Visite também: Currículo ·  Efetividade BR-Mac

O que é LinuxDownload LinuxApostila LinuxEnviar notícia


Controvérsia na política de divulgação de falhas de segurança no kernel

“Uma recente discussão na lista de emails do kernel Linux (LKML) levantou uma questão a respeito da política de divulgação de falhas de segurança no kernel Linux. Após Linus Torvalds revelar seu controverso posicionamento a respeito da divulgação dessas falhas, inúmeros sites citaram a discussão, mencionando o conceito falho de segurança pela obscuridade, freqüente em softwares proprietários e fortemente combatido no meio do Código Aberto.

Linus afirmou: “Pessoalmente, considero falhas de segurança como simples “falhas normais”. Não as escondo, mas também não tenho motivos para achar que seja uma boa idéia procurá-las e tratá-las como algo especial.” O link de referência (Linux Magazine Online) contém outros links para notícias relacionadas e mais detalhes.”

Enviado por Pablo Hess (phessΘlinuxmagazine·com·br) – referência (linuxmagazine.com.br).


• Publicado por Augusto Campos em 2008-07-20

Comentários dos leitores

Os comentários são responsabilidade de seus autores, e não são analisados ou aprovados pelo BR-Linux. Leia os Termos de uso do BR-Linux.

    Alexandre C. (usuário não registrado) em 20/07/2008 às 12:07 pm

    Infelizmente de uns tempos pra cá a segurança do Linux tem deixado um pouco a desejar.

    Eri Ramos Bastos (usuário não registrado) em 20/07/2008 às 12:30 pm

    Controvérsia mesmo é sobre como o ensino hoje em dia está fraco. As pessoas são simplesmente incapazes de ler e interpretar um texto.

    FTFA: “So I personally consider security bugs to be just “normal bugs”"

    Até onde eu sei, ‘normal bugs’ são analisados, documentados, corrigidos e tem a correção incorporada no main tree.

    E, também até onde seu sei, ‘bugs de segurança’ são são analisados, documentados, corrigidos e tem a correção incorporada no main tree.

    Estou perdendo alguma coisa aqui?

    miranda (usuário não registrado) em 20/07/2008 às 12:43 pm


    Infelizmente de uns tempos pra cá a segurança do Linux tem deixado um pouco a desejar.

    Por favor dê exemplos.

    Fred (usuário não registrado) em 20/07/2008 às 12:51 pm

    Do ponto de vista da segurança da informação, as falhas de segurança podem permitir o acesso indevido a um sistema e causar prejuízos. Então, elas tem prioridade e devem ser corrigidas logo.

    Do ponto do desenvolvedor, uma falha de segurança e uma falha “comum” são iguais. São erros no código que devem ser corrigidos. Não há uma classificação de prioridade por tipo.

    Linus está falando do ponto de vista dele como desenvolvedor. Isso não quer dizer que as falhas de segurança são ignoradas, relegadas a segundo plano, ou tem um tratamento diferente no desenvolvimento do kernel Linux.

    Lucas Fernando Amorim (usuário não registrado) em 20/07/2008 às 1:46 pm

    Toda falha pode ser também de segurança.

    Avelino de Almeida Bego (usuário não registrado) em 20/07/2008 às 1:54 pm

    Sei lá. Para um cara que promoveu o kernel do Linux (afinal, o nome Linux tem a ver com o dele), essa frase não caiu bem.
    Talvez uma frase do tipo “sim, brechas de segurança são muito importantes, temos vários desenvolvedores que estão preocupados com elas, mas, eu, pessoalmente, prefiro não procurá-las, não me atrai.” soaria de maneira melhor.

    Imagina você querendo convencer alguém a usar o Linux e ele vem e diz: “Como vou usar um sistame se nem o cara que o fez se preocupa com segurança”.

    Um bom marketing não faz mal a nimguém.

    Abraços.

    Antes que me crucifiquem, uso Archlinux em meu notebook, e só ele!

    Alexandre C. (usuário não registrado) em 20/07/2008 às 2:10 pm

    “Por favor dê exemplos.”

    http://www.securityfocus.com/bid/29589
    http://www.technologyreview.com/Infotech/20801/?a=f

    edempoa (usuário não registrado) em 20/07/2008 às 2:52 pm

    Sinceramente, o que observo é que as pessoas desejam que as falhas de segurança tenham prioridade sobre as outras falhas, herança do tempo que Linux era coisa de servidor.

    miranda (usuário não registrado) em 20/07/2008 às 3:19 pm

    Ilário… você me pega 2 falhas pra me dar exemplo de Insegurança no Linux?? Um kernel com + de 12 anos de existência e você me vem com 2 falhas?? Perfeito só Deus meu chapa, se você acha o Linux inseguro me apresentando 2 falhas vai usar windows e depois volta aqui que te dou o troco.

    miranda (usuário não registrado) em 20/07/2008 às 3:26 pm

    Agora voltando ao Linus realmente foi infeliz no seu comentario, ele sendo o representante maior do Linux (como já falaram da relação com o nome)deveria vender melhor seu peixe.
    Isso vai refletir mal, especialmente em grandes corporações que pretendem(iam) adotar o Linux.

    Minha opinião é que o conceito de Full disclosure (Divulgação total), que muitos aqui defendem, não é sempre a melhor política de divulgação de falhas de segurança. Não aponto para esse caso específico do Kernel, mas em algumas situações deve-se adotar o bom senso.

    Um exemplo atual é a recente suposa vulnerabilidade do DNS. Caso realmente essa falha permita o redirecionamento de qualquer tráfego, a divulgação total de como explorá-la poderia representar o caos na Internet durante o período de investigação e correção do problema pelos desenvolvedores. E estamos falando em sérias conseqüências para toda a Internet.

    Nessa situação, apóio 100% como essa questão foi tratada pelo Dan Daminsk, o pesquisador que descobriu essa vulnerabilidade. Ele reuniu-se com os desenvolvedores das principais implementações para divulgá-la em segredo. O fato seguinte é que todos consideraram a gravidade do problema e começaram a trabalhar na correção no mesmo dia.

    Agora, como alguém poderia argumentar a favor da divulgação total em uma situação como essa? Quais seriam suas vantagens em relação ao método como a vulnerabilidade foi tratada?

    Quanto a mensagem do Linus, a própria ofensa aos mantenedores do OpenBSD já nos dá pista que ele não estava muito de “bem com a vida” nesse dia. Foi sincero, mas, de certa forma, imprudente e incoerente.

    Marcos Alexandre (usuário não registrado) em 20/07/2008 às 3:53 pm

    “Ilário… você me pega 2 falhas pra me dar exemplo de Insegurança no Linux?? ”
    http://www.kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.26
    O que o colega quis salientar são duas coisas: o número de falhas de segurança descobertas andou aumentando e o tempo pra corrigir em alguns casos foi alto.

    Pra um SO que tem em um dos seus pilares a segurança, é motivo pra acender uma luz amarela.

    Divulgar ou não a falha é a velha polêmica: qual o risco de alguém saber da falha e conseguir explorá-la antes que se providencie uma correção?

    O Linus sempre deixou claro que ele é um desenvolvedor, não um empresário ou diretor de tecnologia ou segurança. A visão dele nem sempre pode ser aplicada às empresas ou aos usuários de Linux, não há mal nenhum disso desde que a pessoa tenha consciência dos fatos.

    Avelino de Almeida Bego (usuário não registrado) em 20/07/2008 às 4:02 pm

    Nem questiono a validade do comentário do Linus, e sim, a forma.
    Ficou a impressão que falhas de segurança não são nada demais.

    Ele, como “representante” do Linux, deveria ter cuidado com o que diz.
    Imaginem se o Steve Ballmer da M$ viesse e falasse: “Para mim, brechas de segurança são bugs normais”, muitos, inclusive eu, viríamos aqui e detonaríamos a M$ e o Ballmer.

    Abraços.

    miranda (usuário não registrado) em 20/07/2008 às 4:05 pm

    Lógico é fato não fazer vistas grossas aos problemas existentes; não há sistema perfeito.
    Agora não adianta descer o sabugo no Linux pelo comentario infeliz do Linus.
    Daqui a pouco vão falar que um virus no Linux apagou todos os arquivos do HD…


    O Linus sempre deixou claro que ele é um desenvolvedor, não um empresário ou diretor de tecnologia ou segurança. A visão dele nem sempre pode ser aplicada às empresas ou aos usuários de Linux

    Vale deixar claro também uma coisa: O Linus não esta só nessa empreita, e tem pessoas e empresas envolvidas vendo o lado de seus usuários, seja ele corporativo ou final.

    Avelino de Almeida Bego (usuário não registrado) em 20/07/2008 às 4:09 pm

    Sim, lógico, devemos separa o cara que deu o ponta-pé inicial com o produto por inteiro, que tem milhares de pessoas olhando e se preocupando com o mesmo.

    eu (usuário não registrado) em 20/07/2008 às 4:16 pm

    É por isso que eu jamais usaria Linux em um servidor.

    Avelino de Almeida Bego (usuário não registrado) em 20/07/2008 às 4:24 pm

    eu, sei que teu interesse é chamar a atenção, mas, o Linus não é o único a olhar o código do Linux.

    Mario Araujo (usuário não registrado) em 20/07/2008 às 4:33 pm

    Eu não usaria Linux em servidor, o Linux, que é lider de desenvolvimento do kernel linux não estar preucupado com segurança é como fazer uma boate sem muros e uma entrada pra “quem quiser pagar o ingreço”…. Ahh e na boate a cerveja é Free :)
    A cada dia que passa o Linus está se achando mais e mais “importante”, deve ser aquele negocio chamado ego :)

    Eri Ramos Bastos (usuário não registrado) em 20/07/2008 às 4:46 pm

    Por favor, não alimentem os trolls.

    fernando (usuário não registrado) em 20/07/2008 às 4:56 pm

    Pelo visto o proprietário do linux anda mostrando que não aprecia a plena divulgação de vulnerabilidades, sejam pequenas ou mais importantes. Em outras palavras, está agindo como desenvolvedor de programas “fechados” e comerciais, onde a aparência segurança é mais importante do que a segurança real.

    Avelino de Almeida Bego (usuário não registrado) em 20/07/2008 às 5:25 pm

    Lembrando: acho que tem um “pouco” de mais gente, além do Linus, programando no Kernel.

    Mas a declaração dele alimenta esse tipo de gente que quer aparecer/não gosta do Linux.

    edempoa (usuário não registrado) em 20/07/2008 às 5:57 pm

    ainda bem q o mark shuttleworth vai se torna o novo chefe do linux, e botar o linus pra correr

    Hahaha, a melhor trollagem que já vi, rachei o bico aqui.

    Revoltado (usuário não registrado) em 20/07/2008 às 8:51 pm

    Mario Araujo (usuário não registrado) em 20/07/2008 às 4:33 pm

    [...]

    A cada dia que passa o Linus está se achando mais e mais “importante”, deve ser aquele negocio chamado ego :)

    Sempre achei o Sr. Torvalds uma espécie de “agente duplo” no mundo Open Source. E é este o motivo de eu não gostar muito dele.

    Breno Leitao (usuário não registrado) em 20/07/2008 às 9:15 pm

    Bem, acredito que o maior problema aqui nao é questão de priorização, e sim de full-disclosure ou não.
    Essa thread no LKML começou na divulgação do kernel 2.6.25.10, pelo Greg. Nela estava descrito que os usuários eram FORTEMENTE encoragados a fazer upgrade do kernel (2.6.25 no caso). Porém, não pintava de vermelho o bug de segurança.
    Bem, apesar de eu gostar de full-disclosure, acredito que o Linus nao quer ajudar ainda mais os Scripties kiddies, e ele tem um tom da razão nesta decisão. Por outro lado, quem quisesse uma informação e se deve evoluir ou não (Se isso nao fosse dito pelo Greg), na pior das hipóteses, pode contar com o auxilio das distros.

    Eu li quase todas as mensagens daquela discussão mencionada, e não vejo motivo para acreditar que Linus Torvalds esteja defendendo “segurança por obscuridade”. O que ele defendeu (sem papas na língua para não perder o hábito) foi que os problemas de segurança e suas correções sejam divulgados da mesma forma que os demais erros (por exemplo, travamentos).

    Não estou dizendo que ele esteja certo (ou errado), só não concordo com a impressão que ficou do que ele escreveu.

    Terramel (usuário não registrado) em 21/07/2008 às 2:16 am

    Lembrando que ele disse isso na discussão do lançamento de uma nova versão do Kernel que arrumava alguma vulnerabilidade logo após o Greg Kroah-Hartman dizer que ENCORAJAVA FORTEMENTE a atualização do kernel. Esse “FORTEMENTE” que levou a toda a discussão e ao post do Linus sobre segurança ;D
    Com isso podemos perceber que ele estava realmente dizendo uma coisa que acha, ou seja, ele não estava arrumando desculpas para uma falha que não havia sido arrumada já que postou justamente quando a falha já não havia mais ;D

    Yoda (usuário não registrado) em 21/07/2008 às 10:05 am

    Os bugs de segurança são bugs normais mesmo e devem ser tratados como qualquer bug comum. O fato é que hoje o kernel está muito maduro e a quantidade de bugs tende a estabilizar.

