Christoph Hellwig, un destacado desarrollador de kernel de Linux que alguna vez fue miembro del comité de dirección técnica de la Fundación Linux y demandó en un litigio de GPL contra VMware.

Ha propuesto reforzar las protecciones contra la vinculación de controladores propietarios a componentes de kernel de Linux exportados solo para módulos licenciados bajo la GPL.

Para evitar la restricción de exportar símbolos GPL, los fabricantes de controladores propietarios usan un módulo de capa, cuyo código es de código abierto y se distribuye bajo la licencia GPLv2, pero las funciones se reducen a transmitir el acceso del controlador propietario a las API de kernel necesarias, cuyo uso está prohibido directamente desde el código propietario.

Para bloquear tal maniobra, Christoph Helwig preparó parches para el kernel de Linux que aseguran la herencia de las banderas asociadas con la exportación de símbolos GPL.

Hemos tenido un error en nuestra resolución de módulos _GPL desde el primer día,
es decir, un módulo puede reclamar tener licencia GPL y usar exportaciones _GPL, mientras que también depende de símbolos de módulos que no son GPL. Esto se usa como una elusión de las exportaciones _GPL mediante el uso de un pequeño módulo de calce que utiliza las exportaciones _GPL y la otra funcionalidad.

La propuesta se reduce a heredar el indicador TAINT_PROPRIETARY_MODULE en todos los módulos que importan símbolos de módulos con este indicador.

Por lo tanto, si un módulo de capa intermedia GPL intenta importar símbolos de un módulo que no es GPL, el módulo GPL heredará la etiqueta TAINT_PROPRIETARY_MODULE y no podrá acceder a los componentes del núcleo disponibles solo para módulos con licencia GPL, incluso si el módulo importó previamente símbolos de «gplonly «.

El parche de Hellwig ahora está tratando de hacer esto difícil. Los módulos que importan símbolos propietarios están marcados como propietarios y no tienen acceso a los símbolos GPL. 

El cambio se propuso en respuesta a una serie de parches publicados por un ingeniero de Facebook con la implementación de un nuevo subsistema netgpu, que permite el intercambio directo de datos (copia cero DMA) entre la tarjeta de red y la GPU, mientras realiza el procesamiento del protocolo por parte de la CPU.

Esto evitaría el método originalmente planeado por Jonathan Lemon para sus parches y haría que el desarrollo de las capas intermedias para omitir el símbolo GPL sea mucho más difícil, incluso si todavía hay una pequeña brecha, como lo indica.

En la discusión que actualmente están tendiendo diversos desarrolladores del Kernel de Linux también se sugirió el bloqueo inverso: si un módulo importa símbolos EXPORT_SYMBOL_GPL, los símbolos exportados por ese módulo no deben importarse por módulos que no reclamen explícitamente la compatibilidad GPL.

Aquellos sin un módulo importa símbolos EXPORT_SYMBOL_GPL, todos sus símbolos exportados deben tratarse como EXPORT_SYMBOL_GPL.

Christoph Helwig escribió que está 100% de acuerdo con esta propuesta, pero Linus Torvalds no se perderá ese cambio, ya que hará que la mayoría de los subsistemas del núcleo no estén disponibles para los controladores propietarios, debido al hecho de que al desarrollar controladores, los símbolos base se exportan bajo GPL

Los desarrolladores no estaban satisfechos con la disponibilidad de la implementación solo para los controladores NVIDIA patentados a través de la capa GPL proporcionada por estos controladores.

En respuesta a las críticas, el autor del parche indicó que el subsistema no está vinculado a NVIDIA y su soporte se puede proporcionar, entre otras cosas, para interfaces de software para GPU AMD e Intel.

Como resultado, la promoción de netgpu en el núcleo se consideró imposible hasta la disponibilidad de soporte de trabajo basado en controladores gratuitos como AMDGPU, Intel i915 o Nouveau.

Hay que recordar que en el pasado, la comunidad del kernel de Linux ha implementado una variedad de cambios que, a sabiendas o como efecto secundario, han dificultado el desarrollo de módulos propietarios o no compatibles con licencias.

Finalmente si quieres conocer mas al respecto, puedes consultar los detalles dirigiéndote al siguiente enlace.

