Ameaça aos usuários do Netfilter finalmente resolvida.

Fonte: https://www.netfilter.org/

Durante anos, um ex-desenvolvedor do projeto netfilter, Patrick McHardy, ganhou dinheiro ameaçando os usuários com ações legais por usarem “seu” código-fonte aberto. Isso não vai acontecer novamente.

De acordo com a página do projeto, o netfilter é “um projeto FOSS (Free and Open Source Software) colaborativo dirigido pela comunidade que fornece software de filtragem de pacotes para o kernel Linux 2.4.x e posteriores. O projeto netfilter é comumente associado aos firewalls iptables e seu sucessor nftables.”

O netfilter permite também tradução de endereços de rede [e portas] (NA[P]T), registro e enfileiramento de pacotes no espaço do usuário, entre outras funcionalidades.

Nos idos anos 2000, McHardy era presidente do time principal de desenvolvedores do netfilter, quando foi descoberto que ele havia ganho milhões de euros ameaçando mais de 50 empresas com ações legais por usar “seu” código. McHardy foi suspenso da equipe em 2016, e o time do projeto netfilter divulgou um documento sobre como lidar com suas tentativas de extrair dinheiro de fornecedores.

Em 2018, McHardy desistiu de seu caso de violação da Gnu General Public License versão 2 (GPLv2) contra a Geniatech Europe GmbH. Esse foi o fim, até onde se sabe, das tentativas de McHardy de monetizar o código-fonte aberto. Porém, o problema persistia e poderia vir a ressurgir.

Agora, em 24 de janeiro de 2022, o projeto anunciou um acordo jurídico com McHardy, que foi ratificado em uma decisão judicial de uma corte alemã. Este acordo rege quaisquer atividades de aplicação legal relativas a todos os programas e bibliotecas de programas publicados pelo projeto netfilter/iptables e pelo kernel Linux.

Assim, no acordo atual, os programadores ativos do projeto, e McHardy, concordaram mutuamente em não impor no futuro a violação de seus direitos autorais (incluindo direitos autorais em autoria conjunta e/ou adaptações) no software e/ou a violação da GPL em conexão com o código, sem o consentimento prévio da maioria dos membros do time principal ativo do netfilter, em qualquer tempo, o que deve encerrar de vez o conflito, bem como possíveis novas tentativas de extorsão pela utilização de um software de código aberto.

Claro que, por estar vinculado a uma licença que exige que lhe seja atribuída a autoria, bem como a liberação de modificações nesse código sob a mesma licença, não é por isso que as empresas podem monetizar sobre esse tipo de aplicações sem qualquer responsabilidade. Porém, aquelas que respeitam os requisitos impostos pelas licenças não devem sofrer com os abusos de pessoas que tentam se apropriar de algo que não lhes pertence como indivíduo, mas sim a toda a comunidade.

A decisão recente visa, além de proteger os usuários contra possíveis novas investidas maliciosas de desenvolvedores, a restauração da confiança na utilização dos softwares de código aberto que utilizem licenças GNU GPL, cuja intenção nunca foi a de obter ganhos monetários, mas sim a de proteger o ecossistema open source.

Publicação original no site ZDNet.

Segurança em softwares livres é discutida na Casa Branca

A Casa Branca. Fonte: https://pt.wikipedia.org/wiki/Ficheiro:White_House_Washington.JPG

Depois dos recentes problemas envolvendo as vulnerabilidades descobertas junto à biblioteca de logs Java de código aberto, Log4j, da Fundação Apache, o governo dos Estados Unidos da América convocou um encontro com membros de organizações dedicadas aos softwares livres, bem como representantes de empresas e de agências governamentais.

A reunião foi conduzida pela líder de segurança cibernética da Casa Branca, Anne Neuberger. Executivos e funcionários de organizações como a própria Fundação Apache, Linux Foundation, Apple, Amazon, Google, IBM, Microsoft e Oracle participaram do encontro. Agências governamentais como o Departamento de Defesa e a Agência de Segurança Cibernética e Infraestrutura também estiveram representadas. O tópico do encontro foi que, como o software de código aberto se tornou essencial para toda a tecnologia e, portanto, para a segurança nacional, todos devem trabalhar juntos para protegê-lo.

Após a reunião, o diretor executivo da Linux Foundation, Jim Zemlin, disse que: “A proteção da infraestrutura crítica inclui proteger o software que executa seus sistemas bancário, de energia, defesa, saúde e tecnologia. Quando a segurança de um componente ou aplicativo de código aberto amplamente utilizado é comprometida, todas as empresas, todos os países e todas as comunidades são afetadas. Este não é um problema exclusivo do governo dos EUA; é uma preocupação global. Aplaudimos a liderança do governo dos EUA em facilitar um foco mais forte na segurança de software de código aberto e esperamos colaborar com o ecossistema global para progredir.”

Ainda assim, como David Nalley, presidente da Fundação Apache, observou: “Há muito o que refletir após as discussões, mas acho que foi uma boa rodada de discussões sobre segurança de software de código aberto e cadeia de suprimentos. Embora não haja balas de prata para o complexo conjunto de problemas, é ótimo ver tanto interesse e investimento na melhoria do ecossistema de código aberto.”

Para fazer isso, Kent Walker, presidente de assuntos globais do Google e da Alphabet, disse que é hora de pensar em segurança de software da mesma forma que pensamos em nossa infraestrutura física. “O software de código aberto é um tecido conjuntivo para grande parte do mundo online – merece o mesmo foco e financiamento que damos às nossas estradas e pontes.”

