1. Este site usa cookies. Ao continuar a usar este site está a concordar com o nosso uso de cookies. Saber Mais.

Flaws found in BSD, Linux software updaters

Discussão em 'Novidades GNU/Linux & *nix World' iniciada por skorzen, 16 de Julho de 2008. (Respostas: 20; Visualizações: 1286)

  1. skorzen

    skorzen Power Member

    http://news.zdnet.co.uk/security/0,1000000189,39446765,00.htm

    No entanto, é referido no artigo, o seguinte:
    Penso que este será um motivo para alguma preocupação. O que pensam vocês disto?
     
  2. rpnetwork

    rpnetwork Power Member

    As distros linux aceitam de boa vontade mirror's e esse é o problema.
     
  3. LnxSlck

    LnxSlck Power Member

    O problema não é do Linux em si, mas do utilizador
     
  4. firedrops

    firedrops Power Member

    Não querendo repetir "clichés", a segurança está em grande parte no utilizador.

    Obviamente que se eu me lembrar de distribuir um script que faz coisas "buéda fixes" aqui na Techzone e que, à semelhança de muitos scripts que por aí andam, necessita de direitos de superutilizador, nada me impede de espetar um rm -Rf ~ algures pelo meio e mandar a vossa home "co boda".

    A pergunta que se impõe é porque razão vocês confiariam a mim.
    A pergunta que se impõe também é que dada a natureza closed source da maioria das aplicações associadas a Windows também estas instruções maliciosas podem ser disseminadas nas aplicações sem a hipótese de consultar o código fonte e aferir a sua malignidade, levando à manta de retalhos de segurança que é, entre outros, o UAC do Windows Vista.

    A resposta acaba por ser a mesma, cabe ao utilizador garantir a segurança per si. Ao sistema cabe minimizar o risco.
    Enquanto que em sistemas gnu/linux, posso praticamente garantir que um utilizador sem privilégios não consegue minimamente danificar o meu sistema ao mesmo tempo que usufrui duma user experience praticamente completa, o mesmo não acontece em Windows. Point is, por design de sistema, GNU/Linux é muito mais seguro que Windows.
    Agora dêm priviliégios de superutilizador a torto e a direito e vejam com que velocidade um utilizador incauto deixa o vosso sistema "trashed".

    Mas sim, o artigo levanta a meu ver uma pergunta importante. Confesso que enquanto utilizador de GNU/Linux, não poucas vezes uso scripts pela essa internet fora espalhados, pacotes de repositórios escabrosos, sem me preocupar com o que estou a fazer.

    Acho que fiquei (se calhar mal) habituado a boa fé que reina pelos lados do GNU/Linux. Penso que com uma possível massificação, algum investimento terá que ser feito nos tais repositórios certificados e provavelmente deixarei de confiar no "bom amigo do Zimbabwe que fez um pacote caseiro da última build do CompizFusion e o hospedou no seu repositório pessoal algures nos confins da internet". É pena :rolleyes:
     
    Última edição: 16 de Julho de 2008
  5. PrOdG

    PrOdG Power Member

    Quer dizer que se eu visitar um site que não conheço ou que não confio, fizer o download de um ficheiro de instalação de software e corrê-lo com privilégios de administração posso danificar o meu computador?! NO WAY!!!!111oneonenoe

    Que notícia idiota..
     
  6. APLinhares

    APLinhares OpenSource Moderator
    Staff Member

    mas ainda bem que aparece. Porque ve-se a banalização do "sudo" e de procedimentos como root ... :/
    Claro que já se disse de quem é a culpa :)
     
  7. firedrops

    firedrops Power Member

    Também já tenho pensado nisso. Em distros sudo-ish o utilizador praticamente perde noção de onde acaba o utilizador e começa o superutilizador. Esperemos que isto não chegue ao ponto que é so carregar "OK GIVE ME OMNIPOTENCE" sem sequer introduzir a password.
     
