Servidores do kernel do Linux hackeados, Repositórios Android fora do ar e isso nem é o pior.

Por: em 07/09/11 na(s) categoria(s): Linux, Open-Source

comentários 69

matrix

No dia 12 de Agosto ocorreu uma invasão no kernel.org, repositório primário para o código-fonte do Linux. O ataque só foi descoberto dia 28. Até lá os invasores já tinham:

  • Ganhado acesso root ao servidor HERA
  • Modificado o código-fonte de arquivos relacionados com ssh, em seguida recompilados e disponibilizados
  • Instalado um cavalo de tróia nos scripts de inicialização
  • Monitorado e Capturado interações dos usuários

Logo após a detecção da invasão medidas foram tomadas, o próprio Google foi solicitado a tirar do ar os repositórios do Android, pois não se sabia a extensão da invasão.

Como sempre a “cumunidade” diz que não foi nada, que não seria possível alterar os fontes do Linux, etc, etc. O fato é que o Kernel,org continua fora do ar até hoje.

Só que isso não é o problema. Essas invasões acontecem, nenhum sistema é 100% seguro. O problema é que o cavalo de tróia instalado foi encontrado até na máquina pessoal de Hans Peter Anvin, um desenvolvedor do kernel Linux, que como os outros 448 usuários com acesso ao kernel.org foi solicitado a mudar suas senhas e chaves de acesso ssh.

O grande problema é que os invasores ganharam acesso graças a uma senha roubada e –por métodos desconhecidos- escalaram os privilégios da conta até nível de root.

Bugs de privilege escalation existem, claro, mas em geral são corrigidos o mais rápido possível. A idéia de um bug desconhecido, para o qual mesmo os servidores do kernel.org estão vulneráveis é preocupante.

Fonte: Desktop Linux

Mais textos de | Site | Twitter

  • Mister K

    Essa foi bomba mesmo… uma das minhas ultima desculpas p ainda usar linux se foi agora. Vou virar piada entre meus amigos. NNAAAOOOOOOO

    • http://ceticismo.net André

      Mas vc é livre (livre de qq tipo de segurança).

      • Junior1967-2

        O debate saiu de uma debate técnico para um debate sobre qual a melhor religião. Linux ou Microsoft não produtos, não religião, devem ser analisados pelo lado racional e não pelo emocional

        • Mister K

          Esqueci de escrever que foi uma brincadeira da minha parte.

          Mas concordo com vc Junior, eh sempre assim, falou em OS, smartphone ou tablet, a conversa acaba indo p o emocional.

          • http://twitter.com/MaxTrollPower Max Power

            Cãe são melhores do que gatos!

          • Kharstagir

            Depende de quem tempera!

          • http://twitter.com/MaxTrollPower Max Power

            O meu gosto culinário é melhor do que o seu.

        • http://www.facebook.com/people/Luiz-Felipe-Stangarlin/1550900045 Luiz Felipe Stangarlin

          Linux é produto? nem tem marketing, as pessoas “normais” dificilmente conhecem. Certa vez numa aula de administração não sei quem disse: “se seu produto não é conhecido, então ele não existe!”.

          • Ruy Acquaviva

            Linux não é um produto, mas é um sistema operacional.

            Windows um produto e um sistema operacional também.

            Não faz sentido tentar enquadrar o linux em conceitos de marketing e estratégia de mercado que simplesmente não fazem sentido para um software livre.

            Quanto ao usuário comum, ele realmente não conhece o Linux, mas usa. Algum serviço online hospedado em um servidor com Linux ele usa.

            E os responsáveis por esses serviços conhecem o Linux.

          • Ruy Acquaviva

            Linux não é um produto, mas é um sistema operacional.

            Windows um produto e um sistema operacional também.

            Não faz sentido tentar enquadrar o linux em conceitos de marketing e estratégia de mercado que simplesmente não fazem sentido para um software livre.

            Quanto ao usuário comum, ele realmente não conhece o Linux, mas usa. Algum serviço online hospedado em um servidor com Linux ele usa.

            E os responsáveis por esses serviços conhecem o Linux.

  • Saint-Clair Stockler

    E quando é que todo mundo (em especial os usuários que dizem “o meu é maior do que o seu”) vai enfim assumir que não existe 100% de segurança em lugar algum?

