OpenBSD

classic Classic list List threaded Threaded
10 messages Options
Reply | Threaded
Open this post in threaded view
|

OpenBSD

edbch-2
Olá a todos.

Recentemente tenho tido discussões com técnicos da minha universidade (USP- Universidade de São Paulo)  e me deparei com a minha falta de informação
técnica sobre o OpenBSD. Meus argumentos sobre porque o OpenBSD é mais seguro parecem já não ter mais efeito pois, de maneira geral, escuto que "este
recurso já existe no linux por default". Mesmo o argumento do gcc modificado já não vale mais. Vocês poderiam me ajudar a encontrar mais informações
técnicas, como por exemplo lista de patchs de segurança que só o existem no OpenBSD, ou outras itens que realmente o tornam um OS diferenciado? Na
prática ocorre que não tenho tido muito menos problemas com o OpenBSD que com o Linx, mas minha ignorância não me deixa traduzir isto em argumentos
técnicos.

Obrigado desde já e me desculpe se interpretei mal o objetivo desta lista.

Eduardo Bach
_______________________________________________
OpenBSD mailing list
[hidden email]
http://neei.uevora.pt/mailman/listinfo/openbsd
Reply | Threaded
Open this post in threaded view
|

Re: OpenBSD

João Salvatti
Olá Eduardo,

Existem várias coisas que você pode argumentar sobre isso, vou listar
algumas delas abaixo e por tópicos:

kernel:
* Auditoria do kernel e dos pacotes (não da árvore de ports).
* Memory protection purify (http://www.openbsd.org/security.html#process).
* New Uids.
* Secure level (níveis de segurança).
* Propolice e stackgap (Gcc).

Softwares:
* Privilege separation (SSHD).
* Privilege revocation (Apache, Bind).
* Chroot jailing.

Firewall:
* Binat
* Syn Proxy.
* Scrub (normalização de pacotes).
* Mudança de opções em tempo de execução.

Sem contar que o OpenBSD em mais de 10 anos de projeto so teve duas
falhas remotas, já o kernel Linux teve centenas.

Com relação ao que o seu amigo disse sobre o GCC "modificado" (geração
de códigos a "prova" de buffer overflows) ele esta equivocado. Existem
sim um projeto de terceiros (Pax ALSR) que criou um patch que deve ser
adicionado ao gcc (ou seja, não vem por "default" como ele disse).
Além do que o projeto Pax ALSR só implementa randomização de
endereços, não implementa W^X na stack. E mais já existem várias
técnicas de se burlar isso, coloque assim  no google:

Breaking PaX ASLR
ou
bypassing pax aslr protection

Talvez você não tenha argumentos porque (com toda a humildade) não
deve ter muita experiência com OpenBSD e com Gnu/Linux.

O Linux é um excelente kernel, mais var ter que comer muito feijão com
arroz para chegar ao nível do kernel do OpenBSD em termos de
segurança.

Boa Sorte.

On 4/4/07, edbch <[hidden email]> wrote:

> Olá a todos.
>
> Recentemente tenho tido discussões com técnicos da minha universidade (USP- Universidade de São Paulo)  e me deparei com a minha falta de informação
> técnica sobre o OpenBSD. Meus argumentos sobre porque o OpenBSD é mais seguro parecem já não ter mais efeito pois, de maneira geral, escuto que "este
> recurso já existe no linux por default". Mesmo o argumento do gcc modificado já não vale mais. Vocês poderiam me ajudar a encontrar mais informações
> técnicas, como por exemplo lista de patchs de segurança que só o existem no OpenBSD, ou outras itens que realmente o tornam um OS diferenciado? Na
> prática ocorre que não tenho tido muito menos problemas com o OpenBSD que com o Linx, mas minha ignorância não me deixa traduzir isto em argumentos
> técnicos.
>
> Obrigado desde já e me desculpe se interpretei mal o objetivo desta lista.
>
> Eduardo Bach
> _______________________________________________
> OpenBSD mailing list
> [hidden email]
> http://neei.uevora.pt/mailman/listinfo/openbsd
>


