BR-Linux.org

O aMule, que está na estrada desde 2003, lançou hoje sua nova versão 'alive again', inaugurando a série 3⸱0, e mantendo a compatibilidade com os demais programas que usam o protocolo eMule.

É a primeira versão 'major' do aMule em mais de 5 anos (desde a 2.3.3, de fevereiro de 2021), e as principais mudanças são melhorias no desempenho dos downloads, revisão completa do sistema de compilação (sai autotools, entra CMake), executáveis nativos para Linux, Mac e Windows, e uma limpeza completa da API legada.

Sobre as melhorias de desempenho, o Changelog da versão 3.0.0 tem uma tabela com números tão grandes a ponto de serem espantosos, multiplicando por 100 (ou mais - até 380x) o desempenho (medido em MB/s de download) obtido na versão 2.3.3. A razão é uma reescrita das rotinas, incluindo separar as threads de comunicação em rede e de escrita em disco.

Há pacotes oficiais para linux nos formatos AppImage e FlatPak.

Referência: @sam@neopaquita.es

A Microsoft confirma que desativou mais de 70 dos seus próprios repositórios open source no GitHub, incluindo vários relacionados ao Azure e a agentes de IA, enquanto investiga uma invasão.

Como tem sido frequente na atual onda de ataques, o alvo é roubar credenciais de quem instalar o software dos repositórios: os invasores injetaram malware que coleta as chaves e tokens de acesso ao Claude, Gemini e similares.

Consultada, a Microsoft se recusou a informar quantas pessoas fizeram o download dos pacotes infectados, enquanto estiveram disponibilizados nos repositórios da empresa no GitHub (que também pertence à Microsoft).

Referência: techcrunch.com

O Fedora 44 para hardware RISC-V está disponível nas opções container, servidor e nuvem, em imagens criadas e mantidas pela própria comunidade Fedora.

As imagens do Fedora 44 para RISC-V usam um kernel baseado no Linux 6.19, próximo ao upstream, e foram testadas no Vision Five 2, Orange Pi RV e Milk-V Mars.

O suporte a arquiteturas variadas é consequência do kernel "Omni", criado para suportar um conjunto mais amplo de placas RISC-V, inclusive com recursos que ainda não estão disponíveis no kernel Linux upstream, e por isso a distribuição oferece compatibilidade com o Banana Pi BPI-F3, Bit-Brick K1, DeepComputing fml13v01, Lichee Pi 4A, Milk-V Jupiter, Milk-V Mars, Milk-V Megrez, Milk-V Titan, OrangePi R2S, OrangePi RV, OrangePi RV2, Pine64 STARPro64, SiFive HiFive P550, SiFive HiFive Unmatched, SpacemiT K3 Pico-ITX, StarFive VisionFive 2 e StarFive VisionFive 2 Lite.

Referência: phoronix.com

Os vizinhos do VivaoLinux publicaram hoje um artigo de Xerxes Lins com uma lista prática de sugestões de configuração e personalização para usuários do Ubuntu.

Começa assim: “Depois de instalar o Ubuntu 26.04, o desktop já está pronto para uso, mas alguns passos tornam a máquina mais útil, segura e confortável no dia a dia. Atualizações, drivers, codecs, backups, firewall e preferências de privacidade são cuidados básicos que valem a pena logo na primeira sessão.”

Referência: vivaolinux.com.br

O LWN trouxe a informação e reproduziu o e-mail em que Andrew Tridgell pede desculpas e informa evoluções positivas, após a descoberta de regressões no código de versões recentes do rsync (depois de ele ter adotado o vibe coding), e de uma primeira reação bem menos positiva da parte dele.

Como eu disse no post que cobriu o capítulo anterior dessa novela, tenho imenso respeito pelo legado dele, e lamento especialmente que isso esteja acontecendo porque ele preferiria estar curtindo a aposentadoria mas não encontrou um mantenedor à altura para herdar o projeto.

Nesse sentido, o pedido de desculpas dele também me entristece, por ser pelo fator errado: a reação inicial destemperada mereceria sim um pedido de desculpas, mas ter errado na disponibilização de código (mesmo que por uma imperícia que não é característica do seu histórico) é algo que acontece e não demanda se desculpar.

As notícias do contexto são boas: ele acabou se motivando para lançar uma nova série 3.5 do rsync; lançou uma versão 3.4.3 para corrigir as regressões recentes (que vem acompanhada de um kit para implementar as mesmas correções nas versões usadas em distribuições LTS correntes); para a futura série 3.5, criou um grupo de testadores, como prevenção adicional para novas regressões; não acha mais que seu novo software testador é a garantia universal de compatibilidade de código.

