Adobe, Microsoft e Linux são candidatos a ‘pior resposta a falha de segurança’
Enviado por André Machado (andreferreiramachadoΘgmail·com):
A Microsoft ganhou a nomeação por ter corrigido apenas em abril deste ano uma falha encontrada em dezembro de 2006. Já os mantenedores do kernel do Linux são acusados de ignorar brechas de “impacto desconhecido” e de afirmar que falhas possibilitam apenas travamento do sistema, quando, na verdade, permitem a realização de ataques mais graves.
O time do kernel do Linux também está concorrendo na categoria “Most Epic Fail”. Entre os motivos para nomeação do Linux nesta categoria estão uma correção ineficaz para um problema de segurança conhecido há 7 anos e a falta de documentação e consideração para com brechas. Segundo uma pesquisa citada pelo Pwnie Awards, um invasor atacando um sistema Linux teve entre 4 e 16 falhas abertas no kernel com “impacto desconhecido” “em qualquer momento dos últimos 3 anos”.” [referência: g1.globo.com]
@brlinuxblog
Feed RSS
Isto não me surpreende.
Interessante , o augusto consegue manter uma boa dose de imparcialidade .Ele pública várias notícias falando bem e mal do GNU/Linux. Não como outros sites por ai que tem uma certa ligação com empresas de software proprietário.
Bom, vamos ver se o povo que falou tudo aquilo aqui: http://br-linux.org/2008/empresa-leva-7-anos-para-corrigir-bug-em-sua-implementacao-proprietaria-do-smb/ Irá vir aqui e dizer.
Eu acho incrível a rapidez das atualizações nos softwares livres, mas o povo tem que entender que nem tudo é às mil maravilhas.
Espero que com isso o time de segurança dê a devida importância à essa falha. :)
Diferentemente dos sistemas proprietários, as falhas são divulgadas antes da correção, e na maioria das vezes, são corrigidas mais rapidamente nos sistemas abertos.
Como se diz: não há sistema perfeito! Mas ainda sim, prefiro o GNU/Linux.
Acho que um dos segredos do SL é isso, não esconder que tem falhas e deixar que o usuário tire suas conclusões.
Só me diga uma coisa nessa materia do G1, o que o caso do StrongWebmail e a invasão do Twitter tem a ver com o linux?
Lembrando que o desenvolvimento de software livre não oferece garantias (nem de segurança nem de continuidade/correção).. de certa forma é descabido cobrar por segurança, diferente de quando vc paga pelo suporte.
e mesmo assim os kras dão um show em rapidez comparado com desenvolvimento fechado.
As falhas são anunciadas antes e podem ser exploradas antes também tudo é relativo.
Provavelmente o risco destas falhas serem usadas de fato é baixo. Que eu saiba, sempre acompanho essas competições de invasão, e sempre o Flash é o portão de entrada. O Flash se maqueia de plugin, mas o plugin usa um server que abre as pernas do micro.
O problema é que as vezes nem sempre estas fundações, que dizem que a falha existe esta certa. Geralmente eles exageram e dizem que a falha existe, os desenvolvedores sempre acabam levando o descredito.
Foi assim no caso do WordPress lembram? Que não era nada de mais mas foi divulgado como uma catástrofe de segurança.
No cado do Firefox tambem:
http://info.abril.com.br/noticias/seguranca/mozilla-diz-que-bug-do-firefox-nao-e-perigos-20072009-5.shl
Deixe-me explicar umas coisinhas, primeiro que a “falha” de 7 anos ao qual se referem é a implementação do ASLR “Improperly patching a 7 year running local bypass of a flawed ASLR implementation”, então não é um bug em SI que você vai lá e ganha root, só facilita o bypassing dessa proteção, segundo “Já os mantenedores do kernel do Linux são acusados de ignorar brechas de “impacto desconhecido”” nisso eles estão corretíssimos, deveriam dar mais importância as falhas mesmo sendo de DoS, porém apesar de tudo, não seriam taooo críticas assim, mas acontece o seguinte, os devs “NÃO SABEM o que estão fazendo”( veja as aspas ), o que quero dizer é que eles pensam que muitas vulns não são exploráveis, quando na verdade são, exemplo recente do 2.6.30 que alguem foi lá e fez! No final a maioria não passa de programadores com skill elevado, hackers > programadores, não há como competir :P
Vulnerabilidades dificeis de explorar pois os sistemas gnu/linux são heterogeneos demais.
O <– sol
__ <– peneira
x <– self_liar
Não foi o Linus mesmo que disse que falhas de segurança não precisam ser tratadas diferente das outras falhas?
