2016/10/01

A necessidade de repensar a segurança do Kernel Linux


O mundo digital de hoje é bem diferente daquele que se tinha há uma ou duas décadas atrás, e torna-se imperativo repensar também o impacto que isso deverá ter na segurança, especialmente no caso de sistemas que se alastram um pouco por todo o lado, como é o caso do Linux.

De um projecto pessoal, o Linux cresceu e tornou-se num dos mais bem sucedidos sistemas, e que mesmo não dominando ainda nos desktops e portáteis (o tal "ano do Linux" que nunca mais chega) já domina por completo o sector mobile e dos sistemas embedded. Mesmo em casa do mais ferrenho utilizador de Windows ou Macs, será inevitável que o mesmo tenha uma quantidade considerável de máquinas com Linux à sua volta, mesmo que não se aperceba disso: router, NAS, box da TV, um media player, alguns electrodomésticos, etc.

Só que com isto chega também a enorme responsabilidade da segurança, de modo a evitar que aconteçam situações como a botnet que contém mais de 150 mil câmaras de vigilância e gravadores DVR infectados.

O problema é que a concepção base do kernel Linux foi criada em pressupostos de outros tempos, e que já não são adequado para fazer frente às novas ameaças. Hoje em dia é cada vez mais inaceitável que se tenham vulnerabilidades graves que podem demorar anos a ser corrigidas, e que nesse espaço de tempo fiquem imortalizadas em dezenas ou centenas de milhares de produtos que nunca irão receber nenhuma actualização e as irão perpetuar por muitos mais anos.

É necessário que as coisas mudem, ao ponto do sistema levar a questão da segurança muito mais a sério, ao ponto de se conseguir proteger mesmo nos casos em que a vulnerabilidade possa estar num componente pelo qual não é directamente responsável (como um driver), ou até pela acção indirecta ou directa do utilizador (que, como sabemos, tem tendência para clicar primeiro e pensar depois).

Não será fácil criar sistemas dinâmicos capazes de se auto-protegerem contra vulnerabilidades que nem sabemos que existem, e que possam fazê-lo sem necessidade de actualizações constantes... mas, como em tudo, há que evoluir e adaptar-se... e é necessário que a questão da segurança seja completamente revista e melhorada, antes que se assistam a cenários apocalípticos que coloquem em causa toda a internet.

3 comentários:

  1. Boa tarde , o Linux é o melhor exemplo para combater todo o tipo de malware, o kerrnel Linux de há 25 anos atras não tem nada a ver com o Kernel de hoje e basta só perceber que novas versões do kernel Linux saem a ume velocidade estonteante , qualquer vulnerabilidade assinalada em horas é corrigida e todas as distribuições Linux acabem por disponibilizar essas atualizações nas suas centrais de atualizações .

    Eu diria que estye artigo não faz qualquer sentido nos modos em que está escrito , a segurança da WEB está toda na mão de servidores Linux , os dispositivos que têm Linux como electrodomésticos e que não têm ligação a WEB esses ficarão com o firmware original , mas boxs , routers etc esses têm constantes atualizações de firware, agora as boxs que são fornecidas pelos ISPs essas têm atualizações mas não sem se não serão só cosméricas.

    Uso Linux a 16 anos e nunca usei nenhum tipo de aplicação com malware, isto não quer dizer que não exista e o nr. infelizmente está a aumentar , mas o kernel Linux , esse está muito bem preparado, melhor do que qualquer outro sistema operativo propriétario .

    Um bom dia a todos

    ResponderEliminar
    Respostas
    1. Verdade. O Linux é muito seguro. O artigo realmente não faz sentido. O que existe são versões embarcadas sem a utilização correta dos inúmeros mecanismos de segurança disponíveis para Linux.

      Eliminar
    2. Na realidade, para responder a ambos, o que existe é um desleixo inacreditável das empresas chinesas, querem colocar o produto no mercado o mais rápido possível e pecam sempre pelo software.
      Tendo trabalhado com sistemas CCTV é impressionante que ainda hajam fabricantes com passwords tipo 888888 ou 123456.
      Outro problema são os updates de firmware, quando existem, o que é raro, corrigem apenas problemas relacionas com a CCTV em si, dificilmente se vêm correcções de segurança. Para agravar, muitas vezes têm de ser feitos via USB depois de percorrer inúmeros sites à procura do modelo correcto.
      Alguns fabricantes chegam ao cúmulo de apenas permitirem passwords numéricas.
      Ser Linux, FreeRTOS, QNX ou Windows CE é irrelevante quando o próprio fabricante coloca backdoors e usa hard coded passwords como acontece na grande maioria de dispositivos IoT chineses.

      Eliminar

[pub]