Новости про безопасность и программирование

GitHub готовит хранилище кода в Арктике

На фоне постоянного ускорения технологий мы практически перестали сохранять информацию для потомков. И некто задался вопросом, а что если все наши разработки исчезнут без следа? По этой причине GitHub решил открыть подземное хранилище в условия вечной мерзлоты — GitHub Arctic Code Vault.

Второго февраля GitHub сделал образ всех активных общественных репозиториев, которые он сохранит в убежище. В них входят все репозитории с минимум 250 звёздами, независимо от времени их последнего редактирования. Также в хранилище попадёт код, в который внесены изменения в период между 13 ноября 2019 года и 2 февраля 2020, а также все изменённые за год репозитории с минимум одной звездой.

Хранилище Arctic World Archive

Строительство Arctic Code Vault будет длиться около двух месяцев. Весной его направят в Савльбард, норвежский архипелаг в Северном Ледовитом океане, где и поместят его под землю в Arctic World Archive. Целью проекта является сохранение открытого исходного кода для будущих поколений. Для этого данные записывают на кадры плёнки из галогенида серебра по 8,8 миллионов пискселей на каждом. Эти кадры могут храниться более 1000 лет. Для сравнения, нынешние жёсткие диски и CD пригодны для хранения данных в течение нескольких десятилетий.

Arctic World Archive — это специальное место, предназначенное для хранения данных. Оно расположено рядом с Svalbard Global Seed Vault, хранилищем семян, защищающем наши растения от внезапного уничтожения. Архив находится на глубине 150 м внутри заброшенной угольной шахты внутри горы. А поскольку это зона вечной мерзлоты, температура внутри шахты всегда держится ниже нуля.

GitHub Arctic Code Vault

Вместе с данными в хранилище будут помещены также инструкции по их восстановлению и схема с их размещением. Возможно, историки будущего найдут эти сведения интересными.

Avast выпускает открытый декомпилятор

Выявление самого свежего вредоносного кода — всегда сложная задача, даже для профессионалов отрасли.

Чтобы помочь инженерам вести реверсный анализ машинного кода, компания Avast выпустила декомпилятор RetDec, который находился в разработке 7 лет. Примечательно, что он поддерживает не только PC архитектуру, но и другие, ключаря ARM, PIC32, PowerPC и MIPS. В дополнение к версии декомпилятора с открытым исходным кодом, опубликованным на GitHub, RetDec также выпущен в виде веб сервиса.

Чтобы им воспользоваться достаточно загрузить исполняемый или машинный код и получить сносную версию исходного кода. Конечно, получить оригинальный код по машинному невозможно, однако получить работающую или почти работающую копию эквивалентного кода для её изучения можно с небывалой до этого простотой.

Разработчики Avast также подготовили специальный REST API, который позволяет сторонним разработчикам использовать декомпилятор RetDec своих продуктах.

Android приложения с Heartbleed были загружены 150 миллионов раз

Пропатчить операционную систему Android, которая может быть уязвима, это один вопрос, и совсем другой — устранить уязвимости в приложениях для этой ОС.

Исследовательская фирма FireEye утверждает, что в мире было загружено порядка 150 миллионов приложений для Android, уязвимых к ошибке Heartbleed. И что ещё хуже, в Google Play полно уязвимых приложений, которые никак не сортированы, а значит, вам будет крайне неудобно узнавать, уязвима ли ваша любимая программа.

 «Приложения Android часто используют родные библиотеки, которые напрямую или косвенно касаются уязвимых библиотек OpenSSL», — отмечают исследователи. «Поэтому, несмотря на то, что платформа Android не подвержена уязвимости сама по себе, взломщики по-прежнему атакуют её уязвимые приложения. Они могут украсть сетевой трафик, перенаправить приложение на вредоносный сервер и затем послать приложению поддельное подтверждение heartbeat, чтобы украсть важный контент из памяти».

10 апреля специалисты FireEye установили, что уязвимые приложения были загружены 220 миллионов раз, однако спустя неделю их количество уменьшилось до 150 миллионов. Так что не всё плохо, есть и хорошие новости. Похоже, что авторы приложений достаточно быстро исправляют свои программы, делая их безопасными к Heartbleed.