Distribuições baseadas em Linux tendem a ser mais seguras que outros sistemas, por diversas razões, como atualizações constantes, apoio da comunidade no desenvolvimento, uma grande comunidade de usuários e por aí vai.

Mesmo sendo mais seguras, elas não estão imunes a problemas como vírus, ataques de hackers e vulnerabilidades. Quando estes problemas ocorrem são noticiados por diversos portais, devido a “raridade” destes acontecimentos.

No artigo de hoje, vamos falar um pouco sobre o caso LinuxFX, uma distribuição brasileira que sofreu problemas com o vazamento de dados de seus usuários, explicando o acontecido e refletindo sobre o posicionamento do mantenedor do projeto.

O projeto LinuxFX (ou WindowsFX)

Desenvolvido pelo brasileiro Rafael Rachid, o LinuxFX é um sistema operacional comercial que tenta entregar uma experiência idêntica aos sistemas da Microsoft, se apresentando como o sistema “ideal” para usuários que desejam migrar.

image 1

De acordo com site do projeto, ele conta com:

  • Assistente pessoal chamada Helloa;
  • Suporte a aplicações .exe;
  • Compatibilidade com Dropbox e Onedrive;
  • Suporte a aplicações Android;
  •  Interface amigável.

Para se parecer ainda mais com o ambiente da Microsoft, o sistema utiliza diversos aspectos visuais do projeto, como logos, ícones, nomes de aplicações e até mesmo licenças para autenticar recursos pagos para usuários do sistema.

Licenças pagas e a origem do problema

Tudo começou com o usuário Satya Nutella do blog Kernal, que identificou vulnerabilidades no software utilizado para a verificação das licenças do sistema.

Algum tempo depois, ele descobriu que o modo de ativação do sistema através do script LinuxFX-Register conecta o cliente (máquina em que o sistema está instalado) a um servidor MySQL remoto e sem muito esforço ele obteve a senha do banco de dados e acesso aos dados nele contidos.

image

Segundo informações do blog Kernal, o LinuxFX-register não implementa um recurso importante, que é uma API para realizar a ponte entre o cliente e o servidor, atuando como um ponto intermediário, que evitaria o acesso direto ao banco de dados.

Se você deseja saber mais sobre como ocorreu o vazamento de dados, recomendo que acesse o artigo original onde Nutella apresenta a forma como obteve acesso ao servidor de licenças.

A resolução (ou não) do problema

Pouco tempo após o post, o canal do YouTube DistroTube publicou um vídeo comentando sobre este vazamento e com a repercussão, Rachid tomou algumas providências, realizando uma atualização no sistema de licenças.

O que posso dizer é que esta solução não durou muito tempo, pois, em cerca de 3 dias Satya Nutella obteve novamente acesso ao banco de dados e como na vez anterior, documentou tudo em outro artigo.

O posicionamento de Rachid

Com o vazamento ocorrido, diversos membros da comunidade de usuários de distros Linux e do sistema, se preocuparam com a forma como Rachid, o principal desenvolvedor do projeto tratou a situação.

Embora as postagens de Kernal exponham a situação do sistema de forma dura, para os usuários da distro (que pagaram uma licença de uso), houve uma certa demora por parte do desenvolvedor em prestar esclarecimentos sobre o ocorrido.

A ação tomada inicialmente foi a revogação das credenciais do banco de dados e um patch de correção, que posteriormente também foi considerado vulnerável. Até o presente momento, não há informações sobre um novo patch para esta falha.

Piadinhas e teorias da conspiração?

Outra ação tomada pela equipe do LinuxFX foi a mudança do conteúdo das credenciais, que agora exibem informações falsas, além de textos que visam tirar sarro dos produtores de conteúdo do blog Kernal.

image 1

Além disso, em uma mensagem no Telegram que chegou a conclusão de que o canal DistroTube está perseguindo o sistema e apresentando informações indevidas. Apenas a título de informação, nós do Diolinux não estamos na lista de canais com os quais o autor entrou em contato.

image

Minha opinião sobre o assunto

Deixando o foco na notícia um pouco de lado e indo agora para minha opinião pessoal, considero o problema de vazamentos de dados muito sério e segundo o que foi reportado pela comunidade, acredito que a forma com a qual Rachid lidou com o problema poderia ser diferente.

Por se tratar de um produto com usuários pagantes, seria esperado a publicação de uma nota oficial no blog do sistema informando o vazamento do banco de dados ocorrido, onde o desenvolvedor explicaria os impactos do vazamento para os usuários e quais ações foram tomadas.

Problemas podem acontecer em qualquer projeto, porém, a forma como você lida com eles é o mais importante e durante essa crise, a forma como o desenvolvedor tratou este problema pode fazer com que vários usuários percam a confiança que tinham no sistema, além de gerar uma visão negativa do projeto para o resto do mundo.

Você utiliza o LinuxFX? Qual a sua opinião sobre este vazamento de dados?

Até o próximo artigo pinguim!


Newsletter Diolinux
Talvez Você Também Goste