--
João Salvatti
Undergraduating in Computer Science
Federal University of Para - UFPA
web: http://www.openbsd-pa.org
e-mail: [hidden email]
_______________________________________________
OpenBSD mailing list
[hidden email]
http://neei.uevora.pt/mailman/listinfo/openbsd
Reply | Threaded
Open this post in threaded view
|

Re: OpenBSD

edbch-2
João Salvatti escreveu:

> Olá Eduardo,
>
> Existem várias coisas que você pode argumentar sobre isso, vou listar
> algumas delas abaixo e por tópicos:
>
> kernel:
> * Auditoria do kernel e dos pacotes (não da árvore de ports).
> * Memory protection purify (http://www.openbsd.org/security.html#process).
> * New Uids.
> * Secure level (níveis de segurança).
> * Propolice e stackgap (Gcc).
>
> Softwares:
> * Privilege separation (SSHD).
> * Privilege revocation (Apache, Bind).
> * Chroot jailing.
>
> Firewall:
> * Binat
> * Syn Proxy.
> * Scrub (normalização de pacotes).
> * Mudança de opções em tempo de execução.
>
> Sem contar que o OpenBSD em mais de 10 anos de projeto so teve duas
> falhas remotas, já o kernel Linux teve centenas.
>
> Com relação ao que o seu amigo disse sobre o GCC "modificado" (geração
> de códigos a "prova" de buffer overflows) ele esta equivocado. Existem
> sim um projeto de terceiros (Pax ALSR) que criou um patch que deve ser
> adicionado ao gcc (ou seja, não vem por "default" como ele disse).
> Além do que o projeto Pax ALSR só implementa randomização de
> endereços, não implementa W^X na stack. E mais já existem várias
> técnicas de se burlar isso, coloque assim  no google:
>
> Breaking PaX ASLR
> ou
> bypassing pax aslr protection
>
> Talvez você não tenha argumentos porque (com toda a humildade) não
> deve ter muita experiência com OpenBSD e com Gnu/Linux.
>
> O Linux é um excelente kernel, mais var ter que comer muito feijão com
> arroz para chegar ao nível do kernel do OpenBSD em termos de
> segurança.
>
> Boa Sorte.
>
> On 4/4/07, edbch <[hidden email]> wrote:
>> Olá a todos.
>>
>> Recentemente tenho tido discussões com técnicos da minha universidade
>> (USP- Universidade de São Paulo)  e me deparei com a minha falta de
>> informação
>> técnica sobre o OpenBSD. Meus argumentos sobre porque o OpenBSD é mais
>> seguro parecem já não ter mais efeito pois, de maneira geral, escuto
>> que "este
>> recurso já existe no linux por default". Mesmo o argumento do gcc
>> modificado já não vale mais. Vocês poderiam me ajudar a encontrar mais
>> informações
>> técnicas, como por exemplo lista de patchs de segurança que só o
>> existem no OpenBSD, ou outras itens que realmente o tornam um OS
>> diferenciado? Na
>> prática ocorre que não tenho tido muito menos problemas com o OpenBSD
>> que com o Linx, mas minha ignorância não me deixa traduzir isto em
>> argumentos
>> técnicos.
>>
>> Obrigado desde já e me desculpe se interpretei mal o objetivo desta
>> lista.
>>
>> Eduardo Bach
>> _______________________________________________
>> OpenBSD mailing list
>> [hidden email]
>> http://neei.uevora.pt/mailman/listinfo/openbsd
>>
>
>
Obrigado. Já tenho como o que começar. Vou tomar a liberdade de postar aqui duvidas sobre os assuntos que encontrar durante esta minha pesquisa.
Novamente obrigado pela rapidez na resposta.

Eduardo Bach
_______________________________________________
OpenBSD mailing list
[hidden email]
http://neei.uevora.pt/mailman/listinfo/openbsd
Reply | Threaded
Open this post in threaded view
|

RE: OpenBSD

Douglas Santos
In reply to this post by edbch-2
> -------- Original Message --------
> Subject: Re: [OpenBSD-PT] OpenBSD
> From: "João Salvatti" <[hidden email]>
> Date: Wed, April 04, 2007 12:50 pm
> To: "Lista_de_Discussão_sobre_OpenBSD" <[hidden email]>

[...]

> O Linux é um excelente kernel, mais var ter que comer muito feijão com
> arroz para chegar ao nível do kernel do OpenBSD em termos de
> segurança.

Ola,

A maioria das tecnicas que voce citou, ja foram muito estudadas e
possuem implementacao na maioria dos sistemas operacionais modernos,
menos no macosx. ;)

http://rjohnson.uninformed.org/toorcon8/


_______________________________________________
OpenBSD mailing list
[hidden email]
http://neei.uevora.pt/mailman/listinfo/openbsd
Reply | Threaded
Open this post in threaded view
|

Re: OpenBSD

Alexandre Balistrieri
In reply to this post by edbch-2
On Wednesday 04 April 2007 13:12, edbch wrote:

> Olá a todos.
>
> Recentemente tenho tido discussões com técnicos da minha universidade (USP-
> Universidade de São Paulo)  e me deparei com a minha falta de informação
> técnica sobre o OpenBSD. Meus argumentos sobre porque o OpenBSD é mais
> seguro parecem já não ter mais efeito pois, de maneira geral, escuto que
> "este recurso já existe no linux por default". Mesmo o argumento do gcc
> modificado já não vale mais. Vocês poderiam me ajudar a encontrar mais
> informações técnicas, como por exemplo lista de patchs de segurança que só
> o existem no OpenBSD, ou outras itens que realmente o tornam um OS
> diferenciado? Na prática ocorre que não tenho tido muito menos problemas
> com o OpenBSD que com o Linx, mas minha ignorância não me deixa traduzir
> isto em argumentos técnicos.
>
> Obrigado desde já e me desculpe se interpretei mal o objetivo desta lista.
>
> Eduardo Bach

Se todas as argumentações falharem, com exceção das colocadas pelo João
Salvatti argumente o que já foi dito por um especialista em
segurança: "Sistema Operacional seguro é aquele que o administrador de
Sistemas conhece muito bem". De nada adianta um S.O. com fama de ser, se não
for relamente, um dos Unix livres mais seguros do mundo, com um péssimo
piloto no comando. :-)

--
[]s
Alexandre Balistrieri
Instituto Nacional de Pesquisas Espaciais
_______________________________________________
OpenBSD mailing list
[hidden email]
http://neei.uevora.pt/mailman/listinfo/openbsd
Reply | Threaded
Open this post in threaded view
|

RE: OpenBSD

Rui Reis-3
In reply to this post by Douglas Santos
Relativamente ao linux... não podemos falar dele como um sistema operativo,
apenas como um kernel, não esquecer isso. Um kernel enorme e com um historial
de segurança ainda maior...

Quanto a daemons no sistema base, devidamente auditados, chrootados e com
separação de privilégios creio que nenhum sistema operativo ou distibuição de
linux se pode comparar... named, sshd, dhcpd, ntpd, sendmail, httpd...

A simplicidade da firewall (PF), robustez e funcionalidade também não tem
rival... todos os BSDs a estão a adoptar...

Além disso, todo o processo de inclusão de código na árvore do OpenBSD segue
critérios de qualidade que não vejo em nenhum outro sistema operativo livre
(windows e macosx são proprietários... mas o histórico de segurança de ambos é
tudo menos recomendável).

Relativamente ao histórico de segurança do OpenBSD a errata.html fala por
si... pesquisas em bugtraq@ e fulldiclosure@ também falarão por si...

Além disso, o que eu gosto no OpenBSD é dispor de um sistema simples, pequeno,
robusto onde toda a gente sabe quem é responsável pelo o que quer que seja...
onde não preciso de instalar patches de fulano e sicrano para ter a
funcionalidade X nem fazer o download do software xpto do endereço Y para ter
a funcionalidade Z... e... espante-se... as coisas funcionam!

Obviamente há utilizadores diferentes com necessidades diferentes, logo há
lugar para todos... no fundo todos têm pontos fortes e fracos...

Quanto a detalhes mais técnicos, alguns já referidos aqui, aconselho
selecionar algumas dessas apresentações para leitura:
http://cvs.openbsd.org/papers/

Rui


On Wed, 04 Apr 2007 12:01:35 -0700, Douglas Santos wrote

> > -------- Original Message --------
> > Subject: Re: [OpenBSD-PT] OpenBSD
> > From: "João Salvatti" <[hidden email]>
> > Date: Wed, April 04, 2007 12:50 pm
> > To: "Lista_de_Discussão_sobre_OpenBSD" <[hidden email]>
>
> [...]
>
> > O Linux é um excelente kernel, mais var ter que comer muito feijão com
> > arroz para chegar ao nível do kernel do OpenBSD em termos de
> > segurança.
>
> Ola,
>
> A maioria das tecnicas que voce citou, ja foram muito estudadas e
> possuem implementacao na maioria dos sistemas operacionais modernos,
> menos no macosx. ;)
>
> http://rjohnson.uninformed.org/toorcon8/

_______________________________________________
OpenBSD mailing list
[hidden email]
http://neei.uevora.pt/mailman/listinfo/openbsd
Reply | Threaded
Open this post in threaded view
|

Re: OpenBSD

Rui Reis-3
In reply to this post by edbch-2
Só dizer que o objectivo é precisamente esse ;)

trocar ideias e experiências, discutir, divulgar, tirar dúvidas... falar de
futebol...  etc...

Abraço,
Rui

P.S. hmm, futebol afinal não ;(


On Wed, 04 Apr 2007 13:12:06 -0300, edbch wrote
(...)
> Obrigado desde já e me desculpe se interpretei mal o objetivo desta lista.
_______________________________________________
OpenBSD mailing list
[hidden email]
http://neei.uevora.pt/mailman/listinfo/openbsd
Reply | Threaded
Open this post in threaded view
|

Re: OpenBSD

João Salvatti
Rui senti um ar de agitação (agitação == brincadeira, sacanagem) com o
seu P.S isso não tem nada a ver com o último Brasil X Portugal? ou
tem? :)

Grande abraço a todos de Portugal.

On 4/4/07, Rui Reis <[hidden email]> wrote:

> Só dizer que o objectivo é precisamente esse ;)
>
> trocar ideias e experiências, discutir, divulgar, tirar dúvidas... falar de
> futebol...  etc...
>
> Abraço,
> Rui
>
> P.S. hmm, futebol afinal não ;(
>
>
> On Wed, 04 Apr 2007 13:12:06 -0300, edbch wrote
> (...)
> > Obrigado desde já e me desculpe se interpretei mal o objetivo desta lista.
> _______________________________________________
> OpenBSD mailing list
> [hidden email]
> http://neei.uevora.pt/mailman/listinfo/openbsd
>


--
João Salvatti
Undergraduating in Computer Science
Federal University of Para - UFPA
web: http://www.openbsd-pa.org
e-mail: [hidden email]
_______________________________________________
OpenBSD mailing list
[hidden email]
http://neei.uevora.pt/mailman/listinfo/openbsd
Reply | Threaded
Open this post in threaded view
|

Re: OpenBSD

Rui Reis-3
On Wed, 4 Apr 2007 19:20:30 -0300, João Salvatti wrote
> Rui senti um ar de agitação (agitação == brincadeira, sacanagem) com
> o seu P.S isso não tem nada a ver com o último Brasil X Portugal? ou
> tem? :)

claro que não! tem haver com o próximo!

just kidding! ;)


> Grande abraço a todos de Portugal.

Abraço,
Rui


> On 4/4/07, Rui Reis <[hidden email]> wrote:
> > Só dizer que o objectivo é precisamente esse ;)
> >
> > trocar ideias e experiências, discutir, divulgar, tirar dúvidas... falar de
> > futebol...  etc...
> >
> > Abraço,
> > Rui
> >
> > P.S. hmm, futebol afinal não ;(
> >
> >
> > On Wed, 04 Apr 2007 13:12:06 -0300, edbch wrote
> > (...)
> > > Obrigado desde já e me desculpe se interpretei mal o objetivo desta lista.
> > _______________________________________________
> > OpenBSD mailing list
> > [hidden email]
> > http://neei.uevora.pt/mailman/listinfo/openbsd
> >
>
> --
> João Salvatti
> Undergraduating in Computer Science
> Federal University of Para - UFPA
> web: http://www.openbsd-pa.org
> e-mail: [hidden email]
> _______________________________________________
> OpenBSD mailing list
> [hidden email]
> http://neei.uevora.pt/mailman/listinfo/openbsd

_______________________________________________
OpenBSD mailing list
[hidden email]
http://neei.uevora.pt/mailman/listinfo/openbsd
Reply | Threaded
Open this post in threaded view
|

Re: OpenBSD

edbch-2
In reply to this post by Alexandre Balistrieri
Alexandre Balistrieri escreveu:

> On Wednesday 04 April 2007 13:12, edbch wrote:
>> Olá a todos.
>>
>> Recentemente tenho tido discussões com técnicos da minha universidade (USP-
>> Universidade de São Paulo)  e me deparei com a minha falta de informação
>> técnica sobre o OpenBSD. Meus argumentos sobre porque o OpenBSD é mais
>> seguro parecem já não ter mais efeito pois, de maneira geral, escuto que
>> "este recurso já existe no linux por default". Mesmo o argumento do gcc
>> modificado já não vale mais. Vocês poderiam me ajudar a encontrar mais
>> informações técnicas, como por exemplo lista de patchs de segurança que só
>> o existem no OpenBSD, ou outras itens que realmente o tornam um OS
>> diferenciado? Na prática ocorre que não tenho tido muito menos problemas
>> com o OpenBSD que com o Linx, mas minha ignorância não me deixa traduzir
>> isto em argumentos técnicos.
>>
>> Obrigado desde já e me desculpe se interpretei mal o objetivo desta lista.
>>
>> Eduardo Bach
>
> Se todas as argumentações falharem, com exceção das colocadas pelo João
> Salvatti argumente o que já foi dito por um especialista em
> segurança: "Sistema Operacional seguro é aquele que o administrador de
> Sistemas conhece muito bem". De nada adianta um S.O. com fama de ser, se não
> for relamente, um dos Unix livres mais seguros do mundo, com um péssimo
> piloto no comando. :-)
>
De fato isso não procede muito. Um dos pontos fortes do openbsd é que ele se preocupa em tornar o sistema seguro para que  admin não tenha que se
tornar um especialista em segurnaça.


"Secure by Default"

To ensure that novice users of OpenBSD do not need to become security experts overnight (a viewpoint which other vendors seem to have), we ship the
operating system in a Secure by Default mode. All non-essential services are disabled. As the user/administrator becomes more familiar with the
system, he will discover that he has to enable daemons and other parts of the system. During the process of learning how to enable a new service, the
novice is more likely to learn of security considerations.

This is in stark contrast to the increasing number of systems that ship with NFS, mountd, web servers, and various other services enabled by default,
creating instantaneous security problems for their users within minutes after their first install.

trecho tirado de
http://www.openbsd.org/security.html
_______________________________________________
OpenBSD mailing list
[hidden email]
http://neei.uevora.pt/mailman/listinfo/openbsd