Ubuntu vence concurso de segurança

I

InforMed

Power Member
"Ubuntu vence concurso de segurança
Num concurso de segurança no Canadá, um computador com o sistema operativo Ubuntu foi o único que conseguiu resistir aos ataques de hackers.

O Ubuntu 7.10 foi o único sistema operativo que não foi “quebrado” ao longo dos três dias da competição realizada no Canadá. Vários especialistas de segurança informática tentaram ao longo de três dias descobrir falhas no Leopard, Vista e Ubuntu.

Como noticiado aqui, um MacBook Air, com o Leopard OS X 10.5.2 instalado, foi o primeiro a “cair” nas mãos dos especialistas de segurança que participaram no concurso que se realizou em paralelo com a conferência CanSecWest.

No dia seguinte, uma falha no Adobe Flash permitiu a Shane Macaulay explorar o Windows Vista Ultimate SP1. O hacker levou para casa um prémio de cinco mil dólares (cerca 3750 euros) e o portátil Fujitsu onde o Vista estava instalado."

in Exame Informática Online

http://exameinformatica.clix.pt/noticias/software/996829.html
 
Normalmente nesses concursos Linux destaca-se sempre... ;)

Já á uns tempos houve um concurso para invadir um server e foi um gajo com um portátil que conseguiu invadir...O pessoal que tava com w1ndºws não teve sorte nenhuma!

Cumps,
Morphine0225
 
Congratulations to Shane Macaulay from Security Objectives - he has just won the Fujitsu U810 laptop running Vista Ultimate SP1 after it was installed with the latest version of Adobe Flash. Not only is he the official winner of the Fujitsu laptop, but also $5,000 from us. Shane received some assistance from his friends Derek Callaway (also from Security Objectives) and Alexander Sotirov.
Clicar para expandir...

The new Adobe Flash 0day vulnerability that Shane exploited has been acquired by the Zero Day Initiative, and has been responsibly disclosed to Adobe who is now working on the issue. Until Adobe releases a patch for this issue, neither we nor the contestants will be giving out any additional information about the vulnerability.
Clicar para expandir...

A Microsoft comprou a Adobe? Não? Então porque é a Microsoft responsável pela vulnerabilidade, se fosse, seria ela a corrigir o problema.
Acho estranho, pois segundo dizem só foi o Windows porque não há interesse em ser Linux, pois é provável o exploit ser bem sucedido correr nos 3.
É esta avaliação que faço, com a info que tenho.


Although several attendees tried to crack the Linux box, nobody could pull it off, said Terri Forslof, a manager of security response with TippingPoint. "I was surprised that it didn't go," she said.

Some of the show's 400 attendees had found bugs in the Linux operating system, she said, but many of them didn't want to put the work into developing the exploit code that would be required to win the contest.
Clicar para expandir...

@
 
A minha questão é a seguinte.. O sistema operativo Ubuntu não terá sido o unico a resistir aos ataques por ser o "menos utilizado" digo eu.. e consequentemente o com menos falhas reconhecidas por parte destes hackers/especialistas de segurança informática .. ?!

Isto poderá fazer algum sentido?
 
A Microsoft comprou a Adobe? Não? Então porque é a Microsoft responsável pela vulnerabilidade, se fosse, seria ela a corrigir o problema.
Clicar para expandir...
Não conheço as formas utilizadas nem os resultados de tal concurso.
Mas deixa-me que te diga que para uma aplicação como o Adobe Flash 'estoirar' de tal forma que ganhas privilégios de administrador é porque o SO tem algum 'problema'. Ainda há pouco tempo se falou disso acerca de um bug no Kernel do Linux.

Se as aplicações têm bugs, a responsabilidade é de quem as fabrica. Mas se esses bugs dão origem a falhas na segurança do sistema operativo, o problema é mais 'profundo'.
 
Opah acho q isso q disses te nao faz mt sentido mas quem sou eu para " julgar " opah penso q foram testes feitos e c pessoas presentes a verificar, vem publicado numa revista, o ubuntu começa a ser das distros mais utilizadas se nao a mais...
Na minha opiniao adqua se a imensos utilizadores, esses testes devem ter sido feitos a varios sistemas operativos, qt a segurança n sei, pq infelizmente n percebo mt disso.
Mas fico satisfeito por esta noticia so vem realçar mais uma x o " poderoso " ubuntu :)
Eu uso o 8.04 estou a espera da versao final, espero q a segurança seja a mm...
Com esta noticia vai crescer imenso os utilizadores d ubuntu, q ja nao sao poucos.
 
