[Ubuntu-BR] CVE-2016-5696 - Atualize seu Kernel

Paulo psctec em hotmail.com
Sábado Agosto 20 14:19:37 UTC 2016 

Mauro,

Como assinar a news da CAS/RNP ??

E uma pergunta como fazer o patch num Android, visto que não tem acesso 
root de modo fácil no aparelho ?

Abraços,
Paulo

Em 20/08/2016 10:58, Mauro Risonho de Paula Assumpção escreveu:
> Sim. Sobre a newsletter da CAS/RNP qualquer um pode assinar. É possível
> sim. Só assinar a lista e autorizar o recebimento dos alertas.
>
> Sobre ser um usuário comum e o risco ser pequeno, pois se ysa apenas para
> banco, durante uma possível fraude a uma conta bancária a situações
> extremas onde pode-se ser necessário efetuar verificação do equipamento
> onde sofre a fraude, através de analise forense.
>
> Caso haja favorecimento, para invasão ou alto de  ataque, falta de patchs,
> ausência de firewall, hardening, melhores práticas de segurança e outros
> itens, ha uma grande chance do vanco ganhar a causa r provar que o cliente
> foi displicente e facilitou a fraude, dando a impressão que pode ter sido
> co-autor da fraude.
>
> O que acontece na prática é que mesmo en situações como essa dependendo do
> valor, o banco paga o prejuízo ao cliente, corre paralelamente uma analise
> da fraude e depius cobra alguma taxa adicional dos clientes sem que eles
> percebam para repor essa perda.
>
> Caso a analise da fraude tenha sucesso, é um dinheiro adicional voltando
> para o banco.
>
> Caso a analise da fraude não tenha sucesso, o que o banco cobrou de
> pequenas taxas de vários clientes pagam esses prejuízo.
>
> Ou seja, banco nunca perde.
>
> Sempre atualize seu sistema operacional e seus outros softwares. Nada é
> 100% seguro. Mas diminuir o risco, é ser mais seguro.
>
> Lembre-se: Pessoas morrem, carros batem e aviões caem. Tudo isso tem risco
> de dar errado. Nada disso é 100% seguro. Você pode diminuir o risco para
> viver mais. Mas nem por isso vamos deixar de viver a vida. :)
>
> Tecnologia não nem de longe diferente.
>
> Mauro Risonho de Paula Assumpção aka firebits
> https://br.linkedin.com/in/firebitsbr
>
> Em 20 de ago de 2016 09:42, "Paulo" <psctec em hotmail.com> escreveu:
>
>> Olá Wagner,
>>
>> Obrigado pela ampla explicação, "patch" do sysctl.conf aplicado.
>>
>> É possível um usuário comum ou uma empresa receber os e-mails da rnp ?
>>
>> Abraços,
>>
>> Paulo
>>
>>
>> Em 19/08/2016 11:40, Wagner De Queiroz escreveu:
>>
>>> Olá a todos da lista,
>>>
>>> é de conhecimento de alguns que uma falha no kernel no linux a partir da
>>> 3.6 permite que alguém mal intencionado possa entrar no meio da
>>> comunicação
>>> tcpip e possa injetar código malicioso. Eu não sou de espalhar noticias
>>> que
>>> recebo por email, ainda mais que tudo que recebo por mensagens eletrônicas
>>> tem sua origem checada, portanto apesar do tom alarmante da notícia em sí,
>>> acho que seria interessante colocar isso na lista para que os usuários
>>> saibam e se protejam.
>>>
>>> O email que recebi é do CAIS - CENTRO DE ATENDIMENTO A INCIDENTES DE
>>> SEGURANCA (CAIS) da Rede nacional de Ensino e Pesquisa.
>>>
>>> Como eu sou de checar as fontes que recebo, e mesmo recebendo algo válido
>>> de uma fonte confiável, as vezes bate o modo paranóia e vou buscar uma
>>> segunda e terceira opinião antes de postar, então, para minha sorte,
>>> direto
>>> da canonical
>>>
>>> https://people.canonical.com/~ubuntu-security/cve/2016/CVE-2016-5696.html
>>>
>>> https://security-tracker.debian.org/tracker/CVE-2016-5696
>>>
>>>
>>> Desculpe o email grande, mas resolvi postar o conteúdo do email que recebi
>>> e verifiquei, sem modificação, embora essa falha afete o linux de um modo
>>> geral, me preocupa maquinas com linux embarcado e dispositivos Android.
>>>
>>>
