Новости интернета

[student]

 Новая версия почтового сервера Exim 4.94
09.06.2020 11:53

После 6 месяцев разработки состоялся релиз почтового сервера Exim 4.94, в который внесены накопившиеся исправления и добавлены новые возможности. В соответствии с майским автоматизированным опросом около миллиона почтовых серверов, доля Exim составляет 57.59% (год назад 53.03%), Postfix используется на 34.70% (34.51%) почтовых серверов, Sendmail - 3.75% (4.05%), Microsoft Exchange - 0.42% (0.57%).

Изменения в новом выпуске могут привести к нарушению обратной совместимости. В частности, некоторые виды транспорта перестали работать с неочищенными данными (tainted, значения на основе данных, полученных от отправителя) при определении местоположения доставки. Например, проблемы могут возникнуть при использовании переменной $local_part в настройке "check_local_user" при маршрутизации письма. Вместо $local_part следует использовать новую очищенную переменную "$local_part_data". Кроме того, в операндах опции headers_remove теперь разрешено использование масок, определяемых при помощи символа "*", что может привести к нарушению работы конфигураций, в которых выполнялось удаление заголовков, заканчивающихся на символ звёздочки (вместо удаления конкретных заголовков будет выполнено удаление по маске).

Основные изменения:

   

Спойлер   :

Добавлена экспериментальная встроенная поддержка механизма SRS (Sender Rewriting Scheme), позволяющая переписать адрес отправителя при пересылке без нарушения проверок SPF (Sender Policy Framework) и обеспечив сохранение данных об отправителе для направления сервером сообщений в случае ошибки доставки. Суть метода в том, что при установке соединения передаются сведения об идентичности с изначальным отправителем, например при перезаписи alice@example.org на alice@example.com будет указано "SRS0=HHH=TT=example.org=alice@example.com". SRS актуален, например, при организации работы списков рассылки, в которых исходное сообщение перенаправляется другим получателям.
    При использовании OpenSSL добавлена поддержка закрепления канала для аутентификаторов (ранее поддерживалось только для GnuTLS).
    Добавлено событие "msg:defer".
    Реализована поддержка аутентификатора gsasl на стороне клиента, которая протестирована только с обработчиком открытых паролей (plaintext). Работа методов SCRAM-SHA-256 и SCRAM-SHA-256-PLUS возможна только через сам gsasl.
    Реализована поддержка аутентификатора gsasl на стороне сервера для шифрованных паролей, выступающая альтернативой ранее доступного режима plaintext.
    Определения в именованных списках теперь могут помечаться префиксом "hide" для подавления вывода контента при выполнении команды "-bP".
    В драйвер аутентификации через IMAP-сервер Dovecot добавлена экспериментальная поддержка интернет-сокетов (ранее поддерживались только unix-domain сокеты).
    ACL выражение "queue_only" теперь может указываться как "queue" и поддерживает опцию "first_pass_route", аналогичную опции командной строки "-odqs".
    Добавлены новые переменные $queue_size и $local_part_{pre,suf}fix_v.
    В основной блок конфигурации добавлена опция "sqlite_dbfile" для использования при определении префикса строки поиска. Изменение нарушает обратную совместимость - старый метод задания префикса перестал работать при указании неочищенных (tainted) переменных в lookup-запросах. Новый метод ("sqlite_dbfile") позволяет держать имя файла отдельно.
    В lookup-блоки dsearch добавлены опции для возвращения полного пути и фильтрации типов файлов при сопоставлении.
    В lookup-блоки pgsql и mysql добавлены опции для задания имени сервера отдельно от строки поиска.
    Для lookup-блоков, осуществляющих выборку по одному ключу, добавлена опция для возвращения очищенной (de-tainted) версии ключа при наличии совпадений, вместо искомых данных.
    Для всех успешных выборок list-match обеспечено выставление переменных $domain_data и $localpart_data (ранее вставлялись элементы списка, задействованные в выборке). Кроме того, применяемые при сопоставлении элементы списка теперь присваиваются переменным $0, $1 и т.д.
    Добавлен оператор раскрытия "${listquote {<char>} {<item>}}".
    В оператор раскрытия ${readsocket {}{}{}} добавлена опция для обеспечения кэширования результатов.
    Добавлена настройка dkim_verify_min_keysizes для перечисления минимально допустимых размеров открытых ключей.
    Обеспечено раскрытие параметров "bounce_message_file" и "warn_message_file" до их первого использования.
    Добавлена опция "spf_smtp_comment_template" для настройки значения переменной "$spf_smtp_comment".

