Niebezpieczne aktualizacje Linuksa?

Mogło by się wydawać ,że narzędzia aktualizacji oprogramowania w systemach operacyjnych są kluczowym elementem zapewniającym im bezpieczeństwo. Jednak jak dowodzą ostatnie badania, systemy z rodziny Linux i BSD mogą stać się łatwym kąskiem dla cyberprzestępców różnej maści.

Grupa badaczy z University of Arizona odkryła, iż narzędzia aktualizacji oprogramowania stosowane w systemach Linux i BSD takie jak APT, YUM i YaST posiadają poważne luki dające cyberprzestępcom dostęp do części systemu operacyjnego, umożliwiając im w ten sposób: modyfikowanie, kasowanie oraz wgrywanie plików, co w konsekwencji może doprowadzić do zainstalowania na komputerze ofiary złośliwego oprogramowania – pozwalając tym samym przejąć kontrolę nad całym systemem!

[…] Naukowcy zauważają, że linuksowi dystrybutorzy niewystarczająco sprawdzają serwery będące mirrorami oficjalnych maszyn dystrybuujących poprawki. Na potrzeby eksperymentu akademicy założyli fikcyjną firmę, wynajęli serwery w centrum hostingowym i bez najmniejszych problemów stworzyli mirrory dla Ubuntu, Fedory, OpenSuSE, CentOS-a i Debiana. W ciągu kilku dni z tymi mirrorami skontaktowały komputery tysięcy użytkowników, w tym maszyny rządowe i wojskowe.

Niektóre z dystrybucji sprawdzają zawartość mirrorów, jednak, jak twierdzą akademicy, mimo to cyberprzestępcy mogliby rozpowszechniać inną zawartość niż spodziewana. Wysyłane na komputer pliki z poprawkami są cyfrowo podpisane. Próba podmiany zawartości pliku skończy się wystąpieniem błędu podczas instalacji.

Cyberprzestępcy mają jednak inne wyjście. Otóż mogą wysłać prawidłowo podpisane stare pakiety, które będą zawierały znane im luki […]

żadnych reklam, sama wiedza.

Zarejestruj się na BEZPŁATNY NEWSLETTER i raz w tygodniu otrzymuj najważniejsze wiadmości
ze świata IT, nowych technologii i kryptowalut.

Bez reklam.

  1. Awatar mtjm
    mtjm

    Podane przykłady to tylko dystrybucje GNU/Linuksa, a w tytule jest również BSD.

    Poza tym, Fedora chyba wspierała podpisy cyfrowe RPM-ów a Gentoo ma wiele sum kontrolnych plików źródłowych.

    1. Awatar morsik
      morsik

      Nie wspierała tylko wspiera. Podczas pierwszej instalacji YUMem, pyta Cię czy zaakceptować kluczGPG (1 klucz na 1 repozytoium), godzisz się oczywiście, następnie paczki są sprawdzane czy sa podpisane, jeśli nie to wystąpi błąd, i taką paczkę można jedynie zainstalować poprzez:

      <code>rpm –nogpg paczka.rpm</code>

      Tak mniej więcej działa.

    2. Awatar dzikus
      dzikus

      Niestety autor znów nie zagłębił się w temat, zaczyna mnie coraz bardziej dobijać poziom tego serwisu.

      Chodzi o to, że stare dziurawe pakiety, są również prawidłowo podpisane i zawsze można postawić mirror, który będzie takie pakiety serwował. My wtedy możemy sobie taki stary, podpisany prawidłowo pakiet wyexploitować :).

      1. Awatar michuk
        michuk

        @dzikus: to serwis społecznościowy, to TY masz dbać o jego poziom. Jak? Głosując na dobre niusy, zgłaszając literówki, pisząc raport, jeśli nius jest nieobiektywny, niedokładny lub mija się z prawdą, a także (TAK!) samemu pisząc lepsze niusy.

        Dodałem linijkę do cytatu, która wyjaśnia w czym rzecz. A autora proszę o takie składanie niusów, żeby było oczywiste w czym jest rzecz, a także unikanie krzykliwych tematów jak z Faktu.

  2. Awatar Thar
    Thar

    Wysyłane na komputer pliki z poprawkami są cyfrowo podpisane. Próba podmiany zawartości pliku skończy się wystąpieniem błędu podczas instalacji.

