Наиболее важные события 2018 года

2 января 2019 года

Итоговая подборка наиболее важных и заметных событий 2018 года:

• Поглощения года: Microsoft покупает GitHub за 7.5 миллиардов долларов, IBM покупает Red Hat за 34 миллиарда долларов, EQT покупает SUSE за 2.5 миллиардов долларов, Red Hat поглощает компанию CoreOS за 250 млн долларов.
• Судебные разбирательства: Компания Oracle выиграла апелляцию в деле против Google, связанном с Java и Android. Организация Software Freedom Conservancy и компания Tesla во внесудебном порядке урегулировали вопрос с публикацией GPL-кода. Возобновлено судебное дело, связанное с обвинением VMware в нарушении GPL. Пресечена череда корыстных финансовых взысканий с компаний, использующих ядро Linux в своих продуктах без предоставления исходных текстов. Суд удовлетворил иск Брюса Перенса и взыскал 259 тысяч долларов с компании, разрабатывающей Grsecurity;
• Сообщество Handshake и Фонд Pineapple выделили значительные гранты на развитие свободных проектов, в том числе $2 млн получил Фонд СПО, $500 тысяч KDE, $400 тысяч GNOME, $1 млн - Electronic Frontier Foundation, $1 млн - Apache Software Foundation, $50 тысяч OpenBSD Foundation и т.п.
• Движение Microsoft навстречу СПО. Решение о переводе браузера Edge на движок Chromium. Открытие кода WPF, Windows Forms и WinUI. Публикация Mu, открытой платформы для UEFI-прошивок. Открытие части кода игры Minecraft: Java Edition. Новое открытое хранилище FASTER. IoT-платформа Azure Sphere на базе ядра Linux. Публикация кода для адаптации Linux-дистрибутивов для запуска в WSL. Согласие переименовать GVFS из-за пересечения имени с виртуальной ФС GNOME. Microsoft присоединился к инициативе по защите Linux от патентных претензий и к вошёл в организацию LOT Network, защищающей от патентных троллей;
• Google, Microsoft, Twitter и Facebook основали проект по обеспечению переносимости данных;
• Лицензии: Появление новой модели лицензирования Commons Clause, при которой на открытый код накладывается дополнительное ограничение на продажу. Перевод дополнительных модулей к Redis на лицензию Apache 2.0 с оговоркой Commons Clause привёл к созданию форка GoodFORM. OpenSSL переходит на лицензию Apache. Intel устранил все замечания в новой лицензии на микрокод, что позволило включить его в поставку Debian и других дистрибутивов. Фонд СПО добавил EUPL 1.2 в список свободных лицензий, не совместимых с GPL. Facebook сменил лицензию на React Native и Yoga. СУБД MongoDB переведена с AGPLv3 на лицензию SSPL (Server Side Public License), спорную с точки зрения открытости.
• Движение в сторону политкорректности. Уход проектов Python и Redis от использования терминов "master" и "slave". Принятие кодекса поведения в сообществе разработчиков ядра Linux и переосмысление Линусом Торвальдсом своей манеры общения. Публикация Ричардом Столлманом руководства по доброжелательному общению для проектов GNU.
• Конфликты в сообществе: Конфликт между Ричардом Столлманом и командой разработчиков Glibc. Один из ведущих разработчиков LLVM покинул проект в знак несогласия с новым кодексом поведения. Разработчик KWin ушёл с поста мэнтейнера из-за несогласия с новыми веяниями в KDE;
• Уход Гвидо ван Россума с поста великодушного пожизненного диктатора (BDFL) проекта Python и утверждение новой модели управления разработкой Python;
• Форки: Проекты OpenWrt и LEDE объявили о слиянии и выпустили общий релиз OpenWrt 18.06. Представлены Breezy (форк системы управления версиями Bazaar), NeoPG (форк GnuPG 2), Uyuni (форк Spacewalk) и ClassicPress (форк WordPress). Вышел дистрибутив Devuan 2.0 (форк Debian 9 без systemd).
• Новые открытые разработки в области машинного обучения:

Intel открыл nGraph (компилятор для систем машинного обучения) и NLP Architect система для обработки информации на естественном языке). Facebook открыл Detectron (распознавание объектов на фотографиях), Horizon (платформа обучения с подкреплением) и код библиотек для ускорения приложений машинного обучения. Google опубликовал BERT для обработки информации на естественном языке. Опубликован Luminoth, тулкит для решения задач компьютерного зрения. Система машинного обучения для синтеза типового кода на языке Java. Система для синтеза и редактирования лиц.