Fuente: https://lkml.org/

from Linux Adictos https://ift.tt/3guGIPc
via IFTTT

Meow es un ataque que continúa ganando impulso y es que desde hace ya varios días se han dado a conocer diversas noticias en el que diversos ataques desconocidos destruyen datos en instalaciones desprotegidas de acceso público de Elasticsearch y MongoDB.

Además de que también se registraron casos aislados de limpieza (aproximadamente el 3% de todas las víctimas en total) para bases de datos desprotegidas basadas en Apache Cassandra, CouchDB, Redis, Hadoop y Apache ZooKeeper.

Sobre Meow

El ataque se lleva a cabo a través de un bot que enumera los puertos de red DBMS típicos. El estudio del ataque en un servidor honeypot falso ha demostrado que la conexión del bot se realiza a través de ProtonVPN.

La causa de los problemas es la apertura del acceso público a la base de datos sin la configuración de autenticación adecuada.

Por error o descuido, el controlador de solicitud se adjunta no a la dirección interna 127.0.0.1 (localhost), sino a todas las interfaces de red, incluida la externa. En MongoDB, este comportamiento se ve facilitado por la configuración de muestra que se ofrece de forma predeterminada, y en Elasticsearch antes de la versión 6.8, la versión gratuita no era compatible con el control de acceso.

La historia con el proveedor de VPN «UFO» es indicativa, en la que se reveló una base de datos Elasticsearch de 894 GB disponible públicamente.

El proveedor se posicionó como preocupado por la privacidad del usuario y no guardando registros. Contrariamente a lo dicho, había registros en la base de datos emergente que incluían información sobre las direcciones IP, el enlace de la sesión al tiempo, las etiquetas de ubicación del usuario, información sobre el sistema operativo y el dispositivo del usuario, y listas de dominios para insertar anuncios en el tráfico HTTP desprotegido.

Además, la base de datos contenía contraseñas de acceso de texto sin cifrar y claves de sesión, lo que permitió descifrar las sesiones interceptadas.

El proveedor de VPN «UFO» fue informado del problema el 1 de julio, pero el mensaje permaneció sin respuesta durante dos semanas y se envió otra solicitud al proveedor de alojamiento el 14 de julio, después de lo cual la base de datos estuvo protegida el 15 de julio.

La compañía respondió a la notificación de moviendo la base de datos a otra ubicación, pero una vez más no pudo asegurarla adecuadamente. No mucho después, el ataque de Meow la aniquiló.

Ya que el 20 de julio, esta base de datos volvió a aparecer en el dominio público en una IP diferente. En cuestión de horas, se eliminaron casi todos los datos de la base de datos. El análisis de esta eliminación mostró que estaba asociado con un ataque masivo llamado Meow por el nombre de los índices que quedan en la base de datos después de la eliminación.

«Una vez que los datos expuestos fueron asegurados, volvieron a aparecer por segunda vez el 20 de julio en una dirección IP diferente: todos los registros fueron destruidos por otro ataque del robot ‘Meow’», tuiteó Diachenko a principios de esta semana. .

Victor Gevers, presidente de la fundación sin fines de lucro GDI, también fue testigo del nuevo ataque. Afirma que el actor también está atacando las bases de datos expuestas de MongoDB. El investigador observó el jueves que quien está detrás del ataque aparentemente apunta a cualquier base de datos que no sea segura y accesible en Internet.

Una búsqueda a través del servicio Shodan mostró que varios cientos de servidores más también se habían convertido en víctimas de la eliminación. Ahora el número de bases de datos remotas se acerca a 4000 de las cuales más del 97% de estas son bases de datos Elasticsearch y MongoDB.

Según LeakIX, un proyecto que indexa servicios abiertos, Apache ZooKeeper también fue blanco del ataque. Otro ataque menos malicioso también etiquetó 616 archivos ElasticSearch, MongoDB y Cassandra con la cadena «university_cybersec_experiment». 

Los investigadores sugirieron que en estos ataques, los atacantes parecen demostrar a los mantenedores de bases de datos que los archivos son vulnerables a la visualización o eliminación.

from Linux Adictos https://ift.tt/2DjinxE
via IFTTT

En nuestro repaso sobre la computación tras la cortina de Hierro, vamos a hacer un pequeño desvió para contar como los aficionados a la tecnología se las arreglaban en Yugoslavia. En particular nos vamos a referir a un equipo, el Galaksija, que no solo podría ser considerado algo así como un tío abuelo de dispositivos de hardware abierto como la Raspberry Pi, además dio origen a un movimiento que recuerda mucho al de las comunidades de código abierto.

Aunque se consideraba un país socialista, Yugoslavia se las arregló para permanecer independiente de Moscú, bajo el fuerte liderazgo de su presidente vitalicio Josip Broz Tito.

Este país, que ya no existe, estaba conformado por seis repúblicas socialistas; Bosnia y Herzegovina, Croacia, Eslovenia, Macedonia, Montenegro y Serbia.

Junto con India, Egipto, Ghana, e Indonesia, Yugoslavia fundó el Movimiento de los No Alineados, un acuerdo de naciones en desarrollo que aspiraban a mantener su neutralidad durante la Guerra Fría.

Con la amenaza permanente de que su vecino soviético decidiera disciplinar al hermano socialista díscolo, y sin poder recurrir a Washington sin resignar su apuesta por el socialismo, Tito debió encontrar una forma de impulsar la industria local de armamentos y de diversos productos de consumo masivo. Esto requería una capacidad de control que solo podría conseguirse con las computadoras.

El Dr. Rajko Tomović , especialista en robótica, junto con equipos de matemáticos e ingenieros mecánicos comenzó el desarrollo de la industria informática yugoslava. Para los años 80 existían varios modelos de computadoras de producción local que no estaban al alcance del yugoslavo medio, y algunos más importados, aunque esto tampoco era fácil.

Como resultado, el uso de computadoras que en Occidente se destinaban al uso doméstico, en Yugoslavia solo podían hallarse en oficinas gubernamentales, grandes empresas y universidades.

Un joven ingeniero e inventor, Voja Antonić, tuvo acceso al manual de un nuevo chip desarrollado por la RCA. Al leerlo se le ocurrió la idea de construir una computadora cuyos gráficos de 64×48 bloques fueran generados en su totalidad utilizando el microprocesador Zilog Z80A, muy barato y disponible en tiendas de electrónica en toda Yugoslavia.

Opensource a la yugoslava

Dado que el diseño de Antonić simplificaba la construcción y reducía el precio, hizo posible que los usuarios sin conocimientos técnicos pudieran montar el ordenador por si mismos.

Antonić buscaba un lugar para publicar los diagramas de su invento y logró que un amigo común lo conectara con Galaksija, una revista de divulgación científica.

La revista editó un número especial llamado Computadoras en su casa y estaba dedicada en su mayor parte a la computadora de Antonić: incluyendo los diagramas, instrucciones completas para el montaje del circuito y lugares donde conseguir los materiales.

La publicación tuvo una tirada de 120.000 ejemplares y al menos 8.000 lectores aseguraron haber construido su propia Galaksija

El microordenador de Antonić contenía 4K bytes de memoria , y solo podía mostrar tres mensajes de error de una palabra: ¿QUÉ?» Para errores de sintaxis, un ¿CÓMO? si si no se reconocía la instrucción, y LO SIENTO si superaba la capacidad de memoria.

Al igual que otros modelos de la época, Galaksija utilizaba al casete como medio de almacenamiento. Pero, para impedir protecciones anticopia y facilitar la modificación y distribución de los programas, Antonić impidió en su diseño que los programas arrancaran automáticamente. El usuario tenía que escribir un comando para iniciar la ejecución. Esto hacía que el contenido de una cinta pudiera ser editado o duplicado.

A continuación, entro en escena Zoran Modli, un popular locutor de la época. Desde la revista le propusieron tener en el programa un segmento donde transmitir programas por la radio para que los oyentes pudieran grabarlos y luego cargarlos en su computadora. Fue un éxito instantáneo.

Los oyentes comenzaron a escribir programas y enviarlos por correo a la estación. Esos programas incluían contenido de tipo diverso como revistas, invitaciones para fiestas, guías de estudio y juegos. En muchos casos eran mejoras de programas creados por otros oyentes.

Con la muerte de Tito, Yugoslavia entró en un período de incertidumbre política y económica que terminaría con la desaparición del país. Las restricciones se eliminaron y los productos occidentales relegaron a este equipo al arcón de los recuerdos.

from Linux Adictos https://ift.tt/30ucQx8
via IFTTT