LinuxAlt 2009: sobota o bezpečnosti a novinkách v software

Petr Krčmář 9. 11. 2009

Už čtvrtý ročník konference LinuxAlt se opět konal na podzim v Brně. První den byl především ve znamení bezpečnostních témat a novinek ve Firefoxu a distribucích Ubuntu a Fedora. Pokud jste letošní LinuxAlt nestihli, přinášíme vám reportáž s nejdůležitějšími informacemi, které na konferenci zazněly.

Další obrázky z konference naleznete ve speciální galerii.

Milan Brož: Šifrování dat „…a komu tím prospějete?“

Milan Brož ze společnosti Red Hat začal přednáškou o šifrování citlivých informací. Přednáška začala informacemi o tom, proč vůbec šifrovat. Milan Brož uvedl konkrétní příklady toho, jak různé banky a ministerstva obrany ztrácejí citlivá data včetně informací o jaderných střelách. Byl bych rád, kdyby se lidé, kteří se mají starat o data, o ně skutečně začali starat.

Od roku 2005 probíhají pravidelné studie, při kterých jsou zkoumány náhodně zakoupené disky z druhé ruky a je zkoumán jejich obsah. Přibližně na třetině disků se nachází zneužitelné citlivé informace, uvedl Brož. Nejčastěji se na discích nacházejí různé smlouvy, právnické dokumenty, kompletní účetnictví, ale i osobní citlivá data jako domácí lechtivé fotografie. Taková data mohou velmi jednoduše sloužit k vydírání.

LinuxAlt sobota

Dále byly zmíněny konkrétní hardwarové implementace týkající se jak specializovaných disků, tak i akceleračních metod v procesorech a zákaznických obvodech. Budoucností šifrování je nová instrukční sada Intel AES-NI, která při šifrování ulehčuje procesoru, ačkoliv výsledek není nijak zásadní, shrnul Brož.

Zbytek přednášky už byl věnován šifrování disků na úrovni blokových zařízení. V současné době je dm-crypt/LUKS velmi stabilní řešení, chyby které se objevovaly před lety už jsou dávno vyřešeny, upravuje se už jen výkon v některých specifických situacích, řekl Brož a zmínil, že dm-crypt umí v jádře využít hardwarovou akceleraci. Kromě dm-crypt byl krátce zmíněn také například Truecrypt.

Jednou z nejdůležitějších novinek, kterou LUKS nabízí, je funkce luksSuspend. Ta umožňuje během uspávání počítače automaticky zahodit šifrovací klíče držené v paměti. Nedávno jsem tuto funkci testoval a zatím jsem tam našel několik chyb a hesla se v některých situacích získat dala. Brzy odešlu do jádra některé opravy, vysvětlil aktuální stav Brož.

Milan Brož se dále věnovat útokům skrze fyzickou instalaci zákeřného kódu, která dokáže teoreticky obejít jakékoliv bezpečnostní řešení. V současné době není možné nijak vyřešit situaci, kdy máte v počítači nainstalován škodlivý kód s administrátorskými právy. Některými typy útoků jsou například Cold Boot, Stoned boot a Evil Maid. Obvykle jde o instalaci modifikovaného zavaděče systému nebo root kitu. Tyto útoky jsou obvykle předváděny na Windows, ale je možné je úplně stejně provést na Linuxu.

Michal Schmidt: Trusted computing

Následující přednáška volně navázala na tu předchozí, na které už byl koncept trusted computing okrajově zmíněn. Neumíme vytvořit dokonale bezpečný software, v operačních systémech se vždy najde řada chyb. Proto je využíváno hardwarových vylepšení, která mají za úkol chránit data, i v případě, že dojde k prolomení software či operačního systému.

