2012/01/20

Falha de Segurança nos Linux


Não deixa de ser um pouco caricato que, depois de estarmos mais habituados a ver a questão das falhas de segurança serem recorrentes nos sistemas Windows, seja agora vez dos Linux... e com uma falha que se poderia dizer: assustadora.

Que vos parece a possibilidade de alguém poder aceder ao vosso computador sem necessidade da password?

É isso que acontece caso estejam com um programa de screensaver e/ou de ecrã bloqueado (como os gnome-screensaver, kscreenlocker, slock, slimlock, etc.); em cujo caso bastará a simples combinação de teclas CTRL+ALT+* para matar esse processo e ter acesso ao ambiente de trabalho.

Imagino que este problema não aconteça em todas as variantes dos Linux (por agora parece afectar apenas o Xorg 1.11), nem tão pouco que demore muito tempo a ser resolvido... mas, serve para mostrar que ninguém está imune.

13 comentários:

  1. Não consegui reproduzir no Ubuntu 11.10

    ResponderEliminar
  2. nem com o Ubuntu 9.10, nem com a 10.04.

    ResponderEliminar
  3. E isto não é uma falha de segurança do linux, mas sim do X11 ou gnome ou até apenas de uma distro, convém separar as coisas.

    ResponderEliminar
  4. Para que isto seja uma falha de segurança real é necessário que: (1) o hacker tenha acesso físico à máquina (2) o utilizador seja burro e esteja a trabalhar como administrador da máquina, (3) o utilizador seja burro e tenha o 'sudo' sem password.

    Em todo o caso, julgo que esta notícia já foi divulgada há mais de um ano, e portanto já não deve ser preocupante.

    Preocupo-me mais com falhas de segurança de plugins de ferramentas que toda a gente usa como Joomla, e que podem oferecer shell de root facilmente....

    ResponderEliminar
  5. Não consegui reproduzir no Fedora 16...
    mas parece ser um problema do X11, mais info aqui:
    http://gu1.aeroxteam.fr/2012/01/19/bypass-screensaver-locker-program-xorg-111-and-up/

    ResponderEliminar
  6. Não consegui reproduzir "Mint 12" aqui

    ResponderEliminar
  7. Ubuntu 10.10 aqui e de qualquer das formas não qualificaria como uma "falha de segurança". Afinal de contas basta olharmos um pouco para a probabilidade de:
    1. encontrar alguém com uma distro de linux (já nem restrinjo ao X11)
    2. encontrar esse alguém, com o portátil desocupado e com o ecrã bloqueado
    3. que a pessoa que encontra esse alguém conheça a "falha"

    Nos tempos que correm, verificado o ponto 1., alguém pega no pc, leva para casa, formata e pronto. Há mais ladrões que hackers, no espaço físico :)

    ResponderEliminar
  8. não aparece no ubuntu porque o ubuntu nao usa o
    Xorg 1.11, mas sim o Xorg 1.10.4

    só a versao ubuntu 12.04 é afectada, que está em alfa 1

    ResponderEliminar
  9. molecula2120/1/12 18:56

    O título "Falha de Segurança nos Linux" é um bocaco forte e claramente desproporcionado para esta notícia. Quando li estava à espera de uma falha de segurança nas conecções ou de algum plugin do browser que permitisse o acesso remoto... isto quase que NÂO SE CLASSIFICA como uma falha de segurança...

    Considera-se falha de segurança um utilizador que tenha login automático, vá à casa de banho (não sem antes bloquear o ecrã) e entretanto chega o hacker desliga o PC no botão, volta a ligar e voilá?

    Essa "falha de segurança" classifica-se mais como um pequeno bug que outra coisa...

    ResponderEliminar
  10. Isto É uma falha de segurança grave. Tens um protector de ecrã com password, tem de servir para alguma coisa.

    É grave, é estúpido e o autor do bug devia ser castigado pelos "Castigadores da Parvoíce".

    Visto que alguns dos comentários acima têm erros, passo a explicar.
    O bug foi introduzido no Verão do ano passado. A intenção era facilitar o debug por programadores no X11 -- ou seja, nunca devia ter estado activo por omissão.
    O bug existe no Xorg 1.11. O Ubuntu 11.10 tem uma versão anterior, logo não foi afectado.
    O Fedora 16 foi afetado mas tem o bug corrigido desde Quinta-feira à noite (ou Sexta-feira de manhã que foi quando eu instalei -- não confirmei o fuso horário).

    CONTEXTO:
    * pode ser útil 'matar' a janela que tem o input de rato e teclado (p.ex., um programador de um screensaver a testar se funciona tudo bem)
    * faz sentido a funcionalidade existir (mas desativada por omissão e ser cada pessoa que a activa quando e apenas se precisar)
    * a funcionalidade existia em 2008 e estava bem documentada e desativável pelo screensaver
    * foi removida algures no tempo
    * foi re-introduzida no Verão do ano passado, sem aparecer na documentação e ativa por omissão.

    A correcção já foi aplicada neste momento ao Arch Linux, Fedora 16, Debian Unstable e provavelmente mais uns quantos.

    ResponderEliminar
  11. Não é possível reproduzir em nenhum dos meus sistemas com KDE, Opensuse, Mandriva, Mageia, Meego-harmattan

    ResponderEliminar
  12. Tenho de dizer que o título é sensacionalista como já foi dito. Essa falha não me afecta. Além do mais o Xorg é usado noutros sistemas que não o Linux. Este é apenas um kernel.

    ResponderEliminar