Linux quebra o monopólio das Falhas de Segurança de Gente Grande
|
15-06-2010, 22:47
(Esta mensagem foi modificada pela última vez a: 15-06-2010 22:48 por brunomartins.)
Mensagem: #1
|
|||
|
|||
Linux quebra o monopólio das Falhas de Segurança de Gente Grande
de bruno martins: não fui eu que escrevi isto, mas decerto que isto é uma discussão muito interessante para se falar no blog do pplware..
--------------------------------------------------------------------------------------------------- Uma das lendas mais comuns espalhadas pela “cumunidade” é que não há falhas de segurança para Linux. Só perde para a autoilusão dos que afirmam que com o controle de privilégios qualquer invasor só pode executar código com os direitos do usuário local, o que seria verdade se bugs de Escalação de Privilégios não fossem mais que conhecidos. Outra lenda é que o open source acabaria com os bugs de segurança pois o código sendo aberto seria auditado por muita gente e com muitos olhos, todos os bugs são rasos, é a chamada Lei de Linus. Deviam ter dito isso pro sujeito que hackeou o Unreal, popular servidor de IRC no Linux. O servidor foi invadido, o código-fonte alterado e um cavalo de tróia inserido nas entranhas do programa. Repositórios pelo mundo replicaram o Unreal3.2.8.1.tar.gz, incontáveis servidores foram pwnados. Como? MD5? Nas palavras do desenvolvedor do Unreal, quase ninguém roda um checksum, lamento. Para piorar, só a versão Linux foi contaminada, a Windows não foi afetada. A cereja (podre) do bolo (estragado)? O arquivo estava contaminado desde NOVEMBRO DO ANO PASSADO. Por SEIS MESES distribuiram um programa invadido, alterado, deturpado e modificado, sem que NIGUÉM percebesse, nem os desenvolvedores, nem os usuários, que deveriam examinar o código-fonte à procura de bugs, afinal adoram se gabar dessa possibilidade. Quer mais? O Gentoo, uma das distros Linux mais respeitadas e menos hypadas, estava distribuindo o arquivo contaminado. Alguns alegam que a alternativa seria utilizar o modelo Windows, com arquivos de instalação assinados digitalmente. Faz um pouco de sentido, mas quando a falha de segurança chega até o código-fonte, fica complicado. A assinatura seria gerada em cima do arquivo adulterado. No caso são DOIS passos necessários: 1 – Assinatura digital no próprio arquivo 2 – Ambiente de desenvolvimento ISOLADO da Internet. Do contrário ao invés de hackear o servidor de distribuição o sujeito hackeia o de desenvolvimento e dá no mesmo. O principal é a “cumunidade” parar com a atitude arrogante de “sou invencível”. Nos comentários isso fica bem claro com o assunto polarizado em duas vertentes: Os que foram invadidos e estão FULOS DA VIDA e os que não foram e insistem em minimizar o caso com os argumentos de sempre e a cegueira eterna, já que nem vendo gente relatando invasões admitem que há um problema. Fonte -------------------------------------------------------------------------------------------------------------- Linux infection proves Windows malware monopoly is over; Gentoo ships backdoor? [updated] Update 12:30PM PDT 14-Jun-2010: It’s much worse than it appears. According to this report, the malware-compromised code was included in the official Gentoo distribution: Would you consider it to be a big deal if it was found in a distribution? Gentoo just released an update to remove the backdoor. http://packages.gentoo.org/package/net-irc/unrealircd I’m sure there will be others, I believe the package is also available in Arch. I haven’t really looked to see if it was anywhere else. The Gentoo bug report (warning: Gentoo’s certificate does not resolve to a trusted Certifying Authority) reports that it is VERIFIED and CLOSED with this comment: The unrealircd taball in the gentoo mirrors _is_ affected ( Unreal3.2.8.1.tar.gz ) but the Manifest file’s signatures match the _unaffected_ tarball. This discrepancy is how the backdoor was discovered. So, please just flush the tar.gz from gentoo’s mirrors, teach people to not blindly run “ebuild *.ebuild manifest”, and unrealircd’s SRC_URI does not include the current upstream tarball location: SRC_URI=”http://www.unrealircd.com/downloads/${MY_P}.tar.gz“ (unrealircd’s mirror system was compromised by the attacker and so the tarball is temporarily being hosted at the official site). There’s