Распределённые системы *

Думаю, можно, наконец, поставить точку в вопросе: является ли манипуляция временем со стороны клиента в блокчейне Hyperledger Fabric уязвимостью? Как я писал ранее, разработчики попытались оспорить назначение идентификатора CVE (и даже хотели, чтоб я сам как-то отозвал этот идентификатор). Мне неизвестно, как складывалось общение разработчиков с MITRE: они общались напрямую. О факте оспаривания я узнал в конце августа (из переписки с разработчиками на HackerOne). И вот вчера запись о CVE-2024-45244 была обновлена: выставлен рейтинг уязвимости. Буду считать это точкой в вопросе оспаривания со стороны разработчиков.

В итоге
Разработчик выпустил фикс. Но, исправление сейчас недоступно для стабильных версий: фикс присутствует лишь в ветке main. Какого-либо информирования пользователей об уязвимости со стороны разработчиков я не нашёл (на странице проекта в github в списке уязвимостей не значится). Не нашёл и рекомендаций от разработчика: что делать пользователям, которые используют версию без исправлений? Со своей стороны могу предложить в качестве защиты свою разработку: Оракул времени.

Интересное продолжение истории о получении CVE для уязвимости в блокчейне Hyperledger Fabric. Разработчики не признают уязвимость. Это при том, что они внесли изменения, устраняющие проблему. Когда я им сообщил, что по моему обращению в MITRE присвоен идентификатор CVE - сказали, что нужно отозвать CVE: код ведь работал так, как и задумано. Как я понял, разработчики сочли, что MITRE создали идентификатор CVE автоматически, не вникая в суть моего обращения (что противоречит практике моих знакомых, у которых MITRE в ряде случаев запрашивало дополнительные данные перед назначением CVE). По этой причине, разработчики пытаются оспорить CVE (UPD: судя по обновлению от 12.09.2024, оспорить не вышло). Видимо, про уязвимость небезопасного дизайна из OWASP Top 10, они не слышали. Кроме того, по классификации, уязвимость попадает в OWASP Smart Contract Top 10: Timestamp Dependence. Допускаю, что разработчики об этом не знают. К сожалению, я им сообщить этого не могу: моё обращение на HackerOne разработчики закрыли, что заблокировало возможность мне добавлять текст к обращению. Я, кстати, не слышал, чтоб какой-либо идентификатор CVE был аннулирован. UPD: бывают отозванные CVE: CVE-2023-4881.

Лично у меня от этой истории сложилось такое впечатление: разработчики считают, что только они вправе определять: что является уязвимостью, а что - нет. Игнорируя при этом сложившуюся практику взаимодействия исследователей безопасности с MITRE.

Манипуляция временем транзакции в блокчейне Hyperledger Fabric - уязвимость (теперь официально).
Мне удалось добиться назначения идентификатора CVE (CVE-2024-45244) уязвимости, связанной с манипуляцием времени транзакции (о чём писал на Хабре) в блокчейне с открытым исходным кодом Hyperledger Fabric. Разработчик выпустил исправление, но не счёл это уязвимостью (о чём я узнал в переписке, по моему обращению на HackerOne). В итоге, мне пришлось самостоятельно заниматься процессом назначения CVE (воспользовавшись найденной мной на Хабре статьёй). Между обращением в MITRE и назначением CVE прошло чуть менее 2-х недель. UPD 13.09.2024 разработчик пытался оспорить, что это уязвимость - не вышло.

Согласно результатам голосования на моём докладе на конференции по кибербезопасности OFFZONE, все участники согласились, что манипуляция временем транзакции является уязвимостью. Исправление сейчас недоступно для стабильных версий (т.е., в ветке 2.4 и 2.5 исправлений нет, а ветка 3.0.0 не является стабильной). В качестве защиты, можно воспользоваться моей open source разработкой.

Блокчейн активно используется в разных сферах: цифровые валюты центробанков (Беларусии, Нигерии), операторами информационных систем цифровых финансовых активов, электронное голосование, энергетика, здравоохранение и др.

Запускаем бесплатный курс по работе с Managed Service for Greenplum

Наша образовательная программа по работе с данными пополнилась курсом Managed Service for Greenplum на платформе Яндекс Практикум. Обучение рассчитано на Data-архитекторов, DevOps-инженеров, разработчиков и администраторов баз данных.

В курсе семь модулей. Вводные лекции дают общее представление о Greenplum и показывают, для каких задач он подходит. Вторая половина курса помогает решить более сложные прикладные задачи. Например, можно узнать, как проводить диагностику запросов, использовать разные опции хранения данных, загружать и выгружать данные с помощью внешних таблиц.

