[MASOCH-L] RES: Locaweb - Problemas com E-mails - Locaweb sofre ataque cracker

Roberto Bertó roberto.berto at gmail.com
Sat Sep 18 17:25:24 BRT 2010


Ola Guilherme,

Pelos horarios que aconteceram os eventos e as informacoes no twitter. Pode
ter sido outra coisa, mas duvido muito.

Olha, a discussao de quem é a culpa é gigante. Podemos por a culpa no
pessoal que escreveu o codigo do kernel, podemos por a culpa na redhat por
nao ter auditado, podemos por a culpa nos pesquisadores que descobriram a
falha, ou nos que divulgaram a falha na internet junto com o exploit, ou até
mesmo nos legisladores do mundo todo por nao termos leis que criem um metodo
seguro de divulgar falhas de seguranca primeiro para as empresas que podem
corrigir e depois abertamente. Enfim... é enorme mesmo a discussao.

Nao é bug de chroot de ftp.

Em ambiente de hospedagem voce da acesso aos clientes a SSH e tambem a
execucao de comados, porque tem  php, perl, etc. Entao bastava subir um
binario compilado e executar ele e voce virava root. Eu reproduzi isso num
ambiente de testes.



2010/9/18 Guilherme Boing <kolt at frag.com.br>

> Desculpe, mas, baseado em quais fatos você relaciona o exploit '0day' que
> foi publicado com o acontecido na Locaweb ?
>
> E também, como você me diz que a Locaweb não teve culpa ? A culpa é de
> quem,
> dos usuários ?
> Uma falha no kernel não garante acesso privilegiado algum, se o sistema for
> bem protegido e bem administrado.
>
> Pra começo de conversa, nem deveria ser possível tal exploit ser executado
> em um ambiente de webhosting, ainda mais, em cima de um usuário web.
>
> Sendo um bug de chroot de ftp, um exploit local que elevou os privilégios
> do
> invasor, ou qualquer outra coisa, a Locaweb é responsável e culpada pelo
> ocorrido, pois era de sua responsabilidade, manter o sistema tanto
> atualizado como bem protegido.
>
> 2010/9/18 Roberto Bertó <roberto.berto at gmail.com>
>
> > Viu pessoal, aproveito para divulgar o workaround e a falha, na segunda
> > parte do artigo tem info de como proteger. Foi bem grave mesmo
> >
> http://blog.tehospedo.com.br/novidades/2010-09-17/locaweb-nao-teve-culpa/
> >  <
> >
> http://blog.tehospedo.com.br/novidades/2010-09-17/locaweb-nao-teve-culpa/>
>


More information about the masoch-l mailing list