Daily Archives: June 27, 2023

La SFC presento un análisis de los problemas de la licencia GPL con el modelo comercial de Red Hat

Posted on by
sfc

sfc es una organización que brinda soporte de infraestructura y hogar sin fines de lucro para proyectos de software libre y de código abierto.

Desde el anuncio de la adquirió de Red Hat por parte de IBM la comunidad se dividió y muchos aseguraron que la compra de Red Hat no sería algo positivo para la comunidad a pesar de que IBM aseguraba que nada cambiaria y que todo sería igual, cosa que no fue asi, ya que con el movimiento de eliminar CentOS comenzaron a surgir muchas dudas sobre el futuro de la distribucion.

Y tal parece que los problemas han comenzado a surgir, ya que Bradley M. Kuhn, director ejecutivo y cofundador de Software Freedom Conservancy (SFC), resumió los problemas de cumplimiento de GPL derivados del modelo comercial de Red Hat.

En la publicación menciona que:

Red Hat ha logrado construir un modelo de negocio que, por un lado, se ve y funciona como un modelo propietario y, por otro lado, intenta tener en cuenta los términos de la GPL.

Los representantes de SFC llamaron la atención de la gerencia y los abogados de Red Hat sobre la naturaleza hostil del modelo comercial para el software de código abierto, pero las preocupaciones planteadas fueron ignoradas, en algunos casos con una propuesta de demandar si alguien cree que Red Hat viola la GPL.

Durante mucho tiempo, tales discusiones fueron un «secreto a voces», ya que había esperanza de que Red Hat cambiara su comportamiento, pero las acciones para eliminar el CentOS y detener el acceso público a los paquetes srpm de RHEL muestran que la situación solo está empeorando para Red Hat.

El modelo comercial de Red Hat, que consiste en que cada copia de RHEL incluye un contrato de soporte y una suscripción para recibir actualizaciones, no entra en conflicto formalmente con la GPL. El acuerdo con Red Hat menciona los derechos de reproducción, redistribución y reinstalación ilimitados otorgados por la GPL, pero también establece que la empresa se reserva el derecho de rescindir el acuerdo si las copias reales instaladas y compradas de RHEL no coinciden, lo que le obliga a elija entre la libertad de disposición del software y la conservación del estado de cliente de Red Hat.

Según los abogados de Red Hat, el modelo de negocios de la compañía es consistente con la GPL, ya que la GPL no requiere la preservación de relaciones contractuales entre organizaciones. Los abogados de la SFC no están seguros de esto, ya que la relación contractual puede terminarse por acciones que se garantizan en la GPL. Quién tiene razón sólo puede determinarse en un juicio.

El modelo de negocio se está equilibrando al límite, y la más mínima desviación de las reglas establecidas puede conducir a una violación más obvia de una licencia libre. Como ejemplo, se dan dos casos de violación de la GPL debido a la adición de acuerdos adicionales por parte de Red Hat. En ambos casos, Red Hat estuvo de acuerdo con los reclamos y dejó de presentar reclamos problemáticos a los clientes.

En el primer caso, una empresa que usaba RHEL en su infraestructura comenzó a enviar sus propios productos disponibles públicamente basados ​​en CentOS e incluía varios paquetes patentados creados directamente a partir de las fuentes del paquete RHEL. Red Hat afirmó que el producto contenía componentes RHEL y ofreció pagar regalías sobre las ventas. De lo contrario, Red Hat amenazó con dejar de brindar servicios de soporte y deshabilitar el acceso a las actualizaciones. Como la empresa era muy poderosa (una Fortune 500) y experimentada en la resolución de problemas legales, no cedió y Red Hat no se atrevió a rescindir el contrato con ella.

En esta situación, hubo una clara violación de los términos de la GPL, ya que el requisito de pagar regalías puede considerarse como una imposición de restricciones adicionales a los derechos otorgados por la licencia GPL. El texto de la GPL establece expresamente que es inaceptable cobrar derechos de licencia y regalías por ejercer los derechos que la licencia ya otorga. Red Hat intentó imponer una restricción adicional y, por lo tanto, violó la GPL.

