Hardware Linux Windows 

CanSecWest 2008

Marco Mapa 0 Comentário

Há mais ou menos um mês atrás ocorreu um evento chamado CanSecWest 2008, (você deve estar pensando....o que é isso, não é mesmo? Bem, este evento ocorre anualmente e tem o propósito de encontrar vulnerabilidades em sistemas operacionais. Aqui vai uma descrição mais detalhada:

O Evento

Durante a CanSecWest 2008, uma conferência que tem foco em segurança digital, foram testados 3 notebooks durante o OWN Contest, são eles:

1. VAIO VGN-TZ37CN rodando o Ubuntu 7.10
2. Fujitsu U810 rodando o Vista Ultimate SP1
3. MacBook Air rodando o OSX 10.5.2

Todos os equipamentos foram atualizados com os últimos patchs de segurança disponíveis.

O Desafio

O OWN Contest consistia em descobrir em 3 dias uma nova vulnerabilidade e após isto criar um hack/exploit para explorar a falha nos sistemas oferecidos para o teste. Os participantes que conseguissem encontrar uma falha e explorá-la seriam premiados, os prêmios diminuíam conforme o tempo passava, no primeiro dia o prêmio tinha o valor de 20 mil dólares, no segundo dia o valor do prêmio era de 10 mil dólares e no terceiro dia o valor pago seria de apenas 5 mil dólares.

As regras

No primeiro dia as regras do desafio consistiam em tentativas de invasão através da rede, sem contato direto com os notebooks. No segundo dia já era possível interagir com os notebooks e tentar utilizar técnicas que envolviam acesso com privilégios de usuários comuns. Nestes testes eles podiam acessar sites maliciosos com o navegador ou abrir e-mails com arquivos maliciosos. Se no terceiro nenhum dos notebooks fosse invadido, os participantes estariam liberados para testar softwares de terceiros, eles poderiam tentar instalar o skype por exemplo e através deste software tentar comprometer o sistema.

Os Testes

No segundo dia de testes Charlie Miller conseguiu em menos de 2 minutos encontrar uma vulnerabilidade no navegador web SAFARI (navegador do OSX da apple) e criar um hack para explorá-la, com isto ele acabou ganhando então um prêmio de 10 mil dólares da 3COM, uma das patrocinadoras do evento.

No terceiro dia de testes Shane Macaulay conseguiu encontrar uma vulnerabilidade no windows vista sp1 e elaborou um hack para se aproveitar dela, ele fez isto com uma pequena ajuda de seu amigo Alexander Sotirov (pequisador e membro da equipe de desenvolvimento do vmware) e seu colega de trabalho Derek Callaway.

Segurança

Infelizmente segundo as regras do desafio Miller e Macaulay não podiam revelar detalhes das vulnerabilidades descobertas, mas Miller deu uma dica, segundo ele foi graças a plataforma JAVA instalada no sistema que ele encontrou a possibilidade de burlar algumas proteções de segurança do windows vista SP1, inclusive em entrevista ele afirmou que a mesma vulnerabilidade pode ser explorada no OSX ou Ubuntu.

Ninguém dentre os 400 participantes conseguiu encontrar uma vulnerabilidade e explorá-la no Vaio com o Ubuntu 7.10 nos 3 dias do desafio.

O Ubuntu foi o OS vencedor do desafio no quesito segurança!!!

Após o evento, pode-se encontrar na internet muitas especulações sobre a falta de empenho dos hackers em encontrar vulnerabilidades no Ubuntu comparado com o mesmo empenho para encontrá-las no windows vista sp1 e OSX da Apple, mas como disse é tudo especulação.

Vale a pena citar que há mais ou menos duas semanas atrás foi lançado uma nova versão do Linux Ubuntu denominada 8.04 (os nomes são uma beleza....). Na qual os principais desenvolvedores dizem que esta versão foi ainda mais “aprimorada”, nos requisitos segurança e melhor desempenho.

Confesso que sempre tive um pé atrás com o Ubuntu, mesmo sempre sendo um fã da família GNU/Linux, eu optava em trabalhar com outros exemplares , mas, depois de tantos elogios, resolvi conhecê-lo mais de perto e estou testando ele em algumas máquinas e tenho de reconhecer.....ele realmente é muito estável... e olha........quem me conhece sabe, que eu gosto de fuçar ;D

Outra coisa importante que quero frisar aqui, é que não sou nenhum “anti-microsoft” ou “anti-apple”, pelo contrário, eu sempre reconheço e procuro divulgar as vantagens que encontro em cada sistema diferente. Acima de tudo, trabalho na área de tecnologia com ambos sistemas e seria imprudente de minha parte favorecer um ou outro.

Mas, o que quero deixar aqui é a informação de que cada vez mais os sistemas Linux estão crescendo e se tornando melhores do que suas versões anteriores. Isso deve chamar a nossa atenção pois, como todos sabemos, praticamente todas as suas distros são gratuitas e de livre uso. Com isso a tendência é que cada vez mais usuários adquiram computadores de fábrica que venham com ele pré-instalado ou então usuários que migrem para software GNU. Então, mais uma vez venho dizer que nós técnicos temos de trabalhar com outras categorias de softwares, precisamos estar preparados para tudo, não é mesmo?

Conclusão

Parabéns a equipe Ubuntu e principalmente parabéns aos sistemas GNU/LINUX, pois o Ubuntu , representou muito bem a família no evento, dando um showzinho à parte, demonstrando sua qualidade, estabilidade e a qualidade do método de desenvolvimento colaborativo.

Referências:
http://cansecwest.com/
http://dvlabs.tippingpoint.com/blog/2008/03/19/cansecwest-pwn-to-own-2008
http://www.linuxworld.com/news/2008/032908-with-vista-breached-linux-unbeaten.html?fsrc=rss-linux-news
http://www.networkworld.com/news/2008/032708-gone-in-2-minutes-mac.html
http://www.networkworld.com/news/2008/032708-hacker-super-bowl-pits-mac.html?page=2
http://www.noticiaslinux.com.br/nl1206930518.html

Marco Mapa

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Qual o Resultado? *