Linux ha entrado en competición en la Pwn2Own 2017 representado por Ubuntu, su distribución más popular, y ha caído abatido por los cazadores de vulnerabilidades en el primer día de la conferencia debido a un fallo detectado en el kernel. Un error de desbordamiento de buffer con escritura fuera de los límites (out-of-bounds) que ha descubierto el equipo chino Chaitin Tech, y por el que han recibido un premio de 15 000 dólares. Como veis en la imagen que abre el post, para ilustrar el ataque eligieron la aplicación de […].
|
etiquetas: ubuntu , hackeado , pwn2own , pwn2own 2017 , chaitin tech , linux
Pueden existir similitudes entre las motivaciones del hacking y los investigadores en matemáticas.
Por otro lado existe también un mercado negro de compra/venta de errores de seguridad, habría que analizar las dinámicas económicas de ese ámbito ya que podrían dejar en ridículo las cuantías de los premios que se pretenden usar como baremo.
A todo ello hay que añadir que existen organismos gubernamentales que sacan provecho de vulnerabilidades de software, de nuevo ese ámbito es opaco y difícilmente se podrán obtener conclusiones sobre la seguridad de los productos de ese ámbito.
La lógica elemental nos indica que es un entorno excesivamente complejo como para simplificarlo a los premios que una empresa en concreto decida donar para un concurso específico haciendo publicidad de su marca.
Si a un burro le pones una capa de lana, sigue siendo un burro y no una oveja.
Una empresa de EDA, que tiene los servidores en un cluster al 100% de uso de CPU casi todo el tiempo, lo mejor es que virtualice. Eres un genio. Y, por supuesto, para hacer simulaciones con miles de millones de transistores o compilar programas con millones de líneas de código no hacen falta tantos servidores. Se puede hacer en el PC de torre de casa.
Y si lo consiguen, también.
Si consigues romper esa seguridad y te dan, no sé, 100 veces más en el mercado negro ¿sigue siendo un buen premio?
O si te prefieres presentarte a la empresa, organización o comunidad con ese descubrimiento para que te acepten en su equipo, con sueldo o no, ¿sigue siendo un buen premio?
Y en cualquier caso, ¿acceden a ese concurso todos los aspirantes capaces de conseguirlo? ¿o solo un pequeño segmento de ellos cada cual con sus motivos? (ya que mides el éxito o fracaso en función de los concursantes)
Si lo mides únicamente en términos de premios ¿iOS es 8 veces más seguro que Apache en tanto que el premio es 1,5 millones de euros?
www.eweek.com/security/top-ios-bug-bounty-award-hits-1.5m
Lo mires por donde lo mires usar los criterios de una única empresa hace aguas como baremo para medir la seguridad a escala planetaria.
Pero hay gente que no se dedica a eso y sí va a estos concursos. Son un buen aliciente para los que no son delincuentes.
Un concurso de seguridad no es ningún criterio de seguridad de ningún tipo. Es simplemente un test de seguridad a productos. El pentesting es imprescindible, y estos concursos son una idea excelente.
En pwn2own-2017 la distro linux para servidor era una Ubuntu Server con Apache (premio 200.000$) que no se consiguió hackear como servidor. Si hubiesen tenido acceso a shell si, ya que el bug de escalada de privilegios de Linux le afecta.
Ubuntu Server es una distro relativamente bastante segura como servidor, con la diferencia de que incluye paquetes mas nuevos que CentOS/RedHat. Eso hace a RedHat/CentOS más seguras por tener repositorios más probados, pero por otro lado es más agradable (y seguro) usar Ubuntu Server cuando quieres añadir software más novedoso del que necesitas versiones recientes que no incluye CentOs. Es cuestión de saber elegir lo más adecuado a tu proyecto. Ubuntu Server suele ser buena elección.
(1) w3techs.com/technologies/details/os-ubuntu/all/all
(2) w3techs.com/technologies/details/os-unix/all/all
Hasta que su uso dejó de ser residual.
Más que "derecho a buscar la hipocresía" pareces aplicar el derecho a ser un cansino.
La seguridad de un producto de uso planetario no puede juzgarse en base a una anécdota personal, a parte que el hecho que creas no haber tenido nunca ningún problema de seguridad tampoco es indicativo de que no lo hayas sufrido, ya que parte importante de la mayoría de ataques es pasar desapercibidos para la víctima.
Es triste que haya que explicar aspectos tan básicos en una discusión que trata sobre seguridad.
Si tu consideras un fallo de Firefox el hecho de que la gente, al instalar porquería en su ordenador, o al entrar en páginas de dudosa reputación, quieran instalar extensiones basura en su navegador es que no entiendes el concepto de la seguridad.
