LINUX.ORG.RU

Избранные сообщения NextGenenration

Получен полный доступ к Intel ME

Новости — Безопасность
Группа Безопасность

Хакеры Максим Горячий и Марк Ермолов сообщили о получении полного доступа к сервисному процессору Intel CSME через USB DCI. Ранее они уже демонстрировали возможность запуска неподписаного кода на сервисном процессоре.

В августе Максим Горячий публиковал код, который по всей видимости служит для перманентного отключения процессора (защита от воровства).

>>> Подробности

 , , ,

alt-x ()

Начались продажи ноутбуков с отключенным Intel ME

Новости — Hardware and Drivers
Группа Hardware and Drivers

Purism’s Librem Laptops, использующие coreboot, стали продаваться с полностью заблокированным Intel Management Engine.

«Отключение Intel ME многими экспертами по безопасности считалось невозможным, однако, теперь этот вопрос решен, и все ноутбуки Librem продаются с отключенным ME, более того, доступно программное обеспечение для отключения ME на более ранних проданных моделях Librem», — заявил основатель и CEO компании Purism Todd Weaver.

>>> Подробности

 , ,

Eva ()

Intel ME отключение.

Форум — General

https://wiki.gentoo.org/wiki/Sakaki's_EFI_Install_Guide/Disabling_the_Intel_M...

Тут инструкцию выкатили.
Кто-нибудь уже пробовал? Главное каковы критерии успешности?

 ,

Deleted ()

В подсистеме Intel ME обнаружена возможность выполнения произвольного кода

Новости — Безопасность
Группа Безопасность

Intel ME — проприетарная технология, опирающаяся на встроенный в чипсет микроконтроллер, который уже более 10 лет присутствует во всех чипсетах Intel (десктопы, ноутбуки, серверы, планшетные ПК).

Для работы Intel Management Engine достаточно лишь дежурного напряжения (когда система выключена, но подаётся электропитание), а сам он имеет доступ к содержимому оперативной памяти ПК, внеполосный доступ к сетевому интерфейсу (предположительно, это касается лишь интегрированных в мат. плату сетевых чипов от самой Intel), а также может незаметно для пользователя исполнять код, подписанный корпорацией Intel.

Начиная с чипсетов 100-й серии, ME аппаратно представляет из себя 3-ядерный процессор с архитектурой x86, работающий под управлением ОС MINIX. До этого использовались микропроцессоры ARCtangent-A4 и ARCtangent-A5 c ОС ThreadX.

Исследователи из компании Positive Technologies обнаружили уязвимость в ME 11.x (Skylake и более новые поколения), позволяющую обойти требование наличия цифровой подписи у выполняемого кода. Ранее эти же исследователи обнаружили недокументированный бит, позволяющий отключить работу Management Engine.

Подробности будут раскрыты в декабре этого года на конференции Black Hat Europe.

>>> Подробности

 ,

MozillaFirefox ()

Nautilus проблемы со стандартными папками

Форум — Desktop

Поставил Debian 9 и не обнаружил стандартных каталогов в каталоге Home, таких как Шаблоны, Загрузки, Изображения. Как их включить? Хочу чтобы скриншоты сохранялись в папку с изображениями, загрузки загружались в загрузки и т.д. http://i6.pixs.ru/storage/9/7/4/Snimokekra_9685474_26942974.png

 

zompa ()

Рекомендации по сборке бинарников под Linux

Форум — Talks

Немаловажно при сборке бинарников - приготовить правильное сборочное окружение. Не настолько важно, как написание портабельного кода, но тем не менее. Вот несколько моих советов.

1). Не компилируйте в последней на данной момент убунте (арче, федоре). Конечный пользователь обязательно словит «GLIBC_2.23 not found». Причём по нажатию по значку программы ничего не произойдёт - ошибку напишут в консоли

2). Какие библиотеки положить с прогой, а какие - нет, вам подскажет стандарт LSB. В разделах Core, Desktop и так далее есть подраздел «3.1. Relevant Libraries», перечисляющий те файлы системных библиотек, которые обязаны быть в каждом дистрибутиве Linux (хотя бы в репозиториях).

