Notícia publicada por brain em agosto 14, 2003 11:07 AM
| TrackBack
Eri Ramos Bastos (erirb@xtms.com.br) disse: " Aparentemente a FSF (Free Software Foundation) foi invadida e diversos arquivos foram comprometidos. O que realmente parece ruim é que o backup não estava muito em dia. Estão em busca de MD5s confiáveis. Você pode ajudar?"
Posso ajudar a divulgar sim, mas me parece que o post original da Slashdot (que o Eri citou ali) acabou atrapalhando um pouco a compreensão das coisas: a FSF tinha backups sim, mas ela não pôde usar por medo de que também estivessem comprometidos. A razão disso mostra um problema que pode ser grave: o comprometimento foi em março, e a descoberta foi apenas agora no final de julho. O anúncio oficial dá mais detalhes, inclusive indicando que a invasão ficou tanto tempo sem ser percebida justamente porque (aparentemente) nenhum dos pacotes hospedados no site sofreu qualquer alteração.
O Ricardo Sartori (autor do ótimo ifgraph) me mandou o alerta do CERT sobre este problema. Se você compilou software do projeto GNU a partir dos fontes originais entre março e ontem, é bom ficar atento.
Esperamos que regularizem logo esse problema e que isso não afete a imagem do software livre. Que como eu disse anteriormente, pode ser mais um argumento para o pessoal do Ruindows.
Se nem o diretorio de SL é seguro , cmo dizer que sistemas que rodem ele sao ?
Isso tudo é igual brincadeira de criança... a microsoft agradece.
ps: será que a invasao nao foi feita por nenhum funcionario da microsoft a serviço do tio bill ? haha
Dizer que esta notícia é um argumento contra o software livre só pode ser uma grande piada...
O anúncio da falha é prova da honestidade e coerência dos mantenedores do projeto GNU em NÃO esconder problemas. Com esta honestidade todos ganham.
Parece que houve um lapso de memória em algumas pessoas que freqüentemente postam comentários no site, mas pra refrescar a memória:
http://brlinux.linuxsecurity.com.br/noticias/000743.html
(não vamos mencionar os ânimos exaltados de algumas pessoas com esta notícia...)
Como podemos observar, falhas como esta podem ocorrer em qualquer plataforma computacional. Se o incidente é um argumento contra o software livre, então podemos enumerar muuuuuuuitos argumentos contra o software proprietário. A diferenca é que nós não escondemos problemas.
é isso ae. nas empresas do ´mercado´ jamais admitiriam falha, muito menos uma dessa. Fora as pixações nos sites dessas ´empresas´ qualquer outra falha (ftp, mail, etc.) será prontamente encoberta, mesmo que isso coloque em risco os seus ¨preciosos¨ clientes (que nada sabem e importam-se muitas vezes apenas com uma falsa imagem de proteção tão bem arquitetada por essas ¨empresas do mercado¨.
Para este artigo, vou citar o que um português chamado leitão postou no gildot:
"No artigo da ZDNet:
The attack was carried out using an exploit that was revealed on 17 March, and for which a patch only became available a week later.
O que aconteceu ao mito dos patches em horas em vez de dias no software livre?"
Disse tudo.
Que mito? É a realidade. Mas também há exceções, né? Por outro lado, acho que a comparação com os prazos típicos de liberação de patches por parte do software proprietário é até dispensável, inclusive por já ter sido abordada aqui em outras ocasiões.
O problema do ptrace foi chato de resolver. A primeira correção, inclusive, trouxe bugs que só foram corrigidos mais tarde (como a perda dos argumentos de linha de comando na saída do ps ax, impossibilidade de usar strace ou gdb em processos, etc).
Complementando: eu acho essa discussão tola, o Linux não tem que ser "mais seguro que o sistema XYZ". Ele tem que ser seguro e pronto, em termos absolutos e não relativos. O servidor do projeto GNU ser invadido é uma lástima e pega mal sim, assim como pega mal qualquer invasão de site conhecido. E a gente pode ficar discutindo isso pra sempre, sem que nenhum lado se convença de que tem que trocar de SO. Faz parte do jogo.
