No passado os coders do Kernel de linux sempre se orgulharam da frase "We prefer to fully disclose the bug as soon as possible." no entanto nos últimos tempos o Kernel tem seguido uma política de obscuridade o que a meu ver, e ao contrário do que o Linus apregoa, esta postura trás mais malefícios que benefícios.
Para que eventuais hackers não explorem bugs que já se encontram corrigidos na ultima versão, os administradores de sistemas não são avisados de que foram corrigidos bugs que põem em causa a segurança dos sistemas. Estamos a andar para trás e o Brad Spengler expõe bem a situação dando até o exemplo do sys32_ptrace fix.
"If fifty million people say a foolish thing, it is still a foolish thing"
View Comments
Full-disclosure, mas pouco!
Fri Jul 18 12:52 2008
Fri Jul 18 15:15 2008
Se leres a thread na LKML, vais ver que não se trata de obscurecer os security fixes. A opinião do Linus é que as alterações que corrigem falhas de segurança devem ser identificadas tal como quaisquer outras, e não devem obedecer a nenhum formato especial nem conter informação extra.
A guerra entre os que defendem full disclosure e os que defendem a segurança pela obscuridade existe mesmo porque se calhar o ideal é não esconder as falhas, mas também não as destacar desnecessariamente.
Quando uma nova versão do kernel é declarada como corrigindo falhas de segurança, é suposto os utilizadores irem ver quais são essas falhas e decidir se vale a pena actualizar ou não. Para isso é que se faz full disclosure, não é para facilitar a vida aos black hats.
A guerra entre os que defendem full disclosure e os que defendem a segurança pela obscuridade existe mesmo porque se calhar o ideal é não esconder as falhas, mas também não as destacar desnecessariamente.
Quando uma nova versão do kernel é declarada como corrigindo falhas de segurança, é suposto os utilizadores irem ver quais são essas falhas e decidir se vale a pena actualizar ou não. Para isso é que se faz full disclosure, não é para facilitar a vida aos black hats.
Fri Jul 18 16:03 2008
"Quando uma nova versão do kernel é declarada como corrigindo falhas de segurança, é suposto os utilizadores irem ver quais são essas falhas"
O problema é existem falhas de segurança que não estão sequer a ser identificadas como tal (muito menos está a ser dada informação específica), daí o sysadmins não fazerem updates, já que o normal é não mexer se está tudo a funcionar como esperado e não existem correcções de segurança na nova release.
Essa coisa de "Um bug é um bug, seja de "cosmética" seja de segurança" e não os diferenciar nas notes das releases só vem beneficiar os black hats pelos conhecimentos de hacker que têm, um sysadmin normalmente tem menos conhecimento para distinguir a gravidade dos bugs e menos tempo também. O resultado é que os exploits vão surgir, talvez um pouco mais tarde admito, mas vais ter mais sistemas vulneráveis nessa altura.
"The kernel was released with no mention of security vulnerabilities in the announcement, only "assorted bugfixes".
O problema é existem falhas de segurança que não estão sequer a ser identificadas como tal (muito menos está a ser dada informação específica), daí o sysadmins não fazerem updates, já que o normal é não mexer se está tudo a funcionar como esperado e não existem correcções de segurança na nova release.
Essa coisa de "Um bug é um bug, seja de "cosmética" seja de segurança" e não os diferenciar nas notes das releases só vem beneficiar os black hats pelos conhecimentos de hacker que têm, um sysadmin normalmente tem menos conhecimento para distinguir a gravidade dos bugs e menos tempo também. O resultado é que os exploits vão surgir, talvez um pouco mais tarde admito, mas vais ter mais sistemas vulneráveis nessa altura.
"The kernel was released with no mention of security vulnerabilities in the announcement, only "assorted bugfixes".
