-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Bom dia Neerlan,
Em 17/11/2012 19:50, Neerlan Amorim escreveu: > Fiquei assustado! A principio não tem motivos para ficar assustado. O problema que ocorreu não teve origem no exploit de nenhuma vulnerabilidade do sistema, mas sim devido ao acesso não autorizado de terceiros a chave ssh de um desenvolvedor, o qual tinha acesso a um servidor legado de compilação de pacotes. Não se sabe ainda em que circustâncias o vazamento da chave ssh ocorreu, mas é o tipo de coisa que pode acontecer com qualquer um de nós, seja através do acesso não autorizado ou do roubo do computador no qual você mantem suas chaves SSH. Aqui em SP, por exemplo, é absurdo de roubos de notebooks que acontecem em alguns bairros nos quais se concentram a maior parte das empresas de tecnologia, sendo que a area mais arriscada é próxima aos aeroportos. Mesmo que você não seja uma destas pessoas que costumam usar chaves SSH sem senha para "simplificar" o dia a dia, o acesso indevido a sua chave privada SSH é critico mesmo que você tenham uma senha de proteção. Hoje em dia qualquer GPU de 100 dolares consegue quebrar por força bruta uma senha de 8 caracteres (Com letras Maiusculas, Minusculas, Numeros e Caracteres especiais) em menos de 10 horas :( Mesmo uma senha maior pode ser quebrada facilmente se a pessoa tiver paciência. A forma mais segura de guardar a sua chave SSH privada ainda é utilizando um smartcard, como por exemplo o OpenPGP Card (http://en.wikipedia.org/wiki/OpenPGP_card), uma vez que a sua chave privada estiver armazenada no smartcard e você tiver setado uma senha que não seja muito "obvia", você estará seguro. Mesmo que ele seja roubado, o cartão será inutilizado após 3 tentativas de acesso com a senha incorreta. No FreeBSD/Linux você não vai precisar de nenhum software alem do proprio gnupg para fazer uso do smartcard, no caso do windows, vai depender do cliente de ssh que você utilizar. Para utilizar por exemplo o putty, você vai precisar de um ssh-agent modificado, que você pode obter em http://smartcard-auth.de/ssh-en.html O Smartcard custa 14 Euros, e pode ser comprado em http://shop.kernelconcepts.de/product_info.php?cPath=1_26&products_id=42 , na minha opinião se você preza pela segurança das suas chaves, é um investimento que vale a pena :) Mas voltando ao tópico, todas as informações sobre o incidente estão sendo disponibilizadas no url: http://www.freebsd.org/news/2012-compromise.html Sugiro fortemente que sigam as recomendações do final desta página, principalmente se você utilizou o cvsup, csup, cvs para atualizar seu sistema (base e ports) no periodo de 19/09 até 12/11. Entenda que essa recomendação não se deve ao fato do repositório CVS ter sido adulterado, até o presente momento não foi encontrado nenhum indicio de que isso tenha ocorrido, porém como a auditoria do repositório CVS ainda não foi 100% finalizada, no momento a coisa mais prudente a se fazer é atualizar o sistema a partir de uma fonte seguramente confiável, seja a partir do repositório SVN (que já foi auditado) ou a partir da atualização binária usando o freebsd-update (os arquivos são assinados digitalmente pelo time de Engenharia de Release). Ou seja, se você já utilizava o SVN para atualizar seu sistema, ou se não atualizou nem instalou nenhum port nesta janela de tempo usando o repositório CVS, você não tem com o que se preocupar. - -- [ ]'s Edson Edson Brandi - ebra...@freebsd.org FreeBSD Documentation Committer The FreeBSD Documentation Project FreeBSD Brazilian Portuguese Documentation Project - http://doc.fug.com.br OpenPGP Key: 0xA5C45B43401FF8F3 1BAB 0B87 EE89 B8D4 B418 66D6 A5C4 5B43 401F F8F3 -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.16 (MingW32) iQEcBAEBAgAGBQJQqMMpAAoJEO49BRlAkRPXR30IAIpLi5/fVgurr5xr5DLvwP0H jnMrHFMxNNBR5NLbCVR949gxqel0+1BIFl3GdiNFznGfB7LsZvNc+yH0v7q8lVLv Dsj1UwR8drqk7lYS+4as1a+mDJWM9u4Gs+qlDxGBicaagT8VrTgw7uQbFfi+gVlG oLmzb+FhQmK+McjmYdmkXmQnYDcviQlmju1yGF2enL63AlTL0xpNo/MlpcxhyuBE D8vNZ6F/H3RE36/TVJBLr8lGrAB9CNjT25okNZH0Gf2Xl2MWZ2OuwFCsdD4H7Wnj /LVfc+a82bCHTSccfEZME+3UtIiTYu/bNZ9FvUFq8TA/OIg1tlrP2h9MdMuu40g= =3iwf -----END PGP SIGNATURE----- ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd