gildot

Topo
Sobre
FAQ
Tópicos
Autores
Preferências
Artigos
Sondagens
Propor artigo


8/3
gildicas
9/30
jobs
10/9
perguntas
10/25
press

 
Código das aplicações GNU poderá estar comprometido
Contribuído por vd em 15-08-03 0:01
do departamento casa-de-ferreiro-espeto-de-pau
GNU hannibal escreve "De acordo com este artigo da ZDNet, um dos principais servidores da GNU esteve comprometido durante 4 meses, colocando em causa a confiabilidade do código distribuido.
O aviso da GNU poderá ser encontrado aqui.

Também a CERT lançou já um advisory. "

A inovação tecnológica em Portugal, mas porquê? | Calculadora científica no Google....  >

 

gildot Login
Login:

Password:

Referências
  • ZDNet
  • este
  • aqui
  • advisory
  • Mais acerca GNU
  • Também por vd
  • Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário.
    1 semana... (Pontos:2, Interessante)
    por leitao em 15-08-03 0:37 GMT (#1)
    (Utilizador Info) http://scaletrix.com/nuno/blog/blogger.html
    No artigo da ZDNet:

    The attack was carried out using an exploit that was revealed on 17 March, and for which a patch only became available a week later.

    O que aconteceu ao mito dos patches em horas em vez de dias no software livre.

    You know when you've been Tango'ed.


    "I triple guarantee you, there are no American soldiers in Baghdad.", Mohammed Saeed al-Sahaf, Iraqi Minister of Information

    Re:1 semana... (Pontos:2)
    por [Cliff] em 15-08-03 2:54 GMT (#2)
    (Utilizador Info)
    De facto tens razão... acho eu. Os patches lançados horas depois (um dos cavalos de batalha do opensource) acho que já é uma história da carochinha, que já vem de há muito tempo atrás mas que hoje já não é a realidade. A não ser que sejas programador e estejas disposto a corrigir tu o bug na hora.

    ----------
    Este post foi publicado segundo a licensa IDC (I Don't Care).
    Re:1 semana... (Pontos:2)
    por ruben dig em 15-08-03 9:59 GMT (#3)
    (Utilizador Info) http://www.floppy.com.pt
    Quanto aos patches é verdade que devido à complexidade de alguns problemas podem não ser imediatos, o que normalmente um bom administrador deveria fazer era usar um workaround. Quanto à integridade dos ficheiros se se puder verificar os hashes md5 contra os originais não há azar.
    Interessante é que neste caso foi um inside job: ptrace local root exploit, o que não desculpa o admin, porque se fosse competente metia o tripwire e usava o chkrootkit, mas quem é que tem tempo para isso ... evitavam-se era estes embaraços :(
    Re:1 semana... (Pontos:1)
    por K` em 15-08-03 11:58 GMT (#4)
    (Utilizador Info) www.zeal.homedns.org/~iori/
    nem sempre.

    alguns podem demorar uma semana.
    mas tambem outros nem demoram um dia. ou até é na mesma hora.

    ainda há pouco tempo aconteceu isso mesmo, com um patch para o kdelibs.

    mesmo assim é melhor uma semana , do que 6 meses ou anos , ou nunca.
    Re:1 semana... (Pontos:3, Esclarecedor)
    por Dehumanizer em 15-08-03 12:09 GMT (#5)
    (Utilizador Info) http://www.dehumanizer.com

    O que aconteceu ao mito dos patches em horas em vez de dias no software livre.

    Pelo menos é *possível*. Com o software "prisioneiro" não é.

    Mas o facto de uma coisa ser possível, obviamente, não a torna garantida.


    "It is every citizen's final duty to go into the tanks and become one with all the people."
    - Chairman Sheng-ji Yang, "Ethics for Tomorrow"

    Re:1 semana... (Pontos:2)
    por Eraser em 15-08-03 16:31 GMT (#6)
    (Utilizador Info)
    Boas.

    O que aconteceu ao mito dos patches em horas em vez de dias no software livre.

    Os patch em horas são uma realidade, não são um mito. O mito é pensar-se que os patchs em horas são uma constante. O facto de se ter acesso ao código fonte facilita que tal seja possível mas não significa que isso vá acontecer forçosamente. Eu sei que muitos fazem disso (os patchs em horas) um bastião em defesa do software livre mas mais uma vez nada de exageros: existe, regra geral, uma maior probabilidade de o patch sair rapidamente e não uma certeza. Probabilidade e realidade são coisas diferentes. Também é possível termos uma empresa preocupada com os seus clientes e que lançe patch em horas para um software "closed-source" só que regra geral isso não acontece.

    O facto é que quem tiver conhecimentos e acesso ao código fonte não é obrigado a ficar de braço cruzados: se quiser pode tentar criar um workaround ou mesmo corrigir o bug.

    Fica bem! :)
    JP

    PS: Tens tendência para a polémica e adoras pisar nos calos ao pessoal. Não digo que tenhas sempre razão (nunca se tem sempre razão) mas fazes muita falta para que as pessoas as vezes encarem a realidade. Os teus reparos levantam discussão e dúvidas fazendo com que as pessoas procurem mais do que pensamentos já "feitos" ou padronizados. A discussão desde que leve a procura da verdade valerá sempre a pena. Pelo caminho aprender-se-á algo. Mesmo que cheguem a mesma conclusão que tinham inicialmente pelo menos reforçaram as suas convicções, ideias ou crenças. Por isso tudo aqui fica o meu obrigado:
    Obrigado, Leitão.


