L’ultima volta che il mondo dell’open source è caduto letteralmente nel panico risale ai tempi della scoperta diHeartbleed, un potente bug nel protocollo (e nelle annesse librerie) OpenSSH che ha letteralmente messo in ginocchio server da ogni dove. Oggi la storia si ripete con un secondo bug, “adulto” più o meno quanto un quarto di secolo, che riguarda la shell Bash (o Bourne Again Shell) e prende appunto il nome di bash bug – o di Shellshock, come il simpatico R. Graham l’ha ribattezzato.

Secondo alcuni importanti esponenti della sicurezza, tra cui lo stesso Graham, Shellshock sarebbe addirittura più pericoloso di Hearbleed: la causa è da ritrovarsi al diffusissimo utilizzo della shell bash – sia come applicazione attiva che come applicazione in background da parte di altri programmi – e la semplicità con cui agisce il criterio di sfruttamento della falla.

Prima di farne una pandemia, però, capiamone qualcosa in più!

Cosa è Shellshock?

Shellshock – il bash bug – altri non è che un bug insito nella shell Bash, la “console dei comandi” tipicamente inclusa in quasi tutti i sistemi operativi GNU/Linux-based (incluso Android) e Mac. Sostanzialmente il funzionamento di Shellshock coinvolge la dichiarazione e l’utilizzo di variabili d’ambiente, con un modus operandi che cercheremo di semplificare il più possibile.

In pratica, prima dell’esecuzione di Bash è possibile definire in determinati file – richiamabili anche da programmi esterni – delle variabili, che servono spesso a “semplificare” l’eventuale passaggio dei parametri al programma eseguito tramite bash.

Il problema è nella dichiarazione di tali variabili: se una variabile viene dichiarata e sulla stessa riga viene specificato un particolare comando, tale comando può essere eseguito arbitrariamente da qualsiasi applicazione abbia accesso a quella variabile. In parole povere, dichiarando una o più variabili con una particolare sintassi può rendere il sistema vulnerabile.

Se masticate lo scripting bash, il tutto sarà più chiaro con un esempio. Considerate questa dichiarazione di variabile:

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Shellshock fa si che Bash intepreti la parte di codice in grassetto (quindi echo vulnerable) come un vero e proprio comando da eseguire, cosa che in condizioni “normali” non dovrebbe succedere.

Infatti, eseguendo questo codice su una versione di Bash vulnerabile, l’output ottenuto è il seguente:

$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test

Se invece lo stesso codice viene eseguito su una versione di Bash non vulnerabile, il codice echo vulnerable viene riconosciuto da Bash come una potenziale dichiarazione di funzione e viene ignorato, generando un warning e lasciando la variabile non inizializzata ed il comando non eseguito (comportamento normale).

 $ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
 bash: warning: x: ignoring function definition attempt
 bash: error importing function definition for `x'
 this is a test

Shellshock è davvero pericoloso come dicono?

Diciamo che non è un gioco da ragazzi usare vulnerabilità del genere e che c’è bisogno del verificarsi di condizioni ben precise – uno script deve essere presente sul sistema con delle dichiarazioni di variabili alterate, pronte per essere usate dal programma comandato da un utente malintenzionato – ma, purtroppo, bisogna ammettere che a causa della diffusione di Bash e dell’interazione imprevista di Shellshock con i vari programmi (innumerabili) che interagiscono con essa il rischio esiste. 

Purtroppo Bash non è soltanto la “classica” shell dei sistemi operativi GNU/Linux based di conoscenza comune come Ubuntu, Debian, Gentoo, Red Hat, CentOS e via discorrendo, ma è presente in tante altre varianti di Linux presenti anche su dispositivi differenti dai PC – come router, NAS, sistemi embedded, computer di bordo, che se obsoleti potrebbero essere davvero a rischio.

Senza contare che, inoltre, Bash è presente anche su Android e su tutti i sistemi operativi Mac.

Chi è vulnerabile a Shellshock?

