| Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário. |
| FTP ? (Pontos:3, Esclarecedor) |
| | Pelo que percebo, não foi o servidor de FTP que foi comprometido strictu sensu.
O sistema foi todo comprometido através de um ataque ao servidor FTP.
O que eu estranho é que presumivelmente estando os servidores da Savanah a correr Debian, tenham caído na mesma esparrela do que esta última.
Aliás, no comunicado da Savanah dizem que estão a trabalhar com a Debian no assunto.
Mário Gamito
www.startuxcode.com |
| |
| |
| | Tanto quanto eu sei não é um problema de FTP ou do Debian, mas sim do kernel. Passo a citar o Debian Planet:
"The hole that was used to gain root on the Debian servers has been found: by exploiting a bug in the brk() system call it's possible for a process to gain access to the full kernel address space (at which point it is a simple matter to set the uid of the current process to zero and become root)."
http://www.debianplanet.org/node .php?id=1014#comment
xsr
|
| |
| | Sim, mas isso é apenas uma das partes do puzzle, visto que o problema do do_brk() só é exploravel localmente. No caso da Debian foi utilizada uma password de uma conta (legítima) de uma máquina dentro do domínio debian.org (klecker.debian.org), que foi depois utilizada para ganhar root-access nessa mesma máquina (via o tal exploit do do_brk) e para lançar ataques a várias outras dentro do mesmo domínio. No caso do Gentoo, o acesso à maquina foi conseguido em primeiro lugar através de um bug no rsync.
No caso do savannah.gnu.org não se sabe como obtiveram acesso à máquina de modo a poderem correr o exploit do do_brk. Não sei muito bem como o Savannah funciona, mas provavelmente devem dar contas aos developers. Um utilizador malicioso com acesso local, e é o fim da história.
--
© 1982 Sinclair Research Ltd |
| |
| | Com tanto buraco grave de segurança, eu pergunto-me onde estão as "adivisories" da caixa mágica em relação ao assunto ? Ou a segurança da mesma é baseada apenas em copiar o que a SUSE faz ? Há que relembrar que existem maquinas militares a correr esse OS, pode estar em causa a segurança nacional :)
|
| |
| |
| | P.S ( é impresssão minha ou ainda não existem kernel updates para todas as versões da caixa mágica ? viva a segurança !!!)
|
| |
| | pode estar em causa a seguranca nacional pode? esta' .. a caixa magica infelizmente nao tem solides e robustes para ser um servidor a' seria... ainda por cima para o exercito.. hoje em dia.. meter um linux "vanilla" num servidor x86, para uma tarefa critica... acho que e' ma' politica....
Miguel F. M. de Sousa Filipe
handle: m3thos
More Human than Human.
|
| |
| | Claro que não tem, depois do que foi visto e já provado no código antigo, e a sua coerência não deve ter sido muito alterada. Eu já ouvi falar de Caixa Mágica na GNR também, acho que devemos optar pelo OpenSource, mas é preciso saber optar por qual produto. Não estou a deitar abaixo o trabalho de ninguém, apenas acho que não deviam pensar apenas no $$ e esquecerem-se de algumas coisas.. Outra coisa, ainda estou para descobrir como é que passam de versões 1.0 para 8.x, assim tão de repente.. Be original, not ripper..
I'm a lost soul in this lost world... |
| |
| | Temos de ter em nota que geralmente o que faz com que as pessoas cada vez mais optem por linux é ser mais barato (ou de graça).
E depois note-se que maior parte das empresas (not TI related) não se preocupa com a segurança do sistema informático mas sim com a sua facilidade de uso.
Vocês experimentem em andar pelo P**t* e Bo*v*st* de perto de empresas grandes ou PME laptop no colo com uma placa wireless e DHCP activo e depois relatem aqui os acontecimentos.
Se isto funciona ao lado de um Quartel ?
Não sei, mas em *censurado* deve funcionar é preciso é ter paciência e ser marado (qual a piada em ver os documentos privados de uma empresa que relatam gastos financeiros ,clientes e etc?
A mim não me interessa ).
O problema é que cada vez ha mais gente com estas ideias e + gente com wireless no laptop.
Notem que putos ( miudos de 16 anos já tem capacidade para o fazer , afinal de contas aceder a uma partilha de windows pode ser dificil para um man de 60 anos mas para estes putos é como apanhar o autocarro para a escola ).
Sim , isto em Portugal (nascemos para cuscar).
Quanto ao projecto da Caixa Mágica não nos esqueçamos que a CM não é uma sociedade sem fins lucrativos , numa empresa "tempo é dinheiro" e hoje em dia a preocupação que vejo nas empresas é vender. A segurança para já não é importante, talvez porque também em Portugal não existam grandes planos para derrubar sistemas inteiros e coisas desse gabarito, geralmente quem cracka cala-se e depois nem se chega a usar os recursos que se obtêm porque nem tem grande interesse, (é uma opinião minha).
Que raio é que se faz hoje em dia ao controlar 6000 máquinas de uma faculdade, de um Éxercito , Força Aérea ou coisa do género ?!
Temos falta de imaginação, ou ainda temos demasiada educação e moral enraisados na mente ?!
Ou eles andem aí e eu na sei ?!
Será que as empresas sabem o que é um ataque para além do virus blaster e que tais ?
Será que se vender o Linux( Debian,SUSE,Slackware,Red Hat,etc) poupo trabalho a criar a minha própria distro fico com uma segurança mais fiavél e não tenho tanto trabalho a preocupar-me com segurança ?
E se fizer isso garanto os mesmos postos de trabalho na empresa e o mesmo cash flow ?
Se o meu projecto tiver ideias diferentes da distro que uso será que posso criar um novo branch no cvs deles ou dos progs que uso ?
Será que o Alanzinho me empresta um cluster para testar ?!
E o Linus T. empresta-me o mercedes dele para o fim de semana ?
Sei lá !!!!!(há um livro com este nome , vou comprar :-) )
PS : Isto tudo pode ser redundante mas pelo menos escrevo para alguêm que queira ler, tirar ideias ,saber o que se passa ou comentar.
---
Tudo o que escrevo ou digo a inquisição nega.
---
|
| |
| | Acho que não devemos ter medo de falar, quando sabemos que não o devemos fazer. Eu na minha vida real, costumo leva muitos coices por falar o que não gostam de ouvir (a verdade dói), e já fui muitas vezes prejudicado por isso, mas o que me importa (who cares?), se o que eu digo é o que penso. O que disses-te é bem verdade, e tens o meu apoio em cada palavra escrita, porque é verdade..
I'm a lost soul in this lost world... |
| |
| | Desde que o Paulo Portas leve com um míssel em 2a mão na tola por mim podem usar Caixa Mágica à bontade! Agora se falhar no alvo acho que deviam usar OBSD :)
The Stone Dance of the Chameleon :)
|
| |
| | Partes do principio que com estes cortes orçamentais o exercito nao possuí maquinas com mais de 1 processador ou o OpenBSD já tem suporte (nativo) para SMP e ninguem sabe?
|
| |
| | Desculpa... mas porque não simplesmente usar o suporte do smp do freebsd ?
Ao Orgulho segue-se a ruína, e a arrogância vem antes da queda (Prov. 16:18) |
| |
|
| | Pelo que vim a saber de um dos orgãos que lideram o projecto, na verdade o servidor Savannah NÃO foi comprometido.
Como medida de segurança foram encerrados os serviços até que fosse corrigida a vulnerabilidade que afectou os servidores Debian, e que também são a plataforma onde está acente o savannah.
Dominus vobiscum |
| |
