O processo de seleção de palestras para a Linux Developer Conference Brazil foi finalizado e esta será a grade do evento que ocorrerá de 25 a 26 de Agosto:

  • Beautifying syscall args using kernel headers and eBPF in 'perf trace' -- Arnaldo Carvalho de Melo
  • Bootstrap of the Debian ppc64el port: history, concepts, techniques, and  challenges -- Mauricio Faria de Oliveira
  • Constructing a virtual CPU from the ground up -- Eduardo Habkost
  • Da linuxdev-br ao GSoC: Displays Virtuais no Kernel -- Rodrigo Siqueira
  • Generic Pin Configuration - Pin Control Subsystem  -- Matheus Castello
  • Implementing Transactional Memory in Kernel space -- Breno Leitão
  • Introduction to MTD memory in Linux -- Ezequiel Garcia
  • Keeping the ABI [somewhat] sane -- Gabriel F. T. Gomes
  • Managing client's projects in open source and being profitable -- Alvaro Solivares
  • O modelo de desenvolvimento de drivers do kernel Linux -- Sergio Prado
  • Open Source Peer-to-Peer Cloud Software for Everyone --- Jon "maddog" Hall
  • Performance counters in htop 3.0 -- Hisham Muhammad
  • Porting Linux to an Embedded Platform without pain -- Fabio Estevam
  • Securing Software Updates for IoT devices with TUF and Uptane -- Ricardo Salveti
  • The danger of ring3 rootkits -- Fernando Mercês
  • Three tales of Free Software in my teaching at Unicamp -- Islene Calciolari Garcia
  • Who's afraid of Spectre & Meltdown? -- Alexandre Oliva

Fonte: Email do Comitê da linuxdev-br

Add a comment

Slackware, famosa e pioneira distribuição Linux completa hoje seus 25 anos.

Relembrar é viver, na fonte está o email que iniciou a saga.

Quem lembrou os autores do Linux-BR deste fato foi o Leonardo Vaz.

Fonte: comp.os.linux - ANNOUNCE: Slackware Linux 1.00

Add a comment

Alguns dias atrás, a ARM através do seu "seleto time de marketing" criou um site chamado risc-basics.com dedicado a atacar e gerar FUD contra a arquitetura rival e aberta RISC-V. Os argumentos do site eram questionáveis e diversos membros da comunidade viram o site como uma forma de desmerecimento gratuito a RISC-V.

O efeito cascata mal calculado pela empresa foi: O site gerou revolta entre os funcionários da ARM que solicitaram para que a empresa tirasse do ar este website ridículo.

Fonte: OSNews

Fonte 2: The Register

Add a comment

Na tarde desta quarta-feira, 11/07, o site oficial da 18ª edição do FISL - Fórum Internacional Software Livre - sofreu um ataque de defacement, tendo seu conteúdo substituído por uma mensagem contrária à participação de movimentos feministas e ao projeto GNU no evento.

Só li verdades.

O autor da mensagem parabeniza a realização da 18ª edição mas pede aos organizadores que parem com a "palta" (sic) estúpida de feminismo geek e sugere a execução de um comando uname para suprimir o nome GNU das distribuições de Linux. O atacante, inclusive, promete, na mensagem, repetir o feito no ano que vem.

Em resposta, a ASL publicou uma nota no site do evento e, também, em sua conta no Twitter, na qual repudia o ataque:

Na tarde desta quarta-feira, o site oficial do FISL foi hackeado. Os autores do ataque veicularam na página ataques ao movimento feminista e à posição da Associação Software Livre.ORG (ASL), promotora do evento, de apoio à pauta dos direitos das mulheres.

A ASL repudia veementemente este ataque. Desde a sua criação, o FISL tem compromisso com a participação feminina no evento, incentivando-as na busca pelo seu crescimento neste segmento. Vale lembrar, o FISL foi pioneiro no Brasil na implantação de uma política anti-assédio, iniciativa replicada por vários outros eventos da área.

O FISL incentiva a participação e o protagonismo das mulheres, ministrando palestras e oficinas, valorizando perfis diversos, tais como desenvolvedoras, ativistas, pesquisadoras, professoras, autoras de livros técnicos, jornalistas, gamers entre outros, apostando no público feminino para gerar boas discussões e compartilhar conhecimento.

Ataques como este não nos farão voltar atrás. A ASL reitera a necessidade de continuar combatendo o atraso do machismo e todas as consequências que este e outros discursos de ódio trazem para o mundo.

Associação Software Livre.ORG

Vale lembrar que, há alguns anos, o FISL passa por dificuldades financeiras para se manter, tendo cancelado, inclusive, a edição do ano passado por falta de patrocinadores e após uma desastrosa campanha comunitária de arrecadação de fundos. De fato, já há alguns anos o evento tem dado um certo grau de prioridade a palestras sobre movimentos sociais, ativismo e educação, bem como a trilhas apoiadas em pseudociência, em detrimento de conteúdo técnico, o que vem desagradando entusiastas do software livre e open source e afastando antigos participantes. Em 2015, houve uma forte campanha, por parte de um conhecido ativista, para que o evento não utilizasse Ubuntu em seus computadores, o que talvez tenha contribuído para o afastamento de grande parte dos potenciais participantes. Outra reclamação frequente é o fato de o evento sempre ser realizado em Porto Alegre, o que dificulta a vinda de pessoas interessadas do resto do país.

Será que, com esse ataque e os demais antecedentes, já não está na hora de a ASL parar para pensar em sua trajetória e tomar novas decisões estratégicas para a próxima edição?

Add a comment

De acordo com reportagem do TecMundo, a famosa fabricante nacional Multilaser estaria vendendo smartphones com um malware instalado de fábrica.

A descoberta foi feita pela empresa de segurança UpStreal e publicado pelo The Wall Street Journal (nota: uma busca pelos termos Multilaser e Upstream no site do referido jornal não retorna resultados no momento em que este artigo é escrito...). O modelo afetado seria o MS50s. Basicamente, o malware se apresenta como uma ferramenta de atualização do sistema, o Multilaser Update, com nome interno de com.rock.gota. O referido modelo não seria certificado pela Google para receber atualizações OTA; portanto, esse programa seria utilizado para baixar e instalar os updates do sistema, em paralelo à solução oficial.

No entanto, segundo a reportagem, "assim que o celular é ligado, ele imediatamente começa a se comunicar de forma criptografada com um servidor da Gmobi e passa a baixar pacotes de propaganda. Esses anúncios podem ser usados para fraudar impressões de outros anúncios na internet ou mesmo dentro do software do próprio smartphone. Com isso, o malware também consegue gerar lucro para seus criadores com renda de propagada indevida". A reportagem ainda afirma que, "no caso de linhas pré-pagas, ele poderia inscrever o usuário em serviços indesejados simplesmente para consumir seus créditos".

Em sua defesa, a fabricante confirma que os aparelhos possuem o software instalado, mas negam que ele seja capaz de realizar as ações descritas. Além disso, a empresa afirma que uma atualização para os aparelhos será disponibilizada na próxima semana para substituir essa solução pela oficial da Google.

Add a comment

Mais uma daquelas ferramentas que é bom saber que existe, o httpu serve de console interativo para análise de diversos aspectos de API HTTP. Mostra informações detalhadas do comando enviado, resultado recebido, tempo em ms e estado da requisição. É desenvolvida em Go.

Tela da ferramenta em ação:

httpu

 

Fonte: GitHub httpu

Add a comment

O relatório do incidente de invasão do repositório do Gentoo já está disponível. Em detalhes na Wiki (fonte) que traduzimos aqui, podemos ter uma ideia da extensão do que aconteceu.

 

Logotipo do Gentoo

 

Sumário

Uma entidade desconhecida ganhou controle de uma conta admin da Organização Gentoo no Github e removeu acesso de todos os desenvolvedores. Esta efetuou várias alterações de conteúdo. Os Desenvolvedores e responsáveis pela Infraestrutura do Gentoo escalaram o incidente para a equipe do Github que congelou a Organização Gentoo. O Gentoo readquiriu controle a sua Organização no Github e então reverteu os commits ruins e conteúdo alterado.

Impacto

  • Aproximadamente 5 dias de repositório indisponível no Github.
  • Pull requests CI fora; apenas branch master disponível para novos incidentes.
  • O Projeto Gentoo Proxy Maintainers foi impactado já que diversos contribuidores do proxy-maint utilizam o GitHub para criar PRs.
  • A entidade tentou deletar conteúdo adicionando "rm -fr" a vários repositórios; contudo, o código não foi executado devido a diversos gatilhos de proteção.
  • Desenvolvimento que não dependia do proxy-maint continuou normalmente; mais de 700 commits foram feitos durante o incidente.

Conteúdo malicioso

Clones dos seguintes repositórios podem possuir conteúdo malicioso. O Gentoo recomenda recriar estes de um novo clone caso você tenha utilizado estes durante o período do ataque.