Categorizzare i dispositivi vulnerabili non è possibile, tuttavia esistono diverse linee guida per intuire se si è vulnerabili o meno. Innanzitutto bisogna specificare che le versioni di Bash vulnerabili a Shellshock vanno dalla 4.3 (inclusa) ingiù, per cui la prima cosa da fare è indubbiamente aggiornare il proprio sistema operativo all’ultima versione dei pacchetti, se possibile.

Particolare attenzione va posta inoltre in ambiente server: si è comunque a rischio se la versione di Bash installata è inferiore alla 4.3 (inclusa), ma bisogna aprire gli occhi e correre ancor più rapidamente ai ripari, a causa dei danni collaterali potenziali causati da Shellshock, in caso il server esegua:

• una configurazione di sshd che prevede attiva la clausola ForceCommand;
• vecchie versioni di Apache che usano mod_cgi o mod_cgid, estremamente vulnerabili se gli script CGI sono scritti in bash o lanciano a loro volta shell bash (ciò non succede invece con gli script eseguiti tramite mod_php, neanche se questi lanciano shell bash a loro volta); tuttavia, i potenziali comandi indesiderati vengono eseguiti con gli stessi privilegi d’accesso del server web;
• server DHCP che invocano script da shell per configurare il sistema; solitamente, tali script vengono eseguiti con privilegi di root, il che è estremamente pericoloso;
• i vari demoni o i programmi SUID che agiscono sul sistema con privilegi da superutente utilizzando però variabili settate da utenti non root.

In generale, il sistema può rimanere vittima di qualsiasi altra applicazione che venga eseguita da shell o esegue uno script shell che prevede l’interprete bash – solitamente, tali script iniziano con la dicitura #!/bin/bash.

Ma non finisce qui: purtroppo qualsiasi altro dispositivo obsoleto è a rischio, specie quelli per cui non è prevista la verifica della versione di Bash installata e per cui non sia possibile procedere semplicemente all’aggiornamento. Ancora una volta, ciò rappresenta un rischio ma non è detto che tali dispositivi siano effettivamente exploitabili (ad esempio, è difficile fare in modo che un computer di bordo o un NAS non collegato ad Internet eseguano codice arbitrario).

Per correttezza, è bene specificare ancora una volta che alcune versioni di Android e di Mac OS X sono vulnerabili – ad esempio, Mavericks lo è.

Quali dati sono a rischio e come faccio a proteggermi?

Purtroppo, anche se in precise e difficilmente coincidenti condizioni, ad essere a rischio è qualsiasi cosa sia presente sulla memoria del sistema; tenendo comunque conto dei meccanismi intrinsechi di protezione di Bash e di GNU/Linux come l’assegnazione dei permessi d’esecuzione, il margine di rischio potrebbe diventare comunque molto minore.

Prima di preoccuparsi, bisogna verificare se si è effettivamente vulnerabili a Shellshock. Ciò è possibile semplicemente verificando la versione di Bash installata sul proprio sistema: se questa non è precedente alla 4.3 – Bash 4.3.0 e inferiori sono VULNERABILI ma non le versioni successive – allora il vostro sistema non è vulnerabile. 

In caso contrario, se possibile aggiornate Bash ed i pacchetti dell’intero sistema operativo all’ultima versione disponibile, in attesa di un’eventuale patch che dovrebbe comunque essere rilasciata in maniera celere per la maggior parte dei sistemi operativi e dei pacchetti di Bash interessati, a prescindere dalla piattaforma su cui essi sono installati.

Per verificare di essere protetti, aprite una shell bash ed eseguite il test spiegato nella sezione “Cosa è Shellshock”.

In definitiva…

Purtroppo Shellshock è un bug che cade come un fulmine a ciel sereno e non è possibile affermare che sia innocuo poiché, come visto fino ad ora, i rischi materiali esistono.

Come vi ho detto all’inizio non bisogna comunque farne una pandemia: se si tratta di sistemi operativi casalinghi, è necessario accertarsi che il proprio OS sia ancora ufficialmente supportato ed aggiornarlo all’ultima versione disponibile, che si tratti di GNU/Linux o di Mac. Stessa cosa per i sistemi operativi server, per i quali ci si aspetta una “correzione” dei pacchetti relativi alle versioni di Bash pari o inferiori alla 4.3 quanto prima.

