Grsecurity: no más parches gratis para Linux

Grsecurity, el conjunto de parches que tienen como objetivo endurecer la seguridad del Linux Kernel, dejará de ofrecer ediciones gratuitas. Estará por tanto disponible únicamente para aquellos clientes que estén dispuestos a pagar por su desarrollo. Es una medida que ya habían tomado con anterioridad respecto a las ediciones LTS del nucleo y que ahora se extiende de forma general.

El proyecto que dirige Brad Spengler incluye elementos como: PaX para evitar fugas de memoria, un sistema de control de acceso en base a roles y mínimos privilegios, entorno chroot, control de las conexiones de red, prevención de ataques de fuerza bruta,  direcciones aleatorias de los procesos de memoria en el kernel (ASLR) que dificultan la inyección de código malicioso y la explotación de vulnerabilidades, así como sistemas de auditoría adicionales dirigidos a usuarios, grupos o tipo de operación, además de otro tipo de protecciones.

Por diversas razones que más adelante comentaremos, la mayoría de esas modificaciones no están integradas en la linea principal del kernel, ello no impide que nos podamos encontrar versiones de Linux Grsecurity en los repositorios de varias distros. O por lo menos podíamos hasta la edición 4.9, la última disponible para no subscriptores.

Aunque el anuncio por parte de la gente de grsecurity no entra en detalles, no es ningún secreto que la aproximación al asunto de la seguridad por Linus y el núcleo duro de desarrolladores que trabajan en la rama principal del kernel es diferente.

Básicamente se resume en que un fallo de seguridad –a menos que sea muy grave– debe ser tratado como otro bug cualquiera (huir de todo ese “circo montado alrededor de la seguridad” que diría Torvalds). Algo que será resuelto en una próxima edición del kernel, sin necesidad de sacrificar el rendimiento por determinadas políticas de seguridad, a las que no se otorga una especial jerarquía sobre el resto.

En grsecurity están más en el desarrollo de defensas proactivas y herramientas para evitar los fallos de seguridad más comunes, sin depender de correcciones de fallos puntuales. Algo en lo que la Fundación Linux también está empezando a trabajar a través de un proyecto llamado Kernel Self Protection.

Y ahí creo que es donde ha surgido el punto de discordia definitivo. A los tradicionales debates sobre la falta de colaboración a la hora de facilitar la integración en el kernel y escasa sintonía entre Spengler y Torvalds, se une ahora la acusación de que el Kernel Self Protection Project se estaba apropiando del trabajo realizado por grsecurity.

Si a ello añadimos que los desarrolladores de grsecurity no perciben dinero por parte de la Fundación Linux por realizar su trabajo, se puede entender mejor esta medida.

Al igual que el Kernel, los parches de grsecurity se rigen por la licencia GPLv2. Como resultado de su nueva política de ventas, tan solo estarán obligados a proporcionar el código fuente a aquellas empresas o particulares a los que distribuya el software.

Sin embargo legalmente nada impediría a estos su posterior redistribución, aunque probablemente resultaría en una cancelación de la suscripción a sus servicios.

12 thoughts on “Grsecurity: no más parches gratis para Linux”

  1. cesarpachon says:

    definitivamente este artículo me refuerza la idea de que el software libre es más un tema de abogados que de ingenieros.. sospecho que en el caso de una suspensión de licencia por redistribuir el código, grsecurity llevaría las de perder, por estar castigando a su cliente por usar una libertad que expresamente le otorgó al momento de la venta. otra opción es que sacaran nuevas versiones bajo alguna licencia más restrictiva, pero entonces habría incompatiblidades para integrarla con el kernel linux?

    1. Adrián Arroyo says:

      Yo no lo entiendo así. Yo entiendo que esa determinada versión la podrían distribuir pero ya no les dejarían comprar más actualizaciones de grsecurity.

  2. jvare says:

    Por fin vemos claro que Free no es gratis. Quien trabaja y desarrolla software necesita ser remunerado de alguna forma.
    Aquellas grandes empresas que utilizan el kernel de linux en sus sistemas, me parece correcto que paguen por un servicio que les ayuda a mantener la seguridad y funcionamiento de su negocio.
    Estos aspectos no nos influyen a los usuarios corrientes de escritorio que no requerimos niveles tan grandes de seguridad en nuestros equipos.

    1. Dani says:

      ¿No utilizas la banca virtual? Como simple ciudadano, yo estaría muy preocupado de ser así. 😉

  3. Dani says:

    Con GNU/Linux obtienes lo que pagas, aunque nos pese.

  4. joaquinton says:

    Linux se creó para ser libre. Espero que este no sea el único camino. La libertad no se paga, si todos ayudamos y seguimos un mismo fin podremos devolver la libertad a nuestras vidas.

    1. Tete Plaza says:

      y a los desarrolladores de software libre que sacrificaron y sacrifican porque están constantemente liberando nuevas versiones e invirtiendo su tiempo, quien les paga?, acaso deben vivir del aire?

      1. Tete Plaza says:

        Como diría un viejo que sabe mucho de éstos temas:
        Libre != Gratis
        RMS

        1. Joaquinton says:

          No digo que la gente no deba cobrar, y tu visión me parece respetable. Linux para mí es el SO perfecto, y una de las causas es que su libertad puede ser completa. El dinero es una de las causas, por desgracia en esta sociedad capitalista no puedes vender junto a los comerciales sin usar dinero. Aún así quiero poder seguir siendo libre mientras uso Linux, sin deberle nada a nadie.

      2. cesarpachon says:

        yo creo que el software libre es una forma de activismo social. en ese contexto, quien paga y si deben vivir del aire no es la pregunta relevante, como no lo sería para los voluntarios de greenpeace ó los activistas de derechos humanos. el open source, por otro lado, puede verse como un modelo de negocio más: regalas algo con la esperanza de ganar dinero por otro lado (como cuando cobras por documentación ó soporte), o regalas el código a cambio de ganar visibilidad en el mercado, reputación.. etc. es parecido a cuando te regalan café o te limpian el parabrisas por llenar de gasolina tu coche. en el grupo de software libre de mi ciudad publicamos un comic sobre el tema (hecho con software libre, claro!) https://cusol-envigado.github.io/#publicaciones

  5. Carlos Rosas says:

    Linux no permitira la compativilidad si llegase a esas instancias lo mejor debiese ser que pidieran algun tipo de apoyo mozilla se ha sostenido de esta forma

  6. José says:

    Bueno lo complejo de entender es q la comunidad quiera buscar el purismo del GPL justamente en el desarrollo del kernel.

Deja un comentario