• Виртуализация и контейнеры: Google открыл gVisor (гибрид системы виртуализации и контейнеров) и Cilium (сетевая система для Linux-контейнеров, основанная на BPF). Amazon открыл код платформы виртуализации Firecracker. Intel и Hyper выпустили платформу Kata Containers с изоляцией на основе виртуализации. Выпуск VirtualBox 6.0, Xen 4.11, Jailhouse 0.10. Первый выпуск XCP-NG, свободного варианта Citrix XenServer. Новый гипервизор ACRN для встраиваемых устройств;
• Машинная обработка речи и текста: Facebook опубликовал систему распознавания речи Wav2letter++, а компания Mozilla представила систему синтеза речи LPCNet. Доступен Dragonfire 1.0, виртуальный голосовой помощник для Linux. Опубликована система распознавания текста Tesseract 4.0. Выпуск библиотеки компьютерного зрения OpenCV 4.0;
• Игры и графика: Компания NVIDIA открыла код движка симуляции физических процессов PhysX. Компания Google открыла код системы физически корректного рендеринга Filament. Компания Valve основала проект Proton для запуска Windows-игр в Linux. Инициатива по развитию открытого ПО для киноиндустрии.
• Релиз графического редактора GIMP 2.10. Выпуск медиаплеера VLC 3.0.0. Выпуски рабочих столов: LXQt 0.13, Cinnamon 4.0, Durden 0.5, MATE 1.20, KDE Plasma 5.14;

GNOME 3.30, Проект UBports продолжил разработку окружения рабочего стола Unity 8;

• Первый выпуск открытого видеокодека нового поколения AV1. Доступен аудиокодек Opus 1.3. Google передал систему объёмного звука Resonance Audio сообществу;
• Компания Oracle перелицензировала код DTrace под GPLv2. Один из создателей DTrace развивает для Linux систему динамической отладки BPFtrace (DTrace 2.0);
• Intel развивает открытые прошивки для звуковых чипов, опубликовал открытую прошивку для инициализации оборудования и загрузки ОС, разрабатывает новый драйвер для своих графических адаптеров и начал работу по созданию высоконадёжного дистрибутива Linux;
• Google активно развивает новую ОС Fuchsia. В Chrome OS появилась возможность запуска Linux-приложений;
• Основан проект LinuxBoot для замены UEFI-прошивок. Разработка проектом postmarketOS загрузчика и прошивки модема для смартфонов;
• Проект TrueOS преобразован в отдельную ОС;
• Новые файловые системы: ScoutFS, TxFS, Dragonfly, LittleFS;
• Разработчики Netfilter объявили инструментарий iptables устаревшим;
• Первый стабильный релиз сервера приложений NGINX Unit;
• Стандарты: Vulkan 1.1, OpenMP 5.0, HTTP поверх протокола QUIC решено стандартизировать как HTTP/3;
• Java: Компания Oracle представила универсальную виртуальную машину GraalVM. Amazon выпустил Corretto, дистрибутив OpenJDK с длительным сроком поддержки. Java EE переименован в Jakarta EE;
• Открыт код C++ компилятора Zapcc;
• Qt прекращает разработку сборочной системы Qbs в пользу CMake
• Новые версии языков программирования и компиляторов: GCC 8, LLVM 6.0 и 7.0, Ruby 2.6, Python 3.7, Julia 1.0, PHP 7.3, Dart 2.0, Perl 5.28, Go 1.11 и 1.10, Java SE 11, активное развитие языка Rust.
• Значительные выпуски ОС: Solaris 11.4, FreeBSD 12, OpenIndiana 2018.10, NetBSD 8.0, Qubes 4.0
• Мобильные платформы: Android 9, AsteroidOS (ОС для умных часов на базе Qt и Wayland), GNOME для смартфона Librem 5, Android Things 1.0, webOS Open Source Edition от LG, Necuno Mobile (открытый смартфон на базе KDE Plasma Mobile), бета-тестирование мобильной платформы /e/. Mozilla развивает шлюз для интернета вещей. Сборка Minimal Ubuntu от Canonical.
• Новые СУБД: EuclidesDB (использует элементы машинного обучения), FoundationDB, TimescaleDB 1.0, Redis 5.0, PostgreSQL 11, MongoDB 4.0, MariaDB 10.3, TiDB 2.0, MySQL 8.0, CockroachDB 2.0. Facebook открыл распределённую систему хранения LogDevice;
• Выпуски ядра Linux: 4.20, 4.19, 4.18, 4.17, 4.16 и

4.15. Инициатива по передаче в основное ядро Linux специфичных для Android изменений. Интеграция в ядро нового пакетного фильтра bpfilter. Для включения в состав ядра Linux предложен VPN WireGuard.

• Выпуски системного менеджера systemd 240, 239, 238 и 237. Выпуски Glibc 2.28 и 2.27.
• Началось бета-тестирование Red Hat Enterprise Linux 8. Представлены Fedora Toolbox, система управления хранилищами Stratis 1.0, Fedora CoreOS, Fedora Silverblue (атомарно обновляемый вариант Fedora Workstation), а также редакция Fedora для интернета вещей. Выпуски SUSE Linux Enterprise 15 и openSUSE Leap 15. Время поддержки Ubuntu 18.04 увеличено до 10 лет.
• Развитие децентрализованных социальных сетей: W3C стандартизировал протокол ActivityPub. Подготовлена децентрализованная видеовещательная платформа PeerTube. Развитие GitPub, протокола для децентрализованных Git-сервисов;
• Открытие архитектуры процессоров MIPS и успехи по продвижению архитектуры RISC-V. Поддержка RISC-V в Debian. Разработка свободного GPU на базе архитектуры RISC-V.
• Проект по созданию открытого источника бесперебойного питания;
• Код RISC OS решено открыть под лицензией Apache 2.0
• В Chrome принимаются меры для противодействия вредоносным дополнениям, вводится блокировка вводящих в заблуждение рекламных блоков и развивается API для создания полноценных пользовательских приложений.
• В Firefox решено по умолчанию блокировать отслеживание перемещений между сайтами;
• Информационная безопасность
• Проект Keystone по созданию защищённых анклавов для чипов на базе архитектуры RISC-V. Google открыл код Asylo, универсального фреймворка для защищённых анклавов.
• Стандартизация TLSv1.3 и его реализация в популярных библиотеках (OpenSSL 1.1.1) и приложениях (apache httpd, nginx, postfix). Продвижение " DNS поверх HTTPS" и " DNS поверх TLS", работа над применением шифрования для SNI;
• Опубликован проект LKRG, предназначенный для контроля целостности ядра Linux и обнаружения попыток эксплуатации уязвимостей в ядре;
• Новый защищённый дистрибутив CLIP OS;
• Проект Tor создал браузер для платформы Android, прекратил разработку Tor Messenger и вместе с Mozilla запустил проект по интеграции поддержки Tor в Firefox.
• Новые криптографические библиотеки: Tink от Google, Zinc от

WireGuard, libcsi от OpenBSD.

• Разработчики OpenBSD предложили новый системный вызов unveil() для изоляции ФС, добавили механизм защиты RETGUARD и развивают новый метод защиты стека.
• Новый класс аппаратных уязвимостей из-за использования общего кэша при спекулятивном выполнении инструкций в современных CPU: Meltdown, Spectre v2, Spectre v3a и v4, LazyFP, Spectre v1.1 и v1.2, SpectreRSB, NetSpectre, MeltdownPrime, SpectrePrime, SgxPectre, BranchScope, Spectre-NG, Meltdown-PK, Meltdown-BR, Spectre-BTB, Spectre-PHT, Foreshadow (L1TF), PortSmash.
• Уязвимости в процессорах: Обход механизма защиты AMD Secure Encrypted Virtualization. Уязвимость в CPU AMD, позволяющая получить контроль над TPM-окружением. Уязвимости в процессорах AMD Ryzen, EPYC, Ryzen Pro и Ryzen Mobile.

Уязвимость в различных ОС, вызванная неверной интерпретацией описания поведения инструкций MOV SS/POP SS в документации Intel. Дискуссия вокруг документированного режима ALTINST в процессорах VIA C3, который был включен и мог использоваться как бэкдор в некоторых системах;

• Подстановка BGP-маршрутов на уровне провайдеров для получения контроля за сервисами MyEtherWallet и Trezor.

Ошибочный BGP-анонс нарушил связность сетей Google и Cloudflare;

• Инциденты со скупкой и захватом контроля за популярными браузерными дополнениями для проведения целевых атак на финансовые сервисы (Hola VPN), майнинга криптовалюты, выполнения вредоносного кода и сбора статистики о посещениях ( Stylish, Web Security).
• Уязвимости в реализации криптовалют: Критическая уязвимость в Bitcoin Core. Две критические уязвимости в реализации криптовалюты Monero. Атака на криптовалюту Bitcoin Gold для двойной траты средств. Атака на P2P-сеть криптовалюты Ethereum

Внесение вредоносных изменений в ПО криптовалюты Syscoin через взлом аккаунта на Github. Захват кошельков Electrum через zero-day уязвимость в PyBitmessage. Атака на Copay через подстановку бэкдора в библиотеку event-stream.

