Nos últimos dias, usuários do Arch Linux tiveram dificuldades para acessar o repositório AUR, como resultado de um ataque DDoS. O problema agravou-se a partir de 12 de agosto, com pico no dia 16.
Um ataque DDoS (Distributed Denial of Service) sobrecarrega um serviço com um grande volume de tráfego de múltiplas fontes, tornando-o inacessível para usuários legítimos.
Em posts no Reddit e em uma lista de e-mails, os mantenedores do Arch confirmaram que o ataque DDoS está afetando vários serviços, incluindo o AUR. Que estão cientes do problema e trabalhando para resolvê-lo.
Até o momento em que o artigo foi escrito, a equipe do Arch Linux não havia divulgado um comunicado oficial sobre o incidente. No entanto, eles estão se esforçando para resolver a situação e minimizar os impactos.
Essa não é a primeira vez que o AUR enfrenta problemas. Antes desse ataque, houve a inserção de software malicioso no repositório.
Pra mim parece um ataque coordenado com o que inseriu backdoor do AUR. Este repositório é muito “apetitoso” e uma porta de entrada sedutora para o Arch Linux.
acho que o buraco é mais embaixo. creio que o AUR seja alvo para se acessar o arch a partir de um repositório pessoal. isso daria uma vantagem enorme pra quem conseguisse, num linux instalado em trocentas máquinas mundo afora.
aquela história do backdoor é só a ponta do iceberg. creio que haja outros pacotes comprometidos há muito tempo.
bons ataques são assim… você não vê, não sente, mas quando descobrir…
Eu não uso o ARCH… nunca usei e provavelmente não usarei… Pelos múltiplos relatos que ultimamente são frequentes, de reiterados casos de vírus, malwares neste tal de AUR, não me parece confiável… Talvez um usuário comum possa se arriscar por não haver dados sensíveis ou críticos, mas para empresas e profissionais sérios, sem chance. Não me lembro de nada parecido com outras distros. Isso é muito sério.
“Profissionais Sérios?”. Não entendi o teu argumento. Tu não usa e nunca vai usar conforme disse. Qual é a relevância em adjetivar todos que usam como profissionais não sérios?
Um profissional sério se preocupa com questões que são relevadas por profissionais não sérios, e a segurança é um item importantissimo para profissionais sérios. Seriedade e profissionalismo andam de mãos dadas com segurança.
E eu fiz questão de comentar sobre (mesmo eu sendo enfático de não usar) para servir de alerta mesmo… ANTES da preferencia pessoal, para um profissional sério vem a diretriz de segurança.
Não seria uma característica de um profissional sério saber separar as coisas?
Vou ser gentil com você, apenas desta vez. O AUR não é um repositório oficial do Arch, mas sim um repositório comunitário, aberto a qualquer pessoa, que conta com verificações automáticas feitas por robôs. Existe, inclusive, uma página inteira de recomendações para o seu uso — exatamente como acontece com repositórios similares em outras distribuições.
Acho que você quis dizer que um profissional sério deve ser criterioso. Mas você já começou mal o argumento. Dá para perceber que não entende nada sobre o AUR e ainda sobra adjetivo para criticar profissionais que utilizam Arch Linux.
Talvez o que você quisesse dizer é que um profissional sério não deveria utilizar pacotes desconhecidos do AUR. Nesse ponto eu até concordaria. Agora, associar isso de forma generalizada é ignorância — ou, no mínimo, um complexo de superioridade.
Não vou continuar essa discussão. Lamento se você se sentiu ofendido. Sua tentativa de desqualificar meu argumento é conhecido (argument at hominem) quando não se pode refutar um argumento, se ataca quem argumentou com o intuito de desqualificar a discussão. Tem muito disso aqui. Lamento se você se sentiu ofendido. E lamento se sua escolha pessoal foi alvo da minha intervenção. Mas, ela é pertinente e válida, quer você goste ou não.
Você precisa ir la conversar com o Gabe (Steam) e falar que ele escolheu a base errada para o SteamOS.
Arch é Linux, é uma base consolidada e com certeza se tivesse alguma falha de segurança iria aparecer. Agora sobre o AUR que não é um repositório oficial, acontece que alguém com más intenções subir algo com má intenção, como acontece em qualquer outro repositório não oficial de qualquer outra distro.
Porém, é só mais um ataque de algum hackerzinho que teve seu ego ferido… Logo isso passa.
A todo segundo tem ataque, hora do Arch abrir um espaço e doação para proteção desses ataques. Se não existe, a comunidade fará existir. Esse é o lado certo de olhar as coisas.
Acho que concordamos que se ninguém sentir um ataque de negação de serviço, na verdade ele foi péssimo.
Esse risco está presente em qualquer repositório comunitário. O COPR do Fedora e o Open Build Service da SUSE fazem recomendações idênticas às do AUR em relação à segurança (verificar a identidade de quem enviou o pacote e as instruções de compilação).
Parte do motivo de eu ter voltado à base Arch depois de um breve tempo no Fedora é o fato de ser muito mais fácil verificar um PKGBUILD do AUR do que um SRPM do Fedora — até onde sei, não há nada comparável às comparações lado-a-lado que helpers do AUR fazem ao puxar/atualizar o PKGBUILD, e, se houver, você teria que rodar manualmente antes do DNF.