El mismo argumento he escuchado a los que defienden que Internet Explorer no ha tenido nunca ningún problema de seguridad, que el problema era de los usuarios que lo usaban mal.
Servidor físico por usuario, es lo que tu dijiste. Y si eso es un derroche.
Y un cluster funcionando al 100% todo el tiempo? Donde están los margenes de crecimiento? Redundancia ? Porque como falle algo estas jodido. Si es un cluster EDA lo que te limita son los IOPS a menos que te montes un ramdisk.
Hay cosas que como dije antes y no has leído, has pasado directamente a llamarme cuñado, se ejecutan directamente, como dije un MySQL o Oracle debe correr en físico, es muy mala idea virtualizarlo a menos que tengas una BBDD de mierda.
Antes de llamar cuñado a alguien lee bien el comentario, o mira si te expresaste mal.
Ah, y por si no lo sabias, si se puede virtualizar un cluster, pero repito, virtualizar BBDD o almacenamiento me parece una mala idea.
¿Por qué deduces que no hay márgenes de crecimiento? ¿Por qué dices que no hay redundancia? ¿Por qué dices que como falle algo estás jodido? ¿Cómo falle el qué? ¿Por qué te limita eso y qué tiene que ver que sea para EDA o no, si en EDA, dependiendo de lo que hagas tienes unas limitaciones u otras?
Virtualizar un clúster como el de mi empresa es una gilipollez suprema, pero bueno, tú sigue hablando sin saber y haciendo deducciones de la nada que no entiendo en modod alguno.
"Windows XP es, en 2017, un coladero de virus" ergo "Windows es un coladero de virus". Creo que no hace falta que te aclare más lo absurdo de tu comentario.
Eres la personificación de lo simple reducida a la máxima expresión.
No tiene nada de absurdo valorar ese factor también en el debate.
Y ciertamente para Linux es una gran suerte que la gente en general no asocie los routers domésticos como equipos Linux, ya que en cuyo caso su fama en cuanto a seguridad, repito, su fama podría sufrir un duro golpe.
Y si te fijas en mis comentarios en la mayoría de hilos de discusión lo que reivindico son datos estadísticos al respecto, sigo esperando alguna respuesta. Y es que la ausencia de esa información objetiva tristemente nos lleva a elevar la anécdota a generalización, es una de las carencias humanas.
Virtualizar el cluster de tu empresa es una gilipollez, pues perfecto, eso no significa que no se pueda virtualizar ningún cluster.
Según tu tienes la CPU al 100% todo el rato, eso en un cluster.......................no es normal, en ninguna operación continuada es normal, pero tu a lo tuyo, que me dices que realizas X calculo y se pone al 100% vale, pero que esta siempre al 100% como que no.
Redundancia ? Si esta la CPU al 100% que tipo de redundancia tienes si falla un servidor del cluster ? O me vas a decir que tienes configurados un par de servidores en spare, como si se tratasen de HDDs.
Mundo real >> tu empresa
Otra cosa que, si, es absurdo, es decir "como routers y móviles Android funcionan sobre versiones antiguas de Linux, Linux en general es un coladero de virus". Como decir sin más que "Windows es un coladero de virus". Esas afirmaciones sin matizar son absurdas. En cambio, no es descabellado decir "Linux tiene una cuota de mercado enorme" porque una enorme cantidad de dispositivos se basa en el kernel Linux para ejecutar su software. Aunque no haya estadísticas, que es una pena, pero la evidencia está ahí: en móviles, smart TVs, routers, servidores...
La gente común no asocia Linux a routers dométicos porque ni siquiera conocen lo que es Linux. Y de duro golpe nada, ahí está Android con sus versiones antiguas con bien de vulnerabilidades, y no será por las pocas veces que se ha alertado a la gente del problema de sus móviles con versiones viejas de Android: ¿Han sufrido un duro golpe los móviles Android? No dicen eso las estadísticas sobre uso de S.O. móviles (de estas si hay a patadas).
Creo que si no hay datos estadísticos es porque la mayoría de fabricantes no publican en sus especificaciones que usan software basado en Linux.
Y en ese sentido es significativo destacar la importancia del interés que pueda tener el atacante en atacar un sistema u otro, por ejemplo en función de su popularidad, de cada a alterar las probabilidades que ese ataque ocurra. Por ello hablar de la seguridad del sistema sería erróneo, entendiendo por sistema al "sistema operativo", siendo la seguridad un conjunto de la parte técnica y factores de tipo económico y cultural.
no hay duda que una app bajada de un repositorio (Ubuntu, Android...) siempre va a ser más seguro que una app bajada de cualquier web de internet (Windows) porque no todo el mundo puede reconocer cual es cada web oficial de cada app.
El hecho que los usuarios descarguen aplicaciones de repositiorios de ubuntu y no tanto de repositorios de Microsoft, que los hay, es de tipo cultural y factores económicos y de estrategia de empresa. De nuevo la seguridad en este caso no estaría en el sistema operativo si no en el ámbito del sector que tiene una correlación muy significativa con el ámbito de uso del sistema y de su popularidad.
En cuanto a bajarlo de un repositorio de Android si por ejemplo lo comparamos con el de Apple podemos ver como su nivel de seguridad es mucho menor, en este caso por aplicar políticas empresariales distintas. De nuevo, el sistema operativo no es el factor determinante.
Y de duro golpe nada, ahí está Android con sus versiones antiguas con bien de vulnerabilidades, y no será por las pocas veces que se ha alertado a la gente del problema de sus móviles con versiones viejas de Android: ¿Han sufrido un duro golpe los móviles Android? No dicen eso las estadísticas sobre uso de S.O. móviles (de estas si hay a patadas).
iOS se considera popularmente mucho más seguro que Android, sí ha sufrido un fuerte golpe por haberse hecho público que se han detectado múltiples aplicaciones con malware en la tienda oficial de Google. A parte de la imagen que existe en todos los teléfonos móviles en general que son herramientas usadas por los gobiernos para espiar a sus ciudadanos. Claro que han recibido muy mala publicidad, y de nuevo el hecho que no se suela asociar a nivel popular a Android con Linux (en menéame depende de por donde sople el viento) también ayuda a mantener la imagen de seguridad de Linux.
Creo que si no hay datos estadísticos es porque la mayoría de fabricantes no publican en sus especificaciones que usan software basado en Linux.
Y nos quedamos con la anécdota, los equívocos y las percepciones del pasado como baremo principal.
No es normal, vale. Los servidores que se utilizan para cálculos matemáticos, simulaciones, compilaciones, etc. que están muy a menudo al 100% no son "normales" porque lo dice @Dangui. ¿Cómo son? ¿Subnormales?
Un clúster es un sistema distribuido. Si se cae un servidor hay muchísimos más para reiniciar o continuar la tarea. En nuestro caso, si se cae un "compute server" hay unos 750 más. ¿Te parece poca redundancia?
¿Llevo años trabajando en esto y me vas a mostrar el "mundo real" tú?
A ver genio, si tienes un cluster trabajando al 100% que pasa si cae un servidor?
Pero bueno para ti la perra gorda
Te lo he dicho en mi anterior comentario: "Si se cae un servidor hay muchísimos más para reiniciar o continuar la tarea. En nuestro caso, si se cae un "compute server" hay unos 750 más".
¿Qué tiene que ver que la CPU esté al 100% o al 5%?
En Android está claro que si comparas con iOS su seguridad flaquea, pero el simple hecho de que un móvil por norma no necesite antivirus (como si pasa con Windows) ya dice mucho de las diferencias entre sistemas en cuanto a seguridad (sin entrar en vulnerabilidades, solo con las posibilidades de que el usuario abra la puerta al virus). Pero eso no quita para que la seguridad en un sistema móvil siempre haya sido algo secundario, y eso lo dicen las ventas, la gente elige su móvil más por marca, hardware y dinero que por seguridad de su S.O.. ¿Qué la imagen de Android se ha salpicado con todos los problemas de seguridad? Pero eso no ha afectado a las ventas, si no me equivoco android en España supera el 80% de la cuota de S.O. móviles.
En fin, que aunque no se puede negar que Linux, por toda la comunidad que tiene detrás y los importantes servicios que se le delegan, se deja entrever como uno de los sistemas más seguros, está claro que no todo dispositivo basado en Linux va a tener la seguridad de la últ. versión pero tampoco se puede valorar como un conjunto (sin actualizaciones, ningún sistema es seguro).
Que me gustaría encontrar una gráfica del uso de Linux y sus derivados frente a otros S.O., pero no aparece por ningún lado porque los fabricantes que lo usan no lo ponen fácil para poder cuantificar esto. Pero no me quedo con una percepción del pasado, todo lo contrario, se ha tendido hacia un futuro donde los fabricantes ya no desarrollan su propio S.O. o firmware (como pasaba con los móviles antiguos, autómatas programables, etc.) para, aprovechando el abaratamiento y potencial de los SoC frente a los microcontroladores, meter un sistema reducido basado en Linux con el software necesario para hacer funcionar el hardware que se necesite.