O Futuro é a Liberdade

Discussões sobre Software Livre e Sociedade

Mais um FUD sobre a segurança no Linux

Posted by Paulo em 14/06/2010

Para quem ainda não sabe, FUD é o acrônimo das palavras Fear, Uncertainty e Doubt, ou seja, medo, incerteza e dúvida. Dá-se o acrônimo de FUD a notícias que visam, única e exclusivamente, semear a discórdia. Esse tipo de expediente é frequentemente utilizado por entidades que detém o poder e deseja denegrir a imagem de qualquer possível adversário. Com frequência essas entidades se utilizam de “testas de ferro” para fazer esse serviço, de modo que não são diretamente ligadas ao evento, mas tiram muito proveito dos efeitos que ele provoca. Isso aconteceu, por exemplo, quando a equipe de marketing político do, então candidato, Fernando Collor de Melo, espalhou dossiês e “meias notícias” a respeito das intenções do, também então candidato, Luiz Inácio Lula da Silva. O resultado foi que Collor venceu as eleições e, no dia seguinte, sequestrou todo o dinheiro do país disponível em contas bancárias.

Em 2001, o então presidente dos EUA, George Wilson Bush, se utilizou dessa estratégia para semear o medo entre a nação americana, e vários países do mundo, alegando a guerra contra o terrorismo e a segurança nacional e do mundo ocidental, com o único objetivo de se apropriar das reservas de petróleo do Iraque e, de quebra, colocar tropas americanas em uma área estratégica para os EUA. Oito anos depois, nenhum verdadeiro terrorista foi preso (mas muitos inocentes foram), nenhuma arma química (que supostamente estariam escondidas em fábricas e depósitos no Iraque) foi encontrada e, ninguém sabe com certeza, quem executou o ataque às torres gêmeas do World Trade Center, em Nova York.

Sábado passado, dia 12 de junho, um suspeito jornalista da ZDNet publicou um artigo entitulado “Infecção em Linux prova que o monopólio dos malwares para Linux acabou” (http://www.zdnet.com/blog/bott/linux-infection-proves-windows-malware-monopoly-is-over-gentoo-ships-backdoor-updated/2206). Segundo ele, que buscou “informações” neste outro post (http://www.fewt.com/2010/06/linux-infected.html) de qualidade duvidosa, o código comprometeu um pacote de um software de IRC liberado na distribuição Gentoo Linux. Trata-se de um programa de comunicação pelo IRC (Internet Relay Chat), chamado UnrealIRC e a infecção não foi detectada nos últimos 8 meses, tempo em que o programa esteve comprometido. O software foi infectado da seguinte maneira:

– O site dos desenvolvedores do Unreal IRC foi invadido e o pacote de instalação do programa foi substituído por um com o malware. Isso alterava o hash do arquivo.
– Quem baixava o pacote e o instalava, permitia inadvertidamente o acesso com privilégios do usuário à máquina. isso permitiria a execução de alguns programas.
– Os desenvolvedores admitiram o fato e postaram um “mea culpa” no site, pedindo que os usuários mantivessem a confiança no software.

Vamos analisar essas informações por partes:

1 – O site dos desenvolvedores foi invadido. Que tipo de site de desenvolvedores é esse que é invadido tão facilmente? Bem, isso não foi explicado, mas a declaração pode dar pistas (http://forums.unrealircd.com/viewtopic.php?f=1&t=6562):

Again, I would like to apologize about this security breach.
We simply did not notice, but should have. We did not check the files on all mirrors regularly, but should have. We did not sign releases through PGP/GPG, but should have done so.

Traduzindo:

Mais uma vez, gostaríamos de nos desculpar por essa falha de segurança. Nós simplesmente não notamos, mas deveríamos ter notado. Nós não verificamos os arquivos em todos os servidores espelho com regularidade, mas deveríamos ter verificado. Nós não assinamos as versões através de chaves criptografadas PGP/GPG, mas deveríamos ter assinado.

Pessoalmente, eles deveriam verificar também a quantas anda a segurança dos servidores, mas isso é “achismo”.

– O pacote foi substituído por outro com malware, ou seja, o hash do arquivo, uma verificação utilizada para garantir a sua integridade, foi alterada. isso significa que uma simples verificação do hash do arquivo seria suficiente para gerar alertas. Mas, aparentemente, ou os usuários não verificaram o hash, ou o número de downloads do programa foi irrelevante.

– Quem instalou o arquivo sem verificar o hash, ganhou de brinde um malware que permitia o acesso remoto e a execução de programas pelo invasor com privilégios do usuário corrente. Isso implica em que não afetava os outros usuários e muito menos o sistema, a menos que outros usuários tivessem utilizado o mesmo programa ou, que o programa fosse utilizado como root (usuário administrador do sistema).

– A solução para o problema foi instalar uma atualização do programa que removia o malware. Isso significa que o dito cujo não tinha características de vírus, ou seja, não se replicava, nem contaminava outros arquivos, mas apenas afetava o programa em questão, embora, teoricamente fosse possível para o invasor colocar manualmente outros scripts no sistema.

– O assunto foi tratado pelos “divulgadores” como uma falha de segurança terrível do Linux e estão tentando colocá-lo no mesmo patamar de insegurança do Microsoft Windows dizendo que “o Linux é tão, ou mais, inseguro que o Windows.” Isso é um absurdo tão grande quando dizer que a água de um rio é tão, ou mais, salgada do que a do mar, simplesmente porque jogaram um pacote de sal nele.

Então vamos fazer um balanço:

1 – O malware não explorou nenhuma falha do Linux em si. O que foi explorado foi a negligência, tanto dos administradores do site de dos desenvolvedores do programa, quanto dos usuários que instalaram o programa sem checar o hash do arquivo.

2 – O arquivo estava disponível para download no site e nos repositórios da distribuição Gentoo, mas vejamos o seguinte: segundo a Netcraft (http://news.netcraft.com/archives/2004/07/12/slight_linux_market_share_loss_for_red_hat.html), o Gentoo possui cerca de 1% de fatia de mercado do Linux, não especificando se essa fatia é de servidores ou desktops. Supondo, erroneamente, que fosse de desktops, isso significaria uma fatia de cerca de 0,2% do mercado de sistemas operacionais para desktops. Dessa totalidade de sistemas Gentoo, podemos imaginar que a quantidade de usuários desse programa seja ínfima. Como também é ínfima a abrangência dessa “ameaça”.

3 – Os administradores do site não utilizavam nenhum tipo de chave criptografada para garantir a segurança dos usuários. Tampouco checavam os repositórios para garantir que os arquivos estavam íntegros.

É bom lembrar que pacotes disponíveis em distribuições como Ubuntu, Fedora e Mandriva, utilizam esses dispositivos de segurança.

Muito bem, temos então um programa inexpressivo, mantido em sites com segurança negligenciada, oferecido para download e instalação manual, além da instalação através de pacotes de uma distribuição também inexpressiva, do ponto de vista da participação do mercado (peço, encarecidamente, aos usuários do Gentoo e derivados que não levem isso para o lado pessoal. O Gentoo é uma bela distribuição, tradicional e muito conceituada). Temos um alarde feito por pessoas cujos interesses não estão claros, mas que tentam divulgar uma informação de forma distorcida, sendo que a única entidade a se beneficiar dessa confusão chama-se Microsoft.

Cada um que forme sua opinião. A minha já está bem clara.

Anúncios

3 Respostas to “Mais um FUD sobre a segurança no Linux”

  1. eu quero saber sobre a segurança no linux

    • stellarium said

      Após remover do comentário as partes em que esse indivíduo abusa da minha boa vontade e inteligência, vou responder à pergunta com a decência que ele não teve:
      Sobre segurança no Linux, sugiro que você faça a seguinte pesquisa no Google: segurança no Linux. Tenho certeza de que você vai encontrar muito material.
      Você sabe usar o Google, né?

  2. lw4z said

    É por isso q uso linux… adoro essas histórinhas… hehehe

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

 
%d blogueiros gostam disto: