Distro LinuxFX enfrenta problemas após vazamento de dados

https://diolinux.com.br/noticias/linuxfx-problemas-vazamento-de-dados.html

Recentemente o projeto LinuxFX passou por um vazamento de dados e no artigo de hoje, você irá saber um pouco mais sobre essa história e o que aconteceu no decorrer dela.

4 curtidas

A Proposta desse projeto é tipo proteína vegetal idêntica a carne bovina para veganos e ainda é paga, acho estranho, mas cada um é livre para criar e usar o que quiser.

a falha vai ser corrigida se já não foi, é algo simples refatorar a ativação via api, usar imagens de uma empresa como a microsoft é sempre por um alvo nas costas, ele deve ter assumido o risco, espero que resolva isso e evolua o projeto, propagando é o que não falta agora.

5 curtidas

São distribuições como essa que acabam com a imagem do Linux… ninguém precisa de uma cópia do Windows! Se eu fosse sugerir uma distribuição para um usuário iniciante eu iria sugerir outra coisa, não isso.

7 curtidas

Além de acabar com a imagem do Linux em geral, mancham a imagem das distros brasileiras.

6 curtidas

Gostei de ver a matéria do blog Diolinux convergir em impressões e conclusões com o que expusemos no outro tópico quanto à falha de segurança de dados e às reações do desenvolvedor do Linuxfx.

Não falta espaço a distros amigáveis a quem está muito acostumado ao Windows. E não faltam distros. Além de Linux Mint e do Zorin OS, temos uma que acabou de atualizar de edição, o Linux Lite. E quem busca um sistema muito trabalhado para fazer rodar, com praticidade, programas para Windows pode experimentar o Robolinux.

6 curtidas

Pra mim o comportamento do desenvolvedor foi imaturo e muito irresponsável, além de não ter visto agilidade pra se posicionar, as providencias que foram tomadas foram vergonhosos, não só pelo tipo de atitude que foi tomada pra tentar resolver o problema mas sim sobre como fizeram questão de tirar sarro da pessoa que reportou o problema.

Imagina se fosse alguém com más intenções? o cara não ia falar nada e ainda poderia praticar essa vulnerabilidade sei lá onde!

Karnal também fez criticas muito duras com os desenvolvedores, mas afinal de contas estamos falando de um problema sério de segurança e que abre margem para duvidarmos dos demais componentes do sistema e talvez possíveis falhas de segurança, é uma pena ter a sensação de que falta um especialista em segurança no time de desenvolvedores.

6 curtidas

Tá de sacanagem que o cara ainda meteu uma piadinha, lamentável.
É por essas e outras que nunca dei bola pra esse sistema, francamente, não sei como ele ainda existe!

4 curtidas

Quando eu disse que essa distribuição tinha Backdoor de fábrica, me criticaram. Apontei que Scripts remotos podiam ser executados na distro, levei block nesse fórum.

Agora estão vendo que eu estava certo! Continuem usando vossas refisefuquis! Vai dar tudo certo :pray:. Afinal Linux feito pelos açougueiros da esquina é seguro!

4 curtidas

Você e meio Mundo Linux já vinham apontando um monte de coisa estranha no Linuxfx.

E, sim, vamos continuar usando “refisefuquis” como Zorin OS, Linux Mint, MX Linux, Q4OS, Linux Lite etc. Todos excelentes projetos.

6 curtidas

Acho q, ano passado 1 canalzeco mimizento fez 1 vídeo tendencioso, afirmando q uma criação exclusiva do LinuxFX, por não ter o código fonte liberado, tratava-se de 1 backdoor.
O criador, porém, deixou claro q não liberava o código, por conta de querer q seja algo exclusivo de seu projeto.
Pessoal pegou aversão a seus comentários, justamente pela forma extremamente negativa/agressiva q se posiciona. Logo, qualquer comentário útil e importante q faça, o pessoal acaba recebendo-o como: de novo esse cara atacando algum projeto.

Comigo estava sendo assim, mas depois q consegui reduzir essa negatividade, percebi bons argumentos.