    No to… W czym problem?

    1. Awatar skiter
      skiter

      Z twoim czytaniem :), bo 'bezpieczenstwa' sa podpisane ale np taki Gimp juz nie koniecznie.

      1. Awatar pawels
        pawels

        to chyba też mam problemy z czytaniem

      2. Awatar morsik
        morsik

        Każda paczka w repozyrotium jest podpisana, jeśli już repozytorium obsługuje podpisy. Nawet taki GIMP.

  3. Awatar soda2
    soda2

    to prawda, ale wystarczy trzymać się oficjalnych distro i raczej nie powinno byc problemów racja?

    1. Awatar morsik
      morsik

      Distro, repozytorium, czy mirror?

      Pozatym każdy może sobie postawić mirror.

  4. Awatar aegis maelstrom
    aegis maelstrom

    Proponuję link do jakiegoś prawdziwego źródła informacji, np:

    ZDNet

    a nie zżynaczy nie potrafiących nawet cytować.

    Sprawdzono 10 różnych menedżerów pakietów: APT, APT-RPM, Pacman, Portage, Ports, Slaktool, Stork, Urpmi, Yast i YUM.

    Natomiast cała zastosowana technika nie polegała na instalowaniu złośliwego kodu, ale podsyłaniu starych (pełnych luk) wersji oprogramowania albo zapobieganiu instalacji poprawnej wersji. Potwierdzony eksperymentalnie problem polega na tym, że multum dystrybucji nie zarządza poprawnie podpisami pakietów i metadanych.

    1. Awatar krzy
      krzy

      Sprawdzono 10 różnych menedżerów pakietów:

      Nie, sprawdzono DWA.

      ftp://ftp.cs.arizona.edu/reports/2008/TR08-02.pdf

    2. Awatar morsik
      morsik

      Portage to nie jest menedżer pakietów. Emerge – Tak.

      1. Awatar ak47
        ak47

        Ja bym się tam nie zgodził

        wiki o emerge

        wiki o portage

        To że korzystająć portage wywołujesz program emerge to juz inna sprawa

        1. Awatar morsik
          morsik

          Poczytaj lepiej co to jest menedżer pakietów a co to jest repozytorium…

      2. Awatar TBH
        TBH

        morsik ma rację, portage to repozytorium z którego mogą korzystać menadżery pakietów takie jak emerge, paludis

      3. Awatar tenji
        tenji

        Portage JEST menedżerem pakietów (emerge czy equery są jego częścią), a paludis jest jego zamiennikiem, który korzysta z tych samych repozytoriów co portage. Proste

        1. Awatar TBH
          TBH

          Nie masz racji 😉

  5. Awatar lolek
    lolek

    niesamowite odkrycie 😉 Tyle ze nic z niego nie wynika. Imho zwykly FUD, albo szukanie sensacji tam gdzie jej nie ma.

    1. Awatar lolek
      lolek

      no dobra, z artykulu na ZDnet jednak cos wynika. A dokladniej przyklad z opensslem w debianie. Mozna zrobic mirror zawierajacy starsza (dziurawa) wersje jako najnowsza i jezeli ktos uzyje wlasnie tego i tylko tego mirrora, to ma problem.

      Tyle ze jest jeszcze kwestia zaleznosci, co moze skutkowac brakiem mozliwosci zainstalowania jakiegos pakietu, zaleznego od noweszej wersji openssl.

      1. Awatar dos
        dos

        Dlatego ja korzystam wyłącznie z oficjalnych serwerów albo mirrora pl w oficjalnej domenie. ZU raczej zwykle też korzystają z oficjalnych, ale nie z tego powodu, tylko raczej z niewiedzy, że istnieją mirrory ;]

        1. Awatar Memphis
          Memphis

          Bywa różnie. Na przykład, jak ZU odkryje, że nie ma na przykład codeców w Ubuntu, szuka na forum. Wystarczy teraz choćby pozakładać blog/cokolwiek z listami repozytoriów, gdzie jest "wszystko". I masa userów się złapie, tak samo jak łapią się na głupie strony pod Windowsem.

