Выпущена новая версия NethSecurity, открытого межсетевого экрана на базе Linux. В ней улучшена стабильность, обновлён интерфейс управления администраторами, добавлено отслеживание соединений.

( читать дальше... )

>>> Подробности

Сегодня, в пятницу 13 октября, вышел мажорный релиз OpenWRT 23.05.0.

OpenWRT — это ОС на основе Linux, предназначенная для установки на сетевые маршрутизаторы, которая на данный момент поддерживает более 1790 устройств.

( читать дальше... )

>>> Подробности

Состоялся выпуск OpenWrt 22.03 — встраиваемой операционной системы на ядре Linux, предназначенной, в первую очередь, для домашних маршрутизаторов (роутеров).

( читать дальше... )

>>> Подробности

Дорогие друзья, я рад сообщить вам о пятом международном онлайн-«виртПиве» - очередном неформальном сборище любителей опенсорсных прошивок!

Предыдущие вечеринки оказались весьма успешны: мы прекрасно провели время и обсудили множество опенсорсных прошивок с выдающимися хакерами со всего света, в том числе и Ричардом Столлманом который уже стал нашим регулярным почётным гостем.

Разумеется, мы собираемся не только «пить чай» и веселиться, но и поговорить и узнать больше о крутых опенсорсных проектах из «низкоуровневого мира». Например:

• порт БИОСа coreboot для свежей матплаты MSI PRO Z690-A DDR4 от компании 3mdeb - см. новость «Сoreboot портирован на материнскую плату для Intel Alder Lake» - и результаты его тестирования пользователями защищённой ОС QubesOS ;
• RustSBI - супервизор для RISC-V на 100%-ом Rust'е;
• qspimux - переходник для безопасной удалённой перепрошивки чипа SPI-Flash без его отключения от матплаты;
• lnDSO150 - прошивка для популярных карманных осциллографов DSO;
• bcm5719-fw - прошивка для сетевой карты Broadcom BCM5719;
• swtpm - программный эмулятор Trusted Platform Module и способы его использования;
• TrenchBoot - фреймворк из связки проектов, призванный повысить безопасность процесса загрузки прошивки.

Надеюсь, и эта встреча окажется не менее увлекательной чем прошлые, которые продлились по 10-12 часов ;-) Вас ждут увлекательные разговоры об открытых прошивках, свободном железе и приятный вечер в уютной компании за чашкой чая. Приходите, мы ждём вас!

>>> Ссылка на онлайн-вечеринку

Дорогие друзья, а в особенности любители попрошивать опенсорс: вот мы и дождались четвёртое международное онлайн-«виртПиво»!

Предыдущие вечеринки оказались весьма успешны: мы прекрасно провели время и обсудили множество опенсорсных прошивок (+ железо под них) с выдающимися хакерами со всего света: например, сам Ричард Столлман посетил нас уже дважды, и есть хороший шанс что увидимся снова!

В этот раз мы решили немного отойти от привычного формата «весёлого рандома»: вначале будет несколько нескучных презентаций с Q&A (примерный список тем доступен на странице встречи), а уже потом основное веселье. Надеюсь, и эта встреча окажется не менее увлекательной чем прошлые, которые продлились по 10-12 часов ;-)

Вас ждут увлекательные разговоры об открытых прошивках, свободном железе и приятный вечер в уютной компании за чашкой чая. Приходите, мы ждём вас!

>>> Ссылка на онлайн-вечеринку

Дорогие друзья, а в особенности любители попрошивать опенсорс, приглашаю вас на третье международное онлайн-«виртПиво»!

Предыдущие вечеринки оказались весьма успешны: мы прекрасно провели время, и нас даже посетил сам Ричард Столлман! И в этот раз вас тоже ждут увлекательные разговоры об открытых прошивках, свободном железе и приятный вечер в уютной компании за чашкой чая. Приходите, мы ждём вас!

Начинается наша встреча во вторник в 11 вечера по Москве — сразу же после онлайн-форума «Linux Secure Launch» TrenchBoot Summit (4:00–8:00 PM UTC), мероприятия посерьёзнее: с глубоким погружением в мир по-настоящему защищённой свободной загрузки прошивок, без использования проприетарного Secure boot и аппаратных со-процессоров вроде Intel ME и AMD PSP, на примере серверной платы ASUS KGPE-D16 с AMD Opteron. Ещё недавно эта мощная плата поддерживалась Сoreboot и, к сожалению, была удалена оттуда из-за несовместимостей кода, но теперь — благодаря щедрому пожертвованию от фонда Immunefi — наша компания 3mdeb сможет грамотно обновить её код и вернуть поддержку в coreboot, и уже есть важные достижения на этом пути.

Надеюсь, вас заинтересуют одна или даже обе эти встречи. Мы будем рады вас видеть!

>>> Ссылка на онлайн-вечеринку

OpenWrt — встраиваемая операционная система на ядре Linux, предназначенная, в первую очередь, для домашних маршрутизаторов (роутеров).

Состоялся релиз OpenWrt 21.02.

( читать дальше... )

>>> Скачать

>>> Подробности

Если хоть немного знаете английский, от лица компании 3mdeb я приглашаю вас на свежее «виртПиво v2»! Старое «v1» посетили 50 любителей прошивочного ремесла со всего мира и в том числе несколько ЛОРовцев: подробности здесь + на англ. А в этот раз — помимо расширения прошлых тем — мы планируем обсудить:

• развитие мира опенсорсных прошивок/железа - например, инициатива по созданию опенсорсных ПЛИС
• реальна ли открытность BeagleV и другого нового железа RISC-V на практике?
• результаты опроса (ещё продолжается) про идеальный ПК для coreboot'ных тренировок

+ Вы запросто можете внезапно предложить свою тему: например, в прошлый раз LeNiN рассказал о проблемах обновления документации БИОСа coreboot и сейчас пытаются это исправить. Так что, милости просим! Можно и без пива ;)

P.S. а про поиск Си-прогеров: мы нашли двух очень увлечённых человек, они точно с ЛОР т.к. объява публиковалась только тут, и можем взять ещё...

>>> Ссылка на онлайн-встречу (заработает 7 мая в 6 вечера по Москве)

Если хоть немного знаете английский, от лица компании 3mdeb (которая сейчас ищет Си-прогеров в Job) - я приглашаю вас на «виртПиво»! Будем обсуждать опенсорсные прошивки/железо, новые форки БИОСа coreboot, возможность коребута на свежих компах и многое другое! А само пиво приносить необязательно ;)

>>> Ссылка на онлайн-встречу (четверг в 6 вечера по Москве)

Выпущены версии дистрибутива OpenWrt 18.06.7 и 19.07.1, в которых исправлена уязвимость CVE-2020-7982 в менеджере пакетов opkg, с помощью которой можно было осуществить MITM-атаку и заменить содержимое загружаемого из репозитория пакета. Из-за ошибки в коде проверки контрольных сумм, атакующий мог проигнорировать контрольные суммы SHA-256 из пакета, что позволяло обойти механизмы проверки целостности загружаемых ipk-ресурсов.

Проблема существует с февраля 2017 года, после того, как был добавлен код для игнорирования начальных пробелов, идущих перед контрольной суммой. Из-за ошибки при пропуске пробелов не сдвигался указатель на позицию в строке и цикл декодирования шестнадцатеричной последовательности SHA-256 сразу возвращал управление и отдавал контрольную сумму нулевой длины.

Из-за того, что менеджер пакетов opkg запускался из-под root, злоумышленник мог изменить содержимое в ipk-пакете во время организации MITM-атаки, загружаемый из репозитория в процессе выполнения пользователем команды «opkg install», и организовать выполнение своего кода с правами root через добавления в пакет собственных скриптов-обработчиков, вызываемых при установке. Для использования уязвимости атакующий также должен подменить индекс пакетов (например, отдаваемого с downloads.openwrt.org). Размер изменённого пакета должен соответствовать изначальному, из индекса.

В новых версиях также устранена ещё одна уязвимость в библиотеке libubox, которая может привести к переполнению буфера при обработке в функции blobmsg_format_json специально оформленных сериализированных бинарных данных или данных в формате JSON.

>>> Подробности

Сформированы сборки нового значительного релиза OpenWRT — открытого дистрибутива Linux для домашних сетевых маршрутизаторов. Основные нововведения, видимые пользователю:

• На всех устройствах используется ядро 4.14.x.
• Добавлена архитектура ath79, которой поддерживаются устройства, ранее относившиеся к архитектуре ar71xx. Отличие - использование Device Tree вместо явного прописывания специфики каждого устройства в C-файлах.
• Значительно повышена производительность маршрутизации за счет внедрения технологии FLOWOFFLOAD. Суть технологии - в возможности сказать ядру, что все будущие пакеты, принадлежащие определенному сетевому соединению, больше не надо проверять на предмет правил firewall’а, политик QoS и изменившихся правил маршрутизации, достаточно просто переписать заголовки и отправить через запомненный выходной интерфейс. Итого, TP-Link Archer C7 v2 сейчас может маршрутизировать не 250-300 мегабит в секунду, а 700-800.
• Для беспроводных сетей доступна поддержка WPA3 (требуется установка пакета hostapd-openssl или wpad-openssl).
• Веб-интерфейс стал более отзывчивым за счет переноса шаблонизации на сторону клиента.
• В торрент-клиенте Transmission решены проблемы с потреблением 100% CPU и неоправданного количества памяти, за счет отключения полурабочей поддержки web seed’ов.
• Добавлена альтернативная легковесная реализация сервера SMB на уровне ядра, как решение проблемы, что SAMBA 3.6 более не поддерживается в плане безопасности и ограничена старыми версиями протокола SMB, а SAMBA 4 занимает слишком много места. SAMBA 4 тоже доступна и позволяет организовать контроллер домена, совместимый с Active Directory.

>>> Подробности

Openwrt 18.06 — первый стабильный релиз после того, как проекты OpenWRT и LEDE решили объединиться.

>>> Подробности

Прошлым летом, проект LEDE и OpenWRT голосовали за объединение общих усилий в начале 2018 года

LEDE и OpenWRT станут одним целым, кодовая база LEDE под именем Openwrt уже доступна в официальном git(ветка master)

Однако исходники OpenWRT архивированы(read-only) каждый желающий имеет доступ к ним. Через несколько месяцев ожидается большое обновление которое выйдет под брендом/названием - «OpenWRT»

Но пока, LEDE 17.01 будет получать обновления безопасности

Больше информации о их слиянии доступна на официальном сайте LEDE.

>>> Источник перевода

Спустя 9 месяцев после того, как восемь наиболее активных разработчиков OpenWrt покинули проект и начали работу над созданием форка, получившего название LEDE (Linux Embedded Development Environment), состоялся первый стабильный выпуск.

( читать дальше... )

>>> Подробности

25 июня 2016 года, как и было запланировано, был осуществлён перенос разработки OpenWRT на GitHub. Отныне главное дерево исходных кодов проекта располагается в репозитории на GitHub.

Поскольку проект до этого использовал SVN, а Git как зеркало на GitHub'e, то и переключение свелось к объявлению репозитория на GitHub'е основным. При всей кажущейся простоте переезда, тем не менее:

• Разработчики могут посылать запросы (pull requests) в данный репозиторий в дополнение к ранее организованному процессу приёма патчей.
• Патчи, нуждающиеся в обсуждении, по прежнему доступны для всех желающих в списках рассылки openwrt-devel и на сайте с патчами.
• buildbots будет настроен на еженедельную сборку.
• Для заведения карточки об ошибке текущий сайт остаётся наилучшим методом.
• Будет обновлена документация на официальном сайте OpenWrt.

И вдогонку мы создали возможность непрерывной интеграции, тесно связанную с новым деревом GitHub. Это позволит разработчикам иметь лучшее представление о коммитах. На данный момент эта интеграция только для настроек по умолчанию, запускает новую сборку по запросу на добавление.

Кроме того, планируется с августа делать выпуски каждые 6 месяцев, предпочтительно с LTS или LTSI ядром.

Ждём ваших мыслей, обратной связи и комментариев.

>>> OpenWrt на GitHub

Восемь наиболее активных разработчиков OpenWrt покинули проект и начали работу над созданием форка, получившего название LEDE (Linux Embedded Development Environment).

Цели проекта:

• Упор на стабильность и функциональность.
• Регулярные выпуски.
• Прозрачность обсуждений и принятия решений, учёт мнений сообщества.

Причины создания форка:

• Малое количество ключевых разработчиков OpenWrt, привлечение новых лиц не производится.
• Проблемы с инфраструктурой (из-за недавнего выхода из строя жёстких дисков на сервере, были недоступны вики, форумы, репозитории). Отсутствие дублирования важных узлов инфраструктуры. Апгрейду препятствуют внутренние разногласия.
• Отсутствует прозрачность и коммуникация, как между основными разработчиками и сообществом, так и между самими разработчиками внутри команды.
• Малое количество людей имеет право коммита. Они не справляются с рассмотрением поступающих патчей. Тривиальные патчи висят годами. Нет должного тестирования.
• Документация даже по самым важным вещам типа procd (местный аналог systemd) отсутствует, либо в неактуальном состоянии.

Отличия LEDE от OpenWrt:

• Все обсуждения публичны, некоторые в режиме только для чтения посторонними, чтобы не засорять обсуждение важных вопросов.
• Решения принимаются путём проведения голосования в группе, наполовину состоящей из разработчиков, а наполовину из опытных пользователей.
• Более простая и лёгкая инфраструктура.
• Либеральная политика приёма изменений.
• Больше автоматического тестирования и упрощение выкатывания релизов.

Дальнейшие планы

>>> Подробности

Состоялся релиз дистрибутива для маршрутизаторов и беспроводных точек доступа OpenWrt 15.05.1. В данной версии были исправлены проблемы безопасности ядра (CVE-2016-0728), hostapd и samba36 (CVE patches from 2015-12-16).

Из других изменений стоит отметить:

• Обновление сетевых демонов netifd, procd, uci, rpcd, ubox и uhttpd.
• Расширение функциональности: добавление поддержки управления частотой процессора и питанием USB в Netgear R8000, а также поддержки sysupgrade в RapsberryPi.
• Исправления для подсистем ядра ramoverlay, multicast-to-unicast, ip6_fragment related skb_leak.
• Исправления пакета igmpproxy.
• Поддержка нового оборудования:
  • Linksys WRT1900ACS (mvebu)
  • D-LINK DIR-615 rev. Ix (ar71xx)
  • LinkIt Smart7688 (ramips)
  • Gainstrong MiniBox v1.0 (ar71xx)
  • ZBT WG2626 (ramips)
  • TP-LINK TL-WR841N/ND v10 (ar71xx)
  • TL-WR741ND v5 (ar71xx)
  • WR740N v5.0 (ar71xx)
  • TP-LINK TL-WR941ND v6 international version (ar71xx)
• Исправления драйверов:
  • ledtrig-netdev: исправлено возможное зависание драйвера;
  • bcm47xxpart: исправление bcm53xx для загрузки с RAW NAND накопителя с бэд-блоками;
  • brcmfmac: исправление установки и чтения уровня мощности радиопередатчика, поддержка получения трафика базовых станций и формирования луча;
  • 8139c: бекпортированны изменения из версии 4.3;
  • бекпортированны изменения для SPI-подсистемы ядра версии 4.2;
  • solos-pci: улучшен диапазон приёма данного WiFi чипа;
  • xrx200-net: исправлены проблемы функции мирроринга трафика порта (передача копий пакетов на другой интерфейс);
  • обновлена подсистема ядра mac80211 (добавлена поддержка mt76).

>>> Подробности

Фонд СПО сертифицировал роутер ThinkPenguin TPE-R1100 как устройство, обеспечивающее безопасность и приватность данных пользователя (Требования прохождения сертификации).

Мини-роутер оснащён системой LibreCMC (ответвление OpenWRT, очищенное от бинарных драйверов и прошивок, поставляется с ядром Linux-libre) и позиционируется как устройство для приватного доступа в сеть с использованием VPN-соединений и сети tor.

Аппаратная начинка:

• SoC: Atheros 9331 400M.
• Ethernet: 2x10/100Mbps.
• Wireless: 802.11 b/g/n (до 150 Mbps).
• USB: 1xUSB2.0.
• Цена: 58$.

>>> Подробности

Разработчики Mesh-сети MetaMesh, использующие беспроводные маршрутизаторы TP-LINK, получили подтверждение у службы поддержки о реализации блокировки загрузчика в очередном обновлении прошивки, которая не позволяет откатиться на прошлую прошивку или установить альтернативную прошивку.

Изменения внесены для приведения устройств в соответствие с новыми требованиями Федеральной комиссии по связи США (FCC), в соответствии с которыми пользователь не должен иметь возможности изменения параметров беспроводного адаптера, влияющих на формирование сигнала.

Самым простым способом соблюдения данного требования является запрет на модификацию или установку сторонних прошивок через проверку загружаемого образа. Предварительное изучение новой прошивки показало что TP-LINK не использует полноценный механизм верификации по цифровой подписи, а лишь проверяет некоторые поля в заголовке прошивки.

В настоящее время ограничения уже введены для моделей Archer C7 V2, Archer C1900 V1, Touch P5 V1, Archer C2600 V1, Archer C3200 V1, Archer C2 V1, Archer C5 V2, Archer C8 V1, Archer C9 V1, TL-WR841N V11, TL-WDR3500 V1, TL-WDR3600, TL-WR940N V3.0, TL- WR1043ND V3.0, TL-WR710N(USA) и TL- WR841N V9.0, но в будущем блокировка также будет реализована и во всех других ещё выпускаемых моделях беспроводных маршрутизаторов TP-LINK.

>>> OpenNet

Запущенная краудфандинговая кампания по финансированию открытого роутера Turris Omnia (лицензия CERN OHL) оказалось довольно успешной, на данный момент собрано более 400тыс. долларов. Первоначальной целью было собрать 100тыс. долларов. Сбор средств продлится еще 19 дней.

Turris Omnia оснащен двухъядерным процессором Marvell ARM Armada 385 1.6 GHz, 1 Gb ОЗУ, 4GB Flash, 6 гигабитными сетевыми портами (5 LAN + 1 WAN), mSATA, портом SFP, 2x USB 3.0, 2x Mini PCI Express и слотом для SIM-карты. WiFi поддерживает работу в режимах 3×3 MIMO 802.11ac и 2×2 MIMO 802.11b/g/n. Операционной системой будем форк openwrt при сохранении пакетной совместимости с последней.

Ранее разработчики уже выпускали две версии роутера который распространяли бесплатно в рамках исследовательского проекта.

>>> Подробности