    Re:1 semana... (Pontos:2)
    por Gimp em 15-08-03 18:39 GMT (#7)
    (Utilizador Info)
    Até consigo ouvir as borbulhas do champanhe ui, ui! hihihihihi


    "No comments"

    Re:1 semana... (Pontos:2)
    por Gimp em 15-08-03 19:15 GMT (#8)
    (Utilizador Info)
    Ou será irritação pelo que está a causar o worm? :D


    "No comments"

    Dúvida (Pontos:1)
    por Airegin em 16-08-03 2:00 GMT (#9)
    (Utilizador Info)

    "The evidence includes the MO of the cracker..."

    O que é o MO?


    Airegin
    Re:Dúvida (Pontos:2)
    por slug em 16-08-03 10:44 GMT (#10)
    (Utilizador Info)
    MO
    4 meses... (Pontos:2)
    por Arrepiadd em 16-08-03 15:35 GMT (#11)
    (Utilizador Info)

    O Leitão referiu o facto de o patch só ter sido lançado uma semana depois. Acho também importante focarmo-nos no aspecto do tempo que demorou a ser descoberta a falha no servidor. Durante 4 meses o dito hacker teve acesso à máquina fazendo o que queria.

    Como é que é possível que só ao fim de 4 meses seja descoberto o que ele andou a fazer? Alguém esteve de férias muito tempo... Um repositório de código não pode ter o mesmo nível de segurança que tem o computador de um puto de 10 anos. Se o puto de 10 anos tiver um gajo com acesso root durante 2 anos, provavelmente não faz grande moça. Agora, um sítio que é uma biblioteca de código e onde se pode ir buscar esse mesmo código não pode estar sujeito a uma vigilância baixa. E, mesmo que este hacker não tenha feito nada, quem sabe se o próximo não insere uma backdoor qualquer numa carrada de ficheiros de grande consumo e só passado 4 meses é que se sabe que ele andou enfiado nos computadores de toda a gente.

    É que caso isso aconteça, mesmo que seja lançado uma nova versão do dito software, certamente que haverá alguém que não a vai buscar, porque nem vem a ter conhecimento sobre o facto de o software que está a usar tem uma backdoor.

    Acho que era de esperar mais de uma instituição destas. Ou é de esperar que cada vez que vá fazer o download de alguma coisa, passe os primeiros dias a analisar o código a ver o que é que tem e se tem alguma backdoor? Mesmo que alguns de vocês digam que sim, certamente que isso não será o que se pretende, tendo em conta que se quer levar o linux às massas.


    Re:4 meses... (Pontos:2)
    por Eraser em 16-08-03 16:24 GMT (#12)
    (Utilizador Info)
    Boas.

    Mesmo assumindo um nível de segurança minimamente aceitável pode não ser assim tão fácil descubrir uma intrusão. Existem demasiados factores envolvidos para que seja algo tão linear.

    Nunca terás a certeza de que o código que foste buscar está 100% livre de backdoors. O acesso ao código fonte não garante isso. O acesso ao código fonte garante que poderás verificar pessoalmente se assim o quiseres. O facto de haver uma comunidade inteira que poderá verificar o código ( mesmo que só uma pequena parte o faça) aumenta em muito a probabilidade de se encontrarem os backdoors se existirem. Acho que continua a ser melhor do que ficar completamente dependente de quem forneceu o software.

    Assumindo que não tens conhecimentos suficientes para realizar a tal verificação, qual situação preferias:

    a) estar dependente de uma empresa que pode estar sujeita a lobbies externos (Governos, outras empresas,etc) e internos (Departamento de Marketing, deadlines,etc), programadores rancorosos e/ou mal intencionados.

    b) uma comunidade baseada em entrajuda em que uma pequena parte está constantemente a utilizar o código fonte para desenvolvimento de projectos pessoais e/ou profisionais e em que algumas pessoas olham para o código fonte nem que seja só pelo prazer de aprender.

    Entre estas duas eu prefiro a segunda opção. :)

    O software livre não é um mar de rosas nem a solução para tudo mas em termos de segurança parece-me uma das melhores abordagens. É possível que alguns dos projectos tenham sido alterados e backdoors introduzidos. Ninguém exclui essa possibilidade assim como nenhum programador dos projectos está completamente acima de suspeitas de pura e simplesmente introduzir um backdoor. Mesmo assim acho muito pouco provável que o tal tenha acontecido sem ninguém se ter apercebido. A intrusão foi detectada só ao fim de alguns meses porque a máquina deve ter sido pouco alterada e conforme já sugerido só utilizada como ponte para acesso a outras máquinas.

    Fica bem! :)
    JP /p

    Re:4 meses... (Pontos:1)
    por Manuel em 17-08-03 15:37 GMT (#13)
    (Utilizador Info) http://sindominio.net/~manuel/
    além disso: quase todo o software é oferecido por gente que trabalha voluntariamente e adquires o software de borla, mesmo os system-hackers de GNU são voluntários pelo que sei, portanto não é comparável a exigência de nos casos A e B. ou é que vais reclamar à organização de um concerto de borla porque uma das bandas não pode actuar?

    (sei, sei! nem sempre é assim com o soft livre, mas é o caso de GNU no que descarregas a vontade..).

    no entanto, eu tenho muita mais confiança por questões puras de seguridade em software livre que em software proprietário. e porquê é que vais esperar uns dias trás o lançamento? farias o mesmo com o lançamento dum soft proprietário? que vantagens tem este nesse aspecto que faça que te confies.. os seus servidores são invulneráveis? :)

     

     

    [ Topo | FAQ | Editores | Contacto ]