Ouvi agora mesmo na rádio sobre este concurso e que a apple tinha sido a 1ª a falhar em segurança.

só nao falou foi da quebra na segurança no windows, pk a microsoft lhes deve ter pago.

Ao menos podiam ter falado no ubuntu ou Linux que se aguentou até ao fim (segundo ja ouvi aqui falar). Já estou mesmo a ver que quem nao paga nao direito aparecer nas noticias (pelo lado positivo).

Acho que se fosse a microsoft a ganhar passaria muitas vezes nas noticias.

Nota: nao tenho nada contra esta empresa nem a quem usa os produtos desta.
 
Última edição:
JTorres disse:
Ouvi agora mesmo na rádio sobre este concurso e que a apple tinha sido a 1ª a falhar em segurança.

só nao falou foi da quebra na segurança no windows, pk a microsoft lhes deve ter pago.

Ao menos podiam ter falado no ubuntu ou Linux que se aguentou até ao fim (segundo ja ouvi aqui falar). Já estou mesmo a ver que quem nao paga nao direito aparecer nas noticias (pelo lado positivo).

Acho que se fosse a microsoft a ganhar passaria muitas vezes nas noticias.

Nota: nao tenho nada contra esta empresa nem a quem usa os produtos desta.
Clicar para expandir...

Não tens mais nada em que pensar pois não?
Se a Microsoft pagasse era para ter ficado em 1º, ainda por cima a Microsoft é patrocinadora da CanSecWest, que lançou este mesmo contest.

Quanto ao contest, pronto, não à nada a dizer mais, Ubuntu FTW, só acho que os OS's deviam ser instalados out-of-box e assim postos à prova, sem programas adicionais, para as responsabilidades, como aconteceu, não serem para outras empresas, neste caso a Adobe.
Para tudo ser mais justo as regras deveriam de ser outras, porque instalar um software que não faz parte do pacote do OS, que vem por ActiveX da net, que requer Admin Rights, bom.. acho é demais, e qualquer administrador sabe a responsabilidade desse disso.
Entretanto o slack_guy got a good point e era o que devia acontecer.
 
Em relação às dúvidas só digo uma coisa: Não me acredito que alguém soubesse como invadir o e não o tivesse feito! 5000 dólares dão jeito a qualquer um
 
Noticia em inglês, mais completa

Ubuntu machine uncracked in Pwn to Own contest
By Bruce Byfield on March 31, 2008 (5:00:00 PM)

Share Print Comments

At this year's CanSecWest conference, would-be crackers could try their skills on three separate laptops: One running OS X, one running Ubuntu, and one running Vista. At the end of the three-day security conference in Vancouver, Canada, last week, both the Mac OS X Leopard and Vista machines had been cracked, leaving only the Ubuntu box uncompromised.

Sponsored by TippingPoint's Digital Vaccine Laboratories as part of their Zero Day Initiative program for discovering and reporting new bugs, the contest was announced several weeks ago, with clearer rules and increased cash prizes announced just two days before the conference.

Participants had their choice of attacking any of three laptops: a VAIO VGN-TZ37CN running Ubuntu 7.10, a Fujitsu UB810 running Vista Ultimate Service Patch 1, and MacBook Air running OS X 10.5.2. Each operating system was the latest version, and was patched with the latest security updates available.

During the three days of CanSecWest, would-be crackers could sign up to receive a random 30-minute time slot to attempt their exploit. To avoid confusion, only one effort was allowed at a given time. To win, contestants had to use a zero-day attack -- that is, one made through a previously unknown vulnerability -- to read a specific file on the laptop. The first to crack each laptop would receive the laptop and a cash prize.

To add tactical interest to the challenge, the rules progressively made exploits easier -- the cash prize progressively smaller. On the first day of the conference, only remote vulnerabilities that did not require any user interaction were permitted, and winners would receive $20,000. On the second day, attacks could also be made via any applications, and could include phishing attacks in which users followed a link through email, instant messaging, or Web browsing, but the prize was reduced to $10,000. Finally, on the third day, popular third-party applications would be added to each machine that could be used in an attack, and the prize became $5,000. This arrangement encouraged contestants to focus on the most potentially serious vulnerabilities first.

As each machine was cracked, it would be removed from the competition. Winners could turn their attention to the remaining machines, but could not use a cross-platform vulnerability on more than one machine.
The successes

The first success came shortly after noon on the second day of the conference, when a team from Independent Security Evaluators consisting of Charlie Miller, Jake Honoroff, and Mark Daniel used a vulnerability in the Safari Web browser to compromise the MacBook Air and win $10,000.

The second victory was claimed just before the end of CanSecWest at 6 p.m. on the third day when Shane Macaulay of Security Objectives, with help from Derek Callaway and Alexander Sotirov. Macaulay, who was also on the team that won last year's competition, used a defect in Adobe Flash to claim the Vista laptop and $5,000.

Shortly after Macaulay's success, the conference ended, leaving the Ubuntu machine the only one uncracked.

More details about the techniques used are unavailable, because each winner is required to sign a non-disclosure agreement and is limited in what he can say until the vulnerability is patched.
The winner's approach and motivation

Macaulay was unavailable for comment during or after the conference. However, Miller spoke to Linux.com at about the time that Macaulay was attempting his successful exploit.

"On TV and stuff, the hackers sit down and they break into systems in seconds," Miller says. "But in real life what happens is that they announced this contest a month ago, and me and my team of security guys made a conscious decision that we wanted to enter the contest.

"We decided that we would try the Mac, just because it was the easiest target. We've sort of looked at all these guys in the past, and every time we look at the Mac, we find something. When we've look at the other systems, we've usually not been so lucky. So we figured we go with what we've found easiest in the past."

According to Miller, for all the attention that the contest received, the reality is that only a few contestants actually took the challenge. "You don't enter the competition unless you basically have something," Miller says. "All the people like us who decided three weeks ago to enter, if they didn't find a weak point, they didn't enter, so you don't get a sense of how many people tried and failed. All you know is the people who think they could do it."

Miller's says that his motivations for entering Pwn to Own was a mixture of the challenge and the chance to help security. "I like to compete," he says, "and I don't get much of a chance to do so. Also, of course, we have skills that help make things more secure, and here is an opportunity for us to use those skills in a positive manner. If it hadn't been for the competition, we wouldn't have looked for bugs, and this bug wouldn't have got fixed."
What do the results mean?

Considering the intense loyalty some users have to their operating systems, the CanSecWest competition results are obvious fuel for flame wars. "Linux is king!" proclaimed one post on the Fedora list while I was writing this article, and other cheerleaders and excuse-makers are starting to post on blogs across the Internet.

Mac OS X and Vista supporters will no doubt try to claim that the Ubuntu system remained uncracked simply because fewer people are familiar with it. In turn, GNU/Linux users insist that the contest shows what they knew all along -- that their operating system of choice is architecturally more secure.

However, neither conclusion seems completely justified, especially from such a small sample of evidence. A simpler explanation may be that Ubuntu 7.10 was released six months ago, and so, presumably, has been extensively tested and patched. By contrast, OS X 10.5.2 and Vista's Service Patch 1 were both released only six weeks ago, so their vulnerabilities have had less time to come to light.

Possibly, too, for those who implement security, the operating system victory is less important than the fact that phishing and third-party applications were the keys to success, rather than general system vulnerabilities.

Despite the temptation to see patterns, the contest remains too small a sample from which to draw any conclusions. What matters is not just that the contest succeeded in pinpointing a couple of bugs, but that it succeeded in focusing people's attention on security -- which was, after all, the subject of the conference.
Bruce Byfield is a computer journalist who writes regularly for Linux.com and IT Manager's Journal.
Clicar para expandir...

@link
 
Pessoal mas afinal, uma pergunta simples, é mais seguro o ubuntu ( linux ), ou qq outro sistema operativo da microsoft... Vista, xp etc
 
Por favor, não comecem esta discussão.
A thread é para comentar o facto do Ubuntu ter ganho o concurso de segurança, não para criar mais uma (já de si) infértil discussão Windows vs Linux vs Apple vs BSD vs whatever.

Aviso dado.
 
Também há que ter em conta o factor nome!

