Meio Bit » Baú » Segurança » Relatórios de segurança são seguros?

Relatórios de segurança são seguros?

24/01/2008 às 12:17

Bem, falar de segurança em sistemas operacionais é uma coisa muito complexa e arriscada. Primeiro, por que corremos o risco de nos embasarmos em nossos próprios problemas e sermos parciais nas conclusões.

Eu estava escrevendo um artigo sobre segurança de sistemas baseado na “engenharia social” (sabemos que o usuário tem um papel importantíssimo quando o assunto é segurança), entretanto hoje li um artigo muito interessante no IDGNOW com o seguinte titulo:

Red Hat Linux teve mais falhas que Windows em 2007, diz Secunia” (Publicada em 17 de janeiro de 2008 às 18h45)

Ao ler o título, várias interpretações podem surgir, como: “Nossa, o Red Hat Linux é uma droga, teve mais falhas que o Windows”. Ou talvez: “Nossa, a Microsoft é uma maravilha, seu sistema em 2007 foi ótimo, teve menos falhas que o tão falado Linux da Red Hat”. Ou variações dessas frases, porém, no geral a idéia é a mesma.

O interessante é ver como cada “nicho” reage sobre uma afirmação dessas e o imenso impacto que isso causa no mercado.

Entretanto, seguindo o artigo encontramos algumas informações realmente interessantes e, claro, a ausência de muitas outras importantíssimas.

Segundo a Secunia, o Red Hat Linux teve 633 falhas, sendo 629 relacionado a componentes de terceiros. Já o Windows apresentou 123 falhas, sendo 5 relacionadas a componentes de terceiros.

O relatório completo você pode obter aqui.

O mais interessante nesses relatórios é que sempre faltam algumas informações para que possamos dar um “parecer” mais sólido.

Primeiro temos o “Red Hat Linux” exposto como “representante do Linux”, o que é estranho, cadê o SUSE Linux Enterprise da Novell? Olhando rapidamente no site podemos ver que a Secunia também fez a análise desse sistema, e que tipo de falhas? E qual versão do Windows foi usada no teste? Que softwares de terceiros... etc... Quantas muitas perguntas importantes não podem ser respondidas?

Olha que interessantes esses dados da Secunia:

- SUSE Linux (Enterprise Server/Desktop?) 10.1 foi afetado por 139 “Secunia advisories”

- OpenSuSE 10.3 foi afetado apenas por 23 “Secunia advisories”

- Ubuntu Linux 7.10 foi afetado por 37 “Secunia advisories”

- Mandriva Linux 2007 foi afetado por 238 “Secunia advisories” (não tinha sobre o Mandriva 2008)

- Fedora 8 foi afetado por 32 “Secunia advisories”.

E todos os Patches de correção já foram disponibilizados para essas distribuições. Ou seja, em algum momento existia esse problema, e já foram corrigidos. E também não fala quantos % são referentes ao sistema e quantos % são referentes a aplicativos de terceiros.

Outro dado interessante sobre esse relatório é que segundo o a própria Secunia o Red Hat Enterprise Linux 5 Server é afetado por 103 “Secunia advisories” e por 77 “Secunia advisories” em sua versão Desktop Workstation, e ela não diz se foram corrigidos ou não.

E mais interessante ainda, o Microsoft Windows Server 2003 Enterprise Edition, foi afetado por 147 “Secunia advisories” durante o ano de 2007 e ainda é afetado por 11 falhas... Por que isso não foi parar no relatório?

Segundo o relatório esses dados não determinam qual sistema é o mais seguro, há de se analisar também a quantidade de problemas encontrados em aplicativos de terceiros e o tempo de liberação de pacotes de correção, porém não informa esses dados com clareza.

E mais, como em 2007 o Microsoft Windows Server 2003 Enterprise Edition pode ter 147 falhas de segurança, e no “resumo oficial” ter somente 123 falhas, lembrando que no artigo oficial é dito apenas “Windows” o que nos leva a crer que é a soma de todas as versões analisadas durante o período. E como explicar a grande diferença entre os 633 problemas do Red Hat, contra os 32 problemas do Fedora que no fundo é um Red Hat Linux da Comunidade usando a mesma base.

Claro, se analisarmos o SuSE da Novell que teve 139 falhas e o openSUSE (mesma situação do Red Hat e do Fedora) que teve 23 falhas podemos ver que provavelmente são falhas geradas pelos aplicativos adicionais que a versão empresarial inclui e que, ironicamente, em grande parte das vezes são proprietários.

Então como surgiram esses números absurdos?

Simples, meu caro Watson: 5 falhas no PHP, por exemplo, que está empacotado e presente na media da instalação dessas distribuições, são contabilizados como 5 falhas para a distribuição em aplicativos de terceiro, já no Windows não.

Então, caso se instale um php Server no Windows (versão imaginária, já que lá não diz) ele irá possuir essas mesmas vulnerabilidades? etc...

Foram também analisados os outros aplicativos da Microsoft, junto a esses sistemas?

Quantos “ifs” temos que pensar para saber realmente quem teve os maiores índices de segurança?

Custo bruto para fazer uma análise de segurança em diversos sistemas operacionais: Milhares de Dólares. Publicar uma notícia com um título subjetivo: Não tem preço.

Isso me lembra aquela propaganda da Microsoft que diz: “Sucos del vale substitui Linux por Windows em busca de confiabilidade”. Nada como ser genérico quando é conveniente.

Mudando um pouco de assunto, quem se lembra da campanha que visava descobrir “uma falha por dia” no ActiveX, da Microsoft? Segundo os números da Secunia essa campanha deu muito certo, foram encontrados 339 problemas de segurança no ActiveX. O que é uma informação bem relevante, ainda mais se considerarmos que só teve 118 falhas no Windows durante esse período.

Então olhando na mesma página onde esse artigo foi publicado temos as seguintes notícias:

· “Analistas divulgam malware que explora falha crítica no Windows”. (Publicada em 18 de janeiro de 2008 às 11h06 - link)

· “Novo cavalo-de-tróia intercepta transações bancárias online em silêncio”. (Publicada em 15 de janeiro de 2008 às 12h45 - link)

O primeiro apesar de não conter muitas informações vai direto ao ponto logo no subtítulo dizendo: Malware criado para pesquisas explora falha já corrigida no Windows XP e Vista que permite infestações sem interação do usuário.

Voltando um pouco ao assunto sobre a Secunia, e aquelas 11 falhas ainda não corrigidas? E será que ainda existem falhas nas correções?

Obviamente essa observação vale para todos os sistemas operacionais, não só o Windows. Porém, se adicionado o problema das 11 falhas identificado pela Secunia não corrigidas temos um cenário ainda mais complexo de se analisar afinal, basta não ter corrigido alguns problemas como já criaram um malware para uma falha que já deveria está corrigida? E pior, o vírus é realmente maligno, não precisa de interagir com o usuário.

Vamos lá, pensem comigo.... Falhas de segurança, na maioria dos casos não aparecem por causa dos malucos tentando atacar um sistema popular, veja que mesmo o HP-UX que muita gente não conhece não escapa das equipes de segurança. Essas equipes tornam esses “problemas” públicos, e em grande parte das vezes ainda enviam a “solução” para os responsáveis, sendo assim cabe a empresa responsável corrigir o problema e vacinar seus clientes. E é nesse meio período, de quando a falha se tornou publica até o momento da “vacina” que os nerds espinhentos trabalham mais. Ou seja, a demora para surgir uma correção é o principal problema que um sistema operacional pode possuir (no quesito segurança é claro).

Felizmente a Microsoft já corrigiu a falha em sua correção, o que é bom.

No segundo temos uma coisa ainda muito mais seria, um Malware que alcança dados sensíveis antes destes serem criptografados, burlando dois procedimentos bancários de autenticação.

Segundo a Symantec esse cavalo de tróia é de “baixo nível”, o que acho um absurdo, pois burlar um sistema de proteção bancária é muito sério e atinge os seguintes sistemas: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista e Windows XP.

Sim, você leu certo “Windows Vista”, aquele que todos aclamam ser invulnerável felizmente é um trojan que pode ser facilmente removido, porém, é bom a Microsoft liberar uma solução DEFINITIVA logo, pois variações ainda mais complexas desse malware podem surgir.

Então, você usuário que não tem anti nada em seu Windows é bom parar de achar que é o Rambo, pois esse é um bom exemplo de malware muito sofisticado que pode entrar em seu PC através de vulnerabilidades Onlines e principalmente pelas falhas do seu navegador, e uma hora a casa vai cair, veja que novamente não precisamos se quer da interação do usuário.

A computerworld recentemente publicou algumas informações sobre um ataque em massa a servidores web legítimos rodando Apache, muitos em Linux, para instalar malwares nos computadores de usuários de Windows que venham a acessar estes sites. O relatório diz que não foi explorada vulnerabilidades nos servidores para ter este acesso, e sim porque os “malfeitores” tiveram um grande número de senhas de usuários de uma série de provedores de hospedagem, o que ressalva que o problema foi gerado por falhas na política de segurança desses provedores.

Ataques a servidores + malwares que não precisam de interação do usuário + capacidade de burlar a segurança bancaria + usuários Rambos que acreditam que seu sistema é maravilhoso porque a Microsoft disse que é, e alguns relatórios que também “confirmaram” = [Use sua imaginação]

Veja essas tabelas retiradas do PDF que a Secunia disponibilizou.

Veja que, apesar dos números “escandalosos” do Firefox contendo 21 falhas mais que IE, pelo “mini-resumo” vemos que a grande diferença está no tempo de correção, e esse sim é um dado muito importante quando se fala sobre segurança.

E uma coisa que quase ninguém lembra, é que essas são as falhas conhecidas, isso não garante que não existem outras.

Outra coisa importante de se lembrar é que tanto o Red Hat Linux, quanto o Firefox, são OpenSource (tirando é claro as extensões proprietárias que podem existir), é muito mais fácil encontrar um problema desse modo, o que explica também a quantidade de falhas encontradas. Porém, repito, o importante não é só a quantidade de falhas e sim a velocidade das correções.

Tirando isso os únicos problemas de segurança que vão existir em seu computador será os usuários dele e esses em alguns casos não existe Patch que seja capaz de corrigir.

E que independente do sistema que você esteja usando, lembre-se: Segurança nunca é demais!

E sempre que ler um artigo de segurança lembre-se do que eu disse, acima, (que também vale para esse artigo), que é extremamente difícil encontrar um sem certo grau de subjetividade e que é importante evitar tirar conclusões precipitadas por causa de títulos, ou observações feito pelo próprio autor, veja o caso que apresentei onde existia divergência entre "o que se quis dizer" no artigo final sobre o ano de 2007 e "o que se pode inferir" com os dados que eles mesmos disponibilizaram durante o mesmo ano. E que nesse artigo não conclui que Linux ou outro sistema qualquer é, ou não é, mais seguro que o Windows, e sim que muitas notícias internet a fora parecem querer mascarar muitos problemas sérios que existem. Infelizmente, hoje não se fazem mais “vírus” como antigamente, de modo geral, são extremamente sofisticados e perigosos, e podem afetar mesmo os usuários ditos experientes..

relacionados


Comentários