[student]

Из Google Play удалили аналог TikTok, который платил деньги за просмотр видео

Всего за месяц удаленный из Google Play сервис Zynn сумел стать самым популярным приложением в США


Сервис Zynn от китайского стартапа Kuaishou, который появился на мобильных платформах совсем недавно, почти сразу после выхода обрел бешеную популярность. Дело в том, что приложение, полностью копируя механику популярного TikTok, также платило пользователям от 1 до 20 долларов за просмотр видео и приглашенных друзей. Теперь же сервис пропал из магазина Android-приложений из-за обвинений в плагиате.

Несколько крупных блогеров подало в суд на Zynn за нелегальное размещение их роликов. Разработчики проекта признали факт плагиата, но сослались на то, что видео было загружено пользователями сервиса, а отследить его оригинальность невозможно. Дабы урегулировать конфликт и вернуть приложение в Google Play, создатели Zynn добавили в приложение возможность жаловаться на видео.

Тем не менее, возвращение сервиса в магазин приложений остается под вопросом, так как параллельно с разбирательствами из-за плагиата Zynn участвует в судебных тяжбах с разработчиками TikTok. Те, ссылаясь на недобросовестную конкуренцию, требуют от стартапа 2,1 миллиона долларов.

[student]

Спор о правах Rambler на Nginx продолжен в суде США
10.06.2020 19:37

Юридическая компания Lynwood Investments, которая изначально обратилась в правоохранительные органы РФ, действуя от имени Rambler Group, подала в США иск против компании F5 Networks, связанный с отстаиванием исключительных прав на Nginx. Иск подан в Сан-Франциско в окружной суд США по Северной Калифорнии. Игорь Сысоев и Максим Коновалов, а также инвестиционные фонды Runa Capital и E.Ventures, включены в число соответчиков по иску. Сумма ущерба оценивается 750 млн. долларов (для сравнения компания Nginx был продана F5 Networks за 650 млн долларов). Разбирательство затрагивает как сервер NGINX, так и основанное на нём коммерческое ПО NGINX Plus.

Компания F5 Networks считает претензии истца безосновательными, в том числе ссылаясь на решение прокуратуры РФ, прекратившей расследование, не найдя доказательств вины сооснователей Nginx. Юристы F5 Networks уверены, что в запущенном в США разбирательстве заявления в отношении ответчиков столь же безосновательны.

Спойлер   :

Интересно, что в апреле компания Rambler Group заявила о расторжении договора с Lynwood Investments и запрете вести дела от имени Rambler Group. При этом компания Lynwood Investments сохранила за собой право доказывать причинение убытков по делу NGINX и требовать их компенсации от своего собственного имени и в своих собственных интересах. В англоязычном пресс-релизе приведены дополнительные детали, в соответствии с которыми Lynwood и аффилированные с ней лица владели существенной долей Rambler и компания Rambler передала Lynwood права собственности на NGINX. Переуступка прав была одобрена советом директоров Rambler.

Напомним, что в декабре прошлого года против бывших сотрудников Rambler, развивающих Nginx, было возбуждено уголовное дело по ч. 3 ст. 146 УК РФ («Нарушение авторских и смежных прав»). Обвинение стролось на утверждении, что разработка Nginx производилась в рабочее время сотрудников Rambler и по поручению руководства данной компании. Rambler утверждает, что в трудовом договоре было определено сохранение за работодателем исключительных прав на разработки, которые вели сотрудники компании. В предъявленном сотрудниками правоохранительных огранов постановлении было указано, что nginx является интеллектуальной собственностью Rambler, которая распространялась в виде свободного продукта незаконно, без ведома Rambler и в рамках преступного умысла.