Discorso differente va fatto per i vari sistemi embedded, per i NAS, per i router o per tutti quei dispositivi non verificabili facilmente: accertatevi di avere installata l’ultima versione disponibile del firmware e, nel caso, contattate il produttore per ulteriori delucidazioni.

Shellshock è purtroppo un bug molto grande, reso enorme dalla diffusione di Bash, tuttavia gli eventuali danni possono essere arginati usando un po’ di prudenza ed attenzione in più.

Purtroppo, come disse il grande Spaf, la verità è soltanto una:

L’unico vero sistema sicuro è quello spento, gettato in una colata di cemento, sigillato in una stanza rivestita da piombo e protetta da guardie.

Ma anche in quel caso ho i miei dubbi.

via chimeravevo.com

Sono 54 le sedi IBM dedicate allo sviluppo di nuove applicazioni . Ma anche Watson fa progressi nella ricerca medica

Lo scorso anno IBM ha investito un miliardo di dollari sulle tecnologie Linux e open source per i suoi server Power Systems, inaugurando cinque Linux Center dedicati a Pechino (Cina), New York, Austin (Texas), Montpelier (Francia) e Tokyo (Giappone) e oggi sono più di 1500 le applicazioni ISV disponibili per Linux su Power. Poi a fine agosto in occasione della conferenza LinuxCon North America, IBM ha annunciato che si avvarrà della sua rete globale di oltre 50 Innovation Center e Client Center per aiutare i Business Partner, i professionisti dell’IT, il mondo accademico e gli imprenditori a sviluppare nuove applicazioni per i Big Data e il cloud computing sulle piattaforme Linux e Power Systems.
Questo ulteriore investimento intende accelerare lo sviluppo di nuove applicazioni e fornisce accesso fisico e online alle risorse per lo sviluppo di applicazioni Linux su Power Systems a un bacino potenziale di migliaia di altri Business Partner IBM, sviluppatori e i clienti in tutto il mondo.
Le risorse possono comprendere:
•Workshop di formazione su Linux che indicano agli sviluppatori come migrare e ottimizzare le loro applicazioni utilizzando le tecnologie Red Hat Enterprise Linux, SUSE Linux Enterprise Server e Canonical Ubuntu Server Linux su Power Systems.
•Assistenza pratica da parte di specialisti di sistemi Linux e IBM dedicati, per mostrare agli sviluppatori come sfruttare le funzionalità uniche di elaborazione parallela e virtualizzazione avanzata di Power8.

L’architettura open source di Power e Linux rappresenta il cuore della OpenPower Foundation, una community per lo sviluppo “open” fondata nel 2013, con ormai 53 membri in tutto il mondo, che collaborano per sfruttare l’architettura aperta del processore Power e diffondere l’innovazione nel settore
Su un fronte più vicino alle tecnologie di punta e di ricerca , IBM dichiara di aver fatto significativi progressi nelle capacità di cognitive computing di Watson, superando la fase di analisi dei dati e di ricerca di risposte note per passare all’esplorazione della complessità e delle connessioni di enormi quantità di dati. Tre anni dopo la vittoria al quiz televisivo Jeopardy!, IBM Watson si è evoluto fino a rappresentare una nuova era dell’informatica, guadagnando il riconoscimento di Gartner , che cita IBM Watson tra i primi 10 trend tecnologici strategici per il 2014, prevedendo che, entro il 2017, il 10 per cento dei computer sarà in grado di apprendere come fa Watson
Disponibile da subito e fornito come servizio cloud, Watson Discovery Advisor è progettato per accelerare le scoperte da parte delle équipe di ricerca, perché riduce il tempo necessario a testare le ipotesi e formulare conclusioni, da mesi a giorni e da giorni a poche ore, portando nuovi livelli di velocità e precisione alla ricerca e sviluppo.
Grazie alla capacità di Watson di cogliere le sfumature del linguaggio naturale, Watson Discovery Advisor è in grado di comprendere il linguaggio della scienza, ad esempio come interagiscono i composti chimici, rappresentando così uno strumento straordinariamente potente per i ricercatori delle bioscienze e di altri settori.
In campo farmaceutico e medico con Watson Discovery Advisor, i ricercatori possono scoprire nuove relazioni e individuare modelli inattesi tra i dati, con la possibilità di aumentare e accelerare significativamente i processi di scoperta.
“Stiamo entrando in un’era straordinaria in cui la scoperta sarà guidata dai dati”, spiega Mike Rhodin, senior vice President, IBM Watson Group. “L’annuncio di oggi rappresenta una naturale estensione dell’intelligenza di cognitive computing di Watson e dà a ricercatori, sviluppatori ed esperti del settore uno strumento potente che aiuterà ad aumentare i risultati degli investimenti effettuati dalle organizzazioni nella R&S, portando a scoperte rivoluzionarie significative”.

