Linux

ALERTA: Ubuntu 14.04 permite acesso ao sistema sem password

56 Comentários

Actualize já o seu sistema

O Ubuntu 14.04 foi lançado há cerca de 15 dias, e a critica à escala mundial tem sido muito positiva. A distribuição está muito mais rápida, graças as alterações significativas que a Canonical realizou ao nível da interface Unity.

No entanto, nem tudo são boas noticias pois foi recentemente descoberta uma falha grave que permite a qualquer utilizador entrar no sistema sem password.

ubuntu_01

Ao contrário de outros sistemas, não é muito normal serem descobertos bugs nos sistemas Linux que permitam acesso simples ao sistema. No entanto, o novo Ubuntu 14.04 LTS tem uma falha grave que permite a qualquer pessoa mal intencionada entrar no sistema, mesmo sem password.

O bug “‘lock screen bypass” foi detectado por um utilizador e a Canonical já procedeu à correcção do mesmo, devendo os utilizadores procederem urgentemente à actualização do sistema.

Mas como se podia entrar no sistema sem password?

Após ser descoberto o bug, o Pplware experimentou os passos reportados pelo utilizador que descobriu tal falha grave e de facto conseguiu entrar no acesso ao sistema. Para isso, no lock scren, basta carregar, carregar em ALT + F2 e depois carregar algumas vezes, com o botão do lado direito do rato, sobre o ícone da bateria (na barra de notificações superior).

ubuntu_05

Feito isso, o utilizador passa a ter acesso a interface que permite escrever todos os comandos do sistema.

No caso do utilizador pretender entrar no sistema, basta escrever compiz –-replace

ubuntu_00

Para verem como tudo se processa, basta que vejam o vídeo seguinte:

Caso tenham instalado o Ubuntu 14.04 LTS, procedam de imediato à actualização do sistema para correcção da vulnerabilidade.

PUB
Autor: Pedro Pinto
Partilhar:
Tags:
falha Linux Lock Screen Ubuntu

PUB.

Questão Semanal

Deveria haver uma marca obrigatória em todas as imagens geradas por IA?

Ver Resultados

Loading ... Loading …
Arquivo de Questões

PUB.

Velocímetro Pplware

Teste a velocidade da sua Internet
Tails – A distro Linux anti ciber-espionagem está disponível
Artigo anterior

Tails – A distro Linux anti ciber-espionagem está disponível
Google vai abandonar gama Nexus e focar-se no Android Silver
Próximo artigo

Google vai abandonar gama Nexus e focar-se no Android Silver
PUB

Comentários

56

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

  1. Avatar de João Dias
    João Dias

    Ele entra, mas também não recebe nenhum permissão de super-administrador, portanto é grave, mas não é catastrófico. Só não percebo é porque é que deixam estes easter-eggs…Será que o developer precisa daquele atalho?

    Responder
    1. Avatar de lmx
      lmx

      humm…

      cá para mim este easter-egg foi colocado para que as equipas de suporte pudessem facilmente entrar em qualquer maquina que precisassem…

      mas estas “vantagens”,…podem-se tornar em grandes desvantagens.

      Responder
  2. Avatar de Jose
    Jose

    É possivel modificar a senha até… Com acesso fisico ao PC, faze-se o que quiser do Ubuntu, facilmente se quebra todas as barreiras, por mais segurança e senhas complicadas que os utilizadores usem.

    E depois ainda sonham que o Linux é extremamente seguro.

    Responder
    1. Avatar de Nome (Obrigatório)
      Nome (Obrigatório)

      Realmente este tipo de comentário fazem me rir… E qual é o SO que tendo acesso físico ao computador é extremamente seguro?
      Para além disso o número de pessoas que sabem ultrapassar essas barreiras são uma minoria. Realmente não dá para entender esse tipo de comentários.

      Responder
      1. Avatar de Jose
        Jose

        Porque não perguntas isso ao Pplware e não a mim?

        E eu estou a falar sem usar programas terceiros e sem mexer no hardware.

        Se for com programas terceiros, ainda mais fácil é, em qualquer sistema operativo.

        Responder
        1. Avatar de Nome (Obrigatório)
          Nome (Obrigatório)

          A pergunta era retórica mas pelos vistos não percebeu -.-

          Talvez perceba tanto de Linux como percebeu que a questão seria retórica…

          Responder
          1. Avatar de superneo
            superneo

            ele só falou que não eram seguros :S

      2. Avatar de Guerreiro
        Guerreiro

        Com acesso fisico a uma maquina basta fazeres “chroot” a partir dum livecd e tens acesso a tudo incluindo mudar a password, por isso nao e bem uma minoria que consegue fazer mas qualquer um que use a cabecinha.

        Responder
        1. Avatar de Nelson
          Nelson

          Pois é, por isso é que a maioria das distribuições te oferece para cifrar a drive.

          E por isso é que existem passwords da BIOS/EFI, para evitares que qualquer pessoa redefina a sequência de booting.

          Responder
    2. Avatar de Nunes
      Nunes

      Creio que com um pouco de esforço com acesso directo ao computador, se entra em qualquer sistema sem a password.
      As únicas defesas de confiança são a encriptação do disco, e password do firmware, e mesmo com estas defesas depende do computador!

      Responder
    3. Avatar de dbrenha
      dbrenha

      Encriptas a drive e já não tens problemas.

      Responder
    4. Avatar de Fernando Pereira
      Fernando Pereira

      Tenha a atenção que Linux não é Ubuntu. A falha detectada é no login manager do Ubuntu e não devemos confundir alhos com bugalhos.

      Responder
      1. Avatar de Jose
        Jose

        A falha que falo, não tem nada a ver com esta e afecta todos os sistemas Linux.

        E quando falo em falha, falo em conseguir fazer o que se quiser do sistema, mesmo sem saber a password, sem programas terceiros e sem mexer a nivel de hardware.

        Responder
        1. Avatar de lmx
          lmx

          mas eu nem sequer preciso de arrancar como root e definir uma pass…

          Eu com acesso ao sistema…se quisesse roubar dados…levava os discos 😉

          Responder
          1. Avatar de Jose
            Jose

            Coisa de amadores, eu entendo.

            Terias muito mais informação da maneira que eu faço.

            Não era a levar os discos e a ler os ficheiros que tem la, que levavas grande coisa.

          2. Avatar de superneo
            superneo

            e com password no disco como fazias?

          3. Avatar de lmx
            lmx

            “Coisa de amadores, eu entendo.”

            “Terias muito mais informação da maneira que eu faço.”

            Se o teu objectivo era tentares diminuir a minha pessoa…deste um tiro no pé!! 🙂

            E sim não sou especialista em Roubos, e nem gosto de quem rouba…do ponto de vista moral acho essas pessoas altamente desequilibradas…

            No entanto eu sei que existe muita gente que teem orgasmos em conseguir roubar coisas aos outros, uns fazem-no porque querem-se sentir gente, outros, é algo que já vem de família…está-lhes no sangue. 🙁

            No meu caso a fazer uma coisa destas seria sempre com permissão do dono da maquina e apenas como teste!! 😉

            Mas gostava de ver o método que a tanto tempo vendes, e na verdade, vendes, mas as pessoas não compram nada, porque vendes um conjunto vazio 🙂

            Mostra lá essa tecnologia para a malta poder avaliar 😉

        2. Avatar de Pedro Costa
          Pedro Costa

          Hoje é 1 de Maio e não 1 de Abril.

          Responder
        3. Avatar de Nome (Obrigatório)
          Nome (Obrigatório)

          Aí está ele, o badass… Simplesmente é incrivel ver pessoas a pavonear-se com o que sabem… Se esse problema que se está a referir fosse assim tão grave certamente já teria sido corrido ou publicado na net pois você não seria o único nem de perto o primeiro a saber dessa falha.

          Just saying…

          Responder
          1. Avatar de lmx
            lmx

            isso não é um bug!

            Mas sim uma funcionalidade…o José é que ainda não percebeu isso LOOOOL

          2. Avatar de Jose
            Jose

            Vocês é que não entendem que quem fez noticia disto foi o PPLware e não eu.

            Eu não vejo isto como um problema, eles alertam como se fosse um bug de outro mundo que qualquer um pode explorar.

            Da maneira que o bug esta, tem mil e uma maneiras de entrar no sistema sem password, isto tendo acesso fisico a maquina.

          3. Avatar de Rascas
            Rascas

            José, tu é que vieste para aqui vangloriar que fazes isto e acoloutro.
            Qq pessoa que perceba de sistemas operativos, sabe perfeitamente que, com acesso físico a uma maquina, consegue aceder a todos os seus dados, caso o disco não esteja encriptado com uma cifra forte, quer seja windows, mac ou linux…

            Mas pronto… há gente que já te dá um disconto atendendo aos teus coméntários no Pplware…

        4. Avatar de urko
          urko

          Se eu colocar a imagem do backtrack no meu perfil,ficarei esperto também ???