Курс научит:

• создавать инсталляцию Greenplum на облачной платформе и работать с ней;

• использовать особенности СУБД для эффективной работы с Managed Greenplum;

• правильно писать и оптимизировать запросы с учетом специфики Greenplum;

• разбираться в архитектуре Greenplum;

• проектировать оптимальную физическую модель данных.

О программе:

• Обучение рассчитано на 50–80 часов.

• Курс состоит из двух частей: теории с закреплением в коротких квизах и самостоятельных практических заданий. Обе части не привязаны к расписанию — можно учиться когда угодно.

• Все материалы доступны бесплатно.

Canonical объявила о выпуске инструментария MicroCloud, позволяющего быстро развёртывать на своём оборудовании вычислительные кластеры и облачные системы с общим распределённым хранилищем данных и защищённой виртуальной сетью.

Инструментарий MicroCloud оформлен в виде snap-пакета, включающего компоненты, необходимые для управления работой узлов кластера. Коммерческая техническая поддержка решений на базе MicroCloud предоставляется в рамках сервиса Ubuntu Pro, но те, кто может обойтись без поддержки, вольны использовать инструментарий без ограничений. Наработки проекта написаны на языке Go и распространяются под лицензией AGPL 3.0.

MicroCloud по умолчанию применяет средства для обеспечения отказоустойчивости, поэтому позволяет создавать кластеры, насчитывающие не менее трёх узлов (в качестве верхней планки упоминаются кластеры, включающие до 50 узлов). Используемый для управления кластером программный стек основан на использовании системы централизованного управления контейнерами и виртуальными машинами LXD, платформы для построения виртуальных сетей OVN (Open Virtual Network) и распределённого отказоустойчивого хранилища Ceph. MicroClouds предоставляет инструменты для автоматической настройки LXD, Ceph и OVN на всех узлах кластера.

MicroCloud также пригоден для быстрого проведения экспериментов на системах разработчиков, включая симуляцию кластера на ноутбуке разработчика, тестирования развиваемых облачных приложений, экспериментов на инфраструктуре.

Источник: OpenNET.

Состоялся релиз торрент-клиента qBittorrent 4.6, написанного с использованием тулкита Qt и развиваемого в качестве открытой альтернативы µTorrent, приближенной к нему по интерфейсу и функциям. Среди возможностей qBittorrent — интегрированный поисковый движок, подписки на RSS, поддержка многих BEP-расширений, удалённое управление через web-интерфейс, режим последовательной загрузки в заданном порядке, расширенные настройки для торрентов, пиров и трекеров, планировщик пропускной способности и IP-фильтр, интерфейс для создания торрентов, поддержка UPnP и NAT-PMP. Код проекта написан на языке C++ и распространяется под открытой лицензией GPLv2+.

Изменения в проекте:

• добавлена экспериментальная поддержка распределённой анонимной сети I2P.

• улучшена поддержка тем оформления.

• добавлен диалог для редактирования привязанных к торрентам тегов.

• обеспечено добавление новых торрентов в начало очереди.

• добавлена возможность фильтрации списка торрентов на основе их локального файлового пути.

• добавлена возможность использования прокси в привязке к подсистемам.

• добавлена кнопка для копирования списка версий библиотек в буфер обмена.

• Для FreeBSD включена сборка с поддержкой D-Bus.

Источник: OpenNET.

Люблю автоматизацию. И рассказывать о ней тоже. Сегодня об авиационной отрасли:

Любая система автоматизации и авиакомпании, и локального аэропорта, состоит из большого количества подсистем — для каждой авиакомпании она может отличаться, так же есть и отдельные системы отслеживания спецтранспорта и системы автоматизации кейтеринга для работы с бортовым питанием. Ключевой частью является DCS (Departure Control System — система контроля вылетов) и система бронирования билетов.

На сегодняшний день у российских авиакомпаний есть выбор из двух систем бронирования, с которыми они могут автоматизировать свои процессы — это «Леонардо» (разработчик – АО «Сирена Трэвел» в партнерстве с госкорпорацией «Ростех») и «ТАИС» (АО «ОРС»). К примеру, с «Леонардо» работают «Аэрофлот» и «Победа», а на «ТАИС» работают «S7», «Ural Airlines» и прочие.

От пассажиров чаще всего прилетает негатив в сторону системы Leonardo в силу популярности, но бывают и внештатные ситуации, наподобие того как на прошлой неделе "Ростех" сообщил о DDoS-атаке на сервера системы.

Но тем не менее отечественное IT не стоит на месте, и вот буквально пару дней назад в составе АС «КОБРА» (используется на текущий момент в 26 аэропортах РФ, разработчик РИВЦ «Пулково») вышла в свет «Платформа общего доступа», которая позволяет регистрировать пассажиров любой авиакомпании на одной стойке в аэропорту (проще говоря «великий адаптер для API разных компаний»). В общем, понемногу всё универсализируется и импортозамещается.