En el segundo caso, Red Hat introdujo un requisito en un país para firmar un acuerdo adicional si el cliente reducía la cantidad de sistemas con RHEL en el contrato de servicio. El acuerdo requería que la organización eliminara cualquier exceso de copias de RHEL que quedara más allá de las especificadas en el nuevo acuerdo. Este requisito violó los términos de la GPL con respecto a la inadmisibilidad de futuras restricciones y los derechos otorgados por la licencia para hacer cualquier número de copias del programa. El Proveedor no puede exigir la eliminación de copias adquiridas legalmente de software con licencia GPL.

Los representantes de la organización SFC no excluyen que los casos señalados son solo la punta del iceberg y que los clientes pueden encontrar otros abusos por parte de Red Hat, que pueden imponer condiciones adicionales, aprovechando la ignorancia de los clientes sobre los matices del modelo comercial y los derechos que proporciona la licencia GPL.

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.

from Linux Adictos https://ift.tt/TWbyUMl
via IFTTT

Linux 6.4 ya fue liberado y llega con mejoras para Rust y mas

Posted on by
Linux Kernel

Linux es un núcleo mayormente libre semejante al núcleo de Unix.​ Es uno de los principales ejemplos de software libre y de código abierto.

Después de dos meses de desarrollo, Linus Torvalds dio a conocer el lanzamiento de nueva versión del kernel Linux 6.4 y entre los cambios más importantes, se destaca la integración continua de la compatibilidad con el lenguaje Rust, la compatibilidad con el mecanismo Intel LAM, la deduplicación de páginas de memoria a nivel de proceso, la compatibilidad con iteradores en BPF, soporte para hibernación para sistemas RISC -V, entre otras cosas mas.

En esta nueva versión se integraron 16012 correcciones de 2080 desarrolladores los cuales agregaron 1006924 líneas de código, se eliminaron 597615 líneas.

Principales novedades del Kernel de Linux 6.4

En esta nueva versión que se presenta de Linux 6.4 una de sus principales novedades es la capacidad de crear controladores a nivel de kernel a partir de procesos en el espacio del usuario. A diferencia del uso de la API kthread, los controladores creados en el espacio de usuario heredan las propiedades del proceso y se ejecutan con las credenciales del proceso del espacio de usuario.

Otro de los cambios que se destaca viene desde la rama de Rust-for-Linux en la cual se ha continuado la transferencia de funcionalidad adicional relacionada con el uso de Rust como segundo lenguaje para desarrollar controladores y módulos de kernel. En esta nueva versión de Linux 6.4 podremos encontrar que se agregó la API pin-init para la inicialización segura de las estructuras de datos adjuntas, asi como tambien el soporte para variables condicionales (CondVar) y que se implementó el paquete UAPI para la interacción con el espacio del usuario.

Ademas de ello, tambien podremos encontrar que se implementó una variante del mecanismo para combinar páginas de memoria idénticas, que funciona a nivel de proceso y puede reducir significativamente el consumo de memoria mediante la deduplicación de páginas con el mismo contenido. A diferencia del mecanismo KSM en la nueva implementación, la compatibilidad con la deduplicación se habilita a través de prctl para todo el proceso y se hereda para los procesos secundarios, sin necesidad de activar para cada rango de memoria mediante madvise, que simplifica significativamente la aplicación.

Por otra parte, los procesos sin privilegios pueden obtener información del subsistema kernel PSI (Pressure Stall Information), que permite el análisis del espacio del usuario de información sobre el tiempo de espera para obtener diversos recursos (CPU, memoria, E/S) para evaluar con precisión el nivel del sistema patrones de carga y desaceleración.

Tambien se destaca que para los sistemas basados ​​en la arquitectura RISC-V, se admite la hibernación y el kernel se puede compilar como un archivo vinculado en modo PIE (ejecutables independientes de la posición), ademas de que se agregó una nueva llamada al sistema riscv_hwprobe() para proporcionar información sobre el fabricante y la arquitectura del hardware disponible.

Se han agregado cambios a XFS para implementar el escaneo FS sobre la marcha (limpieza en línea), que se espera que se incluya en una de las próximas versiones (aunque ya se agregó la documentación en línea de fsck ) .

En Ext4 se ha simplificado la organización de la entrada, ademas de que se han realizado optimizaciones en la asignación previa de inodos para mejorar el rendimiento en sistemas con una gran cantidad de escrituras aleatorias. Las operaciones de lectura y escritura de páginas de memoria se han trasladado al uso de folios de páginas de memoria (page folios).

Btrfs ha reescrito el código de verificación del sistema de archivos para usar scrub_stripe, es compatible con la verificación de RAID56 y se ejecuta aproximadamente un 10 % más rápido. Rendimiento mejorado del registro de directorios (la eliminación de la enumeración de índices durante el registro permitió reducir 4 veces el tiempo dedicado a la ejecución de fsync).

De los demás cambios que se destacan de esta nueva versión:

  • El sistema de archivos F2FS agrega soporte para dispositivos de bloques zonificados, en los que el tamaño de las zonas no es un múltiplo de una potencia de dos.
  • Se modificó la codificación de los comandos ioctl para el controlador ublk, que aporta una lógica específica al lado del proceso en el espacio del usuario.
  • Se agregó la configuración de compilación UBLK_LEGACY_OPCODES para garantizar la compatibilidad con controladores más antiguos.
  • Está prohibido deshabilitar y descargar el módulo SELinux durante la operación.
  • Deshabilitar SELinux ahora solo se puede hacer en la etapa de arranque inicial pasando el parámetro «selinux=0» en la línea de comandos del kernel.
  • Se agregó soporte para hiperllamadas de Hyper-V que se utilizan para reenviar dispositivos PCI a invitados con controladores de Hyper-V. S
  • El hipervisor KVM implementa un marco para mover el procesamiento de solicitudes SMCCC al espacio del usuario, lo que permite implementar muchas operaciones relacionadas con la virtualización en el espacio del usuario sin agregarlas al kernel.
  • Se agregó la capacidad de adjuntar programas BPF para procesar enlaces de NetFilter, por ejemplo, para crear un controlador que decida reenviar paquetes o realizar acciones en la etapa anterior al enrutamiento.
  • El controlador msi-ec se ha agregado para permitir el control en el espacio del usuario de las funciones avanzadas de la computadora portátil MSI, como la selección del perfil de energía, el control de la velocidad del ventilador, el control de LED y los niveles de carga.

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.

from Linux Adictos https://ift.tt/UXDdRBq
via IFTTT

U.K. Cyber Thug PlugwalkJoe Gets 5 Years in Prison

Posted on by

Joseph James “PlugwalkJoe” O’Connor, a 24-year-old from the United Kingdom who earned his 15 minutes of fame by participating in the July 2020 hack of Twitter, has been sentenced to five years in a U.S. prison. That may seem like harsh punishment for a brief and very public cyber joy ride. But O’Connor also pleaded guilty in a separate investigation involving a years-long spree of cyberstalking and cryptocurrency theft enabled by “SIM swapping,” a crime wherein fraudsters trick a mobile provider into diverting a customer’s phone calls and text messages to a device they control.

Joseph “PlugwalkJoe” O’Connor, in a photo from a Globe Newswire press release Sept. 02, 2020, pitching O’Connor as a cryptocurrency expert and advisor.

On July 16, 2020 — the day after some of Twitter’s most recognizable and popular users had their accounts hacked and used to tweet out a bitcoin scam —  KrebsOnSecurity observed that several social media accounts tied to O’Connor appeared to have inside knowledge of the intrusion. That story also noted that thanks to COVID-19 lockdowns at the time, O’Connor was stuck on an indefinite vacation at a popular resort in Spain.

