Statistiky bezpečnosti operačních systémů

[Petr Krčmář]

_Tomáš_
Co se tyce napadeni Linuxovych desktopu, tak nekde jsem cetl (nejspis i tady na Rootu), ze v Turecku pri stahovani oblibeneho bezneho balicku (klasicka instalace) v procesu stahovani samotny internetovy poskytovatel presmeruje pripojeni (Man in the middle) a stahne se instalacni balicek upraveny o mallware (napr. sledovaci program).

Ano, o tom jsme tu měli článek: Vlády přesměrovávají uživatele na software doplněný o malware

Vtipné, viz oficiální stránka Ubuntu nebo tady výpis všech mirror, http je docela běžné. Balíček se stáhne a hned spustí se kód s právy roota, nic lepšího již nedostaneš.

Jenže tady to HTTP vůbec nevadí, protože ty balíčky jsou podepsané každý zvlášť vývojáři dané distribuce. Pak je úplně jedno, odkud se stahují, protože provozovatel zrcadla nedokáže vyrobit svůj podvržený balíček a podstrčit ho uživateli do systému.

[Reklama]

[_Tomáš_]

Vtipné, viz oficiální stránka Ubuntu nebo tady výpis všech mirror, http je docela běžné. Balíček se stáhne a hned spustí se kód s právy roota, nic lepšího již nedostaneš.

Jenže tady to HTTP vůbec nevadí, protože ty balíčky jsou podepsané každý zvlášť vývojáři dané distribuce. Pak je úplně jedno, odkud se stahují, protože provozovatel zrcadla nedokáže vyrobit svůj podvržený balíček a podstrčit ho uživateli do systému.

A jakpak se ten Release.gpg do toho systému dostane, aby se podle něho ověřily podpisy u balíčků? Tady je ten kámen úrazu, on se totiž stahuje také z toho http.

Ano, distribuce zpravidla přichází s předkonfigurovaným keyringem, ale třeba Debian je každý rok rotuje. Mysli na to, že pokud útočník má možnost podvrhnout celý repositář vč. metadat, může si sám udělat vlastní GPG key id a tím podepsat svůj podvržený balíček. Bavíme se i o spoustě dalších repositářů na SW, který se tak běžně distribuuje.

Stejně tak si představ útočník, který prostě čeká, sleduje provoz a až se naskytne ta správná kombinace provozu, teprve tehdy začne obsah podvrhávat, http repository pro apt není na tenhle typ útoku odolné. Může třeba čekat na situaci, kdy si budu chtít aktualizovat distribuci nebo si přidám nový apt source.

Rozumíme si?

[Jose D]

A jakpak se ten Release.gpg do toho systému dostane, aby se podle něho ověřily podpisy u balíčků?

no, pokud máš Ubuntu, tak mám dojem, že jsou v deb ubuntu-keyring.
Jak se balíčky ověřují psal Petr Krčmář výše.

Takže bez kompromitace private klíčů od distra, nebo naopak infikace počítače otrávenými gpg keyringy se nový falešný balíček (např. s keyringem) do systému cpe špatně.

[_Jenda]

Ano, distribuce zpravidla přichází s předkonfigurovaným keyringem, ale třeba Debian je každý rok rotuje. [...] Může třeba čekat na situaci, kdy si budu chtít aktualizovat distribuci

Ten nový je samozřejmě podepsaný starým, takže pokud alespoň jednou za geologické období aktualizuješ,  nové klíče se bezpečně nainstalují automaticky.

nebo si přidám nový apt source

Tam naštěstí bývají instrukce pro přidání klíče, které jsou po HTTPS (buď samotný klíč, nebo jeho získání z keyserveru podle hashe).

[_Tomáš_]

Ten nový je samozřejmě podepsaný starým, takže pokud alespoň jednou za geologické období aktualizuješ,  nové klíče se bezpečně nainstalují automaticky.

Pokud ho cestou podvrhnu, tak mi je přece jedno kým je podepsaný, když si tam přidám svůj, stejně jak si tam přidám svůj balíček.

Ano, distribuce zpravidla přichází
Tam naštěstí bývají instrukce pro přidání klíče, které jsou po HTTPS (buď samotný klíč, nebo jeho získání z keyserveru podle hashe).

Vždyť ani samo Ubuntu nemá instrukce s https a je tam spousta http použití.

[Reklama]

[_Jenda]

Ten nový je samozřejmě podepsaný starým, takže pokud alespoň jednou za geologické období aktualizuješ,  nové klíče se bezpečně nainstalují automaticky.

Pokud ho cestou podvrhnu, tak mi je přece jedno kým je podepsaný, když si tam přidám svůj, stejně jak si tam přidám svůj balíček.

Jak podvrhneš? To funguje tak že se aktualizuje balíček debian-archive-keyring, který je podepsaný jako všechny ostatní balíčky.

Ano, distribuce zpravidla přichází
Tam naštěstí bývají instrukce pro přidání klíče, které jsou po HTTPS (buď samotný klíč, nebo jeho získání z keyserveru podle hashe).

Vždyť ani samo Ubuntu nemá instrukce s https a je tam spousta http použití.

Nerozumím. Já z Ubuntu používám PPA, příklad, stránka na HTTPS (dokonce i repozitář, ale to není potřeba), v "Technical details about this PPA" fingerprint klíče (na této HTTPS stránce) a odkaz na keyserver který je taky po HTTPS.

Další příklad, Grafana, instrukce na HTTPS stránce, klíč stahují z https://apt.grafana.com/. Google cloud totéž, projekty na openSUSE Build Service totéž, atd.