Walker acrescentou em um post no blog da companhia: “Por muito tempo, a comunidade de software se confortou com a suposição de que o software de código aberto geralmente é seguro devido à sua transparência e à suposição de que “muitos olhos” estavam observando para detectar e resolver problemas. Mas, na verdade, enquanto alguns projetos têm muitos olhos neles, outros têm poucos ou nenhum.”

A Google, bem como os principais players do mercado que lidam com software livre já estão cientes do problema, e já atuam em frentes que visam minimizá-lo. A empresa apoiou a Open Source Security Foundation da Linux Foundation, que gerencia as prioridades de segurança em sofwares de código aberto e corrige vulnerabilidades, em colaboração com empresas e comunidades.

Entre as propostas de solução oferecidas durante o encontro, três delas são:

Identificação projetos críticos

Proposta de parcerias público-privadas para identificar uma lista de projetos críticos de código aberto — com criticidade determinada com base na influência e importância de um projeto — para ajudar a priorizar e alocar recursos para as avaliações e melhorias de segurança mais essenciais.

Estabelecimento de linhas de base de segurança, manutenção e testes

Com a crescente dependência do código aberto, é chegada a hora de a indústria e o governo se unirem para estabelecer padrões básicos de segurança, manutenção e testes – para garantir que a infraestrutura nacional e outros sistemas importantes possam continuar contando com projetos de código aberto. Esses padrões devem ser desenvolvidos por meio de um processo colaborativo, com ênfase em atualizações frequentes, testes contínuos e integridade verificada.

Aumentar o apoio público e privado

Muitas empresas e organizações líderes não reconhecem quantas partes de sua infraestrutura crítica dependem do código aberto. É por isso que é essencial que vejamos mais investimentos públicos e privados para manter esse ecossistema saudável e seguro.

Durante o encontro foi proposta a criação de uma organização para servir como um “mercado” para a manutenção de softwares de código aberto, combinando voluntários de empresas com os projetos críticos que mais precisam de suporte, sendo que alguns desses trabalhos já estão em andamento.

O diretor executivo do OpenSSF, Brian Behlendorf, afirmou: “Durante a reunião de hoje, compartilhamos um conjunto de oportunidades importantes nas quais, com compromissos suficientes de todos, poderíamos causar um impacto substancial nos esforços críticos necessários para proteger e melhorar a segurança de nossas cadeias de fornecimento de software. … Por meio de esforços como nossos grupos de trabalho sobre Melhores Práticas, Identificação de Projetos Críticos, Métricas e Scorecards, Projeto Sigstore e outros a serem anunciados em breve, o OpenSSF já teve um impacto em muitas das principais áreas discutidas durante a reunião de hoje. Estamos prontos para promover esses esforços e dar as boas-vindas a todos os novos participantes e recursos.”

Para maiores detalhes, acessem a postagem original, em inglês, no site TheNewStack.

Linguagem de código aberto para comunicação entre ferramentas de segurança é lançada

A Open Cybersecurity Alliance, um consórcio de empresas de cibersegurança com mais de 25 membros, incluindo McAfee, IBM, AT&T, Tripware, entre outras, disponibilizou para a comunidade open source uma nova linguagem que visa permitir a integração e a comunicação entre ferramentas de segurança através de um framework comum de mensagens.

A OpenDXL Ontology objetiva a criação de uma linguagem comum entre ferramentas de segurança e sistemas, removendo a necessidade de customizações que permitam essa comunicação. Essa é o segundo projeto de código aberto liberado pelo consórcio, sendo o Open Data Exchange Layer (OpenXDL) já utilizado por aproximadamente quatro mil organizações para melhorar a integração de suas ferramentas.

O consórcio foi lançado em outubro de 2019 para conectar o fragmentado cenário de cibersegurança através de código aberto comum e práticas que permitam às companhias a “integrar uma vez, usar em todos os lugares”.

“Com a adoção de nuvens públicas e a explosão de dispositivos conectados, a habilidade de as empresas responderem rapidamente a ameaças através de tecnologias sempre em mudanças, e mesmo além dos perímetros, é crítica”, afirmou Brian Rexroad, Vice-presidente de plataformas de segurança junto a AT&T. “A OCA está guiando uma mudança industrial em interoperabilidade com o OpenXDL para suportar segurança em escala”.

O OpenXDL é um framework aberto de mensagens que empresas já utilizam para desenvolver e compartilhar integrações com outras ferramentas. A liberação da OpenXDL Ontology oferece agora uma única linguagem comum para essas notificações, informações e ações entre produtos de segurança que qualquer fabricante pode adotar e permitir a comunicação de forma padronizada com todas as outras ferramentas que utilizam a tecnologia.

Como exemplo, podemos ter uma ferramenta que detecta um dispositivo comprometido, podendo então notificar outras soluções de segurança e até mesmo colocar o referido ativo em quarentena utilizando um formato de mensagens padrão, lido por todos os recursos de segurança. Enquanto isso antes só era possível através de integrações customizadas entre produtos individuais, agora está habilitado automaticamente entre as soluções que adotem a OpenXDL Ontology.

Através do desenvolvimento contínuo pela comunidade, visto que o projeto está disponível no GitHub, essa linguagem comum vai facilitar uma grande variedade de casos de uso de interoperabilidade, desde o compartilhamento de inteligência de ameaças até o acionamento de remediações entre ferramentas, como o isolamento de um dispositivo ou a atualização de uma política.

Para mais informações, acessem o anúncio oficial na página do consórcio.