Né!? :+1:

1 curtida

Não pus o Tiger OS na lista porque me recurso a classificá-lo como “refisefúqui”.

Aliás, o Linux Mint, “aquele projetinho que vampiriza o Ubuntu”, acabou de assumir o desenvolvimento do Time Shift. O desenvolvedor original decidiu parar seu trabalho com o programa.

2 curtidas

Antes fosse só a falta de código fonte.
A questão da falta de código fonte era importante pois o desenvolvedor afirmava no site que a distribuição era software livre, mas na verdade não é bem assim. Ele induzia o usuário a acreditar a estar usando software livre, quando somente usuários experientes realmente sabiam a verdade. É uma questão de honestidade.

Mas a distribuição tinha, e talvez continue tendo, outro problema (não acompanhei as novas versões): um sistema de atualização rodando como root no plano de fundo, fazendo comunicação com um servidor que baixava um script de atualização e demais pacotes de atualizações que não estão incluídas nos repositórios. Mas quem garante que somente a atualização era executada? O script poderia ser modificado para obter informações dos usuários, inclusive até mesmo arquivos dos computadores dos usuários.

É necessário confiar que o desenvolvedor vai sempre ser honesto e nunca vai prejudicar os usuários, e mais que isso: vai garantir a segurança do serviço de atualização para que ele não seja explorado por hackers com o objetivo de obter dados dos usuários, executar Scripts remotos e até mesmo infectar as máquinas com softwares maliciosos.

Outras distribuições usam processo de atualizações mais transparente aos usuários. Zorin e Mint possuem seus próprios repositórios de pacotes que podem ser verificados pelos usuários a fim de realmente saber o que estão recebendo em suas máquinas.

Mesmo assim, esse mundo das remasterizações é uma relação de confiança entre usuários e desenvolvedores. O Mint já quebrou essa confiança no passado quando distribuiu uma versão modificada do Banshee com o objetivo de desviar recursos dos desenvolvedores daquele aplicativo para o bolso do Clement. Houve outra distribuição, a qual já esqueci o nome e felizmente morreu, que distribuía alguns softwares livres não comuns nas outras distros com um novo nome e dizia serem “exclusivos” e desenvolvimento próprio, mas na verdade eram de terceiros.

É meus amigos, o mundo do software livre é imperfeito. Tem muitos aproveitadores! E claro que há quem pode lançar distribuição linda e maravilhosa para explorar os usuários. Afinal, a maioria trouxe ao Linux os mesmos vícios do Windows. Então não é difícil enganar um usuário Linux pra ele executar software malicioso, basta colocar um papel de parede massa e fazer um bom marketing.

1 curtida

Longe de mim querer ser o cara chato mas vc esqueceu do Ubuntu

1 curtida

Tem razão. “Refísefúqui” do Debian.

Mas voltemos ao Linuxfx, ao vazamento de dados de 20 mil clientes e os desdobramentos do caso…

1 curtida

Então, execução remota de scripts (ou software remoto no geral) não é necessariamente um backdoor, pra ser um backdoor essa brecha precisa ser diretamente exploravel como foi a falha no MySQL dos caras, um erro estranho de analise que muita gente está falando é que a falha está no sistema Linux FX (eu realmente me sinto desconfortável falando esse nome, mas anyway) quando na verdade está no servidor que hospeda o banco de dados dos caras, a única falha no FX é basicamente a ativação aberta pelo que o Karnal expôs você não consegue rodar comandos arbitrários nas máquinas com LinuxFX

Sério que vc coloca Ubuntu, Mint, Zorin… No mesmo saco que o LinuxFX?

A questão é que esse é basicamente o mecanismo de atualização automática de praticamente qualquer sistema operacional

Exceto que não, você pode ver de onde os pacotes estão sendo baixados, mas você verifica se em algum pacote possui uma das linha?

echo 'alias ls=evil' >> /etc/profile
echo 'alias ls=evil' >> ${HOME}/.profile

Assim fica meio óbvio que tem problemas mas linhas assim facilmente passam desapercebidas, enfim, em ambos os cenários vc precisa confiar em quem te envia os pacotes