Visite também: Currículo ·  Efetividade BR-Mac

O que é LinuxDownload LinuxApostila LinuxEnviar notícia


Bate-rebate: Red Hat nega que Locaweb seja sua cliente, e Locaweb responde

A propósito da notícia de ontem sobre a Locaweb apontar dedos para a Red Hat relacionados ao mass defacement sofrido por um grande conjunto de seus clientes na semana passada, o BR-Linux recebeu da Red Hat um comunicado dirigido aos clientes da empresa, que reproduzo abaixo, seguido das considerações posteriores:

A Red Hat recomenda para uso corporativo a versão oficial do sistema operacional Red Hat Enterprise Linux. A subscrição contratada (ativa) é fundamental para assegurar atualização, manutenção e suporte permanentes e oferecer o melhor nível de serviço aos clientes. As companhias necessitam deste nível de serviço de missão crítica, suporte e comprometimento com segurança que a Red Hat oferece com seu sistema operacional Red Hat Enterprise Linux.

O modelo de código aberto permite reparos de segurança de forma muito rápida. Em um recente incidente de segurança envolvendo o kernel do Linux, a Red Hat foi a primeira empresa a disponibilizar a correção. Devido à ação proativa da empresa, não houve ocorrências entre seus clientes.

A Red Hat comenta que a Locaweb não consta de seu quadro de clientes – no Brasil ou no exterior – não possuindo, portanto, subscrições que permitam acesso a serviços de manutenção e suporte. Adicionalmente, a Red Hat declara que não pode ser responsabilizada por falhas no ambiente de segurança.

A Red Hat está à disposição de seus clientes para quaisquer dúvidas e esclarecimentos.

Alguns veículos publicaram as informações da nota acima já no início da noite de terça-feira, o que acabou provocando uma nova resposta da Locaweb, afirmando ser, sim, cliente de suporte da Red Hat, embora a conta esteja no nome de uma pessoa física, e não da empresa.

O leitor André Machado (andreferreiramachadoΘgmail·com) enviou o link para a nota da Info com a resposta da Locaweb, contendo até mesmo screenshots comprovando a existência de um contrato de suporte em nome do CEO da Locaweb.

A nota fala ainda sobre a demora da publicação de uma solução pela Red Hat, mas curiosamente nada diz sobre a recomendação da Red Hat de que seja usada a versão oficial. Aparentemente persiste a dúvida lançada ontem e várias vezes repetida: se os servidores em questão rodavam o RHEL, ou ao menos o kernel que estava em uso nas máquinas comprometidas era homologado para uso Enterprise pela Red Hat.


• Publicado por Augusto Campos em 2010-09-22

Comentários dos leitores

Os comentários são responsabilidade de seus autores, e não são analisados ou aprovados pelo BR-Linux. Leia os Termos de uso do BR-Linux.

    Adilson dos Santos Dantas (usuário não registrado) em 22/09/2010 às 9:20 am

    Como se dizia em um desenho do Pica Pau:

    “Se a Locaweb fosse mais pro-ativa e soubesse manter os sistemas atualizados e ir até além do suposto suporte da Red Hat na aplicação de patches ou workarounds isso nunca teria acontecido… “

    Zhu Sha Zang (usuário não registrado) em 22/09/2010 às 9:26 am

    Como uma rede mal administrada na simples questão de SPAM. Eu acho que a maior idoneidade se encontra na Red Hat.

    Se pelo menos a Locaweb soubesse combater spam interno de sua rede seríamos mais felizes.

    ATT.

    Gilson (usuário não registrado) em 22/09/2010 às 9:32 am

    Engraçado são os comentários no site da INFO. A maioria das pessoas da comunidade pregou que o Linux é o SO mais seguro que existe. Eu uso o Linux, e sei de uma coisa não existe nenhum sistema que não possa ser invadido, isso é fato! O desenvolvimento de software não é perfeito, e pode acontecer com todo mundo. Devemos tachar o Linux como o sistema dos deuses e colocarmos mais os pés no chão.

    Alex Piaz (usuário não registrado) em 22/09/2010 às 9:38 am

    Creio que a grande questão que deve ser debatida não é a invulnerabilidade do linux, que sabemos ser utópica, mesmo que comparativamente ele seja efetivamente mais seguro que outros sistemas operacionais, mas sim a atitude da empresa citada, que em vez de assumir suas responsabilidades simplesmente jogou a culpa em terceiros. Isso me leva a crer que devemos reconsiderar o funcionamento do mercado de webhosting no Brasil, como um todo, vide o caso recente do migre.me e outros menores.

