El mes pasado compartimos aquí en el blog la nota sobre que el proyecto Gnome fue el ganador del mes de Junio del Microsoft FOSS Fund (puedes consultar la nota en este enlace) y ahora en este mes se dio a conocer a un gran conocido de nombre «CURL».

Para quienes desconocen del Microsoft FOSS Fund deben saber que este proporciona una forma directa para que los ingenieros de Microsoft participen en el proceso de nominación y selección para ayudar a las comunidades y los proyectos que les interesan. 

Microsoft FOSS Fund proporciona una forma directa para que los ingenieros de Microsoft participen en el proceso de nominación y selección para ayudar a las comunidades y los proyectos que les apasionan.

Un proyecto de la Oficina de Programas de Código Abierto de Microsoft , el Fondo FOSS proporciona patrocinios de $10,000 para proyectos de código abierto seleccionados por los empleados de Microsoft. Para ayudar a impulsar una cultura de contribución abierta en todo Microsoft, los empleados son elegibles para seleccionar proyectos para el fondo cuando participan en proyectos que no están regidos por Microsoft.

Un proyecto de la Oficina de Programas de Código Abierto de Microsoft, el Fondo FOSS proporciona proyectos de código abierto seleccionados por los empleados de Microsoft. Para fomentar una cultura de contribución abierta dentro de Microsoft, los empleados pueden seleccionar proyectos para el fondo cuando participen en proyectos que no estén regidos por Microsoft.

Los proyectos seleccionados para el Fondo FOSS de Microsoft reciben $10,000 de Microsoft, elegidos por todos los contribuyentes de código abierto de Microsoft que participan en la selección. Las nominaciones se aceptan diariamente y los proyectos se seleccionan mensualmente.

Para la empresa fundada por Bill Gates, el Fondo FOSS puede ayudar a conectarse con un nuevo conjunto de proyectos que tal vez no pensó en financiar en el pasado.

“Como Microsoft y sus muchos equipos patrocinan todo, desde conferencias de código abierto hasta contribuciones a fundaciones como Open Source Initiative (OSI) y grupos de la industria como Linux Foundation, esperamos que Fund FOSS pueda ayudarnos a conectarnos con un nuevo conjunto de proyectos que quizás no hubiéramos pensado financiar en el pasado, aportando valor real a las comunidades y proyectos que ayudan a que los productos y servicios de Microsoft funcionen y nuestros clientes»

CURL el ganador del FOSS Fund de Microsoft de Julio 2022

Tal y como mencionamos al inicio, este mes los empleados de Microsoft eligieron a Curl como receptor del Fondo FOSS de Microsoft.

Curl es una interfaz de línea de comandos, destinada a recuperar el contenido de un recurso accesible por una red informática. El recurso se designa mediante una URL y debe ser de un tipo compatible con el software. El software le permite crear o modificar un recurso (a diferencia de wget), por lo que puede usarse como un cliente REST.

El programa Curl implementa la interfaz de usuario y se basa en la biblioteca de software libcurl, desarrollada en lenguaje C. Por lo tanto, es accesible para los programadores que desean tener funcionalidades de acceso a la red en sus programas. Se han creado interfaces en multitud de lenguajes (C++, Java, .NET, Perl, PHP, Ruby…).

En el correo que recibió Daniel Stenberg (el fundador y desarrollador principal de cURL y libcurl)

Mi nombre es Emma Irwin y soy gerente de programas en Microsoft, específicamente trabajo en la oficina del programa de código abierto (OSPO). Uno de los programas que dirijo es el fondo FOSS .

Esto puede sonar un poco extraño, pero normalmente envío un aviso por correo electrónico a los ganadores del proyecto, sin embargo, alguien señaló que no notifiqué a curl de su premio (y no pude encontrar ningún historial de contacto). Como resultado, ¡ofrezco mis más sinceras disculpas ahora! – Con mucho gusto le avisaré ahora, ¡aunque los pagos en sí ya han comenzado!…

curl fue seleccionado en enero por $ 10, 000.00 proporcionados un mes, durante diez meses a través de Patrocinadores de GitHub.

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.

from Linux Adictos https://ift.tt/wEX4pg3
via IFTTT

Un grupo de investigadores de seguridad del equipo de uCode dieron a conocer la liberación del código fuente del proyecto «Microcode Decryptor» y que permite hacer exactamente lo que sugiere el nombre: es una herramienta, que consta de tres scripts de Python y está disponible en GitHub.

Microcode Decryptor permite decodificar el microcódigo de algunos procesadores Intel como Atom, Pentium y Celeron basado en microarquitecturas Goldmont y Goldmont Plus, lo que abre la puerta a diferentes escenarios, como comprender cómo Intel ha implementado ciertas funciones del procesador o ha implementado varias funciones y arreglos de seguridad.

La técnica Red Unlock desarrollada por los mismos investigadores en 2020 se puede utilizar para extraer el microcódigo cifrado. La posibilidad propuesta de descifrar el microcódigo permite explorar la estructura interna del microcódigo y los métodos para implementar instrucciones de máquina x86. Además, los investigadores recuperaron el formato de actualización del firmware, el algoritmo de cifrado y la clave utilizada para proteger el microcódigo (RC4).

Para determinar qué clave de cifrado usar, se utilizó una vulnerabilidad en Intel TXE para habilitar un modo de depuración no documentado, cuyo nombre en código es «Red Unlock» por los investigadores. En el modo de depuración, logramos cargar un volcado con un microcódigo en funcionamiento directamente desde la CPU y extraer el algoritmo y las claves de él.

Microcode Decryptor solo permite descifrar el microcódigo, pero no permite cambiarlo, ya que la integridad del microcódigo se verifica adicionalmente mediante una firma digital basada en el algoritmo RSA.

En cuanto al cómo fue posible el desarrollo de Microcode Decryptor, mencionan que se produjo hace tres años cuando Goryachy y Ermolov encontraron una vulnerabilidad crítica, indexada como Intel SA-00086, que les permitía ejecutar el código de su elección dentro del núcleo independiente de chips que incluía un subsistema conocido como Intel Management Engine.

Intel solucionó el error y lanzó un parche, pero debido a que los chips siempre se pueden revertir a una versión de firmware anterior y luego explotar, no hay forma de eliminar la vulnerabilidad de manera efectiva.

Posterior a ello (hace cinco mese), el trío de científicos pudo usar la vulnerabilidad para acceder a un modo de servicio integrado en los chips Intel, en un guiño a la película The Matrix, los investigadores llamaron a su herramienta para acceder a este depurador previamente indocumentado Chip Red Pill, porque permite a los investigadores experimentar el funcionamiento interno de un chip que generalmente está fuera de los límites.

Un portavoz de Intel dijo que:

«no debería haber ningún riesgo de seguridad» como resultado de la disponibilidad de la herramienta. De hecho, la compañía dijo que permitir que más personas revisen el microcódigo de Intel podría ayudar al fabricante de chips a identificar más vulnerabilidades en el futuro. Para cualquiera que tenga éxito en hacerlo, eso significa potencialmente ganar algo de dinero a través del programa de recompensas por errores de Intel.

«La capacidad de los investigadores para analizar el microcódigo podría permitir el descubrimiento de nuevas vulnerabilidades. Dado que este microcódigo ha sido expuesto, Intel invita a los investigadores a participar en el programa de recompensas por errores de microcódigo en caso de que se descubra algún problema», nos dijeron.

Por su parte los desarrolladores de esta herramienta comentaron que

«la oportunidad de leer el microcódigo de la CPU podría ayudar a comprender cómo Intel implementó tecnologías como Intel Trusted Execution Technology ( TXT ) o mitigó vulnerabilidades graves como Meltdown y Spectre.»

Yermolov, uno de los otros científicos, agregó que la disponibilidad de la herramienta significa que las personas ahora pueden explorar XuCode, una variante de código x86 en modo de 64 bits utilizada para implementar partes de Intel SGX que se descarga como una actualización de microcódigo. SGX es la tecnología de Intel para crear enclaves de memoria seguros: estas son áreas protegidas en las que otros programas y usuarios, incluso el sistema operativo o el hipervisor, no pueden interferir.

XuCode es bastante interesante: las instrucciones específicas de x86 para administrar enclaves SGX son tan complejas que se dividen en secuencias de instrucciones XuCode que realizan las operaciones necesarias.

Estas instrucciones de XuCode son estándar para la arquitectura x86 de 64 bits con algunas extensiones y el procesador las divide en microoperaciones x86 regulares. Cuando una aplicación usa una instrucción SGX de alto nivel, el procesador puede saltar a su XuCode para trabajar.

Estas secuencias de XuCode se almacenan en microcódigo y ahora se pueden extraer con los scripts de Python anteriores y analizarse con kits de ingeniería inversa x86 estándar.

Finalmente si estás interesado en poder conocer más al respecto sobre la herramienta, puedes consultar los detalles en el siguiente enlace.

from Linux Adictos https://ift.tt/9DE5Q8y
via IFTTT