É óbvio que num concurso onde se quer invadir algo ataca-se logo os grandes... daí que pense que se calhar o Ubuntu foi deixado assim um pouco de lado... digo eu...
 
A única coisa aqui em causa é que o Ubuntu, apesar de ser uma distro já com alguns facilitismos que podem (...) ser - eles próprios - falhas de segurança, é desses "participantes" no teste o mais fiel a um princípio que efectivamente o torna muito menos vulnerável.

Não é, portanto, relevante se algum outro SO poderia eventualmente ter tido ainda melhor performance. Ainda que, provavelmente, pudesse acontecer.

O que isto prova realmente é que (e eles só puseram sistemas user-friendly para poder tocar na sensibilidade das pessoas com menos conhecimento na matéria) se pode ter um sistema muito fácil de usar com "segurança à prova de bala". E isso é muito importante porque desperta o interesse das pessoas em ter sem pagar antivírus (nem quase nada, posto que o Ubuntu é um SO livre, gratuito e muito completo) e cenas do género os seus dados, e o funcionamento da máquina, muito seguros.
 
Eu só aceito testes se fossem feitos assim:

Entregavam um fresh instal de cada um, sem nada mais.. e testavam

E depois entregavam tipo durantes uma mes ou ano, a pessoas "normais" para um uso diario em que tivessem de instalar as mesmas coisas (com as devidas diferenças) para uso pessoal, aqueles programas que muita gente instala..

Depois testavam-nos novamente nesse estado, já de uso..

Porque considero o seguinte:

- eu uso o Mandriva Linux 2008.1, Vista Ultimate e Xp pro.. Gosto de todos e todos são bons. Mas venha quem vier, tem de se medir, tanto a facilidade de uso, como a percentagem de uso global, bem como então a segurança!
Pois, um linux é seguro porque pouca gente "normal" o uso, e só uma minoria de mais experts ou entusiastas da informatica o usam..
Basta ver que um considerado uma maravilha, mal começou a ter mais um pouco de espaço no mercado, o MacOx, apareceram logo uns virus.
e neste caso afinal foi o pior.. Depois o vista foi atacado devido a uma falha de uma empresa que não a microsoft.. Se lá não estivesse o adobe não o teria sido devido àquela falha..

Mas acho piada cairem logo em cima da microsoft, lol, é demais,..
 
sou só eu que acho que o Vista foi bastante robusto tendo em conta que se aguentou tanto tempo e só foi "vergado" com uma aplicação externa? fiquei surpreendido. não estou a ser apologista da Microsoft mas .....fica no ar :)
 
Quem achar que o teste não é justo, está mt enganado, pois todos tiveram o mesmo tempo (o ubuntu até teve mais, pk ficou sozinho no final, por pouco tempo mas ficou).
Quanto ao facto de as pessoas estarem menos familiarizados com o ubuntu tb é um pensamento errado, pois as pessoas que testaram neste concurso, eram de topo e certamente estavam familiarizadas com ele (provavelmente até é o de uso diario).
O facto de ser o programa da adobe abrir uma fissura na segurança do windows tb n é desculpa, pois o SO é k devia estar prevenido para este problema, ou seja de facto há uma falha na segurança do SO.


E + 1 coisa O Vista tinha a ultima actualização fresquinha de à poucas semanas enquanto que os outros não, e sendo assim até estava em vantagem.


Portanto na minha opinião este teste é mais que válido

;)
 
Última edição:
Muitas das pessoas aqui falam que o Linux não é tão atacado, porque não é utilizado tanto como o Windows? Então e a maioria dos servidores da net correm o quê? Windows? Há quanto tempo está na internet, o linux em servidores?
Por isso essa desculpa de não ser tão conhecido logo não ser tão atacado não faz sentido nenhum.

E quanto à questão do concurso e da falha ser da Adobe ou da Microsoft, a questão é tão simples como eu explico ao meus alunos:

Imaginem um camião que vai contra uma bicicleta, o que acontece à bicicleta?
Fica toda destruída.
Isso é o Linux.

Agora imaginem a mesma situação mas onde uma bicicleta é capaz de destruir um camião.
Isso é o Windows.

Embora a vulnerabilidade, falha ou bug seja da Adobe, um bom sistema operativo tem que ter mecanismos, para que essa falha não se propague para além do espaço da aplicação.
 
Inicie sessão ou registe-se para poder participar.
Back
Topo