    Última edição: 16 de Julho de 2008
  8. PrOdG

    PrOdG Power Member

    vide posts de PrOdG com comentários à utilização do sudo e do Ubuntu ;)
     
  9. rpnetwork

    rpnetwork Power Member

    oi? os scripts (a maior parte) podem ser editados
    o problema é:
     
  10. slack_guy

    slack_guy Power Member

    Desconheço o critério para a selecção dos gestores de pacotes. No entanto, o Slaktool é tão antigo (leia-se: projecto descontinuado há mais de 7 anos) que sou capaz de apostar que ninguém no mundo o utiliza. Não sei como é que alguém 'lúcido' o pode considerar 'popular'.

    Quanto aos riscos 'em geral'... eles existem.
     
  11. firedrops

    firedrops Power Member

    eu nunca disse o contrário....

    vou dar um exemplo concreto. imagino que distribuo um script para configurar o ADSL da Sapo por USB em Ubuntu.

    os interessados quase de certeza não iriam verificar o conteúdo do script e provavelmente muitos deles nem saberiam interpretar as instruções (tratando-se de um user inexperiente).
     
  12. Nomearod

    Nomearod Power Member

    Exacto...

    Não estamos perante falhas no sistema BSD ou Linux que causam problemas de segurança, mas sim na possibilidade de poder haver problemas caso o utilizador assim o permita.

    Se emprestarem as chaves do carroa desconhecidos também são capazes de ter problemas mais tarde, mas a culpa é vossa ou é do carro?
     
  13. esquiso

    esquiso Power Member

    Por alguma razão é que existem mirrors certificados e listados na página de cada distro. O que o user corre por fora, é a responsabilidade dele :)

    E isto de problema/falha, só se for mental. É a mesma história do "1º trojan para Mac OSX" que, afinal de contas, tinha que se instalar com permissões de root. O maior problema é o PBKAC!
     
  14. CR_

    CR_ Power Member

    O problema mesmo é o que o rpnetwork afirmou:

    (sublinhados e negritos meus)
     
  15. esquiso

    esquiso Power Member

    Também podem forçar a entrada em servidores como o Cesium ou o Darkstar, e fazer umas alterações "engraçadas". Contra a estupidez humana, não há SO que resista ;)
     
  16. Romani48

    Romani48 Power Member

    Hmm o trojan para OSX e 99% dos virus para windows...

    O erro será sempre da parte do utilizador.. mas ai tem que haver uma coisa que vai falhando em muitos lares... educação..

    A falta de bases de conhecimentos sobre algo só aumenta o risco de desenvolver problemas.. é o caso aqui..
     
  17. esquiso

    esquiso Power Member

    Oh oh, estavamos aqui a noite toda a falar de escalonamento de privélegios em Windows, mas como é a secção de GNU/Linux, não o vamos fazer :)

    Por acaso, e desde que o CR_ chamou (e bem) à atenção dos fake mirros oficiais, o problema torna-se mais grave que isso. A estupidez aqui não é do user, mas sim de quem aceita mirrors como oficiais sem verificar convenientemente :)
     
  18. APLinhares

    APLinhares OpenSource Moderator
    Staff Member

    O mal não é aceitar ou deixar de aceitar... Até porque oficialmente, algumas distros tem 1ou 2 mirrors por país. Depois há os mirrors não-oficiais espalhados por todo o lado, e claro, susceptivel a qualquer "brincadeira".
    Mas mesmo havendo a questão dos servidores de keys (e presença de certificados), qualquer um se adiciona e cria um certificado.
    Deveria de facto haver 1 bocadinho mais de controlo...
     
  19. esquiso

    esquiso Power Member

    A partir do momento em que ela entra na listagem oficial de mirrors, é um mal enorme!
     
  20. APLinhares

    APLinhares OpenSource Moderator
    Staff Member

    devia ser todos os mirrors com login :D (e pagos lol :P)

    Agora a sério, é mais fácil (digo eu) controlar as aplicações a instalar que os mirrors right ?
    Tipo um WGA Validation ... ou 1 controlo mais rigoroso sobre os mirrors / certificados de segurança.
     

Partilhar esta Página