Archivi categoria: Notizie

DockerHub: trovati i primi container contaminati

Facebooktwittergoogle_plusredditlinkedin

Docker è sulla cresta dell’onda da tanto tempo, troppo tempo perchè passasse inosservato.

E, prima o poi, doveva succedere: sono state rilevate le prime immagini di container contaminate, da software di crypto-mining, direttamente sul Docker Hub, il registry ufficiale e pubblico di Docker.

Il registry è un componente fondamentale in un’infrastruttura a container; è il componente da cui Docker (o sistemi che utilizzano Docker come base, ad esempio Kubernetes) scarica delle immagini di container che poi esegue sull’host; una volta fatta la build dell’immagine più o meno specializzata è possibile caricarla su un registry, che può essere privato o pubblico (come nel caso di Docker Hub) così che uno o più altri host possano utilizzare quell’immagine senza doverla rigenerare ex-novo.

Due società che si occupano di sicurezza, Fortinet e Kromtech, in questi giorni hanno pubblicato due articoli in cui rivelano che ben 17 immagini di container Docker avevano al loro interno dei miner di cryptovalute che, all’insaputa degli utenti, utilizzano le risorse delle macchine su cui questi container venivano lanciati per generare una BotNet sufficientemente ampia da trovare qualche cryptovaluta.

Queste immagini, considerate sicure, sono state scaricate ben 5 milioni di volte prima che venissero identificate e rimosse, e sfruttavano installazioni di Docker e Kubernetes configurate male per scaricare ed eseguire uno script di mining, oltre al servizio fornito ufficialmente. Il tutto, cosa ancora più preoccupante, in maniera del tutto automatica.

Of course, we can safely assume that these had not been deployed manually. In fact, the attack seems to be fully automated. Attackers have most probably developed a script to find misconfigured Docker and Kubernetes installations. Docker works as a client/server architecture, meaning the service can be fully managed remotely via the REST API

Ovviamente possiamo assumere con sicurezza che queste non siano state rilasciate manualmente. Di fatto, l’attacco sembra essere totalmente automatizzato. Gli attaccanti hanno probabilmente sviluppato uno script per trovare installazioni Docker e Kubernetes configurate male. Docker funziona in un’architettura client/server, quindi il servizio può essere completamente gestito da remoto tramite API REST

I due articoli mostrano anche gli aspetti tecnici su cui si basano questi attacchi, e spiegano che gli attaccanti sono riusciti a ricavare circa $90,000 in cryptovalute (544.74 Monero per l’esattezza) prima di essere scoperti e che le immagini venissero definitivamente rimosse dall’hub e dai sistemi.

As with public repositories like GitHub, Docker Hub is there for the service of the community. When dealing with open public repositories and open source code, we recommend that you follow a few best practices including: know the content author, scan images before running and use curated official images in Docker Hub and certified content in Docker Store whenever possible

Come per i repository pubblici come GitHub, Docker Hub è li a servizio della comunità. Quando si ha a che fare con repository pubblici aperti e codice open source, raccomandiamo di seguire alcune regole come: conoscere l’autore del contenuto, scansionare le immagini prima di usarle ed utilizzare immagini ufficiali presenti in Docker Hub e contenuti certificati nel Docker Store dove possibile.

Regole di puro buon senso, quindi, noi aggiungiamo che forse partire da immagini base ufficiali, costruirsi le proprie immagini specializzate ed utilizzare un registry privato (lo stesso Docker fornisce una semplice procedura per farlo) è la soluzione più sicura.

Altro giro, altro bug (per Intel)!

Facebooktwittergoogle_plusredditlinkedin

L’epopea di Intel e dei bug hardware dei suoi processori non cenna a diminuire. Dopo l’annuncio di altre varianti di Spectre e Meltdown, con relative patch in arrivo, Cyberus Technology annuncia la scoperta di un nuovo buco, relativo al lazy FPU state switching (cambiamento di stato della FPU pigro).

Di cosa si tratta? Abbiamo già accennato ai meccanismi di Meltdown e Spectre, per cui alcune tecniche di miglioramento delle prestazioni (branch prediction) permettono l’accesso non autorizzato a dati memorizzati nella CPU; anche questa volta siamo di fronte ad un caso simile.

