sexta-feira, setembro 26

Os Bugs e o software Livre

Tivemos nas ultmimas semanas duros choques com alertas e mais alertas de bugs envolvendo programas de codigo aberto.
Lembrando que nas ultimas semanas se festejava pelas lides do SL os bugs do sistema operacional Windows, o software livre recebeu duros golpes, e justamente na altura em que pseudos partidarios se preparavam para levantar justificativos inocuos sobre a suposta e melhor asseguridade de dados do Linux sobre o Windows, uma purrada de bugs foram descobertos em softwares de missoes criticas como MySQL, Pine, PROFTPD, SSH, LiquidWar(jogo que vem com o debian). No SSH foi mais sofredor ainda. Enquanto as pessoas criticavam a Microsoft pelo simples facto de que ele andou a recomendar patches no mesmo produto, no SSH viu-se a mesma coisa, e mais no Linux quando configurado com o PAM(que tem tido muitas falhas ultimamente) era tambem um problema, enquanto que naquele rapazito que anda a picar com todos os garfos possiveis(BSD's) isto nao acontecia. E note que alguns destes bugs podem dar origem a worms massivos e destrutivos e nao pensem que todos aplicaram os pacthes, muitos inclusive afirmaram que o LSH podia ser a solu�ao para os problemas com o SSH. Debalde!!! O Lsh tambem tinha um bug que permitia o controle total do sistema. No MySQL um admin de um conhecido site brasileiro sobre Linux recomendou mesmo aos admins a tomarem o cafezito antes de aplicarem o patche. Foi lamentavel este tipo de argumento sem qualquer cabimento e sem um escopo viavel de apoio, porque este bug podia ser explorado por alguem que tivesse privilegios de manejar dados (enviar, etc). Vi um bug igualzinho a este no SQL Server e este senhor diz aos admins para ir tomar o cafezito. Mas ele nao pode ser considerado culpado por esta situa�ao. Refiro-me exactamente a Augusto Campos do Linux.trix.net ele � mais uma das vitimas do que eu chamo de Worm Cognitivo que atacou as mentes apoiadoras do Software Livree que felizmente eu ja apliquei o patche faz tempo. Eu sei exactamente qual o tipo de pensamento que essas pessoas ostentam quando se fala de bugs. Eles ficam bem caladinhos e tristes muitos deles querendo dar a impressao de que no mundo do software livre todos aplicam os patches, todos sao vitais, fortes e seguros nao?
Quanto a mim isto nao passa de uma bazofia, que mais parece um conto de Redmond. Para quem nao sabe o SSH vem em Default em distribui�oes como Slackware e com isso sabemos milhares de maquinas andam vulneraveis, e volto a referir a MAIORIA ANDA VULNERAVEL.
A maior parte dos partidarios do Linux anda vulneravel, ou seja andamos a pensar que para se tornar seguro basta ter um sistema operacional como o Linux e desprezar o Windows. Mas quanto a mim isto nao passa de mais um conto de fadas tipo "cinderela" onde Bill gates faz o papel da mae e as filhas dos produtos Microsoft, onde Torvalds faz o papel "Cinderela"

Conversei com muitos usuarios do sistema operacional Linux e muitos deles confessaram-se supreendidos quando aquele scriptie kiddie de cabelos compridos exploitou a sua esta�ao com um simples exploit.

Nem preciso dizer muito, e ultimamente as pessoas desesperaram-se com comentarios de editores no week dizendo taxativamente que o linux tem de ser mais seguro que o windows por ser aberto, enquanto que o NetBSD "fechado" continua sendo o mais seguro do mundo. E tambem de documentos recomendados por empresas inescrupulosas como a IBM e a SUN falando que o monopolio tem de ser factor de inseguran�a, enfim chegamos a um mundo onde os documentos nao sao mais produzidos sobre a egede de verdade mas da mentira e da tendenciosidade. Olhe para a SUN que tem um bug grave no seu produto que pode originar o surgimento de um Worm no Solaris(quem usa solaris?) e ela fala de boca aberta e sem medo de errar "nao vamos disponibilizar qualquer pacthe". Se fosse a Microsoft com este tipo de opiniao?

Finalmente meus senhores.
Tudo enquanto for software seja aberto ou fechado tem de ser inseguro na mesma propor�ao e margem de erro, porque idiotas desenvolvedores existem no aberto e no fechado.



Alves da Rocha (O Critico da comunidade Linux)

quarta-feira, setembro 24

Linux mais seguro que Windows ?

Um artigo publicado na week(http://www.eweek.com/article2/0,4149,1275872,00.asp) me deixou intrigado. O senhor Steven J. Vaughan-Nichols falou sobre sistemas seguros de uma forma completamente infeliz e triste.
Pelo simples fato do mesmo ser alguem que pertence a comunidade de software livre ou melhor que anda mais ligado pelos lados da segurança de aplicaçoes, eu nao me havia de admirar pelos seus comentarios que em si nao me leva nada mais nada menos a acreditar que se trata da mesma velhacaria dos homens, os mesmos chavoes de sempre, as mesmas aberraçoes do fundo da caverna.

O senhor mencionado acima comparou e em suma quase apenas nao teve o pejo de afirmar que o Linux era mais seguro que o Windows porque existe um tal de BSD que anda com garfos quentes a picar a comunidade de SF e a demonstrar ser o mais seguro e ser mais seguro que o Linux.
O post dele vem numa epoca de desepero. Pelo facto de ele ser o principal poster sobre Linux do week isso volto a repetir nao me espantou. O senhor acima comparou a segurança de um sistema falando sobre virus e mencionando mesmo nomes e apregoando gravidades dos dois sistemas. Uma coisa ele esqueceu-se de dizer:
Existem maquinas windows tetra, ou nao sei se hepta bilhoes de maquinas a mais que o Linux, por isso se surgisse um virus teria de proporcionalmente ser mais abrangente onde existe mais capacidade de alastramento.
Volto a repetir, o editor anda desesperado. Eu Afirmo que um sistema apenas pode ser seguro se o admin ou usuario tiver espirito de segurança. Quem nao se lembra do happyhacker.comou.org nao me lembro que se gabava por ter um sistema FreeBSD sem bugs? Fyodor riu deles porque era constantemente atacados e nao se sabia como. A rotshell terminou por causa disso. Era o principal causador do aumento de Scriptie Kiddies e lammers, e o seu resultado foi acabar pela mesma moeda, foi atacado e humilhado. Todos os sistemas possuem falhas, nao existe sistema mais seguro e mais inseguro.
Eu posso chegar e falar para todos que o MACOSX é mais seguro que o Linux porque nao possui quase falhas nenhumas, eu posso chamar o BeOS de sistema mais seguro que o Linux porque durante este ano eu nao vi nenhuma advisorie falando de qualquer falha neste sistema.

E quanto ao fato de o sistema ser mais seguro pelo fato de ser aberto, isto nao possui qualquer cabimento. Tu podes ter uma equipe de programadores de segurança geniais a criar software fechado e outra de programadores que nao entendem nada de sistemas seguros e nem sabem como faze-los a criarem um software aberto. Eu pergunto qual vai ser mais seguro? O aberto ou o fechado? A news.com.com responde:
http://news.com.com/2100-1001_3-938124.html?tag=rn
Finalizando apenas tenho a dizer:
Nao tarda teremos ai mais uma realidade .
Linux mais inseguro. Use xxxOS

Alves da Rocha (O Critico da comunidade Linux)