  • gentoo/gentoo: (2018-06-28 20:38 - 2018-06-29 06:58)
  • gentoo/musl: (2018-06-28 20:56 - 2018-06-29 06:59)
  • gentoo/systemd: (2018-06-28 21:07 - 2018-06-29 06:57)

Causa Raiz

O atacante obteve acesso a uma senha de administrador de organização. Evidencias coletadas sugerem que um schema de senhas vazados do site tornou fácil a descoberta de senhas de páginas não relacionadas.

Lições aprendidas

Parte boa

  • Time do Gentoo reportou rapidamente os problemas.
  • GitHub respondeu rapidamente ocultando a organização impactada.
  • Gentoo removeu rapidamente o acesso da conta invasora após localizado o acesso.
  • GitHub forneceu logs de auditoria que auxiliaram a mapear o incidente.

Parte ruim

  • Comunicação inicial não foi clara e teve falta de detalhe em duas áreas.
    • Como os usuários poderão verificar suas árvores para garantir uma cópia limpa?
    • Plano de ação prevendo que, mesmo recebendo commits maliciosos tais comimts não executem no usuário.
  • A comunicação veio por 3 vias (www.gentoo.org, infra-status.gentoo.org e listas de email. Mais tarde a wiki foi adicionada e o cenário ficou inconsistente quando a fonte primária de atualizações.
  • GitHub falhou em bloquear os repositórios através do git, resultando em commits maliciosos acessíveis externamente. O Gentoo teve que executar um force-push assim que descobriu o problema.
  • Procedimentos de revogação de credenciais foram incompletos.
  • Não havia um backup dos detalhes da Organização Gentoo no GitHub.
  • O repositório systemd não é espelhado do Gentoo, armazenado diretamente no GitHub.

Itens de sorte

  • Diversos Desenvolvedores Gentoo possuem contatos pessoais no GitHub, e na indústria da segurança isto pode ser de grande valia para a rápida resolução de um incidente.
  • O ataque foi barulhento; remover todos os desenvolvedores causou notificações por email. Por conta da credencial adquirida no repositório, um ataque mais quieto teria provocado uma janela de oportunidade maior.
  • O método usado pelos atacantes para enviar os commits (push forçado) fez o consumo downstream saltar aos olhos em notoriedade; isto também fez com que o git não agisse silenciosamente durante pulls em checkouts já existentes.

Fonte: wiki/Github/2018-06-28

Add a comment

No Arch Linux o repositório de usuários é a forma de obtenção de pacotes similar aos PPAs do Ubuntu, se chama Arch User Repository (AUR) e é o lugar onde pacotes "semi prontos" são hospedados.

Utilizamos o termo "semi prontos" para denotar que pacotes hospedados no AUR não são tecnicamente pacotes binários. São fontes com o arquivo de instrução PKGBUILD que será lido pelo comando makepkg -si. Este utilitário interpretará as instruções criando um pacote binário instalável com base nos fontes que você baixou através de download direto ou usando o git. Contudo, a responsabilidade por manter os pacotes atualizados, verificar problemas de segurança, identificar órfãos e resolver dependências recai no usuário e é aí que entram os "helpers do AUR".

O yaourt é um helper famoso e infelizmente é um dos menos seguros, mais usados e mais problemáticos. Ele não faz diversas validações de segurança (ver "helpers do AUR"), possui linha de comando ambígua que induz ao erro e pede senhas de usuário e de root durante instalações em mensagens não tão claras. Felizmente as notícias que rondavam as mídias do Arch Linux confirmaram e ele foi descontinuado. Uma opção melhor e muito mais segura de helper é o aurman.

Migrar para o aurman é simples. Instruções:

# pacman -R yaourt
$ git clone https://aur.archlinux.org/aurman.git
$ cd aurman
$ makepkg -si

Daqui pra frente é só usar o aurman para buscar e instalar pacotes AUR utilizando a mesma sintaxe do gerenciador pacman. Além de fazer o trabalho de compilação e resolução de dependências cruzadas (pacotes convencionais x AUR) ele categoriza os pacotes por popularidade (já que o mesmo pacote pode vir de usuários diferentes),  trabalha com chaves gpg e faz controles de segurança e limpeza de pacotes órfãos ou desnecessários através de sugestões em tela antes do processo de instalação ou atualização de pacotes AUR.

Add a comment

Entre os dias 2 e 4 de Julho de 2.008, o estado de São Paulo viveu uma situação apocalíptica e, até então, inimaginável: a Telefônica (hoje, Vivo), maior provedor de internet do estado, sofrera uma misteriosa pane que deixaria milhões de usuários do serviço, no maior estado do país, fora da rede mundial de computadores.

Add a comment