No final de semana tive tempo de dedicar algumas horas à lista de pendências nas áreas que são mais visíveis pelos leitores, e aqui estão as novidades implementadas, que estarão em testes ao longo desta semana:

1. Acesso ao BR-Linux via IPv6: ativado, e cadastrado no DNS. Endereço: 2607:F298:0006:A027:0000:0000:06FA:83EF. Atendendo à sugestão do @UnderEu@mas.to, que testou e validou. Obrigado!
2. Celulares X Posts com vídeos: Consertei o layout em telas estreitas (celulares), que estava alargando demais quando algum post incluía um vídeo do YouTube. Agora o vídeo se restringe à largura da tela, mesmo quando o embed gerado pelo Youtube tenta expandi-lo.

3. Reações (joinha, etc.) aos posts: ativado, a princípio apenas para posts com até 1 semana de idade. Incluí 6 categorias, representadas subjetivamente, a partir dos emojis a seguir: 👍🏻 🤣 🥰 😮 😤 👎🏻. A sugestão foi do leitor Alexandre Anacleto, via formulário de contato, e o recurso está em teste, porque caso venha a me gerar esforço de moderação, não vou manter.
4. Mês do orgulho: a comunidade LGBTQIAPN+ celebra em junho o Mês do Orgulho, e o BR-Linux reafirma ser a favor da inclusão e da diversidade. Na atualização dos termos de uso do site (que permanece na lista de pendências), procurarei deixar ainda mais claro que aqui se combate a discriminação, e não há lugar para homofobia e transfobia, assim como não se tolera racismo, capacitismo, xenofobia, misoginia, etarismo, gordofobia e várias outras manifestações da mesma espécie.
5. Metadados dos posts: ajustes e evolução dos campos de tags, autoria, data, etc. dos posts, nas capas e nas páginas de post individual. A versão anterior era de um layout de 2013, ainda tinha link para compartilhar no Facebook…
6. Formulário de indicação de notícias: está funcionando muito bem, e é sempre muito bom receber por meio dele as indicações das pautas que vocês desejam ver divulgadas aqui. Agora melhorei as instruções sobre o preenchimento dos campos (com exemplos!), e ajustei o antispam, porque os bots de spam já redescobriram esse recurso.
7. Posts com texto enviado pelos leitores: reativação de um estilo de formatação específico para dar destaque especial quando o post é de texto enviado por leitores , que havia sido esquecido quando fiz a modernização do layout, num sprint anterior.

A retomada do site é bem trabalhosa, mas faço com prazer (e sem pressa). Ainda há muito a avançar!

Gostaria de ver similar decolar em nosso país: a Comissão Europeia anunciou na semana passada a sua proposta oficial de pacote de medidas estratégicas de soberania tecnológica, para reforçar a autonomia e resiliência digital da Europa.

A estrutura de governança da Europa reconhece como um problema o fato de, neste momento, depender de fornecedores externos de tecnologia para mais de 80% das infraestruturas digitais críticas. A frase da presidente da Comissão Europeia, Ursula von der Leyen é expressiva:

"Não podemos nos permitir depender de terceiros para as tecnologias que mantêm os nossos hospitais em funcionamento, as nossas redes energéticas estáveis e os nossos serviços seguros. Trata-se de proteger os nossos cidadãos, defender os nossos interesses e fazer as nossas próprias escolhas."

Segundo o comunicado, a nova abordagem da União Europeia aos ecossistemas digitais abertos visa mudar isso, apoiando soluções de código aberto em todos os níveis, valorizando a auditabilidade e a segurança, e combatendo o aprisionamento criado pelos sistemas proprietários.

Também há medidas referentes a hardware, nuvem e IA, e menção específica a redes sociais verdadeiramente descentralizadas e soberanas: “Fortalecer o espaço das redes sociais de código aberto apoiando soluções e plataformas de redes sociais abertas e descentralizadas. A Comissão gere atualmente uma instância Mastodon – que hospeda a presença da Comissão – e planeja alargar a base de usuários às instituições da UE”.

Tomara que a moda pegue.

Referência: Commission proposes tech sovereignty package to strengthen Europe's digital autonomy and resilience.

O DD-WRT, popular sistema open source para roteadores e dispositivos embarcados, virou alvo do C0XMO, um malware que estabelece uma botnet diretamente dos roteadores (e outros dispositivos, como DVRs e equipamentos de gerenciamento) invadidos, e os usa para gerar ataques de negação de serviço contra alvos selecionados pelos operadores dessa infraestrutura nefasta.

O DD-WRT roda em diversas arquiteturas, e o C0XMO não fica atrás: foram encontradas amostras de código do malware para ARM, MIPS, PowerPC, SuperH, x86, x86_64 e mais. Ele vasculha a Internet em busca de equipamentos vulneráveis a uma falha no serviço UPnP do DD-WRT e com senhas pouco complexas, e se replica para eles automaticamente, ampliando a botnet.

Uma vez instalado, o C0XMO remove ou desativa outros malwares que tenham se aproveitado da mesma falha para invadir o mesmo equipamento, e ativa uma série de salvaguardas para garantir a sua própria execução periódica, ao mesmo tempo em que estabelece conexão com um servidor central, do qual recebe comandos para inspecionar redes ou atacá-las.

Para prevenir a infestação, o ideal é começar por ter em seu equipamento a versão mais recente do DD-WRT, e uma senha que não seja fácil de adivinhar.

Referência: C0XMO botnet spreads via DD-WRT router flaw, kills rival malware.

O Euro-Office é o pacote de aplicativos de escritório que nasceu da positiva onda de soberania tecnológica da União Europeia, vem sendo desenvolvido por um consórcio de empresas e projetos (como Nextcloud, Open-Xchange, OpenProject, Proton e Tuta) e tem como principal base um fork do código open source do ONLYOFFICE (que é de origem russa, e cujos desenvolvedores não aderiram ao esforço da União Europeia).

Aplaudimos a existência e desejamos sucesso ao Euro-Office, mas há algo que ele diz ser, e não é – ou, no mínimo, há espaço para contestação, mesmo que não se dê total razão ao incômodo expresso pelo LibreOffice sobre o Euro-Office dizer que é o primeiro pacote de escritório open source europeu.

A carta aberta do LibreOffice, datada de hoje, começa assim:

Nos últimos dias você tem lido vários artigos anunciando a chegada do Euro-Office, que anunciado como o primeiro pacote de escritório de código aberto desenvolvido na Europa. Somos compelidos – com relutância, uma vez que o código aberto deve basear-se na transparência e não na fraude – a corrigir esta afirmação. O primeiro pacote de escritório de código aberto desenvolvido na Europa foi o OpenOffice.org em 2001, baseado no código-fonte do StarOffice, e seguido pelo LibreOffice a partir de 2010.

Eu estou nesta estrada há tempo suficiente para ter usado o StarOffice para Linux (importei uma caixa enorme de discos de instalação e manuais impressos, na época vendidos na Alemanha pela SuSE). Comemorei a abertura do seu código, que veio na virada do século, após a compra pela Sun Microsystems (dos EUA).

No ano 2000 Sun abriu o código do StarOffice, que comprou em 1999 da empresa alemã que o desenvolvia desde 1985. Esse código deu forma ao OpenOffice, mantido pela Sun até a aquisição da empresa pela Oracle, em 2010. A aquisição pela Oracle acabou dando o ensejo para a criação do fork comunitário LibreOffice (também em 2010), administrado pela The Document Foundation, uma ONG sediada na Alemanha. Em paralelo, no ano seguinte, o código e a marca do OpenOffice foram herdados pela Apache.

Para mim, há pouco espaço para dúvida: o LibreOffice é um pacote de escritório open source europeu, desde 2010. O fato de o código ter sido aberto nos EUA não muda a sua origem, nem interfere na nacionalidade do projeto.

Afinal, se o Euro-Office quer dar importância especial ao país de origem de cada aplicativo, é bom que o faça de forma consistente.

Referência: blog.documentfoundation.org

Quem tem demanda de instalar com frequência sistemas operacionais em computadores de uma placa só (como o Orange Pi, Banana Pi, Odroid, Raspberry Pi e similares) vai gostar de saber que agora o gerador de imagens de instalação do Armbian permite configurar previamente itens como login, senha, Wi-Fi, fuso horário, localização, chaves SSH e shell.

Ter esses detalhes pré-configurados na imagem permite dar boot com um estado muito mais pronto para uso na máquina de destino, que frequentemente tem menos recursos e usabilidade do que a máquina usada para gerar a mídia de instalação – já que o Armbian Imager roda em Linux, Mac e até Windows.

