Записки не очём

Как сообщает веб-ресурс СNews.ru в материале Эльяса Касми «Российский эксперт: Huawei встроила в свои процессоры бэкдоры и не собирается их закрывать» , в процессорах HiSilicon (бренд Huawei) содержится набор уязвимостей, позволяющих получить права суперпользователя на устройствах с ними. Впервые о такой проблеме стало известно семь лет назад, но компания пока не выпустила необходимые патчи. Российский эксперт Владислав Ярмак, обнаруживший проблему, полагает, что все найденные бэкдоры Huawei встроила намеренно. По его подсчетам, уязвимость присутствует в миллионах устройств по всему миру.
Инструменты слежки от Huawei

В процессорах HiSilicon, используемых в цифровых рекордерах, сетевых камерах наблюдения, веб-камерах и т. д., обнаружен бэкдор. Выявил его россиянин Владислав Ярмак, работающий, по его заявлению, в Mail.ru Group системным архитектором. По его словам, данная брешь напрямую связана с четырьмя уязвимостями в чипах этого бренда, раскрытыми в 2013 и 2017 гг.

Как отметил Владислав Ярмак, он не стал сообщать компании о своей находке, так как посчитал ее неспособной закрыть уязвимость. В своем блоге на ресурсе Habr он заявил, что HiSilicon «на протяжении всех этих лет не могла или не желала выпустить необходимые исправления для одного и того же бэкдора, который, к тому же, был реализован намеренно».

HiSilicon – это дочерняя компания китайского техногиганта Huawei, она основана в 2004 г. и занимается разработкой процессоров, в том числе Kirin для мобильных устройств (смартфоны, планшеты) и Kunpeng для серверов, которые Huawei производит в России. Также в ее ассортименте есть модемы связи Balong и чипы для различной электроники. У компании нет собственных заводов – производством ее продукции занимается тайваньская TSMC.

Как работает бэкдор

Задействовать «черный ход» в процессорах HiSilicon можно посредством отправки серии определенных команд на TCP-порт 9530 в сетевых устройствах с чипами этого производителя. Данные команды позволяют активировать на устройстве Telnet-сервис и подключиться к профилю суперпользователя с использованием логина «root» и одного из шести паролей – 123456, jvbzd, hi3518, k1v123, xc3511 или xmhdipc. После этого пользователю будет предоставлен полный контроль над устройством.

Все шесть пар логин/пароль встроены непосредственно в прошивку процессора и не могут быть удалены или изменены пользователем. TCP-порт 9527 принимает те же пароли.

Насколько серьезна проблема

На момент публикации материала точное количество устройств с «дырявыми» процессорами Huawei известно не было. На сайте GitHub пользователем Tothi опубликован список брендов, чья техника содержит ранее выявленные уязвимости, их число измеряется десятками – их больше 80.

Как отметил Владислав Ярмак, скомпрометированных устройств по всему миру может быть очень много. Он не назвал точное число, но отметил, что их может оказаться от нескольких сотен тысяч до нескольких миллионов.

Выходы из ситуации

Ярмак опубликовал на GitHub PoC-код для проверки устройств на наличие рассмотренных уязвимостей. Всем, кто убедится в наличии проблемы в своей технике, эксперт советует как можно быстрее избавиться от нее и перейти к использованию более надежных аналогов.

В случае, если заменить устройства по тем или иным причинам не представляется возможным, Ярмак рекомендует закрыть сетевой доступ к ним для всех, кроме доверенных пользователей. В первую очередь, советует он, следует закрыть порты 23/tcp, 9530/tcp и 9527/tcp.

https://bmpd.livejournal.com/3924845.html

В свое время в циске наткнулись на тоже самое...

 большой брат, решето

Может направить её энергию на пользу? Как заставить Грету протестовать против не подлежащей ремонту техники? Против смартфонов, производитель которых перестаёт выпускать обновления через месяц после продажи, и, соответственно, работающие телефоны летят в мусорку, и люди вынуждены покупать новые? Против картриджей для принтера, когда ради прибыли производитель несколько миллилитров жидкости упаковывает в сложное нанотехнологичное устройство?

Ведь всё это порождает тонны трудноперерабатываемого мусора. А Грете пофигу.

 копроэкономика, экология

ПО ПРОСЬБАМ ТРУДЯЩИХСЯ! Взято с опеннета.

После 10 месяцев разработки опубликован выпуск свободного игрового движка Godot 3.2, подходящего для создания 2D- и 3D-игр. Движок поддерживает простой для изучения язык задания игровой логики, графическую среду для проектирования игр, систему развёртывания игр в один клик, широкие возможности анимации и симуляции физических процессов, встроенный отладчик и систему выявления узких мест в производительности. Код игрового движка, среды проектирования игр и сопутствующих средств разработки (физический движок, звуковой сервер, бэкенды 2D/3D рендеринга и т.п.) распространяются под лицензией MIT.

Исходные тексты движка были открыты в 2014 году студией OKAM, после десяти лет развития проприетарного продукта профессионального уровня, который использовался для создания и публикации многих игр для PC, игровых консолей и мобильных устройств. Движком поддерживаются все популярные стационарные и мобильные платформы (Linux, Windows, macOS, Wii, Nintendo 3DS, PlayStation 3, PS Vita, Android, iOS, BBX), а также разработка игр для Web. Готовые для запуска бинарные сборки сформированы для Linux, Windows и macOS.

В отдельной ветке развивается новый бэкенд рендеринга на базе графического API Vulkan, который будет предложен в следующем выпуске Godot 4.0, вместо предлагаемых ныне бэкендов рендеринга через OpenGL ES 3.0 и OpenGL 3.3 (поддержка OpenGL ES и OpenGL будет сохранена через обеспечение работы старого бэкенда OpenGL ES 2.0/OpenGL 2.1 поверх новой архитектуры рендеринга на базе Vulkan). Переход с Godot 3.2 на Godot 4.0 потребует переработки приложений из-за нарушения совместимости на уровне API, но для ветки Godot 3.2 будет обеспечен длительный цикл поддержки, срок которого будет зависеть от востребованности данной ветки пользователями. В промежуточные выпуски 3.2.x также не исключается портирование не влияющих на стабильность новшеств из ветки 4.x, таких как поддержка AOT-компиляции, ARCore, DTLS и платформы iOS для проектов на C#.

Основные новшества Godot 3.2:

• Добавлена поддержка шлемов виртуальной реальности Oculus Quest, реализованная на базе плагина для платформы Android. Для разработки систем дополненной реальности для iOS добавлена поддержка фреймворка ARKit. Для Android развивается поддержка фреймворка ARCore, но она пока не готова и будет включена в одном из промежуточных выпусков 3.3.x;
  
• Переработан интерфейс визуального редактора шейдеров. Добавлены новые узлы для создания более продвинутых шейдеров. Для шейдеров, реализуемых классическими скриптами, добавлена поддержка констант, массивов и модификаторов «varying». Многие шейдеры, специфичные для бэкенда OpenGL ES 3.0, портированы для OpenGL ES 2;
  
• Поддержка физически корректного рендеринга материалов (PBR) синхронизирована с возможностями новых движков PBR-рендеринга, таких как Blender Eevee и Substance Designer, для обеспечения сходного отображения сцены в Godot и используемых пакетах 3D-моделирования;
  
• Проведена оптимизация различных настроек рендеринга для повышения производительности и увеличения качества картинки. В бэкенд GLES3 перенесены многие возможности из GLES3, включая поддержку метода сглаживания MSAA (Multisample anti-aliasing) и различные эффекты постпроцессинга (свечение, DOF-размытие и BCS);
  
• Добавлена полная поддержка импорта 3D-сцен и моделей в формате glTF 2.0 (GL Transmission Format) и добавлена начальная поддержка формта FBX, которая позволяет импортировать сцены с анимацией из Blender, но пока несовместима с Maya и 3ds Max. Добавлена поддержка скинов каркасов при импорте сцен через glTF 2.0 и FBX, позволяющая использовать один каркас в нескольких мешах. Работа по улучшению и стабилизации поддержки glTF 2.0 выполнена совместно с сообществом разработчиков пакета Blender, в котором улучшенная поддержка glTF 2.0 будет предложена в выпуске 2.83;
  
• Сетевые возможности движка расширены поддержкой протоколов WebRTC и WebSocket, а также возможностью использовать UDP в режиме multicast. Добавлен API для использования криптографических хэшей и работы с сертификатами. Добавлен графический интерфейс для профилирования сетевой активности. Началась работа по созданию порта Godot для WebAssembly/HTML5, который позволит запускать редактор в браузере через Web;
  
• Переработан плагин для платформы Android и система экспорта. Теперь для формирования пакетов для Android предлагается две отдельные системы экспорта: одна с предварительно собранным движком, а вторая позволяющая формировать собственные сборки на основе кастомизированных вариантов движка. Настройку собственных сборок можно производить на уровне плагина для Android, без ручной правки исходного шаблона;
  
• В редактор добавлена поддержка выборочного отключения отдельных возможностей, например, можно убрать кнопки для вызова 3D-редактора, редактора скриптов, библиотеки ресурсов, узлов, панелей, свойств и других элементов, которые не требуются разработчику (скрытие лишнего позволяет заметно упростить интерфейс);
  
• Добавлена начальная поддержка интеграции с системами управления исходным кодом и реализован плагин для поддержки Git в редакторе;
  
• Предоставлена возможность переопределения камеры для запущенной игры через окно в редакторе, что даёт возможность оценки различных режимов в игре (свободный обзор, инспектирование узлов и т.п.);
  
• Предложена реализация сервера LSP (Language Server Protocol) для языка GDScript, позволяющая передавать информацию о семантике GDScript и правилах автодополнения кода во внешние редакторы, такие как VS Code plugin и Atom;
  
• Внесены многочисленные улучшения во встроенный редактор скриптов GDScript: добавлена возможность установки закладок на позиции в коде, реализована панель minimap (для быстрого обзора всего кода), улучшено автодополнение ввода, расширены возможности режима визуального проектирования скриптов;
  
• Добавлен режим создания псевдо-3D игр, позволяющий использовать эффект глубины в двухмерных играх через определение нескольких слоёв, формирующих фиктивную перспективу;
  
• В 2D-редактор возвращена поддержка атласов текстур;
  
• В GUI модернизирован процесс расстановки якорей и границ областей;
  
• Для текстовых данных добавлена возможность наблюдения на лету за изменением параметров эффектов, обеспечена поддержка тегов BBCode и возможность определения собственных эффектов;
  
• Добавлен генератор звуковых потоков, позволяющий создавать звуковые волны на основе отдельных кадров и спектрального анализатора;
  
• При помощи библиотеки V-HACD реализована возможность разложения вогнутых мешей на точные и упрощённые выпуклые части. Данная возможность значительно упрощает генерацию форм столкновений для существующих 3D-мешей;
  
• Реализована возможность разработки игровой логики на языке C# с использованием Mono для платформ Android и WebAssembly (ранее C# поддерживался для Linux, Windows и macOS). На базе Mono 6.6 реализована поддержка C# 8.0. Для C# также реализована начальная поддержка упреждающей компиляции (AOT, ahead-of-time), которая добавлена в кодовую базу, но пока не активирована (для WebAssembly пока применяется интерпретатор). Для редактирования кода C# реализована возможность подключения внешних редакторов, таких как MonoDevelop, Visual Studio for Mac и Jetbrains Rider;
  
• Заметно расширена и улучшена документация. Опубликован частичный перевод документации на русский язык (переведено вводное руководство по началу работы).
  

Новость на сайте Godot

Скачать посделнюю версию

 2d, 3d, game engine, godot, opensource

Ситуация, перестал собираться flutter-проект для андроид. Причём, всякие демки норм, а проект, с которым несколько дней назад всё было хорошо - болт, просто gradle зависает и ошибок нет и никакого движения. Прерываю сборку и остаётся куча процессов dart и java.

Сразу же отметил про себя, что за это время только ядро новое собрал, но настолько бредовой мне причина показалась… Провозился довольно долго, без результата, и всё-таки ребутнулся в 4.19 стабильное, а там всё работает…

В общем, wtf?

 dart, flutter, gradle, java, kernel

Выпущена новая версия приложения RawTherapee, предназначенного для обработки фотографий в «сырых» форматах RAW.

Что нового:

• Инструмент Capture Sharpening для восстановления детализации в размытых оптикой областях. Применяется сразу после дебайеризации, работает в линейном пространстве и потому не дает гало.


• Поддержка формата CR3, пока без чтения метаданных. Если у вас есть ICC- или DCP-профиль для камеры, снимающей в таком формате, его нужно подключить вручную на вкладке «Color» (Color Management > Input Profile > Custom).


• Улучшения в поддержке различных моделей фотокамер: новые DCP-профили для двойных источников освещения, кадрирование RAW, уровни белого и т.д.


• Оптимизация и ускорение работы разных инструментов


• Улучшенное управление памятью


• Исправление ошибок.

 raw, rawtherapee, фотография

Добрый день.

Предыстория

Истекли сроки действия патентов

• Cherry, появилось масса клонов Cherry - Gateron и другие;


• FDM-печати, появилось масса 3д-принтеров;


• MP3 - в дебиане можно включать эти пакеты.

Вот и я задумался - А что если истекли патенты на данную серию компьютеров и можно организовать их промышленное производство без получения геморроя от юридической службы корпорации Apple. Может на ЛОРе есть и другие, которых посетила такая мысль???

Практического смысла нет.

 вопрос, история, патенты

В общем сейчас форсим основы ИБ в массы. Народ сопротивляется и даже на вопросы о планируемых мероприятиях отвечает неохотно.

И это не только в нашей организации, сами вы план выполняем, все что нужно написать написали, но что творится в подконтрольных структурах страшно сказать.

Отношение такое: ну жили мы без этого и дальше бы жили, а теперь что, какие-то Linux заведующему детского сада нужно произносить, какие-то бесконечные бумажки.

А я почему об этом переживаю? Потому что пароль 12345678 как стоял на всех вайфаях страны так и стоит. Компы запароливать в этих тестких садах как не запароливали так и продолжают.

Ну напишут они все эти бумажки: модель угроз, концепция безопасности, формуляры, аттестации, СКЗИ, РЭБ, и еще кучу всего. Вложат в это деньги, а по факту будет как и было «решето».

Каково маше мнение, ведь с одной стороны с чего то надо начинать, с другой, к чему нас вообще готовят?

 linux, жж

TL;DR проблема с GC в Go 3-x летней давности

https://blog.discordapp.com/why-discord-is-switching-from-go-to-rust-a190bbca2b1f

 discord, go, rust

CERN (Европейская организация по ядерным исследованиям) приняла решение прекратить использование Facebook Workspace в пользу открытого проекта Mattermost. Причиной этого стало завершение «триального» периода использования, предоставленного корпорацией-разработчиком, длящегося уже почти 4 года (с 2016). Некоторое время назад Марк Цукерберг поставил ученых перед выбором — платить деньги либо передать администраторские учетные данные и пароли корпорации Facebook, что равносильно прямой передаче доступа к данным CERN третьим лицам. Ученые выбрали третий вариант: снести со своих серверов все, связанное с Facebook, и перейти к использованию OpenSource решения — Mattermost.

 cern, facebook, opensource

https://overclockers.ru/blog/TEXHAPb/show/33556/windows-10-okazalsya-znachitelno-medlennee-ubuntu-linux-v-rabochih-i-graficheskih-programmah

 ubuntu, windows