Mas, já que estamos neste assunto, as evidências de que os patches da Microsoft costumam atrasar são fáceis de achar. Coletei algumas no Google, notem que nenhuma delas vem de sites Linux-cêntricos.
Aqui estão alguns exemplos, na esperança de que vocês agora mudem de assunto, ou até mesmo passem a achar que liberar um patch em uma semana é rápido (embora eu ache muito lento também - ainda bem que é raro isso acontecer).
Particularmente interessante é o comentário do Gartner Group, lá embaixo entre linhas de asteriscos ;)
http://www.itworld.com/AppDev/1597/021205msbug/page_1.html (bug reportado em outubro e corrigido só em maio do ano seguinte, descrição: "Security experts, however, say the vulnerability is serious and could be exploited to take over a user's machine. (...) Exploiting it could enable an attacker to read information on a user's computer and invoke programs already on the PC, according to Microsoft in security bulletin MS02-068")
http://news.com.com/2100-1001-834826.html - o "superpatch" do IE publicado em fevereiro do ano passado corrigia várias vulnerabilidades, inclusive uma de dezembro do ano anterior, considerada especialmente séria pelo autor da matéria. Os especialistas consultados pelo News.com não ficaram felizes com a demora: "Both security experts said they were disturbed by Microsoft's slow response, especially with respect to the December security problem found by ThePull."
http://security.itworld.com/4352/IDG010611exchange/page_1.html
Era uma falha do Exchange, a MS lançou patch para o Exchange 2000 e deixou de lançar para o (na época) muito mais usado Exchange 5.5. E o fix para o 2000 ainda tinha problemas, precisou ser retirado do site e relançado depois. Retirado do boletim da vulnerabilidade "oficial" da MS: "Impact of vulnerability: Run code of attacker's choice."
http://www.silicon.com/news/500009/1/1028004.html
Matéria do Silicon.com: Microsoft security moves 'too little too late'. Apesar do título, essa matéria concorda parcialmente com o Zé do Caixão: não é que a MS não saiba fazer os fixes, ou que se atrase para fazer. O problema é o excesso de bugs sérios mesmo...
http://www.silicon.com/news/500013/1/1027704.html
Outra do silicon.com, o título é "Message to users: 'Stop using Microsoft's web server software...'". Essa matéria comenta a decisão do Gartner Group de desaconselhar o uso do servidor web da MS, porque os riscos envolvidos são altos demais. Não sou eu nem o FAS, foi o Gartner Group (que está bem longe de ser um fã-clube do Linux) que disse que a MS demora demais com os patches. Vou até colocar entre asteriscos:
*********************************
Gartner believes that one reason the security risks in using IIS are so high is because Microsoft supplies security patches too slowly. (...) Microsoft refused to comment.
*********************************
Bah Augusto, eu não falei em MS em nenhum momento. O que ela tem a ver se as correções do software livre atrasam? Nada. Pois você tem que vir e colocá-la na história. Não adianta ter essa banner aqui em baixo, se você é o primeiro a colocar lenha na fogueira!
"Faça o que eu digo, não faça o que eu faço". É um ótimo ditado, e se enquadrou muito bem aqui. :-)
Você escreve sobre o "mito dos patches rápidos do software livre", e eu que estou puxando flames?
Eu só demonstrei que mesmo esse patch que demorou uma semana ainda é rápido, comparando com as alternativas do mercado.
Abraços
Augusto
Ok, se você quer comparações, vamos comparar com um outro fato atual na área de segurança, a falha do RPC do windows.
A falha só foi divulgada depois da correção. Exploits se tornaram públicos depois da correção já liberada. Só foi atingido quem não havia se preparado. Ao contrário dessa vulnerabilidade do ptrace, que a correção saiu uma semana(!) depois. São fatos inegáveis, sem contestação de um site pró SF, ou pró Microsoft. É estupidez sua querer tapar o sol com a peneira.
Chega de viver de mitos.
Arrã, arrã. Certamente.
Por favor continue usando o sistema que você preferir, e pode chamar de mito tudo o que não se adaptar à sua visão de realidade.
E aí desqualifique quando alguém te der exemplos do código fechado demorando meses para sanar falhas públicas, ou entidades como o gartner afirmando que este é um dois grandes problemas do código fechado - selecione apenas os exemplos que melhor lhe convierem.