via http://www.techweekeurope.it/

Dopo dieci anni di Linux Monaco di Baviera getta la spugna e torna a Windows. Era stata tra le prime città a decidere di affidarsi a Linux, affrontando le molte difficoltà iniziali pur di liberarsi dai vincoli con Microsoft e altri fornitori. E proprio l’anno scorso si era completato il passaggio: tutti gli uffici pubblici usavano LiMux, una distribuzione sviluppata apposta.

Si torna a Windows perché a quanto pare non si è riusciti a compensare l’iniziale abbassamento della produttività. All’inizio si pensava che sarebbe bastato un po’ di tempo, che le persone si sarebbero abituate ai nuovi strumenti e che presto tutto avrebbe ripreso a funzionare come sempre.

Monaco di Baviera

L’adattamento c’è stato in effetti ma sono rimasti problemi insormontabili nell’interazione con altre realtà (fornitori, altri comuni, governo, etc.): in questi casi lo scambio di documenti non ha mai smesso di essere un problema.

C’è stato anche un problema economico, ed è emerso che Linux è risultato più costoso di Windows da gestire “perché la città ha dovuto assumere programmatori per sviluppare funzioni di cui avevano bisogno, e poi ha dovuto pagare il personale per mantenere il software”. Pagando le licenze a Microsoft si sarebbe speso meno, a quanto pare.

Collaborazione con altri e riduzione della spesa, ecco perché Monaco di Baviera sta tornando a Windows. La scelta di questa città, dieci anni fa, fu definita l’equivalente IT della caduta del Muro di Berlino. Non è ancora detta l’ultima parola comunque, perché, con la nuova versione di LiMux e una più forte spinta verso il formato ODF, forse c’è ancora spazio per l’open source nella città tedesca.

In ogni caso è importante ricordare che la questione economica non è mai stata determinante. All’epoca, tra il 2003 e il 2004, i politici locali scelsero di seguire una strada che avrebbe dato a loro il controllo sulla tecnologia usata, invece che a fornitori esterni come Microsoft. Decisero in altre parole di mantenere nelle proprie mani una parte di potere che era sempre stata “esternalizzata”. Fu in altre parole una questione più politica che economica.

fonte:http://www.tomshw.it/

Una campagna di crowdfunding su Indiegogo propone un nuovo mini-PC Android, il VolksPC. Mai come in questo caso è assolutamente appropriato il termine “PC”: il sistema operativo, infatti, è una distribuzione ad hoc, la Unified Distribution, capace di far funzionare applicazioni per Jelly Bean (4.2.2) e per Debian Wheezy. In sostanza si potranno utilizzare software sia per il sistema operativo di Google, sia per Linux.

L’aspetto (che potrebbe non essere definitivo) è analogo ad altre soluzioni simili, mentre l’hardware prevede una CPU dual-core RK3066, operante a 1,4 GHz. Il quantitativo di RAM installato è pari a 1GB di DDR3, mentre per la memoria integrata abbiamo 8GB di flash per Android e una microSD da 8GB per Debian Wheezy.

Debian è facilmente aggiornabile, utilizzando direttamente i file residenti su microSD, mentre per Android si può ricorrere alla porta UBS OTG, in modo da poter eseguire RKBatchTools su un computer Windows.

