ubuntu 7.10 comprovadamente seguro, segundo o desafio “OWN” no CanSecWest 2008.
Postado por gutocarvalho, Segunda-feira, Março 31, 2008, 13:07O Evento
Durante a CanSecWest 2008, uma conferência que tem foco em segurança digital, foram testados 3 notebooks durante o OWN Contest, são eles:
1. VAIO VGN-TZ37CN rodando o Ubuntu 7.10
2. Fujitsu U810 rodando o Vista Ultimate SP1
3. MacBook Air rodando o OSX 10.5.2
Todos os equipamentos foram atualizados com os últimos patchs de segurança disponíveis.
O Desafio
O OWN Contest consistia em descobrir em 3 dias uma nova vulnerabilidade e após isto criar um hack/exploit para explorar a falha nos sistemas oferecidos para o teste. Os participantes que conseguissem encontrar uma falha e explorá-la seriam premiados, os prêmios diminuíam conforme o tempo passava, no primeiro dia o prêmio tinha o valor de 20 mil dólares, no segundo dia o valor do prêmio era de 10 mil dólares e no terceiro dia o valor pago seria de apenas 5 mil dólares.
As regras
No primeiro dia as regras do desafio consistiam em tentativas de invasão através da rede, sem contato direto com os notebooks. No segundo dia já era possível interagir com os notebooks e tentar utilizar técnicas que envolviam acesso com privilégios de usuários comuns. Nestes testes eles podiam acessar sites maliciosos com o navegador ou abrir e-mails com arquivos maliciosos. Se no terceiro nenhum dos notebooks fosse invadido, os participantes estariam liberados para testar softwares de terceiros, eles poderiam tentar instalar o skype por exemplo e através deste software tentar comprometer o sistema.
Os Testes
No segundo dia de testes Charlie Miller conseguiu em menos de 2 minutos encontrar uma vulnerabilidade no navegador web SAFARI (navegador do OSX da apple) e criar um hack para explorá-la, com isto ele acabou ganhando então um prêmio de 10 mil dólares da 3COM, uma das patrocinadoras do evento.
No terceiro dia de testes Shane Macaulay conseguiu encontrar uma vulnerabilidade no windows vista sp1 e elaborou um hack para se aproveitar dela, ele fez isto com uma pequena ajuda de seu amigo Alexander Sotirov (pequisador e membro da equipe de desenvolvimento do vmware) e seu colega de trabalho Derek Callaway.
Segurança
Infelizmente segundo as regras do desafio Miller e Macaulay não podiam revelar detalhes das vulnerabilidades descobertas, mas Miller deu uma dica, segundo ele foi graças a plataforma JAVA instalada no sistema que ele encontrou a possibilidade de burlar algumas proteções de segurança do windows vista SP1, inclusive em entrevista ele afirmou que a mesma vulnerabilidade pode ser explorada no OSX ou Ubuntu.
Ninguém dentre os 400 participantes conseguiu encontrar uma vulnerabilidade e explorá-la no Vaio com o Ubuntu 7.10 nos 3 dias do desafio.
O Ubuntu foi o OS vencedor do desafio no quesito segurança :)
Após o evento, pode-se encontrar na internet muitas especulações sobre a falta de empenho dos hackers em encontrar vulnerabilidades no Ubuntu comparado com o mesmo empenho para encontrá-las no windows vista sp1 e OSX da Apple, mas como disse é tudo especulação.
Especulação & Raciocínio
Eu particularmente acredito que foi bem mais simples investir tempo contra tecnologias proprietárias do que contra tecnologias livres, nas tecnologias proprietárias são olhos de no máximo uma centena de desenvolvedores cuidando do código, nas tecnologias livres são olhos de milhares de desenvolvedores cuidando do código e desenvolvendo soluções de forma coletiva, penso que na cabeça dos participantes a a questão era ganhar o prêmio, então pela lógica eles deveriam atacar o sistema com uma maior probabilidade de falhas, e comparando as diferenças de auditoria, testes homologação entre projetos livres e proprietários, a qual é uma questão ligada diretamente ao número de desenvolvedores, colaboradores e usuários, eu ficaria com as opções MACOXS e VISTA com toda a certeza. Isso não significa que sistemas GNU/Linux são imunes, na minha opnião significa que a resposta a falhas e sistemas livres é mais rápida que em sistemas proprietários.
Conclusão
Parabéns ao Ubuntu e principalmente parabéns aos sistemas GNU/LINUX, pois o Ubuntu apesar de não ser o mais querido entre os usuários avançados, representou muito bem a família GNU/LINUX no evento, dando um bom “olé” nos concorrentes, demonstrando sua qualidade, estabilidade e a qualidade do método de desenvolvimento colaborativo.
Referências:
http://cansecwest.com/
http://dvlabs.tippingpoint.com/blog/2008/03/19/cansecwest-pwn-to-own-2008
http://www.linuxworld.com/news/2008/032908-with-vista-breached-linux-unbeaten.html?fsrc=rss-linux-news
http://www.networkworld.com/news/2008/032708-gone-in-2-minutes-mac.html
http://www.networkworld.com/news/2008/032708-hacker-super-bowl-pits-mac.html?page=2
http://www.noticiaslinux.com.br/nl1206930518.html










Comentários Recentes