Assim é bem mais fácil achar que ganhou todas as discussões.
Abraços!
Augusto
"Por favor continue usando o sistema que você preferir, e pode chamar de mito tudo o que não se adaptar à sua visão de realidade."
Idem :-)
Bom, já que você insiste...vou citar mais dois "mitos": A invasão de dois sites/sistemas exponentes do software livre.
Há rumores que um site, de uma fundação chamada GNU, que hospeda centenas de projetos, foi invadido, veja só! Pessoalmente, acho que não passa de boatos de pessoas e empresas que são contra o software livre ideologicamente, politicamente e financeiramente.
Ou outro rumor, que duvido que seja verdade, é que um site pró-linux, de destacada posição nacional, na verdade o primeiro em acessos, foi invadido. Mas pasme, as más línguas dizem que não foi uma, mas sim DUAS vezes! Inclusive, encontrei um rapaz de nome Baboo afirmando ter ido neste site para prestar suas condolências e oferecer seu know-how para que tais situações embaraçosas não ocorressem mais, suprema audácia!
Reitero novamente, podemos todos ficarmos tranquilos, com certeza esses rumores não passam de mais um mito urbano!
Tu ve, tu ve. Ele pega duas notícias que foram publicadas aqui, e tenta fazer parecer que eu nego alguma das duas :)
O ftp do gnu foi invadido sim, e esse site aqui já sofreu defacement algumas vezes. Quem disse que isso é mito? Os defacements daqui sempre foram noticiados, e explicados (acho que 100% das vezes ocorreram porque o provedor de hospedagem - que era comercial - não fez upgrade do PHP quando deveria).
Mas em que isso altera alguma das outras coisas que estavam sendo discutidas?
Para refrescar a memória da platéia, você estava dizendo que uma semana é um tempo muito longo para lançamento de patch de segurança (mesmo sabendo que é raro um software livre demorar tanto assim para ter um patch), e eu estava contrapondo que no caso do software fechado não faltam exemplos de patches de falhas conhecidas demorarem muuuito mais, e citando comentários de outras fontes (e. g. Gartner) a respeito.
Só que o gbitten está certo, isso aqui já virou flame war, e o zé tá tendo que ir muito longe pra não responder diretamente. Assim fica fácil zé! Deixar de argumentar e puxar outros assuntos para distrair a torcida não ganha discussão :)
Declaro encerrada a discussão, ou pelo menos a minha participação nela, por excesso de apelação por parte do adversário :)
Abraços
Augusto
Claro, no software livre é raro para acontecer de um patch demorar uma semana para ser corrigido...
Mas quando acontece, o site da GNU e o do brain são invadidos! ;-)
Voltar ao assunto, mesmo, não rola né? Muito mais fácil ficar tentando distrair a torcida :)
Pra mim esse flame acabou nesse comentario (sem querer puxar, mais já puxando...)
"(...)
E aí desqualifique quando alguém te der exemplos do código fechado demorando meses para sanar falhas públicas, ou entidades como o gartner afirmando que este é um dois grandes problemas do código fechado - selecione apenas os exemplos que melhor lhe convierem.
(...)"
"Claro, no software livre é raro para acontecer de um patch demorar uma semana para ser corrigido..."
"É estupidez sua querer tapar o sol com a peneira."
"Chega de viver de mitos."
O que interessa, zé do caixão, é o que está mencionado neste link
http://www.congresso.gov.br/softwarelivre
"O software livre representa a vanguarda da informática, com seu código aberto e de uso coletivo, estimula a produção e a troca de conhecimento em todas as camadas da sociedade. Orienta-se para a liberdade do conhecimento e para o atendimento de necessidades específicas das comunidades, além de favorecer a inclusão digital."
Preste atençao nos trechos:
"coletivo"
"troca de conhecimento em todas as camadas da sociedade"
"liberdade"
"inclusao digital"
E isto não é mito!!
Estamos falando nessa thread de aspectos técnicos, e não políticos ou sociais. Embora admire o linux por facilitar a chamada "inclusão digital", tais aspectos são nulos nessa discussão aqui presente.
Comentários desativados: Esta discussão é antiga e foi arquivada, não é mais possível enviar comentários adicionais.