Flaws found in BSD, Linux software updaters

skorzen

Power Member
The software update mechanisms used by most BSD and Linux operating systems can be tricked into installing buggy or known-to-be-compromised software on users' systems, creating serious security risks, according to new research.

http://news.zdnet.co.uk/security/0,1000000189,39446765,00.htm

No entanto, é referido no artigo, o seguinte:
Administrators can protect their systems in the short term by using trusted repositories, manually updating systems, using signed repository metadata and using the secure HTTPS protocol for communications with mirrors, the study said.

Penso que este será um motivo para alguma preocupação. O que pensam vocês disto?
 
Não querendo repetir "clichés", a segurança está em grande parte no utilizador.

Obviamente que se eu me lembrar de distribuir um script que faz coisas "buéda fixes" aqui na Techzone e que, à semelhança de muitos scripts que por aí andam, necessita de direitos de superutilizador, nada me impede de espetar um rm -Rf ~ algures pelo meio e mandar a vossa home "co boda".

A pergunta que se impõe é porque razão vocês confiariam a mim.
A pergunta que se impõe também é que dada a natureza closed source da maioria das aplicações associadas a Windows também estas instruções maliciosas podem ser disseminadas nas aplicações sem a hipótese de consultar o código fonte e aferir a sua malignidade, levando à manta de retalhos de segurança que é, entre outros, o UAC do Windows Vista.

A resposta acaba por ser a mesma, cabe ao utilizador garantir a segurança per si. Ao sistema cabe minimizar o risco.
Enquanto que em sistemas gnu/linux, posso praticamente garantir que um utilizador sem privilégios não consegue minimamente danificar o meu sistema ao mesmo tempo que usufrui duma user experience praticamente completa, o mesmo não acontece em Windows. Point is, por design de sistema, GNU/Linux é muito mais seguro que Windows.
Agora dêm priviliégios de superutilizador a torto e a direito e vejam com que velocidade um utilizador incauto deixa o vosso sistema "trashed".

Mas sim, o artigo levanta a meu ver uma pergunta importante. Confesso que enquanto utilizador de GNU/Linux, não poucas vezes uso scripts pela essa internet fora espalhados, pacotes de repositórios escabrosos, sem me preocupar com o que estou a fazer.

Acho que fiquei (se calhar mal) habituado a boa fé que reina pelos lados do GNU/Linux. Penso que com uma possível massificação, algum investimento terá que ser feito nos tais repositórios certificados e provavelmente deixarei de confiar no "bom amigo do Zimbabwe que fez um pacote caseiro da última build do CompizFusion e o hospedou no seu repositório pessoal algures nos confins da internet". É pena :rolleyes:
 
Última edição:
Quer dizer que se eu visitar um site que não conheço ou que não confio, fizer o download de um ficheiro de instalação de software e corrê-lo com privilégios de administração posso danificar o meu computador?! NO WAY!!!!111oneonenoe

Que notícia idiota..
 
Quer dizer que se eu visitar um site que não conheço ou que não confio, fizer o download de um ficheiro de instalação de software e corrê-lo com privilégios de administração posso danificar o meu computador?! NO WAY!!!!111oneonenoe

Que notícia idiota..
mas ainda bem que aparece. Porque ve-se a banalização do "sudo" e de procedimentos como root ... :/
Claro que já se disse de quem é a culpa :)
 
mas ainda bem que aparece. Porque ve-se a banalização do "sudo" e de procedimentos como root ... :/
Claro que já se disse de quem é a culpa :)

Também já tenho pensado nisso. Em distros sudo-ish o utilizador praticamente perde noção de onde acaba o utilizador e começa o superutilizador. Esperemos que isto não chegue ao ponto que é so carregar "OK GIVE ME OMNIPOTENCE" sem sequer introduzir a password.
 
Última edição:
Obviamente que se eu me lembrar de distribuir um script que faz coisas "buéda fixes" aqui na Techzone e que, à semelhança de muitos scripts que por aí andam, necessita de direitos de superutilizador, nada me impede de espetar um rm -Rf ~ algures pelo meio e mandar a vossa home "co boda".
oi? os scripts (a maior parte) podem ser editados
o problema é:
The researchers found that it was not a problem to set up a malicious mirror. They created a fake administrator and company name and leased a server from a hosting provider, and were able to get the fake mirror listed officially by the distributions Ubuntu, Fedora, OpenSuse, CentOS and Debian.
 
The packages analysed in the study were APT, APT-RPM, Pacman, Portage, Ports, Slaktool, Stork, Urpmi, Yast and YUM.
(...)
"We examined 10 popular package managers for Linux and BSD systems and found vulnerabilities in all of them."
Desconheço o critério para a selecção dos gestores de pacotes. No entanto, o Slaktool é tão antigo (leia-se: projecto descontinuado há mais de 7 anos) que sou capaz de apostar que ninguém no mundo o utiliza. Não sei como é que alguém 'lúcido' o pode considerar 'popular'.

Quanto aos riscos 'em geral'... eles existem.
 
oi? os scripts (a maior parte) podem ser editados

eu nunca disse o contrário....

vou dar um exemplo concreto. imagino que distribuo um script para configurar o ADSL da Sapo por USB em Ubuntu.

os interessados quase de certeza não iriam verificar o conteúdo do script e provavelmente muitos deles nem saberiam interpretar as instruções (tratando-se de um user inexperiente).
 
Quer dizer que se eu visitar um site que não conheço ou que não confio, fizer o download de um ficheiro de instalação de software e corrê-lo com privilégios de administração posso danificar o meu computador?! NO WAY!!!!111oneonenoe

Que notícia idiota..

Exacto...

Não estamos perante falhas no sistema BSD ou Linux que causam problemas de segurança, mas sim na possibilidade de poder haver problemas caso o utilizador assim o permita.

Se emprestarem as chaves do carroa desconhecidos também são capazes de ter problemas mais tarde, mas a culpa é vossa ou é do carro?
 
Por alguma razão é que existem mirrors certificados e listados na página de cada distro. O que o user corre por fora, é a responsabilidade dele :)

E isto de problema/falha, só se for mental. É a mesma história do "1º trojan para Mac OSX" que, afinal de contas, tinha que se instalar com permissões de root. O maior problema é o PBKAC!
 
Por alguma razão é que existem mirrors certificados e listados na página de cada distro. O que o user corre por fora, é a responsabilidade dele :)

E isto de problema/falha, só se for mental. É a mesma história do "1º trojan para Mac OSX" que, afinal de contas, tinha que se instalar com permissões de root. O maior problema é o PBKAC!

O problema mesmo é o que o rpnetwork afirmou:

oi? os scripts (a maior parte) podem ser editados
o problema é:

The researchers found that it was not a problem to set up a malicious mirror. They created a fake administrator and company name and leased a server from a hosting provider, and were able to get the fake mirror listed officially by the distributions Ubuntu, Fedora, OpenSuse, CentOS and Debian.
(sublinhados e negritos meus)
 
Por alguma razão é que existem mirrors certificados e listados na página de cada distro. O que o user corre por fora, é a responsabilidade dele :)

E isto de problema/falha, só se for mental. É a mesma história do "1º trojan para Mac OSX" que, afinal de contas, tinha que se instalar com permissões de root. O maior problema é o PBKAC!

Hmm o trojan para OSX e 99% dos virus para windows...

O erro será sempre da parte do utilizador.. mas ai tem que haver uma coisa que vai falhando em muitos lares... educação..

A falta de bases de conhecimentos sobre algo só aumenta o risco de desenvolver problemas.. é o caso aqui..
 
Hmm o trojan para OSX e 99% dos virus para windows...

O erro será sempre da parte do utilizador.. mas ai tem que haver uma coisa que vai falhando em muitos lares... educação..

A falta de bases de conhecimentos sobre algo só aumenta o risco de desenvolver problemas.. é o caso aqui..

Oh oh, estavamos aqui a noite toda a falar de escalonamento de privélegios em Windows, mas como é a secção de GNU/Linux, não o vamos fazer :)

Por acaso, e desde que o CR_ chamou (e bem) à atenção dos fake mirros oficiais, o problema torna-se mais grave que isso. A estupidez aqui não é do user, mas sim de quem aceita mirrors como oficiais sem verificar convenientemente :)
 
O mal não é aceitar ou deixar de aceitar... Até porque oficialmente, algumas distros tem 1ou 2 mirrors por país. Depois há os mirrors não-oficiais espalhados por todo o lado, e claro, susceptivel a qualquer "brincadeira".
Mas mesmo havendo a questão dos servidores de keys (e presença de certificados), qualquer um se adiciona e cria um certificado.
Deveria de facto haver 1 bocadinho mais de controlo...
 
O mal não é aceitar ou deixar de aceitar... Até porque oficialmente, algumas distros tem 1ou 2 mirrors por país. Depois há os mirrors não-oficiais espalhados por todo o lado, e claro, susceptivel a qualquer "brincadeira".
Mas mesmo havendo a questão dos servidores de keys (e presença de certificados), qualquer um se adiciona e cria um certificado.
Deveria de facto haver 1 bocadinho mais de controlo...

A partir do momento em que ela entra na listagem oficial de mirrors, é um mal enorme!
 
devia ser todos os mirrors com login :D (e pagos lol :P)

Agora a sério, é mais fácil (digo eu) controlar as aplicações a instalar que os mirrors right ?
Tipo um WGA Validation ... ou 1 controlo mais rigoroso sobre os mirrors / certificados de segurança.
 
Back
Topo