  • http://profiles.google.com/dragonavenger dragon avenger

    A segurança hoje é igual um castelinho de cartas, quebre um componente no lugar errado, e tudo desaba… Novas tecnologias precisam florescer.

  • http://profiles.google.com/dragonavenger dragon avenger

    A segurança hoje é igual um castelinho de cartas, quebre um componente no lugar errado, e tudo desaba… Novas tecnologias precisam florescer.

    • Antonio Augusto Grisi Pizolato

      O problema é amadurecimento dos sistemas, os cronogramas de lançamento e evolução dos OS e deixa para depois a fases de testes e pesquisa de bugs.

  • http://www.facebook.com/alexandre.bianca Alexandre Reis

    Não tem problema, você é free ainda.

  • http://www.facebook.com/alexandre.bianca Alexandre Reis

    Não tem problema, você é free ainda.

  • http://twitter.com/lordtux Tux

    Gravissimo, se fosse a microsoft já iam ter piadinhas com tela azul.

    • http://twitter.com/MaxTrollPower Max Power

      Se fosse a Microsoft nem teria vindo a público.

      • Ruy Acquaviva

        É verdade. Não sabemos quantas invasões desse tipo podem ter ocorido na Microsoft ou na Apple por exemplo, porque elas simplesmente não são divulgadas.

        E como as bruxas, você pode não acreditar nelas, mas que elas existem, exitem.

    • Keaton

      Mas, desta vez, não foi a Microsoft. :V

  • http://twitter.com/weullers Weuller RPF

    Por ser o sistema preferido dos Hackers e também de código aberto (até certo ponto) o Linux se torna vulnerável à ataques. Agora, o que me parece, é que a falha não no OS e sim um caso de engenharia social. Um servidor, sistema ou dispositivo, só pode ser seguro até o nível de cuidado do operador. Tanto que a formas de infecção e capturas mais comuns, são feitas por Engenharia Social. Sabe que BIOS infeliz que clica no anúncio de gêmeas siamesas tailandesas com cavalos? Então, a senha dele já era….

    • http://contraditorium.com Carlos Cardoso

      Errado.

      “Intruders apparently gained root access on one of the servers using a compromised user credential, the email said. It’s not yet known how the attackers exploited the credentials to become root, according to the security notice. “

      • http://twitter.com/rodrigofante Rodrigo Fante

        Detalhe que não é uma simples falha, imaginem se um servidor dentro da Microsoft onde ficassem guardados fontes do Windows fosse atacado, a galera estaria matando a pau, mas como é Linux é engenharia social.

        • http://www.facebook.com/luctimm Lucas Timm

          Se fosse com a Microsoft o fórum do Baboo em peso também estaria alardeando na internet que foi um problema com “parceiros” ou engenharia social.

          Quando se trata de violações de segurança, até pela questão da própria segurança, o que exatamente aconteceu fica em conhecimento de apenas uma ou duas pessoas. Independente da plataforma.

          • http://contraditorium.com Carlos Cardoso

            Fato. Quando publiquei sobre o ataque à Microsoft uns meses atrás os fanboys dela gritaram da mesma forma. Foi curioso pra variar ser acusado de ser vendido pro Linux.

          • Anônimo

            Você deve ser uma quimera, consegue ser fanboy Apple, MStard e vendido do Linux de uma vez só.

          • http://www.facebook.com/chr.oliveira Christian Oliveira

            kkkk, Cardoso triple spy, ele deve ser um espião especial do Oracle Sun Solaris Unix, o único sistema operacional de verdade que existe nesse universo.

          • http://www.facebook.com/luctimm Lucas Timm

            AIX > Solaris.

          • Juvenal

            aix é um lixo.

        • http://www.facebook.com/luctimm Lucas Timm

          Se fosse com a Microsoft o fórum do Baboo em peso também estaria alardeando na internet que foi um problema com “parceiros” ou engenharia social.

          Quando se trata de violações de segurança, até pela questão da própria segurança, o que exatamente aconteceu fica em conhecimento de apenas uma ou duas pessoas. Independente da plataforma.

  • Rafael Vasconcelos

    Where is your god now?

