O código nosso de cada dia nem sempre é um mar de rosas

A matéria não é nova. Vem de fevereiro pp e fala do backdoor “Bvp47”, existente ao menos há 10 anos, que supostamente permitia espionagem pela NSA (agência norte americana).

Então vamos laá: quem descobriu o dito-cujo?

A empresa de segurança digital Pangu Lab, chinesa, que em “determinado mês de 2013, durante uma investigação forense aprofundada de um host (…), pesquisadores do Pangu Lab extraíram um conjunto de backdoors avançados na plataforma Linux, que usavam comportamento avançado de canal secreto baseado em pacotes TCP SYN , ofuscação de código, ocultação de sistema e design de autodestruição.”

Mas a pergunta que não quer calar: como a “comunidade” não detectou da backdoor, que ninguém tenha detectado esse tráfego em rede, que tenha permanecido incólume há 10 anos? Entre 2016/2017, o grupo hacker “The Shadow Brokers” vazou dados que permitiram descobrir o funcionamento da backdoor e toda a tramóia foi entendida.

Quem o fez foi uma empresa chinesa, descobrindo que, ao menos, 287 alvos em 45 países, incluindo Rússia, Japão, Espanha, Alemanha, Itália e Brasil, foram “espionados”. E nada foi descoberto ou, se o foi, não foi relatado. Alguém da “comunidade” o fez ou foi impedido de fazê-lo?

Ou será que ter o código aberto não é mais suficiente para garantir “segurança” ao isfenicídio? De que adianta poder ler o código se, para isso, tem de se saber lê-lo em milhões de linhas? Creio que teremos de mudar nossos parâmetros de segurança e entender que abrir o código não é mais suficiente.

Relatório da empresa chinesa: https://www.pangulab.cn/files/The_Bvp47_a_top-tier_backdoor_of_us_nsa_equation_group.en.pdf

Artigo: The Bvp47 - a Top-tier Backdoor of US NSA Equation Group | Beijing Qi an Pangu Laboratory Technology Co., Ltd

Artigo em português: Backdoor para Linux ligado ao governo dos EUA é revelado após quase 10 anos – Tecnoblog

1 curtida

Como ninguém está comentando mais isso?

Sinceramente, o Kernel Linux não é sinônimo de segurança,
a equipe do Hyperbola GNU já desistiu do Kernel Linux por não ter foco em segurança no desenvolvimento Link.

Não é incomum aparecer bug não descoberto no Linux por anos…

1 curtida

Isso acontece em qualquer sistema. Vale ressaltar também que a comunidade do Linux é a mais rápida em corrigir bugs.

Nenhum sistema é sinônimo de segurança, nem o MacOS.

Isso me parece coisa de extremistas do software livre, que não usam nem drivers propietários…

Fato é que isso de que o Linux não tem vírus tem que ser desmistificado: Firewalls, antivírus e cuidado ao instalar aplicativos são fundamentais para segurança.

2 curtidas

…só que não. Segundo o pesquisador de segurança da Google Kees Cook, um bug no Kernel Linux demora em média 3 anos para ser corrigido. Unsafe at any clock speed: Linux kernel security needs a rethink | Ars Technica

???

Seja “extremista de SL” ou não, o ponto ainda é válido, “Linux kernel being written without security and in mind. (KSPP is basically a dead project and Grsec is no longer free software)”.

O Kernel Linux não é feito por uma equipe fechada, mas sim por desenvolvedores ao redor do mundo. O ponto negativo? Se ninguém verificar o código, como saber se estão colocando coisa ruim lá? Universidade de Minnesota já fez isso.

1 curtida

Você acha que existe algum sistema ou kernel que seja sinônimo de segurança?

Esse artigo é de 6 anos atrás.

Não é incomum aparecer bug em SO ou kernel, todos tem as suas falhas, afinal são feitos por pessoas e pessoas erram. O que dá pra exigir é a correção rápida desses erros, não dá pra exigir que nunca aconteçam.

Você está familiarizado com o modo de trabalho do kernel Linux? Eles não aceitam código assim, obviamente tem verificações, não é terra sem lei e sem dono.

E de fato é, extremismo nunca é bom em nada, mais atrapalha do que ajuda

1 curtida

E?

No mundo ideal seria assim, mas no mundo que vivemos temos casos como o da universidade de Minnesota.
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.12.7
Mais de 80% do desenvolvimento do Kernel Linux é pago por empresas fechadas.

Verificar cada commit de todos os desenvolvedores ao redor do globo leva tempo e é muito custoso, não é como um grupo fechado de desenvolvedores do projeto.

Estão usando um argumento sem sentido para retirar o foco do núcleo do ponto.

1 curtida