A seguire il riepilogo delle specifiche tecniche:

• Dual core Rockchip RK3066 Cortex-A9 CPU a 1.4Ghz.
• 1 GB DDR3
• 8 GB NAND Flash (Android)
• 8 GB MicroSD (Debian Wheezy)
• 10/100 Ethernet
• USB 2.0 x 2
• 1 USB OTG
• 1 uscitaAV
• HDMI 1.3 (apparentemente limitata a 720p)
• IEEE 802.11 b/g/n
• Lettore memorie SD /MMC/MS

La campagna su Indiegogo mira a raccogliere 80.000 dollari (per ora sono stati raccolti solo 506 dollari, ma l’iniziativa è appena partita). Per acquistare un VolksPC è necessario investire119 dollari.

Sarà una delle novità che arriverà con Android L ma non stiamo parlando del tanto attesoMaterial Design bensì del cuore stesso di Android, che quest’anno compirà un importante passo avanti, grazie al debutto in tutto il mondo ARM del nuovo kernel Linux 3.10.

LG G Watch e Samsung Gear Live già utilizzano il nuovo kernel, tuttavia, la maggior parte dei dispositivi attualmente rilasciati utilizzano la versione 3.4, disponibile dal 2012, con il supporto che terminerà il prossimo ottobre 2014. Per questo Google sta spingendo diversi produttori di SoC a iniziare a sperimentare il prossimo kernel, attraverso alcune configurazionisperimentali disponibili per svariate piattaforme.

I primi file precompilati contengono il supporto all’architettura di Qualcomm MSM8974, ampiamente utilizzata su tutti gli ultimi top gamma di quest’anno come OnePlus One, HTCOne (M8) o Google Nexus 5. Troviamo poi anche alcuni SoC Exynos di Samsung ed anche Tegra, tuttavia non è ancora possibile confermare quali e quanti dispositivi potranno beneficiare di un aggiornamento al prossimo kernel.

Sebbene sia ancora presto per parlare di arrivo imminente, Android L contribuirà a spingere i produttori in questa direzione, e dove non arriveranno loro ci penserà la community attraverso lo sviluppo di kernel personalizzati.

Maggiori informazioni sulle repository precompilate a questo indirizzo.

fonte: http://android.hdblog.it/

GNU\Linux è pronto ad abbracciare la rivoluzione dei sistemi operativi sulle automobili. Questo dovrebbe permetter un contenimento dei costi e un elevato livello di personalizzazione. Infatti, attualmente, la maggior parte delle soluzioni software disponibili sul mercato risultano essere proprietarie, con elevati costi di licenza e senza la possibilità di avere accesso al codice sorgente per effettuare delle modifiche in base alle proprie esigenze.

Le industrie automobilistiche sarebbero dunque alla ricerca di una soluzione open source per i propri sistemi embedded. Ovviamente, Linux ha incominciato ad attirare l’attenzione dei produttori da qualche anno a questa parte. In particolare, già nel 2014 la Kia Soul e la Lexus IS hanno utilizzato una soluzione Linux-based.

L’attenzione dei vari produttori potrebbe quindi spostarsi da costose soluzioni proprietarie ad alternative open source Linux-based che possano contendere il terreno di conquista anche alle soluzioni già ideate da Google e Apple.

https://www.youtube.com/watch?v=ngfuuNnwN_E

Prende di mira i server Unix, e cerca di prendere il controllo di siti basati su WordPress e Joomla. Mayhem e l’ultima minaccia per il mondo del pinguino e per i milioni di sistemi basati sull’open source.

Un malware soprannominato Mayhem sta infettando i server basati Linux e FreeBSD, al fine di prendere il controllo di siti basati su WordPress e Joomla. Andrej Kovalev, Konstantin Ostrashkevich e Evgeny Sidorov, che lavorano al portale internet russo Yandex, hanno scoperto che il malware colpisce tutti server basati su Linux/Unix individuando già 1.400 macchine infette, un numero destinato a salire vertiginosamente.

“Nel mondo Unix, le tecnologie di aggiornamento automatico non sono ampiamente utilizzate, soprattutto in confronto con ai desktop e agli smartphone. La stragrande maggioranza dei web master e amministratori di sistema devono aggiornare il loro software manualmente e verificare che la loro infrastruttura funzioni correttamente”, si legge in una relazione tecnica firmata dagli esperti. “Per i siti web la manutenzione è piuttosto costosa e spesso i webmaster non hanno la possibilità di farlo. Ciò significa che è facile per gli hacker trovare server web vulnerabili da utilizzare nelle loro reti.”

Una volta che il malware sfrutta una falla, o qualche altra debolezza di sistemi obsoleti, riesce ad eseguire uno script PHP e prende il controllo del sistema. Si crea quindi un file di sistema nascosto, di solito chiamato libworker.so, e viene eseguito il download di otto plugins. Questi programmi includo un paio di programmi per indovinare le password di siti basati su WordPress e Joomla  presumibilmente per diffondere ulteriormente il malware oltre che per ottenere il controllo di amministrazione dei siti – e un programma per la raccolta di  informazioni personali.

Il trio Yandex avverte coe ci possono essere altri plugin in circolazione, fra cui alcuni che mirano a sfruttare la famigerata vulnerabilità Heartbleed, per il furto di dati sensibili anche su connessioni cifrate. Il team di esperti sottolinea come il codice Mayhem si possa diffondere solo su sistemi non aggiornati, motivo per cui i webmaster devono assolutamente eseguire l’update dei loro server.

fonte:http://www.alground.com

Un’immagine pubblicata di recente sulla pagina Facebook ufficiale della serieDarksiders, farebbe intendere che il titolo sia in procinto di uscire anche su Linux.

La schermata che potete vedere qui sotto, infatti, comprende le parole “Darksiders Linux” (visibili in alto). Un indizio apparentemente chiaro delle intenzioni del team.

Sviluppato da Vigil Games, Darksiders è stato rilasciato nel 2010 per PS3, Xbox 360 e PC. Al momento la serie è in fase di stallo, ma Nordic Games sembra intenzionata a portarla avanti.

Restate con noi per i futuri aggiornamenti sulla vicenda.

Via Polygon.

fonte: http://www.vg247.it/

Sulla pagina Facebook ufficiale dedicata alla serie Darksiders è stata recentemente pubblicata un’immagine che fa pensare in modo inequivocabile a una versione Linux del gioco.



Nella parte superiore dell’immagine, infatti, è possibile leggere “Darksiders Linux”. Nei prossimi giorni scopriremo se Nordic Games svelerà ulteriori informazioni in merito a questa possibile nuova versione di Darksiders o se smentirà tutto, vi forniremo ulteriori aggiornamenti non appena sarà possibile.
Darksiders è attualmente disponibile su PC, PS3 e Xbox 360, è possibile raggiungere la pagina Steam del gioco direttamente tramite il link presente a fondo news. 

fonte http://www.spaziogames.it/

Google ha ufficialmente rilasciato Chrome Remote Desktop per gli utenti Linux, il tutto accompagnato da istruzioni dettagliate per installare e configurare il programma attraverso l’Help Center. Su Linux era già disponibile da tempo l’assistenza remota tramite login con password PIN, ma ora, dopo una lunga attesa, è finalmente arrivato il supporto completo al desktop remoto. Chrome Remote Desktop è disponibile inoltre per dispositivi Windows, OS X, Chrome OS, Android e iOS. Il lancio dell’app per Linux è stato ufficialmente annunciato da Natalie Wong, Google Community Specialist, nei Google Product Forums. “Siamo entusiasti di annunciare il supporto ufficiale a Linux in Chrome Remote Desktop con le indicazioni passo-passo all’interno del nostro articolo dell’Help Center linkato qui“, ha scritto Wong. “Potete trovare le istruzioni sotto Set up Chrome Remote Desktop > Enable remote access > Linux (Beta).” 

Approfondisci su www.tuttoandroid.net/news/google-chrome-remote-desktop-linux-beta-204324/

fonte http://www.tuttoandroid.net/