    Dorival Boege Júnior (usuário não registrado) em 22/09/2010 às 9:43 am

    Sou mais a RedHat.

    Wancley Mucchi (usuário não registrado) em 22/09/2010 às 9:49 am

    Patético, por que uma empresa multimilionária contrataria os serviços da RedHat em nome de uma pessoa física, ao invés do nome da empresa?

    E o screenshot mostrado no site da Info não prova nada. Duvido que eles paguem a RedHat por todas os milhares de servidores que eles tem usando RH.

    sergio (usuário não registrado) em 22/09/2010 às 9:55 am

    Assim vamos ver se aprende…

    Quer segurança? Use BSD

    Enquanto se discute o futuro da Mandriva (pelo menos agora como um novo investidor), os problemas economicos das distribuicoes Linux, as incertezas do Solaris, os BSDs continuam firmes e sem problemas. Como um relogio, uma versao a cada 6 meses, totalmente confiaveis, com features incomparaveis (zfs, virtualbox). Quer suporte? Freebsd foundation no Brasil, em Minas.

    Agnaldo Silva (usuário não registrado) em 22/09/2010 às 9:57 am

    Eu trabalhei na Locaweb durante o ano passado, e cara aquilo é um inferno, a empresa vive em constante mudanças, migrações o que as vezes não é bem gerenciadas e acabam dando uma série de problemas. Esse problema de invasão da Locaweb não é novo, já ocorreu muitas vezes, mas nunca veio a tona, a Locaweb não tem uma infra-estrutura solida para suportar a quantidade de clientes que hoje existe em sua carteira de clientes, devido a isto eles estão jogando o erro operacional que ocorreu para seus fornecedores, todo mundo sabe que antes de colocar uma máquina em produção é necessário efetuar vários testes de segurança e isto não foi feito. Fica meu comentário sobre a Locaweb…

    Pedro (usuário não registrado) em 22/09/2010 às 10:21 am

    Localweb “fail”, perdeu a oportunidade de demonstrar maturidade na gerência de problemas, no mundo globalizado jogar problema para os outros não rola!

    Saci de Patinete em 22/09/2010 às 10:57 am

    Sou mais a RedHat.

    Acho que a Locaweb fez a maior burrada ao trazer esse assunto à tona e querer peitar a RedHat. No final, capaz ainda da Locaweb tomar um processo nas costas e perder mais ainda a (pouca) credibilidade que tem.

    Kleber (usuário não registrado) em 22/09/2010 às 11:15 am

    O engraçado é que só tem 1 subscrição ativa, quantos servidores eles tem? :)

    Fabio Luiz (falcon_dark) (usuário não registrado) em 22/09/2010 às 11:20 am

    Gente, deixem de ser fanboys e acordem. A Red Hat só publicou correção para o bug ONTEM!!!

    Se um SO tem um problema de segurança, é culpa de quem? Do usuário???? E se o sistema for o Windows? Aí é da Microsoft? Por favor, deixem de ser crianças.

    Óbvio que a Locaweb tem sua parcela de culpa mas dizer “sou mais a Red Hat” ignorando o que está escrito no artigo do BR-Linux é muito imaturo.

    A Locaweb e a RedHat têm culpa. Uma por não configurar corretamente seus servidores e a outra por demorar (em relação aos concorrentes) para lançar a correção.

    Esse bug era conhecido do mercado, então é óbvio que o cracker escolheu a Locaweb e não foi por acaso. Ele sabia que lá encontraria todas as falhas (de configuração e de SO) para que seu ataque fosse bem sucedido. Querer colocar a culpa exclusivamente na Locaweb é insinuar que, quando o sistema tem falhas, a culpa é do usuário.

    Kleber (usuário não registrado) em 22/09/2010 às 11:25 am

    @Fabio Luiz concordo, e não estou defendendo a RedHat, mas que a Locaweb esta sendo desonesta esta muito na cara, é claro que a RedHat tem culpa, isso é óbvio, masss quem foi mais desonesto? no meu ponto de vista a Locaweb.

    Saci de Patinete em 22/09/2010 às 11:36 am

    @Fabio Luiz, vou na linha de pensamento do @Kleber. Realmente a RedHat tem sua culpa, vc tem toda razão, mas tá na cara que a Locaweb quer se isentar da culpa dela. :-)

    gustavo (usuário não registrado) em 22/09/2010 às 11:38 am

    Fanboys de linux, burrinhos, preconceituosos, que não conseguem ler e entender um texto, e altamente manipuláveis, vc encontra aqui, no br-linux. :D

    Vagner Silva (usuário não registrado) em 22/09/2010 às 11:46 am

    Alheio à questão se é ou não cliente, eu não tenho recomendado a Locaweb para os meus clientes há um bom tempo.