LinuxAlt sobota

K tomu se používá takzvaný TPM (Trusted Platform Module). Jedná se o specializovaný čip v počítači, který dokáže uchovávat šifrovací klíčové páry, detekuje problémy v software a vydává informace o atestaci software. Integrita je kontrolována tak, že čip počítá kontrolní součty během bootu a ověřuje tak, zda nebyly pozměněny bootovací procesy. Pouze po bootu správného software začne čip pracovat a vydávat systému svá tajemství.

Dále byl popisován především čip jako takový, jeho funkce, uložené informace a spolupráce s počítačem. Hlavní využití čipu spočívá v takzvaném trusted bootu, kdy čip kontroluje kód spouštěný při bootování (BIOS, zavaděč, jádro systému) ještě dříve, než je spuštěn. Bootovací kód je spuštěn jen v případě, že souhlasí jeho kontrolní součet. Zkoumaný kód se tedy nemůže nijak kontrole vyhnout, upřesnil Schmidt. Pokud se celý start povede, může čip následně systému vydat klíč pro šifrování disku nebo se autorizovat proti serveru a oznámit mu, že počítač je důvěryhodný.

Nakonec se Michal Schmidt věnoval praktickým otázkám nasazení TC v Linuxu. Ovladač TPM je obsažen ve standardním jádře už velmi dlouho, od verze 2.6.11. Kromě ovladače jsou samozřejmě k dispozici další vrstvy, které implementuje projekt trousers. Vyvíjí ho především vývojáři IBM a je k dispozici ve většině distribucí. Od jádra 2.6.30 je díky patchi IMA od IBM možné využívat také ověřování dalších souborů na disku před jejich spuštěním. Má to ovšem velký výkonnostní dopad. Boot Fedory 12 se například prodlouží z 23 na 55 sekund, protože je potřeba načítat binárky celé a počítat jejich součty.

Trusted computing je ale velmi kontroverzní technika, kritizuje ji například FSF a nejhlasitějším odpůrcem je Richard Stallman. Nejčastějším argumentem je, že pomáhá výrobcům omezovat uživatele a posiluje nasazování DRM. Z hlediska uživatele také hrozí ztráta dat při poškození TPM čipu s nemigrovanými klíči.

Vojtěch Trefný: Ubuntu 9.10 Karmic Koala

Vojtěch Trefný z Ubuntu komunity hovořil o novém Ubuntu, které vyšlo 29. října letošního roku. Jedná se o jedenácté vydání, které zároveň znamená výročí vydávání Ubuntu. Ubuntu tímto vydání slaví zároveň páté narozeniny, protože první Ubuntu vyšlo v roce 2004.

Na začátku přednášky se Trefný věnoval evergreenu v podobě nového grafického vzhledu. Nový vzhled se slibuje už rok a půl, ale pořád se jedná jen o drobné posuny. V nové verzi došlo poprvé k větší změně grafického vzhledu. Není to žádná radikální změna, ale je to takový návrat ke kořenům, protože podobné barvy mělo i první Ubuntu.

Dalším častým tématem diskusí je neustálé zrychlování startu. Pro verzi 10.04 je metou start za 10 sekund. Tento čas se ale nebude týkat všech počítačů, ale jen některých vybraných, především netbooků. Původně se hovořilo o použití Plymouth, nakonec ale vývojáři použili pro nový start Usplash a Xsplash. To ovšem vyžaduje pro svůj start už nastartovaný X server. Rozhodně je ale znát zrychlení. K novému startu patří také nový GDM, který má ale podstatně horší možnosti změn vzhledu než starší verze.

LinuxAlt sobota

V novém Ubuntu je přítomno také GNOME 2.28. Většina změn v Ubuntu je navázána právě na novější verze GNOME. Hovoří se tak intenzivně o připravovaném GNOME 3, jehož vydání je ale zatím ve hvězdách. V každém případě ale GNOME 3 ještě v Ubuntu 10.04 nebude, dodal Trefný.

Novinek se dočkaly také některé důležité aplikace a utility. Nejviditelnější změnou je nahrazení IM klienta Pidgin a SIP klienta Ekiga pomocí Empathy. To je pravděpodobně nejkontroverznější změna, protože uživatelé tvrdí, že Empathy je příliš nový software, který ještě není připraven pro běžné použití. Pidgin samozřejmě v repositářích zůstal, ale většina uživatelů podle Trefného po instalaci používá to, co je předvoleno.

Velkou novinkou je také Centrum softwaru pro Ubuntu, to funguje jako nový správce software. Zatím umí jen přidávat a odebírat balíčky, to by se ale mělo změnit. Vývojáři mají s Centrem velké plány a postupně jím chtějí nahradit veškerou správu software včetně Synaptic. Časem by měla být k dispozici i možnost přímého nákupu komerčního software přímo přes tuto jednu aplikaci. To ale mnoho uživatelů považuje za odklon od myšlenky Ubuntu, ve kterém by mělo být vše zdarma. Někteří uživatelé ale chtějí komerční aplikace používat, tak proč jim to neulehčit.

Minulá verze Ubuntu měla nepříjemné problémy s grafickými kartami Intel. Ty se projevovaly nestabilitou a nízkým výkonem celého grafického subsystému. Všechny problémy s kartami Intel byly vyřešeny a vše funguje. Už můžete hrát bez problémů i méně náročné akcelerované 3D hry.

Pro Kubuntu 10.04 se chystá také verze Kubuntu Netbook Remix, což je varianta, která přinese na netbooky podporu KDE. Tato varianta je zatím k dispozici jen pro vývojáře, finální verze se dočkáme až za půl roku. Už je ale plně podporovaných 26 modelů netbooků a zbývají čtyři, pro které není podpora zatím stoprocentní.

Radek Vokál: Novinky ve Fedoře 12

Radek Vokál ze společnosti Red Hat se rozhovořil o linuxové distribuci Fedora. Přednáška se týkala samozřejmě především nové verze 12, která by měla vyjít už v úterý 17 listopadu. Za prvních pět týdnů si Fedoru 11 stáhlo skoro půl milionů lidí. Podle Vokála nová instalace Fedory na světě přibude každých 6 až 7 sekund.

Podle Vokála nebude dvanáctka žádným převratným vydáním. Příliš mnoho novinek ve dvanáctce není. Mnoho věcí se ale vylepšilo, dotáhlo do plné funkčnosti a podobně. Většina novinek už byla k dispozici už ve verzi jedenáct. K nejzajímavějším změnám patří: kompletní přepis modulu pro správu disků v instalátoru Anaconda, ext4 se stane standardním souborovým systémem a zjednoduší se také instalaci v textovém režimu.

I Fedora se snaží zkrátit dobu startu systému a používá také startovací systém Upstart, podobně jako Ubuntu. Vyvíjíme to vlastně společně s vývojáři Ubuntu. Kromě nového startovacího postupu dochází postupně k pročišťování standardních služeb a odstranění těch, které nejsou nezbytné. Snažíme se také dojít k plné paralelizaci startu, Upstart to už částečně umí, ale zatím to ještě nemáme nasazené.

LinuxAlt sobota

Ve Fedora 12 se poprvé objeví projekt s názvem Dracut místo initrd. Každá distribuce dnes využívá vlastní inicializační ramdisk, který si sestavuje systém po instalaci. To se snaží právě Dracut odbourat. Jedná se přímo o projekt Fedory, ale předpokládáme, že se brzy dostane i do upstreamu jádra.

Stejně jako v novém Ubuntu čeká uživatele nové GNOME 2.28 včetně IM klienta Empathy a vylepšený software pro webkamery Cheese. Fedora už od verze 10 obsahuje také PulseAudio, což je nadějná technologie pro správu zvuku, která ale měla dlouho velké technické problémy. Konečně by se mělo PulseAudio chovat rozumně, zkoušel jsem to ve dvanáctce a neměl jsem žádné problémy.

Uživatelé GNOME se postupně připravují na přechod na nový GNOME 3. Už nyní je ale možné si některé funkce vyzkoušet nanečisto. Pokud si chcete Gnome-shell vyzkoušet teď, stačí si doinstalovat stejnojmenný balíček. Ono vám to občas spadne, ale zkoušet můžete.

Nová Fedora 12 konečně se všemi balíčky přejde na dlouho slibovanou kompresi XZ, namísto stávající LZMA. To by mělo umožnit efektivnější komprimaci obsahu balíčků. Stejně tak je možné si zapnout yum-presto, což je rozšíření umožňující stahování binárních patchů balíčků. Přestože je možno takto ušetřit 60 až 80 procent datového toku při aktualizacích, zatím není presto standardně aktivován. Jednak jej ne všechny repositáře umějí obsloužit, ale hlavně se zvažuje, zda má yum-presto smysl opravdu ve všech případech. Pokud máte rychlé připojení, není třeba sestavováním balíčků zatěžovat procesor a můžete stahovat celé balíčky.

Pavel Cvrček: Mozilla dnes a zítra

Pavel Cvrček z Mozilla.cz si dal za úkol představit především celý projekt Mozilla, který je velmi rozsáhlý. Přibližně padesát procent vývojářů zdrojových kódů Mozilly jsou placení vývojáři, zbylých padesát procent tvoří vývojáři z komunity. Mozilla vyvíjí velké množství produktů, ale i dalších kódů, které jsou pak využívány v produktech jiných vývojářů. Ačkoliv nepoužíváte vědomě žádný produkt Mozilla, určitě v nějakém jiném programu část Mozilly máte.

Vlajkovou lodí Mozilly je samozřejmě webový prohlížeč Firefox. Ten je už obecně známý a v Evropě je paradoxně populárnější než v Americe, kde sídlí většinu vývojářů. V České republice se spustí přibližně milión instalací denně. V Česku je v současné době tržní podíl mezi 30 a 35 procenty, světově je to 20 až 25 procent.

LinuxAlt sobota

Vývojáři pro nás chystají novou verzi 3.6, která bude k dispozici už poměrně brzy. Jednou z hlavních novinek bude integrovaná podpora lehkých témat Personas. Původně se přitom jednalo o experimentální projekt. Personas se ujal velmi rychle a začaly ho používat miliony uživatelů. Postupně vzniklo přes 40 000 samostatných vzhledů.

Druhá důležitá novinka se týká bezpečnosti. Nový Firefox bude totiž automaticky hlídat aktuální verze zásuvných modulů a pohlídá je tedy místo uživatele. Bezpečnost obvykle uživatele nezajímá. Starají se o ni až ve chvíli, kdy dojde na skutečný problém.

Firefox také hodlá změnit svůj vývojový cyklus. Doposud vycházela nová verze přibližně do roka. To se mění a nové verze budou vycházet jednou za půl roku. Hlavním důvodem jsou rychle se rozvíjející proprietární technologie jako je Flash, Silverlight a podobně. Prohlížeč na to teď nedokáže reagovat a dokáže se situaci přizpůsobovat maximálně jednou za rok.

Pavel Cvrček nahlédl do vzdálenější budoucnosti Firefoxu. Budoucí verze 3.7 tak například přinese běh ve více vláknech. Plánuje se oddělení zásuvných modulů od samotného prohlížeče. Když spadne Flash, tak s sebou nevezme zbytek prohlížeče.

Mozilla pokračuje ve snaze přinést Firefox také na mobilní zařízení. Tento prohlížeč nese kódové označení Fennec a je vyvíjen pro Maemo a Windows Mobile. Podporován bude zřejmě i Symbian a Android. Bohužel nebude k dispozici pro iPhone. Důvodem jsou podmínky, které na software klade Apple.

