Alguns dias atrás, a ARM através do seu "seleto time de marketing" criou um site chamado risc-basics.com dedicado a atacar e gerar FUD contra a arquitetura rival e aberta RISC-V. Os argumentos do site eram questionáveis e diversos membros da comunidade viram o site como uma forma de desmerecimento gratuito a RISC-V.

O efeito cascata mal calculado pela empresa foi: O site gerou revolta entre os funcionários da ARM que solicitaram para que a empresa tirasse do ar este website ridículo.

Fonte: OSNews

Fonte 2: The Register

Add a comment

Na tarde desta quarta-feira, 11/07, o site oficial da 18ª edição do FISL - Fórum Internacional Software Livre - sofreu um ataque de defacement, tendo seu conteúdo substituído por uma mensagem contrária à participação de movimentos feministas e ao projeto GNU no evento.

Só li verdades.

O autor da mensagem parabeniza a realização da 18ª edição mas pede aos organizadores que parem com a "palta" (sic) estúpida de feminismo geek e sugere a execução de um comando uname para suprimir o nome GNU das distribuições de Linux. O atacante, inclusive, promete, na mensagem, repetir o feito no ano que vem.

Em resposta, a ASL publicou uma nota no site do evento e, também, em sua conta no Twitter, na qual repudia o ataque:

Na tarde desta quarta-feira, o site oficial do FISL foi hackeado. Os autores do ataque veicularam na página ataques ao movimento feminista e à posição da Associação Software Livre.ORG (ASL), promotora do evento, de apoio à pauta dos direitos das mulheres.

A ASL repudia veementemente este ataque. Desde a sua criação, o FISL tem compromisso com a participação feminina no evento, incentivando-as na busca pelo seu crescimento neste segmento. Vale lembrar, o FISL foi pioneiro no Brasil na implantação de uma política anti-assédio, iniciativa replicada por vários outros eventos da área.

O FISL incentiva a participação e o protagonismo das mulheres, ministrando palestras e oficinas, valorizando perfis diversos, tais como desenvolvedoras, ativistas, pesquisadoras, professoras, autoras de livros técnicos, jornalistas, gamers entre outros, apostando no público feminino para gerar boas discussões e compartilhar conhecimento.

Ataques como este não nos farão voltar atrás. A ASL reitera a necessidade de continuar combatendo o atraso do machismo e todas as consequências que este e outros discursos de ódio trazem para o mundo.

Associação Software Livre.ORG

Vale lembrar que, há alguns anos, o FISL passa por dificuldades financeiras para se manter, tendo cancelado, inclusive, a edição do ano passado por falta de patrocinadores e após uma desastrosa campanha comunitária de arrecadação de fundos. De fato, já há alguns anos o evento tem dado um certo grau de prioridade a palestras sobre movimentos sociais, ativismo e educação, bem como a trilhas apoiadas em pseudociência, em detrimento de conteúdo técnico, o que vem desagradando entusiastas do software livre e open source e afastando antigos participantes. Em 2015, houve uma forte campanha, por parte de um conhecido ativista, para que o evento não utilizasse Ubuntu em seus computadores, o que talvez tenha contribuído para o afastamento de grande parte dos potenciais participantes. Outra reclamação frequente é o fato de o evento sempre ser realizado em Porto Alegre, o que dificulta a vinda de pessoas interessadas do resto do país.

Será que, com esse ataque e os demais antecedentes, já não está na hora de a ASL parar para pensar em sua trajetória e tomar novas decisões estratégicas para a próxima edição?

Add a comment

De acordo com reportagem do TecMundo, a famosa fabricante nacional Multilaser estaria vendendo smartphones com um malware instalado de fábrica.

A descoberta foi feita pela empresa de segurança UpStreal e publicado pelo The Wall Street Journal (nota: uma busca pelos termos Multilaser e Upstream no site do referido jornal não retorna resultados no momento em que este artigo é escrito...). O modelo afetado seria o MS50s. Basicamente, o malware se apresenta como uma ferramenta de atualização do sistema, o Multilaser Update, com nome interno de com.rock.gota. O referido modelo não seria certificado pela Google para receber atualizações OTA; portanto, esse programa seria utilizado para baixar e instalar os updates do sistema, em paralelo à solução oficial.