        2. Awatar Michal
          Michal

          Nigdy nie wiesz czy jak laczysz sie do oficjalnego serwera to tamtejszy load balancer nie przekieruje cie na ktorys z nieoficjalnych "złych" serwerow, wiec problem jednak jest.

      2. Awatar rysiek
        rysiek

        no świetnie, tylko jeżeli (jako h4x0r) spróbujesz to zrobić, to:

        a). albo zmieniasz znacznik wersji w pakiecie, ale w tym momencie musisz go podpisać – a nie masz klucza. użyszkodnik dostaje monit "niepodpisany pakiet" -> fail.

        b). albo nie zmieniasz, żeby użyć starych, ale podpisanych pakietów z oficjalnych repo, ale wtedy jeżeli użyszkodnik nie wywalił oficjalnych repo sam z siebie, menadżer pakietów zassie te nowsze, z oficjalnych repo -> fail.

        słowem tak czy siak musisz oprzeć się na niewiedzy użyszkodnika, a system tak czy siak będzie starał się niedopuścić do tego, by ci się powiodło.

        podsumowując, albo padasz na podpisach, albo na wersji pakietu.

        1. Awatar dzikus
          dzikus

          >b). albo nie zmieniasz, żeby użyć starych, >ale podpisanych pakietów z oficjalnych >repo, ale wtedy jeżeli użyszkodnik nie >wywalił oficjalnych repo sam z siebie, >menadżer pakietów zassie te nowsze, z >oficjalnych repo -> fail.

          Tak ci tylko zdaje, taki yum z centos'a czy fedory łączy się z mirrorami i to jest główne repo, nikt nie dodaje nowego repo, nikt nie usuwa głównego repo a ty łączysz się z oficjalnym mirrorem (wg. badaczy udało im się wciągnąć ich mirror na takie właśnie oficjalne listy), nie zmieniając nawet 1 linii w konfiguracji.

          PS. Ten artykuł to totalna żenada OSnews. Do dup** z takim dziennikarstwem, autor nie raczył nawet poszukać źródła informacji. Wczoraj haise zrobiło to z 10x lepiej od was.

        2. Awatar Michal
          Michal

          Bo heisse jest 10x lepsze od nich, ich artykuly sa długie i wyczerpujace, a nie jakies kilkulinijkowe wypierdki.

        3. Awatar Gunther
          Gunther

          To napisz długi i wyczerpujący news. ktoś ci broni, czy po prostu lubisz marudzić?

        4. Awatar 3ED
          3ED

          W "b" to takie jedno ale, lista wersji i pakietów leci skąd? Z mirrora czy z oficjalnego serwera? 🙂

      3. Awatar guzo
        guzo

        Akcja z OpenSSL była tak głośna, że każdy świadomy admin 2 razy się upewnił, czy ma zrobiony update. FUD.

      4. Awatar d3xter
        d3xter

        Jest to bzdura, bo poprawki bezpieczeństwa leżą na security.debian.org, a nikt o zdrowym umyśle nie ściąga tych paczek z innego serwera.

        Jeśli chodzi o podmianę pakietu na jakiś stary, na spreparowanym mirrorze, to też jest bzdura, bo lista pakietów też jest podpisana GPG, więc albo cały mirror jest ze starymi pakietami, albo jest up-to-date i problem w ogóle nie istnieje. Pierwszy przypadek jest tożsamy z tym, że mirror ma awarię i nie aktualizuje się z oryginalnym serwisem. Średnio rozgarnięty administrator połapie się, że coś jest nie tak.

        Tak wygląda sytuacja w Debianie i Ubuntu. Jak to jest z RPM-opodobnymi Linuksami to nie wiem. Jeśli całe archiwum nie jest podpisane kluczem, tak jak dla APT, to możliwe, że można preparować archiwa YUM-a.

  6. Awatar aegis maelstrom
    aegis maelstrom

    P.S. Piszemy "poprawnej", myślimy "poprawionej, załatanej". 🙂

  7. Awatar Logansan
    Logansan

    Uśmiałem się… APT, YUM do kosza!! Teraz będzie tylko STORK from Arizona 🙂

    1. Awatar dzikus
      dzikus

      Szkoda, że poldka nie testowali na tych repo. Poldek nie pozwoliłby "uaktualnić" do starszej wersji o ile epoch nie byłby podbity w takim pakiecie (co uniemożliwia sygnatura).