Dalším tématem přednášky byl poštovní klient Thunderbird. S Thunderbirdem to vypadalo před časem bledě, Mozilla ho nechtěla a vývojáři odešli. V současné době vývoj opět běží a verze 3 je na dobré cestě. Zatímco verzi 2 vyvíjeli jen dva vývojáři, na aktuální verzi pod hlavičkou Mozilla Messaging pracuje 16 vývojářů. Novinek bude k dispozici celá řada. Pavel Cvrček zmínil především možnost pohodlnější konfigurace poštovního účtu, kdy bude uživateli stačit zadat jen e-mailovou adresu a heslo.

Řeč byla také o balíku SeaMonkey, který se v říjnu dočkal nové verze po 2,5 letech. V současné době jej vyvíjí komunita vývojářů bez záštity silné firmy. Dnes je to přibližně desítka aktivních vývojářů. Podařilo se jim dohnat náskok Firefoxu a Thunderbirdu a nový SeaMonkey 2 je dnes na technologické úrovni obou zmíněných programů.

Na konci přednášky Pavel Cvrček zmínil také rezervy projektu Mozilla. Hlavní potíž je podle jeho slov v tom, že do lokálních projektů přispívá velmi málo lidí. V Česku bych aktivní přispěvatele mohl spočítat na prstech jedné ruky. Dalším problémem je nedostatečná kontrola kvality, kdy například betaverze Thunderbirdu 3 měly problém s odesíláním pošty přes SMTP. Také nám odumírají lokalizace. Nepřicházejí noví lidé, takže lokalizací postupně ubývá, ale to je problém na celém světě.

Pokračování zítra

Zítra si budete moci přečíst další článek o dění z druhého dne konference LinuxAlt 2009.

Lupa.cz: Jak EET vidí ajťák aneb Drahá vražda UX

Jak EET vidí ajťák aneb Drahá vražda UX

120na80.cz: Velký přehled: 7 očkování proti exotickým nemocem

Velký přehled: 7 očkování proti exotickým nemocem

Vitalia.cz: Sója a rakovina

Sója a rakovina

Vitalia.cz: Co se platí u zubaře

Co se platí u zubaře

DigiZone.cz: Šlágr TV: pokuta 100 tisíc za on-line

Šlágr TV: pokuta 100 tisíc za on-line

Lupa.cz: Babiš: nevím o návodu, jak obejít blokování webů

Babiš: nevím o návodu, jak obejít blokování webů

Vitalia.cz: Muži kouří 24 cigaret denně, ženy o dost míň

Muži kouří 24 cigaret denně, ženy o dost míň

Podnikatel.cz: Šizený guláš na pultě. Jako Lidl to nedělejte

Šizený guláš na pultě. Jako Lidl to nedělejte

Vitalia.cz: Kurzy vaření piva

Kurzy vaření piva

120na80.cz: 10 nej přípravků na holení

10 nej přípravků na holení

DigiZone.cz: Konec geoblokace? Ani náhodou…

Konec geoblokace? Ani náhodou…

Lupa.cz: Kam si doma dáte internet věcí? Na polici?

Kam si doma dáte internet věcí? Na polici?

Vitalia.cz: Dnešní patolog o mrtvolu téměř nezavadí

Dnešní patolog o mrtvolu téměř nezavadí

Vitalia.cz: Syndrom PC vidění: stačí dvě hodiny denně

Syndrom PC vidění: stačí dvě hodiny denně

Podnikatel.cz: Alza radí e-shopům, jak opustit Heureku

Alza radí e-shopům, jak opustit Heureku

DigiZone.cz: ČT neskončí s nízkým rozlišením podle plánu

ČT neskončí s nízkým rozlišením podle plánu

Root.cz: Zákon o hazardu je v rozporu s ústavou

Zákon o hazardu je v rozporu s ústavou

DigiZone.cz: Konec geoblokace online médií?

Konec geoblokace online médií?

Podnikatel.cz: Proměny stavebnice Seva. Znáte ji?

Proměny stavebnice Seva. Znáte ji?

DigiZone.cz: UPC umí televizi sedm dní nazpět

UPC umí televizi sedm dní nazpět