составит труда ее обнаружить. Днями ранее исследователи из Калифорнийского университета опубликовали подробности о новом методе SpectreRSB, эксплуатирующем компонент Return Stack Buffer, вовлеченный в процедуру спекулятивного выполнения. Одна из его основных особенностей заключается в возможности обхода патчей против атак класса Spectre. Хотя на сегодняшний день нет информации о реальных атаках с использованием уязвимостей Spectre/Meltdown, эксперты в области безопасности усиленно работают над методами защиты от подобных атак. Google Cloud – платформа, позволяющая клиентам создавать, тестировать и развертывать собственные приложения в виртуальных машинах на инфраструктуре Google. Address space layout randomization (ASLR) — применяемая в операционных системах технология, при использовании которой случайным образом изменяется расположение в адресном пространстве процесса важных структур, а именно: образа исполняемого файла, подгружаемых библиотек, кучи и стека. Источник: securitylab Комментариев:

Цей кабель простягнеться від Вірджинії-Біч у США до атлантичного берега Франції, повідомляє Google. Компанія стверджує, що він збільшить ємність мережі, яка доповнюватиме один із найбільш завантажених маршрутів Інтернету. Проект, оголошений у вівторок, називається "Dunant". Він названий на честь засновника червоного хреста та лауреата першої Нобелівської премії миру Жана Анрі Дюнана. Очікується, що будівництво проекту завершиться наприкінці 2020 року. Попередній трансатлантичний кабель Google названий "Curie" на честь вченої Марії Кюрі. Компанія планує називати майбутні приватні кабелі іменами інших інноваторів за алфавітним порядком. Можливо, наступним стане Ейнштейн. Источник: ukrinform

Уряд затвердив єдині правила розміщення будинкових телекомунікаційних мереж та доступу провайдерів до інфраструктури будинків. Прийняті рішення спрямовані на імплементацію Директиви 2002/19/ЄС про доступ до електронних комунікаційних мереж та пов’язаного оснащення. Про це повідомив Віце-прем’єр-міністр – Міністр регіонального розвитку, будівництва та ЖКГ України Геннадій Зубко, коментуючи прийняття відповідних урядових постанов. «Ми наводимо порядок у розміщенні телекомунікаційних мереж у будинках (як у вже збудованих, так і новому будівництві) за стандартами ЄС. Встановлюємо прозорі правила взаємодії власника та провайдера, дерегулюємо умови доступу провайдерів до споживача», - зазначив Геннадій Зубко. За словами урядовця, це стосується розміщення, модернізації, експлуатаційного та технічного обслуговування засобів телекомунікацій та порядку взаємодії власника інфраструктури об’єкта будівництва і замовника доступу (провайдерів). Зокрема визначається порядок звернення замовника до власника інфраструктури щодо отримання доступу до інфраструктури будинкової розподільної мережі (БРМ), строк розроблення та видачі технічних умов з доступу, порядок розроблення і погодження проектної документації, строки укладення договору та умови його розірвання, порядок та умови припинення користування елементами інфраструктури БРМ, демонтажу технічних засобів телекомунікацій, розміщених без укладання договору з доступу до інфраструктури БРМ тощо. 18 липня на засіданні Уряду були прийняті постанови «Про затвердження Правил надання доступу до інфраструктури об’єкта будівництва» та «Про затвердження Правил надання доступу до інфраструктури будинкової розподільної мережі». Источник: kmu

Британский провайдер широкого вещания завершил построение безопасного интернет соединения с квантовым распределением ключей (КРК), которое, по их утверждению, не подвергается взлому хакерами. Высокоскоростное волоконное соединение с квантовой защитой, протяженностью в 75 миль, построено в Великобритании наибольшей компанией-провайдером услуг доступа в интернет. Частицы света, фотоны, несут ключи шифрования по тому же соединению, по которому выполняется и передача данных. Система мгновенно оповещает об утечке таких фотонов из соединения, и о том, что ключи стали непригодны - при взаимодействии с ключами похититель их изменяет и они уже не могут использоваться перехватчиком – траффик мгновенно становится искаженным. Такое соединение “невозможно взломать виртуально,” сказал Гевин Паттерсон, исполнительный директор компании BT, при объявлении о запуске соединения на выставке, посвященной Интернету вещей Internet of Things World Europe, прошедшей в Лондоне в июне этого года. Канал, построенный компанией BT и партнерами, является первым реальным каналом высокоскоростной сети с квантовой защитой в Великобритании, заявили представители BT в новом релизе. Волоконный канал проходит от Инженерного факультета Кембриджского университета до лаборатории компании BT в Саффолке. Оборудование предоставлено компаниями ID Quantique и ADVA optical networks. По словам экспертов, связанные криптографические ключи, такие, как используются при квантовом распределении ключей, не пробиваемы. Это происходит потому, что части субатомных частиц настолько плотно расположены друг от друга, что постоянно ударяются друг о друга, где бы в пределах канала они не находились. Это значит, что специалист, управляющий сетью в любой момент способен заметить происходило ли вмешательство или потеря данных по изменению криптографических ключей. Любое прерывание будет хорошо и быстро замечено и о нем будет распространено оповещение. Дополнительным преимуществом является и то, что измененный ключ использоваться больше не может. В компании BT говорят, что уже настроили сеть для демонстрации возможностей безопасности конечным пользователям. Однако, канал компании BT - это не первое соединение с КРК. В Джинане, провинция Шаньдун в Китае, подобный проект запустили в мае 2017 года, а также еще одна такая сеть есть в Испании. В Кебмриджском университете Великобритании, где расположен один из концов канала квантовой сети, также находится Хаб Квантовых Коммуникаций (Quantum Communications Hub) - консорциум из 8 университетов Великобритании, предприятий частного сектора и рабочей группы, сотрудничавшей с компанией BT. По заявлениям консорциума, они запустили распределитель на основе квантовых соединений в трех местах их города в июне. Говорят, что Квантовые Коммуникации способны выполнять сверх-безопасную передачу данных по нескольким каналам в 100 Гигабит, а также генерировать фотонные ключи на скорости от 2 до 3 Мбит/с. При этом, компания BT утверждает, что их канал передает данные со скоростью в 500 Гбит/с. Использование фотонов для защиты сетей Фотоны, используемые для квантового распределения, скорее всего в будущем станут причиной ухода от защиты сетей и могут стать ключевым элементом в грядущей эре квантовых компьютерных технологий. Частицы света хорошо подходят для подвижных кубитов (переносящих квантовую информацию), ведь они могут проходить расстояния и работать с изготовленными чипами, объясняют в Университете Мериленда в новой статье о их достижениях в области протонных квантовых компьютерных технологий. В университете говорят, что им удалось изобрести первый одно-фотонный транзистор из полупроводникового кристалла — другими словами – фотонный транзистор. Обычные транзисторы - это маленькие маршрутизаторы, которые повсеместно используются в компьютерных технологиях. В новом фотонном транзисторе переключения напрямую взаимодействуют друг с другом, и могут «достигать экспоненциального ускорения для некоторых задач». Сами по себе фотоны не взаимодействуют, а отталкиваются. “Около 1 миллиона таких новых транзисторов смогут уместиться в кристаллике соли. Они очень быстрые и способны вырабатывать 10 миллиардов фотонных кубитов за каждую секунду,» рассказывают в университете. «Технологии квантовых коммуникаций начинают играть важнейшую роль в защите данных и самих соединений,» эти слова доктора Грегоар Риборди, глава компании IDQ приводятся на сайте, посвященном проекту компании BT. Мы находимся на пороге «эры, когда квантовые компьютеры придут на помощь такой уязвимой сейчас криптографии». Источник: networkworld

Корпорация Intel продолжает расширять ассортимент процессоров Coffee Lake в конструктиве LGA1151. На этот раз пришёл черёд серверных решений линейки Xeon E-2100, которые должны найти применение в рабочих станциях начального уровня. Их характеристики перекликаются с таковыми у чипов Intel Core 8-го поколения, разве что сделан акцент на поддержке ECC-памяти и совместимости только с материнскими платами на базе чипсета C246. Серию возглавляет 6-ядерный Intel Xeon E-2186G с номинальной частотой 3,8 ГГц. Данный CPU располагает двухканальным контроллером памяти DDR4-2666, 12 МБ кэш-памяти третьего уровня, интегрированным видеоядром HD Graphics P630 и контроллером PCI Express 3.0 на 16 линий. Имеется поддержка технологии Hyper-Threading, а частота нагруженного ядра в boost-режиме может повышаться вплоть до 4,7 ГГц. Уровень TDP новинки составляет 95 Вт, рекомендованная цена — 450 долларов. Краткие технические характеристики остальных моделей Intel Xeon E-2100 приведены в таблице ниже. Что касается набора системной логики Intel C246, то он перенял технические характеристики у чипсетов 300-й серии. Данный набор микросхем в силах обеспечить работу 24 линий интерфейса PCI-E 3.0, до шести портов USB 3.1 Gen2, до десяти USB 3.1 Gen1 и до восьми SATA 6 Гбит/с. Кроме того, имеется поддержка интегрированного беспроводного адаптера Intel Wireless-AC (CNVi). Источник: overclockers