Grseguridad | |
---|---|
Tipo de | Parche |
Escrito en | C [1] |
Sistema operativo | linux |
Licencia | GNU GPL 2 [2] |
Sitio web | grsecurity.net _ |
Grsecurity es un conjunto propietario de modificaciones ( parche ) para el kernel de Linux , que incluye varias mejoras relacionadas con la seguridad , incluida la protección de la memoria del kernel y los procesos del usuario, control de acceso forzado , aleatorización de la ubicación de objetos en la memoria , restricciones de acceso a archivos en / proc, restricciones de acceso a las interfaces del sistema dentro de chroot () jail, restricciones en el uso de sockets de red de servidor y cliente, así como características adicionales para auditar la actividad del proceso y algunas otras funciones. Un área típica de aplicación son los sistemas que pueden aceptar conexiones de red de fuentes potencialmente peligrosas: como servidores para varios servicios de red (por ejemplo, servidores web ) o servidores que brindan acceso shell a sus usuarios . El parche grsecurity se ha publicado bajo la versión 2 de GPL desde 2001 e incluye el conjunto de parches PaX . A partir del 26 de abril de 2017, los códigos fuente de grsecurity y los parches relacionados ya no están disponibles para su descarga, y su distribución se realiza únicamente de forma paga [3] . El creador y desarrollador principal de grsecurity es Brad Spengler, también conocido como gastador.
El parche grsecurity era originalmente de código abierto y software gratuito. En 2015, luego de una disputa sobre el uso incorrecto de la marca registrada grsecurity, el autor del parche decidió detener la distribución gratuita (ilimitada) de los códigos de la versión estable del parche a todos [4] [5] . Las versiones de prueba de grsecurity [5] en forma de un solo parche sin dividirse en series en ese momento permanecieron disponibles públicamente.
Desde el 26 de abril de 2017, se cerró el acceso gratuito a las versiones de prueba del parche grsecurity (así como PaX), probablemente debido a un conflicto con KSPP [6] o Wind River [7] . El último lanzamiento público fue un parche de prueba para la versión 4.9 del kernel de Linux. Las versiones más nuevas solo están disponibles para suscriptores comerciales de "Open Source Security Inc" (desarrollador de parches desde 2008, PA ) [3] [8] [6] , bajo un acuerdo de servicio separado [9] [10] [11] .
En la aclaración, OSSI indicó que los parches continúan bajo licencia GPLv2 con todos los derechos y obligaciones . [12] Sin embargo, el acuerdo comercial entre el usuario y la corporación contiene una condición para privar a los clientes del acceso a futuras versiones del parche si el usuario ejerce los derechos que le otorga la GPL para usar (instalar y distribuir) los parches de grsecurity sin pasar por el acuerdo [13] .
En junio de 2017, Bruce Perens , conocido por su participación en el movimiento del software libre, expresó públicamente su opinión de que los terceros deberían evitar comprar el producto "Grsecurity" de grsecurity.net. Señaló que el parche es un derivado del código del kernel de Linux y debe distribuirse bajo los términos de la versión 2 de GPL o una licencia compatible, como ocurría con las versiones anteriores. En ese momento, el parche se había convertido en un producto comercial distribuido solo por una tarifa y, por convención, se advertía a los usuarios que si redistribuían el parche (un derecho que les otorga la GPLv2), se les negaría el acceso a versiones posteriores de el parche, que, en opinión de Bruce, supuestamente puede violar la Sección 6 de la Licencia Pública, supuestamente conlleva los riesgos de rescisión de la licencia y, en consecuencia, violación de los derechos de autor y otros derechos (piratería). [14] [15] Los comentarios de Perens se publicaron en su blog personal de Internet, en la lista de correo del proyecto Debian ( de la cual Perens era anteriormente el jefe ) [16] y luego se discutieron activamente en el foro de Internet Slashdot [17] .
El 17 de julio de 2017, OSSI (un solo hombre) inició un proceso judicial contra Bruce Perens (como recordó Spangler [18] , debido a la falta de otras opciones, viendo en su declaración una difamación y un potencial daño significativo a la reputación e intereses comerciales de su empresa [ 19] [20] [21] ). La empresa cuestionó las siguientes dos afirmaciones, considerándolas como hechos falsos:
"Es mi firme opinión que su empresa debe evitar el producto Grsecurity que se vende en grsecurity.net porque presenta una infracción contributiva y un riesgo de incumplimiento del contrato". "Como cliente, en mi opinión, estaría sujeto tanto a una infracción contributiva como a un incumplimiento de contrato al emplear este producto junto con el kernel de Linux bajo la política de no redistribución actualmente empleada por Grsecurity".
- [3]En diciembre de 2017, la jueza magistrada Laurel Beeler (San Francisco) dictaminó que Perens estaba expresando una opinión permitida por la ley estadounidense y rechazó la demanda por difamación [22] . Más litigios continuaron durante aproximadamente 3 años y, después de varias apelaciones, terminaron en el noveno esquema.[ término desconocido ] de las Cortes de Apelaciones de EE. UU. (caso "Open Source Security v. Perens" [23] ) [17] .) La corte desestimó los reclamos contra Bruce y recuperó de Open Source Security y Brad Spangler los costos legales por la cantidad de unos 260-300 mil dólares [24] [22] [25] . Los tribunales no han considerado las preguntas sobre si se violan los términos de la licencia GPL.
El litigio fue nombrado uno de los 10 principales casos legales de código abierto en 2017 [26] .
Uno de los componentes principales de grsecurity es PaX , que implementa varios mecanismos para protegerse contra la explotación de vulnerabilidades (por ejemplo, a través del desbordamiento de búfer ), incluida la aleatorización de la ubicación de los objetos en la memoria (aleatorización del diseño del espacio de direcciones, ASLR) y restricciones en el ejecución de código de máquina arbitrario desde páginas disponibles para el proceso en modo de escritura (particularmente stack ).
PaX está siendo desarrollado por un miembro del equipo de desarrollo de grsecurity.
PaX en sí mismo es desarrollado por un equipo separado de programadores de grsecurity.
Uno de los coautores y mantenedores del proyecto Kernel Linux habló negativamente sobre los enfoques practicados por los autores del parche grsecurity en términos del código del programa, elogiando el proyecto en sí [27] [28] .
Se vio a la corporación grsecurity involucrarse en un comportamiento controvertido en las redes sociales con respecto a un usuario que informó una falla de software como un parche en 2016 [29] .