Найважливіші події 2019 року

Підсумкова добірка найважливіших та помітних подій 2019 року:

• Річард Столлман покинув пост президента Фонду СПО.
• Компанія IBM поглинула Червоний капелюх.
• стандартизація WebAsemble. Просування WebAssembly як платформи для універсального застосування. ВАСИ для використання WebAssembly поза браузером. Двійковий AST для прискорення завантаження JavaScript.
• IBM, Google, Microsoft та Intel утворили альянс у розвиток відкритих технологій захисту даних.
• Організації W3C та WHATWG домовилися розвивати загальні специфікації HTML та DOM.
• Повернення до питання підтримки кількох систем ініціалізації в Debian та проведення голосування про системи ініціалізації в Debian.
• компанія Microsoft опублікувала загальнодоступні специфікації та надала можливість безоплатного використання патентів на exFAT у Linux. Компанія Paragon Software відкрила код драйвера exFAT.
• Python и Firefox перейшли нові цикли формування випусків.
• Впровадження підтримки DNS-over-HTTPS в Firefox и Chrome (Асоціація провайдерів виступила проти DoH).
• Підтримка HTTP/3 в Chrome и Firefox, підготовка модуля із підтримкою HTTP/3 для nginx.
• Перехід Chrome та Firefox до позначок сторінок, відкритих по HTTP, індикатором небезпечного з'єднання.
• Firefox: інцидент з відключенням усіх додатків Firefox через закінчення терміну сертифіката Mozilla. Увімкнення за промовчанням блокування трекерів у Firefox. Розробка нового мобільного браузера Попередній перегляд Firefox.
  Відновлення роботи з інтеграції підтримки Tor у Firefox. Завершено робота з видалення з Firefox компонентів мовою XBL (XML Binding Language), перероблено багато вбудованих інтерфейсів (перегляд сертифікатів, адресний рядок, about:config тощо). Запущено сервіс Firefox Send. Згортання програми Test Pilot та сервісу Firefox Screenshots.
  Відмова Mozilla від деяких обмежень з нового маніфесту Chrome.

• Chrome: Просування третьої редакції маніфесту, несумісної із uBlock Origin. включення блокувальника неприйнятної реклами. відключення Flash. Припинення відображення «https://» та «www.» у адресному рядку. Просування SXG та AMP для віддачі верифікованих копій web-сторінок з інших сайтів. посилення ізоляції між сайтами. Жорсткість правил розміщення додатків у Chrome Web Store.
• TLS: Mozilla, Cloudflare та Facebook запропонували TLS-розширення для делегування короткоживучих сертифікатів. Розроблений проектом Let's Encrypt протокол ACME затверджений як інтернет-стандарт.
• KDE и Mozilla перейшли на Matrix спілкування розробників. GTK замість поштових розсилок переходить на платформу Discourse
• Апаратне забезпечення: Відкриття Мікроархітектури MIPS R6 (MIPS Open). Компанія IBM відкрила архітектуру процесорів Power. Компанія Western Digital відкрила RISC-V процесор WD SweRV. Intel розвиває відкриту прошивку ModernFW. Google розвиває OpenTitan, платформу для створення чіпів, що заслуговують на довіру. Google, SiFive та WD заснували альянс для просування відкритих чіпів та SoC.
• Патенти: Патентний позов проти GNOME Foundation. ініціатива із захисту відкритого ПЗ від патентних тролів. Спроба формування патентного пулу для збору відрахувань за використання кодеків AV1 та VP9.
• Судові розгляди: Відновлення Розгляд між Google і Oracle, пов'язаний з Java і Android. позов проти Adblock Plus. Перемога VMware у справі про порушення GPL. Rambler заявив свої права на Nginx.
• Конфлікти: Systemd у Debian залишився без мейнтейнера. припинення Розробка dstat. Видалення Gem пакет на знак протесту. Закриття доступу до PPA-репозиторій Jonathon F. Заклик не змінювати теми оформлення GTK у дистрибутивах. Мейнтейнери проектів GNU виступили проти одноосібного лідерства Столлмана.
• Ліцензії: СУБД CockroachDB переходить на невільну ліцензію. Oracle змінює ліцензію на складання Java SE. Компанія Redis Labs переклала модулі з Commons Clause на власну невільну ліцензію. Ліцензія SSPL, що використовується проектом MongoDB визнана неприпустимою у Fedora Linux. Ліцензія на CUPS змінена з GPLv2 та LGPLv2 на Apache 2.0. Chef став повністю відкритим проектом.
• Нові форки: Проблиск - Форк GIMP, Глабер - Форк Zabbix, notqmail - Форк qmail.
• Мережева інфраструктура: RIPE виділив останній вільний блок IPv4. Ініціативи DNS flag day 2019 по припинення підтримки проблемних реалізацій DNS та DNS flag day 2020 для вирішення проблем з IP-фрагментацією під час обробки DNS-повідомлень великого розміру.
  Facebook відкрив платформу для швидкого розгортання LTE-мереж. Витік BGP-маршрутів привела до масового порушення зв'язності в Інтернеті

• Відкриті ініціативи Microsoft: Система розподілу пам'яті mimalloc, підсистема WSL2 с модифікованим ядром Linux, уніфікація платформи .NET 5 з підтримкою Linux та Android, Набір для квантової розробки для розробки квантових алгоритмів, стандартна бібліотека С++, платформа .NET Core 3.0 з WinUI та Windows Forms. Microsoft приєднався для розробки OpenJDK. Браузер Microsoft Edge буде підтримувати Linux.
• Машинне навчання: Пишніше для розділення музики та голосу.
  Mozilla розвиває систему машинного переказу. Microsoft відкрив бібліотеку машинного навчання SPTAG синтез анімації за допомогою нейромереж. Випуск TensorFlow 2.0. CodeSearchNet для пошуку та аналізу коду. NVIDIA SPADE (GauGAN) для синтезу пейзажів за начерками. СтильГАН для створення осіб.

• Відкрито код проектів: Google відкрив Пісочниця для формування sandbox-оточень, ClusterFuzz для виявлення помилок та Adiantum для швидкого шифрування накопичувачів Cloudflare опублікував розподілений генератор випадкових чисел. Netflix відкрив код інтерактивного середовища обчислень Polynote. Intel опублікував бібліотеку для шумоподавлення та фільтрації зображень.
  Facebook відкрив код JavaScript-движка Hermes. BMW відкрив систему розподіленого відтворення RAMSES. Amazon підготував відкриту редакцію Elasticsearch. OpenDrop - Відкрита реалізація Apple AirDrop. відкрито код промислової системи CRM/BPM/ERP BGERP. АНБ опублікувало інструментарій для зворотного інжинірингу Ghidra. Криптографічна бібліотека EverCrypt.

• Мови програмування: Perl 6 перейменований у Raku. Нові мови V, Flow9,
  P++ (Діалект PHP зі строгою типізацією).

  Nim 1.0. GCC 9. Python 3.8. LLVM 8/9. Java SE 12/13. Джакарта EE. Ідіть 1.12/1.13
  PHP 7.4.Perl 5.30.

• Системні компоненти: systemd 241, 242, 243, 244. systemd-homed для управління домашніми каталогами. Glibc 2.29/2.30.
• Віртуалізація та контейнери: Гіпервізор NVMM від проекту NetBSD. Гіпервізори Intel Cloud Hypervisor та Amazon Firecracker, написані на Rust. дистрибутив ClonOS для розгортання інфраструктури віртуальних серверів на базі FreeBSD. До складу ядра Linux 5.3 включений гіпервізор ACRN. Ермітукс - unikernel, бінарно сумісний із Linux.
• BSD: Поділу базової системи FreeBSD на пакети Переклад FreeBSD на "ZFS on Linux". Видалення GCC із основного складу FreeBSD. FreeBSD 12.1. Нові дистрибутиви FuryBSD и SecBSD. Hyperbola трансформується у форк OpenBSD. OpenBSD 6.5/6.6. Формування оновлень пакетів для стабільної гілки OpenBSD. Git-сумісна система контролю версій Got від OpenBSD

  DragonFlyBSD 5.6.

• Дистрибутиви: Red Hat Enterprise Linux 8.0 (8.1). Debian 10. Fedora 30/31. Ubuntu 19.04/19.10.