Not long after the Twitter hack, O’Connor was quoted in The New York Times denying any involvement. “I don’t care,” O’Connor told The Times. “They can come arrest me. I would laugh at them. I haven’t done anything.”

Speaking with KrebsOnSecurity via Instagram instant message just days after the Twitter hack, PlugwalkJoe demanded that his real name be kept out of future blog posts here. After he was told that couldn’t be promised, he remarked that some people in his circle of friends had been known to hire others to deliver physical beatings on people they didn’t like.

O’Connor was still in Spain a year later when prosecutors in the Northern District of California charged him with conspiring to hack Twitter. At the same time, prosecutors in the Southern District of New York charged O’Connor with an impressive array of cyber offenses involving the exploitation of social media accounts, online extortion, and cyberstalking, and the theft of cryptocurrency then valued at nearly USD $800,000.

In late April 2023, O’Connor was extradited from Spain to face charges in the United States. Two weeks later, he entered guilty pleas in both California and New York, admitting to all ten criminal charges levied against him. On June 23, O’Connor was sentenced to five years in prison.

PlugwalkJoe was part of a community that specialized in SIM-swapping victims to take over their online identities. Unauthorized SIM swapping is a scheme in which fraudsters trick or bribe employees at wireless phone companies into redirecting the target’s text messages and phone calls to a device they control.

From there, the attackers can reset the password for any of the victim’s online accounts that allow password resets via SMS. SIM swapping also lets attackers intercept one-time passwords needed for SMS-based multi-factor authentication (MFA).

O’Connor admitted to conducting SIM swapping attacks to take control over financial accounts tied to several cryptocurrency executives in May 2019, and to stealing digital currency currently valued at more than $1.6 million.

PlugwalkJoe also copped to SIM-swapping his way into the Snapchat accounts of several female celebrities and threatening to release nude photos found on their phones.

Victims who refused to give up social media accounts or submit to extortion demands were often visited with “swatting attacks,” wherein O’Connor and others would falsely report a shooting or hostage situation in the hopes of tricking police into visiting potentially lethal force on a target’s address.

Prosecutors said O’Connor even swatted and cyberstalked a 16-year-old girl, sending her nude photos and threatening to rape and/or murder her and her family.

In the case of the Twitter hack, O’Connor pleaded guilty to conspiracy to commit computer intrusions, conspiracy to commit wire fraud, and conspiracy to commit money laundering.

The account “@shinji,” a.k.a. “PlugWalkJoe,” tweeting a screenshot of Twitter’s internal tools interface, on July 15, 2020.

To resolve the case against him in New York, O’Connor pleaded guilty to conspiracy to commit computer intrusion, two counts of committing computer intrusions, making extortive communications, two counts of stalking, and making threatening communications.

In addition to the prison term, O’Connor was sentenced to three years of supervised release, and ordered to pay $794,012.64 in forfeiture.

To be clear, the Twitter hack of July 2020 did not involve SIM-swapping. Rather, Twitter said the intruders tricked a Twitter employee over the phone into providing access to internal tools.

Three others were charged along with O’Connor in the Twitter compromise. The alleged mastermind of the hack, then 17-year-old Graham Ivan Clarke from Tampa, Fla., pleaded guilty in 2021 and agreed to serve three years in prison, followed by three years probation.

This story is good reminder about the need to minimize your reliance on the mobile phone companies for securing your online identity. This means reducing the number of ways your life could be turned upside down if someone were to hijack your mobile phone number.

Most online services require users to validate a mobile phone number as part of setting up an account, but some services will let you remove your phone number after the fact. Those services that do you let you remove your phone number or disable SMS/phone calls for account recovery probably also offer more secure multi-factor authentication options, such as app-based one-time passwords and security keys. Check out 2fa.directory for a list of multi-factor options available across hundreds of popular sites and services.

from Krebs on Security https://ift.tt/RtDBA7v
via IFTTT