    A empresa que trabalho usa a Locaweb para recebimento de e-mails e confesso que a qualidade de serviço caiu consideravelmente de três anos pra cá.

    Mas cá entre nós, servidores Red Hat Enterprise licenciados em nome de pessoa física é loucura.

    Diego (usuário não registrado) em 22/09/2010 às 11:51 am

    A questão aqui não e a segurança do linux, mas sim a qualidade dos serviços da redhat, se ela não corrigiu o bug antes que o pior acontecesse e melhor a locaweb começar a pensar em uma migração.
    Agora se foi falha da locaweb, ai meu amigo a redhat vai “cagar nela”!
    Simples!

    Locaweb procura no google: “quero contratar o serviço da RedHat”. Google diz: “Experimente também CentOS”. Ela clica, “contrata” o CentOS e acha que contratou a RedHat! hauahuahua

    Lógico que tô zoando, mas que a situação é no mínimo engraçada, isso é.

    Creio que a falha maior tenha sido mesmo da Locaweb, que usou uma versão não estável do produto em questão. Talvez ela tenha tido a necessidade de atualizar para algo mais novo, mas deveria saber que isso poderia trazer consequencias como bugs para o sistema. Não sei no caso das versões estáveis do RH, mas no caso do CentOS as versões estáveis costumam ter somente versões muito antigas de muitas aplicações.

    Uma vez tive um certo trabalho (dois comandos no terminal, o que é muito :-)) para instalar o PHP 5.2 num CentOS, sendo que a versão estável mais recente do PHP era a 5.3 e o CentOS estava com a 5.1 ainda. Coisa como alguns anos de atraso!

    Ok, o interpretador PHP oficial não é a coisa mais segura do mundo, mas deu pra entender :-)

    Isso pq era o servidor de um site/sistema pequeno. Imagina no caso da Locaweb? Vixe. Bem que minha mãe me disse pra ser marceneiro.

    Webmarlin (usuário não registrado) em 22/09/2010 às 12:12 pm

    “Patético, por que uma empresa multimilionária contrataria os serviços da RedHat em nome de uma pessoa física, ao invés do nome da empresa?”

    A Locaweb não é essa potência toda e essa coisa de contratar serviços em nome de uma pessoa física… esse tipo de gestão de negócios tupiniquim, ainda é herança de um país de 3º mundo. Essas características são culturais. O brasileiro costuma montar “empresas” sem uma estrutura sólida, aceita o serviço que vier pela frente sem ter condições de atender, não investe e o que consegue de lucro não reinveste. O modelo de negócios brasileiro é auto-destrutivo. Tal empresário não quer passar a vida inteira ralando para apenas ao final de sua carreira ver que construiu algo sólido e confiável. O mundo dos negócios de hoje exige lucro rápido. Por isso, uma hora ou outra, quando já não cabe mais o “embromation tion”, a gente vê que o lençol é curto e não cobre os pés. Solidez leva tempo, my friend!

    erico (usuário não registrado) em 22/09/2010 às 12:30 pm

    depois do diretor que xinga o time que a empresa patrocina no twitter, perda de gente, como o fabio akitae muitos outros…agora essa, parece que a lo()caweb batou no fundo do poço, fail do ano, o cara faz uma subscrição e reclama porque o seu parque de servidores foi invadido.

    setembro está sendo o mês negro das hospedagens brasileiras, vide o problema do migre.me

    Saci de Patinete em 22/09/2010 às 12:45 pm

    RedHat x Locaweb tá parecendo a versão geek de Dorival Júnior x Neymar.

    Diogo Medeiros (usuário não registrado) em 22/09/2010 às 1:22 pm

    no fim das contas a locaweb falou: não sou cliente mesmo não mas tem um funcionário daqui que é.
    Patético!

    Lucas Timm (usuário não registrado) em 22/09/2010 às 1:36 pm

    @Fábio Luiz (Falcon_Dark)

    Mas o exploit mais comum que explorava essa falha não funcionava no RHEL (aquele Roe _you_suck.c). Nos meus RHEL e CentOS 5.5 (x86_64) nem no CentOS 5.4 (não tenho RHEL 5.4) não funcionaram. Na boa, sei que existe uma falha, mas acho muito estranho ela ter sido explorada da maneira que a Locaweb informou que foi. E se eles estiverem mesmo usando o .26, que _não_é_oficial_do_RHEL_, a Red Hat realmente não pode fazer nada e a resopnsabilidade é inteiramente deles.