  Редакція, що безперервно оновлюється. CentOS Stream. Проект ELISA з розробки Linux-оточення для високонадійних систем. Trident переходить із BSD-системи TrueOS на Void Linux. Закриття проекту Russian Fedora. Розробка Scientific Linux 8 згорнута на користь CentOS.
  Розвиток Fedora Atomic Host припинено на користь проекту ОС Fedora Core. припинення підтримки 32-розрядних систем x86 в Ubuntu.

• Мобільні платформи: WebOS Open Source Edition 2, Android 10, РядокOS 16, EdgeX 1.0.
  перша партія смартфона Librem 5 та підготовка смартфона PinePhone. злиття відкритого проекту Mer та пропрієтарної ОС Sailfish. Платформа Mozilla WebThings.

• СУБД: PostgreSQL 12, MariaDB 10.4. відкрито код СКБД VictoriaMetrics. BlazingSQL, що використовує GPU для прискорення. Dqlite, розподілений варіант SQLite
• Користувальницькі оточення та графіка: GTK+ перейменований у GTK. Xfce 4.14, KDE 5.15/5.16/5.17, GNOME 3.32/3.34. LXQt 0.14. MATE 1.22.

  Вейленд 1.17, Вестон 7.0.
  Red Hat має намір припинити розвиток сервера X.Org. Новий компілятор шейдерів Неймовірна ціна на GPU AMD від компанії Valve. AMD відкрив фреймворк Caudron для швидкого створення прототипів 3D-додатків. Blender 2.80. xrdesktop для використання GNOME та KDE у шоломах віртуальної реальності.

• Кодеки: Intel відкрив кодувальник відео AV1, оптимізований для перекодування на льоту Xiph та Mozilla розвивають rav1e, кодувальник AV1 мовою Rust.
  Google відкрив libgav1 декодувальник для формату AV1. VideoLAN та FFmpeg розвивають AV1-декодувальник dav1d.

• Розширення можливостей ядра Linux: 5.0, 5.1, 5.2, 5.3, 5.4.
  Підготовка драйвера USB 4.0, розвиток фреймворку для написання захищених драйверів на мові Rust і прийняття в експериментальну гілку VPN WireGuard. Перенесення підсистем для Android (проект із задіяння в Android штатного (без внесення змін) ядра Linux).

  Основні зміни в ядрі: механізм шифрування файлових систем Adiantum, файлова система BinderFS, обробники блокувань seccomp у просторі користувача, режим роботи ext4 без урахування регістру символів,

  інтерфейс асинхронного введення/виведення io_uring, можливість використання NVDIMM як ОЗУ, підтримка масштабованого моніторингу дуже великих ФС через fanotify, можливість налаштування рівнів стиснення Zstd в Btrfs, новий обробник cpuidle TEO, реалізація системних викликів для вирішення проблеми 2038 року, -mapper без initramfs, LSM-модуль SafeSetID, підтримка комбінованих live-патчів,

  драйвери для GPU Mali 4xx/6xx/7xx, device-mapper модуль dm-dust, підтримка Sound Open Firmware для DSP, оптимізація продуктивності BFQ, підсистема PSI (Pressure Stall Information),

  підтримка технології управління енергоспоживанням Intel Speed ​​Select, системний виклик pidfd_open, можливість використання IPv4-адрес з підмережі 0.0.0.0/8, можливість апаратного прискорення nftables, підтримка HDR у підсистемі DRM, інтеграція гіпервізора ACRN,

  експериментальний драйвер exFAT, режим «блокування» для обмеження доступу користувача root до ядра, механізм fs-verity для контролю цілісності файлів, можливість використання CIFS для кореневого розділу, контролер вводу/виводу iocost, ФС EROFS, модуль dm-clone для реплікації зовнішніх пристроїв, ФС virtiofs для експорту каталогів у гостьові системи, підтримка GPU AMD Navi 12/14, AMD Arcturus, AMD Renoir, Intel Tiger Lake та Zhaoxi.

• Зломи: Матриця, https://www.opennet.ru/opennews/art.shtml?num=50673 Picreel та Alpaca Forms, переповнення стека, Pale Moon, Momnero, HackerOne, Webmin, NASA, вандалізм на сайті Столлмана.
• Шкідлива активність у репозиторіях та каталогах:
  Злом Docker Hub. Злом PHP-репозиторія PEAR та модифікація пакетного менеджера.
  Шкідливі доповнення в каталозі Mozilla, в Google Play.
  Атака шкідливих шифрувальників Git-репозиторіїв у сервісах GitHub, GitLab та Bitbucket. Злом репозиторіїв Canonical на GitHub 73 репозиторія з бекдорів на GitHub.
  Впровадження шкідливого коду в Ruby-пакет Strong_password, NPM-пакет bb-builder, залежність до npm-пакету PureScript, Python-бібліотеки у PyPI, Ruby-бібліотеки bootstrap-sass и відпочинок-клієнт, Android-програми для роботи із камерою.

• Криптовалюти: Блочейн-платформа TON (Telegram Open Network) та припинення розміщення криптовалюти Telegram. Критична вразливість у Ethereum. уразливість у Zcash, що дозволяла генерувати нові засоби. Злом сайту криптовалюти Мonero. Подвійна витрата засобів в Ethereum Classic.
• Методи атак:
  • Атака визначення стану пам'яті процесів за допомогою сторінкового кешу.
  • Техніка обходу DRM-захисту Widevine L3.
  • Атака KNOB, що дозволяє перехопити зашифрований трафік Bluetooth.
  • Атака на мікрофони систем голосового керування за допомогою лазера.
  • Атака з використанням шкідливих пристроїв із інтерфейсом Thunderbolt.
  • Зріст атак, пов'язаних із захопленням контролю над DNS.
  • Атака різні реалізації TLS.
  • Атака на мережу серверів криптографічних ключів OpenPGP.
  • Можливість вклинюватися в TCP-з'єднання, що здійснюються через VPN-тунелі.
  • Атака на системи фронтенд-бекенд, що дозволяє вклинитися в сторонні запити
  • Атака CPDoS, що дозволяє зробити недоступними сторінки, що віддаються через CDN.
  • Мінерва - Техніка відновлення ключів ECDSA.
  • NetCAT — віддалене визначення клавіш, що натискаються у сеансі SSH.
  • Дос-атакі зниження продуктивності мережі Tor;
  • Більш ефективний метод визначення колізій для SHA-1
• Вразливості у процесорах. Проблеми з чіпами Intel: MDS, SPOILER, Zombieload 2, Plundervolt. Intel та AMD: МІТКИ. AMD:
  AMD SEV.

• Вразливості у прошивках, протоколах та ізольованих чіпах: BMC-контролери, WiFi-прошивки Marvell Avastar, TPM-Fail, HSM-модулі, Qualcomm TrustZone, intel sgx, WPA3 та EAP-pwd (1, 2), WiFi-чіпи Broadcom, QualPwn (Qualcomm Wi-Fi)
• Уразливості: Локальні root-уразливості в ядрі Linux (SCTP, AF_ALG, USB, i915, v4l2, marvell, fbdev). Видалені DoS-уразливості в ядрі Linux (RDS, UDP, rtlwifi) і FreeBSD. Packet-of-death в Linux та FreeBSD.
  Чотири критичні уразливості в поштовою сервері Exim, які привели до масових атак.

  Віддалені вразливості в php-fpm, WordPress, WhatsApp, SQLite (+ атака через WebSQL у Chrome), OpenSSL, NPM, Git, непов'язаний, нескінченний потік вразливостей у Ghostscript, Довекот, KDE, Proftpd, Кальмар, Magento, SDL, ГрафікаMagick, Vim, MyBB, PharStreamWrapper (Drupal, Joomla та Typo3), APT, Кличко, Drupal, LibreOffice та OpenOffice, SCP.

  Небезпечні локальні вразливості runc та LXC (Docker), systemd-journald, ld.так и Libc в OpenBSD, Xen,
  vhost-net, QEMU, Docker, snap та flatpak, сніданок.

За рік на OpenNET було опубліковано 1687 новин (790 основних, 897 міні), на які було залишено 148862 XNUMX коментарів.

Джерело: opennet.ru