OpenSource Software é mais fácil de hackear

Segundo esta reportagem da Tectonic, Kevin Mitnick diz ser mais fácil de hackear sistema de código aberto, uma vez que, evidentemente, o código é aberto e torna a tarefa de procurar por brechas mais fácil, sem a necessidade de engenharia reversa. O que faz bastante sentido. E claro, comenta da possibilidade de ser mais seguro, já que muitas pessoas, entendidas ou não, podem olhar o código e sugerir modificações.

Importante lembrar que a maioria das invasões realizadas por Mitnick pouca tinham a ver com crackear softwares, e sim com manipular e enganar um dos elos mais fracos da segurança: as pessoas.


6 Comments on “OpenSource Software é mais fácil de hackear”

  1. Jonas Galvez disse:

    Que FUD desgraçado, hein? Sem mencionar que é muito mais provável que software opensource seja *mais difícil* de hackear, justamente pelo código estar aberto. Se a base de usuários for grande o bastante, dificilmente sobram falhas. Não é por menos que Apache sempre teve menos incidência de ataques que IIS.

    Sim, eu lembro que quando saía qualquer noticiazinha sobre falhas em sites com Apache/PHP, o Hubner ia todo alegremente postando, como uma criança feliz brincando na gangorra do parquinho, mas eram problemas específicos de PHP (que infelizmente foi, durante muito tempo, uma amálgama de código porcamente revisado). Você raramente via (isto é, se sequer já viu) notícias sobre falhas em aplicativos web com Apache/Perl ou Apache/Python.

  2. Fabio Terracini disse:

    Hackeavel é uma coisa, insegura é outra diferente.

    Hackeavel por ter seu código aberto e facilitar a busca por falhas, não que existam falhas. Mais fácil olhar o código do que realizar engenharia reversa.

    Talvez a reportagem não tenha deixado isso claro.

  3. Alex Hubner disse:

    Essa é nova… Jonas Galvez, o cara que comia software proprietário até ontem agora toma as dores da “comunidade” open source e vêm arrotar o que sobrou em cima dos que gostam de lembrar que software livre *não* é sinônimo de maior segurança. Essa idéia de que aberto=seguro é algo que forçosamente faz querer crer os propagandistas ideológicos do mundinho opensource (observação: qualquer semelhança com a prática de FUD, porém de forma invertida, não é mera coincidência). E muitos crêem fielmente nisso, prova de que a propaganda enganosa (FUD) realmente funciona, não importa de que “lado” esta seja feita.

    Realmente, remar contra a maré e a hype vigente não é coisa simples de se fazer. Mas eu prefiro assim, afinal ser um maria-vai-com-as-outras nunca esteve com nada.

    Acredito que o post do Terracini (e também aqueles outros que eu fiz “como uma criança feliz brincando na gangorra do parquinho”) serve para alertar que software livre NÃO significa maior segurança. Algumas vezes pode ocorrer justamente o contrário. E nós não estamos dizendo que isso é regra. Tome cuidado ao generalizar. Frequentemente aqui no CFGIGOLO somos atacados por “criticarmos software livre”, simplesmente pelo fato de apontarmos alguma vulnerabilidade e/ou problema com um ou outro expoente livre. Oras… Quantas vezes não mostramos problemas de segurança com o nosso “queridinho” ColdFusion?? Aliás, quase metade deste blog é sobre isso. Ahhh… mas mexeu com opensource (mesmo que não seja mais tãooo opensource assim), mexeu com a minha mãezinha, por isso é pau!

    O Jonas tomou como exemplo softwares maduros e abertos (que tomaram um caminho comercial, diga-se) como PHP e o MySQL. Eu tomo como exemplo outros softwares maduros, porém fechados (e comerciais por natureza e origem) como MS SQL Server e o Adobe ColdFusion. Existem furos de segurança em todos eles – você pode até fazer uma comparação subjetiva com o número (e gravidade) de vulnerabilidades divulgadas e descobertas entre um produto e outro no Secunia.com, mas o que importa e é determinante na segurança, na minha opinião é a maturidade do software. Se ele é aberto ou fechado, como já cansei de dizer, é mero detalhe.

    Tudo é absolutamente subjetivo (inclusive números e discussões do tipo “Apache é mais seguro que o IIS” – só para constar: no Secunia aparecem 17 vulnerabilidades para Apache 1.3.x contra 12 do IIS 5 e 30 do Apache 2.x contra apenas duas do IIS 6 – inclusive levando-se em consideração os níveis (crítico ou não) destas). Eu uso Windows (e IIS5 e IIS6 e tudo mais que exista de inseguro nele) há anos e nunca fui hackeado (e não faltaram tentativas), idem para as máquinas Linux que eventualmente trabalho, mas tem que gente que é hackeada de qualquer maneira (usando Windows ou Linux, aberto ou fechado), não importa.

    O que resta desta discussão então? Apenas a desagradável constantação (que fazemos questão de mostrar, “como crianças felizes”) de que software aberto NÃO significa necessariamente maior segurança. Ponto final. Acontece que poucos tem coragem de falar isso, e quando o fazem, são apedrejados (como provavelmente deve estar sendo Mitinick neste momento).

  4. Ricardo disse:

    Eita porra!

  5. Jabour disse:

    mato a cobra e postro p pau !

  6. alannn disse:

    eu quero ééé hackearrrrrrrrrr poorraaaaaaaa!