Материалы по тегу: ядро

28.11.2024 [23:51], Владимир Мироненко

Обнаружен первый UEFI-буткит, нацеленный исключительно на Linux

Исследователи ESET сообщили о первом UEFI-бутките, нацеленном на Linux-системы. До этого злоумышленники использовали такого рода вредоносное ПО только для атак на компьютеры под управлением Windows, пишет BleepingComputer.

Буткит Bootkitty (IranuKit) был загружен на платформу VirusTotal 5 ноября 2024 года в виде файла bootkit.efi. Как утверждают в ESET, по ряду признаков Bootkitty представляет собой подтверждение осуществимости атаки (proof-of-concept), которое работает только на некоторых версиях и конфигурациях Ubuntu и не является полноценной угрозой, используемой в реальных атаках.

«Независимо от того, является ли это проверкой концепции или нет, Bootkitty знаменует собой интересный шаг вперед в ландшафте угроз UEFI, разрушая убеждение, что современные буткиты UEFI являются угрозами, эксклюзивными для Windows», — заявили исследователи, добавив, что появление буткита «подчеркивает необходимость быть готовым к потенциальным будущим угрозам».

 Источник изображений: ESET

Источник изображений: ESET

Как сообщили в ESET, основная цель буткита — отключить функцию проверки подписи ядра и предварительно загрузить два пока не известных двоичных файла ELF в процессе инициализации ядра. Bootkitty использует самоподписанный сертификат, поэтому он не будет выполняться в системах с включенной функцией Secure Boot, если только контролируемый злоумышленником сертификат уже не был прописан ранее.

Во время загрузки компьютера буткит перехватывает функции в протоколах аутентификации безопасности UEFI, чтобы обойти проверки целостности Secure Boot, гарантируя загрузку буткита независимо от политик безопасности. После этого он подменяет функции проверки целостности и наличия подписи в загрузчике GRUB, в том числе для образа ядра. Затем Bootkitty перехватывает процесс распаковки ядра Linux и подменяет функцию проверки модулей ядра. Наконец, он позволяет прописать в LD_PRELOAD любую библиотеку, которая будет первой загружаться при запуске системы.

Индикаторы компрометации (IoC), связанные с Bootkitty, были опубликованы в репозитории GitHub.

Постоянный URL: http://servernews.ru/1114723
25.10.2024 [19:58], Руслан Авдеев

Бывший топ-менеджер Linux Foundation раскрыл причины изгнания российских программистов из списка разработчиков ядра Linux

История с удалением имён российских разработчиков из файла MAINTAINERS ядра Linux получила продолжение. По информации ресурса Phoronix, ситуацию прокомментировал бывший член совета директоров Linux Foundation Джеймс Боттомли (James Bottomley), активно принимающий участие в разработке и по сей день.

Буквально на днях в Linux-сообществе разразился скандал — из файла MAINTAINERS удалили упоминания об 11 сопровождающих. Сообщалось, что записи могут вернуть, если будут предоставлены некие документы. Событие вызвало резонанс в Linux-сообществе, многие представители которого заявили, что отсутствие чётких критериев подобных репрессивных мер в будущем может грозить злоупотреблениями и ослаблением сообщества.

Позже меры утвердил и создатель ядра Linux Линус Торвальдс (Linus Torvalds), подтвердив слухи о том, что изменения связаны с санкциями США в отношении России и решение не подлежит отмене. Впрочем, от подробных комментариев отказался и он. Зато ситуацию прояснил Боттомли, принеся извинения за саму форму, в которой состоялось негласное «отлучение» от Linux. По его словам, меры были приняты в отношении людей, связанных с российскими компаниями, попавшими в санкционный список OFAC SDN Министерства финансов США — такие люди не могут остаться в файле MAINTAINERS.

 Источник изображения: Bob Brewer / Unsplash

Источник изображения: Bob Brewer / Unsplash

Каким образом можно доказать непричастность к работе в подсанкционных компаниях, не уточняется. В частности, в списке оказался разработчик, который когда-то действительно был трудоустроен в попавшую под санкции компанию «Байкал Электроникс», которой ранее уже было отказано в приёме патчей для ядра. Среди других оказались, в частности, сотрудники SberDevices, NetUP, МГУ, Metrotek, «Открытая мобильная платформа» (ОС «Аврора»).