    Quando se tem um problema e se faz um alarde em torno dele, a tendência é piorá-lo demais.

    A outra forma de ver o comentário do cara é: nós não vamos esconder o bug só porque ele é de segurança. Ele é um bug como outro qualquer. Sabemos que na mão de um kiddie todos os bugs são explorados, quer levem a uma invasão ou ao simples travamento.
    Para mim o cara está certo. Se fosse um cara da MS, eu diria a mesma coisa. A empresa deve ter a mesma prioridade sobre todos os bugs pois todos eles representam prejuízos ao usuário.

    Bruno (usuário não registrado) em 21/07/2008 às 10:07 am

    Eu acho que isso de divulgar falhas de seguranças tem dois lados da moeda.

    Um lado e que a comunidade ou a empresa pode corrigir a tal falha.

    O outro lado e que um grupo de pessoas que se utiliza dessas falhas para o “mal”.
    Invadem sistemas se utilizando dessas pequenas falhas.

    Então de certa forma , divulgar falhas de segurança não é realmente bom.

    Eu concordo que seja assim , quando a comunidade diz rs tem um patch de segurança para o kernel x.
    Ai sim diz esse patch corrige o problema de segurança tal e tal.

    Eu penso que deve se divulgar a falha quando já se tem a correção para o mesmo.
    Nós sabemos que tem muitos que mesmo com a divulgação de patch não instalam.
    Mas ai já é um problema da pessoa.

    Eu sei que muitos vão me taxar como troll , mas é o que eu penso.

    bebeto_maya (usuário não registrado) em 21/07/2008 às 8:42 pm

    Eri:

    Controvérsia mesmo é sobre como o ensino hoje em dia está fraco. As pessoas são simplesmente incapazes de ler e interpretar um texto.

    Concordo, as pessoas não lêem as notícias adequadamente, não pesquisam as fontes primárias e já saem interpretando tudo aos solavancos. Linus somente agiu ponderadamente, como sempre foi seu critério, e isso perturba algumas pessoas que esperam dele uma posição radical militante.

    Igor (usuário não registrado) em 25/07/2008 às 6:31 am

    Depois de ler essa mesma notícia em vários blogs e sites de notícias, todas com o título bem sensacionalista, do tipo “Linus chama equipe do OpenBSD de macacos masturbadores”, eu fiquei realmente impressionado com a capacidade de DISTORÇÃO DOS FATOS!
    Já li comentários, como o de alguém acima, dizendo que atualmente o Linux tem deichado a desejar em questão de segurança, já até li vários comentários dizendo que o Linux está indo pelo mesmo caminho do Windows, onde a segurança fora deixada de lado.
    Para todas essas pessoas que não leram ou não conseguiram interpretar as mensagens na lista de email, por favor leiam, ou leiam novamente aqui: http://kerneltrap.org/Linux/Security_Bugs_and_Full_Disclosure
    A discussão toda gira em torno de como as falhas de segurança corrigidas deveriam ser divulgadas, não tem nada haver com a política de correção das falhas, e sim com a política de DIVULGAÇÃO da correção das falhas.
    Segundo Linus, bugs corrigidos, são bugs corrigidos. Todos são importantes. Por isso ele não vai alimentar o circo criado em torno da segurança de software na mídia, destacando as correções de falhas de segurança das demais correções, e nem vai incluir na divulgação das correções detalhes de como, por exemplo, explorar a falha que já foi corrigida.
    Aliás, discordo do título dessa notícia. Não houve controvérsia nenhuma na discussão. Linus e outros desenvolvedores que responderam aos emails, explicando o motivo de como as correções são divulgadas atualmente, foram bastante coerentes.

    Alexandre C. (usuário não registrado) em 27/07/2008 às 5:33 pm

    “Já li comentários, como o de alguém acima, dizendo que atualmente o Linux tem deichado a desejar em questão de segurança”

    Pra mim o a segurança do Linux tem deixado a desejar sim.
    Ou será que vc não tem acompanhado as falhas recentes na segurança do Linux ?

Este post é antigo (2008-07-20) e foi arquivado. O envio de novos comentários a este post já expirou.