      Na wszystkich moich centos'ach używam właśnie poldka jako menadżera pakietów.

      1. Awatar rathann
        rathann

        Piszesz tak, jakby yum to umożliwiał, co jest nieprawdą. Pod tym względem nie różni się od poldka.

        1. Awatar szatox (ktoś)
          szatox (ktoś)

          podobnie jak APT i prawdopodobnie wszystkie pozostałe.

  8. Awatar MeLON
    MeLON

    Łojezu!!! Po raz kolejny proszę: nie zamieniajmy OSnewsa w elektroniczny "Superekspres". Kolejny news przepisany z innego szmatławego tytułu z chwytliwum tytułem i pozbawiony miarodajnej oceny. Autorze, zainteresuj się najpierw sposobami dystrybucji oprogramowania w poważnych dystrybucjach i i nie wypisuj bzdur! Z tej wiadomości po raz kolejny wynika tylko jedna rzecz: największym zagrożeniem dla systemu jest głupiec, który go obsługuje (i instaluje niepodpisane binarki ;)).

    No, uspokoiłem się trochę… A teraz czekam na newsa o tym, że Cezary Pazura* zaraził się wirusem od swojego laptopa

    * – Nazwisko "Cezary Pazura" jest wyłączną własnością Cezarego Pazury i zostało użyte w tym poście wyłącznie w celach ilustracyjno-edukacyjnych

    1. Awatar dnkt
      dnkt

      Z tej wiadomości po raz kolejny wynika tylko jedna rzecz: największym zagrożeniem dla systemu jest głupiec, który go obsługuje (i instaluje niepodpisane binarki ;)).

      Nie powinienem mieć możliwości zrobienia czegoś takiego w łatwy sposób.

      1. Awatar MeLON
        MeLON

        NO comment…

        ale dla bezpieczeństwa usuń z domu wszystkie ostre przedmioty bo sobie krzywdę zrobisz… oj szkoda by była…

        1. Awatar dnkt
          dnkt

          Dla bezpieczeństwa mam w domu bezpieczniki i zaizolowane kable (niestety uziemienia nie mam już w całym mieszkaniu). Dla bezpieczeństwa mam balustradę na balkonie. Dla bezpieczeństwa mikrofalówka ma zabezpieczenie w drzwiczkach. Dla bezpieczeństwa na ruchliwych skrzyżowaniach są światła.

        2. Awatar MeLON
          MeLON

          Przez balustrade można przejść, tak samo jak przejechać na czerwonym. I wszystko to łatwo… Mylisz pojęcia bezpieczeństwa i ubezwłasnowolnienia. Chcesz krat w balkonach i zakazu przejeżdżania skrzyżowań.

          Podstawowym zabezpieczeniem dla każdej istoty jest instynkt samozachowawczy. W przypadku ludzi, z konieczności życia w cywilizacji technicznej pojęcie to się poszerza. I pojęcie "za łatwo" stawia mi przed oczami obraz spasionego amerykańskiego analfabety wkłądającego głowę do foliowej torby… Powtarzam – na głupotę nie ma lekarstwa.

        3. Awatar dnkt
          dnkt

          Mylisz pojęcia bezpieczeństwa i ubezwłasnowolnienia.

          Nie mylę.

          bezpieczeństwo stan niezagrożenia, spokoju, pewności.

          ubezwłasnowolnić pozbawić kogoś całkowicie lub częściowo zdolności do czynności prawnych zwykle z powodu jego choroby psychicznej, alkoholizmu lub narkomanii.

          Definicje z trzytomowego Słownika języka polskiego (z lat 80).

          Chcesz krat w balkonach i zakazu przejeżdżania skrzyżowań.

          Nie chcę.

          Przez balustrade można przejść, tak samo jak przejechać na czerwonym.

          Owszem, jest to właśnie to czego czasem oczekuję po oprogramowaniu. Może zdarzyć się potrzeba obejścia zabezpieczenia, ale powinna to być ostateczność. To czego chce to rozsądne zabezpieczenie, ostrzeżenie.

          Podstawowym zabezpieczeniem dla każdej istoty jest instynkt samozachowawczy.

          Niebezpieczny grunt.

          Powtarzam – na głupotę nie ma lekarstwa.

          Widzisz, ja za głupotę mogę uważać używanie oprogramowania, które samo z siebie stanowi wyzwanie, w momentach, w których nie musi. Tym większą, im więcej od niego zależy.

  9. Awatar vermaden
    vermaden

    APT · YUM · YaST (zadnego z tych nie ma na BSD)

    Po co wiec siac FUD ze BSD tez ma luki w package management skoro nie ma, a w artykule nie pojawia sie nawet jedna nazwa zwiazana z package management na BSD (pkg / ports/ pkgsrc), nawet oryginalny artykul nie wspomina slowem o package management dla BSD, pada tylko slowo kluczowe BSD i nic wiecej:

    (…) for Linux and BSD systems and found vulnerabilities in all of them.

    oryginalne zrodlo:

    Oryginalny Artykul z Univercity of Arizona

    1. Awatar guzo
      guzo

      Jak wynika z dyskusji ogólnie cała luka również na Linuksie jest mocno naciągana. A jeśli chodzi o BSD, to czy Debian z kernelem FreeBSD nie używa APTa?;p

  10. Awatar michug
    michug

    a co pkg_add jest ok? to czemu jest wymienione BSD?

  11. Awatar norbert_ramzes
    norbert_ramzes

    Co ma piernik do wiatraka? Szukają dziury w całym. Jak sobie użyszkodnik windowsa zainstaluje binarki na zamkniętej licencji to co?

  12. Awatar Plichu
    Plichu

    Apropo jakości newsów to może by zrobić tak że nowi newsmeni musieli by początkowo czekać na akceptację swojego newsa i jak tak im kilka tytułów przejdzie bez zstrzezeń usunąć ograniczenia?

  13. Awatar karakar
    karakar

    Praktycznie wykorzystanie tego było by prawie niemożliwe, bo co musiała by zrobić osoba, żeby się włamać:

    1.Znaleźć lukę w pakiecie którą mogła by jakoś wykorzystać.

    2.Założyć własny serwer z repozytoriami i dostać się na oficjalną listę mirrorów, zanim ludzie zdążą tą lukę załatać.

    3. Mieć nadzieje, że przyszła ofiara nie ściągnie poprawek z innego serwera.

    4. Mieć nadzieje, że tego nie wykryją.

    To wszystko powoduję, że nawet jak się uda to liczba ofiar będzie niewielka, a osoba włamująca wynajmując taki serwer będzie łatwa do odnalezienia.

    1. Awatar jr
      jr

      @karakar:

      Zakładasz mirror i czekasz na odpowiednią okazję. Jak już pojawi się dziura, na którą ktoś napisze exploita, to nie serwujesz na mirrorze poprawek. Dostajesz od klienta zapytanie o update i serwujesz mu starą listę pakietów i już masz pewność kto jest podatny na daną dziurę.

      3. Mieć nadzieje, że przyszła ofiara nie ściągnie poprawek z innego serwera.

      Jesteś pewien, że nie ściągnie, bo dostała od ciebie stary update.

      4. Mieć nadzieje, że tego nie wykryją.

      To jest główny zarzut autorów, czyli brak lub bardzo pobieżna weryfikacja oficjalnych mirrorów. Nawet jak ktoś się zorientuje, to już po fakcie, czyli wtedy kiedy ty masz już pięknego botneta działającego na linuksie i kolejny mirror czekający na odpowiednią okazję.

      Ogólnie widzę, że większość ludzi próbuje "wyprzeć" ze świadomości fakt, że to jest podatność linuksa. Jest to podatność i mam nadzieję, że w niedługim czasie to poprawią.

      1. Awatar Witek
        Witek

        To nie są jakieś poważne niebezpieczeństwa. Można co najwyżej poprawić bezpieczeństwo przez np. wymóg żeby narzędzie używały list pakietów nie starszych niż X dni. (gdzie X wynosi np. 2).

        Poprawność działania mirroringu można sprawdzić np. przy pomocy ukrytych maszych które po rzekomej synchronizacji mirrora będą to sprawdzać (z przypadkowych adresów IP oraz o różnych porach).

        1. Awatar Witek
          Witek

          Poza tym ja jestem zapisany na debian-security-announce@lists.debian.org więc osobiście bym coś takiego szybko odkrył. Poza tym mam własny mirror (ale to dlatego że mam bardzo dużo maszyn) więc też zwracam na takie rzeczy uwagę.

        2. Awatar jr
          jr

          Zgadzam się, że nie są to poważne niebezpieczeństwa (przede wszystkim ze względu na dyskusyjną opłacalność przedsięwzięcia i jego kłopotliwość), ale należy je wyeliminować, bo a nóż się komuś zachce i narobi bałaganu.

        3. Awatar norbert_ramzes
          norbert_ramzes

          > Poza tym mam własny mirror

          Tak przy okazji stwierdzę że własne proxy na ruterze też się przydaje (kilka maszyn) i można skonfigurować apt'a żeby z niego korzystał.

          A mirror to jednak trochę miejsca na dysku zapewne zajmuje.

    2. Awatar https://openid.claim
      https://openid.claim

      Po co zakładać własny serwer z repozytoriami, skoro można sobie "kupić" przychylność osoby która taki serwer prowadzi "brudnymi" pieniędzmi?

      Zawsze zastanawiało mnie to bezgraniczne zaufanie do repozytoriów.

      W Windzie przynajmniej ma się jakąś kontrolę nad tym co się instaluje po ściągnięciu z Internetu – można sprawdzić plik przed instalacją programem antywirusowym. W przypadku GNU/Linuksa potrzeba "odrobiny zaufania".

      1. Awatar jr
        jr

        Podobnie jak w linuksie ufasz developerom dystrybucji, w Windowsach musisz zaufać producentowi softu. Tyle że w Windowsach najczęściej instalujesz programy closed source, więc nawet gdybyś miał taką fantazję, to nie możesz sprawdzić czy producent nie zostawił jakiejś tylnej furtki w sofcie.

        Opisany w artykule problem jest dość prosty do rozwiązania, więc możemy liczyć, że kiedyś będzie lepiej. Na Windows zostanie po staremu.

        1. Awatar PACH
          PACH

          a czy paczki mają otwarty kod? skąd wiesz czy w paczkach do dystrybucji nie dodano "jakiejś tylnej furtki"? To jest właśnie pozorna przewaga open nad closed, ale open cieszy się większym zaufaniem i to można łatwo wykorzystać.

        2. Awatar Adi1981
          Adi1981

          Paczki budowane są ze źródeł do których każdy ma dostęp – np. przy rpm-ach wystarczy sobie zassać srpm-a z którego są budowane właściwe paczki, a w którym są zawarte zarówno źródła programu jak i wszystkie patche dla niego wykorzystane w gotowej paczce. Nie siej FUDu

        3. Awatar Ajnsztajn
          Ajnsztajn

          W Gentoo możesz sprawdzić jeszcze łatwiej – pobierany jest kod źródłowy, wszystkie patche i to dopiero jest kompilowane. Więc tak, w moich paczkach mam kod źródłowy.

        4. Awatar krzy
          krzy

          Ale już była sprawa, że ktoś włamał się na serwer FTP i podstawił trojana w skrypcie configure jakiegoś programu.

          Wpadli dlatego, że ktoś kompilował program z pomocą portów na FreeBSD (działa to tak samo jak portage w Gentoo, jakby ktoś nie wiedział) i po ściągnięciu tarballa ze źródłami system zgłosił błąd że nie zgadza się suma MD5. Człowiek ściągnął paczkę z innego mirrora, sprawdził MD5, zdiffował… no i znalazł trojana.

      2. Awatar errenay
        errenay

        "W Windzie przynajmniej ma się jakąś kontrolę nad tym co się instaluje po ściągnięciu z Internetu – można sprawdzić plik przed instalacją programem antywirusowym. W przypadku GNU/Linuksa potrzeba “odrobiny zaufania”" – w Windows też. Zakładasz, że Twój antywirus znajdzie ewentualne robale, a twórca programu nie zastosował żadnej "tylnej furtki", o której antywirus nie wie…

  14. Awatar paulo86
    paulo86

    Grupa badaczy z University of Arizona odkryła, iż narzędzia aktualizacji oprogramowania stosowane w systemach Linux i BSD takie jak APT, YUM i YaST posiadają poważne luki dające cyberprzestępcom dostęp do części systemu operacyjnego, umożliwiając im w ten sposób: modyfikowanie, kasowanie oraz wgrywanie plików, co w konsekwencji może doprowadzić do zainstalowania na komputerze ofiary złośliwego oprogramowania

    A potem:

    Wysyłane na komputer pliki z poprawkami są cyfrowo podpisane. Próba podmiany zawartości pliku skończy się wystąpieniem błędu podczas instalacji.