Le nostre CPU eseguono un solo programma alla volta, ma possono sospendere l’esecuzione di un programma ed eseguirne un altro: fatto spesso (e con sufficiente velocità), questo crea l’illusione del multitasking, ovvero l’esecuzione contemporanea di più programmi. La CPU usa tutta una serie di registri per sapere a che punto del programma sia arrivata e su che dati stesse lavorando: il cambio avviene salvando la situazione di questi registri e caricando la situazione del programma lasciato in sospeso da riprendere.
Anche in questo caso lo switch di programma può essere piuttosto oneroso, quindi una tecnica per migliorare le prestazioni è evitare l’effettivo cambiamento fino a quando non sarà necessario, lasciando quindi accessibili dei dati che non appartengono al programma in esecuzione in quel momento.

Questa particolare falla non riguarda tutta la CPU, ma la FPU (Floating-Point Unit), ovvero quel chip che si occupa esclusivamente dei calcoli che riguardano numeri con la virgola (le operazioni fatte con numeri interi sono più semplici e gestite direttamente dalla CPU). Ai tempi di 286 e 386 si parlava di coprocessore, ma l’utilità (e il costo irrisorio aggiuntivo) hanno ormai fatto integrare questo componente in tutti i processori moderni. Il dettaglio sembra piccolo, e che limiti i danni, peccato che moltissimi calcoli siano demandati all’FPU, compreso criptazioni e codifiche/decodifiche: danni limitati proprio alla parte più sensibile.

Al momento l’attacco sembra specifico delle CPU Intel, ma non è ancora dato sapere esattamente quali modelli né quanto sia difficile attuarlo. Tutto perduto, quindi?
No, perché da qualche anno i processori dispongono di una nuova istruzione (XSAVEOPT) per memorizzare lo stato dei registri che non si comporta pigramente, e i kernel moderni usano questa funzionalità di default: vale per RHEL/CentOS 7, Ubuntu 16.04, in genere dal kernel 4.9. Perfino Windows 10 è già coperto.
Per chi invece usasse un kernel più antico, dal kernel 3.7 è disponibile l’opzione al boot “eagerfpu=on”, che disattiva l’ottimizzazione problematica.

Per questo giro, forse, possiamo stare tranquilli.

Presto sarà possibile avere un laptop Linux con processore ARM, parola di Torvalds!

Facebooktwittergoogle_plusredditlinkedin

In seguito all’aggiunta del supporto per il processore Qualcomm Snapdragon 845, un processore ARM di tipo SoC (System on a Chip), Linus Torvalds, creatore di Linux, si è detto fiducioso di poter vedere presto girare Linux su laptop che montano questa tecnologia, senza quindi dover passare da sistemi Chrome, sebbene ormai anche su questi sia possibile far girare applicazioni Linux.

Come spiega Phoronix sebbene il supporto per Qualcomm Snapdragon 845 SoC sia presente nel Kernel 4.18 in forma limitata, è facile credere che con l’avanzare delle prossime release questo diventi maturo e, come indica Torvalds, pronto per un utilizzo “quotidiano” in sistemi Linux.

Il principio alla base dei ragionamenti del creatore di Linux risiede nella possibilità di poter disabilitare secure boot nel processore, in modo da poter avviare un sistema operativo non previsto, in questo caso Linux.

Vedremo se l’introduzione di questa funzionalità favorirà l’ascesa dei laptop con processori ARM, al momento limitata, forse dal fatto che Microsoft Windows non li supporta ancora. Quanto alle performance è tutto da capire: lo Snapdragon 845 è decisamente di un’altra categoria rispetto agli ARM classici, ma sarà sufficiente questo per garantire performance adeguate?

Per il momento Linux lo supporta, tutto il resto si vedrà!

Microsoft e GitHub, le reazioni della Linux Foundation e di GitLab

Facebooktwittergoogle_plusredditlinkedin

Apre con una citazione di Churchill il commento di Jim Zemlin, Executive Director della Linux Foundation, all’acquisizione di GitHub da parte di Microsoft:

In War: Resolution, In Defeat: Defiance, In Victory: Magnanimity, In Peace: Good Will.

In guerra: risolutezza, nella sconfitta: provocazione, nella vittoria: magnanimità, in Pace: buoni propositi

Tutto il contrario di Embrace, Extend, Extinghish quindi, e le riflessioni all’interno dell’articolo sembrano essere estremamente orientate ai buoni propositi, infatti l’analisi di Zemlin evidenza tutti gli aspetti positivi dell’acquisizione e specifica come sebbene lui stesso in passato abbia fomentato le rivalità:

But times have changed and it’s time to recognize that we have all grown up – the industry, the open source community, even me.