Во время разработки nginx Игорь Сысоев работал в Rambler в должности системного администратора, а не программиста, и занимался своим проектом в качестве хобби, а не по указанию начальства. По словам Игоря Ашманова, который в то время был одним из руководителей Rambler, при приёме на работу с Сысоевым была специально оговорена возможность заниматься своим проектом. Кроме того, в должностные обязанности системного администратора не входила разработка ПО.

[student]

Zoom признал, что блокировал аккаунты протестующих по запросу Китая

Представители Zoom пообещали, что в будущем приказы Китая будут распространяться только на жителей страны

10 июня китайские правозащитники организовали совместную конференцию в Zoom в честь протестов, случившихся в 1989 году. Одним из участников видеозвонка был ныне живущий в США Джоу Фэнсо (Zhou Fengsuo), который принимал участие в волнениях 30-летней давности. В ходе конференции аккаунты Джоу и нескольких других правозащитников были заблокированы под предлогом нарушения местного законодательства. Тем не менее, представили Zoom не утончили, законодательству какой страны они следовали при блокировке пользователей.

Позже в официальном блоге Zoom появилось сообщение с оправданиями. Как оказалось, приказ о блокировке аккаунтов правозащитников был отдан правительством Китая, так как некоторые участники конференции были родом оттуда. В Китае запрещено публичное обсуждение случившихся в 1989 году протестов. В свое оправдание представители Zoom заявили, что не могут блокировать участников конференции выборочно — только всех разом.

В то же время было сказано, что функционал, позволяющий удалять участников из конкретных стран, уже находится в разработке, и в будущем подобных инцидентов не повторится. «Мы больше не позволим себе блокировать людей вне Китая по запросу китайского правительства», — говорится в официальном заявлении Zoom по этому вопросу.

[student]

Количество пользователей интернета в Узбекистане достигло 22 млн

Пресс-секретарь Министерства по развитию информационных технологий и коммуникаций Узбекистана Шерзод Ахматов заявил, что количество пользователей интернета в республике достигло 22 млн, сообщает пресс-служба ведомства.

Мобильным интернетом пользуется 19 млн жителей Узбекистана, а проводное подключение к сети используют 3 млн человек.

Ахматов подчеркнул, что с начала 2020 года тариф на внешний интернет-канал для операторов и провайдеров подешевел на 34% по сравнению с 2019 годом. Охват населения мобильной связью достиг 96%, а уровень охвата широкополосной связью – 70%.

Стоит отметить, за год скорость фиксированного интернета в Узбекистане выросла на 6%, а скорость мобильного интернета – на 18%. Скорость фиксированного интернета увеличилась почти в 2,3 раза – с 11,62 Мбит/с в марте 2019 года до 25,88 Мбит/с в апреле 2020 года.

[student]

Доступен Solaris 11.4 SRU22


Опубликовано обновление операционной системы Solaris 11.4 SRU 22 (Support Repository Update), в котором предложена серия очередных исправлений и улучшений для ветки Solaris 11.4. Для установки предложенных в обновлении исправлений достаточно выполнить команду 'pkg update'.

В новом выпуске помимо исправлений ошибок также обновлены версии следующих компонентов с открытым исходным кодом:

    Apache Tomcat 8.5.55
    Apache Web Server 2.4.43
    BIND 9.11.19
    Firefox 68.8.0esr
    OpenLDAP 2.4.50
    PHP 7.3 7.3.17
    PHP 7.4 7.4.5
    Thunderbird 68.8.0
    Wireshark 3.2.4
    libexif 0.6.22
    squid 4.11
    sqlite3

[student]

Уязвимость в процессорах AMD, позволяющая выполнить код на уровне SMM
21.06.2020 10:50

Компания AMD сообщила о работе над исправлением серии уязвимостей "SMM Callout" (CVE-2020-12890), позволяющей получить контроль над прошивкой UEFI и выполнить код на уровне SMM (System Management Mode). Для атаки необходим физический доступ к оборудованию или доступ к системе с правами администратора. В случае успешной атаки злоумышленник может воспользоваться интерфейсом AGESA (AMD Generic Encapsulated Software Architecture) для выполнения произвольного кода, который невозможно выявить из операционной системы.