          Responder
        5. Avatar de Bruno Jesus
          Bruno Jesus

          Eu sei do que tas a falar, basta alterar a linha do Grub para montar a / em rw e arrancar no /bin/bash, isso é o básico dos básicos, mas algumas distros já não permitem isso.

          Responder
          1. Avatar de lmx
            lmx

            ora nem mais…

            o josé é que pensa que descubriu ouro 😀

            E como já referi acima, isso é uma funcionalidade e não um bug!!

          2. Avatar de Jose
            Jose

            Não sei para que pões palavras na minha boca, nunca falei nisso nos meus posts acima.

            Mas podes continuar a difamar a vontade, o que vem de baixo não me afecta.

    5. Avatar de lmx
      lmx

      faz-se o que se quiser de qualquer um, desde que se tenha acesso fisico…até podes partir a maquina toda imagina tu…

      Responder
      1. Avatar de lfanboy
        lfanboy

        A questão e é que podes roubar os dados sem deixar vestígios….

        Responder
        1. Avatar de lmx
          lmx

          sim, se for algo que saibas onde se encontra, ou seja roubar algo cirurgicamente, ai sim…

          No entanto se tiveres que vasculhar e PROCURAR por informação…dessa forma daria demasiado nas vistas…

          A não ser que deixes um script a correr e que te envie a home do user para determinado local na net…

          Eu não sou ladrão…mas confesso que gastar umas horas de volta de uma maquina para sacar algo, diminui drasticamente a hipotse de sucesso…nesse caso levar o pc, ou o disco parece-me melhor…

          Ou então fazer uma copia integral do disco…mas isso demora muito tempo…e alguém vai descobrir que tenho um disco usb, ou que seja ligado…ainda fico sem o disco lool…e se esse user não tiver permissões para usar a porta usb…não funciona…

          epa os sistemas operativos, teem que ser seguros remotamente, fisicamente teem que nos dar hipótse de interagir com eles…obviamente que devido a isto existe a hipotse de alguém conseguir entrar sem pass, ou como root, pois com acesso físico tudo é possível, até roubar a maquina…

          Responder
    6. Avatar de Martins
      Martins

      Linux é extremamente seguro. Ubuntu, pelos vistos, é outra história. Este bug só existe no Unity, que é o ambiente gráfico apenas do Ubuntu. O meu Debian continua intransponível 😀

      Responder
    7. Avatar de Nuno José
      Nuno José

      A falha mais grave do IE está à espera de correcção faz 3 dias, esta foi corrigida em minutos, percebes a diferença? Erros de programação haverá sempre como a falha do flash esta semana descoberta que era muito grave em todos os sistemas e grave no linux, porque em linux permitia aceder e não permitia fazer mais nada.

      Responder
    8. Avatar de Nelson
      Nelson

      O bug “‘lock screen bypass” foi detectado por um utilizador e a Canonical já procedeu à correcção do mesmo, devendo os utilizadores procederem urgentemente à actualização do sistema.

      Sim, o Linux é EXTREMAMENTE seguro, quem utiliza linux para segurança, também não utiliza ubuntu.

      Mas já se sabe, se não fizesses mais uma vez um comentário á “Jose”…

      Responder
    9. Avatar de int3
      int3

      Windows também Jose. Qual é a cena? E podes eventualmente cifrar o disco nativamente. Por exemplo, apenas as home folders dos users. Assim não há maneira de entrar na pasta sem password. mesmo modificando no /etc/shadow a informação escrita no disco está diferente ao sistema todo. e para cada user também. O windows faz isso? nem de perto. “ah e tal windows”. que rir. xD
      vai vai, para o teu único SO closed source que existe para desktops.
      e antes de responderes a burro, OSX é open source. Linux é open source. 2 sistemas robustos e ainda dizem mal. lol não sei porque é que se usa como servers (tirando o OSX).
      aconselho a estudares administração de sistemas primeiro, arquitetura de computadores, e programação.
      continuação,
      int3

      Responder
    10. Avatar de Felipe
      Felipe

      Com acesso fisico vc pode acessar qualquer sistema facil, pode roubar dados, a menos q tudo esteja criptografado, com senha na bios/uefi, nao é uma falha. Com acesso fisico da ate pra levar pra casa o hd.
      Quem nunca redefiniu senha do windows com acesso fisico, se bobear ate no mac se consegue, porra, boota um livecd e tu faz tudo em qualquer sistema, tu monta as particoes do windows e rouba tudo, acesso fisico é mais q roubo, é cheat.

