Записки не очём

Стало известно о публикации под свободной лицензией операционной системы 30-летней давности PC-MOS/386, совместимой с MS-DOS.
PC-MOS/386 — многопользовательская операционная система, разработанная The Software Link (TSL) и выпущенная в феврале 1987 года. Она стала преемником PC-MOS и позволяла запускать многочисленные приложения, созданные для MS-DOS. В отличие от MS-DOS, она была оптимизирована для процессора Intel 80386 (более ранние версии запускались на любых компьютерах x86).…

Выпуск платформы обмена сообщениями Zulip 1.7.

Доступен выпуск серверной платформы Zulip 1.7, предназначенной для развёртывания корпоративных мессенджеров для организации общения сотрудников и групп разработчиков. Проект изначально был разработан компанией Zulip и открыт после её поглощения компанией Dropbox под лицензией Apache 2.0. Код сервероной части написан на языке Python с использованием фреймворка Django. Клиентское ПО доступно для Linux, Windows, macOS, Android и iOS, также предоставляется встроенный web-интерфейс.

Система поддерживает как прямой обмен сообщениями между двумя людьми, так и проведение групповых обсуждений. Zulip можно сравнить с сервисом Slack и рассматривать как внутрикорпоративный аналог Twitter, применяемый для общения и обсуждений рабочих вопросов в больших группах сотрудников. Предоставляются средства для отслеживания состояния и участия одновременно в нескольких обсуждениях с использованием нитевидной модели отображения сообщений, которая является оптимальным компромиссом между привязкой к комнатам в Slack и единым публичным пространством Twitter. Одновременное нитевидное отображение всех обсуждений позволяет в одном месте охватить все группы, при этом сохранив логическое разделение между ними.

Из возможностей Zulip также можно отметить поддержку отправки сообщений пользователю в offline-режиме (сообщения будут доставлены после появления в online), сохранение полной истории обсуждений на сервере и средства для поиска в архиве, возможность отправки файлов в режиме Drag-and-drop, aвтоматическую подсветку синтаксиса для передаваемых в сообщениях блоков кода, встроенный язык разметки для быстрого оформления списков и форматирования текста, средства для групповой отправки уведомлений, возможность создания закрытых групп, интеграция с Trac, Nagios, Github, Jenkins, Git, Subversion, JIRA, Puppet, RSS, Twitter и другими сервисами, средства для привязки к сообщениям наглядных меток.

Основные новшества:
Выпуск платформы обмена сообщениями Zulip 1.7

Релиз CAINE 9.0, дистрибутива для выявления скрытых данных.

Увидел свет релиз CAINE 9.0 (Computer Aided INvestigative Environment), специализированного Live-дистрибутива, предназначенного для проведения криминалистического анализа, поиска скрытых и удалённых данных на дисках и выявления остаточной информации для восстановления картины взлома системы. Дистрибутив основан на Ubuntu и оснащён единым графическим интерфейсом на базе оболочки MATE для управления набором разноплановых утилит по исследованию Unix и Windows систем. Размер загрузочного iso-образа 2.7 Гб (x86_64).

В состав входят такие средства, как GtkHash, Air (Automated Image & Restore), SSdeep, HDSentinel (Hard Disk Sentinel), Bulk Extractor, Fiwalk, ByteInvestigator, Autopsy, Foremost, Scalpel, Sleuthkit, Guymager, DC3DD. Также стоит отметить специально разработанную в рамках проекта систему WinTaylor для досконального анализа Windows-систем и генерации подробных отчётов о всех зафиксированных аномалиях. В состав также входит подборка вспомогательных скриптов для файлового менеджера Caja (форк Nautilus), которые позволяют выполнить широкий спектр проверок дискового раздела или директории, а также посмотреть список удалённых файлов и разобрать структурированный контент, такой как история посещений браузера, реестр Windows, изображения с метаданными EXIF.