Уязвимости присутствуют в коде прошивки UEFI, выполняемом в режиме SMM (Ring -2), более приоритетном, чем режим гипервизора и нулевое кольцо защиты, и имеющим неограниченный доступ ко всей системной памяти. Например, после получения доступа к ОС в результате экслплуатауии других уязвимостей или методов социальной инженерии, атакующий может использовать уязвимости SMM Callout для обхода режима безопасной загрузки (UEFI Secure Boot), внедрения в SPI Flash невидимого для системы вредоносного кода или руткитов, а также для атак на гипервизоры для обхода механизмов проверки целостности виртуальных окружений.

Уязвимости вызваны ошибкой в коде SMM, связанной с отсутствием проверки адреса целевого буфера при вызове функции SmmGetVariable() в SMI-обработчике 0xEF. Из-за данной ошибки атакующий может записать произвольные данные во внутреннюю память SMM (SMRAM) и запустить их как код с правами SMM. По предварительным данным проблема проявляется в некоторых APU (AMD Fusion) для пользовательских и встраиваемых систем, выпускавшихся с 2016 по 2019 год. AMD уже передал большинству производителей материнских плат обновление прошивки с исправлением проблемы, а оставшимся производителям обновление планируется отправить до конца месяца.

[student]

Беларусь теряет позиции в рейтинге скорости интернета

Согласно данным компании Ookla, Беларусь теряет позиции в рейтинге скорости мобильного и фиксированного интернета Speedtest Global Index.

В майском рейтинге скорости мобильного интернета Беларусь занимает 117 место из 138 с результатом 15,10 Мбит/с (Download). Республика опустилась в списке на семь строк. В рейтинге фиксированной передачи данных Беларусь заняла 54 место с показателем 59,56 Мбит/с (Download), потеряв одну позицию.

Падение в рейтинге мобильного интернета продолжается более двух лет. В апреле 2017 года Беларусь занимала 59 место в рейтинге скорости мобильного интернета. В апреле 2018 года республика занимала уже 105 место.

Заместитель министра связи и информатизации республики Анна Рябова заявила, что жители Беларуси не нуждаются в потреблении тяжелого контента и в высокой скорости доступа в сеть.

Стоит отметить, в марте 2020 года на фоне пандемии Беларусь поднялась в рейтинге мобильной передачи данных на два пункта, заняв 114 место.

[student]

В Казахстане запущена цифровая карта доступности интернета

Жители Казахстана могут ознакомиться с телекоммуникационным паспортом каждого населенного пункта республики, сообщает Today.kz со ссылкой на пресс-службу Министерства цифрового развития, инноваций и аэрокосмической промышленности.

Карта доступности интернета содержит данные об уже действующей оптической инфраструктуре. Ресурс позволяет получить информацию об уровне доступа к интернету в населенных пунктах Казахстана.

Проект реализован Министерством цифрового развития, инноваций и аэрокосмической промышленности совместно с АО "Национальный инфокоммуникационный холдинг "Зерде". Карта находится на официальном сайте программы "Цифровой Казахстан".

"Эта карта информативна для граждан, но и полезна для нас. Мы разместили на ней данные по зонам покрытия интернетом, которые представляют нам операторы связи. Если граждане обнаружат в ней какие-либо неточности, касающиеся наличия той или иной технологии, просим их сообщать об этом на электронный адрес kartakz.kz@gmail.com. Мы, совместно с операторами связи будем выяснять причины выявленных несоответствий. Такой фидбек позволит нам актуализировать базы данных и принять меры по обеспечению этих сел высокоскоростным интернетом", – заявил председатель Комитета телекоммуникаций Виталий Ярошенко.

Стоит отметить, объем услуг связи в Казахстане с января по апрель 2020 года составил 281,5 млрд тенге ($681,5 млн), а наибольший доход принесли интернет-услуги – 102,74 млрд тенге ($248,7 млн). Доля интернет-услуг составила 36,5%.

[student]

Кабмин принял предложения Минцифры для улучшения интернета в Украине

Власти приняли распоряжение, касающееся внесения изменений в план мероприятий по дерегуляции хозяйственной деятельности, предложенных Министерством цифровой трансформации. В частности, изменения обязуют провайдеров и операторов отчитываться регулятору исключительно в электронной форме, сообщается на сайте Минцифры.

Согласно данным, для эффективного развития интернета в Украине необходимо своевременное и постоянное предоставление достоверной информации о реальном покрытии. Подача этих данных в электронном виде поможет сэкономить время и повысить качество информации.

Кроме того, в распоряжении говорится о необходимости повысить предельные нормы излучения для радиооборудования, приравняв их к европейским. Это необходимо, чтоб получить больше возможностей для проведения 4G и широкополосного интернета в сельские регионы.

Напомним, на днях НКРСИ направила в Верховную Раду ряд замечаний и предложений относительно законопроекта «Об электронных коммуникациях». Регулятор просит  большей независимости для себя.

[student]

Пароль «123456» был обнаружен 7 млн раз среди миллиарда утекших учетных данных


В большинстве случаев пользователи выбирают упрощенные пароли, используя только буквы или цифры.

В рамках одного из крупнейших исследований, посвященного повторному использованию паролей, специалист Ата Хакчил провел анализ более одного миллиарда утекших учетных данных и обнаружил, что каждый 142-й пароль является распространенным «123456».

Спойлер   :

По словам турецкого студента, среди более 1 млрд данных он обнаружил только 168 919 919 уникальных паролей, из которых «123456» встречался около 7 млн раз. Данный набор цифр является самым простым паролем из всех известных на сегодняшний день.

Как отметил Хакчил, средняя длина пароля обычно составляла 9 символов, что не очень хорошо, но и не так уж плохо. Большинство ИБ-экспертов рекомендуют использовать более длинные пароли, например, в диапазоне от 16 до 24 символов или даже больше.

Но длина пароля была не единственной проблемой, обнаруженной Хакчилом. По словам турецкого исследователя, сложность пароля также оказалась низкой, поскольку только 12% паролей содержали специальные символы. В большинстве случаев пользователи выбирали упрощенные пароли, используя только прописные буквы (29% от всех паролей), строчные (26%) или цифры (13%). Таким образом около 68% от общего количества паролей из 1 миллиарда данных были уязвимы к брутфорс-атакам.

[student]

 Связанное с информационной безопасностью сообщество отказалось менять термины white hat и black hat
05.07.2020 10:08

Большинство специалистов по информационной безопасности выступило против предложения уйти от использования терминов 'black hat' и 'white hat'. Инициатором предложения выступил Дэвид Клейдермахер (David Kleidermacher), вице-президент Google по инжинирингу, который отказался выступать с докладом на конференции Black Hat USA 2020 и предложил индустрии уйти от использование терминов "black hat", "white hat" и MITM (man-in-the-middle) в пользу более нейтральных альтернатив. Термин MITM вызвал недовольство из-за гендерной привязки, вместо него было предложено использовать слово PITM (people-in-the-middle).

Большинство участников дискуссии выразили недоумение тем, как расистские стереотипы пытаются привязать к терминам, не имеющим к ним ни малейшего отношения. Белый и чёрный цвета испокон веков использовались для представления добра и зла. Термины чёрная и белая шляпа не имеют никакой связи с цветом кожи и ведут истоки из фильмов-вестернов, в которых положительные герои носили белые шляпы, а злодеи - чёрные. В своё время данная аналогия была перенесена в информационную безопасность.

[student]

Армянский оператор Team планирует предоставлять услуги по технологии NGN

Армянский телекоммуникационный оператор Team намерен купить компанию "Veon Армения" (бренд Beeline) и использовать ее инфраструктуру для предоставления услуг по технологии мультисервисной сети (Next Generation Network, NGN), сообщает Sputnik.

Генеральный директор Team Айк Есаян рассказал о планах компании на заседании Государственной комиссии по защите экономической конкуренции.

Team не намерен в ближайшем будущем развертывать сеть 5G. Оператор планирует приобрести компанию "Veon Армения" и использовать ее сети по технологии NGN. В сетях такого типа для доставки речи, данных и мультимедиа используется один канал. В таком случае пропускная способность сети повышается, и через нее можно одновременно проводить и интернет, и мобильную связь.

Ожидается, что скорость сети оператора Team составит до 10 Мбит/с. Айк Есаян считает, что такая скорость сможет удовлетворить потребности среднего пользователя.

Также Есаян планирует вывести компанию на IPO, чтобы привлечь дополнительное финансирование. На данный момент у Team нет активов, однако Есаян считает, что опыт менеджеров и сотрудников, перешедших из компании Ucom, окажется убедительным для инвесторов.

8 июня оператор подал заявку на приобретение "Veon Армения". Госкомиссия по защите экономической конкуренции должна рассмотреть заявку в течение 90 дней.

Напомним, в январе 2020 года Veon сообщил о планах продать свое дочернее предприятие "Veon Армения" компании Ucom. В результате конфликта между учредителями Ucom и акционерами, руководство оператора полным составом подало в отставку. В начале мая корпорация Veon прекратила переговоры с Ucom о продаже "Veon Армения".

20 апреля основатели Ucom Айк и Александр Есаян создали новую телекоммуникационную компанию. Она будет предоставлять услуги под брендом Team.

[student]

Президент Беларуси пообещал навести порядок в интернете

Президент Беларуси Александр Лукашенко во время встречи с представителями государственных СМИ республики заявил, что готов "навести порядок" в интернете, сообщает пресс-служба президента.

Лукашенко отметил, что наличие свободы слова не предполагает вседозволенности. Он подчеркнул, что это касается и высказываний в интернете. "Вы, особенно прогрессивно настроенные люди, почувствовали, что такое свобода слова: сказал не то, обзовут еще похлеще... Каждый из вас получил порцию [негатива], тот, кто даже не за Лукашенко слово сказал, а за государство", – заявил он.

Также глава республики подчеркнул, что свобода слова должна регулироваться законом: "Свобода слова в любом государстве ограничена законом. Поэтому здесь мы наведем порядок".

Стоит отметить, ранее глава Министерства информации Беларуси Игорь Луцкий рассказал о стратегии ведомства в отношении интернета. Луцкий отметил, что министерство намерено корректировать действия СМИ, чтобы четко доносить до населения позицию государства. По словам Луцкого, конечная цель работы министерства – ограждение жителей Беларуси от информации, которая "наносит вред стране".

[student]

Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей
16.07.2020 10:58

Компания Oracle опубликовала плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В июльском обновлении в сумме устранено 443 уязвимости.

Спойлер   :

В выпусках Java SE 14.0.2, 11.0.8 и 8u261 устранено 11 проблем с безопасностью. Все уязвимости могут быть эксплуатированы удалённо без проведения аутентификации. Наибольший уровень опасности 8.3 присвоен проблемам в JavaFX и библиотеках (CVE-2020-14664, CVE-2020-14583). Третья по степени опасности уязвимость (CVSS 7.4) устранена в подсистеме обработки 2D графики. 5 проблем проявляются только на клиентских системах (запуск в браузере Java Web Start и Java-апплеты) и 6 затрагивают как клиентов, так и серверные конфигурации Java.

Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе:

    32 уязвимости в сервере MySQL и 3 уязвимости в реализации клиента MySQL (C API) и коннекторах (С++ и ODBC). Наибольший уровень опасности 7.5 присвоен уязвимости CVE-2020-1967, связанной со стойкостью шифрования и проявляющейся при компиляции с поддержкой OpenSSL. Проблемы устранены в выпусках MySQL Community Server 8.0.21, 5.7.31 и 5.6.49.
    25 уязвимостей в VirtualBox. Наиболее опасной проблеме присвоен уровень опасности 8.2. Уязвимости устранены в обновлениях VirtualBox 6.1.6, 6.0.20 и 5.2.40.
    6 уязвимостей в Solaris. Максимальная степень опасности 7.3 - локально эксплуатируемая уязвимость в Device Driver Utility. Проблемы также устранены в ядре, скриптах обработки пакетов и в libsuri. Проблемы устранены во вчерашнем обновлении Solaris 11.4 SRU23.