    Marco (usuário não registrado) em 22/09/2010 às 2:07 pm

    Vídeo mostra como foi a invasão!

    Vejam que a Red Hat e o suposto exploit não tiveram nada a ver com isso.

    WD (usuário não registrado) em 22/09/2010 às 2:42 pm

    Repetindo: no fim das contas a locaweb falou: não sou cliente mesmo não mas tem um funcionário daqui que é. Patético!

    hahuuhauhahuahuahuahuauhhua :D

    Seria comigo se não fosse sério. Que chato!

    Anderson Freitas (usuário não registrado) em 22/09/2010 às 2:48 pm

    Eles deveriam explicar por que não usaram versões RC do Red Hat e não a versão final.

    Anderson Freitas (usuário não registrado) em 22/09/2010 às 2:48 pm

    Corrigindo…………………………..

    Eles deveriam explicar por usaram versões RC do Red Hat e não a versão final.

    Lucas Timm (usuário não registrado) em 22/09/2010 às 2:49 pm

    Perae… Mas o servidor FTP deles realmente não roda em CHROOT? :S

    André Machado (usuário não registrado) em 22/09/2010 às 2:52 pm

    Este lamentável incidente simplesmente prova que a Lo(u)caWeb não é uma empresa séria e profissional.

    Em primeiríssimo lugar, é inadimissível que uma empresa licencie o principal software que utiliza em nome de seu presidente / fundador / ceo: a licença deve estar em nome da firma, e não da pessoa. Se, amanhã ou depois, o cara sair, as licenças vão com ele e não poderão mais serem usadas pela empresa;

    Em segundo, com tanta distro gratuita que temos por aí (como Debian e CentOS, este último sendo praticamente o mesmo RHEL), eles tinham logo que escolher uma distro paga para passar esse vexame? Pra que usar RH se eles nem devem saber usar direito o suporte da empresa? Era só usar um Debian ou CentOS e contratar uma equipe de suporte própria com profissionais qualificados comm certificação LPI.

    Em terceiro, essa história de “hacker turco” está muito estranha e muito mal contada.

    Em último, gostaria de deixar uma parte de uma matéria no Tecnoblog que diz: “A assessoria de imprensa da Red Hat disse desconhecer o sistema Linux AS 5.0 Red Hat, citado pela equipe de vendas da Locaweb”.

    Sério: palmas para esta empresa.

    André Machado (usuário não registrado) em 22/09/2010 às 3:00 pm

    @sergio

    Pena que os BSDs no Virtualbox ficam todo o tempo dando Segmentation failure…

    André Machado (usuário não registrado) em 22/09/2010 às 3:19 pm

    http://www.securitypronews.com/news/securitynews/spn-45-20060519IskorpitxStrikesAgain.html

    Não é de hoje que esse hacker age e escolhe o Brasil como alvo…

    Isaque (usuário não registrado) em 22/09/2010 às 3:57 pm

    O Sergio está certo. E a melhor distro KDE do Planeta se chama PC-BSD. Instalação de programas mais fácil que o Windows, padronizado, espero que ele cresça muito.

    Wilton lazary (usuário não registrado) em 22/09/2010 às 3:58 pm

    A Locaweb quer mesmo é burlar o contrato pagando uma licença de pessoa física e usar em milhares de servidores, a RH está certa em falar que a Locaweb não é seu cliente.

    magic (usuário não registrado) em 22/09/2010 às 4:12 pm

    Vídeo mostra como foi a invasão!

    Vejam que a Red Hat e o suposto exploit não tiveram nada a ver com isso.

    Cara é serio isto? Sera que eles não conhece o MySecureShell ?!

    Provavelmente o login como usuario ssh deve estar aberto. Foi ai que rodaram o exploit

    Claúdio Soares (usuário não registrado) em 22/09/2010 às 4:19 pm

    Na verdade a Locaweb quer um bode expiatório, para tirar o ônus de cima de si, para não expor a profunda incompetência do seu time de gestores e técnicos para os seus ingênuos clientes. Mas só que foi mexer com uma empresa séria como a Redhat, que possui credibilidade, coisa que a Locaweb não possui e nunca vai possuir. Dessa vez você de seu mal Locaweb. A falência é questão de tempo agora…

Este post é antigo (2010-09-22) e foi arquivado. O envio de novos comentários a este post já expirou.