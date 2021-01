Udostępnij:

Branża IT wydaje się być niewyczerpanym źródłem wiadomości, w którym trudno narzekać na nudę. Jednak opis ten zakłada, że każda wiadomość to "news", który da się opakować w interesujący kontekst, rzetelnie skomentować i sprzedać w sposób przykuwający czyjąkolwiek uwagę. A z tym bywa różnie. Niektóre wiadmości trzeba odpuszczać, bo wydają się zbyt mało istotne. Na niektóre z kolei brak "przepustowości" w zajęty dzień.

Każdą decyzję o odłożeniu newsa na bok da się racjonalizować doraźnymi wytłumaczeniami, ale gdy w kilka dni nazbiera się ich więcej niż zwykle, trudno oprzeć się wrażeniu, że o pewnych kwestiach powiedziano za mało. Nadają się one zatem na oddzielne zestawienie. Oto kilka takich newsów:

BugTraq zostaje zamknięty

Lista dyskusyjna BugTraq, będąca swojego czasu głównym źródłem wiadomości na temat dziur w zabezpieczeniach, została zamknięta. BugTraq powstał w czasach, gdy popkultura szczególnie mocno straszyła hakerami, a przedsiębiorstwa IT świadczyły pomoc techniczną niechętnie i powierzchownie. Doprowadziło to do rozkwitu "giełd dziur", gdzie wymieniano się informacjami na temat podatności w systemach informatycznych. Z powyższych powodów, zamiast konfrontować się z problemami z oprogramowaniem, ignorowano je, przez co niemożliwe bywało zidentyfikowanie źródeł skuteczności przeprowadzanych ataków.

Lista BugTraq umożliwiła wyciągnięcie dyskusji z podziemia na światło dzienne. Administratorzy mogli zabezpieczać swoje systemy bez kupowania drogiego wsparcia. Właściciele sieci zaczęli mieć choć ogóle pojęcie na temat tego, z jakimi zagrożeniami tak naprawdę się mierzą. A twórcy oprogramowania, z powodów wizerunkowych, zostali zmuszeni do poważniejszego podejścia do łatania błędów.

I was an early 1980s Internet hacker. Let me explain why "Bugtraq" is probably the most important achievement in the world of cybersecurity. https://t.co/Eh1ySWdNJU — Robᵉʳᵗ Graham😷, provocateur (@ErrataRob) January 16, 2021

Dziś "BugTraq" jest wszędzie. Wszystkie ważniejsze projekty IT otwarcie informują o podatnościach w kodzie, stosują wytyczne dot. publikacji eksploitów i w wielu przypadkach prowadzą Bug Bounty. Przestano udawać, że oprogramowanie nie zawiera luk, a BugTraq przestał być potrzebny. Jego zniknięcie to dobra wiadomość.

Office 2010 dostaje aktualizacje

Kolejny miesiąc z rzędu, Office 2010 otrzymuje łatki, choć nie powinien. Z każdą kolejną turą aktualizacji jest to coraz trudniejsze do wytłumaczenia. Dotychczas, sensowną była hipoteza o tym, że łatki przygotowano wcześniej, przed zakończeniem wsparcia, ale dopiero potem przeszły one przez proces testowania i spakowania.

(fot. Kamil Dudek)

Ale tym razem aktualizacje dotyczą dziur odkrytych pod koniec roku, a daty "produkcji" plików wskazują na późny grudzień. Oznacza to pracę wykonywaną po terminie zakończenia wsparcia. To oczywiście dobra wiadomość, ale pokazuje ona zarazem, że Microsoft dość wyrywkowo podchodzi do terminów, a oficjalna polityka cyklu życia jest odmienna od wewnętrznych decyzji biznesowych.

Wine 6.0

Warstwa zgodności Wine doczekała się wersji 6.0. Ten ciekawy i ambitny projekt, próbujący dostarczyć warstwę zgodności z aplikacjami Windows w systemach linuksowych przestał już być "niezbędny do zycia". W dalszym ciągu jest jednak szalenie popularny i często nieunikniony, więc jego rozwój jest niewątpliwie korzystnym zjawiskiem.

Lista zmian robi wrażenie. Główne składniki zostały zbudowane w formacie PE (!), a zależność od libwine osłabiono. Rozszerzono możliwości warstwy Direct3D, a także (niespodzianka) poprawiono zgodność z pomijanym często Media Foundation.

Zabawny błąd w wygaszaczu ekranu Cinnamon

Odkryto, a następnie naprawiono, dość śmieszny problem z programem cinnamon-screensaver. Chaotyczne naciskanie przycisków z jednoczesnym wykorzystaniem klawiatury ekranowej wykazało, że litera ē doprowadza wygaszacz ekranu do awarii. W efekcie program znika i ukazuje odblokowany pulpit znajdujący się "pod spodem" wygaszacza. Pozwala to ominąć hasło. Problem znalazły dzieci jednego z użytkowników, próbujące "włamać się" do zablokowanej stacji.

Choć problem jest efektem błędnej implementacji jednej z bibliotek wejścia, ukazuje pewną słabość projektową linuksowych wygaszaczy ekranów. XScreenSaver/xlock i jego duchowi następcy to po prostu pełnoekranowe aplikacje proszące o hasło. Ich awaria prowadzi do ich zniknięcia. Było to źródłem żartów już w dawnych latach, gdy jakość sterowników graficznych Linuksa była gorsza. Bardziej skomplikowane operacje graficzne kończyły się awarią i w efekcie, odblokowaniem sesji.

Istnieją próby rozwiązania tego problemu. Środowisko GNOME w Fedorze uruchamia wygaszacz/blokadę we współpracy z GNOME Shell i GDM. Jego awaria powinna prowadzić do przejścia do ekranu logowania. Windows z kolei rozróżnia wygaszacz od blokady. Jeżeli ma on być chroniony hasłem, pod spodem sesja jest blokowana przez LogonUI, systemowy menedżer interaktywnego logowania. Awaria wygaszacza po prostu ukaże ekran logowania, a awaria ekranu uniemożliwia dostanie się do trwającej sesji, która zazwyczaj w takim przypadku po prostu "spada".

I tyle?

Naturalnie, to nie wszystko. Juniper Junos miał ciekawe dziury. EFF wypowiedział się na temat cenzury mediów społecznościowych. Ciągle "coś się dzieje". Ale czasem warto przyswoić nieco mniejszą dawkę wiadomości, za to rzetelniej podanych.