>>> -----BEGIN PGP SIGNED MESSAGE-----
>>> Hash: SHA1
>>>
>>> Prezados,
>>>
>>> O CAIS alerta para uma vulnerabilidade presente na implementação TCP
>>> do kernel do Linux. A falha está na implementação da
>>> RFC 5961 que é um padrão que determina como conexões TCP são
>>> estabelecidas entre hosts.
>>>
>>> A exploração dessa vulnerabilidade permite a atacantes bloquearem a
>>> conexão entre dois hosts. Caso a conexão não seja cifrada, também
>>> há a possibilidade de injetar códigos maliciosos na comunicação. Esta
>>> capacidade de intervenção é capaz de burlar, inclusive, mecanismos
>>> de privacidade de redes como o Tor.
>>>
>>> Até o momento da publicação deste alerta, não foram divulgados códigos
>>> de exploração para a vulnerabilidade listada.
>>>
>>>
>>> Descrição
>>>
>>> Um usuário mal intencionado pode controlar a conexão entre dois hosts
>>> de forma remota e inserir códigos maliciosos nesta comunicação.
>>> O agravante é que não há a necessidade de se utilizar o ataque de
>>> "man-in-the-middle", ou seja, não é necessário interceptar a
>>> comunicação entre os dois hosts e forçar o tráfego de dados através de
>>> outro computador, o atacante pode aproveitar
>>> da falha em qualquer lugar da internet. Basta que a comunicação dure o
>>> tempo suficiente para ser interceptada (ao menos 60 segundos).
>>>
>>>
>>> Sistemas impactados
>>> As versões do kernel do Linux a partir da v3.6 (inclusive) e anterior a
>>> v4.7
>>>
>>>
>>> Correções disponíveis
>>> Atualizar a versão do kernel do Linux para a versão 4.7.
>>>
>>> *Caso não seja possível atualizar o sistema para essa versão do
>>> kernel, recomenda-se que a mitigação abaixo seja realizada:
>>>
>>> 1 - Editar o arquivo como root
>>>       /etc/sysctl.conf
>>>
>>> 2 - Incluir o conteúdo abaixo (em qualquer lugar) no arquivo
>>>       net.ipv4.tcp_challenge_ack_limit = 999999999
>>>
>>> 3 - Ativar a nova regra
>>>       sysctl -p
>>>
>>>
>>> Identificadores CVE
>>> CVE-2016-5696
>>>
>>>
>>> Mais informações
>>> https://www.usenix.org/system/files/conference/usenixsecurit
>>> y16/sec16_paper_cao.pdfhttp://thehackernews.com/2016/08/
>>> linux-tcp-packet-hacking.htmlhttps://nakedsecurity.sophos.com/2016/08/12/
>>> researchers-announce-linux-kernel-network-snooping-bug/
>>>
>>>
>>> O CAIS recomenda que os administradores mantenham seus sistemas e
>>> aplicativos sempre atualizados, de acordo com as últimas versões e
>>> correções oferecidas pelos fabricantes.
>>> Os alertas do CAIS também são oferecidos no Twitter:
>>> Siga @caisrnp
>>>
>>> Atenciosamente,
>>>
>>> CAIS/RNP
>>>
>>> ################################################################
>>> #   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
>>> #       Rede Nacional de Ensino e Pesquisa (RNP)               #
>>> #                                                              #
>>> # cais em cais.rnp.br       http://www.rnp.br/servicos/seguranca  #
>>> # Tel. 019-37873300      Fax. 019-37873301                     #
>>> # Chave PGP disponivel   http://www.rnp.br/cais/cais-pgp.key   #
>>> ################################################################
>>>
>>> -----BEGIN PGP SIGNATURE-----
>>> Version: GnuPG v1
>>>
>>> iQCVAwUBV7X6yukli63F4U8VAQI7IQQAr8iewxzQcEhCwlm2PUfBqZEjPuv89iWj
>>> e5DHXKFZZeB1qx/5s6nJZu2gqg/F/m1gWQWi9CSB1BqlojDxWlmNn8i9EhYxaW2/
>>> pnwQxKOcOmmNguKU7MdhA/V5E5Z6BV2E6FCmerKi+73lFJk9fxHFZgZ/0VMb51JN
>>> lehan0r1OKg=
>>> =tckU
>>> -----END PGP SIGNATURE-----
>>>
>>>
>>>
>>>
>>>
>>>
>> --
>> Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece
>>
>> Lista de discussão Ubuntu Brasil
>> Histórico, descadastramento e outras opções:
>> https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
>>

Mais detalhes sobre a lista de discussão ubuntu-br