Na prática, em alguns casos, isso permite ter a máquina acessível e configurável remotamente desde seu primeiro boot, sem que ela precise ter um console local.

Armbian, você sabe, é um projeto que disponibiliza uma plataforma unificada, baseada em software do Debian e do Ubuntu, pronta para produção em mais de 300 computadores baseados no fragmentadíssimo ecossistema do hardware ARM. As imagens de instalação do Armbian incluen o kernel e configurações específicos para cada placa, com drivers testados e grande chance de a placa funcionar de primeira, sem ter que recorrer a forks de cada fabricante.

Referência: Armbian Imager 2.0 Flashing Tools Debuts with First-Boot Setup Profiles

Vejam que momento mágico eu escolhi para recolocar no ar o BR-Linux: cada vez mais, precisaremos de conteúdo escrito por pessoas que desejam ser lidas por pessoas!

Os acessos vindos de bots (automatizados) já são 57,5%, de acordo com os dados mais recentes da Cloudflare, um dos maiores funis dos conteúdos da web moderna. É a primeira vez na história em que isso acontece, e antecipou até mesmo a previsão pessimista do CEO da empresa, que previa para o ano que vem essa ultrapassagem.

E não são aqueles bots ~tradicionais (rastreadores de sites, indexadores de pesquisa, bots de DDoS, etc.): a Cloudflare sublinha que está mapeando agentes que navegam na web fingindo serem pessoas, em nome de pessoas, e que _isso_ já está em grande escala, em tarefas como comparar preços, pesquisar voos, pedir refeições ou lidar com interações de SACs e atendimento a clientes em geral.

Em termos de tempo on-line, entretanto, os humanos continuam ~ganhando.

Referência: ‘Bots have now passed human traffic online,’ Cloudflare boss laments — says agentic traffic wasn’t expected to eclipse real people until next year

Quero começar dizendo algo que precede: tenho imenso respeito pelo legado de Andrew Tridgell, o desenvolvedor em questão. Sua principal criação – o Samba (1992-) – foi um dos grandes impulsionadores da vitória do código aberto nos conflitos da interoperabilidade com redes proprietárias, na virada do século. Não satisfeito, ele também co-inventou o rsync (1996-), que há décadas é um fundamento da sincronização de arquivos entre servidores, e um elemento central em muitas estratégias de backup.

Isso não impede minha rejeição (na verdade, aumenta o tamanho da decepção, embora eu não negue que ele tenha o direito de se posicionar como bem entender) à resposta que ele publicou sobre a recente controvérsia causada pelas regressões no código do rsync, iniciadas quando ele resolveu aplicar vibe coding ao seu desenvolvimento, como vimos neste post anterior aqui no BR-Linux: “Novas versões do rsync trazem bugs críticos surpreendentes e foram feitas com IA”.

A resposta dele me desaponta por vários motivos, mas o principal é se esforçar para desqualificar coletivamente quem criticou a situação.

A resposta dele me desaponta por vários motivos, mas o principal é ele concentrar boa parte dela em uma visão que desqualifica coletivamente (com expressões como “uma enxurrada de lama dos assim chamados especialistas da internet”) quem criticou a situação atual do código – que objetivamente não é boa, ainda mais se comparada ao histórico do próprio projeto.

A resposta dele também me preocupa, porque ele confirma que preferiu uma estratégia em que a IA não apenas escreve o código novo para o rsync, mas escreve os testes que validam esse código novo. O resultado nós vimos nas atualizações recentes (e não surpreende, dado o método), Mas Tridge defende longamente essa escolha, e rejeita (literalmente) os PhDs que apontam os riscos dessa estratégia, como se estivéssemos falando de um risco teórico, e não da sua materialização na forma de regressões em um sistema previamente estável.

A resposta de Tridge também me causa rejeição porque ele – que acusou os outros de jogarem lama – aproveitou para jogar lama no openrsync (que eu uso há anos, e agora vou usar em mais máquinas) como alternativa a quem deseja migrar do seu projeto, com o argumento de que não passa em boa parte da sua nova suíte de testes (aquela que ele acabou de pedir para a IA criar…).

