[FUG-BR] [OFF-TOPIC]Palestra sobre segurança by Theo de Raadt

[Evandro Nunes]

2013/12/30 Marco Carvalho de Oliveira <demoncyber em gmail.com>

> Olá,
>
> Sei que está e uma lista de FreeBSD, no entanto como o tema de segurança
> envolve as áreas a fim deste tema, logo acredito que esta palestra do The
> Raadt, dando umas cutucadas em algumas funcionalidades ainda não
> habilitadas no FreeBSD para mitigar falhas de segurança seja
> interessante... é uma palestra recente que aconteceu na ruBSD 14 /2013, o
> tema é antigo ao mesmo tempo atual :o visto que estas funcionalidades a
> séculos já eram comentadas e tratadas por ele no OpenBSD ...
>
> Eu fico imaginando X) a moral deste cara palestrando para um exercito de
> usuários de desenvolvedores de FreeBSD... !!! e ainda na Rússia!!!
>
> Segue o Link
> http://www.openbsd.org/papers/ru13-deraadt/mgp00001.html
>

theo é um cara bom mas profissionalmente frustrado sabe-se-la-pq, e que
anualmente imprime a foto de alguem/algumaempresa e coloca no seu quadro de
tiros pessoal, antes do freebsd foi a intel, antes da intel foi a cisco
antes da cisco foi o linux, uma pena ele atacar outros sistemas bsd agora
ao invés de contribuir de forma mais relevante
theo de raadt é 12 milhões de dólares mais pobre porque o departamento de
defesa escolheu o FreeBSD ao invés do OpenBSD pra segurança
com 1 milhão investido em ambos o openbsd fez o W^X que o theo defende
nessa palestra 10 anos depois enquanto o freebsd começou a la o tal de
granularization que permitiu a criação do mac e hoje do capsicum mas que na
epoca ninguem viu resultado porque era estrutural

bom 10 anos depois e 12 milhões de dolares depois acreditem esse ataque do
theo não é coincidencia
em 2014 termina os 10 anos desse contrato e com o capsicum o freebsd
termina o objetivo final do contrato e implementa tudo que o theo disse que
seria impossivel, o que o theo não disse é que o mac_mls, mac_partition e o
capsicum são 3 formas de isolamento que mitiga o risco que ele está
apontando o dedo, mas o que o theo disse pra tambem se previnir com essa
alegacao e que ele quer tudo habilitado por padrao e no freebsd apesar de
ter mac no kernel generic nao tem politicas mac aplicadas por padrao (nem
acho que deve ter quem ja trabalhou com mac sabe o motivo)

o robert watson na usenix sei la que ano mostrou uma forma generica de
escapar disso tudo inclusive do W^X e do systrace do openbsd então o que
ele está defendendo ja teve sua eficiencia derrubada no ultimo slide ele
mostra isso deixando claro que dificulta mas nao evita
la na russia ele falou o que bem quis, vamos ver se ele escolhe o mesmo
tema pra bsdcan2014 ou alguma conferencia na california ou NY na russia nao
tinha ninguem do freebsd capaz de argumentar com o theo sobre seguranca (
http://tech.yandex.com/events/ruBSD/2013/) o gleb era o unico presente mais
ligado ao src/sys mas o foco dele é networking



> --
> Marco Carvalho de Oliveira
> Gerente de Projetos de TI - Políclinica São Lucas
> LPI 3 - Linux professional Certificate
> Certified Linux Administrator da Novell
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>