Henrique: Confesso que conheço pouquíssimas pessoas desta lista, não o conhecia até este seu email, mas apesar de me sentir constrangido creio que devo chamar sua atenção em público. Você está demonstrando conhecer muito superficialmente o assunto: até aí tudo muito bem, afinal ninguém nesta vida sabe de tudo, mas acho sua coragem desmedida ao se atirar tão levianamente assim sem medir as consequências que a desinformação traz quando lançada aos ventos.
Eu frequentemente tenho a honra de ser corrigido ou ajudado por amigos ou mesmo desconhecidos, mas ter de responder afirmações cheias de desinformação é muito duro, e o pior é não ter como me desincumbir desta tarefa pois a culpa foi minha ao enviar email sobre este assunto para esta lista. Se você quer contribuir para a solução do problema apontado em meu primeiro email, por favor leia antes o archive deste mês da lista debian-security, e daí me avise quando tiver terminado para que não perca meu tempo quando eu responder ao seu email apontando as devidas correções (ou aponte-as você mesmo, por favor!). Um tanto desanimado, Antonio On Mon, Dec 17, 2001 at 10:15:30PM -0200, Henrique de Moraes Holschuh wrote: > Date: Mon, 17 Dec 2001 22:15:30 -0200 > From: Henrique de Moraes Holschuh <[EMAIL PROTECTED]> > To: debian-user-portuguese@lists.debian.org > Subject: Re: As distro sao inseguras > > On Mon, 17 Dec 2001, Antonio Augusto de Cintra Batista wrote: > > Há uma vulnerabilidade de segurança grave na Debian, a qual já deveria > > estar solucionada há tempos. Qualquer um de nós, até mesmo os > > principais mantenedores, podem estar usando um pacote adulterado. A > > "Mantenedores" (eu nunca gostei dessa tradução, soa mal :-P) podem baixar as > debs direto de ftp-master.debian.org usando ssh. E uma deb só entra em > ftp-master.debian.org através de uma MD5-sum assinada por alguém no keyring > oficial do Debian. > > O problema mais grave realmente é para os usuários. A única solução > imediata é assinar a lista debian-changes, e verificar a assinatura dos > .changes uploadeados, daí a MD5-sum dos pacotes, e só instalar eles se tudo > bater. > > Os updates de segurança também possuem MD5-sum assinadas. Os CDs originais > só contém pacotes com MD5 assinadas (pelo menos para Woody). Os mirrors > primários têm seu conteúdo completamente corrigido (sim, inclusive quaisquer > pacotes trojan serão sobrescritos com os originais) diariamente, pois a > sincronisação é feita via rsync apartir de ftp-master. > > > situação é grave, merece uma força-tarefa para solucionar. > > Não irá ser feito para Woody, e tudo exceto as coisas perigosas (ou seja, > fuçar em da-katie) já está pronto. Deve acontecer bem rapidinho assim que > woody for lançada, e movermos os arquivos com criptografia de non-us/main > para main. > > > Mas próprio pacote debian-keyring pode estar adulterado, e deixar para > > o usuário checar todas aquelas chaves uma-por-uma *não* é solução > > mesmo! > > Leia a documentação. O keyring está disponível via rsync anônimo de > keyring.debian.org, e você pode mandar o gnupg dar update das chaves apartir > dele, e de um monte de keyservers. Haja problema pruma proxy "adulteradora" > resolver. > > > A meu ver, uma solução razoável passaria pela uso da Web of Trusting > > das chaves (tipo assim, a sua chave é assinada por estes fulanos em > > A solução definitiva, você quer dizer... > > > garantir a autenticidade de quem gerou a assinatura. > > Acabou de tocar na razão pela qual a infra-estrutura para assinar os pacotes > é meio complicada. Quem quiser saber mais, procure nos arquivos da > debian-devel em lists.debian.org. > > > Proposta: poderíamos trabalhar em conjunto numa solução, testar > > entre nós, e exportar a sugestão para debian-security. Podemos > > não resolver todos os problemas, mas acho que é hora de uma > > força-tarefa. > > Não perca tempo com isso. Já foi feito, e foi feito direito. Pegue o gpgme, > crie sistemas decentes de manejo de assinaturas em massa, pegue o código de > da-katie em cvs.debian.org, e soquete um no outro. Aí você vai ter dado uma > tremenda ajuda :P > > -- > "One disk to rule them all, One disk to find them. One disk to bring > them all and in the darkness grind them. In the Land of Redmond > where the shadows lie." -- The Silicon Valley Tarot > Henrique Holschuh > > > -- > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