    To ja chyba czegoś nie rozumiem. Najpierw jest, że można w ten sposób modysfikować i kasować pliki w systemie, a potem, że próba podmiany skończy się niepowodzeniem…

    Ten news wygląda jak zwykły FUD, a nie obiektywna informacja.

    1. Awatar https://openid.claim
      https://openid.claim

      FUD? A ile razy instalowałeś rozszerzenia Mozilli mimo że "nie były podpisane cyfrowo"?

      1. Awatar errenay
        errenay

        A co ma jedno do drugiego? Przecież, żeby zainstalować niepodpisaną paczkę z repozytorium musisz zrobić to ręcznie, a nie "z automatu"?

  15. Awatar anon2
    anon2

    Kurde a od czego sa klucze GPG i podpisy ??

    Oprócz tego jak ktoś chce se jeszcze bardziej uszczelnić to nie zasysa binarek tylko po prześwietleniu kodu sam buduje se swoje binarki 😀 -pzdr.

    1. Awatar dnkt
      dnkt

      Oprócz tego jak ktoś chce se jeszcze bardziej uszczelnić to nie zasysa binarek tylko po prześwietleniu kodu sam buduje se swoje binarki

      Bardziej pasuje tutaj „;)” niż „:D”. Bo w zasadzie jest to jedynie teoretyczna możliwość.

    2. Awatar https://openid.claim
      https://openid.claim

      Taaa…. wszyscy powinni koniecznie używać Gentoo – znaczy swojej odmiany Gentoo – po indywidualnym prześwietleniu kodu. A jeszcze lepiej jak sami sobie stworzą swój "Linux From Scratch".

      A później tobie podobni wypisują teorie spiskowe o blokowaniu skryptów i rzeczywistym udziale GNU/Linuksa w rynku systemów operacyjnych 🙂

      1. Awatar ja
        ja

        tja bo w innej dystrybucji nie możesz zbudować sobie paczki

  16. Awatar chiquita
    chiquita

    Witajcie. Przypomina mi to troszkę odpowiedź ' biznesu z wozu': "Pani, a dobre te ziemniaki; O tak!; A do czego? A na frytki, z wody, do puree a najlepsze na placki ! A co do tych luk w aktualizacjach- przecież gdy ktoś niepowołany dostanie się do danego serwera z oficjalnumi paczkami, to i tak może je zmodyfikować i dodać jakiś biohazard. Ściąga się wtedy 'najnowsza poprawka' np. security i bach!. A dodatki do FF- jest w repo przecież możliwość dodania tych podpisanych i zaakceptowanych przez 'górę'(np. UBUNTU0, tylko końcowy odbiorca jest ostatnim najsłabszym ogniwem. To samo się tyczy firewalla, antivirusa, apparmour, selinux itp. Buziaki!

    1. Awatar owczi
      owczi

      Prawda jest taka, że przeciętny użyszkodnik jest zwykle za NATem albo jakąkolwiek bramką która uniemożliwi potencjalnemu atakującemu zrobienie czegokolwiek z dziurawą maszyną, ma zmienny adres IP… Boty i skanery szukają zwykle trywialnych dziur, a nie zaawansowanych eksploitów w przypadku których adresy (asm), offsety itp. mogą wyglądać różnie zależnie od platformy, kompilatora etc. Natomiast administrator MA wiedzieć co robi – jeśli coś przeoczył, ściągnął coś z trefnego mirrora – to jego wina, nawet jeśli to nie jego wina – powiedz to przełożonemu. Już większym zagrożeniem są np. luki w DNS – vide ostatnia dziura z portami źródłowymi, kolejny z wielu atak typu "zatrucie cache'u", pozwalający (bez zakładania firmy i stawiania mirrora) podpiąć podstawiony adres IP nawet pod domenę serwującą oficjalny mirror. Jedyną wiarygodną statystyką byłaby statystyka FAKTYCZNEJ ilości włamań – którą nie sądzę żeby ktoś kiedykolwiek ujrzał.

