[FUG-BR] Seguranca em Linux ???

Eduardo Meyer dudu.meyer em gmail.com
Segunda Julho 17 11:41:51 BRT 2006 

On 7/17/06, Christopher Giese - iRapida <chris at irapida.com.br> wrote:
> Foi o que eu falei.... o PLANETA
>
> imagine vc....... inumeros gerentes de CPD... que tem seus servers linux
> rodando
>
> com ATUALIZACOES no cron
>
> e hoje acordaram com codigos ilicitos em seus servers..... E NEM TEM
> NOCAO DISTO
>
> o que tudo isto pode causar
>
> na minha visao... isto nao eh apenas falha de seguranca.... e SIM
> IRRESPONSABILIDADE/INCOPETENCIA de quem toca o projeto

Nossa se voce acha so o fato de ser invadidos irresponsabilidade e
incompetencia, nem imagino sua conclusao quando souber que:

- Apenas os logs do servidor foram copiados
- A maquina foi formatada/reinstalada
- Nao ha qualquer hipotese de analise forense pq o HD nao foi isolado
- As unicas analises sao baseadas nos log files
- Log files sao facilmente modificados
- Todas as respostas oficiais sao baseadas em analise de logs, a saber:
	- O servidor ficou comprometido das 2 as 4 da manha +/-
	- Nao deu tempo de haver modificacao no CVS
- Ah, esse servidor tambem era servidor CVS

- Quantas distros baseadas nessa distro usam esse CVS?
- Quantos acesso ao CVS houve durante o tempo comprometido
- Acesso de quem, durante o tempo comprometido?

Como se pode notar, as informacoes oficiais nao sao seguras. Nao se
sabe seguramente o tempo que o servidor ficou comprometido. Eu nao
acredito em logs em ambiente ja comprometido. Alguem aqui acredita?

Analise forense e o minimo de seriedade necessaria. Nao da nem para
passar um lazzarus nesse servidor mais, pra saber que arquivos possam
ter sido adicionados/removidos no meio tempo.

E tem gente que acha que "formatar" e uma decisao acertada.

Estamos retirando debian de onde temos servico critico aqui na Saude
por causa desse incidente. Poucos vao ficar ainda, mas sera questao de
tempo ate retirarmos de onde pudermos.

Nao por causa do comprometimento, mas pela falta de sensatez com que a
questao tem sido tratada. O Projeto OpenBSD tambem ja foi
comprometido, apesar da base comprometida ser em Solaris e nao
OpenBSD, foi feita uma analise minuciosa e detalhada das causas e
consequencias do acesso indevido. No caso do OpenBSD foi uma mostra de
como as coisas deve ser feitas. A mesma coisa quando houve
comprometimento de um servidor do projeto Slackware no passado. As
acoes foram exemplares.

No caso do Debian, alem de ser a segunda vez, a falta de
responsabilidade e de clareza com que as informacoes estao sendo
passadas, nao nos dao confianca.

Ah, apenas um detalhe: eu estou especialmente preocupado pois faco
sincronia periodica por CVS com esse servidor.

-- 
===========
Eduardo Meyer
pessoal: dudu.meyer at gmail.com
profissional: ddm.farmaciap at saude.gov.br

Mais detalhes sobre a lista de discussão freebsd