2013/12/30 Marco Carvalho de Oliveira <demoncy...@gmail.com> > Olá, > > Sei que está e uma lista de FreeBSD, no entanto como o tema de segurança > envolve as áreas a fim deste tema, logo acredito que esta palestra do The > Raadt, dando umas cutucadas em algumas funcionalidades ainda não > habilitadas no FreeBSD para mitigar falhas de segurança seja > interessante... é uma palestra recente que aconteceu na ruBSD 14 /2013, o > tema é antigo ao mesmo tempo atual :o visto que estas funcionalidades a > séculos já eram comentadas e tratadas por ele no OpenBSD ... > > Eu fico imaginando X) a moral deste cara palestrando para um exercito de > usuários de desenvolvedores de FreeBSD... !!! e ainda na Rússia!!! > > Segue o Link > http://www.openbsd.org/papers/ru13-deraadt/mgp00001.html >
theo é um cara bom mas profissionalmente frustrado sabe-se-la-pq, e que anualmente imprime a foto de alguem/algumaempresa e coloca no seu quadro de tiros pessoal, antes do freebsd foi a intel, antes da intel foi a cisco antes da cisco foi o linux, uma pena ele atacar outros sistemas bsd agora ao invés de contribuir de forma mais relevante theo de raadt é 12 milhões de dólares mais pobre porque o departamento de defesa escolheu o FreeBSD ao invés do OpenBSD pra segurança com 1 milhão investido em ambos o openbsd fez o W^X que o theo defende nessa palestra 10 anos depois enquanto o freebsd começou a la o tal de granularization que permitiu a criação do mac e hoje do capsicum mas que na epoca ninguem viu resultado porque era estrutural bom 10 anos depois e 12 milhões de dolares depois acreditem esse ataque do theo não é coincidencia em 2014 termina os 10 anos desse contrato e com o capsicum o freebsd termina o objetivo final do contrato e implementa tudo que o theo disse que seria impossivel, o que o theo não disse é que o mac_mls, mac_partition e o capsicum são 3 formas de isolamento que mitiga o risco que ele está apontando o dedo, mas o que o theo disse pra tambem se previnir com essa alegacao e que ele quer tudo habilitado por padrao e no freebsd apesar de ter mac no kernel generic nao tem politicas mac aplicadas por padrao (nem acho que deve ter quem ja trabalhou com mac sabe o motivo) o robert watson na usenix sei la que ano mostrou uma forma generica de escapar disso tudo inclusive do W^X e do systrace do openbsd então o que ele está defendendo ja teve sua eficiencia derrubada no ultimo slide ele mostra isso deixando claro que dificulta mas nao evita la na russia ele falou o que bem quis, vamos ver se ele escolhe o mesmo tema pra bsdcan2014 ou alguma conferencia na california ou NY na russia nao tinha ninguem do freebsd capaz de argumentar com o theo sobre seguranca ( http://tech.yandex.com/events/ruBSD/2013/) o gleb era o unico presente mais ligado ao src/sys mas o foco dele é networking > -- > Marco Carvalho de Oliveira > Gerente de Projetos de TI - Políclinica São Lucas > LPI 3 - Linux professional Certificate > Certified Linux Administrator da Novell > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd