Wieści ze świata Open Source: 26 lutego – 4 marca 2013

Jak dokuczliwe bad sectory, powraca dyskusja o bezpieczeństwie Linuksa. Kilka tygodni temu pewna firma, mocno związana z Microsoft, wydała „analizę” jasno wskazującą iż Windows jest bezpieczniejszy od Linuksa, bo… właściwie darujmy sobie argumenty. „Get the facts” powinno wystarczyć za całą dyskusję. W tym tygodniu dostaliśmy dwie informacje o błędach pozwalających przejąć kontrolę nad systemem. I chociaż pierwszy z nich, błąd w kernelu, istniał co najmniej pół roku, to od momentu publikacji do pojawienia się aktualizacji na dyskach użytkowników nie minęło nawet 5 dni.

Dwie dziury w Linuksie, czyli niepotrzebna panika

W miarę jak Linux zdobywa popularność, coraz częściej kwestionuje się jego bezpieczeństwo. Większość komentarzy w tym zakresie to czyste trollowanie. Od czasu do czasu rzeczywistość dostarcza pewnych poważnych argumentów, jednakże najczęściej ta sama rzeczywistość równie szybko dostarcza odpowiednich patchy.

W tym tygodniu mieliśmy informacje o dwóch nowych podatnościach. Poważniejsza z nich dotyczy samego kernela, konkretniej wszystkich kerneli od wersji 3.3 do 3.8 włącznie. Odpowiednio spreparowane żądanie pozwalało lokalnemu użytkownikowi na uzyskanie uprawnień roota. Oczywiście odpowiedni patch już został wprowadzony do głównych gałęzi jądra systemu, a załatane kernele są już od paru dni dostępne w repozytoriach większości dystrybucji.

Drugi błąd dotyczy programu sudo (switch user do – umożliwia jednemu użytkownikowi wykonanie polecenia jako inny użytkownik; w systemach domowych najczęściej stosowane do wykonywania poleceń z uprawnieniami roota). Atak polegał na unieważnieniu poprzedniej sesji sudo (sudo -k), zmianie czasu systemowego na początek epoki uniksa a następnie uruchomienie powłoki administratora (sudo su). Odpowiednie łatki zostały już wprowadzone do kodu sudo, zaś zaktualizowane wersje są dostępne w repozytoriach.

Czy te problemy są bardzo poważne? Zależy jak na to patrzeć. Dla systemów serwerowych współdzielonych przez wielu użytkowników na pewno. O ile dałoby się je wykorzystać. Łaty grsecurity skutecznie uniemożliwiały atak z wykorzystaniem znalezionego w kernelu błędu. Ponadto żaden sysadmin wart swojej pensji nie da użytkownikom możliwości zmiany czasu systemowego. Mimo wszystko dane wskazują, że ten 0-day był  wykorzystywany w praktyce i to jest niepokojące.
Na stacjach roboczych, gdzie z jednego komputera korzysta wiele osób, można wykorzystać błąd w kernelu (do pewnego stopnia, bo też można się zabezpieczyć). Ale tak samo jak w przypadku serwerów, użytkownicy stacji roboczych nie powinni móc zmieniać czasu systemowego. Pozostają jedynie użytkownicy domowi. I tu sprawa się komplikuje.

Dystrybucje zazwyczaj nie umożliwiają zmiany czasu użytkownikowi. Jakiś czas temu openSUSE oberwało od Linusa Torvaldsa za wymaganie od użytkownika (jego młodej córki) podawania hasła za każdym razem jak chce zmienić w swoim laptopie datę, podłączyć się do szkolnej sieci Wi-Fi czy wydrukować coś na szkolnej drukarce. Z punktu widzenia bezpieczeństwa jest to uzasadnione (przynajmniej ta część dotycząca zmiany czasu), ale z punktu widzenia wygody? Jak mówi stare przysłowie: Bezpieczeństwo, wygoda, łatwość implementacji – wybierz dwa.

Źródła
niebezpiecznik.pl (1,2)
„just kill yourself now„

Zopfli – nowy algorytm kompresji danych

Wierzcie mi lub nie, ale jeżeli zachodzi potrzeba przerzucenia kilku terabajtów danych na drugi koniec świata, to szybciej będzie wysłać pocztą dysk twardy z tymi danymi niż zrobić to za pomocą sieci. Codziennie setki kurierów na całym świecie przenoszą tysiące dysków twardych z olbrzymimi ilościami danych, gdyż przepustowość infostrady jest niewystarczająca.

Pierwsze co przychodzi na myśl to kompresja danych. Problem w tym, że raz spakowane pliki niekoniecznie dobrze pakują się jeszcze raz. Dane tekstowe można ładnie upchnąć, ale co ze zdjęciami, filmami, binarnymi bazami danych? Tu przychodzi na pomoc poczta. Wysyłka takich danych wewnątrz własnej firmy to świetna sprawa. Może wychodzi drożej, ale jest znacznie szybciej.

Ale co ze zwykłymi użytkownikami? Co jeżeli to samo zdjęcie musimy wysłać dziesięciu tysiącom naszych użytkowników… na minutę? Nie od dziś stosuje się różne metody kompresji tego co wysyła się pomiędzy użytkownikami. Pakuje się np. nagłówki http, aby zaoszczędzić kilka kilobajtów w każdej sesji użytkownika. Można wykorzystać mechanizmy cache’owania danych na dysku użytkownika, ale niestety nie da rady za dużo w ten sposób zapisać. Szczególnie problematyczne są zdjęcia, którymi sieć jest w tym momencie przesycona. I tu przychodzi Google z własnym algorytmem kompresji – Zopfli.

Zasada działania jest prosta. Standardy sieciowe zalecają stosowanie formatu PNG, który to wykorzystuje kompresję algorytmem DEFLATE do zmniejszenia wynikowego rozmiaru pliku. I tu jest haczyk – zamiast domyślnego algorytmu można użyć dowolnie innego, binarnie z nim zgodnego. Rok temu opisywałem jak wykorzystując pakiet AdvanceCOMP zredukować rozmiar plików PNG właśnie poprzez zmianę algorytmu kompresji.

W tym tygodniu Google zaprezentowało nowy algorytm, który powinien dawać pliki o około 5 do 8% mniejsze niż te wykonane z użyciem kompresji zlib. Wydaje się Wam, że to mało? Z punktu widzenia użytkownika to raczej nie ma znaczenia (chyba, że użytkownik jest mobilny). Jednak dla właścicieli popularnych serwisów z dużą ilością grafik są to już realne oszczędności. Mając serwery w chmurze nierzadko płaci się od każdego wykorzystanego gigabajta transferu.

Oczywiście jest coś za coś. Kompresja z użyciem Zopfli jest około 100 razy wolniejsza niż standardowy algorytm DEFLATE. Na szczęście nie odbija się to na dekompresji danych – tutaj nie ma różnicy w czasie potrzebnym na rozpakowanie pliku. Użytkownik nie potrzebuje też aktualizować swojej przeglądarki ani instalować dodatkowego oprogramowania. Każda dobra przeglądarka obsługuje kompresję DEFLATE i poradzi sobie z nowym algorytmem.

Zopfli zostało napisane w czystym C i wydane na licencji Apache 2.0

Źródła:
Zopfil – Google blog
XKCD
Wikipedia (DEFLATE, advancecomp)

W skrócie

Tydzień temu sporo pisałem o nowym systemie plików dla dysków FLASH. Oto kilka benchmarków F2FS przeprowadzonych na kluczu USB.

Pojawiła się aktualizacja popularnego narzędzia do wywoływania plików RAW – UFRaw w wersji 0.19.

Nie będzie już fizycznych Ubuntu Developer Summit. Zamiast robić tradycyjne spotkanie co pół roku, deweloperzy przeniosą się w chmurę i co trzy miesiące będą dyskutować o przyszłości Ubuntu. Jednocześnie powróciła dyskusja na temat przeniesienia Ubuntu na model Rolling Release, szczególnie w kontekście wchodzącego Ubuntu Touch (na smartfony i tablety). Pozostałyby wydania LTS, jednak przez dwa lata pomiędzy nimi nie pojawiałyby się nowe, „duże wydania” a tylko aktualizacje systemu podstawowego (z możliwością pozostania przy wersji stabilnej dla chętnych).

Krzesło z DRM – czyli komicznie o absurdach pewnych modeli biznesowych coraz szerzej stosowanych w elektronicznej dystrybucji mediów.

Ktoś się chyba obudził i zamierza coś zrobić z trollami patentowymi na poziomie legislacyjnym. W USA, ojczyźnie trolli patentowych, powstaje ustawa SHIELD – Saving High-Tech Innovators from Egregious Legal Disputes (Ochrona Zaawansowanych Technologicznie Innowacji Przed Skandalicznymi Sporami Prawnymi).

Trolle patentowe nie stanowią wartości dodanej dla naszego narodu. Przejęli część systemu i wykorzystują ją dla własnych finansowych korzyści. Utrudniają innowację, na którą nasz kraj zasługuje. Dosłownie każdy segment naszej społeczności biznesowej jest atakowany przez te trolle patentowe.
Ustawa tworzy system, w którym „przegrywający płaci” w przypadku niektórych procesów sądowych, gdzie nic nie produkujący właściciele patentów będą zmuszeni zwrócić pozwanemu koszty prawne. Jednocześnie przegrywający pozwani nie będą musieli płacić, tak więc jest to system w którym „płaci przegrywający powód”.

Krótko mówiąc, nie będzie pozywania jak leci bez żadnych konsekwencji w przypadku przegranej.

Obecnie przy udziale Ministerstwa Administracji i Cyfryzacji toczy się dyskusja nad ustawą o otwartych zasobach. Natomiast w Stanach Zjednoczonych prezydent Obama wydaje memorandum na temat konieczności udostępniania wszystkich badań sfinansowanych z publicznych funduszy.

Dziękuję admo za korektę tekstu