En la conferencia LibrePlanet 2020 que se realizó en línea este año debido a la pandemia de coronavirus de este año, se realizó una ceremonia virtual de premiación para anunciar a los ganadores de los Free Software Awards 2019 anuales.

Estos son establecidos por la Free Software Foundation (FSF) y otorgados a las personas que hicieron la contribución más significativa en el desarrollo de software libre, así como proyectos libres socialmente significativos. Los registros conmemorativos y las cartas entregadas en la ceremonia se enviaron por correo a los ganadores.

El premio a la promoción y desarrollo de software libre fue otorgado a Jim Meyering que actualmente se encarga de mantener la utilidad GNU Coreutils, que incluye los servicios públicos tales como especie, cat, chmod, chown, chroot, cp, date, dd, echo, hostname, id, ln, ls, etc. Jim también es uno de los principales desarrolladores de autotools y el creador de Gnulib, que ha hecho un gran trabajo al unificar el código de tipo típico de los proyectos GNU.

En la nominación otorgada a proyectos que han traído beneficios significativos a la sociedad y contribuido a la solución de problemas sociales importantes, el premio fue otorgado al proyecto Let’s Encrypt, que apoya un centro de certificación sin fines de lucro controlado por la comunidad y proporciona certificados de forma gratuita.

Let’s Encrypt tuvo un impacto significativo en la transición de Internet al uso generalizado del tráfico encriptado en la Web y puso HTTPS a disposición de todos.

Utilizando el cifrado, Let’s Encrypt logró resolver un problema que parecía irresoluble debido al interés comercial en la infraestructura existente. Según Josh Aas, jefe de Let’s Encrypt, la libertad no es posible sin respetar la confidencialidad. Como la vida de muchas personas gira en torno a la Web,

En 2020, también hubo una nueva nominación por la destacada contribución de un nuevo participante al desarrollo de software libre, que se otorgó a los principiantes, cuya primera contribución mostró un marcado compromiso con el movimiento del software libre.

El premio fue recibido por Clarissa Lima Borges, una estudiante de la carrera de ingeniería de Brasil, participó en el programa Outreachy y manifiesta a sí mismos en el campo de las pruebas de usabilidad con una variedad de aplicaciones para Gnome.

El trabajo se centró en hacer que el software libre sea más conveniente para una amplia gama de personas que necesitan controlar completamente las aplicaciones utilizadas y sus datos.

De los ganadores anteriores, podremos encontrar a los siguientes:

• 2018 Deborah Nicholson, Directora de Relaciones con la Comunidad en Software Freedom Conservancy.
• 2017 Karen Sandler, Directora, Software Freedom Conservancy.
• 2016 Alexandre Oliva, popularizador brasileño y desarrollador de software libre, fundador de la Latin American Open Society Foundation, autor del proyecto Linux-Libre.
• 2015 Werner Koch, creador y desarrollador principal del kit de herramientas GNU Privacy Guard GnuPG.
• 2014 Sébastien Jodogne, autor de Orthanc, un servidor DICOM gratuito para acceder a datos de tomografía computada.
• 2013 Matthew Garrett, uno de los desarrolladores del kernel de Linux, miembro del consejo técnico de la Fundación Linux, que hizo una contribución significativa para garantizar el arranque de Linux en sistemas con UEFI Secure Boot.
• 2012 Fernando Pérez, autor de IPython, un shell interactivo para el lenguaje Python.
• 2011 Yukihiro Matsumoto, autor del lenguaje de programación Ruby. Yukihiro ha estado involucrado en el desarrollo de GNU, Ruby y otros proyectos de código abierto durante más de 20 años.
• 2010 Rob Savoye, líder del proyecto en la creación de un reproductor Flash gratuito Gnash, miembro del desarrollo de GCC, GDB, DejaGnu, Newlib, Libgloss, Cygwin, eCos, Expect, fundador de Open Media Now.
• 2009 John Gilmore, cofundador de la Electronic Frontier Foundation, creador de la legendaria lista de correo Cypherpunks y la jerarquía de conferencias Usenet alt. *. Fundador de Cygnus Solutions, la primera compañía en brindar soporte comercial para soluciones de software gratuitas. Fundador de los proyectos gratuitos Cygwin, GNU Radio, Gnash, GNU tar, GNU UUCP y FreeS / WAN.
• 2008 Wietse Venema (reconocido experto en el campo de la seguridad informática, creador de proyectos tan populares como Postfix, TCP Wrapper, SATAN y The Coroner’s Toolkit).

