Forum Pplware
/
Mais Tech
/
Segurança 
/
Linux quebra o monopólio das Falhas de Segurança de Gente Grande
/
Linux quebra o monopólio das Falhas de Segurança de Gente Grande
|
Linux quebra o monopólio das Falhas de Segurança de Gente Grande
|
|
20-06-2010, 03:52
Mensagem: #4
|
|||
|
|||
|
RE: Linux quebra o monopólio das Falhas de Segurança de Gente Grande
A lenda e' apenas espalhada pelos que nao percebem o funcionamento de qualquer *nix. Alguem que nao queira vender o seu SO nunca diria que nao existem falhas de seguranca neste sistemas.
(15-06-2010 22:47)brunomartins Escreveu: Outra lenda é que o open source acabaria com os bugs de segurança pois o código sendo aberto seria auditado por muita gente e com muitos olhos, todos os bugs são rasos, é a chamada Lei de Linus. Esta parte seria alguma vez verdadeira se para encontrar falhas de seguranca fosse preciso olhar para o codigo fonte. Um bom exemplo e' o Debian, que fizeram uma alteracao no openssl e durante 2 anos ninguem questionou o comentario que colocaram em duas funcoes usadas para gerar uma chave privada e publica o mais diferente uma da outra. Tambem se esquecem que a falha pode existir no executavel mas nao existe no codigo fonte. A Microsoft teve um problema semelhante, e o linux kernel alertou para o problema de se usarem optimizacao na compilacao. O codigo estava bem, mas devido a optimizacoes uma parte que evitava o erro, foi eliminada pelo optimizador. Um bom contra-argumento sobre o "Linus' Law": http://blogs.msdn.com/b/shawnhernan/arch...cycle.aspx (15-06-2010 22:47)brunomartins Escreveu: Deviam ter dito isso pro sujeito que hackeou o Unreal, popular servidor de IRC no Linux. O servidor foi invadido, o código-fonte alterado e um cavalo de tróia inserido nas entranhas do programa. Repositórios pelo mundo replicaram o Unreal3.2.8.1.tar.gz, incontáveis servidores foram pwnados. Correcoes. Tanto quanto sei, o problema apenas aconteceu fora do servidor oficial do UnrealIRCd, nos mirrors. O codigo fonte, tanto como os executaveis (para windows), do site oficial, nao foram comprometidos. O problema nao esta' no sistema operativo. Porque tanto pode afectar Linux, como qualquer outro *nix. (15-06-2010 22:47)brunomartins Escreveu: Como? MD5? Nas palavras do desenvolvedor do Unreal, quase ninguém roda um checksum, lamento. Para piorar, só a versão Linux foi contaminada, a Windows não foi afetada. O problema resumiu-se a o codigo nao ser autenticado, para outros saberem que nao foi alterado do original. E se foi, sempre iriam verificar. Como disse antes apenas a versao que nao estivesse no site oficial foi afectada. Como a versao do Windows e' criada com a versao nao afectada, o Windows passou ao lado. Caso contrario, o problema seria igual! (15-06-2010 22:47)brunomartins Escreveu: Por SEIS MESES distribuiram um programa invadido, alterado, deturpado e modificado, sem que NIGUÉM percebesse, nem os desenvolvedores, nem os usuários, que deveriam examinar o código-fonte à procura de bugs, afinal adoram se gabar dessa possibilidade. E' incrivel que tenha demorado bastante tempo. Mas pelo que sei o numero de utilizadores tambem nao e' assim tao grande. E os que poderiam ver o codigo e saber que a alteracao inclui um bug nao e' assim tao simples. Houve uma tentativa de incluir uma backdoor no kernel do Linux, a algum tempo atras. O patch corrigia um bug ao mesmo tempo que abria a porta a intrusos. Passou por muitos e ninguem viu nada. Felizmente, antes de ter sido aceite, um dos principais responsaveis por aquela parte de codigo, questionou e viu que algo estava errado. Claro, o patch foi rejeitado. E' de referir que C e' uma linguagem poderosa, mas que tambem se pode fazer muito sem ninguem se apercebe de efeitos secundarios. Existe um concurso com o objectivo de criar programas C que esconda uma falha dificil de encontrar. Alguns acham que qualquer um pode contribuir codigo, mas os responsaveis, questionam tudo, e com motivo. E principalmente, quando nao teem alguma confianca ou nao conhecem quem envia o patch. (15-06-2010 22:47)brunomartins Escreveu: Alguns alegam que a alternativa seria utilizar o modelo Windows, com arquivos de instalação assinados digitalmente. Faz um pouco de sentido, mas quando a falha de segurança chega até o código-fonte, fica complicado. A assinatura seria gerada em cima do arquivo adulterado. Acho que se refere aos programadores principais assinarem o codigo. Assim, mesmo sacando o ficheiro de um mirror e' possivel saber se o codigo e' o mesmo que o do site oficial. Mas isto apenas minimizaria o risco. O site oficial pode ser hackeado, o codigo alterado, e assinado. E ja' aconteceu anteriormente. O caso que me lembro, so' demoraram umas horas a detectar a backdoor porque a aplicacao nao usava a net e alguem viu um aviso da firewall de que o tal programa queria aceder 'a net. Ele foi ver o que alterou (e como usava o SVN para guardar todas as alteracoes e depois compilar, que era automatico), foi facil ver o codigo que alterou e o que fazia. Deu logo o alarme, e o problema foi rapidamente resolvido. (15-06-2010 22:47)brunomartins Escreveu: O principal é a “cumunidade” parar com a atitude arrogante de “sou invencível”. Nos comentários isso fica bem claro com o assunto polarizado em duas vertentes: Os que foram invadidos e estão FULOS DA VIDA e os que não foram e insistem em minimizar o caso com os argumentos de sempre e a cegueira eterna, já que nem vendo gente relatando invasões admitem que há um problema. Completamente de acordo. Fiquem Bem! |
|||
|
|
« Mais Antigo | Mais Recente »
|
Utilizadores a ver este tópico: 1 Visitante(s)