No entanto, segundo a reportagem, "assim que o celular é ligado, ele imediatamente começa a se comunicar de forma criptografada com um servidor da Gmobi e passa a baixar pacotes de propaganda. Esses anúncios podem ser usados para fraudar impressões de outros anúncios na internet ou mesmo dentro do software do próprio smartphone. Com isso, o malware também consegue gerar lucro para seus criadores com renda de propagada indevida". A reportagem ainda afirma que, "no caso de linhas pré-pagas, ele poderia inscrever o usuário em serviços indesejados simplesmente para consumir seus créditos".

Em sua defesa, a fabricante confirma que os aparelhos possuem o software instalado, mas negam que ele seja capaz de realizar as ações descritas. Além disso, a empresa afirma que uma atualização para os aparelhos será disponibilizada na próxima semana para substituir essa solução pela oficial da Google.

Add a comment

Mais uma daquelas ferramentas que é bom saber que existe, o httpu serve de console interativo para análise de diversos aspectos de API HTTP. Mostra informações detalhadas do comando enviado, resultado recebido, tempo em ms e estado da requisição. É desenvolvida em Go.

Tela da ferramenta em ação:

httpu

 

Fonte: GitHub httpu

Add a comment

O relatório do incidente de invasão do repositório do Gentoo já está disponível. Em detalhes na Wiki (fonte) que traduzimos aqui, podemos ter uma ideia da extensão do que aconteceu.

 

Logotipo do Gentoo

 

Sumário

Uma entidade desconhecida ganhou controle de uma conta admin da Organização Gentoo no Github e removeu acesso de todos os desenvolvedores. Esta efetuou várias alterações de conteúdo. Os Desenvolvedores e responsáveis pela Infraestrutura do Gentoo escalaram o incidente para a equipe do Github que congelou a Organização Gentoo. O Gentoo readquiriu controle a sua Organização no Github e então reverteu os commits ruins e conteúdo alterado.

Impacto

  • Aproximadamente 5 dias de repositório indisponível no Github.
  • Pull requests CI fora; apenas branch master disponível para novos incidentes.
  • O Projeto Gentoo Proxy Maintainers foi impactado já que diversos contribuidores do proxy-maint utilizam o GitHub para criar PRs.
  • A entidade tentou deletar conteúdo adicionando "rm -fr" a vários repositórios; contudo, o código não foi executado devido a diversos gatilhos de proteção.
  • Desenvolvimento que não dependia do proxy-maint continuou normalmente; mais de 700 commits foram feitos durante o incidente.

Conteúdo malicioso

Clones dos seguintes repositórios podem possuir conteúdo malicioso. O Gentoo recomenda recriar estes de um novo clone caso você tenha utilizado estes durante o período do ataque.

  • gentoo/gentoo: (2018-06-28 20:38 - 2018-06-29 06:58)
  • gentoo/musl: (2018-06-28 20:56 - 2018-06-29 06:59)
  • gentoo/systemd: (2018-06-28 21:07 - 2018-06-29 06:57)

Causa Raiz

O atacante obteve acesso a uma senha de administrador de organização. Evidencias coletadas sugerem que um schema de senhas vazados do site tornou fácil a descoberta de senhas de páginas não relacionadas.

Lições aprendidas

Parte boa

  • Time do Gentoo reportou rapidamente os problemas.
  • GitHub respondeu rapidamente ocultando a organização impactada.
  • Gentoo removeu rapidamente o acesso da conta invasora após localizado o acesso.
  • GitHub forneceu logs de auditoria que auxiliaram a mapear o incidente.

Parte ruim

  • Comunicação inicial não foi clara e teve falta de detalhe em duas áreas.
    • Como os usuários poderão verificar suas árvores para garantir uma cópia limpa?
    • Plano de ação prevendo que, mesmo recebendo commits maliciosos tais comimts não executem no usuário.
  • A comunicação veio por 3 vias (www.gentoo.org, infra-status.gentoo.org e listas de email. Mais tarde a wiki foi adicionada e o cenário ficou inconsistente quando a fonte primária de atualizações.
  • GitHub falhou em bloquear os repositórios através do git, resultando em commits maliciosos acessíveis externamente. O Gentoo teve que executar um force-push assim que descobriu o problema.
  • Procedimentos de revogação de credenciais foram incompletos.
  • Não havia um backup dos detalhes da Organização Gentoo no GitHub.
  • O repositório systemd não é espelhado do Gentoo, armazenado diretamente no GitHub.

Itens de sorte

  • Diversos Desenvolvedores Gentoo possuem contatos pessoais no GitHub, e na indústria da segurança isto pode ser de grande valia para a rápida resolução de um incidente.
  • O ataque foi barulhento; remover todos os desenvolvedores causou notificações por email. Por conta da credencial adquirida no repositório, um ataque mais quieto teria provocado uma janela de oportunidade maior.
  • O método usado pelos atacantes para enviar os commits (push forçado) fez o consumo downstream saltar aos olhos em notoriedade; isto também fez com que o git não agisse silenciosamente durante pulls em checkouts já existentes.

Fonte: wiki/Github/2018-06-28

Add a comment

No Arch Linux o repositório de usuários é a forma de obtenção de pacotes similar aos PPAs do Ubuntu, se chama Arch User Repository (AUR) e é o lugar onde pacotes "semi prontos" são hospedados.

Utilizamos o termo "semi prontos" para denotar que pacotes hospedados no AUR não são tecnicamente pacotes binários. São fontes com o arquivo de instrução PKGBUILD que será lido pelo comando makepkg -si. Este utilitário interpretará as instruções criando um pacote binário instalável com base nos fontes que você baixou através de download direto ou usando o git. Contudo, a responsabilidade por manter os pacotes atualizados, verificar problemas de segurança, identificar órfãos e resolver dependências recai no usuário e é aí que entram os "helpers do AUR".

O yaourt é um helper famoso e infelizmente é um dos menos seguros, mais usados e mais problemáticos. Ele não faz diversas validações de segurança (ver "helpers do AUR"), possui linha de comando ambígua que induz ao erro e pede senhas de usuário e de root durante instalações em mensagens não tão claras. Felizmente as notícias que rondavam as mídias do Arch Linux confirmaram e ele foi descontinuado. Uma opção melhor e muito mais segura de helper é o aurman.

Migrar para o aurman é simples. Instruções:

# pacman -R yaourt
$ git clone https://aur.archlinux.org/aurman.git
$ cd aurman
$ makepkg -si

Daqui pra frente é só usar o aurman para buscar e instalar pacotes AUR utilizando a mesma sintaxe do gerenciador pacman. Além de fazer o trabalho de compilação e resolução de dependências cruzadas (pacotes convencionais x AUR) ele categoriza os pacotes por popularidade (já que o mesmo pacote pode vir de usuários diferentes),  trabalha com chaves gpg e faz controles de segurança e limpeza de pacotes órfãos ou desnecessários através de sugestões em tela antes do processo de instalação ou atualização de pacotes AUR.

Add a comment

Entre os dias 2 e 4 de Julho de 2.008, o estado de São Paulo viveu uma situação apocalíptica e, até então, inimaginável: a Telefônica (hoje, Vivo), maior provedor de internet do estado, sofrera uma misteriosa pane que deixaria milhões de usuários do serviço, no maior estado do país, fora da rede mundial de computadores.

Add a comment

A Fundação NetBSD tem o prazer de anunciar o contrato de verão de 2018 com Philip Nelson (phil%NetBSD.org@localhost) para atualizar a pilha IEEE 802.11 com base no código existente no FreeBSD. Os objetivos do projeto são:

  • Minimizar as diferenças entre FreeBSD e NetBSD em suas pilhas IEEE 802.11 para tornar atualizações futuras mais fáceis.
  • Adicionar suporte aos novos protocolos 802.11N e 802.11AC
  • Melhorias no suporte SMP na pilha IEEE 802.11
  • Suporte ao Virtual Access Point (VAP).
  • Atualizar tantos drivers de interfaces wifi quanto o tempo permitir para a nova pilha IEEE 802.11 e VAP.

Status sobre o andamento da tarefa serão reportados semanalmente em tech-net%NetBSD.org@localhost durante o decorrer do contrato.

Fonte: Lista tech-net do NetBSD

Add a comment

Nos seis anos de existência do serviço Google Drive o Linux nunca foi agraciado pela Google com um cliente oficial. Em 2015, algumas supostas fotos do Google Drive rodando nativamente no Ubuntu vazaram na internet. Desde então, nenhuma atualização foi dada quanto ao assunto. Usuários Linux utilizam softwares de terceiros ou desenvolvidos por comunidades de ambientes de desktop como o conector do Nautilus/Gnome (pacote gnome-online-accounts) em interfaces GTK, KIO GDrive para KDE, clientes web (cof,cof,cof... gambiarras) para o Deepin Desktop, ou clientes proprietários como o Insync e o overGrive. Também há opções cli como o gdrive apesar de teoricamente ser um projeto morto.

O GCSF é uma nova opção de sistema de arquivos através da userspace (FUSE) que permite o acesso a uma conta Google Drive como se fosse um ponto de montagem no Linux. Os pré-requisitos para compilação do software no Ubuntu Linux são o pacote libfuse-dev e a árvore estável do Rust que pode ser encontrada aqui. Com base nesta informação, deve ser relativamente fácil para usuários de outras distribuições criarem um procedimento de instalação, e como a maioria dos sistemas operacionais da família BSD também possuem estes softwares em suas árvores de pacotes, deve ser relativamente fácil portar o GCFS ou rodar o software sem a necessidade de adequações.

Depois de inicializar e montar o Drive através do comando gcsf mount /mnt/dir/de/sua/escolha, os arquivos são exibidos de forma transparente para o usuário:

GCSF ls

No Thunar:

GCSF in Thunar

Fonte: Lobste.rs

 

Add a comment

O Wireguard é um software de VPN embutido no Linux que anda ganhando tração. Junto a este fato, sabemos que as VPNs tem se tornado cruciais nos dias de hoje para trespassar restrições geográficas mantendo as informações relativamente seguras aos espiões e infelizmente as soluções de VPN mais populares existentes tem seus problemas apesar da sua popularidade.

Soluções conhecidas como OpenVPN e IPsec são complexas e isto dificulta sua auditoria. Além disto, a OpenVPN possui código na userspace tornando-a lenta já que cada pacote precisa ser copiado numa série de trocas de contexto. Esta é uma imagem que mostra a diferença em quantidade de linhas de código de cada solução:

WireGuard VPN

 

Como já vimos antes, a VPN Wireguard é a nova solução emergente que oferece facilidade no uso, criptografia atualizada e facilidade de auditoria. Recebeu a "benção" do desenvolvedor e mantenedor Greg KH, um dos líderes no fluxo do desenvolvimento do Kernel, e como vimos está ganhando um bom número de clientes para outras plataformas. O desenvolvedor Jason Donenfeld está trabalhando para que o WireGuard seja incluído na mainline do Kernel em breve.

Além das figuras técnicas endossando o uso do Wireguard o Senador Ron Wyden, democrata do estado de Oregon, escreveu uma carta aberta ao NIST (National Institute of Standards and Technology) desencorajando o uso de tecnologias como OpenVPN e IPsec por agentes do governo, endossando a tecnologia do Wireguard e cobrando um posicionamento deste instituto para um estudo de viabilidade da adoção do Wireguard como uma solução padrão. Os motivos utilizados por Wyden são bons do ponto de vista técnico: Incorporação no Kernel, simplicidade de projeto/design, quantidade reduzida de opções criptográficas (removendo também código defasado e cifras menos seguras).

Fonte: XDA-Developers

Add a comment