Боттомли пояснил, что вся инфраструктура разработки Linux и огромное количество сопровождающих расположены в США, поэтому игнорировать законы этой страны не выйдет в любом случае. Разработчик выразил надежду, что из ядра не придётся удалять код уже добавленных патчей, и обещал посодействовать добавлению имён всех внёсших вклад в разработку Linux в файл CREDITS. Скоро юристы Linux Foundation, по его словам, должны опубликовать подробные материалы, посвящённые событиям.

С дополнительными комментариями поспешил выступить известный разработчик Теодор Цо (Theodore Ts'o). Он подчеркнул, что разработчики не устанавливают правила и обязаны соблюдать существующее законодательство. Он также отметил, что между санкциями против Huawei и российских разработчиков есть разница, поскольку в США существуют разные санкционные режимы для отдельных структур и людей. Кроме того, аналогичные правила на самом деле действовали и раньше, например, в отношении авторских прав и копирайта.

Постоянный URL: http://servernews.ru/1113038
24.10.2024 [14:16], Владимир Мироненко

Создатель ядра Linux поддержал изгнание ряда российских разработчиков из списка сопровождающих

Создатель проекта Linux Линус Торвальдс (Linus Torvalds) дал комментарий по поводу новости о том, что из списка сопровождающих ядро Linux было удалено 11 разработчиков, якобы из-за их связи с Россией. Хотя разъяснения от Грега Кроа-Хартмана (Greg Kroah-Hartman), автор патча, удалившего упоминание о российских разработчиках, по поводу требований, которым они не соответствовали, пока не поступило, Торвальдс дал ясно понять, что это действие связано с санкциями США, и отменять его не собираются. Об этом сообщил ресурс Phoronix.

Когда Торвальдса спросили, был ли он связан каким-либо соглашением о неразглашении в связи с этим решением, он ответил, что не является юристом и не собирается вдаваться в подробности, которые ему и другим участникам проекта сообщили юристы. Кроме того, Торвальдс напомнил об историческом контексте и наложенных на Россию санкциях.

 Источник изображения: Jake Walker / Unsplash

Источник изображения: Jake Walker / Unsplash

В связи с этим некоторые зарубежные разработчики напомнили, что Linux является открытым проектом, а подобные нынешнему решения, вызывающие вопросы по поводу обоснованности, могут стать прецедентом для дальнейших злоупотреблений. Также возникают вопросы по поводу того, насколько возможно дальнейшее сотрудничество российских разработчиков с данным проектом.

Постоянный URL: http://servernews.ru/1112951
23.10.2024 [17:17], Руслан Авдеев

От разработки ядра Linux «отлучили» 11 участников из России

Ядро Linux 6.12-rc4 без лишнего шума пополнилось патчем, удаляющим упоминание ряда разработчиков, потенциально связанных с Россией, из официального файла MAINTAINERS. В файле перечислены участники, внёсшие вклад в создание и драйверов и подсистем, передаёт Phoronix. По словам Грега Кроа-Хартмана (Greg Kroah-Hartman), ответственного за поддержку стабильной ветки ядра, причиной стало несоответствие некоторым требованиям (various compliance requirements), а записи могут вернуться, если будет предоставлена некая документация.

Речь идёт об одиннадцати разработчиках, среди которых, согласно почтовым адресам и направлениям разработки, есть представители SberDevices, NetUP, МГУ, Metrotek, «Открытая мобильная платформа» (ОС «Аврора») и «Байкал Электроникс». В ответ на вопрос о том, что за «требования» и какая нужна «необходимая документация», публичных комментариев от Кроа-Хартмана не последовало. При этом, вероятно, впервые изменение в файле MAINTAINERS было отправлено на рецензирование, отмечает OpenNet.

 Источник изображения: Bermix Studio/unsplash.com

Источник изображения: Bermix Studio/unsplash.com

Предположительно, события связаны с санкциями в отношении России. Хотя упоминание разработчиков убрано, их код из ядра никуда не делся. Но будут ли от них приниматься патчи в будущем, пока неизвестно. Это не первый инцидент с дискриминацией разработчиками Linux коллег с учётом их страны происхождения. В марте 2023 года сообщество разработчиков ядра Linux отказалось принимать от российской компании «Байкал Электроникс» патчи для ядра. Некоторые зарубежные разработчики уже выразили озабоченность, заявив, что Linux является открытым проектом, поэтому для всех участников нужны единые и понятные правила, а подобные нынешнему решения открывают дорогу злоупотреблениям в будущем.

