No Diolinux Responde de hoje, falaremos sobre o polêmico problema com o XZ, sobre usuários estarem deixando o Slackware, e se algumas decisões do KDE estão afastando usuários! Quer participar do quadro enviando suas perguntas? Seja membro do canal!
O mundo do Linux desabou com o problema no XZ?
Já fizemos a cobertura sobre o problema no XZ no Linux, fomos um dos primeiros sites em português que comentou sobre o assunto. Também tem um tópico no nosso fórum sobre o assunto, caso você queira participar, onde o pessoal da comunidade linkou vídeos de vários outros criadores e outras fontes.
Mas vale a pena se contrapor ao hype de “Linux tem uma mega falha”, que espalhou pânico e ignorância sobre o que realmente aconteceu. Além disso, nos comprometemos a responder todas as perguntas enviadas por nossos membros para este quadro. Sendo membro do canal Diolinux, além de ter acesso a vídeos e benefícios exclusivos, você ainda pode participar do Diolinux Responde!
Em resumo: No final do mês de março foi identificado que a biblioteca XZ Utils, usada em várias distros Linux para compactação de arquivos, estava infectada com um malware que poderia acessar dados do SSH, permitindo o login remoto e acesso não autorizado ao sistema.
O XZ é mantido de forma comunitária e tem seu código aberto, a descoberta do problema foi creditada a um funcionário da Microsoft. Algo que chamou muita atenção é que o backdoor parece ter sido inserido propositalmente por um suposto colaborador do projeto, que já ajudava no desenvolvimento do XZ há um certo tempo, criando a sensação de que foi algo premeditado, um plano de longo prazo.
Este problema foi encontrado em versões bem específicas do XZ, a 5.6 e a 5.6.1, então, em tese, distros que usavam essas versões, poderiam ser alvos de ataque. Como fica o mundo do open source com isso?
Como diz o próprio Linus Torvalds: “O importante não é criar um sistema sem falhas, isso é impossível, humanos fazem eles, o importante é a velocidade na qual você corrige essas falhas.”
Essa não é a primeira vez que um CVE de classe 10 afetou sistemas Linux, nem será a última. A quantidade de gente falando sobre o assunto e o drama pode ter feito parecer que era um problema muito mais grave do que a realidade.
Os únicos sistemas que poderia ser afetados por conta do problema, foram as versões em desenvolvimento do Fedora e do Debian. Também o Kali Linux se ele foi sido atualizado entre os dias 26 e 29 de março, o openSUSE Rolling Release e o MicroOS, se eles foram atualizados entre 7 e 28 de março.
Ou seja, versões em desenvolvimento que poucas pessoas utilizam, e as vítimas ainda precisariam estar com o SSH ativo, expostos para a internet com um firewall que permitisse tráfego de IPs não autorizados, sem considerar outras possíveis camadas de segurança, tanto domésticas, mas principalmente empresariais.
Red Hat, Ubuntu, Debian estável, CentOS, Alma Linux, Rocky Linux, openSUSE Leap e derivados diretos são os principais sistemas usados em servidores, nenhum deles foi afetado, e mesmo que fosse, ainda precisariam de certas circunstâncias para a conexão poder ocorrer. Sem considerar os patches de segurança que alguns sistemas lançaram horas depois da descoberta.
O próprio Arch Linux, que por ser rolling release poderia ter sido afetado, não foi por uma tecnicalidade da construção do sistema. Mesmo assim, o Arch fez a correção do software e mandou atualizações, como era de se esperar.
Este CVE é de classe 10 porque ele poderia criar a condição de um ataque com controle remoto completo, mesmo que a probabilidade de acontecer fosse, na verdade, baixa. Dias depois, se você olhar a pontuação, a probabilidade de alguém explorar tem nota 3.9 de 10. Os mais impressionados talvez não tenham se dado conta, mas falhas de segurança aparecem no mundo Linux e open source o tempo, na verdade, elas chegam em todo tipo de software!
Quando o software é open source, elas tendem a serem mais frequentes, já que é possível consultar diretamente o código-fonte, ficando mais fácil encontrar os problemas, que foi exatamente o que aconteceu no caso do XZ.
Se um backdoor desse tipo tivesse sido colocado em um software proprietário, de código fechado, são grandes as chances das coisas irem para produção sem ninguém perceber até ser tarde demais. Dessa vez foi por pouco, e quem diria, foi alguém da Microsoft é que ajudou a tornar o Linux mais seguro dessa vez.
Talvez já existiram problemas que você até pudesse ser afetado de alguma forma, que nunca ficou sabendo e foram embora numa atualização de sistema feita de forma descompromissada. Isso não quer dizer que o Linux está menos seguro agora, essas coisas acontecem desde sempre, sempre foi assim. Para ter uma visão mais ampla da segurança no Linux, recomendamos o nosso podcast especial sobre o assunto.
Mas se tem uma coisa interessante desse caso do XZ em particular que pode ser tirado como aprendizado: A lembrança de que softwares open source não são invulneráveis, a gente precisa continuar prestando atenção no código, além de não negligenciar as regras básicas de segurança.
Esse problema também mostrou a agilidade dos desenvolvedores em corrigir potenciais falhas importantes, o modelo open source de desenvolvimento tem esse ponto forte, uma vez que a falha é descoberta, ela tende a ser corrigida rapidamente.
Enquanto problemas assim no Linux virarem notícia, significa que eles são raros o suficiente, o que é uma coisa boa. Além disso, como a falha parece ter sido intencionalmente inserida por um colaborador, ajudou as comunidades a lembrarem de reverem as suas políticas de segurança para com os colaboradores e softwares comunitários.
A dica é a mesma para todas as outras vezes que um bug ou malware foi encontrado em algum código de alguma distro que pudesse afetar alguém, mantenha o sistema atualizado, em pouco tempo, o problema vai embora.
Slackjeff sem Slackware
Slackjeff, para quem não conhece, é o Jeferson, ele tem um canal sobre Linux no YouTube um grande fã do Slackware, mas recentemente ele disse que iria deixar de usar a distro de vez.
O Jeff é também professor de algumas das séries premium que oferecemos para membros Diolinux Play, se você se tornar membro, poderá ver o Slackjeff no nosso curso de Shell Script Avançado e também no curso de Linux From Scratch.
Se o Slackware mudasse a filosofia e ficasse mais moderno, traria novos usuários? Um Slackware mais moderno não seria necessariamente mais amigável do que várias e várias outras distros Linux que existem hoje em dia.
O Slackware parou tanto no tempo, que literalmente existem décadas de melhorias em usabilidade separando o que ele oferece, do que se tem em sistemas mais atuais, especialmente em desktops. Vale a pena lembrar que a gente vive a era onde o Ubuntu não é mais necessariamente a distro mais fácil de usar, o que dirá o Slackware então.
Uma mudança de filosofia seria uma faca de dois gumes, o Slackware é interessante hoje justamente por ser antiquado do jeito que ele é, acabou virando uma ferramenta de estudo, mais do que de produtividade.
Ele usa muitas tecnologias que não são usadas no mercado de trabalho hoje em dia. Certas coisas que as pessoas precisam para trabalhar não estão no Slackware, então ele acaba servindo mais para ver como um sistema funciona por baixo dos panos, não tanto para aprender o Linux de mercado atual.
Talvez um Slackware um pouco mais vanguardista não angariasse muitos novos usuários, já que existem várias outras distros já que oferecem mais praticidade. Mas uma versão mais moderna poderia ajudar a manter os poucos usuários fiéis, como é o caso do Slackjeff.
Mas como tudo na vida, existe também um fim para projetos lendários assim, ainda não é a vez do Slackware, mas pode estar muito mais próximo disso do que de uma grande volta por cima. Não seria o primeiro sistema a ficar na história, o Mandrake, o Mandriva e o Kurumin moram no coração e na memória de muita gente.
Por mais que existam projetos como o Mageia e o openMandriva, e até sucessores espirituais ao Kurumin em terras nacionais, como o Big Linux e o Regata OS, a gente sabe que, no fundo, não é o mesmo.
Patrick Volkerding, o criador e principal mantenedor do Slackware, que já tem quase 60 anos, faz o sistema exatamente como ele gostaria que fosse, com as coisas para ele mesmo em primeiro lugar, sem se preocupar com o que o mercado demanda. Talvez ele não queira mais usuários, talvez ele não faça questão de manter os usuários da distro, ele só faz questão de que o Slackware continue sendo o Slackware que sempre foi.
Por que distros com o KDE Plasma, como o Manjaro, tem tantos aplicativos estranhos e sem consistência no design? Isso não depõe contra a interface? Por outro lado, como o Fedora, por exemplo, consegue entregar uma experiência mais consistente?
Consistência de design é algo sempre bem-vindo, as pessoas podem até tolerar inconsistências, mas ninguém nunca reclamará de um design coeso. O nosso cérebro gosta de padrões, e quando eles são desrespeitados, a gente fica com uma sensação de que algo não está certo.
Difícil dizer se falta de consistência afasta usuários, acho que não existe uma pesquisa de fato sobre isso, mas com certeza não ajuda a atrair.
O grande “diferencial” do Fedora com KDE, é que, na verdade, ele não faz muitos ajustes na interface, basicamente empacota praticamente sem modificação. No máximo acrescenta um logotipo e wallpapers. Se não tem aplicativos pré instalados que quebram a experiência, é só porque eles provavelmente só incluíram aplicativos KDE, tirando o Firefox e o LibreOffice.
Enquanto o que o Manjaro faz é alterar de forma mais intrusiva os padrões do Plasma, e talvez o pessoal do Manjaro seja ruim em UX e UI. O Manjaro faz isso em todas as interfaces que usa, não é exclusividade do Plasma. Tem quem goste, tem que desgoste, mas realmente é bem diferente do padrão.
Se você quiser ver como é o Plasma sem o dedo de ninguém, exceto dos desenvolvedores do KDE, utilize o KDE Neon numa VM, o Plasma é aquilo. O Fedora KDE, com poucas modificações, fica bem perto.
Essa coisa de mudar as coisas demais, ou mudar as coisas de menos, como no caso do Slackware, é uma balança bem difícil de equilibrar, os desenvolvedores de todos esses projetos colocam as coisas da forma com que eles acham que seria melhor.
Conforme você conhece as ideias e os contextos desses projetos alguns porquês das decisões começam a ficar mais claros, mesmo que a gente não concorde. Confira o vídeo onde exploramos o Slackware em parceria com o Slackjeff, a história por trás da distro e suas características.
