Não confie em ninguém!

Você acredita em propagandas? Acredita em tudo o que é falado e escrito em diversas mídias? Absorve as informações que captura como sendo verdade e isenta de erros? Você acredita neste texto que estou escrevendo agora? Se as respostas para estas perguntas forem "sim", melhor mudar seus conceitos! Veja o porquê no decorrer deste artigo.

[ Hits: 17.894 ]

Por: Edwi Oliveira Santos Feitoza em 04/05/2010 | Blog: http://edwifeitoza.wordpress.com


Exemplos de segurança



Sem sombra de dúvidas, tomei a liberdade de citar trechos de alguns artigos publicados aqui para exemplificar o dito na página anterior, sem citar link de acesso e muito menos informar o autor do artigo, para não causar exposição desnecessária e nem gerar conflitos éticos.

Usando o sistema de busca do site procurei por artigos que contivessem a string "chmod 777". A maioria retornou artigos de instalação e configuração de serviços, sobretudo Apache e Squid. O exemplo que pego aqui é de um artigo que ensina como baixar, instalar, configurar e rodar o Squid em uma tradicional distro Linux. Em um trecho do artigo, o autor informa o seguinte:

"Criar o diretório de cache.

# chmod 777 /usr/local/squid/cache

Dar permissão de gravação no diretório de cache.

# chmod 777 /usr/local/squid/logs

Dar permissão de gravação no diretório de logs.

# chmod 777 /usr/local/squid/etc/errors

Dar permissão de gravação no diretório de erros, importante para verificar quando houver algum problema com o serviço.

# chown nobody.nogroup /usr/local/squid/cache

Comando para mudar o dono do diretório de cache.

# /usr/local/squid/bin/squid -z

Cria o swap Directory.

# /usr/local/squid/bin/squid -D "


Para quê dar permissão para todo mundo nos diretórios e arquivos do proxy Squid? Uma das vantagens de se ter Squid é poder analisar os logs e tomar medidas consonantes com o que estiver ocorrendo com o serviço. Se tivermos um usuário mais "espertinho" e quiser deletar do Squid o rastro de algo que ele acessou, sem problemas! As permissões dos arquivos e diretórios permitem isso! Sem contar na possibilidade de se usar falhas de segurança como esta para obter vantagens indevidas a outros recursos do sistema. Perigoso! O mais adequado neste caso é mudar o DONO dos diretórios que o Squid precisa para funcionar. Cria um usuário apenas para os processos do Squid, dá permissão nos diretórios somente para este usuário e configura o mesmo para acessar um shell restritivo que não permita que ninguém logue com ele para fins ilícitos. Reduz bastante a chance de termos algum bisbilhoteiro fuçando os nossos serviços.

Indo para softwares que rodam em ambiente web, fiz uma busca para a string "grant all privileges". Retornou alguns artigos. Uso um trecho de um deles a seguir:

"O próximo passo é dar privilégios a um usuário que não seja o root para ter acesso ao banco que acabamos de criar. Faremos isso com os comandos:

# mysql -u root -p

Este comando irá abrir o console do MySQL. Dentro deste console, iremos digitar:

mysql> GRANT ALL PRIVILEGES ON drupal.* TO usuário@localhost IDENTIFIED BY 'senha';"

Se uma aplicação web precisa ter acesso full e irrestrito a um banco de dados, temos um sério problema! Trabalho com web há um bom tempo e hoje cuido de um sistema de gestão de qualidade de service desk em uma multinacional americana. E também já cuidei de diversos sistemas de gestão de incidentes baseados em web e banco de dados. Particularmente, mesmo em ambiente crítico como citei, nunca presenciei ou tomei conhecimento de uma aplicação web ter necessidade de acesso irrestrito a todo o banco de dados! Se algum atacante descobrir um jeito de injetar comandos SQL pela sua aplicação (se você não tiver o mod_security, claro) você vai facilitar muuuuuuuuuuuuuuuuuuuito o trabalho dele =/

Página anterior     Próxima página

Páginas do artigo
   1. O que me motivou a escrever este artigo?
   2. Exemplos de segurança
   3. Exemplos de scripting e firewall
Outros artigos deste autor

Banda Larga 3G da Claro no Slackware Linux

Busca corporativa com Apache Solr - Motivação e conceitos

Leitura recomendada

Pensando sobre Web 2.0

E se o Linux finalmente depuser o Windows?

