Ubuntu 7.10 comprovadamente seguro, segundo o desafio "OWN" no CanSecWest 2008.18

sábado, 5 de abril de 2008

Do Planeta Ubuntu Brasil de Guto Carvalho

Durante a CanSecWest 2008, uma conferência que tem foco em segurança digital, foram testados 3 equipamentos durante o OWN Contest, são eles:

1. VAIO VGN-TZ37CN rodando o Ubuntu 7.10
2. Fujitsu U810 rodando o Vista Ultimate SP1
3. MacBook Air rodando o OSX 10.5.2

Todos os equipamentos foram atualizados com os últimos patchs de segurança disponíveis.

O desafio do OWN consistia em descobrir em 3 dias um nova vulnerabilidade e criar um hack para explorar a falha nos sistemas oferecidos para o teste. Os participantes que conseguissem encontrar uma falha e criar um exploit para explorá-la, seriam premiados, os prêmios diminuíam conforme o tempo passava, no primeiro dia o prêmio tinha o valor de 20 mil dólares, no segundo dia o valor do prêmio era de 10 mil dólares e no terceiro dia o valor pago seria de apenas 5 mil dólares.

No segundo dia de testes Charlie Miller conseguiu em menos de 2 minutos encontrar uma vulnerabilidade no navegador web SAFARI e criar um exploit para explorá-la, com isto ele acabou ganhando então um prêmio de 10 mil dólares da 3COM, uma das patrocinadoras do evento.

No terceiro dia de testes Shane Macaulay conseguiu encontrar uma vulnerabilidade no windows vista sp1 e alaborou um exploit para se aproveitar dela, ele fez isto com uma pequena ajuda de seu amigo Alexander Sotirov (pequisador e membro da equipe de desenvolvimento do vmware). Infelizmente segundo as regras do desafio os participantes não podem revelar detalhes das vulnerabilidades descobertas, mas Shane deu a dica, segundo ele foi graças ao JAVA que ele encontrou a possibilidade de burlar algumas proteções de segurança do windows vista SP1.

Ninguém dentre os 400 participantes conseguiu encontrar uma vulnerabilidade e explorá-la no Vaio com o Ubuntu 7.10 nos 3 dias do desafio.

O ubuntu foi o OS vencedor do desafio no quesito segurança :)

Após o evento, pode-se encontrar na internet muitas especulações sobre a falta de empenho dos hackers em encontrar vulnerabilidades no Ubuntu comparado com o mesmo empenho para encontrá-las no windows vista sp1 e OSX da Apple, mas como disse é tudo especulação. Eu particulamente acredito que foi bem mais simples investir tempo contra tecnologias proprietárias do que contra tecnologias livres em que muitas pessoas participam do desenvolvimento e ajudam a solucionar problemas de segurança de forma coletiva, se a questão era ganhar o prêmio, vamos no mais fácil, não é ?

:P

Parabéns Ubuntu e principalmente parabéns aos sistemas GNU/LINUX, pois o Ubuntu apesar de não ser o mais querido entre os usuários avançados, representou muito bem a familia GNU/LINUX no evento, dando um bom "olé" nos concorrentes.


Referências:
http://cansecwest.com/
http://dvlabs.tippingpoint.com/blog/2008/03/19/cansecwest-pwn-to-own-2008
http://www.linuxworld.com/news/2008/032908-with-vista-breached-linux-unbeaten.html?fsrc=rss-linux-news
http://www.networkworld.com/news/2008/032708-gone-in-2-minutes-mac.html
http://www.networkworld.com/news/2008/032708-hacker-super-bowl-pits-mac.html?page=2
http://www.noticiaslinux.com.br/nl1206930518.html


O que posso dizer ? Ele é o cara! :D

0 comentários: