Grseguridad

La versión actual de la página aún no ha sido revisada por colaboradores experimentados y puede diferir significativamente de la versión revisada el 14 de marzo de 2021; las comprobaciones requieren 16 ediciones .
Grseguridad
Tipo de Parche
Escrito en C [1]
Sistema operativo linux
Licencia GNU GPL 2 [2]
Sitio web grsecurity.net

Grsecurity  es un conjunto propietario de modificaciones ( parche ) para el kernel de Linux , que incluye varias mejoras relacionadas con la seguridad , incluida la protección de la memoria del kernel y los procesos del usuario, control de acceso forzado , aleatorización de la ubicación de objetos en la memoria , restricciones de acceso a archivos en / proc, restricciones de acceso a las interfaces del sistema dentro de chroot () jail, restricciones en el uso de sockets de red de servidor y cliente, así como características adicionales para auditar la actividad del proceso y algunas otras funciones. Un área típica de aplicación son los sistemas que pueden aceptar conexiones de red de fuentes potencialmente peligrosas: como servidores para varios servicios de red (por ejemplo, servidores web ) o servidores que brindan acceso shell a sus usuarios . El parche grsecurity se ha publicado bajo la versión 2 de GPL desde 2001 e incluye el conjunto de parches PaX . A partir del 26 de abril de 2017, los códigos fuente de grsecurity y los parches relacionados ya no están disponibles para su descarga, y su distribución se realiza únicamente de forma paga [3] . El creador y desarrollador principal de grsecurity es Brad Spengler, también conocido como gastador.

Licencias y litigios

El parche grsecurity era originalmente de código abierto y software gratuito. En 2015, luego de una disputa sobre el uso incorrecto de la marca registrada grsecurity, el autor del parche decidió detener la distribución gratuita (ilimitada) de los códigos de la versión estable del parche a todos [4] [5] . Las versiones de prueba de grsecurity [5] en forma de un solo parche sin dividirse en series en ese momento permanecieron disponibles públicamente.

Desde el 26 de abril de 2017, se cerró el acceso gratuito a las versiones de prueba del parche grsecurity (así como PaX), probablemente debido a un conflicto con KSPP [6] o Wind River [7] . El último lanzamiento público fue un parche de prueba para la versión 4.9 del kernel de Linux. Las versiones más nuevas solo están disponibles para suscriptores comerciales de "Open Source Security Inc" (desarrollador de parches desde 2008, PA ) [3] [8] [6] , bajo un acuerdo de servicio separado [9] [10] [11] .

En la aclaración, OSSI indicó que los parches continúan bajo licencia GPLv2 con todos los derechos y obligaciones . [12] Sin embargo, el acuerdo comercial entre el usuario y la corporación contiene una condición para privar a los clientes del acceso a futuras versiones del parche si el usuario ejerce los derechos que le otorga la GPL para usar (instalar y distribuir) los parches de grsecurity sin pasar por el acuerdo [13] .

En junio de 2017, Bruce Perens , conocido por su participación en el movimiento del software libre, expresó públicamente su opinión de que los terceros deberían evitar comprar el producto "Grsecurity" de grsecurity.net. Señaló que el parche es un derivado del código del kernel de Linux y debe distribuirse bajo los términos de la versión 2 de GPL o una licencia compatible, como ocurría con las versiones anteriores. En ese momento, el parche se había convertido en un producto comercial distribuido solo por una tarifa y, por convención, se advertía a los usuarios que si redistribuían el parche (un derecho que les otorga la GPLv2), se les negaría el acceso a versiones posteriores de el parche, que, en opinión de Bruce, supuestamente puede violar la Sección 6 de la Licencia Pública, supuestamente conlleva los riesgos de rescisión de la licencia y, en consecuencia, violación de los derechos de autor y otros derechos (piratería). [14] [15] Los comentarios de Perens se publicaron en su blog personal de Internet, en la lista de correo del proyecto Debian ( de la cual Perens era anteriormente el jefe ) [16] y luego se discutieron activamente en el foro de Internet Slashdot [17] .

El 17 de julio de 2017, OSSI (un solo hombre) inició un proceso judicial contra Bruce Perens (como recordó Spangler [18] , debido a la falta de otras opciones, viendo en su declaración una difamación y un potencial daño significativo a la reputación e intereses comerciales de su empresa [ 19] [20] [21] ). La empresa cuestionó las siguientes dos afirmaciones, considerándolas como hechos falsos:

"Es mi firme opinión que su empresa debe evitar el producto Grsecurity que se vende en grsecurity.net porque presenta una infracción contributiva y un riesgo de incumplimiento del contrato". "Como cliente, en mi opinión, estaría sujeto tanto a una infracción contributiva como a un incumplimiento de contrato al emplear este producto junto con el kernel de Linux bajo la política de no redistribución actualmente empleada por Grsecurity".

- [3]

En diciembre de 2017, la jueza magistrada Laurel Beeler (San Francisco) dictaminó que Perens estaba expresando una opinión permitida por la ley estadounidense y rechazó la demanda por difamación [22] . Más litigios continuaron durante aproximadamente 3 años y, después de varias apelaciones, terminaron en el noveno esquema.[ término desconocido ] de las Cortes de Apelaciones de EE. UU. (caso "Open Source Security v. Perens" [23] ) [17] .) La corte desestimó los reclamos contra Bruce y recuperó de Open Source Security y Brad Spangler los costos legales por la cantidad de unos 260-300 mil dólares [24] [22] [25] . Los tribunales no han considerado las preguntas sobre si se violan los términos de la licencia GPL.

El litigio fue nombrado uno de los 10 principales casos legales de código abierto en 2017 [26] .

PaX

Uno de los componentes principales de grsecurity es PaX , que implementa varios mecanismos para protegerse contra la explotación de vulnerabilidades (por ejemplo, a través del desbordamiento de búfer ), incluida la aleatorización de la ubicación de los objetos en la memoria (aleatorización del diseño del espacio de direcciones, ASLR) y restricciones en el ejecución de código de máquina arbitrario desde páginas disponibles para el proceso en modo de escritura (particularmente stack ).

PaX está siendo desarrollado por un miembro del equipo de desarrollo de grsecurity.

PaX en sí mismo es desarrollado por un equipo separado de programadores de grsecurity.


Crítica

Uno de los coautores y mantenedores del proyecto Kernel Linux habló negativamente sobre los enfoques practicados por los autores del parche grsecurity en términos del código del programa, elogiando el proyecto en sí [27] [28] .

Se vio a la corporación grsecurity involucrarse en un comportamiento controvertido en las redes sociales con respecto a un usuario que informó una falla de software como un parche en 2016 [29] .