a great deal of comment in the Talkback section of this post about how official repositories can be trusted. It appears that system broke down thoroughly in this case. Every time I write about Windows security software, I get a predictable flood of responses from Linux advocates who claim that they don’t need any such protection. Today comes a shining example of why they’re wrong. If you downloaded and installed the open-source Unreal IRC server in the last 8 months or so, you’ve been pwned. Here’s the official announcement: Hi all, This is very embarrassing… We found out that the Unreal3.2.8.1.tar.gz file on our mirrors has been replaced quite a while ago with a version with a backdoor (trojan) in it. This backdoor allows a person to execute ANY command with the privileges of the user running the ircd. The backdoor can be executed regardless of any user restrictions (so even if you have passworded server or hub that doesn’t allow any users in). Two additional details in the announcement added extra helpings of irony: It appears the replacement of the .tar.gz occurred in November 2009 (at least on some mirrors). It seems nobody noticed it until now. Right. Because even server administrators believe that open source and Linux software are impregnable by design, the official download of a widely distributed server product has been infected with a backdoor that gives bad guys complete ownership of the system. Oops. And my favorite part: The Windows (SSL and non-ssl) versions are NOT affected. Again, that’s right. A similarly infected Windows file in the wild would be detected within days if not hours after a routine virus scan by someone checking the download before installing it. Meanwhile, Mac users shouldn’t get complacent either. Intego has reported two in-the-wild outbreaks of a Trojan horse program found on game sites and a gruesome piece of spyware that tags along with screen savers and other freebie apps. (And Intego says they found copies of the unwanted software even after the original distributor claimed to have removed it.) If you think all of this sounds familiar, you’re right. Welcome to the world Windows users lived in back in 2003 or so. The good news for security professionals who use Linux or a Mac? They have years of lessons to draw on courtesy of their Windows peers. (Thanks to F-Secure’s Mikko Hyponnen for the tip, via Twitter.) fonte original ------------------------------------------------------------------------------------------------------------------------ vai dar uma bela discussão.. NOKIA N8 Proud owner |
|||
16-06-2010, 01:45
Mensagem: #2
|
|||
|
|||
RE: Linux quebra o monopólio das Falhas de Segurança de Gente Grande
Hum, essa lenda é meio esquisita, uma vez que quem usa linux (Ubuntu), por exemplo sabe perfeitamente que são disponibilizadas actualizações de segurança regularmente... Só quem for purista é que pode afirmar o contrário. Agora, continuo a achar que Linux é mais seguro que Windows (pelo menos por enquanto).
35mm - Cinema (e outros assuntos) num blog. Aceito colaboradores. |
|||
16-06-2010, 11:07
(Esta mensagem foi modificada pela última vez a: 16-06-2010 11:08 por brunomartins.)
Mensagem: #3
|
|||
|
|||
RE: Linux quebra o monopólio das Falhas de Segurança de Gente Grande
agora pensando melhor, sabe-se lá quanto computadores já estão infectados.. é que o problema aqui é que a distribuição foi hackeada, e toda a gente fez updates com o código malicioso.. sim o problema já foi corrigido, mas isto levante uma questão ainda mais importante, quantos mais computadores ou distros estão contaminadas sem ninguém ainda ter dado por isso? se eles no servidor de irc do linux o unreal só passados 6 meses (ou seja só agora) é que deram por isso que aquilo continha um código malicioso.. continua a ser mais seguro? nenhum computador é seguro, e isso é importante explicar a toda a gente que pensa que por ter linux o mac estão imunes a tudo.. tenham cuidado que isto ainda vai ficar pior..
NOKIA N8 Proud owner |
|||
20-06-2010, 03:52
Mensagem: #4
|
|||
|
|||
RE: Linux quebra o monopólio das Falhas de Segurança de Gente Grande
A lenda e' apenas espalhada pelos que nao percebem o funcionamento de qualquer *nix. Alguem que nao queira vender o seu SO nunca diria que nao existem falhas de seguranca neste sistemas.