В сводке новостей проекта Linux Mint за октябрь сообщается, что ближайший релиз дистрибутива — 18.3 — станет последним с редакцией KDE.
Как отмечается в блоге Linux Mint, «KDE — фантастическое окружение, однако это ещё и другой мир, который развивается в направлении, отличном от нас и всего, на чём мы сосредоточены»; «их приложения, их экосистема и центральный тулкит Qt имеет очень мало общего с тем,…

Все забыли о eBay. Как главный интернет-аукцион пытается открыть второе дыхание.

eBay – огромен. У него 170 млн пользователей, которые могут выбирать из 1,1 млрд товаров. По числу предложений это самый большой продавец в интернете. Но на днях, после публикации квартального отчета, инвесторы, кажется, окончательно разуверились в компании. Продажи у нее из года в год растут все меньше, а задолженность, наоборот, увеличивается, в октябре достигнув $10 млрд. Дело в том, что модель интернет-аукциона дала сбой и оказалась никому не нужной. Половину товаров, выставленных на аукционах, никто никогда не купит, и сайт попусту зря тратит деньги на содержание сотен миллионов страниц. По секрету руководители фирмы признались, что eBay уже давно не зарабатывает деньги со своих аукционов. Сегодня 88% товаров на сайте продаются с тегом «Buy It Now», то есть по схеме любого обычного магазина. Из этих товаров 81% – новые, ни разу не использованные.

И все же сайт уже несколько лет не может избавиться от имиджа продавца подержанных товаров, и постепенно уступает позиции конкурентам. eBay решительно настроен на борьбу, вкладывая любые деньги в развитие и кардинальные изменения. Противостояние с основным врагом, Amazon, может дойти до того, что главный интернет-аукцион сам уйдет с молотка.
Читать дальше

Ключ без права передачи: о чем говорит спор государства и Павла Дурова?

Государство предлагает поверить на слово, что доступ к переписке пользователей получат исключительно честные чиновники и только в благих целях, но оснований для такого доверия нет
Дамир Гайнутдинов — юрист международной правозащитной группы «Агора», которая защищает интересы Telegram в суде с Федеральной службой безопасности. РБК готов опубликовать мнения и других заинтересованных сторон по данному вопросу.

Противостояние российских спецслужб и Telegram уже в ближайшем будущем может завершиться блокировкой мессенджера. Сейчас готовится жалоба на постановление мирового судьи от 16 октября, по которому компания была оштрафована на 800 тыс. руб. за отказ предоставить ФСБ ключи для декодирования сообщений пользователей. Жалобу рассмотрит Мещанский районный суд Москвы. Если постановление об административном правонарушении вступит в силу, то спустя 15 дней плюс время, необходимое на переписку ведомств и внесение в очередь на блокировку, операторы связи начнут блокировать доступ к сервису. На наш взгляд, это будет неправильно.

Формальный предлог

Напомним, как развивались события. В июле этого года ФСБ впервые потребовала от Павла Дурова предоставить доступ к переписке пользователей Telegram. Произошло это спустя всего две недели после включения мессенджера в реестр организаторов распространения информации, за который отвечает Роскомнадзор. Не получив ответа, ФСБ добилась составления протокола об административном правонарушении по ст. 13.31 (2.1) КоАП, результатом чего и стал штраф. Рассмотрению дела не помешал тот факт, что по алгоритму end-to-end-шифрования, используемому в секретных чатах Telegram, ключи генерируются и хранятся на пользовательских устройствах, а администрация сервиса не имеет к ним доступа, то есть выдавать Дурову попросту нечего.

Понятно, что формальное исполнение или неисполнение требований Роскомнадзора и госбезопасности — это лишь предлог. По-видимому, цель в том, чтобы добиться от Дурова публичного согласия сотрудничать, и это будет выглядеть как победа государства в споре. Не исключено, что в ФСБ надеются в итоге заставить компанию изменить ПО и разработать бэкдор — лазейку, открывающую доступ к чатам.

История Telegram не первая даже в России. В мае Роскомнадзор блокировал сайты мессенджеров Imo.im, Line и BlackBerry Messenger, а еще раньше за отказ локализовать персональные данные пользователей была заблокирована профессиональная соцсеть LinkedIn. Однако именно требование «сдать ключи», обращенное к Telegram, заставляет российскую публику всерьез включиться в глобальный разговор о правах человека в цифровом мире.

Вопрос безопасности

На наш взгляд, блокировка популярного сервиса, являющегося площадкой для обсуждения важных для общества вопросов, не может производиться по формальным причинам. Кстати, российские власти сами признают значение Telegram, мониторя популярные каналы и разрабатывая планы продвижения региональной сети на предвыборный период.

Однако если деятельность Telegram угрожает национальной безопасности, то об этом должно быть официально объявлено, а общественности должны быть представлены конкретные доказательства. До тех пор пока этого не сделано, блокировка Telegram будет нарушать как Конституцию России, так и целый ряд международных принципов, касающихся свободы интернета как в сфере права на неприкосновенность частной жизни, так и в сфере свободы слова.

