[FUG-BR] [FYI] Fwd: De Raadt + FBSD + OpenSSH + hole?

Patrick Tracanelli eksffa em freebsdbrasil.com.br
Terça Abril 15 13:17:59 BRT 2014 


On 15/04/2014, at 12:18, Renato Botelho <rbgarga em gmail.com> wrote:

> On Ter, 2014-04-15 at 11:50 -0300, Welkson Renny de Medeiros wrote:
>> Pessoal,
>> 
>> Desculpe-me pela pergunta newbie, mas o OpenSSH que o FreeBSD usa não é o
>> MESMO do OpenBSD? Ou o FreeBSD fez algum tipo de "fork"?
>> 
>> ". as long as you aren't using FreeBSD or a derivative (hint: Jupiper),
>> you are fine.  That's the only place I know of an OpenSSH hole. "
>> 
>> flames > /dev/null (saudoso Irado =)
> 
> Sim, é o mesmo. O Theo Deraadt gosta de ser polêmico (no mesmo estilo do
> linus torvalds). O alvo da vez é o FreeBSD e a IETF (que não de um
> número de protocolo pro CARP e fez ele ficar bravinho). :)
> 
> Se eu fosse você nem esquentava a cabeça com as coisas que ele fala,
> amanhã ele acorda irritado com o linux e muda o foco novamente.

Olha e pelo pouco que se conhece do Theo, o FreeBSD vai entrar de novo na mira dele por causa do CARP no FreeBSD 10, que ficou tão “melhor” que o DfBSD está dispensando o carp existente pra usar o do FreeBSD; os caras do uCARP (que são dev OpenBSD) estão estudando se da pra fazer o ficar tão inerente a interface física como ficou no FreeBSD de forma portável.

Além disso com o estado atual do PF em ambiente SMP tem um movimento de “move to FreeBSD for a more scalable PF firewall” que certamente deve estar irritando muito o Theo.

Se voce perguntar pro Theo sobre essa afirmação dele ele vai dar voltas pra de forma bonita dizer que FreeBSD não tem ASLR por isso OpenSSH é menos “seguro” no FreeBSD e nos derivados do FreeBSD que suportam o FreeBSD e não o OpenBSD (estranho ele atacar Juniper e não a NetApp ou Isilon né? Ah não a NetApp doa umas doleta pro OpenBSD e a Isilon ja doou no passado… então melhor focar na Juniper hehehe).

A implicância vai aumentar na BSDCan ’14 porque o Theo sempre tem outra implicância com os desenvolvedores do PaX, o PaX é o patch que “inventou” o ASLR, inclusive o próprio ASLR do Linux e Windows é uma versão mais simples (e frágil), dito menos seguro que o PaX. Eu não sei qualquer detalhes pra ter opinião sobre o quão o PaX é melhor do que XYZ mas cada afirmação que o Theo ja fez sugerindo que o ASLR no OpenBSD seja melhor que no PaX ele tomou patadas com 2 pés argumentando o contrário.

Então qual ASLR seria natural sistemas BSD adotarem? O do OpenBSD neh? Como fez o DfBSD. Só que o FreeBSD resolveu ir de PaX[1] hehehe assim como o NetBSD. 

Ou seja os argumentos do Theo estão cada vez menores e jaja ele terá que atacar o PaX por ser mais adotado até em BSD do que o ASLR do Open.

Bom, de qualquer forma quando o ASLR não for mais um argumento, o Theo terá que inventar outra coisa pra atacar outro mudar o alvo. Agora o mais ironico é que quando alguém melhora e se distancia do que foi feito no Open, (CARP, PF FreeBSD e PF Mac OS X) também irrita o Theo. Ou seja se você usar o ASLR do Open e melhora-lo ou fizer uma mudança que o Open não puder usufruir ou fazer melhor (ie, multithread) também vai irritar o Theo.

Agora na minha opinião, o Theo mais ajuda do que atrapalha mesmo quando resolve implicar e atacar. Realmente deve magoar o peito ver o tcpdump reconhecendo CARP com VRRP e não ter um número pro CARP hehehe, e pq não tem? Deveria mesmo ter, tomara que ele seja ouvido.

Quando ele resolve manter seu próprio BIND na base ele ta certo. Agora resolveu manter o próprio OpenSSL, ta certo também.

Quando resolveu atacar o FreeBSD por não ter ASLR mesmo o FreeBSD tendo outros recursos que se usados geram isolamento de fato e controle MAC sobre páginas memória, muito além da mera randomização de layout de páginas, apesar de ser irritante é o jeito que ele fala e o fato de na prática não ter uma prova que o ASLR sequer um dia fez falta em um evento de exploitabilidade, é também positivo claramente pois fez o FreeBSD se mexer e enfiar ASLR (PaX based) no 11-CURRENT. Ou seja de tanta coisa complexa e que levou tempo feito no FreeBSD em termos de segurança, especialmente pelo Robert Watson, o ASLR foi mesmo negligenciado e agora ta la, quem sabe role até MFC (não sei o impacto).

Ou seja o Theo está certo, em tudo que faz e quase tudo que diz, IMHO, e mesmo as provocações as vezes feitas de forma grosseira ou deselegante, são também positiva. Pena que não são críticas construtivas, são ataques, mas pra serem construtivas é positivas basta algum bom senso do interlocutor.

O Theo é o pai, o OpenBSD é o filhote, natural enautecer a cria.

E quando ele não tiver mais o ASLR pra achar feio no filho dos outros e dizer que no filho dele é mais bonito. Que ele invente outra coisa, torço que invente, e que essa outra coisa faça sentido. E se for o caso o FreeBSD corrija/faça/melhore, o Linux corrija/faça, etc.

Diferente do Stallman (de novo, opinião pessoal) e tantos outros, o Theo faz mais bem à comunidade do que mal, em cada ataque ou crítica que dispara.

[1]http://www.bsdcan.org/2014/schedule/events/452.en.html

--
Patrick Tracanelli

FreeBSD Brasil LTDA.
Tel.: (31) 3516-0800
316601 em sip.freebsdbrasil.com.br
http://www.freebsdbrasil.com.br
"Long live Hanin Elias, Kim Deal!"

Mais detalhes sobre a lista de discussão freebsd