Há um tempo atrás teve aquele bug que permitia que o usuário adquirisse privilégios de root, lembram? Não fiquei sabendo de casos em que exploraram a falha. Tá, talvez os 1% de usuários tenha alguma relação com isso, mas era de se esperar que tivéssemos 1% da quantidade de ataques que normalmente há nos casso de falhas graves do Windows, por exemplo, não? hauahuahau
@self_liar, se for uma falha no kernel acho que não há muita diferença em ser uma distro ou outra não… Se você se referiu à questão da incompatibilidade entre diferentes versões de binários, libc, gcc, ou o que seja (que eu odeio), muitos programas distribuídos na forma de binário são compilados estaticamente, com tudo o que precisam para funcionar num só lugar. Como exemplo o opera, adobe reader, skype, etc…
Ha’ muito mais exploits black-hat para software livre que para software proprietario, e a razao e’ simples. Esses grupos black-hat acham falhas, nao divulgam e escrevem ferramentas para explorar. Numeros oficiais nunca serao sabidos, mas quem conhece o meio sabe que tem muito exploit para software considerado um primor de seguranca…
self_liar
pra algumas pessoas isso pode ser tão facil quanto pra você pode ser fácil fazer um hello world.
tenchi e nem precisa saber, no geral users não padecem desse mal, quem são explorados são SERVIDORES, quando uma falha dessa sai, uma hora depois já existem milhares de servers comprometidos( claro que o cara precisa de uma conta nem que seja nobody dentro da maquina se a falha for local), acontece que não há estatística, e geralmente nem o admin sabe qual falha foi explorada.
Veeenhaaaam para o lado seguro da força!
http://www.bsd.org/
O artigo é sobre “pior resposta a falha de segurança” mas se falou somente das supostas falhas e não das respostas ???
-
Nem preciso falar nada sobre o BSD legado, levaram uma lavada em desempenho do Linux.
http://www.phoronix.com/scan.php?page=article&item=pcbsd_vs_kubuntu&num=2
Eu não li o artigo na origem, mas a julgar pelo resumo, o mesmo pode ser tendencioso. A minha (parca) experiência me diz o seguinte:
* O fato de uma falha não ser documentada e divulgada publicamente não impede que ela seja explorada. Pior, muita gente será afetada sem ao menos saber o que houve;
* Prender-se a versões muito antigas de software tomando-as como sólidas e seguras, acaba nos levando a episódios como os que ocorreram com servidores da Debian;
* A maioria das falhas exploradas no [ponha-o-nome-do-seu-sistema-aqui] não é no kernel, e sim em aplicativos que rodam no sistema. A maioria das invasões que eu vejo por aí são falhas no ssh/scp, inetd, named, ftpd e httpd (considerando-se apenas os servidores). Em desktops eu não me pronuncio, pois a gama de softwares é muito maior (e a preocupação com a segurança é inversamente proporcional).
As falhas mais críticas são sempre as que permitem a exploração remota (duh!).
Balela! Então me explica – por que o exploit funcionava, se a falha não era perigosa?
Pra exploitagem remota até pode ser, mas muita rootagem com exploitagem local é feita através de bugs do kernel.
Hmmmm… parece mais um caso do “famoso quem ??” Podíamos criar a “Fundação dos comentadores do BR-Linux” e soltar uma relação sobre os “N mais qualquer coisa que tenha a ver ou não com Linux”. Não deixa de ser uma forma de chamar atenção. Não existe sistema perfeito, nem invulnerável e nada disso é novidade não é mesmo ??
O.O.
@666
Que comparação ridicula PC-BSD vs Kubuntu, rodando aplicações de desktop, lame total.
Mesmo com falhas é engraçado ler as noticias desses concursos de testes de segurança e ver que o Linux nunca é derrubado ao contrario do Windows e Mac.
É importante deixar bem claro o que estamos comparando aqui: Kubuntu 9.04, rodando o Linux 2.6.28 com PC-BSD 7.1 rodando FreeBSD 7.1 (stable). De um lado um concorrente de última geração e do outro o estável.
Talvez fosse mais justo comparar o primeiro com o FreeBSD current (de última geração, porém instável), e deixar para comparar o FreeBSD stable com o Linux 2.4.37.4 ou na melhor das hipóteses o 2.6.16.62.
Além disso, trata-se de uma comparação em uma configuração de uma plataforma de hardware em particular, e esses sistemas operacionais rodam numa porção de plataformas.
Existem também comparações mais completas envolvendo mais sistemas operacionais.