(15-06-2010 22:47)brunomartins Escreveu: Outra lenda é que o open source acabaria com os bugs de segurança pois o código sendo aberto seria auditado por muita gente e com muitos olhos, todos os bugs são rasos, é a chamada Lei de Linus. Esta parte seria alguma vez verdadeira se para encontrar falhas de seguranca fosse preciso olhar para o codigo fonte. Um bom exemplo e' o Debian, que fizeram uma alteracao no openssl e durante 2 anos ninguem questionou o comentario que colocaram em duas funcoes usadas para gerar uma chave privada e publica o mais diferente uma da outra. Tambem se esquecem que a falha pode existir no executavel mas nao existe no codigo fonte. A Microsoft teve um problema semelhante, e o linux kernel alertou para o problema de se usarem optimizacao na compilacao. O codigo estava bem, mas devido a optimizacoes uma parte que evitava o erro, foi eliminada pelo optimizador. Um bom contra-argumento sobre o "Linus' Law": http://blogs.msdn.com/b/shawnhernan/arch...cycle.aspx (15-06-2010 22:47)brunomartins Escreveu: Deviam ter dito isso pro sujeito que hackeou o Unreal, popular servidor de IRC no Linux. O servidor foi invadido, o código-fonte alterado e um cavalo de tróia inserido nas entranhas do programa. Repositórios pelo mundo replicaram o Unreal3.2.8.1.tar.gz, incontáveis servidores foram pwnados. Correcoes. Tanto quanto sei, o problema apenas aconteceu fora do servidor oficial do UnrealIRCd, nos mirrors. O codigo fonte, tanto como os executaveis (para windows), do site oficial, nao foram comprometidos. O problema nao esta' no sistema operativo. Porque tanto pode afectar Linux, como qualquer outro *nix. (15-06-2010 22:47)brunomartins Escreveu: Como? MD5? Nas palavras do desenvolvedor do Unreal, quase ninguém roda um checksum, lamento. Para piorar, só a versão Linux foi contaminada, a Windows não foi afetada. O problema resumiu-se a o codigo nao ser autenticado, para outros saberem que nao foi alterado do original. E se foi, sempre iriam verificar. Como disse antes apenas a versao que nao estivesse no site oficial foi afectada. Como a versao do Windows e' criada com a versao nao afectada, o Windows passou ao lado. Caso contrario, o problema seria igual! (15-06-2010 22:47)brunomartins Escreveu: Por SEIS MESES distribuiram um programa invadido, alterado, deturpado e modificado, sem que NIGUÉM percebesse, nem os desenvolvedores, nem os usuários, que deveriam examinar o código-fonte à procura de bugs, afinal adoram se gabar dessa possibilidade. E' incrivel que tenha demorado bastante tempo. Mas pelo que sei o numero de utilizadores tambem nao e' assim tao grande. E os que poderiam ver o codigo e saber que a alteracao inclui um bug nao e' assim tao simples. Houve uma tentativa de incluir uma backdoor no kernel do Linux, a algum tempo atras. O patch corrigia um bug ao mesmo tempo que abria a porta a intrusos. Passou por muitos e ninguem viu nada. Felizmente, antes de ter sido aceite, um dos principais responsaveis por aquela parte de codigo, questionou e viu que algo estava errado. Claro, o patch foi rejeitado. E' de referir que C e' uma linguagem poderosa, mas que tambem se pode fazer muito sem ninguem se apercebe de efeitos secundarios. Existe um concurso com o objectivo de criar programas C que esconda uma falha dificil de encontrar. Alguns acham que qualquer um pode contribuir codigo, mas os responsaveis, questionam tudo, e com motivo. E principalmente, quando nao teem alguma confianca ou nao conhecem quem envia o patch. (15-06-2010 22:47)brunomartins Escreveu: Alguns alegam que a alternativa seria utilizar o modelo Windows, com arquivos de instalação assinados digitalmente. Faz um pouco de sentido, mas quando a falha de segurança chega até o código-fonte, fica complicado. A assinatura seria gerada em cima do arquivo adulterado. Acho que se refere aos programadores principais assinarem o codigo. Assim, mesmo sacando o ficheiro de um mirror e' possivel saber se o codigo e' o mesmo que o do site oficial. Mas isto apenas minimizaria o risco. O site oficial pode ser hackeado, o codigo alterado, e assinado. E ja' aconteceu anteriormente. O caso que me lembro, so' demoraram umas horas a detectar a backdoor porque a aplicacao nao usava a net e alguem viu um aviso da firewall de que o tal programa queria aceder 'a net. Ele foi ver o que alterou (e como usava o SVN para guardar todas as alteracoes e depois compilar, que era automatico), foi facil ver o codigo que alterou e o que fazia. Deu logo o alarme, e o problema foi rapidamente resolvido. (15-06-2010 22:47)brunomartins Escreveu: O principal é a “cumunidade” parar com a atitude arrogante de “sou invencível”. Nos comentários isso fica bem claro com o assunto polarizado em duas vertentes: Os que foram invadidos e estão FULOS DA VIDA e os que não foram e insistem em minimizar o caso com os argumentos de sempre e a cegueira eterna, já que nem vendo gente relatando invasões admitem que há um problema. Completamente de acordo. Fiquem Bem! |
|||
23-06-2010, 00:24
Mensagem: #5
|
|||
|
|||
RE: Linux quebra o monopólio das Falhas de Segurança de Gente Grande | |||
26-06-2010, 01:12
Mensagem: #6
|
|||
|
|||
RE: Linux quebra o monopólio das Falhas de Segurança de Gente Grande
Parei no "cumunidade".
|
|||
01-07-2010, 03:04
Mensagem: #7
|
|||
|
|||
RE: Linux quebra o monopólio das Falhas de Segurança de Gente Grande
Diz-me uma coisa: então os Windows é que são bons é?
Temos de separar o trigo do joio, não juntar tudo no mesmo saco e portanto eu não me apelido de pessoa que diz "no Linux* não há falhas de segurança". Contudo e de acordo com a minha experiência profissional e até pela sociedade em que me insiro, em particular por amigos administradores de sistemas, nunca ouvi nenhum a dizer que a nível de segurança o Windows era melhor, nunca mas mesmo nunca e olha que alguns até usam Windows em ambiente doméstico, não estou a falar em pessoal fanático, ou como agora é moda, não são fanboys. É um facto irrefutável, venha quem vier existem provas e factos! No meu caso particular, nem foi propriamente a segurança que me levou a migrar o meu desktop e laptop para Ubuntu, foi a necessidade de ter um sistema operativo estável e meu, nunca vi isto crashar e então no laptop a nível de autonomia da bateria ui, que diferença abismal! A segurança é levada a cabo por um gateway onde desde os meus tempos de "demasiado tempo livre" instalei FreeBSD e ainda lá mantenho todas as politicas de segurança que continuam bem actualizadas... * o termo linux serve, aqui, para todos os sistemas baseados em Unix Basta o esquecimento de uma única circunstância para nos levar ao erro. (Jaime Balmes) |
|||
01-07-2010, 03:46
(Esta mensagem foi modificada pela última vez a: 01-07-2010 03:47 por aFriend.)
Mensagem: #8
|
|||
|
|||
RE: Linux quebra o monopólio das Falhas de Segurança de Gente Grande
Mas quem é que tem duvidas que os sistemas Unix são de longe mais seguros que o Windows?...
