[MASOCH-L] RES: Locaweb - Problemas com E-mails - Locaweb sofre ataque cracker
Roberto Bertó
roberto.berto at gmail.com
Sat Sep 18 17:25:24 -03 2010
Ola Guilherme,
Pelos horarios que aconteceram os eventos e as informacoes no twitter. Pode
ter sido outra coisa, mas duvido muito.
Olha, a discussao de quem é a culpa é gigante. Podemos por a culpa no
pessoal que escreveu o codigo do kernel, podemos por a culpa na redhat por
nao ter auditado, podemos por a culpa nos pesquisadores que descobriram a
falha, ou nos que divulgaram a falha na internet junto com o exploit, ou até
mesmo nos legisladores do mundo todo por nao termos leis que criem um metodo
seguro de divulgar falhas de seguranca primeiro para as empresas que podem
corrigir e depois abertamente. Enfim... é enorme mesmo a discussao.
Nao é bug de chroot de ftp.
Em ambiente de hospedagem voce da acesso aos clientes a SSH e tambem a
execucao de comados, porque tem php, perl, etc. Entao bastava subir um
binario compilado e executar ele e voce virava root. Eu reproduzi isso num
ambiente de testes.
2010/9/18 Guilherme Boing <kolt at frag.com.br>
> Desculpe, mas, baseado em quais fatos você relaciona o exploit '0day' que
> foi publicado com o acontecido na Locaweb ?
>
> E também, como você me diz que a Locaweb não teve culpa ? A culpa é de
> quem,
> dos usuários ?
> Uma falha no kernel não garante acesso privilegiado algum, se o sistema for
> bem protegido e bem administrado.
>
> Pra começo de conversa, nem deveria ser possível tal exploit ser executado
> em um ambiente de webhosting, ainda mais, em cima de um usuário web.
>
> Sendo um bug de chroot de ftp, um exploit local que elevou os privilégios
> do
> invasor, ou qualquer outra coisa, a Locaweb é responsável e culpada pelo
> ocorrido, pois era de sua responsabilidade, manter o sistema tanto
> atualizado como bem protegido.
>
> 2010/9/18 Roberto Bertó <roberto.berto at gmail.com>
>
> > Viu pessoal, aproveito para divulgar o workaround e a falha, na segunda
> > parte do artigo tem info de como proteger. Foi bem grave mesmo
> >
> http://blog.tehospedo.com.br/novidades/2010-09-17/locaweb-nao-teve-culpa/
> > <
> >
> http://blog.tehospedo.com.br/novidades/2010-09-17/locaweb-nao-teve-culpa/>
>
More information about the masoch-l
mailing list