Esse argumento dele é duplamente ruim: primeiro, porque desconsidera que o openrsync atualiza segurança e compatibilidade, mas intencionalmente congelou sua base nos recursos e interfaces do rsync de uma versão estável de um bom tempo atrás (é com o rsync 3.1.3, de 2018), portanto naturalmente não passaria em testes desenhados para atestar compatibilidade com versões posteriores. E segundo, porque no mesmo post, Tridge sugere aos descontentes que instalem versões anteriores do próprio rsync (mesmo sabendo que elas possuem falhas de segurança, que foi o que o motivou a usar vibe coding no projeto, conduzindo à situação atual).

Em suma, uma má resposta, que não resolve nenhum problema, por mais que o autor tenha direito de se sentir injustiçado ou desvalorizado pela enxurrada de críticas.

Mas há algo que me dói um pouco mais, e aí é a favor do Tridge, e não contrário ao seu posicionamento: ele abre o texto dizendo que está aposentado, e prefere ir velejar do que ficar cuidando de softwares. Ao longo do texto, ele retorna a essa ideia. É evidente o quanto ele está em busca de uma alternativa que permita viabilizar isso (e pensou ter encontrado na IA).

Eu concordo com ele quanto ao desejo: ele tem direito, e merece poder desfrutar da aposentadoria. Sabemos que ele já tentou passar o rsync para outro mantenedor, mas não deu certo, e o projeto voltou a ele.

Tomara que uma próxima tentativa dê mais certo, Tridge possa se aposentar efetivamente, e deixe o projeto em boas mãos.

O BR-Linux, que completa 30 anos em novembro deste ano, deseja feliz aniversário ao Phoronix, que é o aniversariante do dia. Parabéns!

Hoje completam-se 22 anos desde o dia em que Michael Larabel criou o Phoronix, inicialmente voltado a reviews de hardware rodando Linux, e hoje um dos principais recursos internacionais de notícias e comentário especializado sobre a cena open source.

Parabéns ao Michael pela resiliência, pela qualidade do resultado, e por continuar resistindo a se juntar a um cenário cada vez mais caracterizado por veículos que copiam conteúdo alheio ou se limitam a transcrever releases recebidos das assessorias de imprensa das marcas, ou mesmo a vender seu espaço para publicar propaganda fingindo ser conteúdo editorial.

Referência: phoronix.com

Em um evento voltado a desenvolvedores, a Microsoft anunciou o Coreutils for Windows, descrito como parte de uma estratégia para tornar o Windows uma plataforma amigável a esse público (ao aproximá-lo cada vez mais da linha de comando das distribuições de Linux, mas essa parte ela não disse em voz alta).

A turma do Retrópolis certamente vai identificar um padrão 👇🏻 ao saber que a Microsoft anunciou ontem o lançamento do componente 'Coreutils for Windows', levando ao sistema deles uma implementação nativa, e oficialmente mantida, de uma série de comandos e utilitários herdados do Unix dos anos 1970 e 1980, e que a partir de 1990 evoluíram como parte do GNU Coreutils (que só ganhou esse nome a partir de 2002, porque antes era dividido entre textutils, shellutils, fileutils e mais alguns pacotes isolados).

A implementação da Microsoft usa a mesma estratégia do BusyBox: um único executável, e inúmeros links apontando para ele, com nomes distintos como cat, cp, mv, ls, base64, pwd, tee e muitos mais. E o pacotão da Microsoft usa a reimplementação das coreutils em Rust (aquela mesma que a Canonical incluiu cedo demais como default no Ubuntu), e também incluiu alguns softwares extras, relacionados aos comandos find e grep.

Alguns dos comandos, que dependem de funcionalidades do POSIX que não são nativas no Windows, não foram incluídos na versão atual – assim, não estão disponíveis itens como chmod, chown, chroot, nohup, tty, kill e timeout. Quanto aos que foram incluídos, a Microsoft já avisa para não esperar compatibilidade plena e imediata, porque até a forma como os 2 sistemas identificam o final de cada linha de texto é diferente, e certamente haverá outras diferenças mais profundas a serem identificadas para corrigir ou conviver.

E o padrão retrô que eu mencionei acima é este: os comandos mais essenciais do Unix sempre acabam dando um jeito de chegar às plataformas da Microsoft, cuja linha de comando suporta os recursos necessários de redirecionamentos e pipes, mas não vem com a mesma riqueza de filtros para explorá-los.

Eu já fui usuário dessa ideia ainda no século XX, com o pacote MSX-DOS Tools (lançado em 1987 pela Ascii Corp., parceira da Microsoft no Japão), que incluía no MSX-DOS da Microsoft vários comandos do Unix como grep, head, tail, tr, uniq, wc, sort e patch.

Referência: infosec.exchange