Re: As distro sao inseguras

To: Henrique de Moraes Holschuh <hmh@debian.org>
Cc: debian-user-portuguese@lists.debian.org
Subject: Re: As distro sao inseguras
From: Antonio Augusto de Cintra Batista <antonio@interprov.com.br>
Date: Mon, 17 Dec 2001 23:37:05 -0200
Message-id: <[🔎] 20011217233705.B29231@interprov.com.br>
In-reply-to: <[🔎] 20011217221530.A28804@khazad-dum>; from hmh@debian.org on Mon, Dec 17, 2001 at 10:15:30PM -0200
References: <[🔎] 20011217200656.C27485@interprov.com.br> <[🔎] 20011217221530.A28804@khazad-dum>

Henrique:

Confesso que conheço pouquíssimas pessoas desta lista, não o conhecia
até este seu email, mas apesar de me sentir constrangido creio que
devo chamar sua atenção em público. Você está demonstrando conhecer
muito superficialmente o assunto: até aí tudo muito bem, afinal
ninguém nesta vida sabe de tudo, mas acho sua coragem desmedida ao se
atirar tão levianamente assim sem medir as consequências que a
desinformação traz quando lançada aos ventos.

Eu frequentemente tenho a honra de ser corrigido ou ajudado por
amigos ou mesmo desconhecidos, mas ter de responder afirmações
cheias de desinformação é muito duro, e o pior é não ter como me
desincumbir desta tarefa pois a culpa foi minha ao enviar email
sobre este assunto para esta lista.

Se você quer contribuir para a solução do problema apontado em
meu primeiro email, por favor leia antes o archive deste mês
da lista debian-security, e daí me avise quando tiver terminado
para que não perca meu tempo quando eu responder ao seu email
apontando as devidas correções (ou aponte-as você mesmo, por
favor!).

Um tanto desanimado,

Antonio

On Mon, Dec 17, 2001 at 10:15:30PM -0200, Henrique de Moraes Holschuh wrote:
> Date: Mon, 17 Dec 2001 22:15:30 -0200
> From: Henrique de Moraes Holschuh <hmh@debian.org>
> To: debian-user-portuguese@lists.debian.org
> Subject: Re: As distro sao inseguras
> 
> On Mon, 17 Dec 2001, Antonio Augusto de Cintra Batista wrote:
> > Há uma vulnerabilidade de segurança grave na Debian, a qual já deveria
> > estar solucionada há tempos. Qualquer um de nós, até mesmo os
> > principais mantenedores, podem estar usando um pacote adulterado. A
> 
> "Mantenedores" (eu nunca gostei dessa tradução, soa mal :-P) podem baixar as
> debs direto de ftp-master.debian.org usando ssh. E uma deb só entra em
> ftp-master.debian.org através de uma MD5-sum assinada por alguém no keyring
> oficial do Debian.
> 
> O problema mais grave realmente é para os usuários.  A única solução
> imediata é assinar a lista debian-changes, e verificar a assinatura dos
> .changes uploadeados, daí a MD5-sum dos pacotes, e só instalar eles se tudo
> bater.
> 
> Os updates de segurança também possuem MD5-sum assinadas.  Os CDs originais
> só contém pacotes com MD5 assinadas (pelo menos para Woody). Os mirrors
> primários têm seu conteúdo completamente corrigido (sim, inclusive quaisquer
> pacotes trojan serão sobrescritos com os originais) diariamente, pois a
> sincronisação é feita via rsync apartir de ftp-master.
> 
> > situação é grave, merece uma força-tarefa para solucionar.
> 
> Não irá ser feito para Woody, e tudo exceto as coisas perigosas (ou seja,
> fuçar em da-katie) já está pronto.  Deve acontecer bem rapidinho assim que
> woody for lançada, e movermos os arquivos com criptografia de non-us/main
> para main.
> 
> > Mas próprio pacote debian-keyring pode estar adulterado, e deixar para
> > o usuário checar todas aquelas chaves uma-por-uma *não* é solução
> > mesmo!
> 
> Leia a documentação. O keyring está disponível via rsync anônimo de
> keyring.debian.org, e você pode mandar o gnupg dar update das chaves apartir
> dele, e de um monte de keyservers. Haja problema pruma proxy "adulteradora"
> resolver.
> 
> > A meu ver, uma solução razoável passaria pela uso da Web of Trusting
> > das chaves (tipo assim, a sua chave é assinada por estes fulanos em
> 
> A solução definitiva, você quer dizer...
> 
> > garantir a autenticidade de quem gerou a assinatura.
> 
> Acabou de tocar na razão pela qual a infra-estrutura para assinar os pacotes
> é meio complicada. Quem quiser saber mais, procure nos arquivos da
> debian-devel em lists.debian.org.
> 
> > Proposta: poderíamos trabalhar em conjunto numa solução, testar
> > entre nós, e exportar a sugestão para debian-security. Podemos
> > não resolver todos os problemas, mas acho que é hora de uma
> > força-tarefa.
> 
> Não perca tempo com isso. Já foi feito, e foi feito direito. Pegue o gpgme,
> crie sistemas decentes de manejo de assinaturas em massa, pegue o código de
> da-katie em cvs.debian.org, e soquete um no outro. Aí você vai ter dado uma
> tremenda ajuda :P
> 
> -- 
>   "One disk to rule them all, One disk to find them. One disk to bring
>   them all and in the darkness grind them. In the Land of Redmond
>   where the shadows lie." -- The Silicon Valley Tarot
>   Henrique Holschuh
> 
> 
> -- 
> To UNSUBSCRIBE, email to debian-user-portuguese-request@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Reply to:

Follow-Ups:
- Re: As distro sao inseguras
  - From: Henrique de Moraes Holschuh <hmh@debian.org>
- Re: As distro sao inseguras
  - From: Gustavo Noronha Silva <kov@debian.org>

References:
- As distro sao inseguras
  - From: Antonio Augusto de Cintra Batista <antonio@interprov.com.br>
- Re: As distro sao inseguras
  - From: Henrique de Moraes Holschuh <hmh@debian.org>

Prev by Date: SOLUÇÃO: recompilei kernel, erro na inicialização
Next by Date: Re: frame buffer
Previous by thread: Re: As distro sao inseguras
Next by thread: Re: As distro sao inseguras
Index(es):
- Date
- Thread