В 2015 году Европейский суд по правам человека вынес постановление по делу «Дженгиз и другие против Турции», в котором счел полную блокировку популярного сервиса с уникальным контентом (речь шла о YouTube) нарушением свободы выражения.

Примерно в то же время ООН признала анонимность неотъемлемым правом человека, отметив, что неприкосновенность частной жизни, которая обеспечивается в том числе шифрованием коммуникаций, является залогом свободы мнений, а для ее ограничения нужны очень веские основания.

Опыт ФБР

В таком контексте дело «Telegram против ФСБ» уже стало российским аналогом дела «Apple против ФБР». В декабре 2015 года в городке Сан-Бернардино в Калифорнии произошел теракт, в результате которого погибли 14 и был ранен 21 человек. В руки полиции и ФБР попал принадлежавший нападавшему iPhone 5c с активированной системой автоматического сброса контента после десяти неудачных попыток ввода пароля. Это исключало возможность разблокировать телефон посредством простого перебора, и ФБР пришлось обратиться в Apple с требованием разработать специальную версию iOS, позволяющую обходить ограничение. Apple отказалась, заявив, что создание подобного бэкдора для спецслужб поставило бы под угрозу безопасность всех пользователей.

Эта долгая и, на мой взгляд, красивая история вряд ли может считаться завершенной: компания отказалась исполнить решение суда об оказании помощи ФБР, спецслужба обратилась к хакерам, в свою очередь впоследствии отказавшись раскрыть информацию об уязвимости и сумму сделки. Однако споры относительно взаимоотношений сервисов и спецслужб это только подстегнуло. На стороне Apple выступили Facebook, Twitter, Google, LinkedIn, Ebay, McAfee, Dell и еще около десятка крупнейших ИT-компаний. Билл Гейтс и глава BlackBerry заступились за ФБР, однако Гейтс потом долго оправдывался, заявляя, что его неправильно поняли и он против бэкдоров.

Осмелится ли российская ИT-отрасль выступить в поддержку коллег? Удивительно, однако до сих пор о бессмысленности требования отдать ключи шифрования из известных ИT-предпринимателей заявил только Игорь Ашманов.

Поверить на слово

Вопросы хай-тек все чаще становятся предметом судебных разбирательств в мире. Государство хочет, чтобы перехват интернет-переписки осуществлялся по аналогии с прослушиванием телефонных переговоров, требуя предоставить ему выделенный канал доступа ко всем нашим коммуникациям. При этом нам предлагается поверить на слово в то, что такой доступ будет осуществляться исключительно честными сотрудниками и только в интересах борьбы с терроризмом и расследования преступлений, да еще только на основании судебного разрешения.

Сегодня российские суды удовлетворяют более 98% ходатайств о прослушивании телефонов и контроле корреспонденции, не имея при этом никакой возможности проконтролировать добросовестность действий оперативников. Роль судов в этой системе настолько мала, что ею, как говорят математики, можно смело пренебречь.

В постановлении по делу «Роман Захаров против Российской Федерации», вынесенном в 2015 году, ЕСПЧ указал, что в нашей стране не существует «надлежащих и достаточных правовых гарантий от произвола и риска злоупотребления, который присущ системе негласного наблюдения и который особенно высок в системе, где службы безопасности и полиция имеют прямой доступ за счет технических средств ко всем разговорам по мобильным телефонам».

При таких обстоятельствах единственной защитой от произвольного вмешательства властей в частную жизнь граждан является криптография. Оконечное (end-to-end) шифрование фактически стало «золотым стандартом». Предоставление ключа кому бы то ни было — администратору сервиса, оператору связи, разработчику операционной системы или спецслужбе — разрушит всю систему безопасности и будет означать, что кроме вашего собеседника вам придется полагаться еще и на третье лицо, которому, по правде говоря, у вас нет оснований доверять.

Практически все государственные базы персональных данных граждан рано или поздно оказываются в свободной продаже, при этом правоохранительные органы отказываются расследовать такие случаи. Как могут они в таком случае гарантировать безопасность переписки, особенно когда речь идет о защите журналистских источников, об адвокатской, врачебной или коммерческой тайне?