Постоянный URL: http://servernews.ru/1112910
16.09.2024 [13:11], Руслан Авдеев

Microsoft готовит новый «слой безопасности» в Windows для предотвращения инцидентов, сопоставимых по масштабу со сбоем CrowdStrike

Не желая повторения инцидента, который вывел из строя миллионы компьютеров на Windows из-за бага в ПО CrowdStrike, Microsoft собрала ключевых разработчиков решений кибербезопасности на закрытой встрече Windows Endpoint Security Ecosystem Summit, где предложила им новый подход к защите Windows-систем. По данным PC Mag, речь идёт о новой платформе, позволяющей отказаться от доступа антивирусных программ к ядру операционной системы.

В блоге компании по итогам мероприятия сообщается, что Microsoft намерена развивать принциы, уже применяемые в Windows 11 и позволяющие во многих случаях обеспечивать защиту системы без непосредственного доступа к ядру. Инцидент с антивирусным ПО CrowdStrike, затронувший миллионы компьютеров по всему миру, во многом произошёл потому, что ПО имело доступ к ядру ОС. С одной стороны, без подобной функциональности со многими угрозами справиться трудно, с другой — именно из-за неё пользователи увидели «синий экран смерти» на миллионах ПК. Microsoft обвинила в случившемся власти Евросоюза, в своё время вынудившие компанию обеспечить подобный доступ разработчикам антивирусов.

 Источник изображения: Jefferson Santos/unsplash.com

Источник изображения: Jefferson Santos/unsplash.com

Впрочем, ни о каком закрытии доступа к ядру Windows речи пока не идёт. Клиенты и партнёры попросили компанию «предоставить дополнительные возможности обеспечения безопасности вне режима ядра», что позволило бы разработчикам создавать антивирусное ПО, не обращающееся к ядру, по крайней мере — на регулярной основе. В ходе встречи Microsoft и партнёры обсудили требования к новой платформе и основные вызовы, с которыми придётся столкнуться при её разработке. Компания сообщила, что речь идёт о долговременном проекте, в рамках которого Microsoft вместе с партнёрами намерена добиться повышенной надёжности защитного ПО без ущерба безопасности.

При этом Microsoft признала, что все участники саммита согласились с тем, что вендорам антивирусного ПО и клиентам выгодно, когда у них есть выбор различных вариантов для Windows в контексте обеспечения безопасности. Например, ESET прямо заявила, что доступ к ядру должен остаться одной из опций для эффективной защиты от киберугроз. Кроме того, стороны намерены делиться практиками безопасных обновлений ПО. Именно сбой на одном из этапов выпуска обновлений ПО CrowdStrike и привёл к эпохальному сбою, обошедшемуся некоторым компаниям в сотни миллионов долларов.

Постоянный URL: http://servernews.ru/1111022
01.09.2024 [20:08], Сергей Карасёв

QR-код для BSOD, но в Linux: ядро 6.12 при сбоях сможет показывать подробное описание проблемы

В ядре Linux Kernel 6.12, по сообщению ресурса Phoronix, появится функция отображения QR-кода во время критических сбоев ядра (kernel panic). Идея заключается в том, чтобы предоставлять пользователям максимально подробную информацию о причинах появления «экрана смерти» и возможных способах устранения проблемы.

Как отмечает Tom's Hardware, попытки интеграции информационных QR-кодов в Linux осуществлялись и раньше. Так, возможность внедрения данного инструмента обсуждалась в 2014 году. А в декабре 2023-го состоялся релиз systemd 255 с модулем systemd-bsod, который в случае сбоя отображает «синий экран смерти» и QR-код с ошибкой.

 Источник изображения: Phoronix

Источник изображения: Phoronix

Аналогичный инструмент интегрируется непосредственно в ядро Linux 6.12, поэтому даже если произойдет полный сбой операционной системы, пользователь всё равно увидит QR-код с описанием проблемы. QR-код — достаточно мощный и важный инструмент для выяснения причины критического сбоя, особенно с учётом того, что обычно вывод о причинах неполадок обрезан. Поддержка новой функции реализована в виде Rust-модуля. Работа инструмента контролируется параметром DRM_PANIC_SCREEN_QR_CODE.

Нужно отметить, что Microsoft добавила QR-код к «синему экрану смерти» Windows в 2016 году. Но при его сканировании пользователь попадает лишь на общую страницу поддержки, не получая никаких дополнительных подробностей. Вместо этого предлагается перезапустить компьютер, открыть приложение Get Help и затем ввести «Troubleshoot BSOD error». Однако такой подход бесполезен, если «экран смерти» возникает при каждом включении ПК.

Постоянный URL: http://servernews.ru/1110294
23.07.2024 [16:32], Руслан Авдеев

Microsoft обвинила регулятора ЕС в глобальном сбое Windows — компанию вынудили открыть ядро ОС 15 лет назад

Пока ИТ-инфраструктура по всему миру восстанавливается после критического сбоя, бизнес, эксперты и политики уже ищут виноватых в произошедшем. По данным The Wall Street Journal, в Microsoft заявили, что инцидент может оказаться результатом вынужденного соглашения 2009 года между IT-гигантом и Евросоюзом.

Эксперты уже задаются вопросом, почему CrowdStrike, занимающейся решениями для обеспечения кибербезопасности, обеспечили доступ к ядру Windows на столь низком уровне, где ошибка может оказаться очень масштабной и дорого обойтись огромному числу пользователей.

Хотя Microsoft нельзя напрямую обвинить в появлении дефекта после обновления ПО компании CrowdStrike, ставшего причиной хаоса во всех сферах жизнедеятельности по всему миру, программная архитектура, позволяющая третьим сторонам глубоко интегрировать своё ПО в операционные системы Microsoft, вызывает немало вопросов и требует более пристального рассмотрения.

Как сообщает WSJ, в Microsoft отметили, что соглашение 2009 года компании с Еврокомиссией и стало причиной того, что ядро Windows не защищено так, как, например, ядро macOS компании Apple, прямой доступ к которому для разработчиков закрыт с 2020 года. Соглашение о совместимости фактически стало результатом повышенного внимания европейских регуляторов к деятельности Microsoft.

 Источник изображения: Sunrise King/unsplash.com

Источник изображения: Sunrise King/unsplash.com

В соответствии с одним из его пунктов, Microsoft обязана своевременно и на постоянной основе обеспечивать информацию об API, используемых её защитным ПО в Windows — пользовательских и серверных версиях. Соответствующая документация должна быть доступна и сторонним разработчикам антивирусного ПО для создания собственных решений, что должно способствовать честной конкуренции. Однако вместо использования API без доступа к ядру CrowdStrike и ей подобные предпочли работать напрямую с ядром ОС для максимизации возможностей своего защитного ПО. Правда, при этом велика вероятность, что в случае сбоя последствия могут быть чрезвычайно серьёзными — что и произошло.

Windows — не единственная операционная система, предлагающая доступ к ядру с возможностью вывести его из строя в случае некорректной работы. Тем не менее, повсеместное присутствие продуктов Microsoft приводит в случае сбоев в сторонних приложениях к массовым проблемам и большой огласке событий, даже если прямой вины компании в произошедшем нет.

Постоянный URL: http://servernews.ru/1108362
04.07.2024 [11:53], Сергей Карасёв

Открыт исходный код компонентов для поддержки процессоров «Эльбрус» в Linux

Компания МЦСТ, занимающаяся разработкой российских процессоров «Эльбрус», объявила об открытии исходного кода компонентов дистрибутива «Эльбрус Линукс». Они обеспечивают поддержку архитектуры «Эльбрус» и могут использоваться сторонними разработчиками при реализации собственных проектов.

В частности, опубликованы исходники ядра Linux версии 5.10.* и библиотеки glibc с поддержкой платформы «Эльбрус». Кроме того, доступен набор патчей для оригинальных исходных текстов прикладных пакетов дистрибутива «Эльбрус Линукс». Программный код и патчи приведены к такому виду, в котором ими можно пользоваться без доступа к внутренним ресурсам и инструментарию МЦСТ.

 Источник изображения: МЦСТ

Источник изображения: МЦСТ

Отмечается, что компоненты публикуются «как есть» — без гарантии пригодности для сборки сторонними сборочными системами и без гарантии совместимости патчей с иными версиями оригинальных исходных текстов, кроме тех, для которых они разработаны. Исходники рассчитаны на целевую аудиторию, обладающую достаточной технической квалификацией для самостоятельной сборки программ.

Одновременно компания МЦСТ сообщила о запуске веб-портала dev.mcst.ru для разработчиков ПО на платформе «Эльбрус». На этой площадке размещены полезные ссылки на тематические ресурсы, руководство по эффективному программированию на платформе «Эльбрус», исходники и пр.

В дальнейшем база исходного кода компонентов для архитектуры «Эльбрус» будет обновляться и пополняться. В частности, будут появляться дополнительные пакеты, портированные на платформу. Плюс к этому готовятся различные средства разработки.

Постоянный URL: http://servernews.ru/1107488
27.06.2024 [09:30], Илья Коваль

Ловкий патч и никакого мошенничества: эмуляция NUMA повышает производительность Raspberry Pi 5 на 18 %

Портал Phoronix обратил внимание на необычный патч, заметно повышающий производительность Raspberry Pi 5. Инженеры Igalia в результате экспериментов с эмуляцией NUMA на UMA-системах с чипами ARM64 (AArch64) добились повышения эффективности использования памяти. Так, простой патч для ядра Linux позволил улучшить результаты в Geekbench на 6 % в однопоточном режиме и на целых 18 % — в многопоточном.

Авторы патча пишут, что разделение RAM на несколько независимых блоков с последующим попеременными доступом (interleaving) позволяет контроллеру в Broadcom BCM2712 более полно использовать параллелизм на уровне физической организации чипов памяти (parallelism in physical memory chip organisation). Почему так происходит, авторы не уточняют, но, вероятно, это связано с особенностями организации кеша в SoC.

 Источник изображения: Raspberry Pi

Источник изображения: Raspberry Pi

16-нм SoC BCM2712 включает четыре ядра Cortex-A76 (2,4 ГГц), каждому из которых полагается по 64 Кбайт кеша для инструкций и данных и 512 Кбайт L2-кеша. Объём общего L3-кеша составляет 2 Мбайт. Встроенный 32-бит контроллер памяти предлагает LPDRR4x-интерфейс, теоретическая пропускная способность которого достигает 17 Гбайт/с. Важно отметить, что этот чип не создавался эксклюзивно для Raspberry Pi — он был выбран среди актуальных массовых решений Broadcom из-за удачного сочетания цены, производительности и доступности.

Патч добавляет в Kconfig новую опцию, а для активации эмуляции NUMA (Non-uniform memory access) нужно передать соответствующий параметр при загрузке ядра. Дальнейшая работы осуществляется с помощью стандартной утилиты numactl.

Постоянный URL: http://servernews.ru/1107118
29.12.2023 [16:04], Сергей Карасёв

Из ядра Linux удалена поддержка так и не вышедших решений Intel Carillo Ranch, а заодно и устаревших SPARC-процессоров

Из ядра Linux, по сообщению ресурса Phoronix, исключена поддержка продуктов Intel семейства Carillo Ranch, добавленная более 15 лет назад. Любопытно, что эти изделия никогда не были доступны на коммерческом рынке, а информацию о них практически невозможно найти в интернете.

Судя по имеющимся данным, серия Carillo Ranch задумывалась как платформа для встраиваемых процессоров EP80579 на ядре Pentium M с кодовым именем Tolapai. Кроме того, упоминаются набор логики Vermillion Range и сопутствующий контроллер памяти. Внедрение поддержки Carillo Ranch в Linux уходит корнями в 2006 год.

 Источник изображения: Intel

Источник изображения: Intel

На сайте Intel присутствует информация об изделии EP80579 с частотой 1,2 ГГц. Однако в драйверах Linux платформа Carillo Ranch фигурирует как LE80578, а поиск по запросу «LE80578» в Google выдаёт информацию о принтерах HP Laserjet с процессором, работающим на частоте 800 МГц. Если же попытаться найти в Google собственно решения «Intel Carillo Ranch», то поисковик предложит исправить запрос на «Carrillo Ranch», добавив дополнительную букву «r». В этом случае выдаётся информация об одноимённом ранчо в Калифорнии.

Так или иначе, для Linux выпущены два патча, которые очищают немногим более 2 тыс. строк кода, связанных с поддержкой Carillo Ranch. Удаление соответствующих драйверов, скорее всего, останется незамеченным для сообщества.

Кроме того, как стало известно, из ядра Linux может быть убрана основная часть кода, связанного с поддержкой 32-битных процессоров SPARC для старых рабочих станций Sun. В процессорах Frontgrade Gaisler LEON3 по-прежнему используется 32-битная архитектура SPARC, поэтому основное ядро Linux не может полностью исключить соответствующую поддержку. Тем не менее, будут удалены примерно 10,5 тыс. строк старого кода SPARC32. В корпоративных же решениях данная архитектура фактическа мертва.

Постоянный URL: http://servernews.ru/1098154
Система Orphus