Siamo tutti cresciuti quindi, l’industria, la community open-source e lui stesso. È tempo di guardare oltre quindi. Sì, siamo di fronte ad un vero e proprio endorsement.

Intanto, nella galassia del mondo Git, rileviamo come, cavalcando l’onda dell’acquisizione, GitLab ha abbassato i prezzi per favorire la migrazione degli utenti.

Ma prima di parlare di diaspora da GitHub dopo l’acquisizione sarebbe meglio fare qualche calcolo sui numeri.

Ad esempio:

da questo interessante grafico realizzato da Felipe Hoffa emerge come nel 2017, al secondo posto nella classifica di chi contribuisce ai progetti GitHub c’è… Microsoft!

Cosa significa questo per l’open-source? Solo il tempo lo dirà, ma noi vogliamo scommettere su un futuro migliore e, più di ogni altra cosa, condiviso!

Supercomputer, USA di nuovo in testa grazie ad IBM

Facebooktwittergoogle_plusredditlinkedin

Era dal 2013 che gli Stati Uniti d’America non detenevano il primato per il supercomputer più potente del mondo, spodestati dalla Cina con il suo Sunway TaihuLight.

Nello scorso week end infatti è stato svelato all’Oak Ridge National Lab un nuovo supercomputer: Summit. Al momento non è ancora ufficiale ma Summit è candidato a detenere il primato mondiale che verra quasi certamente confermato a fine Giugno quando verranno aggiornati i ranking relativi ai supercomputer da parte di Top500.

Summit è stato creato da IBM, di seguito alcuni numeri:

  • Occupa la superficie equivalente di due campi da tennis;
  • Il sistema di raffreddamento utilizza oltre 15.000 litri di acqua al minuto;
  • 37.000 processori: 28.000 GPU di Nvidia e 9000 CPU IBM;
  • Il Summit è formato da 4.608 server;
  • 200 biliardi (biliardo=un milione di miliardi) di calcoli al secondo, ovvero 200 petaflops.

Per farla semplice, è circa un milione di volte più veloce di un laptop medio… ed è anche due volte piu veloce dell’attuale detentore del primato, il Sunway TaihuLight.

I primi test effettuati ad Oak Ridge sono stati alcuni calcoli rivolti ad analizzare le variazioni di alcune sequenze del genoma umano, raggiungendo picchi di oltre un quintilione di calcoli al secondo; secondo i ricercatori questa sarebbe la prima volta che un calcolo scientifico raggiunge questa scala. In ogni caso, Summit è stato pensato in particolar modo per il machine learning e le AI.

E l’OS di Summit? Red Hat Enterprise Linux!

Se nemmeno questo sarà l’anno del desktop Linux, direi che per i supercomputer non abbiamo rivali!

Devuan 2.0 ASCII: il rilascio ufficiale!

Facebooktwittergoogle_plusredditlinkedin

Ne avevamo parlato poco tempo fa, e l’attesa è stata ripagata: Devuan 2.0, denominato ASCII, è stato rilasciato in forma stabile.

Devuan può essere definito come una versione di Debian senza systemd, e la nuova incarnazione si basa sulla versione 9, Stretch, l’ultima stabile: il gap tra le due distribuzioni diventa così praticamente nullo; data la vicinanza delle due distribuzioni (systemd a parte), tutto il parco software di Debian è disponibile (con la notevole eccezione di GNOME che, per scelta dei suoi sviluppatori, ha necessità di systemd).
Rispettati tempi e promesse del tempo del rilascio della beta, compresa la possibilità di usare OpenRC invece di SysV per la gestione dell’avvio dei servizi al boot.
Altra novità è il minisito con l’elenco (e la ricerca) dei pacchetti specifici di Devuan, simile a quanto offerto anche dalle altre distribuzioni principali, così da poter sapere in anticipo se un pacchetto di un certo software è stato adattato per Devuan e con quale versione.

Oltre alla versione principale (con varie possibilità di installazione), troviamo alcune distribuzioni derivate, tra cui le due più curiose sono:

  • Maemo Leste
    creata per i disposivi mobili, compresi Nokia N900/N950 e Motorola Droid 4, riprende il nome dal vecchio progetto maemo. Se avete qualche vecchio dispositivo ancora in giro…
  • DecodeOS
    per creare un sistema a micro-servizi anonimonascosto, sfruttando la rete Tor.

Pronti a fare un giro?