Fuente: https://www.fsf.org

from Linux Adictos https://ift.tt/2Wjp7m8
via IFTTT

Un equipo de investigadores de la Universidad Libre de Amsterdam, la Escuela Técnica Superior Suiza de Zurich y Qualcomm realizaron un estudio sobre la efectividad de la protección contra los ataques RowHammer utilizados en los chips de memoria DDR4, que permiten cambiar el contenido de bits individuales de memoria dinámica de acceso aleatorio (DRAM).

Los resultados fueron decepcionantes ya que DDR4 siguen siendo vulnerable (CVE-2020 a 10.255) a RowHammer, pues este fallo permite distorsionar el contenido de bits individuales de memoria leyendo cíclicamente los datos de las celdas de memoria vecinas.

Dado que DRAM es una matriz bidimensional de celdas, cada una de las cuales consta de un condensador y un transistor, la lectura continua de la misma área de memoria conduce a fluctuaciones de voltaje y anomalías, causando una pequeña pérdida de carga de las celdas vecinas.

Si la intensidad de lectura es lo suficientemente grande, entonces la celda puede perder una cantidad suficientemente grande de carga y el siguiente ciclo de regeneración no tendrá tiempo para restaurar su estado original, lo que conducirá a un cambio en el valor de los datos almacenados en la celda.

Para bloquear este efecto, los chips DDR4 modernos usan la tecnología TRR (Target Row Refresh), que está diseñada para evitar la distorsión celular durante un ataque RowHammer.

El problema es que no existe un enfoque unificado para la implementación de TRR y cada fabricante de CPU y memoria interpreta TRR a su manera, usando sus propias opciones de protección y sin revelar detalles de implementación.

El estudio de los métodos utilizados por los fabricantes para bloquear RowHammer facilitó la búsqueda de formas de evitar la protección.

Durante la verificación, resultó que el principio “seguridad por oscuridad” utilizado por los fabricantes durante la implementación de TRR solo ayuda a proteger en casos especiales, cubriendo ataques típicos que manipulan el cambio en la carga celular en una o dos filas adyacentes.

La utilidad desarrollada por los investigadores nos permite probar la susceptibilidad de los chips a las opciones multilaterales de ataque RowHammer, en el que se intenta influir en la carga de varias filas de celdas de memoria a la vez.

Tales ataques pueden eludir la protección TRR implementada por algunos fabricantes y dar lugar a la distorsión de los bits de memoria incluso en equipos nuevos con memoria DDR4.

De los 42 módulos DIMM estudiados, 13 eran vulnerables a las opciones de ataque RowHammer no estándar, a pesar de la protección reclamada. SK Hynix, Micron y Samsung lanzan módulos problemáticos, cuyos productos cubren el 95% del mercado de DRAM.

Además de DDR4, también se estudiaron los chips LPDDR4 utilizados en dispositivos móviles, que también resultaron sensibles para las opciones avanzadas de ataque RowHammer. En particular, la memoria utilizada en los teléfonos inteligentes Google Pixel, Google Pixel 3, LG G7, OnePlus 7 y Samsung Galaxy S10 resultó afectada.

Los investigadores pudieron reproducir varias técnicas de explotación en chips DDR4 problemáticos.

El uso del exploit RowHammer para PTE (entradas de tabla de página) requerido para obtener el privilegio de un núcleo de ataque dentro de 2.3 segundos a tres horas y quince segundos, dependiendo de los chips que se prueban.

Un ataque por daños a una clave pública RSA-2048 almacenada en la memoria tomó de 74.6 segundos a 39 minutos y 28 segundos. Un ataque para evitar la autorización mediante la modificación de la memoria del proceso de sudo tomó 54 minutos y 16 segundos.

Para probar los chips de memoria DDR4 utilizados por los usuarios, se publica la utilidad TRRespass. Un ataque exitoso requiere información sobre el diseño de las direcciones físicas utilizadas en el controlador de memoria en relación con bancos y filas de celdas de memoria.

Para determinar el diseño, se desarrolló adicionalmente la utilidad drama, que requiere comenzar con privilegios de root. En un futuro cercano, también se planea publicar una aplicación para probar la memoria de los teléfonos inteligentes.

Empresas Intel y AMD recomienda a proteger el uso de la memoria con corrección de errores (ECC), controladores de memoria con soporte para MAC y aplicar una mayor frecuencia de regeneración.

Fuente: https://www.vusec.net

from Linux Adictos https://ift.tt/33l2M9k
via IFTTT