@Jack Ripoff: Calma! O Phronix é um site sério, em que eles avaliam constantemente o desempenho de várias versões de Linux, BSD e OpenSolaris, mensurando velocidade em hardwares diferentes, no mesmo hardware com versões diferentes (eles até conseguiram provar uma vez que o Ubuntu ficou mais lento nas últimas versões!), com sistemas de arquivos diferentes…
É o melhor site de benchmarks de softwares livres que conheço!
Tá, talvez os 1% de usuários tenha alguma relação com isso, mas era de se esperar que tivéssemos 1% da quantidade de ataques que normalmente há nos casso de falhas graves do Windows, por exemplo, não? hauahuahau
Não necessariamente. Se você tem vários SOs e quer fazer um exploit, vírus ou worm, você geralmente vai mirar mais no mais numeroso, pois assim seu exploit/vírus/worm será mais “útil” (e no caso do vírus e worm, se espalhará com mais facilidade). Assim, esperaríamos um número não-proporcional ao de usuários.
Mas existem outros fatores atuando. O ELS disse que há mais exploits black-hat para software livre, não sei se é verdade mas não duvido. De qualquer jeito, não acho que existe nada que caracterize uma tendência de proporcionalidade aí.
Fábio lame é dizer que não pode comparar PC-BSD, que é feito para ser desktop??? (já visto está é a premissa dele), com o Kubuntu.
Quer comparar servidores??? Pegue o Freebsd e o Ubuntu Server.
eu li o original e acho que o princípio “do menor privilégio” adotado pelo linux (login e senha para usuários comuns) impede maiores problemas, tanto é assim que eles falam em “impacto desconhecido”, resumindo, o LINUX não é oitava maravilha do mundo, tem falhas que precisam ser corrigidas, mas não é do jeito que esses caras querem anunciar só porquê o time de segurança do Kernel não lhes deu a atenção que eles achavam que mereciam, acho que é a tipica matéria de FUD, vejam como eles apotam a falha no Windows Vista, mas enfatizando seu princípio de segurança baseado em sessões enquanto que no LINUX eles não falam sobre o mesmo princípio adotado (sessões) a mais de uma década.
@Jack Ripoff
Querer que todos concordem que o benchmark do site do freebsd é mais completo e/ou imparcial que o do phoronix, neste caso, é um pouco demais.
Que os BSDs sao sistemas mais focados em seguranca e excelentes para diversas situacoes, todos sabem. Mas de a Cesar o que é de Cesar!
Abs!
Problemas como esse acontecem, inclusive la pro lado dos BSDzistas (e olha que teve um caso bem grave recentemente)
Mas mesmo assim a proporção de bug / linha de código, na árvore de desenvolvimento do kernel, é bem menor do que a média de outros softwares tanto proprietários quanto livres (em torno de 20 pra 1000, desde inofencivos até os graves), considerando o esforço do time de desenvolvimento, precisaria basicamente um homem/ano para cada 10000 linhas de código (considerando que o release é semestral) só para correção de bugs, mas ninguem gosta de fazer o serviço sujo, a quantidade de pessoas trabalhando no desenvolvimento é bem maior, o tempo gasto em desenvolvimento e a quanitdade de submits de terceiros, na maioria das vezes (quase todas) são para implementar/incrementar algum recurso, se 20% do time (oficial) de desenvolvimento do kernel atrasasse 6 meses o release e usasse esse tempo para a correção de bugs, eles poderiam ser quase extintos.
Corrigir bugs é uma tarefa àrdua, pois você precisa do equipamente específico na maioria das vezes (hardware) que o provoca, e a outra grande maioria está relacionada ao uso de código proprietário rodando a nível de kernel (firmware e drivers), algumas pessoas são contra ou não acreditam em um “mundo totalmente livre” mas ao menos, tudo que é executado á nível de kernel deveria ser rigorosamente checado, e no mínimo livre, só assim se garante a qualidade do serviço, mas você deixaria de usar sua plaquinha de rede só porcausa do firmware obscuro?
Mas infelizmente/felizmente este não é o foco principal.
Não me lembro de ter colocado à prova a integridade do site e nem de ter questionado os resultados apresentados, e sim de tê-los esclarecido.
Ad hominem genético. Uma falácia lógica muito comum.
Acho que nesse caso seria a do “poço envenenado”, segundo a Wikipedia. Nao sabia nada sobre o assunto. Interessante!
Serviu para me alertar, ultimamente tenho me achado muito “Ad hominem” ” Br-linux também é cultura. :)
Abs!