Não é história.. ficção... acho que a resposta já se tornou SENSO COMUM. Quem diz o contrário, claramente não sabe o que diz, nem conhece bem o Windows.. quanto mais sistemas baseados em UNIX PS. Hackers usam UNIX. Se fosse fácil Hackear sistemas Unix, eles seriam os primeiros a saber porque jogam em casa, logo contradiziam facilmente os factos, caso tais fossem "mitos". E mais, não é à toa que se fica famoso por se fazer uns hacks em Mac ou Linux... por saberem a dificuldade que é, e dos exploits que vão aparecendo, rapidamente ficam obsoletos com o elevado tempo de resposta na correcção. |
|||
01-07-2010, 19:21
Mensagem: #9
|
|||
|
|||
RE: Linux quebra o monopólio das Falhas de Segurança de Gente Grande
(01-07-2010 03:46)aFriend Escreveu: Mas quem é que tem duvidas que os sistemas Unix são de longe mais seguros que o Windows?... Que sistemas Unix? sabes que existem varios e varios teem ideologias diferentes e metodos diferentes, 'as vezes, para implementar o mesmo. Como e' que comparacas a seguranca em sistemas diferentes? Olhando apenas para as falhas de um e comparar se essa falha funciona ou nao no outro? Mas quando se faz o inverso, so' aparecem desculpas. E o que conheces da seguranca que e' implementada no Windows NT? (01-07-2010 03:46)aFriend Escreveu: Não é história.. ficção... acho que a resposta já se tornou SENSO COMUM. Senso comum?! Tambem e' senso comum que nao existe fragmentacao em Linux (ext2 e ext3) e a razao para os utilizadores e' que e' so' preciso reservar um bocado de espaco 'a frente do ficheiro. Mas tiras a camada de utilizadores, e ninguem (ate' os proprios programadores) afirma que nao existe. E se nao existisse, os comandos nao reportariam fragmentacao e a ext4 nao tentaria incluir um desfragmentador "online". (01-07-2010 03:46)aFriend Escreveu: Quem diz o contrário, claramente não sabe o que diz, nem conhece bem o Windows.. quanto mais sistemas baseados em UNIX Pois, porque quem nao especifica os seus comentarios, sabe sempre mais do que os outros. E quem tem certezas, e' expert! (01-07-2010 03:46)aFriend Escreveu: PS. Hackers usam UNIX. Se fosse fácil Hackear sistemas Unix, eles seriam os primeiros a saber porque jogam em casa, logo contradiziam facilmente os factos, caso tais fossem "mitos". E mais, não é à toa que se fica famoso por se fazer uns hacks em Mac ou Linux... por saberem a dificuldade que é, e dos exploits que vão aparecendo, rapidamente ficam obsoletos com o elevado tempo de resposta na correcção. rofl! Grande teoria! Hackers? Esses ainda existem? Nao morreram com a entrada dos media (televisao, video, jornalistas)? E a questao nao e' se e' mais facil hackear um sistema ou nao. Todos os sistemas (sistemas operativos ou software) quando alguem encontra uma falha, perdem. Isto tanto em Windows como em *nix. Mais uma vez, para quem alega que percebe de "UNIX" e Windows, falhas em comentar o essencial e, em vez disso, usas o senso comum (porque utilizadores e' que sabem como os computadores/sistemas operativos/software funcionam! rofl!) Enfim, vai aprender *nix (nao e' UNIX). Fiquem Bem! |
|||
01-07-2010, 20:01
(Esta mensagem foi modificada pela última vez a: 01-07-2010 20:25 por aFriend.)
Mensagem: #10
|
|||
|
|||
RE: Linux quebra o monopólio das Falhas de Segurança de Gente Grande
Que moral vindo de alguém que sempre que argumenta, não contra-argumenta.
Já reparaste que em todos os comentários que fazes nunca dizes nada em concreto que contra-diga o que disse?... continuas a girar à volta da mesa. Fica bem. Ps. 1. Estão todos mortos: http://www.defcon.org/ 2. É mito. Hackers não existem. http://economico.sapo.pt/noticias/google...91310.html Ataques da china? ... Nah... teoria da conspiração... PS.2 Sim, sei o que é Windows NT.... bastante bem até.. é aquele sistema que está no corredor da morte... e chegar ao fim do seu ciclo de vida... para ser substituido (de tão bom e avançado que é... ) que ironicamente, andam a tentar copiar a arquitectura UNIX desde 2003 e chamar-lhe de Singularity. ( http://research.microsoft.com/en-us/grou...ngularity/ ) Mas até é engraçado: UNIX ... Singularity.... parecem sinonimos... E para finalizar: http://www.zdnet.com/blog/murphy/unix-be...rosoft/459 Já não é novo.. mas também não é novidade. Mas se é de Windows que queres falar... falamos à vontade mesmo. Pena é a Microsoft ainda não saber ao certo como matar o obsuleto NT... andam a girar à volta de vários projectos: Midori, Singularity... agora já se refugiam no MinWin... se calhar por não se aguentarem à jarda com o singularity.... enfim... andam atrasados, coitados. |
|||
« Mais Antigo | Mais Recente »
|
Utilizadores a ver este tópico: 3 Visitante(s)