  • http://twitter.com/rodrigofante Rodrigo Fante

    Já já começam a dar desculpa de problema de BIOS, engenharia social, Linux é impenetrável, não pode ter tido falhas, ainda mais uma que não foi descoberta nem rapidamente corrigida ainda, afinal essa é a coisa do open-source :P

    Dito isso, nada contra opensource, só a favor, mas os opentards são os mais chatos tards do mundo tecnológico, conseguem ganhar dos macfags.

    • http://twitter.com/MaxTrollPower Max Power

      Ninguém nunca disse que Linux é a prova de falhas. O fato é que invasões como essa acontecem até em sistemas como o da PSN. Não é possível avaliar quantas invasões desse gênero já aconteceram em sistemas da Microsoft ou da Apple, por exemplo, por causa da ausência de transparência dessas empresas.

      Wintards praticantes de FUD vencem fácil fácil o campeonato de chatice.

      • http://www.facebook.com/luctimm Lucas Timm

        Verdade…

      • http://www.facebook.com/luctimm Lucas Timm

        Verdade…

      • Cobalto

        Verdade, Rodrigo Fante.

  • http://twitter.com/rodrigofante Rodrigo Fante

    Já já começam a dar desculpa de problema de BIOS, engenharia social, Linux é impenetrável, não pode ter tido falhas, ainda mais uma que não foi descoberta nem rapidamente corrigida ainda, afinal essa é a coisa do open-source :P

    Dito isso, nada contra opensource, só a favor, mas os opentards são os mais chatos tards do mundo tecnológico, conseguem ganhar dos macfags.

  • Clsaraujo

    Se o próprio pessoal altamente qualificado com PHD no assunto se deixou vacilar por engenharia social, imaginem funcionários dessas empresas de nível médio, o linux ainda vai continuar sendo um so seguro tudo vai depender do como serão a próxima base de segurança do kernel sou usuário do ubuntu aguardando a versão 11.10 com o kernel 3.0 a partir deste será uma nova plataforma uma segurança ainda em fase de desenvolvimento que com certeza superior as anteriores kernels

    • http://www.facebook.com/chr.oliveira Christian Oliveira

      Tudo que é novo, nos dias de hoje, tende a ser mais bugados do que os que já existem por ai.

  • http://twitter.com/PaninaManina John Titor, 2036 sux

    Aqui o site está funcionando.

    • http://contraditorium.com Carlos Cardoso

      Tempo linear é um conceito fantástico, né?

    • http://www.facebook.com/luctimm Lucas Timm

      Custa tentar BAIXAR alguma coisa? O index estar funcionando não significa muita coisa.

  • Cobalto

    Mas você é livre…

    • http://twitter.com/MaxTrollPower Max Power

      E provavelmente por isso a falha de segurança foi descoberta. Se fosse um sistema fechado…

      • Cobalto

        A PSN é um sistema fechado.
        Prossiga com sua dissertação com esse novo fato.

        • Anônimo

          Considerando que quem invadiu contou para deus e o mundo que invadiu, não acho que seu exemplo tenha sido bom.

          • Cobalto

            De fato, ahuahuahuahua
            Esqueci que na época o anuncio da invasão estava vindo estampado até em caixa de leite xD

      • http://www.facebook.com/chr.oliveira Christian Oliveira

        Free diferente de Open, mas não acredito que um sistema open ou fechado seja seguro, desculpe profissionais da segurança mas vcs estarão sempre correndo atras, vcs no maximo conseguem dificultar para a grande maioria de script kids, mas o dia que os Ocean’s eleven resolvem inclui-lo como alvo, nem o de Niro salva.

  • http://www.facebook.com/luctimm Lucas Timm

    Acho legal esses paradigmas de violações que existem atualmente. A maioria dos ataques de Windows servem para pegar a senha do seu orkut, fazer seu computador mandar spam ou ser bot de DDoS. Os ataques envolvendo servidores Unix geralmente são bem mais elaborados. Garantem acesso a shells, clonam chaves de segurança, injetam exploits em áreas obscuras do sistema, criam proxies HTTP, etc.

    • http://twitter.com/MaxTrollPower Max Power

      Linux é mais visado pelos invasores porque ele é relevante no mundo dos servidores.

    • Anônimo

      Nao conheço ninguém q acesse orkut de um servidor linux.

    • Anônimo

      Nao conheço ninguém q acesse orkut de um servidor linux.

    • Humberto Henrique

      Grande parte dos ataques é para roubar senhas de banco.

    • Humberto Henrique

      Grande parte dos ataques é para roubar senhas de banco.

  • http://www.facebook.com/eduardo.moura1 Eduardo Moura

    Pois é Cardoso, acontece até mesmo no Linux, que ao contrário de alguns fabricantes nega até morrer este tipo de incidente e só confirma depois de milhões de senhas e números de cartão de crédito estarem flutuando na interwebs.
    Foi grave e tenho certeza que cada vez mais teremos este tipo de ação contra todos os sistemas operacionais, antes informação era poder… agora controle de dispositivos é poder

  • Rogatti

    … a proxima versão do Android se chamara ..horse sea ???…rsrs

  • Anônimo

    Cardoso mais uma vez perdeu a chance de ficar calado. Mais da metade do post eh invancao dele. Vai aprender como o git funciona antes de falar qualquer merda!

  • Anônimo

    Cardoso mais uma vez perdeu a chance de ficar calado. Mais da metade do post eh invancao dele. Vai aprender como o git funciona antes de falar qualquer merda!

  • Antonio Augusto Grisi Pizolato

    Do dia 12 até o 28, o autor dessa façanha deve ter tido um orgasmo múltiplo a cada dia que se passava sem que fosse descoberta a realização.

  • Irukandji InSheel

    E olha que o invasor estava usando um iPad!!!
    lol

  • http://www.facebook.com/people/Luiz-Felipe-Stangarlin/1550900045 Luiz Felipe Stangarlin

    Certa vez não sei quem disse: “Não é o quão dificil é quebrar, e sim o quanto se pode ganhar se conseguir quebrar”.
    Isso se aplica a qualquer coisa. O cofre do banco do brasil era mais seguro do que um cofre pessoal, mas isso não evitou que fosse roubado.

  • Lelovila

    Meu amigo, que texto foi esse ? O que é mais grave ? O problema em si, ou o texto ? Acho que foi escrito com pressa na “ansia” da notícia.

  • http://twitter.com/faropebr Fabio R. Pereira

    A falha quase sempre humana, quer seja trabalhando no OS, quer seja deixando vazar informações. O ponto não Microsoft ou Linux, o ponto é: “Não adianta dizer ou achar que é invulnerável”. Lembram do caso das centrífugas do Irã?

  • http://www.facebook.com/diogenesosilva Diógenes Silva Oliveira

    Acho que a maioria vai concordar que o Linux é um dos sistemas mais seguros. Seguro, não impenetrável.
    PS: uau, ainda bem que tô há quase 2 meses sem atualizar os pacotes…

  • http://www.facebook.com/diogenesosilva Diógenes Silva Oliveira

    Acho que a maioria vai concordar que o Linux é um dos sistemas mais seguros. Seguro, não impenetrável.
    PS: uau, ainda bem que tô há quase 2 meses sem atualizar os pacotes…

  • Dezinhu

    “Como sempre a “cumunidade” diz que não foi nada”. Haters gonna hate

  • Dezinhu

    “Como sempre a “cumunidade” diz que não foi nada”. Haters gonna hate

  • http://twitter.com/calcionit Cálcio

    Pessoal fala e chora. se fosse a M$ ñ teriam falado e estaria de baixo dos panos e se fosse M$ ñ teriam tido tanto trabalho. Tiveram q esperar 20 anos para fazer algo do tipo? qts minutos fazem isso em um server Janelas? é talvez demore pois é difícil achar um server janelas para coisas sérias.

  • marcelo porto

    O Linux até pode ser à prova de falhas, mas se a pessoa possui a senha correta…. QUEM PODE IMPEDIR???? Foi o que aconteceu!!!! Roubo de senha é mais fácil de fazer do que invadir na marra. Alguém passou a senha!!!!! Além disso, muitos sites (mesmo sem ser sobre Linux) são hackeados por culpa de um sistema servidor com senhas fracas ou passadas a alguém!!!!!