Liquuid

Papo sério, hoje saiu uma atualização de segurança para o OSX Leopard ,porém nada de resolver as permissões do ARDAgent . Ok , virou palhaçada ! Os caras vendem um sistema operacional com uma falha de segurança que torna o OSX tão seguro quanto o Windows 95 e não tem a manha de corrigir !!!

Quando o leopard foi lançado muita gente reclamava de alguns warnings que apareciam durante a correção de permissões, um deles era o do ARDAgent, qual foi a solução da Apple ? Incorporar a permissão bugada ao sistema, assim eliminando os warnings e reativando o campo de distorção da realidade.

Não é possível que a Apple não tenha interesse em resolver esse problema, só pra ter uma idéia do potencial do bug, ele permite que qualquer usuário local instale um trojan no sistema, sendo administrador ou não. Já tem alguns trojans circulando web a fora. O Leopard sempre pergunta se você quer realmente abrir um programa que foi baixado da internet, mostrando inclusive a data e o site de onde o arquivo veio, o que evita trojans como aqueles do windows que são trojans disfarçados de imagens e vídeos, mas e no Tiger ? Dizem que a falha também esta presente na versão anterior.

E o pior, tem imbecis na comunidade macmaniaca que tentam minimizar a falha, inclusive pedindo pra alguém provar que esses trojans realmente funcionam e desafiando os leitores do fórum a invadir suas máquinas.

Passei um dia da minha vida estudando Xcode e produzindo um pequeno malware disfarçado de vídeo quicktime, mas a implementação a seguir é mais eficiente , modifique à vontade, é um applescript, é só compilar: clique aqui

A Nvidia cumpriu seu cronograma particular, lançou o driver novo compativel com o xorg 1.5 e os usuários do fedora 9 podem seguir em frente com suas placas NVidia.

Eu voltarei a recomendar Fedora aos meus amigos, já que nunca mais recomendarei distros debian based para ninguém , mas não voltarei a usar a distribuição tão cedo...

Fiquei decepcionado ao ser abandonado pela minha distribuição favorita simplesmente por usar placas da melhor fabricante de GPUS do mercado. Em nome da liberdade tive minha pior experiência como usuário linux desde 2001, quando comprei meu primeiro PC.

Fedora, não, obrigado.

Pode não parecer, mas o mundo dos administradores de sistemas debian estremeceu nos últimos dias. Um idi... empacotador debian, modificou o código fonte do SSL sem submeter suas mudanças para o time de desenvolvimento da biblioteca. Ele modificou o código para eliminar alguns warnings que sempre apareciam ao depurar o progama no Valgrind.

Mas na verdade ele detonou a entropia necessário para gerar chaves criptográficas, limitando seu universo a apenas 65535 chaves possíveis. Ou seja, qualquer engraçadinho com 20 minutos pode testar TODAS as chaves dentro desse universo.

Um dos desenvolvedores do openssl disse que se tivesse recebido o patch da modificação, rolaria de rir mas teria impedido essa tragédia.

Como funcionaria um ataque usando essa vulnerabilidade :

• A autenticação por chaves funciona com duas chaves, uma privada e outra pública, a chave privada é secreta e fica com o usuário em sua máquina. Já a pública fica armazenada no servidor no arquivo .authorized keys.
• No momento do login o servidor manda uma mensagem criptografada com a chave pública para o cliente, essa criptografia só pode ser desfeita com a chave privada. Então o cliente decifra a mensagem e devolve para o servidor, então o servidor entende que o acesso é legitimo e estabelece a conexão.
• A falha do debian limitou a variedade de chaves em 65 mil pares, então basta que o atacante teste todas, o que não demora mais de 20 minutos em uma máquina ligada na internet com uma conexão rápida.

Se eu compreendi bem o problema, o triste dessa história é que se o joao usa ubuntu (que também foi afetado), se conecta num servidor gentoo (não afetado por esse problema) usando as chaves geradas no ubuntu, um eventual atacante pode ganhar acesso no gentoo !!! Pois a chave privada que casa com a chave pública que ele possui casa com um das 65 mil, então é só testar todas !!!

Por isso não adianta apenas atualizar o sistema, TODAS as chaves criptográficas devem ser regeredas e reinstaladas

O time do debian em conjunto com os desenvolvedores oficiais lançaram uma ferramenta que verifica na conta de todos os usuários se algum deles tem chaves comprometidas, e não permite que o sshd estabeleça qualquer conexão com essas chaves comprometidas. A ferramenta se chama ssh-vulkey, e como root deve ser executada da seguinte forma :

ssh-vulkey -a

Com isso basta obrigar seus usuários a apagarem suas chaves, ou faze-lo você mesmo, eu faria :(

A parte triste dessa história é que por enquanto apenas o debian(e seus derivados) possuem essa ferramenta, eu que tenho fedora , gentoo e mac os x tive que apagar todas as chaves de todos meus usuários para garantir.

Em 8 anos de linux nunca vi uma falha tão grande, e que bota em risco todas as distribuições linux, BSD e sistemas Unix e não Unix que se autenticam por chaves geradas com openssl... Triste, muito triste.

Agora é definitivo, nunca mais confio em distribuições baseadas em debian em minhas máquinas, meu último debian em um Imac G3 será devidamente formatado na primeira oportunidade que tiver.

Eu desencanei do fedora 9, mas pra quem ainda não jogou a toalha, veja esse tutorial que ensina como instalar o xorg do fedora 8 no fedora 9 e por tabela elimina esse problema chato que foi a transição do xorg 1.4 para 1.5 :

http://forums.fedoraforum.org/showthread.php?t=188645

Aparentemente funciona bem, mas não vale usar yum update !!!

Pois é, como disse abandonei o sulphur uma semana antes do lançamento, pois não aguentava mais ter minha máquina inutilizavel por falta de drivers da NVDIA. O problema é que o lider do pacote xorg do fedora que é um dos lideres do desenvolvimento do xorg, decidil adiantar o calendário e lançar o novo xorg 1.5 dias antes do fedora. O problema é que nem a NVIDIA e nem a ATI lançaram novas versões de seus drivers oficiais para a nova versão do xorg.

Já fazem alguns dias que o fedora 9 foi lançado mas nem sinal de updates das placas de vídeo, o que posso interpretar como um grande tiro no pé do time fedora.

Quando ainda estava usando o rawride fiz uma gambiarra no meu sistema para que ao menos a aceleração 2d do driver da NVIDIA funcionasse, vamos ao passo a passo :

Instale o driver :

yum install xorg-x11-drv-nvidia

Derrube o modo gráfico

init 3

Renomeie o script que sobe o servidor X:

mv /usr/bin/Xorg /usr/bin/Xorg.0

Crie um novo script como segue :
 
nano /usr/bin/Xorg

Esse é o conteúdo do script :

#!/bin/sh
exec /usr/bin/Xorg.0 -ignoreABI "$@"

Volte ao modo gráfico :

init 5

Resolver não resolve, mas pelo menos da pra ligar o segundo monitor, ligar o micro em uma TV etc... É um bom paliativo.

No mais, não estou recomendando o fedora 9 pra ninguém com NVIDIA no momento, e eu particularmente vou pular para o fedora 10.