• Крупные взломы: Взлом счётчика StatCounter для атаки на биржу криптовалюты Gate.io. Массовые взломы хостинг-панели VestaCP. Компрометация GitHub-репозиториев проекта Gentoo. Взлом инфраструктур компаниq Dell и Quora. Взлом инфраструктуры Mageia;
• Атаки на популярные репозитории пакетов: Обнаружение вредоносного ПО в каталоге Ubuntu Snap Store. Выявление контейнеров с кодом для майнинга и бэкдорами в Docker Hub. Вредоносные пакеты в AUR-репозитории Arch Linux. Компрометация репозиториев дополнений к медиацентру Kodi. Вредоносные пакеты каталоге PyPI (Python Package Index). Уязвимость, позволяющая удалённо выполнить код на сервере PHP-репозитория Packagist.

Уязвимости в RubyGems. Подстановка бэкдоров в популярные NPM-пакеты event-stream, mailparser и eslint;

• Массовые инциденты с внедрением кода для майнинга криптовалют на уязвимые или незащищённые серверы ( Jenkins, rTorrent, Cacti, PostgreSQL, Redis, Drupal, WordPress). Появление в рекламных сетях объявлений с кодом для майнинга.
• Уязвимость, компрометирующая шифрование в реализациях Bluetooth. Уязвимости в Bluetooth-чипах TI, позволяющие удалённо выполнить код. Уязвимости в 4G LTE, позволяющие манипулировать трафиком.
• Опубликована технология защиты беспроводных сетей WPA3.

Новая техника атаки на беспроводные сети с WPA2. Метод создания скрытых каналов связи в WiFi.

• Массированные DDoS-атаки с memcached в качестве усилителя трафика;
• Уязвимости в BMC-контроллерах серверов Huawei. Противоречивые заявления о выявлении шпионского чипа на платах Supermicro. Уязвимость в коммутаторах Cisco, позволяющая удалённо получить полный контроль над устройством без прохождения аутентификации. Бэкдор в коммутаторах Lenovo и IBM, а также в сетевых хранилищах WDMyCloud;
• Важные локальные уязвимости: Уязвимости в ядре Linux, связанные с обходом изоляции user namespace. Root- уязвимости в ядре Linux.

Уязвимость в Glibc, позволяющая поднять привилегии в системе. Выход из гостевой системы в VirtualBox, KVM и Xen. Уязвимость в KDE, позволяющая выполнить код при подключении внешнего носителя.

• Удалённо эксплуатируемые уязвимости: root-уязвимость в DHCP-клиенте из состава RHEL и Fedora. Уязвимости в почтовом сервере Exim ( 1, 2).

GnuPG (искажение результата проверки цифровой подписи), Zip Slip (перезапись файлов за пределами базового каталога при распаковке архивов), Git ( выход за границы каталога), SQLite (затрагивает браузеры на базе Chromium), Kubernetes (пользователи могут получить полный контроль за кластером), Ghostscript (выполнение в системе произвольного кода при обработке специально оформленных документов). Удалённая уязвимость в systemd-networkd. Уязвимость в NoScript 5.x, позволяющая обойти отключение JavaScript в Tor Browser. Проблемы в Apache Struts. Уязвимость в Samba, позволяющая поменять пароль любого пользователя. Выполнение кода на серверах с CMS Drupal ( 1, 2).

• Новые техники атак: Воссоздание содержимого экрана через анализ звуковых колебаний от LCD-монитора. Атаки на шифрование PGP и S/MIME в почтовых клиентах. Варианты атаки RowHammer, позволяющие удалённо эксплуатировать уязвимость в чипах памяти DRAM по сети и обойти защиту ECC.

Техника "Phar deserialization" для атаки на PHP-приложения. Компрометация самошифруемых SSD-накопителей. Применение техники ребиндинга DNS для атаки на BitTorrent-клиент Transmission. Метод атаки на групповой чат WhatsApp и Signal. Атака по сторонним каналам для определения ключей ECDSA и DSA. Техника восстановления ключей шифрования через анализ шумов в сигнале от беспроводных чипов. Несанкционированная запись звука и видео в Android-приложениях;

За год на OpenNET было опубликовано 1623 новости (765 основных, 858 мини), на которые было оставлено 122500 комментариев.