[FUG-BR] [OFF-TOPIC]Palestra sobre segurança by Theo de Raadt

Nicolas Wildner nicolas em tbl.com.br
Quinta Janeiro 9 13:55:40 BRST 2014


----------
> theo é um cara bom mas profissionalmente frustrado sabe-se-la-pq, e
> que
> anualmente imprime a foto de alguem/algumaempresa e coloca no seu
> quadro de
> tiros pessoal, antes do freebsd foi a intel, antes da intel foi a
> cisco
> antes da cisco foi o linux, uma pena ele atacar outros sistemas bsd
> agora
> ao invés de contribuir de forma mais relevante
> theo de raadt é 12 milhões de dólares mais pobre porque o
> departamento de
> defesa escolheu o FreeBSD ao invés do OpenBSD pra segurança
> com 1 milhão investido em ambos o openbsd fez o W^X que o theo
> defende
> nessa palestra 10 anos depois enquanto o freebsd começou a la o tal
> de
> granularization que permitiu a criação do mac e hoje do capsicum mas
> que na
> epoca ninguem viu resultado porque era estrutural
> 
> bom 10 anos depois e 12 milhões de dolares depois acreditem esse
> ataque do
> theo não é coincidencia
> em 2014 termina os 10 anos desse contrato e com o capsicum o freebsd
> termina o objetivo final do contrato e implementa tudo que o theo
> disse que
> seria impossivel, o que o theo não disse é que o mac_mls,
> mac_partition e o
> capsicum são 3 formas de isolamento que mitiga o risco que ele está
> apontando o dedo, mas o que o theo disse pra tambem se previnir com
> essa
> alegacao e que ele quer tudo habilitado por padrao e no freebsd
> apesar de
> ter mac no kernel generic nao tem politicas mac aplicadas por padrao
> (nem
> acho que deve ter quem ja trabalhou com mac sabe o motivo)
> 
> o robert watson na usenix sei la que ano mostrou uma forma generica
> de
> escapar disso tudo inclusive do W^X e do systrace do openbsd então o
> que
> ele está defendendo ja teve sua eficiencia derrubada no ultimo slide
> ele
> mostra isso deixando claro que dificulta mas nao evita
> la na russia ele falou o que bem quis, vamos ver se ele escolhe o
> mesmo
> tema pra bsdcan2014 ou alguma conferencia na california ou NY na
> russia nao
> tinha ninguem do freebsd capaz de argumentar com o theo sobre
> seguranca (
> http://tech.yandex.com/events/ruBSD/2013/) o gleb era o unico
> presente mais
> ligado ao src/sys mas o foco dele é networking

A parte mac_* do FreeBSD tem preconceito erroneamente inserido
pelos próprios usuários do FreeBSD, que marcam o projeto como "morto", 
ou interpretam como TrustedBSD=Selinux e taxam esta iniciativa 
como "security through obscurity". Basta dar uma navegada nos fóruns e
ver a ignorância das afirmações de alguns membros, simplesmente
porque não sabem diferenciar a implementação SELinux da teoria
do FLASK[1]

Agora, é uma verdade. o Theo vem atacando gratuitamente o FreeBSD
ultimamente na segurança e nas implementações de ACPI.

[1]http://www.cs.utah.edu/flux/fluke/html/flask.html

Nícolas Wildner
Analista de Infraestrutura de TI
Transportes Bertolini Ltda.
www.tbl.com.br


>


Mais detalhes sobre a lista de discussão freebsd