Caută în comunitate

Uite o veste bună pentru cei care vor să vadă Linux dominând lumea. Lenovo anunță că întreaga sa serie de sisteme Thinkpad și Thinkstation vor căpăta certificare pentru Linux. Asta înseamnă că toate sistemele din aceste categorii vor fi livrate în viitor direct cu un sistem de operare non-Microsoftian. Veți avea de ales între Ubuntu și Red Hat, în funcție de necesitate, la oricare modelele ce vor fi disponibile din aceste două categorii. Lenovo deja oferea suport pentru Linux într-o anumită măsură, dar era limitat la doar câteva modele. Acum sunt toate. Mai înseamnă și că Lenovo se angajează să se asigure că, indiferent ce ar fi, sistemele respective nu vor avea probleme pe Linux(sau măcar variantele acelea) de compatibilitate, probleme de driver, instabilități sau orice alt fel de lucru. Sursa: zonait.ro

George Stanciu George Stanciu 13:52 23.11.2016 O vulnerabilitate gravă din Linux le permite atacatorilor să preia controlul unui întreg PC ce rulează versiuni la zi ale sistemului de operare. Vulnerabilitatea despre care e vorba reușește să atace framework-ul GStreamer, care este folosit în majoritatea distribuțiilor de Linux, și este considerată ca fiind una elegantă. Aceasta trece de elementele de securitate ASLR și DEP ale sistemului de operare. ASLR face ca software-ul de pe calculator să introducă bucăți de cod în porțiuni alese la întâmplare din memorie, în timp ce DEP blochează execuția de cod pe care o vulnerabilitate clasică încearcă să îl introducă în memorie. Spre deosebire de alte tentative de depășire a sistemelor de securitate, cel de acum nu se bazează pe cod pentru a manipula memoria. Acesta aranjează biții din cod în așa fel încât modulele de protecție sunt dezactivate complet. Dan Rosenberg, cercetător la Azimuth Security, specializat pe prevenirea vulnerabilităților Linux, spune că ”exploit-ul actual este impresionant deoarece trece de modulele de protecție fără să poată interacționa cu software-ul țintă”. Vulnerabilitatea se prezintă în forma uni fișier media de tip .flac, ce lucrează pe versiunea 24 Fedora, cu cel mai recent GStreamer. Aceasta ar fi chiar mai ușor de livrat în Ubuntu, deoarece acesta nu are anumite sisteme de apărare împotriva exploit-urilor, nici în cea mai recentă, versiune 16.04. Vulnerabilitatea actuală este una de interes academic și nu prea are utilități practice, deoarece trebuie să fie rescrisă aproape complet pentru a funcționa în cadrul unei alte distribuții de Linux. În plus, sunt puțini cei care rulează fișiere media pe Linux, astfel că puțin probabil ca o astfel de vulnerabilitate să fie exploatată, arată arstechnica.com. Chris Evans, creatorul acestui exploit, arată că acesta este o dovadă că există moduri subtile de a exploata orice fel de vulnerabilitate, iar asta ar trebui să tragă un semnal de alarmă, chiar și n comunitatea Linux. sursa: playtech.ro

Sistemele ce rulează distribuții populare de Linux sunt puse, din nou, în pericol, de vulnerabilități recent descoperite. Noile exploit-uri zero-day pun încă o dată la îndoială zicala conform căreia Linux este imun la atacurile care fac probleme sistemelor Windows de mai bine de 10, și care au devenit un pericol și pe Mac-uri. Chris Evans a descoperit două noi vulnerabilități care atacă versiunile de desktop ale Linux. ”Vreau să dovedesc că astfel de probleme nu sunt doar teoretice – ele pot fi folosite pentru a cauza probleme rale”, afirmă Evans pentru arstechnica.com, explicând de ce a creat un exploit pentru sisteme Linux la zi. ”Apar, uneori, vulnerabilități care nu sunt luate în serios deoarece există sc**CENZURAT**ism cu privire la exploatarea lor, iar eu vreau să combat asta”, adaugă acesta. La fel ca în cazul celuilalt exploit pentru Linux, acesta se folosește de o vulnerabilitate din GStreamer. De data aceasta, exploit-ul se folosește de hibe din Game Music Emu și libgme, folosite pentru a emula muzica de pe console de joc. Cele două fișiere audio, sunt codate în formatul SPC, folosit de consola Super Nintendo Entertainment System. Atunci când extensia .spc este schimbată în .mp3 sau .flac, GStreamer și Game Music Emu deschid astfel de fișiere automat. Exploatarea folosind un fișier .flac poate să aibă loc dacă un utilizator vizitează o pagină ce conține un astfel de fișier. Cu un singur click, fișierul se deschide automat și are potențialul de a rula orice cod pe calculator, având aceleași privilegii ca utilizatorul. Astfel, pot fi furate majoritatea datelor personale, dar și cookie-urile din browser-e și nu numai. Exploatarea folosind un fișier .mp3 are loc atunci când utilizatorul vizualizează un folder ce conține fișierul infectat, sau când apasă pe acesta. De asemenea, acesta poate lucra cu cod ales de atacator. Aceste vulnerabilități funcționează pe ultimele distribuții de Linux Fedora și Ubuntu și este foarte probabil să ruleze și pe altele, netestate încă de Evans. sursa: playtech.ro

De-a lungul anilor, au existat multe proiecte pentru a transforma un smartphone într-un notebook sau desktop, dar ”Linux on Galaxy” s-ar putea să materializeze în sfârșit acest proiect futurist. Orice utilizator de smartphone modern știe cât de performant este gadgetul din buzunar de care nu mai poate să se dezlipească. Micuțele portabile au o putere de procesare mai mare decât cea mai mare parte a notebook-urilor de acum cinci ani. Asta înseamnă că ar trebui să fie capabile să ruleze aplicații de desktop, iar Microsoft colaborează deja cu Qualcomm pentru a aduce pe piață primele notebook-uri ultraportabile cu procesor de telefon pe arhitectură ARM. Pe de altă parte, mai mult decât să rulezi Windows pe mobil, ți-ai dori ca telefonul tău obișnuit să poate fi transformat în desktop atunci când ești la birou, ca la sfârșitul programului de muncă să-l bagi în buzunar și să pleci acasă. În urmă cu câțiva ani, cei de la Microsoft au propus un mecanism de genul acesta cu Convergence. Oficialii Samsung s-au gândit la ceva similar când au lansat dockul Samsung DeX pentru Galaxy S8. Până la această oră, respectivul proiect a evoluat foarte mult. Printr-un clip oficial, cei de la Samsung au detaliat noul proiect intitulat Linux on Galaxy. În timp ce ideea inițială din spatele gadgetului DeX era de a rula aplicații de Android pe un monitor mare de desktop, cu Linux on Galaxy, ajungi să rulezi un sistem de operare complet diferit de platforma Google. Practic, e ca și cum îți transformi telefonul într-un sistem dual-boot cu Linux și Android. Pentru ca promisiunea sud coreenilor să fie și mai interesantă, nu ești foarte limitat vizavi de distribuția pe care o poți rula. Poate fi vorba de Ubuntu, Debian, Arch și nu numai. Prin programul Linux on Galaxy, Samsung a arătat deja că poți rula aplicații precum Terminal, Eclipse, GIMP sau Firefox pe un telefon conectat la DeX. Cei care vor să obțină mai multe detalii despre acest proiect sau vor să se experimenteze versiunea beta, o pot face pe site-ul Samsung. Este important de reținut că toate aplicațiile de Linux testate de sud coreeni rulează nativ pe smartphone, fără mașini virtuale sau un algoritm complex de emulare. Din acest motiv, ar fi bine să fie fost optimizate în prealabil pentru arhitectura ARM. Sursa: playtech.ro

Nintendo Switch este una dintre cele mai atrăgătoare console ale momentului, iar interesul pentru modarea sa este foarte mare din parte hackerilor. Majoritatea consolelor moderne au la bază configurații destul de apropiate de cele ale unui PC tradițional, chiar dacă vin la pachet cu o serie de protecții pentru a nu putea rula altceva decât jocuri. În cazul celor de la Nintendo, cea mai nouă consolă a lor este construită în jurul unui SoC Nvidia Tegra modificat pentru a genera o performanță mai mare decât a vechilor generații de procesoare din aceeași familie. Asta înseamnă că, în teorie, ar trebui să poți rula Android pe ea sau o distribuție de Linux. De ce ai vrea să dai atâția bani pe o consolă, doar pentru a rula Linux, e cu totul altă poveste. Important este că unii hackeri își dedică o mare parte din viață acestor proiecte aparent imposibile. În cazul consolei Nintendo Switch, a fost vorba de echipa failOverflow, aceeași care a reușit în trecut să ruleze Linux și aplicații Homebrew pe PlayStation 4. Revenind însă la cea mai recentă creație Nintendo, aceeași echipă de hackeri pasionați de modding au atins performanța de a transforma un Switch într-o tabletă cu Linux. Demonstrația rezultatului final a fost făcută pe Twitter și, din câteva se pare, profită la maxim de touchscreen, conectivitate Wi-Fi și accelerare 3D. Modder-ul a postat pe Twitter direct de pe Nintendo Switch și a rulat un benchmark pentru a ilustra abilitățile GPU-ului. Conform spuselor lui FailOverflow, metodologia folosită pentru a rula Linux pe Nintendo Switch profită de o vulnerabilitate în bootrom (liniile de cod executate când vrei să pornești consola apăsând pe buton). Acelea nu țin de firmware și nu pot fi modificate printr-o actualizare de firmware, doar cu un hardware actualizat. Va fi interesant de văzut dacă Nintendo va da în judecată hackerii. Sursa: playtech.ro

Linux a fost mereu acea alternativă utopică la Windows și macOS. Din fericire, de la crearea primului sistem până în prezent, distribuțiile au devenit mai bune. Am fost mereu utilizator de Windows. Cele mai frumoase experiențe le-am avut cu Windows XP, apoi Windows 7 și acum Windows 10. Ce te faci când nu îți permiți mereu achiziționarea licenței, pentru a te bucura de toate funcțiile și securitatea sistemului de operare? Răspunsul nu e piratarea, dacă la asta te gândești. Odată cu Windows 10, piratarea chiar devine inutilă. Deși pare că funcționează în primele luni sau în primul an, te asigur că la un moment dat, lucrurile nu vor mai sta chiar așa. Și devine stresant să stai să remediezi fiecare dintre problemele de compatibilitate care apar pe parcurs. Acesta este unul dintre motivele pentru care ai vrea să alegi o distribuție Linux. Dacă prima ta experiență cu Linux a fost când ți-ai cumpărat un laptop nou și avea pe el preinstalat o distribuție Linux, cel mai probabil una incompatibilă cu gusturile tale, atunci e normal să n-ai o părere prea bună despre acest sistem de operare. lubuntu linux Așa mi s-a întâmplat când am achiziționat un Acer Aspire One D270, un netbook cu diagonală de 10,1 inci, care la vremea aceea costa doar 1.000 de lei. Era cel mai ieftin de pe piață. L-am ales datorită prețului și din cauza disperării de a avea un computer portabil pentru facultate, în condițiile în care vechiul calculator se defectase. Nici măcar nu-mi mai amintesc ce distribuție Linux avea preinstalată, dar era una oribilă, care, nu doar că nu-mi făcea plăcere să o utilizez, dar nici nu știam ce-i cu ea. După vreo șase ani de atunci, am ajuns să dau iar atenție distribuțiilor Linux și pot spune că n-am pierdut timpul. Când și cel de-al doilea laptop, un Lenovo IdeaPad, cu procesor Intel i5, a început să nu se mai împace bine cu cerințele măricele de sistem ale lui Windows 10, precum și învechirea laptopului, am început să testez câteva distribuții Linux. Era speranța că voi putea salva acel sistem greoi, care se încingea ca un calorifer chiar și când editam câteva fotografii în Adobe Lightroom (fără executarea altor operații simultan). Încercare eșuată cu Linux Mint linux mint Încercările n-au fost de la început fructuoase. Trebuia să mă documentez și încă mai sunt multe de descoperit în privința Linux. N-am ales cele mai cunoscute distribuții. Prima încercare de instalare am făcut-o pe vechiul Acer Aspire One D270. Am instalat pe el Linux Mint, un sistem de operare foarte simplist, nu chiar atât de atrăgător vizual precum pare în prezentarea de pe site-ul oficial. Linux Mint este un sistem bun, nu contest ce spun cei care se folosesc la capacitate maximă de el și sunt mulțumiți. Pe acel Acer însă, Linux Mint era total nepotrivit. Sistemul era extrem de lent, pornea extrem de greu, iar de programele pe care încercam să le deschid, nici nu mai vorbesc. L-am lăsat rapid deoparte și am căutat o distribuție nouă pentru laptopul Lenovo IdeaPad. Sursa: playtech.ro

Cercetătorii de securitate au descoperit trei vulnerabilități în SystemD, un popular init system si un manager de servicii pe majoritatea distribuțiilor Linux, care un atacator local neprivilegiat ar putea să le folosească pentru a avea acces root pe acel sistem. Cele trei vulnerabilități se numesc CVE-2018-16864, CVE-2018-16865, și CVE-2018-16866, și sunt defapt în serviciul SystemD-JournalD care colectează diferite informații despre surse și crează un log/jurnal cu informațiile respective. Vulnerabilitatea afectează majoritatea distribuțiilor Linux care se bazează pe SystemD, incluzând Redhat și Debian. Primele două vulnerabilități sunt probleme la memoria coruptă, iar cel de-al treilea este la încercarea citirii eronate, care poate divulga informații importante din memorie. Cercetătorii au creeat un exploit ca dovada a funcționării (proof of concept), și au reușit să obțină Root în 10 minute pe i386, respectiv 70 de minute pe amd64, în medie. Source & Details: https://amp-thehackernews-com.cdn.ampproject.org/v/s/amp.thehackernews.com/thn/2019/01/linux-systemd-exploit.html?amp_js_v=a2&amp_gsa=1#referrer=https%3A%2F%2Fwww.google.com&amp_tf=From %1%24s&ampshare=https%3A%2F%2Fthehackernews.com%2F2019%2F01%2Flinux-systemd-exploit.html

HTTP DoS Protection with Nginx through ngx_http_limit_conn_module and ngx_http_limit_req_module modules. The ngx_http_limit_conn_module module is used to limit the number of connections per the defined key, in particular, the number of connections from a single IP address. Not all connections are counted. A connection is counted only if it has a request processed by the server and the whole request header has already been read. Example configuration: http { limit_conn_zone $binary_remote_addr zone=addr:10m; ... server { ... location /download/ { limit_conn addr 1; } Directives – Syntax: limit_conn zone number; – Default: — – Context: http, server, location Sets the shared memory zone and the maximum allowed number of connections for a given key value. When this limit is exceeded, the server will return the 503 (Service Temporarily Unavailable) error in reply to a request. For example, the directives allow only one connection per an IP address at a time: limit_conn_zone $binary_remote_addr zone=addr:10m; server { location /download/ { limit_conn addr 1; } There could be several limit_conn directives. For example, the following configuration will limit the number of connections to the server per a client IP and, at the same time, the total number of connections to the virtual server: limit_conn_zone $binary_remote_addr zone=perip:10m; limit_conn_zone $server_name zone=perserver:10m; server { ... limit_conn perip 10; limit_conn perserver 100; } The ngx_http_limit_req_module module (0.7.21) is used to limit the request processing rate per a defined key, in particular, the processing rate of requests coming from a single IP address. The limitation is done using the “leaky bucket” method Example Configuration: http { limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s; ... server { ... location /search/ { limit_req zone=one burst=5; } Directives – Syntax: limit_req zone=name [burst=number] [nodelay]; – Default: — – Context: http, server, location Sets the shared memory zone and the maximum burst size of requests. If the requests rate exceeds the rate configured for a zone, their processing is delayed such that requests are processed at a defined rate. Excessive requests are delayed until their number exceeds the maximum burst size in which case the request is terminated with an error 503 (Service Temporarily Unavailable). By default, the maximum burst size is equal to zero. For example, the directives allow not more than 1 request per second at an average, with bursts not exceeding 5 requests. limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s; server { location /search/ { limit_req zone=one burst=5; } If delaying of excessive requests while requests are being limited is not desired, the parameter nodelay should be used: limit_req zone=one burst=5 nodelay; There could be several limit_req directives. For example, the following configuration will limit the processing rate of requests coming from a single IP address and, at the same time, the request processing rate by the virtual server: limit_req_zone $binary_remote_addr zone=perip:10m rate=1r/s; limit_req_zone $server_name zone=perserver:10m rate=10r/s; server { ... limit_req zone=perip burst=5 nodelay; limit_req zone=perserver burst=10; } A practical example: In http section of nginx.conf: limit_conn_zone $binary_remote_addr zone=conn_limit_per_ip:20m; limit_req_zone $binary_remote_addr zone=req_limit_per_ip:20m rate=2r/s; In virtualhost: location / { limit_req zone=req_limit_per_ip burst=6 nodelay; limit_conn conn_limit_per_ip 3; try_files $uri $uri/ /index.php$is_args$args; root /home/zonws/www/evict.ro; index index.php index.html; } You must remove limits for static content: location ~* ^.+.(jpg|jpeg|gif|png|svg|ico|css|less|xml|html?|swf|js|ttf)$ { root /home/zonws/www/evict.ro; expires 10y; } Sources : Conn & Req