«Черный ход» для всех

«Скомпрометированные алгоритмы шифрования вполне под силу раскрыть тем, кто овладел искусством находить и использовать слабые места независимо от того, действуют ли они в государственных или негосударственных, законных или преступных целях», — утверждает специальный докладчик ООН по вопросам права на свободу слова Дэвид Кайе. «Любой «черный ход» — черный ход для всех. Все хотят победить терроризм. Все хотят оставаться защищенными. Весь вопрос в том, как этого достичь. Открытие «черного хода» может иметь ужасные последствия», — заявляет Тим Кук. Никто из представителей государства пока не смог опровергнуть эти тезисы.

Более того, нет никаких гарантий, что, получив доступ к переписке, спецслужбы смогут справиться с реальными угрозами. Комиссия, проверявшая деятельность АНБ после разоблачений Эдварда Сноудена о массовом прослушивании и записи телефонных переговоров, не смогла обнаружить ни одного примера, что эти программы помогли предотвратить хотя бы один теракт.

Эксперты отмечают, что полная блокировка Telegram невозможна, да и сама компания разрабатывает инструменты, позволяющие минимизировать ущерб. По закону разрешено будет блокировать только адреса Telegram.org, Web.telegram.org и T.me, указанные в реестре, однако не факт, что чиновники Роскомнадзора ограничатся легальными формулировками.

В конце концов дело не только и не столько в конкретном сервисе. С точно такими же претензиями вскоре придется столкнуться и WhatsApp, и Viber, и всем остальным. На это уже намекал министр связи Николай Никифоров. Однако безопасность коммуникаций, включающая в себя защиту от государства, сейчас одно из ключевых конкурентных преимуществ, важнее понятного интерфейса и богатого набора стикеров. Скоро это осознают не только гражданские активисты и бизнесмены, но и обыватели.
Ключ без права передачи: о чем говорит спор государства и Павла Дурова

Purism’s Librem Laptops, использующие coreboot, стали продаваться с полностью заблокированным Intel Management Engine.

«Отключение Intel ME многими экспертами по безопасности считалось невозможным, однако мы решили этот вопрос и все ноутбуки Librem продаются с отключенным ME, более того доступно программное обеспечение для отключения ME на более ранних проданных моделях Librem», заявил основатель и CEO компании Purism Todd Weaver.

 intel, laptop, безопасность

Увидел свет релиз CAINE 9.0 (Computer Aided INvestigative Environment), специализированного Live-дистрибутива, предназначенного для проведения криминалистического анализа, поиска скрытых и удалённых данных на дисках и выявления остаточной информации для восстановления картины взлома системы. Дистрибутив основан на Ubuntu и оснащён единым графическим интерфейсом на базе оболочки MATE для управления набором разноплановых утилит по исследованию Unix и Windows систем. Размер загрузочного iso-образа 2.7 Гб (x86_64).

В состав входят такие средства, как GtkHash, Air, SSdeep, HDSentinel (Hard Disk Sentinel), Bulk Extractor, Fiwalk, ByteInvestigator, Automated Image & Restore (AIR), Autopsy, Foremost, Scalpel, Sleuthkit, Guymager, DC3DD. Также стоит отметить специально разработанную в рамках проекта систему WinTaylor для досконального анализа Windows-систем и генерации подробных отчётов о всех зафиксированных аномалиях. В состав также входит подборка вспомогательных скриптов для файлового менеджера Caja (форк Nautilus), которые позволяют выполнить широкий спектр проверок дискового раздела или директории, а также посмотреть список удалённых файлов и разобрать структурированный контент, такой как история посещений браузера, реестр Windows, изображения с метаданными EXIF.

Выпуск построен на пакетной базе Ubuntu 16.04, поставляется с ядром Linux 4.4 и поддерживает возможность загрузки Live-образа в оперативную память. По сравнению с прошлым выпуском в состав включены пакеты RegRipper, VolDiff, SafeCopy, PFF tools, pslistutil, mouseemu, NBTempoX,Osint: Infoga, The Harvester, Tinfoleak regfmount и libregf-utils. По умолчанию отключен сервер SSH.

Источник:
www.opennet.ru/opennews/art.shtml?num=47450
Релиз CAINE 9.0, дистрибутива для выявления скрытых данных

Описывает уязвимость в некоторых наборах микросхем доверенного платформенного модуля (TPM).

Описывает уязвимость в некоторых наборах микросхем доверенного платформенного модуля (TPM).