15 maio 2008

Debian não brinca com a segurança...

Dia 13 de Maio, dia grande nos cofres em Fátima, também foi encontrado uma falha, uma falha das graves no Debian e derivados, como está anunciado no Br-Linux. É sabido que falhas existem em todos os sistemas, embora com mais frequência nuns do que noutros, mas isso não interessa. O que realmente é importante é que existe uma falha grave e tem de ser resolvida. E tem de ser resolvida antes de ontem e a correção lançada ontem! Não é para hoje, nem para amanhã, muito menos para as famosas terças-feiras negras mensais que são quando a microsoft se lembra de libertar as correções de segurança, ou para um qualquer SP5 ou SP10.

E é assim que se trabalha no mundo software livre: falha de segurança descoberta, falha de segurança corrigida imediatamente!


Nesta imagem que roubei descaradamente do Caminho Livre, é mostrada a actualização de segurança para corrigir a tal falha grave. Foram apenas cerca de 24 horas de diferença entre o anúncio da falha e a sua correção.
Em Debian não se brinca com a segurança.....

Fonte: Caminho Livre

9 comentários:

Anónimo disse...
16 maio, 2008 01:27
 

Neste caso em particular existe outro ponto de vista, é que se não se brincasse em serviço este problema nem sequer existia.

Foram 2 anos de risco, e agora não basta instalar o fix. Este é um problema muito grave.

Além de ter sido completamente evitável, este problema coloca em riscos todos os outros sistemas. Infelizmente, a "mão" rápida ao aplicar patches do Debian manchou seriamente toda a comunidade linux e open-source.

E não basta aplicar o patch todos os usuários que criaram chaves criptográficas usando o debian ou o ubunto neste período tem que recriar as suas chaves. Isso inclui certificados de sites seguros, e pior chaves de ssh que até então eram a forma mais segura de se logar remotamente.

Eu mesmo que uso o Fedora tive que recriar minhas chaves, pois as usava em um sistema debian e por isso tenho que considera-las comprometidas.

BlindTux disse...
17 maio, 2008 10:42
 

Boas!
Cá estou de novo! Sou o utilizador invisual que um dia se interessou por estas coisas e veio aqui falar sobre acessibilidades... Agora escolhi um nickname apropriado...
Pois hoje o que nos traz aqui é o tão propalado tema da segurança. Enfim, não sou expert nestas coisas, mas posso dar a minha humilde contribuição? O problema parece ter vários ângulos:
1º - A Debian falou com verdade da falha muito grave que encontrou o que só a enobrece. Não é como aquele sistemazinho onde nas celebres 3ªs feiras escolhidas por eles encontramos uns updatesinhos onde se diz "Este patch corrige a falha muito grave que permite a 1 utilizador mal intencionado apoderar-se do seu computador", mas como?... Qual a falha?... Qual o risco?...
Continua no próximo post

BlindTux disse...
17 maio, 2008 10:54
 

2º - Todos os sistemas têm falhas, uns mais do que outros. Convém não esquecer isto. Por isso é muito importante sabermos que o ultimo a falhar só pode ser o utilizador final. Não vale a pena estar aqui a dar grandes conselhos de segurança, mas vale a pena lembrar aos utilizadores que se fizerem um uso correcto dos meios que têm ao seu dispor, então poderão ter uma experiência de navegação o perfeitamente bem sucedida!...
...E não se esqueçam de uma coisa muito importante que uma vez ouvi ao Engº Maia Nogueira, director geral da Solbi, numa conferência na UNL: "na net só há roubo, porque há muito por onde roubar; se houver cuidado em não se deixar roubar, o interesse em roubar também desaparecerá, mesmo para aquelas pequenas coisas aparentemente triviais".
Continua no próximo post

BlindTux disse...
17 maio, 2008 11:03
 

3º - A internet é por natureza o lugar... da partilha anónima!... Quando a net foi criada não foi para ser um lugar de segurança, mas de partilha de informação. Há muitos utilizadores comuns que não têm noção disso. Por menos bugs que um software possa ter, haverão sempre bugs e alguns deles serão com certeza falhas graves de segurança. Importa ensinarmos bem as nossas crianças e os nossos jovem a respeito disto. Este é o nosso maior trunfo enquanto utilizadores. Sabermos o que queremos e o que não queremos partilhar. Se escolhermos fazer as nossas compras em lojas que aceitem o pagamento por multibanco, de certeza ninguém nos vai roubar o número do cartão de crédito on-line!... O mesmo para a segurança das crianças. Se as ensinarmos que só devem consultar aquilo que é bom para elas, não irão à procura dos perigos, como se as ensinarmos que a droga é má, também não se vão drogar!... A boa informação é a nossa melhor arma!...
Continua no próximo post.