Kernel Linux: arrivano le prime patch per Spectre V4

Facebooktwittergoogle_plusredditlinkedin

Risale già a qualche settimana fa la scoperta di una nuova falla della serie Meltdown/Spectre da parte dei team di Microsoft e Google ed arrivano anche le prime mitigation nel kernel Linux.

La versione 4.17 rilasciata negli scorsi giorni infatti include anche diverse patch per arginare i problemi che hanno introdotto Spectre e Meltdown:

  • Fix per alcune CPU x86 di produzione cinese;
  • Fix per Spectre per IBM s390;
  • Fix per Spectre V4 per Power7, Power8 e Power9;
  • Fix per Spectre V4 su CPU Intel.

Per il kernel 4.18 sono previste ulteriori patch per mitigare i problemi derivanti dallo Speculative Store Bypass stavolta sulle CPU di AMD che utilizzeranno le direttive SPEC_CTRL / VIRT_SPEC MSR che verranno fornite in futuro dal produttore insieme agli aggiornamenti firmware.

Al momento, questa sembrerebbe anche l’unica mitigation inclusa nel kernel 4.18 che fa riferimento all’architettura x86. Oltre a questa, infatti, sono previsti aggiustamenti anche per Spectre V4 su ARM64 e, finalmente, per Spectre V1/V2 su ARM 32-bit.

Vedremo mai la fine di questa neverending “apply-fix-and-reboot-you-machine” story?

Shuttleworth spiega dove andrà Ubuntu e soprattutto Canonical dopo l’OpenStack Summit di Vancouver

Facebooktwittergoogle_plusredditlinkedin

Non si sono ancora placati gli echi della polemica innescata dal patron di Canonical al Vancouver Summit. Shuttleworth aveva direttamente attaccato Red Hat e VMWare di fatto sfidandole nell’affermare quanto Ubuntu fosse meglio in tutti gli ambiti di competenza.

Ebbene, stando a quanto racconta ZDNet, il papà di Ubuntu è tornato a parlare delineando e descrivendo ciò che sarà il futuro della sua azienda e del suo sistema principe, Ubuntu. Si parte con la IPO, Initial Public Offering, ossia il progetto che porterà Canonical ad essere quotata, se ci saranno compratori disposti ad investire. E proprio in merito a questo tema Shuttleworth si pronuncia così:

We will do the right thing at the right time. That’s not this year, though. There’s a process that you have to go through and that takes time. We know what we need to hit in terms of revenue and growth and we’re on track.

Faremo le cose giuste al momento giusto, che comunque non è quest’anno. C’è un procedimento da attraversare e ciò richiede tempo. Sappiamo cosa dobbiamo raggiungere in termini di guadagni e crescita ed al momento stiamo rispettando i programmi.

E se qualcuno pensa che questa crescita e questo guadagno derivino dal prodotto di punta, ossia il sistema operativo Ubuntu, sta pensando giusto. Ma non è certo il desktop ciò su cui la strategia è basata, quanto piuttosto il cloud. Infatti ad oggi i numeri raccontano di una supremazia indiscutibile, quantomeno nelle statistiche di marketing degli AWS, gli Amazon Web Services. Qui infatti la distribuzione delle istanze racconta come Ubuntu domini a quota 209.000, seguita da Amazon Linux AMI a 88.500 e Red Hat/CentOS a 31.400 (Microsoft Windows si attesta al quarto posto: 29.200).

È proprio qui il centro della strategia: il Cloud, a cui ovviamente va associato il discorso OpenStack che il buon Mark non ha esitato a sottolineare durante l’ultimo summit, mentre buona parte dei competitor hanno perso la battaglia per OpenStack, Canonical ha invece guadagnato enormemente e, secondo quanto auspica, continuerà a farlo.

Subito dopo aver spiegato come in Canonical ci siano poco meno di 600 (!) sviluppatori ad occuparsi dell’IoT (Internet Of Technologies) l’intervista si sposta sul discorso desktop environment, e sul recente passaggio a GNOME con conseguente abbandono di Unity, la cui riflessione finale è abbastanza chiara:

I do miss Unity, but I use GNOME.

Mi manca Unity, ma io uso GNOME.

Insomma, come al solito decisione e sicurezza di sé fanno di Mark Shuttleworth un interessante interlocutore anche se in ogni caso tra le righe si legge come in questa vendita ci creda moltissimo e ci stia investendo davvero tutto.

Non abbiamo nessuna Delorean disponibile per viaggiare nel futuro, ma chi lo sa, se diciamo che il 2019 sarà l’anno di Microsoft Ubuntu qualcuno se la sente di smentire categoricamente?