  17. Awatar hez
    hez

    Pewnie, że są luki, jak we wszystkim. W wielu przypadkach wystarczy prosty DNS spoofing + własna maszyna. Jednakże, więcej zachodu niż to warte.

    Jedna z wielu cech GNU, które mi się bardzo podobają- jeżeli ludzie uznają, że trzeba coś z tym zrobić, zrobią coś.

  18. Awatar chiquita
    chiquita

    A mnie się jak zwykle wydaje lekko inaczej. Bo cóż to są aktualizacje? Ano łączenie się ze wszystkimi serwerami z paczkami po uprzednim zaakceptowaniu przez użytkownika (z GPG. bądż bez) Poważny problem tkwi w tym że dowolny ktosik może tworzyć paczkę programu, umieścić go na swoim serwerze i ogłosić np. na forum 'tak to moje, działa super, bierzcie' A przecież NIE KAZDY program pasuje do danej dystrybucji/konfiguracji ba nawet u kogoś innego może to działać, a u innego znów nie. Przecież istnieje inna 'oficjalna' metoda np. zgłaszania błedów, propozycji nowych programów i paczek. openSuse, Fedora, mają swoje społecznościowe serwery, a co się dzieje z Ubuntu? Kto tylko chce i może tworzy własne prywatne i niezabezpieczone i dlatego mogą być potencjalne niebezpieczne. A wystarczy zgłosić propozycję paczki/aktualizacji do zaakceptowania i po kłopocie (założe się że prędzej,czy później byłaby w oficjalnych repozytoriach). a tak brnąć trzeba po launchpadach, getdebach i słowach zachęcam do wzięci, to moje. Prędzej, czy później taki znający się na rzeczy człowiek, z nudów i ciekawości, coś wstrzyknie. ____A pamiętacie jak powstała 'wielka bombka'?___ Razem, ludziska, razem, nie oddzielnie bo to nic nie da!

  19. Awatar pioruns
    pioruns

    Mam pytanie. Paczki w repozytoriach są podpisane cyfrowo, tak więc możliwość podmiany zawartości samej paczki odpada. Ale – tak jak jest powiedziane w artykule – czy lista plików znajdujących się na serwerze jest w jakiś sposób podpisana? Rozważam taką sytuację – paczki nie podmieni, bo podpisana cyfrowo. Ale – wrzuci tam starą paczkę, podpisaną, z dobrą sumą kontrolną, i zmieni jej nazwę na najnowszą, tak, żeby komputery uznały ją za najnowszy soft i chciały pobrać. Proszę ludzi w temacie o podpowiedzi, na ile taki scenariusz jest możliwy.

  20. Awatar Spock
    Spock

    Poczytajcie tutaj http://www.hughesjr.com/content/view/22/2/ rzeczowa odpowiedz jak to wyglada w yum'e.

  21. Awatar o qrka
    o qrka

    Mam dołączone takie "niestandardowe" repozytorium

    z programem QNapi:
    http://krzemin.iglu.cz i386/ Packages

    Po wpisaniu w konsoli "sudo aptitude update" wysypuje mi:

    "W: GPG error: http://krzemin.iglu.cz i386/ Release: The following signatures cou ldn't be verified because the public key is not available: NO_PUBKEY 7BD27B2FCCA 83AD2"

    Czyli klucz GPG nie może być potwierdzony, a mimo to mogę spokojnie zainstalować pakiety z tego repozytorium…więc jaki wniosek? nie wiem…:)

    1. Awatar chiquita
      chiquita

      Odpowiedz sobie sam. Wielu moich znajomych używa tego repo, ale pic polega na tym – czemu nie można go dołączyć do oficjalnych repo dystrybucji -? Z kodekami można było? ( Ubuntu, MDV) Jest to chyba tylko i wyłącznie chęć wypłynięcia i pokazania oooo umiem .

      1. Awatar iria
        iria

        W Debianie Qnapi jest w oficjalnym repo i nie trzeba stosować prywatnego.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *