EditorialSistemas operacionais

Os BSD estão morrendo?

As versões Open Source da Berkeley Software Distribution (BSD) do UNIX sofrem com a falta de monitoria em seu código, e isso prejudica sua segurança, disse Ilja Van Sprundel, diretor de testes de invasão no IOActive no final de dezembro.

O artigo à seguir foi enviado por Marcos Oliveira, do site e canal “Terminal Root” e foi traduzido da fonte: CSO. Ele não reflete a opinião do blog ou do Marcos necessariamente em todos os pontos.

Admirado pelo pequeno número de vulnerabilidades do kernel BSD em comparação com o Linux, Van Sprundel analisou o código fonte do BSD em seu tempo livre. “Por que há pouquíssimos avisos de segurança de kernel de segurança BSD publicados todos os anos ?” Ele queria saber. É porque os BSDs são muito mais seguros ? Ou é porque ninguém está olhando?

Van Sprundel diz que ele encontrou facilmente cerca de 115 erros no kernel dos três BSDs, incluindo 30 para o FreeBSD, 25 para o OpenBSD e 60 para o NetBSD. Muitos dessas falhas ele chamou de “fruta quase madura“. Ele informou prontamente todos as falhas de segurança, mas seis meses depois, no momento de sua palestra, muitos permaneceram sem correção.

De um modo geral, a maioria das falhas de segurança no kernel do Linux não tem uma vida longa. Eles são encontrados muito rápido“, diz Van Sprundel. “Já no BSD, isso nem sempre é verdade. Achei diversos erros que ainda não foram corrigidos“.

OpenBSD, o mais seguro!

O OpenBSD, de longe, tem os desenvolvedores mais conhecedores quando se trata de segurança“, disse van Sprundel ao público. Por um lado, o OpenBSD tem um código muito menor, cerca de 2,9 milhões de linhas de código, em comparação com os 7 milhões do FreeBSD e os 7,3 milhões do NetBSD. “Obviamente, isso faz parte“, diz van Sprundel. “Você não pode ter um erro no código que você não possui“.

Em termos de qualidade do código, Van Sprundel também elogiou o código OpenBSD, no entanto, disse que “A qualidade é proporcional aos problemas“. No entanto, a relativa falta de popularidade do OpenBSD prejudica a segurança do sistema operacional, ele sugeriu. “Os erros ainda são fáceis de encontrar. Se houvesse mais pessoas olhando para o OpenBSD, haveriam mais erros“.

Theo De Raadt, fundador da OpenBSD, concordou com a van Sprundel que mais analistas no OpenBSD tornariam o sistema operacional mais seguro. “Eu lembro de ler seus primeiros slides, que foram principalmente sobre o impacto de pequenos abusos da API“, disse De Raadt por e-mail. “Infelizmente, este é um problema do volume de código relativo à mão de obra. Garantir que todo o código seja 100% livre de erros é muito difícil“. Van Sprundel também elogiou a resposta do OpenBSD às descobertas dos erros, dizendo que De Raadt respondeu dentro de uma semana, e o OpenBSD corrigiu as falhas dentro de alguns dias.

Comuniquei-me com Ilja desde o início e consegui que toda nossa equipe trabalhasse em suas descobertas“, escreveu De Raadt. “Nós resolvemos todos os bugs dentro de uma semana ou mais e disponibilizamos patches para aqueles que eram importantes. Na minha experiência, a única maneira de ser proativo e responsivo em um projeto de software dirigido por voluntários é nunca permitir aferição de um problema para mais tarde. Os problemas devem ser tratados o mais rápido possível para manter o interesse neles “.

NetBSD, o mais estável!

O foco do NetBSD por muitos anos foi suportar a mais ampla gama de hardware possível. Com este objetivo, no entanto, vem a necessidade de incluir uma grande quantidade de código de compatibilidade binária, e destacou-se que o NetBSD parece ser menos estável em relação a segurança.

A resposta do NetBSD aos relatórios de bugs de van Sprundel foi surpreendentemente boa e ruim. 

Por um lado, disseram que: “Eles corrigiram praticamente todos os erros submetidos, e praticamente durante a mesma noite!“. Por outro lado, esses remendos ainda não foram enviados aos usuários seis meses depois. “Se você não instalar por conta própria as novas versões, seu NetBSD ainda estará vulnerável“.

Muitas das descobertas foram nas camadas de compatibilidade binária, e essas não são coisas que vão causar uma vulnerabilidade remota de qualquer maneira“, diz Taylor R Campbell, membro do conselho de administração da NetBSD Foundation. “Alguém precisaria de acesso ao sistema de qualquer maneira para executar esse código“.

Embora o NetBSD seja um projeto de código aberto voluntário sem desenvolvedores em tempo integral, Campbell e David Maxwell, um ex-membro do conselho de fundação do NetBSD, são ambos confiantes, o pessimismo de Agryroudis é infundado. “Nosso principal objetivo é ter um sistema central com uma arquitetura limpa, então torna-se muito fácil acessar novas plataformas“, diz Maxwell. “Nós provavelmente continuaremos a ser fortes no lugar que temos sido historicamente“. “Também somos notoriamente ruins no marketing“, acrescenta Campbell.

FreeBSD, o mais avançado!

O FreeBSD é o mais popular dos três grandes BSDs e é usado pela Netflix, WhatsApp, entre outros . “Atualmente, o FreeBSD está a par com Linux ou superando um pouco“, diz van Sprundel. “Em qualquer lugar onde você possa implantar o Linux, pode-se dizer que você provavelmente consegue também implantar o FreeBSD. Eles são implantados massivamente em muitos lugares“.

O FreeBSD respondeu aos 30 erros do kernel em cerca de uma semana e corrigiu alguns no seu repositório de código-fonte. No entanto, o projeto de software lançou apenas alguns avisos, e “não se sabe dos demais“, de acordo com Van Sprundel.

Ed Maste, diretor de desenvolvimento de projetos da Fundação FreeBSD e membro do time eleito do FreeBSD , diz:

Começamos a tratar alguns destes como apenas erros e não como problemas de segurança“.

A falta de desenvolvedores prejudica a segurança da FreeBSD, não só na capacidade de responder aos relatórios de erros, mas também para implementar novos recursos de segurança padrão do setor, o Argyroudis sugere. “O BSD mais popular, o mais tecnicamente avançado, é o FreeBSD, mas eles não têm tantos desenvolvedores,como Linux, e isso basicamente significa que estão um pouco atrasados em termos de recursos de segurança“. “Somos capazes de fazer uma enorme quantidade de trabalho com uma base de desenvolvedores muito menor, fenomenal em termos de quantidade e qualidade de trabalho em comparação com o Linux“, diz Maste. 

A sugestão de que nosso futuro é de alguma forma prejudicado pela falta de desenvolvedores é absolutamente falso“.

As vulnerabilidades do kernel do FreeBSD afetam o macOS ?

Há muito código FreeBSD no Mac e a equipe de segurança do FreeBSD coordena a divulgação com a Apple, diz van Sprundel. Ainda não está claro se essas vulnerabilidades relatadas afetam os laptops da Apple. O kernel Darwin divergiu fortemente do FreeBSD há 15 anos, e o macOS recebeu muito mais dedicação dos pesquisadores de segurança ao longo dos anos.

“Quando eu enviei os erros que eu tinha para ‘Os Caras’ do FreeBSD, eles perguntaram:” Você se importa se enviarmos isso para os caras da Apple? “, Disse van Sprundel. “Então, a equipe de segurança da Apple tem essa lista de erros. Não tenho ideia do quanto isso se aplica a eles. Provavelmente há alguns erros que se aplicam lá”. A Apple não respondeu ao nosso pedido de comentário, e Maste recusou-se a especular, apontando que apenas a Apple saberia a resposta dessa pergunta. Maxwell da NetBSD é rápido em apontar que o macOS inclui código de não apenas o FreeBSD, mas também o NetBSD e o OpenBSD.

Os BSD estão morrendo ?

Os BSDs perderam a batalha para o Linux, e isso pode muito bem deixar de suportar a futura sustentabilidade dos BSDs como sistemas operacionais viáveis e seguros. “Fale o que quiser do kernel Linux, mas a verdade é que ele possui mais magnitude.“, conclui Van Sprundel. “Com base no meu resultado, a qualidade do código por si só não pode explicar a discrepância entre os números de erro (BSD versus Linux)“.

O OpenBSD pode ser o mais provável de sobreviver, apesar de ser muito menos popular que o FreeBSD no momento, sugere Argyroudis. “Vejo uma maior chance de o OpenBSD sobreviver porque tem um caso de uso mais focado e segmenta coisas específicas. FreeBSD, acho muito mais difícil para ele sobreviver do que o OpenBSD“.

Medir a popularidade dos BSDs é difícil, argumenta Maste. “Um dos desafios com a tentativa de medir ou quantificar a popularidade do FreeBSD ou dos outros BSDs é que, em muitos casos, é usado em aplicativos ou implementações que não são particularmente visíveis“, diz ele, como aparelhos ou produtos que se desenvolvem derivados do FreeBSD.

A licença BSD permissiva torna ainda mais difícil quantificar a popularidade dos BSDs. “Para os usuários finais, coisas como a licença no código podem não importar muito“, diz Maxwell da NetBSD, “mas para as pessoas que compõem sistemas incorporados, para as pessoas que estão construindo produtos, o licenciamento do código é muito importante“.

Argyroudis continua a ser pessimista sobre o futuro dos BSDs. “Eu adoro a base do código BSD“, diz ele, “e eu adoraria poder contar-lhe coisas diferentes, principalmente sobre o FreeBSD, o maior rival do Linux. Infelizmente, eu não acho que esse é o caso, eu acho que isso se resume a uma falta de desenvolvedores“.

Você pode apoiar a BSD Foundation através de doações no site oficial e reportando bugs.

Até a próxima!

Diolinux Ofertas - Aproveite os melhores descontos em diversos produtos!