Wieści ze świata OpenSource: 10 – 16 września 2013 r.

 Pewna doza paranoi jest pożądana, ale niektóre komentarze na temat ingerencji służb wywiadowczych w nasze komputery dawno już przekroczyły wszelkie granice. Jeżeli kiedykolwiek powstanie filmowy thriller polityczny na temat aktualnych wydarzeń, będzie nosił nazwę Snowden: poza granicami zdrowego rozsądku.

Czy NSA schowało w Linuksie backdoora?

Jedną z rewelacji Snowdena była wiadomość, że NSA celowo umieszcza tylne furtki w publicznie dostępnym oprogramowaniu. No, może to nie aż taka rewelacja – paranoicy już od dawna mówili, że mikrokod procesorów Intela i AMD umożliwia Amerykanom przejęcie kontroli nad każdym systemem. I chociaż istnieje całkiem pokaźnych rozmiarów granica pomiędzy zdrowym rozsądkiem a paranoją (powyższy argument ją przekroczył), to powstało pytanie, czy amerykańskie służby bezpieczeństwa nie zostawiły sobie tylnego wejścia do Linuksa. Pierwsza myśl temu przeczy – Linux jest otwarty i każdy by od razu zauważył takie cudo. Nie chodzi jednak o to, czy NSA ukrywała backdoory w różnym oprogramowaniu, ale o to jak to robiła.

Z dokumentów Snowdena wynika, że Amerykanie po cichu forsowali używanie zawierających błędy technologii szyfrujących i algorytmów generowania liczb losowych. Nie trzeba do kernela wprowadzać zmiennej _NSAKEY, jeżeli można przewidzieć co w danej chwili zwróci /dev/random. W przypadku Linuksa chodzi o użycie do generowania liczb losowych funkcji RdRand. Funkcja ta wykorzystuje generator sprzętowy (obecny w procesorach Intel Ivy Bridge) i przekazuje systemowi uzyskane wyniki. Problemem jest brak możliwości zweryfikowania, czy tak otrzymane dane rzeczywiście są losowe, czy może zostały podane odgórnie, na przykład przez spreparowany chip (lub gospodarza wirtualnego systemu). Biorąc pod uwagę, że RdRand rzeczywiście jest wykorzystywany do generowania zawartości /dev/random, całą paranoję związaną z NSA oraz fakt, że Intel nalegał aby generowanie liczb losowych odbywało się wyłącznie przy użyciu funkcji RdRand, pojawiły się podejrzenia o tylnej furtce.

Czy były one uzasadnione? Linus Torvalds, zachowując swój specyficzny styl wypowiedzi, zapewnił, iż nie. Nawet jeżeli dane zwracane przez ten algorytm są spreparowane, to sposób, w jaki kernel wykorzystuje tę funkcję, nie wpływa na bezpieczeństwo danych. Kto nie wierzy, niech zajrzy do drivers/char/random.c
Tl:dr – jesteście ignorantami.

Część deweloperów podjęła wyzwanie i po przejrzeniu kodu źródłowego przyznała Linusowi rację. RdRand jest jednym z wielu źródeł danych, trafiających do puli generującej losowe liczby. Nawet jeżeli część puli jest znana, to reszta zapewnia odpowiednie zabezpieczenie.

Źródła:
linux-magazine.com
Wikipedia: RdRand, _NSAKEY

Z planety Ubuntu

W tym tygodniu ruszyła akcja „Ubuntu Voice” – dosyć dziwnie zorganizowany sposób na pozyskanie testerów. Dlaczego dziwnie? Otóż wybrana grupa testerów otrzymywać będzie informacje oraz nowe wersje oprogramowania zanim trafią one do społeczności. W zamian za intensywne testy członkowie tej grupy będą mogli otrzymać jakieś prezenty (najprawdopodobniej gadżety z Ubuntu Store). Jest jednak jeden haczyk – testerzy nie mogą upubliczniać informacji otrzymanych w ramach projektu Ubuntu Voice.

W sieci pojawił się nowy film, prezentujący Ubuntu Phone z działającym serwerem wyświetlania Mir. A skoro o samym Mirze mowa, to wraz ze zbliżającym się terminem opublikowania kolejnego wydania Ubuntu (w którym Mir ma być zaprezentowany szerszej publiczności) pojawiła się znaczna ilość patchów. Poprawiono wydajność generowania obrazu 2D w trybie pełnoekranowym oraz zlikwidowano artefakty i przekłamania, pojawiające się na ekranie podczas używania niektórych kart graficznych Intela i AMD.

