Meio Bit » Baú » Segurança » Como testar a segurança do jeito errado

Como testar a segurança do jeito errado

07/03/2006 às 9:51

Um velho ditado chinês que eu inventei agora já dizia: nada pode ser pior para um sistema operacional que a ignorância do seu operador. Nas palavras do Kevin Mitnick: o ponto fraco de qualquer sistema é o homem que o opera. Isto aconteceu com o MacOS X, mas poderia ser com qualquer outro sistema operacional existente...

Um usuário de Macs da Suécia setou seu Mac Mini com a versão mais recente do MacOS X 10.4.5, Apache Web Server, PHP e MySQL, aplicou todos os patchs de segurança recomendados para o software e criou uma página onde desafiava usuários a ganhar acesso root ao sistema, no pacote o destemido cracker receberia um acesso SSH (Secure Shell). Trinta minutos depois a máquina já estava invadida. O invasor, auto-identificado para o site australiano ZDNet como "gwerdna", levou apenas 30 minutos para conseguir acesso root à máquina e passou diversas horas brincando, reconfigurando e passeando por seus arquivos. Após quase 6 horas divertindo-se pelo Mac ele finalmente fez o defacement da home page que lançava o desafio.

Na página modificada ele afirmou: "Que droga. Seis horas depois e este pequeno Mac foi dominado e teve sua página modificada". Em entrevista para o site australiano "gwerdna" foi além afirmando que "O MacOS X é fácil de ser invadido por bons caçadores de bugs. Dito isso, ele não tem a penetração de mercado para interessar realmente para os mais sérios caçadores de bugs".

Em Janeiro o especialista em segurança Neil Archibald, que já encontrou várias vulnerabilidades no MacOS X, afirmou que muitas delas podem ser exploradas por atacentes que desejam apoderar-se de máquinas Mac. "A única coisa que manteve o MacOS X relativamente seguro até agora é que sua participação no mercado [de servidores] é bem menor que a do Windows e de plataformas UNIX mais comuns... Se a situação fosse diferente, em minha opinião, as coisas poderiam ser bem piores para o MacOS X do que são para os outros sistemas operacionais".

Agora você sabe como não deve testar a segurança de seus sistemas.

relacionados


Comentários