Você não encontra ataques parecidos no Ubuntu e no Debian porque eles não fornecem um serviço parecido para seus usuários, e, devido à fama e à estabilidade, é mais fácil encontrar repositórios criados pelos desenvolvedores do próprio programa.
Em nenhum momento ele desqualificou você (ou qualquer grupo de pessoas). Ele disse que, devido ao AUR ser um repositório comunitário que não faz parte por padrão da distribuição e de conteúdo facilmente auditável, o Arch é sim compatível com o uso por profissionais sérios. Colocar o AUR como uma mancha na reputação do Arch seria como usar o incidente do EvilGnome para dizer que ninguém deveria usar o GNOME.
Fora do AUR, os repositórios oficiais seguem todas as boas práticas de desenvolvimento recomendadas das grandes distribuições Linux (como pacotes reproduzíveis, assinaturas digitais, etc.).
Como eu disse em outro tópico:
Até esse ataque ocorrer, não vejo motivo para considerar o AUR um perigo maior do que qualquer outro repositório de terceiros.
rapaz, penso o mesmo. sou filho do debian stable e qualquer coisa fora disso me deixa arrepiado. sempre mantive uma distro “atrasada” e me atendia muito bem. agora que tem flatpak, posso ter o mais avançado numa base estável.
achei o arch muito “novidadeiro” pro meu gosto mas é uma excelente distro pra quem tem paciência.
Ele mudou o texto (o que é bom!), mas fica o alerta: não é saudável desviar do ponto central de uma discussão para se apegar a um detalhe ou para tentar diminuir a pessoa que levantou o argumento. Esse tipo de recurso não só não resolve a questão, como também transmite a impressão de tentativa de desqualificação do argumento por meios indiretos. É feio — e, infelizmente, muito comum.
Na verdade, não restringi meu comentário apenas a ataques DDoS, mas a “ataques” em sentido mais amplo. Talvez eu devesse ter sido mais claro, excluindo especificamente os de força bruta.
E aqui voltamos ao cerne da discussão: segurança.
Uma empresa séria não escolhe software de forma aleatória. Existem métodos, padrões, critérios técnicos. Entre eles, a segurança é um dos pilares centrais na escolha de um sistema operacional. Essa decisão é baseada no histórico da distribuição. Se ela já apresentou falhas — sobretudo falhas graves — isso, por si só, já é suficiente para tirá-la da pauta de seleção.
Veja se Debian, Ubuntu ou Red Hat carregam esse tipo de histórico recente. Isso impacta diretamente a confiança.
Imagine uma empresa que adota um sistema operacional vulnerável a partir de repositórios oficiais, mantidos pela própria base que sustenta milhares de clientes, sites e bancos de dados.
Eu entendo que a filosofia do Arch Linux, com seu modelo rolling release, pode ser atraente em termos de novidade e flexibilidade. Mas não para servidores. Servidores exigem estabilidade e previsibilidade. Isso é profissionalismo.
Como profissional da área, considero irresponsável recomendar — e pior, defender publicamente — um software que apresenta recorrentes notificações de falhas de segurança. Onde fica a responsabilidade? Onde fica o senso crítico?
Emitir opinião em fóruns e espaços públicos não é apenas uma questão de gosto pessoal: quem lê pode estar buscando orientação técnica. Isso exige responsabilidade e rigor qualitativo. Me desculpem os fãs do Arch, mas não há como, racionalmente, defendê-lo para esse tipo de cenário.
Recomendá-lo para uso pessoal? Ok. Agora, transformá-lo em uma bandeira ideológica, como se fosse uma luta do bem contra o mal… é beirar a irresponsabilidade.
É sobre isso… É sobre onde está o seu foco…
Infelizmente, isso reflete também um sintoma da nossa sociedade: a dificuldade crescente de distinguir preferências pessoais de critérios técnicos. Mesmo em espaços que deveriam priorizar a orientação pragmática, baseada em conceitos sólidos, vemos discussões descambando para a torcida organizada.
E, para deixar claro: não é um ataque a ninguém, mas sim um chamado à crítica pessoal e responsável diante de diferentes pontos de vista.
Aponte uma falha de segurança, má prática, ou negação de serviço no repositório oficial do Arch.
E antes que diga “o AUR existir”, o repositório oficial explicitamente exclui qualquer ferramenta que interaja com o AUR justamente para incentivar os usuários a usá-lo com mais consciência e tratá-lo como o que é, não muito mais que um “Pastebin” de scripts para criação de pacotes. O Ubuntu deixa de ser uma distribuição segura porque rotineiramente rodam-se comandos no formato curl | bash nele? Haveria esse alarde todo se um script malicioso — ou feito de maneira incompetente — fosse encontrado no fórum oficial do Ubuntu, ou no paste.ubuntu.com?
Fechar o AUR para melhorar a reputação da distribuição (ou “tornar séria”/“fechar uma porta de entrada para vulnerabilidades”, etc.) seria um grande desserviço. É um meio de troca de experiências, produz pacotes que beneficiam vários usuários (a grande maioria dos quais é honesto, tanto que aparecer um ou dois maliciosos chama a atenção), e ele é a porta de entrada para candidatos ao time de desenvolvimento da distribuição.
Fora que, como uma distribuição rolling release que sempre puxa os últimos pacotes, ela já não é a primeira escolha para ambientes profissionais, em que minimizar custos de manutenção é mais importante que receber os últimos recursos (e em ambientes comerciais onde essa prioridades estão invertidas, o Arch mostra-se uma boa escolha, vide SteamOS).