      Responder
  3. Avatar de Luis Aguiar
    Luis Aguiar

    Será que afecta outras distros?

    Responder
    1. Avatar de Pedro Pinto
      Pedro Pinto

      hum…ainda nao li nada para outros sistemas…é uma questão de testarem.

      Responder
      1. Avatar de Exemplo
        Exemplo

        Onde é que está o artigo do Firefox 29 com a nova interface ?

        Responder
        1. Avatar de ze
          ze

          é já a seguir

          Responder
        2. Avatar de Pedro Pinto
          Pedro Pinto

          uiiii…o Pplware dos dos primeiros à escala mundial a lançar essa novidade 🙂

          https://pplware.sitedev.pt/firefox/mozilla-acaba-de-lancar-o-novo-firefox-29-0/

          Responder
    2. Avatar de Helder Matos
      Helder Matos

      Do que testei com o Kubuntu, esta falha não se aplica. Pelos vistos o KDE não sofre deste mal…

      Responder
      1. Avatar de irlm
        irlm

        obrigado aos responsáveis do KDE, por acaso também uso esta versão.

        Responder
      2. Avatar de Nuno José
        Nuno José

        não tem a ver com o gnome ou KDE tem a ver com o lock screen que para a versão normal foi feito pela própria canonical e alguém fez burrada. No KDE não mexeram logo não tinha o bug.

        Responder
        1. Avatar de irlm
          irlm

          mais informação.
          KDE Gets Screen-Locking Improvements In Plasma Next

          fonte:
          http://www.phoronix.com/scan.php?page=news_item&px=MTY4MzQ

          Responder
      3. Avatar de jrgaugusto
        jrgaugusto

        …exacto no meu kde e slackware base distro tb não resulta…

        Responder
        1. Avatar de irlm
          irlm

          porque no KDE existe um serviço diferente chamado KSMServer que oferece maior segurança.
          Ver função deste serviço: Fonte>
          http://www.linuxtopia.org/online_books/linux_desktop_guides/kde_desktop_user_guide/ksmserver.html

          Responder
  4. Avatar de Marcelo Henrique
    Marcelo Henrique

    É por isso que o Linux é mais seguro, não é porque não tem falhas, mas sim porque as falhas são rapidamente descobertas e corrigidas.

    Responder
    1. Avatar de Rochita
      Rochita

      Outro com teorias da batata… tens noção do quão falaciosa foi essa frase?

      Responder
      1. Avatar de Nuno José
        Nuno José

        Como comento mais acima a falha do IE que é mais grave quanto tempo vai demorar a ser corrigida????

        Responder
    2. Avatar de Ricardo
      Ricardo

      Imagina como seria se tivessem os recursos técnicos da micro***** 😀

      Responder
      1. Avatar de MR
        MR

        Se calhar se tivessem os recursos da micro, os objetivos seriam diferentes.

        Responder
      2. Avatar de lmx
        lmx

        se tivessem os recursos técnicos da M$ era muito pior…

        não te esqueças que ninguém sabe ao certo a quantidade de gente que trabalha directa e indirectamente no linux…mas são muitos milhões…

        Achas que a M$ tinha ordenados para pagar a essa gente toda??

        Responder
        1. Avatar de Lm
          Lm

          +1

          Responder
    3. Avatar de int3
      int3

      foi o unity Marcelo já agora.

      Responder
  5. Avatar de Maurilio
    Maurilio

    Pois é, não é só o Windows que possui seus bugs, até pouco tempo atrás foi descoberta uma brecha de segurança na Red Hat que já existia há anos. Isso nos mostra que nenhum sistema é perfeito. Ainda bem que no caso de Linux as atualizações se tornam mais rápidas e práticas.

    Responder
  6. Avatar de Eu
    Eu

    ah fanboys do Ubuntu….
    (Falhas existem e existirão sempre em qualquer SO)

    Responder
  7. Avatar de RMB
    RMB

    Tudo bem, tudo bem, podem invadir meu sistema, e catar tudo o que eu tenho, mas vão levar o que do meu PC além de informações para cego? Grande bosta saber de muita coisa sobre invadir ou burlar sistemas, o que importa é saber que tipo de informações se deseja conseguir com tal coisa.

    Cada comentário idiota que se encontra aqui. E que se foda essa porcaria de falha, quem invadir meu sistema não terá vantagem alguma, pois meus dados pessoais não os uso no PC, coisa de cego huehueheue. :p

    Responder
Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.