Karl Marx e a concorrência individual no Viva o Linux

O comércio eletrônico e o Linux

Elementary OS Freya

  
Comentários
[1] Comentário enviado por mondra em 04/05/2010 - 14:09h

Olá Edwi,

Concordo plenamente com suas ponderações.
Sei que muitos tem a paciência para escreverem artigos com experiências próprias, compartilhando seus conhecimentos. Mas infelizmente algumas pessoas acham mais fácil o Ctrl+C e Ctrl+v, acabando com isso disseminando informações errôneas.
Claro que, mesmo com experiências próprias, estamos sujeitos a falhas. Sempre gostei dos "mas por que tem de ser assim?", já que nos faz mostrar os "porquês" e assim mostrando que sabemos realmente do que estamos falando e não apenas porque foi assim que vimos em algum lugar.
Parabéns pela matéria, nem só de tutoriais se constrói uma comunidade ;-)

Abraços,
Edson "Mondra" Lima
Ubuntu Campinas

[2] Comentário enviado por paulorvojr em 04/05/2010 - 15:10h

Concordo plenamente,
mas atentem aos fatos e motivos e abram o olho.

Seja qual for ou quem criou um texto , artigo que mencionou:

Criar o diretório de cache.

# chmod 777 /usr/local/squid/cache

Há duas opções, que são: O autor aprendeu assim e não gosta de questionar(tenho pena dele...), ou sendo o mais provavel, ele queria evitar problemas e perguntas bobas de segurança do tipo:
não ta funcionando no meuuuuuu!!! ta dando permissão negadaaaa....buaaaa.!!!

logo melhorar uma informação depende de quem é interessado, eu por exemplo, vejo um artigo , 2, 3, e junto as informações e crio meu proprio projeto que irei implementar numa empresa, ou em casa, resumindo, estou agregando informações, questionando-as, implemento, e quando possivel as compartilho, como crio meus artigos aqui mesmo no VOL e pela web, tanto linux, windows, solaris e freebsd.

de resto seu artigo está perfeito, realmente não podemos acreditar em tudo, devemos sempre questionar.

parabéns.


Paulo Roberto Junior
www.paulojr.info

[3] Comentário enviado por jhugor em 04/05/2010 - 17:19h

Parabens pelo artigo!

[4] Comentário enviado por capitainkurn em 04/05/2010 - 19:22h

Suas considerações são válidas e procedentes, mas ocorre o seguinte:
Abordar determinadas boas práticas de segurança pode desviar o artigo de seu escopo e até torna-lo um tanto ininteligível sob alguns aspectos, ou ainda ocorre que a solução não requeira um elevado nível de segurança pelas próprias características do ambiente de produção do autor do artigo. Nestes casos concordo com você que ao menos o autor devesse ter a preocupação em colocar uma nota de advertência. Eu mesmo quando me apercebo de algo assim em algum artigo ou dica, costumo colocar tais notas de advertência até mesmo quanto as limitações da solução.

[5] Comentário enviado por L!N5X em 04/05/2010 - 23:46h

Só para descontrair um pouco e veja que realmente não podemos acreditar em nada.

http://www.youtube.com/watch?v=BcbZ0v8Mpvk&feature=player_embedded

[6] Comentário enviado por dastyler em 05/05/2010 - 02:02h

òtimo arigo Edwi, e quanto a sumarização voce tem toda a razao. escrevercódigo sem ela é melhor e faz parte das boas práticas da programação.
Vejo muito códigos em PHP que fazem até pior do que o citado por voce de exemplo.

[]'s

[7] Comentário enviado por rc em 05/05/2010 - 14:23h

Prezado edi_oliver:

Realmente não dá pra acreditar em tudo o que se vê e lê, em especial na internet.
Quando as soluções são mais complexas, como o exemplo que vc sitou do chmode 777 (que eu que sou keigo nem sei o que é), imagino que de repente o cara que escreveu ou não imaginou as brechas de segurança que ele criou ou realmente escreveu para ser um artigo genérico, sem aprofundamento, mas que resolva o problema de alguém no aperto.
Pois bem: sou de outra área do conhecimento (trabalho nas ciências biológicas), mas gosto muito da informática, e trabalho hj também com ela, e o que vejo é como se fosse um certo perfil de quem lida com computador: um problema em comunicar os conhecimentos que possui à outros.
Vejo os artigos escritos aqui no vivaolinux: SEI QUE QUEM ESCREVEU FEZ DE BOA VONTADE E COM O INTUITO DE AJUDAR e pensando nisso acredito que seu artigo tenha vindo para ajudar nesses outros que será escritos após o seu.
Informática é MUUUITO DETALHE!!!! Esses detalhes nos escapam pelos dedos e daí vêm as cacas... erros que ninguém sabe o que significam... detalhes perdidos numa instalação, numa configuração, enfim, detalhes que tb se perdem na hora de escrever um artigo para o vivaolinux. Esses detalhes são ESPECIALMENTE IMPORTANTES para quem não sabe lidar com informática, porque o cara vai desesperado atrás de uma solução no google e lê artigo e faz sem pensar (já fiz isso!!!) e se ferra mais ainda!
O problema que vc ressaltou no seu artigo, ao meu ver, infelizmente não tem solução, senão a constante busca por conhecimento em fontes CONFIÁVEIS DE INFORMAÇÃO.
Hj vivemos na sociedade da DESINFORMAÇÃO. Vemos, lemos, respiramos desinformação. Temos zilhões de informações de péssima qualidade, que nos norteiam para o inferno.
Muito bem colocado seu artigo, e que sirva de alerta aos incautos, que como eu, aprendem na porrada a ter o desconfiômetro sempre ligado, mas lembremos que mesmo artigos "ruins", NA MAIORIA DAS VEZES, serve para alguma coisa, desde que vc saiba interpretar e filtrar a informação, beom como vc falou. Novamente, acho que onde falta conhecimento, reina o caos, então, vamos ficar mais espertos naquilo que precisamos saber com mais frequência, e no nosso caso é a informática.
Falows
Roberto Carreira

[8] Comentário enviado por Ed_slacker em 05/05/2010 - 16:35h

Fico grato pelos feedbacks recebidos pela comunidade.
Só faço um adendo ao comentário feito pelo nosso amigo Roberto Carreira.
O que ele escreveu é de suma importância e retrata de forma bem aproximada o que ocorre quando se tem alguém com boa vontade de divulgar o que sabe sem se preocupar com as boas e melhores práticas e com quem está desesperado atrás de uma solução que "apague o incêndio"! Só que a solução que apaga o incêndio apenas coloca uma fina fita isolante em um fio desencapado perto de outro em curto, que causará outro incêndio! Enquanto as melhores e as boas práticas nos recomendam que troquemos o fio. Assim ficamos um bom tempo sem este tipo de problema.
Na última parte do artigo falei que os erros que eu citei no mesmo também os cometi. E que as consequências não foram legais. Leia-se: FUI DEMITIDO DE UMA EMPRESA POR LER CEGAMENTE O QUE UM DADO ARTIGO DIZIA E SEGUI A RISCA! Ele não contemplou issues de segurança. Fui afetado por uma deles, prejudicou o negócio, perdemos grana e fui demitido por justa causa. Por isso citei o perigo e lembrar que técnicos usam o conteúdo destes artigos em seus ambientes de negócio! Muitos em começo de carreira! Sem saber os riscos que se corre pela inexperiência!
Como estou vendo o mesmo acontecer em nossas decisões políticas, lembro-me de meu desligamento em 2007. E resolvi alertar a comunidade sobre como algo nobre e inofensivo pode prejudicar pessoas, carreiras e vidas!
Parece exagero, mas não é!

Edwi Oliveira Santos Feitoza.

[9] Comentário enviado por edisonsousa em 06/05/2010 - 11:16h

realmente muito bom esse artigo, e bom seria se todos pudessem dar uma olhada nele antes de buscar por soluções, valeuuu

[10] Comentário enviado por Teixeira em 06/05/2010 - 13:15h

Muito bom o seu artigo, e tem validade para todos os assuntos. No dia em que removerem ctrl-C e ctrl-V dos teclados, muita gente buscará o suicídio, pois nada mais lhes restará fazer na vida.

Um exemplo:
Fui procurar sobre a COBRA TAIPAN, uma serpente australiana muito perigosa (mas que o Steve Irwin tirava de letra, sendo finalmente morto por uma... raia!).
Mas a tal cobra, dizem que o veneno dela é tão forte que ela pode matar 100 homens com uma só picada (grande promoção: 1 é picado e morrem mais 99 de brinde).
Mss não é que em toda parte se vê essa forma de redação? Só teve um que escreveu que ela pode matar 100 homens com UMA SÓ MORDIDA (ah, bom!...).

Outro exemplo, não de cópia, mas no tocante a conteúdo:
Teve uma importante e conceituada revista americana que publicou uma daquelas pajelanças americanas para renomear arquivos em lote no DOS.
Quem caísse na besteira de renomear daquela forma, iria fazer com que todos os arquivos de seu diretório corrente fossem transformados em File0001, File0002, ... File0128, ... File0512 (igualzinho no chkdisk). Olha só a encrenca!
E o artigo nunca teve nenhuma errata, nenhuma revisão, nenhum comentário.

Quanto ao conhecimento político e às práticas de administração da azienda pública, brasleiro em geral é desligado das coisas ligadas a essas matérias.

Já ouvi gente dizer que "as ruas estão esburacadas desde que o Lula foi eleito presidente";
Que "o atendimento médico nos hospitais deveria ser melhor porque todos pagam IPTU";
e outras pérolas igualmente reluzentes...

[11] Comentário enviado por premoli em 06/05/2010 - 18:55h

Usuários "espertinhos" nos dão muuuuuiito trabalho.

[12] Comentário enviado por csenciani em 07/05/2010 - 15:09h

OI Edwi, tudo bem?
É a Cris que estou com vc na São Judas....

Gostaria de dizer que achei muito legal o seu tópico, interessante mesmo...
Um grande abraçO!


[13] Comentário enviado por fernandoamador em 19/06/2011 - 01:52h

artigo interessante.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts