Hacker News Digest

В NetBSD отсутствует полноценная технология sandboxing, в отличие от FreeBSD (jails) и Linux (namespaces). Существующий chroot считается слабым механизмом изоляции, так как ограничивает только представление файловой системы, но не изолирует сеть, IPC и монтирование. Предыдущие попытки реализации изоляции на уровне ядра с помощью инструментов gaols, mult и netbsd-sandbox не были интегрированы в систему.

В рамках Google Summer of Code 2025 планируется реализовать механизм, подобный Linux namespaces, используя bubblewrap. Проект фокусируется на двух типах namespace: UTS (для управления именем хоста) и mount (для изоляции файловых систем). Реализация будет использовать системные вызовы unshare или clone, а в ядре NetBSD - подсистему kauth для управления авторизацией и жизненным циклом credential. Это позволит не только добавить изоляцию приложений, но и улучшить совместимость с Linux-бинарниками через существующий compat_linux.

• Bubblewrap — основа песочницы Flatpak, используется для изоляции приложений (например, Claude Code/Codex/Gemini CLI) с контролем доступа к системе.
• NetBSD выделяется полной бит-в-бит воспроизводимостью бинарников и вендорингом GCC, что обеспечивает воспроизводимость всей цепочки инструментов; Golang также обеспечивает воспроизводимость реестра пакетов.
• Полные окружения рабочего стола (labwc, KWin, Plasma) могут запускаться через bwrap с привязкой устройств и временных файлов, с возможностью ограничения доступа.
• Sandbox-инструменты (bubblewrap, firejail) имеют ограничения в Linux, особенно на десктопе; AppArmor предлагает профили с автоматическим определением разрешений.
• Guix и FreeBSD (v15) также рассматриваются в контексте воспроизводимости сборок и безопасности.

Genode — это фреймворк для построения высокозащищённых операционных систем на основе компонентов, применяющий принцип минимальных привилегий и изоляцию процессов. Он использует микроядро, capability-based безопасность и sandboxing для управления сложностью, масштабируясь от встраиваемых устройств до динамических вычислительных систем общего назначения. Ключевые особенности включают строгую организацию компонентов, включая драйверы и системные сервисы, что снижает уязвимости и повышает надёжность.

Фреймворк активно развивается: последние версии, такие как 25.08, добавляют новый планировщик ядра для fairness и низкой задержки, обновляют драйверы Linux до ядра 6.12 и расширяют поддержку микроядра seL4. Для разработчиков доступны подробные руководства — «Genode Foundations» и «Genode Applications», — охватывающие архитектуру, инструменты и портирование приложений, а также Sculpt OS как готовое решение с многомониторной графикой и поддержкой современного железа, включая Intel Meteor Lake.

• Обсуждение архитектуры Genode как набора небольших компонентов, включая ядра и драйверы, в духе философии Unix, но с более широким охватом.
• Вопросы о практическом использовании Sculpt OS: наличие предустановок для десктопа, сложность настройки для новичков и минимальные требования к ресурсам (например, работа с GUI в условиях малого объема RAM).
• Уточнение названия проекта (Genode), которое некоторые участники ошибочно прочитали как "Genocide", и его возможной этимологии.
• Упоминания о долголетии проекта, его использовании разработчиками в качестве основной ОС и демонстрациях на мероприятиях вроде FOSDEM.
• Интерес к текущему состоянию и развитию микрокернельной экосистемы, а также к инструментам для разработки, таким как CI-пайплайны.

GrapheneOS и извлечение данных: мифы и реальность

GrapheneOS — защищённая Android-система, превосходящая iOS по ряду параметров. В мае в соцсетях разгорелась кампания, обвинявшая проект в «взломе»; на деле речь шла о добровольной выдаче кода владельцем.

Цифровая форензика

Цель — извлечь доказательства с устройств. Методы могут злоупотребляться против журналистов и активистов, поэтому GrapheneOS максимально усложняет изъятие без согласия.

Cellebrite

Израильская фирма продаёт комплекс UFED для извлечения данных. Оборудование поставляется и авторитарным режимам (Беларусь, РФ, КНР, Мьянма и др.).

Как вытащить информацию

1. Добровольное разблокирование — владелец сам вводит PIN.
2. Взлом — эксплойты или подбор кода.

Устройство бывает в двух состояниях:

• BFU — после перезагрузки, ключи шифрования не загружены, почти всё зашифровано.
• AFU — разблокировано хотя бы раз, ключи в памяти, доступ к данным шире, но экран может быть заблокирован.

• Утечки Cellebrite подтверждают: GrapheneOS с обновлениями после 2022 г. пока «не берётся» взломом.
• Ради высокой безопасности проект отказывается от официального root-доступа и поддерживает только Pixel (они единственные позволяют надёжно разблокировать/перезапирать загрузчик и имеют нужные аппаратные модули безопасности).
• Песочница GrapheneOS изолирует даже закрытые драйверы-блобы (Wi-Fi, модем, Bluetooth), минимизируя риск бэкдоров.
• Пользователи LineageOS считают переход на GrapheneOS оправданным: стабильные обновления, sandboxed Play Services и «выключатель» USB-порта.
• В дискуссии о «хороших/плохих» правительствах большинство сходится: любые власти могут (и будут) злоупотреблять доступом к данным, поэтому доверять кому-либо «вслепую» нельзя.