gildot

Topo
Sobre
FAQ
Tópicos
Autores
Preferências
Artigos
Sondagens
Propor artigo


8/3
gildicas
9/30
jobs
10/9
perguntas
10/25
press

 
White-Hat Worm
Contribuído por scorpio em 27-04-03 10:32
do departamento sudo-patch
News Ghost escreve "Já por diversas vezes aqui no gildot se falou de worms, e todos nós sabemos o congestionamento da rede e problemas em sistemas vulneraveis. Ainda há pouco tempo recordo-me de um leitor dizer algo do género "só gostava que alguém desligasse as máquinas da rede da netcabo infectadas com code red".
Bem talvez esses problemas desapareçam, pois pode-se ler aqui, a ideia de utilizar uma worm para "o bem", ou seja, utilizar a worm para exploitar o sistema e aplicar patches. Para se livrar dos problemas legais, já que mesmo sendo para "o bem" continua a ser crime informático, o autor sugere que estas worms sejam desenvolvidas e espalhadas por entidades como o CERT.

Pessoalmente, acho que é uma ideia interessante, mas, tal como é referido no artigo, continuaremos a ter um grande problema que é a falta de controlo sobre elas. "

De pequenino se torce o pepino | Linus dixit: "DRM is ok with Linux".  >

 

gildot Login
Login:

Password:

Referências
  • aqui
  • Mais acerca News
  • Também por scorpio
  • Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário.
    Não posso deixar de discordar ... (Pontos:5, Interessante)
    por Lowgitek em 27-04-03 11:49 GMT (#1)
    (Utilizador Info) http://www.youthinkwedo.com
    Em relação a esta ideia só me apetece perguntar: Aonde fica então o direito de liberdade do indivíduo ?

    Responderão me alguns: "ai isso e que não pois isso é mesmo a pensar naquela liberdade que nos é retirada por indivíduos pouco cautelosos na manutenção dos seus sistemas".

    Mas será a maneira mais certa concertar o erro com outro erro ainda maior ? Não será um tanto perigoso entregar a total responsabilidade a outrém qualquer ou outra entidade, a responsabilidade que seria individual ? Não seria bem mais proveitoso educar melhor essas mesmas pessoas informando-as através de meios adequados sempre que assim fosse possível promovendo a capacidade de auto-defesa e o saber agir correctamente, do que simplesmente esperar que algum antídoto maravilhoso circule pela minha rede e traga salvação aos pobres dos pcs que por ali param ? Não seria mais eficiente promover sistemas mais seguros, promover grupos de trabalho em que a sua missão seria mesmo essa, ter um resposta rápida eficiente no menor espaço de tempo possível, promover a distribuição do código fonte de forma livre, de forma a que cada um, que com recursos próprios, atravez de entidades ou grupos que tivessem meios para o mesmo examinasse de forma minuciosa de forma a encontrar soluções antes que os problemas aparecessem ?

    Será isso utopia há mais ? Ou estaremos a viver numa era da mentalidade em retrocida, em que preferimos que haja brechas de segurança por tapar , a espera que haja um anjinho que vá resolver os meus problemas e fazer o meu trabalho de casa ?

    Na minha humilde opnião, é o que acho, vivemos em dia em que nada nem ninguem quer fazer muito, e falo apartir da minha pessoa, ou apenas queremos fazer o mínimo possível, sem nos mexer muito, nem enfrentar muito a realidade de que quem não faz e quem não planta não colhe ou colhe pouco ou deve a quem colhe por ele, acho que estar na dependência que outro faça o trabalho que cada um podiamos fazer com algum empenho e dedicação, se formos a ver a maioria dos ultimos worms assim como vírus aproveitam não mais que a inocência do utilizador e de administradores menos zelosos para se propagarem, tal como no antigamente atacam nos elo mais fraco, ou seja o homem. Se mantivermos uma cultura de segurança e de gestão pessoal acredito que muito dos vírus que por ai andam naão teriam lugar, hora usando software mais seguro e de fonte aberta, hora utilizando contramedidas de defesa mais eficiente.

    Cheers,

    Re:Não posso deixar de discordar ... (Pontos:5, Interessante)
    por quantic_oscillation em 27-04-03 14:02 GMT (#3)
    (Utilizador Info) http://fs-oss.cjb.net
    "Em relação a esta ideia só me apetece perguntar: Aonde fica então o direito de liberdade do indivíduo ?

    Responderão me alguns: "ai isso e que não pois isso é mesmo a pensar naquela liberdade que nos é retirada por indivíduos pouco cautelosos na manutenção dos seus sistemas".

    a resposta por acaso encontra-se no mesmo artigo, quando o autor afirma:

    "My response to this is that if you haven't protected your system against well-known holes that have had fixes in place for months or years, then you obviously have abdicated responsibility for your system. Your systems are now a threat to others.

    With the deadly SARS virus raging in Asia right now, if I decided to fly to Hong Kong, kiss everyone in sight, then cough in crowded theatres in New York, I should fully expect to be hauled off to a hospital and quarantined. I don't think an "It's my body and I can spread disease if I want to" defense would work very well."


    Mais uma vez está-se a tentar resolver um problema provavelmente sociológico, através de tecnologia, algo muito do agrado dos americanos.

    O problema da segurança começou quando a micro$oft e sus companheiros de route, começaram a vender os seus produtos baseados na premissa não da segurança/fiabilidade/qualidade, mas sim de que qualquer idiota poderia ser um administrador de sistemas informáticos, independentemente da sua capacidade/conhecimentos etc.
    Mais ou menos do tipo de um gajo qualquer que tem um brevet de cessna, poder no dia a seguir ir pilotar um boeing 747.

    É claro que pode-se argumentar da mesma maneira que fez, no entanto e sendo eu apenas um estudante de engª civil, e não percebendo nada de programação etc, penso que poderia criar-se um worm que poderia ser avisado, ou seja, os sistemas que já tinham sido corrigidos (patchs colocados) enviavam ao CERN uma mensagem encriptada informando disso mesmo, depois o good-worm recebia essa informação e já não tentava "invadir" esse sistema, diminuindo assim a carga na rede.

    para além disso o good-worm deveria ser uma good-logical-bomb, deveria ter um tempo préviamente determinado para actuar, ao fim do qual se autodestruia, enviando ao mesmo tempo um relatório do que tinha acontecido (é claro que aqui vão-me já bater).

    por último, tal good-worm nunca poderia estar entregue quer a sua construção quer difusão às divervas empresas de software, mas sim a um consórcio do qual todas fizessem parte e com o mesmo peso independentemente do tamanho que tivessem no mercado e claro seguisse as regras do software livre e tivesse pessoas que realmente se preocupassem com segurança/privacidade e liberdade à frente do projecto e que deixassem de lado a polítiquice e o marketing/propaganda de lado.

    Re:Não posso deixar de discordar ... (Pontos:2)
    por Lowgitek em 28-04-03 22:25 GMT (#15)
    (Utilizador Info) http://www.youthinkwedo.com
    Não sendo eu especialista na matéria em nem lá perto, a disseminação de "anti-corpos" na rede teria certamente bons efeitos e os efeitos nocivos como qualquer outro o worm, mas aquilo com o que estou contra não é nem pela ideia em si que acredito ter o seu lado bom, mas pela intromissão da liberdade individual ao tomar partido por algo que eu quero que seja feito por mim ou por alguem de minha confinaça a qual possa pedir responsabilidades e não um alguem "externo", agente enviado por xpto, que mesmo apesar de todas as técnicas existentes de assinaturas digitais etc etc confirmarem a proviniencia do mesmo, deixaria me sempre dúvidas se o processo nalgum ponto que eu nunca poderei saber fora viciado. Sendo assim ficaria totalmente impossibilitado de pedir responsabilidades à alguem, em suma, acho uma ideia bem pintada mas no papel errado, ou ainda, uma ideia pensada pelos polícias do mundo mais uma vez...

    Cheers
    Re:Não posso deixar de discordar ... (Pontos:2, Interessante)
    por Ghost em 27-04-03 14:24 GMT (#5)
    (Utilizador Info)
    Penso que o papel desta worm, não seria substituir a atenção e cuidados que um adminstrador deverá ter com a sua rede. Deveria ser sim, utilizada, como uma última medida após já algum tempo (meses, ou mesmo anos) de existir solução para o problema.

    Eu falei do code red, e acho que esta worm é um bom exemplo, pois trata-se de uma worm de 2001 e diariamente ainda a vejo a aparecer nos logs do meu servidor. Eu até já cheguei a escrever mails para o "technical contact" que aparecia na informação do whois, a dizer que se encontravam infectados, nunca recebi resposta nem foram aplicados aos computadores patches.

    Agora já passado quase 2 anos, e com pessoas do tipo "deixa andar", que mesmo sendo avisadas nada fazem, penso que lançarem uma "good worm" para ir aplicar os patches ou pelo menos reportar a uma entidade, talvez não fosse má ideia.

    Só para finalizar deixa-me dizer que concordo plenamente contigo quando dizes que o problema muitas vezes são as pessoas. Mas, acho que só mesmo numa utopia que conseguirás consciencializar todas as pessoas dos possiveis riscos de segurança e lhes incentives a ter uma atitude activa perante essa matéria.

    Cumprimentos,
    Paulo

    Re:Não posso deixar de discordar ... (Pontos:1, Despropositado)
    por taf em 27-04-03 17:05 GMT (#6)
    (Utilizador Info)
    Eu falei do code red, e acho que esta worm é um bom exemplo, pois trata-se de uma worm de 2001 e diariamente ainda a vejo a aparecer nos logs do meu servidor.
    Na última semana... cerca de 30...
    Sempre é melhor que 30 por dia que tinha há uns meses...

    Re:Não posso deixar de discordar ... (Pontos:3, Interessante)
    por grumpy bulgarian em 27-04-03 18:29 GMT (#7)
    (Utilizador Info) http://10.10.11.2
    penso que lançarem uma "good worm" para ir aplicar os patches ou pelo menos reportar a uma entidade, talvez não fosse má ideia.

    podia-se fazer ao contrario:
    1) o worm encontra as maquinas perigosas.
    2) o worm manda um email para o admin@servidormalefico.pt informando que "levou um cartão amarelo"
    3) o worm altera o DNS por forma a isolar o bicho. desta forma nao se mexe em máquinas privadas. mexe-se só na máquina da FCCN :p

    4) algumas semanas mais tarde sem email nem receber visitas no seu servidor www, o administrador usa o modelo 243/03 revisao g) para fazer prova junto da FCCN que ja limpou a sua maquinaria. a FCCN repõe as coisas com a sua rapidez e imparcialidade habituais :p


    Grumpy B)

    Re:Não posso deixar de discordar ... (Pontos:2, Esclarecedor)
    por Ghost em 27-04-03 19:46 GMT (#9)
    (Utilizador Info)
    E em que parte é que aparecia em letras microscópicamente legiveis algo do género:

    "a FCCN não se responsabiliza se a sua empresa falir devido ao cartão amarelo ou aos meses que levaremos a actuar após ter utilizado o modelo 243/03 revisão g) para prestar provas"

    Sim, porque afinal estamos em Portugal, portanto tudo o que é burocracia tem duas velocidades devagar e parado :p

    Cumprimentos,
    Paulo

    Re:Não posso deixar de discordar ... (Pontos:2)
    por Lowgitek em 28-04-03 22:35 GMT (#16)
    (Utilizador Info) http://www.youthinkwedo.com
    "a FCCN não se responsabiliza se a sua empresa falir devido ao cartão amarelo ou aos meses que levaremos a actuar após ter utilizado o modelo 243/03 revisão g) para prestar provas"

    ahaha ... esse remate está lindo :)

    Mais uma vez, acho que a ideia de tentar substituir o utilizador/responsável por algo automatizado leva ao completo caos, já foi tentado e devido a todas as variantes que já conhecemos ou devíamos conhecer, tornou-se claro que nunca haverá uma maneira completamente limpa de o fazer sem causar comportamentos que fogem a regra, vide os casos dos anti-corpos ou dos medicamentos usados no corpo humano.

    Acho que não se deve violar-se tanto a liberdade individual de cada indivíduo a esse ponto, por motivos já anteriormente explicadps, o que não quer dizer automaticamente, que se deva ilibar civilmente todos aqueles que prevaricarem perante as suas responsabilidades. Acho sim que haveria de haver mais ferramentas legais que funcionassem para tais situações, mas isso sim é uma verdadeira utopia visto que isso para além de implicar uma classe política aberta a esses fenómenos iria requerer uma grande capacidade de ententimento com os países extrangeiros. E para nem complicar muito, se mau conseguimos nos entender em coisas simples dentro do nosso território com nos mesmos quanto mais dentro da EU ou mesmo a nível global.

    O que aconselhado sim e que nada como um sistema bem configurado para evitar a disseminação de pragas como aquelas sitadas. É óbvio que não podemos forçar as pessoas serem inteligentes ou terem atitudes mais correctas mas podemos sempre por ao dispor a mesma informação necessária de forma mais fácil e acessível e de rápido acesso. Acho que a maioria dos problemas provem sim daí e da forma como cada um reage a isso.

    Cheers,

    Correcção (Pontos:1)
    por Ghost em 27-04-03 13:59 GMT (#2)
    (Utilizador Info)
    Peço desculpa por existir um erro na noticia submetida, portanto, onde se lê:

    o autor sugere que estas worms serem desenvolvidas e espalhadas por entidades como o CERT

    Deverá ler-se:

    o autor sugere que estas worms sejam desenvolvidas e espalhadas por entidades como o CERT

    Cumprimentos,
    Paulo

    Re:Correcção (Pontos:1)
    por scorpio em 27-04-03 14:10 GMT (#4)
    (Utilizador Info) http://eurotux.com/
    Está corrigido, obrigado.
    Old stuff (Pontos:2, Informativo)
    por NeVErMinD em 27-04-03 19:21 GMT (#8)
    (Utilizador Info)
    Tens aqui o Cheese worm que fazia exactamente isso, repara na data do bicho..
    Ou então.... (Pontos:1)
    por bracaman em 27-04-03 23:26 GMT (#10)
    (Utilizador Info) http://picasso.netcanvas.com/~bracaman
    Se por acaso estes worms do eixo do bem andassem por aí, todas as máquinas estariam a ser inspeccionadas...

    Isso iria causar muito tráfego desnecessário, por isso mesmo, o que eu acho, é que se um determinado administrador quisesse que isso acontecesse, inscrevia-se algures para que fizessem esse tipo de acções à sua máquina.

    Basicamente, quem quisesse ser inspeccionado e remendado (patched), seria; quem não quisesse não seria...

    Mas é só a minha opinião, que acham?

    Cumprimentos.


    --
    "Muda, que quando a gente muda, o Mundo muda com a gente" -- Gabriel, o Pensador
    Re:Ou então.... (Pontos:1)
    por ZaMaster em 28-04-03 15:32 GMT (#12)
    (Utilizador Info)
    Basicamente, quem quisesse ser inspeccionado e remendado (patched), seria; quem não quisesse não seria... Mas quem nem se dá ao trabalho de aplicar patches na sua máquina, não deve estar muito interessado em ter a mesma protegida, logo nem se iam preocupar em fazer a inscrição.

    Mas era uma boa ideia para os lazy admins.

    Re:Ou então.... (Pontos:1)
    por Ghost em 28-04-03 17:47 GMT (#13)
    (Utilizador Info)
    Basicamente, quem quisesse ser inspeccionado e remendado (patched), seria; quem não quisesse não seria...

    O problema aqui era o de fazer chegar a todos os administradores que existia essa possibilidade e o porquê.

    Talvez fazer o contrário, ou seja, se não quisesses que a tua rede fosse inspecionada irias então assinalar algures, resultaria melhor. É claro que neste cenário, teriamos sempre os ISP a dizerem que não queriam a "good worm" no segmento deles para não gerar possiveis congestionamentos.

    Ao longo desta discussão tenho-me vindo a aperceber que relativamente a este assunto a solução ideal, está longe de estar estruturada e como se diz em bom português, "isto vai dar pano para mangas" (ou talvez não).

    Cumprimentos,
    Paulo

    Re:Ou então.... (Pontos:1)
    por bracaman em 28-04-03 20:32 GMT (#14)
    (Utilizador Info) http://picasso.netcanvas.com/~bracaman
    Ao longo desta discussão tenho-me vindo a aperceber que relativamente a este assunto a solução ideal, está longe de estar estruturada e como se diz em bom português, "isto vai dar pano para mangas" (ou talvez não).

    A solução ideal é arranjar administradores competentes :)


    --
    "Muda, que quando a gente muda, o Mundo muda com a gente" -- Gabriel, o Pensador

    mv whitehats-worms honey{pots,nets}-threat (Pontos:2, Informativo)
    por lucipher em 27-04-03 23:57 GMT (#11)
    (Utilizador Info) http://www.google.com
    Pessoalmente, não gostaria de ver as minhas honeypots/honeynets, criadas com o intuito de "pesquisa académica" serem protegidas por um worm deste genero, mas isto é apenas um dos efeitos secundários desta *solução*. Qualquer das formas, acho que se isto for entregue a uma instituição como a CERT, vão tirar-nos a hipotese de opção se queremos ou não ser protegidos, para evitar que as (nossas) honey{nets,pots} sejam usadas para fins maliciosos, mesmo que sejam em número muito inferior.

    --
    He that seeketh findeth; and to him that knocketh it shall be opened.

     

     

    [ Topo | Sugerir artigo | Artigos anteriores | Sondagens passadas | FAQ | Editores | Preferências | Contacto ]