Meio Bit » Baú » Segurança » Linux quebra o monopólio das Falhas de Segurança de Gente Grande

Linux quebra o monopólio das Falhas de Segurança de Gente Grande

15/06/2010 às 13:58

Uma das lendas mais comuns espalhadas pela "cumunidade" é que não há falhas de segurança para Linux. Só perde para a autoilusão dos que afirmam que com o controle de privilégios qualquer invasor só pode executar código com os direitos do usuário local, o que seria verdade se bugs de Escalação de Privilégios não fossem mais que conhecidos.

Outra lenda é que o open source acabaria com os bugs de segurança pois o código sendo aberto seria auditado por muita gente e com muitos olhos, todos os bugs são rasos, é a chamada Lei de Linus.

Deviam ter dito isso pro sujeito que hackeou o Unreal, popular servidor de IRC no Linux. O servidor foi invadido, o código-fonte alterado e um cavalo de tróia inserido nas entranhas do programa. Repositórios pelo mundo replicaram o Unreal3.2.8.1.tar.gz, incontáveis servidores foram pwnados.

Como? MD5? Nas palavras do desenvolvedor do Unreal, quase ninguém roda um checksum, lamento. Para piorar, só a versão Linux foi contaminada, a Windows não foi afetada.

A cereja (podre) do bolo (estragado)? O arquivo estava contaminado desde NOVEMBRO DO ANO PASSADO.

Por SEIS MESES distribuiram um programa invadido, alterado, deturpado e modificado, sem que NIGUÉM percebesse, nem os desenvolvedores, nem os usuários, que deveriam examinar o código-fonte à procura de bugs, afinal adoram se gabar dessa possibilidade.

Quer mais?

O Gentoo, uma das distros Linux mais respeitadas e menos hypadas, estava distribuindo o arquivo contaminado.

Alguns alegam que a alternativa seria utilizar o modelo Windows, com arquivos de instalação assinados digitalmente. Faz um pouco de sentido, mas quando a falha de segurança chega até o código-fonte, fica complicado. A assinatura seria gerada em cima do arquivo adulterado.

No caso são DOIS passos necessários:

1 - Assinatura digital no próprio arquivo

2 - Ambiente de desenvolvimento ISOLADO da Internet. Do contrário ao invés de hackear o servidor de distribuição o sujeito hackeia o de desenvolvimento e dá no mesmo.

O principal é a "cumunidade" parar com a atitude arrogante de "sou invencível". Nos comentários isso fica bem claro com o assunto polarizado em duas vertentes: Os que foram invadidos e estão FULOS DA VIDA e os que não foram e insistem em minimizar o caso com os argumentos de sempre e a cegueira eterna, já que nem vendo gente relatando invasões admitem que há um problema.

Fonte: ZDNET.

Leia mais sobre: , , .

relacionados


Comentários