A criptografia do Linux NÃO foi quebrada com 1 e nem 10 dedos!

aboutme

Existem maneiras mais inteligentes para que o seu blog e/ou portal obtenha um grande número de acessos, não é necessário gerar notícias sensacionalistas para ganhar publíco. É o que aconteceu com uma notícia distorcida em sites (NACIONAIS E INTERNACIONAIS), que seja por falta de conhecimento técnico ou proposital, nos últimos dias muitas pessoas me perguntaram sobre uma vulnerabilidade que mencionava sobre a quebra da criptografia do GNU/Linux com um único dedo.

Corroboro com a opinião do  Azevedo (obrigado), sobre o desprezo por pessoas que manipulam/distorcem informações na internet! A vulnerabilidade divulgada realmente é grave (CVE-2016-4484), pois esta relacionada ao pacote crytpsetup. Que por sua vez, POSSUÍA uma vulnerabilidade que permitia o acesso não autorizado ao filesystem durante o boot.

Resumidamente a falha no script /scripts/local-top/cryptroot, após pressionar a tecla ENTER por alguns segundos, o script fornece acesso ao Shell. Permitindo ao atacante injetar software malicioso no equipamento, apagar e copiar informações. Mas A CRIPTOGRAFIA NÃO FOI QUEBRADA, ou seja, os dados criptografados não são expostos ao atacante.

Uma vez que a frase senha não foi informada, os dados criptografados continuam protegidos, e como o Azevedo disse, a partição pode até ser copiada, mas se a senha seguiu as boas práticas (uma frase senha forte), a força bruta levará somente a idade do planeta Terra.

Não interessa para mim qual sistema operacional é mais ou menos seguro, EU CRESCI, E EVOLUI! Somos seres humanos dotados de falhas. Quando uma vulnerabilidade é descoberta, o espírito colaborativo da comunidade deve entrar em cena, ajudar na correção o mais breve possível e ajudar na divulgação da correção. Então fica a seguir a minha parte (Obrigado novamente Azevedo ).

Uma opção é inserir o parâmetro panic=5 no arquivo /etc/default/grubs do programa grub para forçar o restart ao invés do acesso ao shell:

# sed -i 's/GRUB_CMDLINE_LINUX_DEFAULT="/GRUB_CMDLINE_LINUX_DEFAULT="panic=5 /' /etc/default/grub
# grub-install

A correção é aplicar o patch a seguir ( cryptsetup_fix_CVE-2016-4484.patch ), ressalto que as distribuições já lançaram suas respectivas correções.

cryptsetup_fix_CVE-2016-4484.patch


--- a/scripts/local-top/cryptroot 2016-07-29 10:56:12.299794095 +0200
+++ b/scripts/local-top/cryptroot 2016-07-29 11:00:57.287794370 +0200
@@ -273,6 +273,7 @@

# Try to get a satisfactory password $crypttries times
count=0
+ success=0
while [ $crypttries -le 0 ] || [ $count -lt $crypttries ]; do
export CRYPTTAB_TRIED="$count"
count=$(( $count + 1 ))
@@ -349,12 +350,15 @@
fi

message "cryptsetup: $crypttarget set up successfully"
+ success=1
break
done

- if [ $crypttries -gt 0 ] && [ $count -gt $crypttries ]; then
- message "cryptsetup: maximum number of tries exceeded for $crypttarget"
- return 1
+ if [ $success -eq 0 ]; then
+ message "cryptsetup: Maximum number of tries exceeded. Please reboot."
+ while true; do
+ sleep 100
+ done
fi

udev_settle

Um comentário em “A criptografia do Linux NÃO foi quebrada com 1 e nem 10 dedos!

  1. Republicou isso em O Ambiente de TIe comentado:
    A criptografia do Linux NÂO foi quebrada, como informado em uma notícia distorcida compartilhada por muitos sites nacionais e internacionais. Vamos fazer a nossa parte, ajudar na divulgação da correção, compartilho aqui um artigo postado no site assuntonerd.com.br por Alessandro de Oliveira Faria (A.K.A CABELO).

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google

Você está comentando utilizando sua conta Google. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s

Este site utiliza o Akismet para reduzir spam. Saiba como seus dados em comentários são processados.