O Evento
Durante a CanSecWest 2008, uma conferência que tem foco em segurança digital, foram testados 3 notebooks durante o OWN Contest, são eles:
1. VAIO VGN-TZ37CN rodando o Ubuntu 7.10
2. Fujitsu U810 rodando o Vista Ultimate SP1
3. MacBook Air rodando o OSX 10.5.2
Todos os equipamentos foram atualizados com os últimos patchs de segurança disponíveis.
O Desafio
O OWN Contest consistia em descobrir em 3 dias uma nova vulnerabilidade e após isto criar um hack/exploit para explorar a falha nos sistemas oferecidos para o teste. Os participantes que conseguissem encontrar uma falha e explorá-la seriam premiados, os prêmios diminuíam conforme o tempo passava, no primeiro dia o prêmio tinha o valor de 20 mil dólares, no segundo dia o valor do prêmio era de 10 mil dólares e no terceiro dia o valor pago seria de apenas 5 mil dólares.
As regras
No primeiro dia as regras do desafio consistiam em tentativas de invasão através da rede, sem contato direto com os notebooks. No segundo dia já era possível interagir com os notebooks e tentar utilizar técnicas que envolviam acesso com privilégios de usuários comuns. Nestes testes eles podiam acessar sites maliciosos com o navegador ou abrir e-mails com arquivos maliciosos. Se no terceiro nenhum dos notebooks fosse invadido, os participantes estariam liberados para testar softwares de terceiros, eles poderiam tentar instalar o skype por exemplo e através deste software tentar comprometer o sistema.
Os Testes
No segundo dia de testes Charlie Miller conseguiu em menos de 2 minutos encontrar uma vulnerabilidade no navegador web SAFARI (navegador do OSX da apple) e criar um hack para explorá-la, com isto ele acabou ganhando então um prêmio de 10 mil dólares da 3COM, uma das patrocinadoras do evento.
No terceiro dia de testes Shane Macaulay conseguiu encontrar uma vulnerabilidade no windows vista sp1 e elaborou um hack para se aproveitar dela, ele fez isto com uma pequena ajuda de seu amigo Alexander Sotirov (pequisador e membro da equipe de desenvolvimento do vmware) e seu colega de trabalho Derek Callaway.
Segurança
Infelizmente segundo as regras do desafio Miller e Macaulay não podiam revelar detalhes das vulnerabilidades descobertas, mas Miller deu uma dica, segundo ele foi graças a plataforma JAVA instalada no sistema que ele encontrou a possibilidade de burlar algumas proteções de segurança do windows vista SP1, inclusive em entrevista ele afirmou que a mesma vulnerabilidade pode ser explorada no OSX ou Ubuntu.
Ninguém dentre os 400 participantes conseguiu encontrar uma vulnerabilidade e explorá-la no Vaio com o Ubuntu 7.10 nos 3 dias do desafio.
O Ubuntu foi o OS vencedor do desafio no quesito segurança :)
Após o evento, pode-se encontrar na internet muitas especulações sobre a falta de empenho dos hackers em encontrar vulnerabilidades no Ubuntu comparado com o mesmo empenho para encontrá-las no windows vista sp1 e OSX da Apple, mas como disse é tudo especulação.
Especulação & Raciocínio
Eu particularmente acredito que foi bem mais simples investir tempo contra tecnologias proprietárias do que contra tecnologias livres, nas tecnologias proprietárias são olhos de no máximo uma centena de desenvolvedores cuidando do código, nas tecnologias livres são olhos de milhares de desenvolvedores cuidando do código e desenvolvendo soluções de forma coletiva, penso que na cabeça dos participantes a a questão era ganhar o prêmio, então pela lógica eles deveriam atacar o sistema com uma maior probabilidade de falhas, e comparando as diferenças de auditoria, testes homologação entre projetos livres e proprietários, a qual é uma questão ligada diretamente ao número de desenvolvedores, colaboradores e usuários, eu ficaria com as opções MACOXS e VISTA com toda a certeza. Isso não significa que sistemas GNU/Linux são imunes, na minha opnião significa que a resposta a falhas e sistemas livres é mais rápida que em sistemas proprietários.
Conclusão
Parabéns ao Ubuntu e principalmente parabéns aos sistemas GNU/LINUX, pois o Ubuntu apesar de não ser o mais querido entre os usuários avançados, representou muito bem a família GNU/LINUX no evento, dando um bom “olé” nos concorrentes, demonstrando sua qualidade, estabilidade e a qualidade do método de desenvolvimento colaborativo.
Referências:
http://cansecwest.com/
http://dvlabs.tippingpoint.com/blog/2008/03/19/cansecwest-pwn-to-own-2008
http://www.linuxworld.com/news/2008/032908-with-vista-breached-linux-unbeaten.html?fsrc=rss-linux-news
http://www.networkworld.com/news/2008/032708-gone-in-2-minutes-mac.html
http://www.networkworld.com/news/2008/032708-hacker-super-bowl-pits-mac.html?page=2
http://www.noticiaslinux.com.br/nl1206930518.html
This is some text prior to the author information. You can change this text from the admin section of WP-Gravatar To change this standard text, you have to enter some information about your self in the Dashboard -> Users -> Your Profile box. 
em 
em 
em 
em 
em 
Show.. mto show de bola!
Quanto a alegarem que os caras não tentaram com o Ubuntu… para né… valia dinheiro! (onde vc iria?, no mais fácil ou no mais difícil??) e mais… é a mesma história de quando a MS alegava que o Internet explorer era mais seguro que o Firefox (ainda tem gente que acredita!!!). Referente a Linux e Windows então… No desespero, tem que se segurar via marketing.
E que marketing… Tanto que conseguem vender em maior número caríssimos fuscas, concorrendo com ferraris grátis!
É phod@… Mas eu ando de ferrari! (só figuramente) rs rs rs
Agora fiquei curioso pra saber qual foi a configuração feita no Ubuntu. Ou será que o Ubuntu foi testado com suas configurações padrão?
Iron,
Também sou um feliz usuário de uma “ferrari” livre ;)
Evandro,
O desafio era o seguinte, você instalava o OS e atualizava. Não foi feita nenhuma customização de segurança, o sistema lá ficou do mesmo jeito que qualquer usuário tem em casa.
;)
[]‘s
Guto
Adoro o Ubunto é utilizo o mesmo. Porém a tecnica utilizada para invadir o Vista tb pode ser utilizada no Ubuntu. Não por culpa do O.S mais pela falha de software, que deram preferencia para invadir o Vista foi obvio mas isso não significa que se ele explorar a falha no Ubuntu não ira funcionar pois como disse a falha não é do O.S e sim da aplicação. Quem já invadiu antes sabe do que estou falando n_n.
Carlos,
No caso do “vista” exploraram falhas relativas à plataforma java que rodava nele, pode ser que na versão do java ou na forma como o OS utiliza a plataforma java, permita-se acesso à áreas delicadas do sistema que possibilitando que rode-se um hack qualquer.
Pode até ser que o mesmo problema seja explorado no Ubuntu, mas acredito que a resposta a bugs e problemas dos sistemas livres seja muito mais rápida que a resposta da MS com Service Packs que demoram 6 meses para sair.
Eu prefiro ver o íconezinho de atualizações piscando toda a semana do que esperar 6 meses para resolver um problema ;)
[]‘s
Guto
Pingback: De Tudo Um Pouco » Mac cai em 2 minutos
Concordo plenamente com a resposta do Guto.
A invasão realizada através do java, é bem provável que daria de utilizar também nos outros sistemas. Mas qualquer um que já utilizou Linux sabe que ele protege o sistema de forma bem mais eficaz que o Windows.
O sistema de administrador do Linux é imensuravelmente melhor que o do Vista, não só pela senha, mas porque protege todo o sistema mesmo!
Então, se vc tivesse que invadir e alterar o sistema, em qual tentarias?? No mais fácil ou no mais difícil??
Abraço.
Concordo com o Carlos. A mesma técnica usada no Vista poderia ter sido utilizada no Ubuntu, de modo que a afirmação “Ninguém dentre os 400 participantes conseguiu encontrar uma vulnerabilidade e explorá-la no Vaio com o Ubuntu 7.10 nos 3 dias do desafio” constitui apenas meia verdade. A vulnerabilidade existe e foi encontrada. A opção de onde explorá-la, entretanto, depende de fatores mais complexos que o pensamento “foi no Vista porque o administrador do Linux é melhor”.
Sou usuário do Ubuntu e apóio o uso de software livre. Se tivesse a opção de, utilizando o mesmo método, demonstrar a falha de uma máquina Windows ou Linux, o faria na máquina Windows. Mas isso decorre de convicções – por exemplo, não fazer gerar a imagem, falsa, de que o Windows seja mais seguro.
Pela própria linha de quem participa desses eventos (e pelo que potencialmente ganham depois), é muito razoável supor que a preferência do ataque seja sobre softwares proprietários utilizados em massa. Supor diferente e achar que a escolha se deveu à segurança superior do Linux parece, nesse caso, privilegiar muito a ideologia do software livre (que é louvável) em prejuízo dos fatos (que, francamente, são suficientemente claros).
Rodrigo,
Talvez a afirmação devesse ser diferente, mas o que eu quis dizer é que em 3 dias ninguém conseguiu explorar uma falha no ubuntu “satisfatóriamente”, talvez isto tenha ocorrido por falta de tempo, pois parece que os competidores dedicaram mais tempo ao MAC e ao VISTA, talvez tenha sido por causa do nível de dificuldade, acredito que por saberem que algo feito de forma coletiva tem chances de ter um número bem menor de falhas de segurança do que algo feito de forma centralizada por um número pequeno de desenvolvedores, vide o documento “Catedral e Bazar”, tenha pesado para a escolha de uma opção que os levaria ao prêmio de forma mais rápida, ganhando assim uma quantia maior, segundo as regras do desafio.
Mas é fato que em 3 dias, 400 entusiastas do desafio não apresentaram nenhuma falha aos organizadores do evento relativa ao Ubuntu.
Acredito que ali existiam muitos entusiastas das tecnologias e software livre, também pode ter sido um fator que pesou consciente, ou inconscientemente, mas o fato concreto continua, não apresentaram nada, portando no desafio de 3 dias, o Ubuntu foi o OS que não foi invadido em uma instalação padrão com atualizações instaladas.
Vejamos, no 2o. dia o Mac foi invadido em 2 minutos. Logo, quem estivesse lá a partir do 3o minuto teria de escolher invadir Windows ou Linux. No 3o dia o Windows foi invadido, a partir daí todos os que estavam presentes só poderiam escolher o Ubuntu para invadir.
Mesmo que Mac e Windows fossem os mais populares e preferidos para a invasão, houve muito tempo onde só havia Ubuntu para invadir.
Sobre as vulnerabilidades no Ubuntu, é claro que elas existem e são amplamente divulgadas, só não conseguiram explora-las. É como saber como a doença funciona, mas ser incapaz de promover a cura, só que no caso do concurso era o inverso, o paciente tava bom e a idéia era deixa-lo doente ou mata-lo. Fico feliz que o software livre tenha ganho, da próxima vez talvez não seja tão fácil, visto que agora o Ubuntu se tornou o Everest ou K8 em notoriedade.