Я иногда сталкиваюсь с незнанием о существовании LSB. Например, некоторые игрушки в Стиме «тащат с собой» libm и libXfixes, непонятно зачем. Также одно время его тащил бинарник 2GIS, но потом это исправили (разработка 2GIS приостановлена).

Libjpeg62, libpng12, библиотеки иксов, GTK, cups, libGLU можно прописать как зависимость RPM или DEB пакета. А всякие там wxWidgets, OpenCV, ffmpeg можно положить в архив с программой, и «подцеплять» при запуске. Отдельно можно сказать про Qt: в LSB - устаревшая версия, поэтому новую версию можно также положить в архив с программой.

3). Компилятор GCC можно приготовить особенным образом, чтобы скомпилированная прога не требовала новый C++ Runtime. Например, в стиме, запущенном в Ubuntu 12.04, перестал работать веб-браузер, потому что Webkit стал требовать GCC 4.9 минимум, а в системе - 4.6. Valve просто не знали как компильнуть правильно.

А вот Canonical знают: гляньте в свойства Firefox 52 из состава этой версии убунты. about:buildconfig говорит, что собрано в GCC 4.8. При этом никакого C++ Runtime не требует!

Достигается это следующим образом. Компилировать с новым GCC, линковать со старыми либами. В дистрибутиве Linux «CentOS 6» существует замечательный репозиторий devtoolset, позволяющий установить в систему GCC 6. Готовые бинарники зависят от C++ Runtime от GCC 4.4, а также от Glibc 2.12. Красота!

Если прямоты рук не хватило, чтобы избавиться от зависимости от нового C++ Runtime - можно по-старинке положить libgcc_s и libstdc++ в архив с прогой - как это делает Icculus в DRM-free портах игр.

4). CentOS 6 вообще замечательная база для билд-фермы! X-Server 1.7 имеет поддержку Xinput 2.0, тогда как SLES 11 имеет X-Server 1.6 без такой поддержки. Xrandr в CentOS 6 уже используется для мульти-мониторых конфигураций, тогда как в CentOS 5 ещё использовался Xinerama, а Xrandr - только для смены разрешения экрана. В общем, дистр - довольно современный, и всё, что нужно, там есть.

А ещё там куча репозиториев: EPEL, Rpmfusion, Repoforge, Qt. Из них можно установить GTK3, wxWidgets последней версии, последний BOOST, последний GCC, и так далее.

5). В случае, если вы собираете игру, хедеры OpenGL лучше использовать от Khronos Group. Умолчальные Месовские, в теории, те же самые, но в случае CentOS 6 - старые. Сам файл библиотек, с которым будете линковать, обязательно должен быть месовским, а не NVIDIA или AMDGPU-PRO. И желательно чтобы файл библиотеки был старым. А header-ы - новые.

6). В DRM-free копиях игр есть замечательные скрипты запуска игр, которые подцепляют lib32 или lib64.

7). Меня бест ошибка «libpulse.so.0 не найден». Линкуйте её через dlopen(), блин! То же самое можно сказать про libcurl.so.4, libcurl.so.5 и libudev.so.0 и libudev.so.1. Такие проги, как Google Chrome, слинковались с этими библиотеками с помощью dlopen() (можно проверить командой strings chrome | grep lib), причём с несколькими версиями сразу. Я не знаю как.

 , ,

ZenitharChampion ()

Вернулся на awesome

Галерея — Скриншоты

Попытался я пожить под вяленым гномом, но не выдержал и захотел вернуться на нормальную среду.

Sway не попер, потому что оставляет два курсора на экране с GDM.

Возвращение на awesome — просто праздник. Терминалы — urxvt.

И да, имакс не люблю, хоть и люблю лисп.

И да, я так не юзаю — обычно чисто тайлингом, окна в притык.

>>> Просмотр (1366x768, 135 Kb)

 ,

nihirash ()

Windows следит. [Пруфы?]

Форум — Talks

Вот все тут говорят, что винда следит за пользователями, а в 10ке вообще встроенный кейлоггер. Ну ок, допустим. Но где же пруфы? Кто-то реально сниффил весь трафик? Высматривал что там в метаданных идет по скрытым сетевым протоколам? Ибо слухам я перестал верить. Я за объективную оченку, а не за байки и легенды. Киньте ссылок.


И да, я пока что не на чьей стороне.

 ,

w1nner ()