Toczy się dyskusja nad porzuceniem wsparcia dla systemu plików ReiserFS. Nie nowej wersji (Reiser4, będącej w stadium eksperymentalnym), ale całkiem już leciwego kodu, który był świetnym zamiennikiem dla ext3 na desktopie w czasach Ubuntu 7.xx. Canonical nie jest w tym osamotniony. Instalator Debiana już od jakiegoś czasu nie daje możliwości instalacji na tym systemie plików. Krótko pisząc, deweloperzy Ubuntu nie chcą sami – bez pomocy dziadka Debiana – zajmować się zapewnieniem wsparcia dla tego kodu.

Sam Hulick, kompozytor muzyki do gier z serii Mass Effect, zaoferował stworzenie nowego dżingla powitalnego dla Ubuntu 14.04 LTS. (za: omgubuntu.co.uk)

Humble Indie Bundle 9

Po kilku seriach gier tylko dla Windowsa, Humble Bundle wraca do korzeni. Dziewiąta odsłona Humble Indie Bundle daje graczom do dyspozycji prawdziwe kąski:

1. Trine 2: Complete Story (Wikipedia/YouTube) – platformówka z niesamowitą oprawą graficzną;
2. Mark of the Ninja (Wikipedia/YouTube) – platformówka/skradanka z ninja w roli głównej; dla odmiany ninja nie jest zbyt widoczny;
3. Eets Munchies (Wikipedia/YouTube) – platformowa łamigłówka;
4. Brütal Legend (Wikipedia/YouTube) – nawalanka z elementami strategii czasu rzeczywistego; mieszanka Devil May Cry, Carmageddon i Mount & Blade, wszystko razem polane heavymetalowym sosem;
5. FTL: Faster Than Light (Wikipedia/YouTube) (dostępne po zapłaceniu więcej niż średnia) – gra uznawana za Nethacka w wydaniu „Space Opera”, chociaż ci, co tak twierdzą, pewnie nigdy nie rozwiązali Skokobana;
6. Fez (Wikipedia/YouTube) (dostępne po zapłaceniu więcej niż średnia) – wielowymiarowa platformowa łamigłówka.

Dodatkowo w pakiecie znajduje się artbook z Trine2 oraz soundtrack z gier Brütal Legend, Fez, FT i Trine 2. Osoby, które zapłacą więcej niż wynosi średnia (w tej chwili 4,60$), w przyszłości dostaną dodatki-niespodzianki.

W skrócie

Monachium rozdaje płyty instalacyjne z Ubuntu 12.04 LTS. Dwa tysiące krążków w twardych okładkach dostępne jest od ręki w urzędach miasta. Celem akcji jest zastąpienie wysłużonego Windows XP i zmniejszenie poprzez przedłużenie czasu użytkowania starszych komputerów ilości produkowanych elektrośmieci.

Za kilkanaście lat samochody z autopilotem będą na drogach faktem. Ciekawe, jak zmienią się przepisy. Czy obok rodzaju używanego paliwa będziemy do dowodu rejestracyjnego wpisywać także używany system operacyjny? Na przykład Ubuntu?

Trochę bez echa przeszła informacja o trojanie na Linuksa – Hand of Thief. Być może dlatego, że nie działa on zbyt dobrze (podłącza się pod przeglądarkę Google Chrome i kopiuje informacje wpisywane do formularzy) i wymaga interakcji użytkownika, by zostać zainstalowanym (Czy chcesz zainstalować trojana na swoim komputerze? Tak, Może, Nie wiem). Na większości popularnych dystrybucji wywala się, zbiera bezużyteczne dane lub – jak w przypadku Ubuntu – jest blokowany przez system. Biorąc pod uwagę cenę (2000$) oraz wysoki popyt na komercyjne trojany na Linuksa, można rzecz, że celem było zdobycie forsy od naiwniaków, szukających pingwinów podatnych na phishing. Pamiętajcie: pingwiny to drapieżniki, a nie pasące się na zielonej łączce owieczki.
(więcej informacji: zdnet.com oraz (bardziej technicznie) rsa.com)

Czy na GoG pojawią się gry na Linuksa? Nie. Dlaczego? Bo jest za dużo różnych dystrybucji.

Google wypuściło narzędzie Coder – przygotowany dla Raspberry PI obraz systemu operacyjnego, przeznaczonego do nauki programowania, głównie w aspekcie sieciowym (html, js, css).

Linux 3.11 miał nazwę Linux for Worgroups, na cześć Windows 3.11 Windows for Workgroups. Linux 3.12 będzie nosił nazwę Suicidal Squirrel, na cześć popsutego dysku twardego Linusa Torvaldsa. Przez awarię dysku SSD znacznie opóźni się wydanie kolejnej wersji kernela.

Minimalistyczna dystrybucja Tiny Core Linux doczekała się wydania 5.0. Czas zaktualizować dyskietki.

Korekta: ionash