Proponha uma correção, faça uma sugestão
ALERTA: Ubuntu 14.04 permite acesso ao sistema sem password
Actualize já o seu sistema
O Ubuntu 14.04 foi lançado há cerca de 15 dias, e a critica à escala mundial tem sido muito positiva. A distribuição está muito mais rápida, graças as alterações significativas que a Canonical realizou ao nível da interface Unity.
No entanto, nem tudo são boas noticias pois foi recentemente descoberta uma falha grave que permite a qualquer utilizador entrar no sistema sem password.
Ao contrário de outros sistemas, não é muito normal serem descobertos bugs nos sistemas Linux que permitam acesso simples ao sistema. No entanto, o novo Ubuntu 14.04 LTS tem uma falha grave que permite a qualquer pessoa mal intencionada entrar no sistema, mesmo sem password.
O bug “‘lock screen bypass” foi detectado por um utilizador e a Canonical já procedeu à correcção do mesmo, devendo os utilizadores procederem urgentemente à actualização do sistema.
Mas como se podia entrar no sistema sem password?
Após ser descoberto o bug, o Pplware experimentou os passos reportados pelo utilizador que descobriu tal falha grave e de facto conseguiu entrar no acesso ao sistema. Para isso, no lock scren, basta carregar, carregar em ALT + F2 e depois carregar algumas vezes, com o botão do lado direito do rato, sobre o ícone da bateria (na barra de notificações superior).
Feito isso, o utilizador passa a ter acesso a interface que permite escrever todos os comandos do sistema.
No caso do utilizador pretender entrar no sistema, basta escrever compiz –-replace
Para verem como tudo se processa, basta que vejam o vídeo seguinte:
Este artigo tem mais de um ano
Loading ...
Ele entra, mas também não recebe nenhum permissão de super-administrador, portanto é grave, mas não é catastrófico. Só não percebo é porque é que deixam estes easter-eggs…Será que o developer precisa daquele atalho?
humm…
cá para mim este easter-egg foi colocado para que as equipas de suporte pudessem facilmente entrar em qualquer maquina que precisassem…
mas estas “vantagens”,…podem-se tornar em grandes desvantagens.
É possivel modificar a senha até… Com acesso fisico ao PC, faze-se o que quiser do Ubuntu, facilmente se quebra todas as barreiras, por mais segurança e senhas complicadas que os utilizadores usem.
E depois ainda sonham que o Linux é extremamente seguro.
Realmente este tipo de comentário fazem me rir… E qual é o SO que tendo acesso físico ao computador é extremamente seguro?
Para além disso o número de pessoas que sabem ultrapassar essas barreiras são uma minoria. Realmente não dá para entender esse tipo de comentários.
Porque não perguntas isso ao Pplware e não a mim?
E eu estou a falar sem usar programas terceiros e sem mexer no hardware.
Se for com programas terceiros, ainda mais fácil é, em qualquer sistema operativo.
A pergunta era retórica mas pelos vistos não percebeu -.-
Talvez perceba tanto de Linux como percebeu que a questão seria retórica…
ele só falou que não eram seguros :S
Com acesso fisico a uma maquina basta fazeres “chroot” a partir dum livecd e tens acesso a tudo incluindo mudar a password, por isso nao e bem uma minoria que consegue fazer mas qualquer um que use a cabecinha.
Pois é, por isso é que a maioria das distribuições te oferece para cifrar a drive.
E por isso é que existem passwords da BIOS/EFI, para evitares que qualquer pessoa redefina a sequência de booting.
Creio que com um pouco de esforço com acesso directo ao computador, se entra em qualquer sistema sem a password.
As únicas defesas de confiança são a encriptação do disco, e password do firmware, e mesmo com estas defesas depende do computador!
Encriptas a drive e já não tens problemas.
Tenha a atenção que Linux não é Ubuntu. A falha detectada é no login manager do Ubuntu e não devemos confundir alhos com bugalhos.
A falha que falo, não tem nada a ver com esta e afecta todos os sistemas Linux.
E quando falo em falha, falo em conseguir fazer o que se quiser do sistema, mesmo sem saber a password, sem programas terceiros e sem mexer a nivel de hardware.
mas eu nem sequer preciso de arrancar como root e definir uma pass…
Eu com acesso ao sistema…se quisesse roubar dados…levava os discos 😉
Coisa de amadores, eu entendo.
Terias muito mais informação da maneira que eu faço.
Não era a levar os discos e a ler os ficheiros que tem la, que levavas grande coisa.
e com password no disco como fazias?
“Coisa de amadores, eu entendo.”
“Terias muito mais informação da maneira que eu faço.”
Se o teu objectivo era tentares diminuir a minha pessoa…deste um tiro no pé!! 🙂
E sim não sou especialista em Roubos, e nem gosto de quem rouba…do ponto de vista moral acho essas pessoas altamente desequilibradas…
No entanto eu sei que existe muita gente que teem orgasmos em conseguir roubar coisas aos outros, uns fazem-no porque querem-se sentir gente, outros, é algo que já vem de família…está-lhes no sangue. 🙁
No meu caso a fazer uma coisa destas seria sempre com permissão do dono da maquina e apenas como teste!! 😉
Mas gostava de ver o método que a tanto tempo vendes, e na verdade, vendes, mas as pessoas não compram nada, porque vendes um conjunto vazio 🙂
Mostra lá essa tecnologia para a malta poder avaliar 😉
Hoje é 1 de Maio e não 1 de Abril.
Aí está ele, o badass… Simplesmente é incrivel ver pessoas a pavonear-se com o que sabem… Se esse problema que se está a referir fosse assim tão grave certamente já teria sido corrido ou publicado na net pois você não seria o único nem de perto o primeiro a saber dessa falha.
Just saying…
isso não é um bug!
Mas sim uma funcionalidade…o José é que ainda não percebeu isso LOOOOL
Vocês é que não entendem que quem fez noticia disto foi o PPLware e não eu.
Eu não vejo isto como um problema, eles alertam como se fosse um bug de outro mundo que qualquer um pode explorar.
Da maneira que o bug esta, tem mil e uma maneiras de entrar no sistema sem password, isto tendo acesso fisico a maquina.
José, tu é que vieste para aqui vangloriar que fazes isto e acoloutro.
Qq pessoa que perceba de sistemas operativos, sabe perfeitamente que, com acesso físico a uma maquina, consegue aceder a todos os seus dados, caso o disco não esteja encriptado com uma cifra forte, quer seja windows, mac ou linux…
Mas pronto… há gente que já te dá um disconto atendendo aos teus coméntários no Pplware…
Se eu colocar a imagem do backtrack no meu perfil,ficarei esperto também ???
Eu sei do que tas a falar, basta alterar a linha do Grub para montar a / em rw e arrancar no /bin/bash, isso é o básico dos básicos, mas algumas distros já não permitem isso.
ora nem mais…
o josé é que pensa que descubriu ouro 😀
E como já referi acima, isso é uma funcionalidade e não um bug!!
Não sei para que pões palavras na minha boca, nunca falei nisso nos meus posts acima.
Mas podes continuar a difamar a vontade, o que vem de baixo não me afecta.
faz-se o que se quiser de qualquer um, desde que se tenha acesso fisico…até podes partir a maquina toda imagina tu…
A questão e é que podes roubar os dados sem deixar vestígios….
sim, se for algo que saibas onde se encontra, ou seja roubar algo cirurgicamente, ai sim…
No entanto se tiveres que vasculhar e PROCURAR por informação…dessa forma daria demasiado nas vistas…
A não ser que deixes um script a correr e que te envie a home do user para determinado local na net…
Eu não sou ladrão…mas confesso que gastar umas horas de volta de uma maquina para sacar algo, diminui drasticamente a hipotse de sucesso…nesse caso levar o pc, ou o disco parece-me melhor…
Ou então fazer uma copia integral do disco…mas isso demora muito tempo…e alguém vai descobrir que tenho um disco usb, ou que seja ligado…ainda fico sem o disco lool…e se esse user não tiver permissões para usar a porta usb…não funciona…
epa os sistemas operativos, teem que ser seguros remotamente, fisicamente teem que nos dar hipótse de interagir com eles…obviamente que devido a isto existe a hipotse de alguém conseguir entrar sem pass, ou como root, pois com acesso físico tudo é possível, até roubar a maquina…
Linux é extremamente seguro. Ubuntu, pelos vistos, é outra história. Este bug só existe no Unity, que é o ambiente gráfico apenas do Ubuntu. O meu Debian continua intransponível 😀
A falha mais grave do IE está à espera de correcção faz 3 dias, esta foi corrigida em minutos, percebes a diferença? Erros de programação haverá sempre como a falha do flash esta semana descoberta que era muito grave em todos os sistemas e grave no linux, porque em linux permitia aceder e não permitia fazer mais nada.
O bug “‘lock screen bypass” foi detectado por um utilizador e a Canonical já procedeu à correcção do mesmo, devendo os utilizadores procederem urgentemente à actualização do sistema.
Sim, o Linux é EXTREMAMENTE seguro, quem utiliza linux para segurança, também não utiliza ubuntu.
Mas já se sabe, se não fizesses mais uma vez um comentário á “Jose”…
Windows também Jose. Qual é a cena? E podes eventualmente cifrar o disco nativamente. Por exemplo, apenas as home folders dos users. Assim não há maneira de entrar na pasta sem password. mesmo modificando no /etc/shadow a informação escrita no disco está diferente ao sistema todo. e para cada user também. O windows faz isso? nem de perto. “ah e tal windows”. que rir. xD
vai vai, para o teu único SO closed source que existe para desktops.
e antes de responderes a burro, OSX é open source. Linux é open source. 2 sistemas robustos e ainda dizem mal. lol não sei porque é que se usa como servers (tirando o OSX).
aconselho a estudares administração de sistemas primeiro, arquitetura de computadores, e programação.
continuação,
int3
Com acesso fisico vc pode acessar qualquer sistema facil, pode roubar dados, a menos q tudo esteja criptografado, com senha na bios/uefi, nao é uma falha. Com acesso fisico da ate pra levar pra casa o hd.
Quem nunca redefiniu senha do windows com acesso fisico, se bobear ate no mac se consegue, porra, boota um livecd e tu faz tudo em qualquer sistema, tu monta as particoes do windows e rouba tudo, acesso fisico é mais q roubo, é cheat.
Será que afecta outras distros?
hum…ainda nao li nada para outros sistemas…é uma questão de testarem.
Onde é que está o artigo do Firefox 29 com a nova interface ?
é já a seguir
uiiii…o Pplware dos dos primeiros à escala mundial a lançar essa novidade 🙂
https://pplware.sapo.pt/firefox/mozilla-acaba-de-lancar-o-novo-firefox-29-0/
Do que testei com o Kubuntu, esta falha não se aplica. Pelos vistos o KDE não sofre deste mal…
obrigado aos responsáveis do KDE, por acaso também uso esta versão.
não tem a ver com o gnome ou KDE tem a ver com o lock screen que para a versão normal foi feito pela própria canonical e alguém fez burrada. No KDE não mexeram logo não tinha o bug.
mais informação.
KDE Gets Screen-Locking Improvements In Plasma Next
fonte:
http://www.phoronix.com/scan.php?page=news_item&px=MTY4MzQ
…exacto no meu kde e slackware base distro tb não resulta…
porque no KDE existe um serviço diferente chamado KSMServer que oferece maior segurança.
Ver função deste serviço: Fonte>
http://www.linuxtopia.org/online_books/linux_desktop_guides/kde_desktop_user_guide/ksmserver.html
É por isso que o Linux é mais seguro, não é porque não tem falhas, mas sim porque as falhas são rapidamente descobertas e corrigidas.
Outro com teorias da batata… tens noção do quão falaciosa foi essa frase?
Como comento mais acima a falha do IE que é mais grave quanto tempo vai demorar a ser corrigida????
Imagina como seria se tivessem os recursos técnicos da micro***** 😀
Se calhar se tivessem os recursos da micro, os objetivos seriam diferentes.
se tivessem os recursos técnicos da M$ era muito pior…
não te esqueças que ninguém sabe ao certo a quantidade de gente que trabalha directa e indirectamente no linux…mas são muitos milhões…
Achas que a M$ tinha ordenados para pagar a essa gente toda??
+1
foi o unity Marcelo já agora.
Pois é, não é só o Windows que possui seus bugs, até pouco tempo atrás foi descoberta uma brecha de segurança na Red Hat que já existia há anos. Isso nos mostra que nenhum sistema é perfeito. Ainda bem que no caso de Linux as atualizações se tornam mais rápidas e práticas.
ah fanboys do Ubuntu….
(Falhas existem e existirão sempre em qualquer SO)
Tudo bem, tudo bem, podem invadir meu sistema, e catar tudo o que eu tenho, mas vão levar o que do meu PC além de informações para cego? Grande bosta saber de muita coisa sobre invadir ou burlar sistemas, o que importa é saber que tipo de informações se deseja conseguir com tal coisa.
Cada comentário idiota que se encontra aqui. E que se foda essa porcaria de falha, quem invadir meu sistema não terá vantagem alguma, pois meus dados pessoais não os uso no PC, coisa de cego huehueheue. :p