BlindTux disse...
17 maio, 2008 11:08
 

Espero ter contribuido de alguma forma para continuarmos a partilhar deste espírito, desta filosofia de vida que é o software livre!
Desculpem ter sido tão longo!...
Qualquer dia voltarei aqui para irmos tomar um "copo cibernético"!!!...

BlindTux

Sempre bemvindo, Blindtux! E há outra coisa importante. Certas empresas enviam nas famosas terças-feiras negras os tais patchs de segurança que por sua vez abrem novas autoestradas de insegurança, novos patchs para remendar os patchs de segurança, mais patchs para os remendos dos patchs de segurança e um sem fim de patchs porque, ou eles não percebem nada daquilo ou o sistema não tem ponta por onde se pegue...

E no Linux não se ve nada disso...

Ricardo P. disse...
17 maio, 2008 19:11
 

"Foram apenas cerca de 24 horas de diferença entre o anúncio da falha e a sua correção."

O anuncio foi feito no dia 13 deste mes com a inclusao da correcao (zero dias). Nao encontro em lado nenhum o dia em que a debian foi informada da falha de seguranca. Apenas que o codigo do debian que corrigi o erro foi escrita no dia 7 deste mes. Portanto a debian devia saber do erro por volta de um ou mais dias antes.

O mesmo acontece com o Firefox (ou qualquer outro programa). Quando a Mozilla disponibiliza correcoes para algumas falhas de seguranca isso nao significa que o erro foi entrado ontem e corrigido hoje. O que acontece e' que durante um ou mais meses a Mozilla Foundation andou a corrigir os erros e disponibilizou porque os corrigiu sem criar outros problemas ou porque alguem abriu o bico. Os programadores da Mozilla sao bons, mas nao sao Deuses!

Erros de segurancao nao sao corrigido num dia. E' preciso saber onde acontece o erro, porque e' que acontece, sera' que a correccao gera outros erros? E isso tudo demora tempo.

[BlindTux]
"...encontramos uns updatesinhos onde se diz Este patch corrige a falha muito grave que permite a 1 utilizador mal intencionado apoderar-se do seu computador", mas como?... Qual a falha?... Qual o risco?..."

Isso porque nao é o local onde a microsoft disponibiliza a informação sobre as falhas. No site adequado, eles informam qual e' a falha, como a reproduzir, que sistemas afecta, se ha' uma correcao ou workaround (quando nao e' possivel no momento corrigir satisfatoriamente o erro).

BlindTux disse...
18 maio, 2008 11:11
 

Boas!

Muito obrigado RedTuxer pelas palavras amigas e sábias!...
Também concordo com o que o Ricardo diz, porém:
1-Não vale a pena lançar alarmismo junto dos utilizadores. Se um utilizador encontrar um sistema em que de tempos a tempos os próprios criadores lançam avisos que podem ser alarmistas, então desconfiará. O pânico, o medo e o alarmismo são os maiores amigos do mal estar... Por isso eles só divulgaram a boa informação quando tinham certezas...
Quanto ao janelas, enfim, eu bem sei que assim é; que se consultar o site certo posso ler a informação completa. Mas, e descodificar essa informação para que o utilizador leigo possa saber o que está a adquirir como utilizador... Reparem; se todas as falhas listadas como críticas fossem derivadas ao mesmo componente, rapidamente teremos a história do alarmismo de volta... E quem nos garante que em vez de correcções, aquilo não são drivers para hardware novo? Mais transparência com o utilizador final precisa-se e não é assim tão difícil... Não é por acaso que o linux começa a crescer nos desktops. Não é difícil perceber porquê, tanto ou mais que não dispõe das mesmas armas em termos de marketing e de relação com os fabricantes de hardware!...

Até breve!
BlindTux