Notas

  1. El proyecto de código abierto grsecurity en Open Hub: página de idiomas - 2006.
  2. Grseguridad  _
  3. 1 2 grsecurity - Pasando el bastón . grsecurity.net. Consultado el 26 de mayo de 2020. Archivado desde el original el 19 de mayo de 2020.
  4. Gold, Jon Grsecurity dejará de emitir parches citando abuso de marca registrada  . Red Mundo (28 de agosto de 2015). Consultado el 28 de mayo de 2020. Archivado desde el original el 8 de noviembre de 2020.
  5. 1 2 Los incondicionales de Linux reforzados Grsecurity sacan el pin después de la  lucha legal . thereregister.co.uk (27 de agosto de 2015). Consultado el 28 de mayo de 2020. Archivado desde el original el 2 de octubre de 2018.
  6. 1 2 Grsecurity deja de distribuir sus parches de forma gratuita . opennet.ru (26.04.2017). Consultado el 25 de mayo de 2020. Archivado desde el original el 23 de septiembre de 2020.
  7. Los gurús de la seguridad del kernel de Linux, Grsecurity, expulsan a los gorrones del  castillo . thereregister.co.uk (26 de abril de 2017). Consultado el 28 de mayo de 2020. Archivado desde el original el 10 de julio de 2019.
  8. Jonathan Corbet. Grsecurity pasa a ser privado [  LWN.net ] . lwn.net (4 de mayo de 2017). Consultado el 26 de mayo de 2020. Archivado desde el original el 1 de abril de 2020.
  9. grsecurity - Preguntas frecuentes sobre el acuerdo de acceso . grsecurity.net. Consultado el 26 de mayo de 2020. Archivado desde el original el 1 de diciembre de 2020.
  10. Acuerdo adicional según B. Perens, versión publicada por él en junio de 2017 Copia de archivo fechada el 24 de abril de 2021 en Wayback Machine  (ing.)
  11. Vulnerabilidades en licencias de software de código abierto, Andrey Savchenko, 2018: "Parches Grsecurity... la distribución de código y ensamblados binarios está limitada por un acuerdo de suscripción adicional... se violan las libertades básicas de distribución y modificación del software de código abierto" . Consultado el 28 de mayo de 2020. Archivado desde el original el 1 de septiembre de 2019.
  12. https://grsecurity.net/agree/agreement_faq Archivado el 1 de diciembre de 2020 en Wayback Machine "Puede usar, copiar, modificar y distribuir cualquier kernel de Linux modificado mediante combinación con parches de grsecurity según los términos de GPLv2".
  13. https://grsecurity.net/agree/agreement_faq Archivado el 1 de diciembre de 2020 en Wayback Machine "Nos reservamos el derecho de revocar el acceso a futuras actualizaciones de parches y registros de cambios de grsecurity en cualquier momento y por cualquier motivo. Nuestros motivos para la terminación pueden incluir : ... Distribución o instalación de parches grsecurity en violación de los términos del acuerdo de acceso"
  14. "   El Acuerdo de acceso a parches estables de Grsecurity agrega un término a la GPL que prohíbe la distribución o crea
  15. Grsecurity puede estar violando la GPL en sus intentos de detener la transferencia de código al kernel de Linux . opennet.ru (10.07.2017). Consultado el 28 de mayo de 2020. Archivado desde el original el 30 de marzo de 2020.
  16. usuario de debian: Re: ¿Por qué a nadie le importa que Brad Spengler de GRSecurity esté violando descaradamente la intención de los titulares de los derechos del Kernel de Linux? Archivado el 26 de abril de 2022 en Wayback Machine , 2017-07
  17. 1 2 Bruce Perens gana la victoria por la libertad de expresión. 2020-02-25 . Consultado el 26 de mayo de 2020. Archivado desde el original el 29 de junio de 2020.
  18. Varghese, Sam iTWire - El fabricante de parches del kernel de Linux dice que el caso judicial era solo una  salida . itwire.com (10 de febrero de 2020). Consultado el 28 de mayo de 2020. Archivado desde el original el 14 de mayo de 2020.
  19. Grsecurity Vendor Sues Open Source Pioneer Bruce Perens en desacuerdo con GPLv2. 25 de agosto de 2017 . Consultado el 26 de mayo de 2020. Archivado desde el original el 5 de agosto de 2020.
  20. Thomas Claburn. Los endurecedores del kernel de Linux Grsecurity demandan a Bruce  Perens de código abierto . www.theregister.co.uk (3 de agosto de 2017). Consultado el 28 de mayo de 2020. Archivado desde el original el 30 de marzo de 2020.
  21. nebularia. Los desarrolladores de Grsecurity se han equivocado por completo . Foro autorizado sobre el movimiento de código abierto "linux.org.ru" (04/08/2017). Consultado el 28 de mayo de 2020. Archivado desde el original el 30 de enero de 2021.
  22. 1 2 El fabricante de Grsecurity finalmente desembolsa 300.000 dólares para pagar la factura legal del pionero del código abierto Bruce Perens en fila sobre GPL . Archivado el 27 de mayo de 2020 en Wayback Machine / The Register.  
  23. DC nro. 3:17-cv-04002-LB Archivado el 11 de mayo de 2021 en Wayback Machine [1] [2]
  24. La justicia recuperó 259 mil dólares de la empresa desarrolladora Grsecurity 10/06/2018 . Consultado el 26 de mayo de 2020. Archivado desde el original el 30 de marzo de 2020.
  25. El tribunal ordenó a la OSS pagar 300 mil dólares a Bruce Perens tras los resultados del proceso con Grsecurity . opennet.ru (28.03.2020). Consultado el 28 de mayo de 2020. Archivado desde el original el 3 de abril de 2020.
  26. Richard Fontana (Sombrero rojo). Las 10 principales historias legales de código abierto que sacudieron el  2017 . opensource.com (27 de febrero de 2018). Consultado el 28 de mayo de 2020. Archivado desde el original el 27 de septiembre de 2020.
  27. ↑ Linus Torvalds critica la 'pura basura' de los 'payasos ' en Grsecurity  . thereregister.co.uk (26 de junio de 2017). Consultado el 28 de mayo de 2020. Archivado desde el original el 17 de febrero de 2020.
  28. Re: Más vulnerabilidades de CONFIG_VMAP_STACK, refcount_t UAF y un método de rootkit/omisión de arranque seguro ignorado . Consultado el 28 de mayo de 2020. Archivado desde el original el 25 de abril de 2021.
  29. María Nefidova. Los desarrolladores de Grsecurity han prohibido a un investigador que encontró un error en el último parche: "Hacker" . xakep.ru (28.04.2016). Consultado el 28 de mayo de 2020. Archivado desde el original el 17 de febrero de 2020.

Véase también

Literatura

Enlaces