Tempo fa avevo avuto una stimolante chiacchierata con il programmatore russo che sollevava il problema dell'attendibilità dei pacchetti scaricati da un repository, anche con chiavi e chiavette varie.
Neanche a farlo apposta, stasera leggo di una serie di esperimenti che hanno fatto alcuni ricercatori dell'Università dell'Arizona e che hanno coinvolto 10 tra i più popolari package manager, tra i quali: YUM (Fedora) YaST (SuSE) e APT.
Al di là delle varie problematiche sollevate, la cosa che mi ha sconcertato di più è la facilità con la quale sono riusciti a mettere sù un server e a farlo riportare nella lista dei mirror ufficiali (sì, anche di Debian) senza il minimo controllo.
Mi domando, che senso abbia avere tutti i controlli minuziosi che Debian effettua sul codice, se poi basta così poco ad infiltrare pacchetti contenenti potenzialmente qualsiasi schifezza.
eNjoy
Fonte: Slashdot
Commenti
Inviato da Stemby il Sab, 12/07/2008 - 00:55.
Re: Package manager: il tallone di Achille?
Ciò è grave... molto grave!
C'è stata qualche reazione da parte di mamma Debian?
Sinceramente mi chiedo come sia possibile che sia successa una cosa simile: non credo sia tanto difficile controllare che i repository contengano tutti quanti le stesse cose...
Registered Linux User #443882
Registered Debian User #9
Inviato da ferretti75 il Sab, 12/07/2008 - 18:28.
Re: Package manager: il tallone di Achille?
Leggendo il post originale e lo studio che è stato fatto non la metteri giù così .
Questi hanno detto : posso creare un mirror senza che mi chiedano niente, quindi posso infiltrare dei rootkit . Sono conclusioni sbagliate . Ogni pacchetto è firmato (gpg) e non credo che ( almeno in questo secolo) si possa far sì che un pacchetto venga modificato e mantenga la stessa firma . Inoltre le patch di sicurezza vengono fatte circolare dal repo security, direttamente gestito da debian.
Certo, sel'utente si fida ciecamente dei repos non debian che danno un errore di verifica pgp ... allora si merita ben altro. E' lo stesso discorso che viene fatto su un sistema windows : vai alla tal pagina, ti si apre una finestra e ti dice "ehi!! il tuo sistema è a rischio !!! clicca quì per metterlo in sicurezza !!! " e il pollone ci casca .
L'unico computer sicuro è un computer spento, staccato dalla rete elettrica , senza alcun tipo di connessione dati e chiuso in una cassaforte ... e anche allora non sono sicuro che non si possa fare in modo di leggere i dati .
my own 2 cents
magic is real ... unless explicitly declared as integer
Inviato da Moreno il Sab, 12/07/2008 - 19:27.
Re: Package manager: il tallone di Achille?
Ciao
Concordo in pieno con le argomentazioni di Ferretti75.
Per alterare un mirror, almeno per quel che riguarda Mandriva, bisogna mantenere la stessa Firma e MD5 sia a livello di singolo pacchetto che a livello di cartella completa per cui c'è un ulteriore livello di sicurezza in modo che non si possano neanche aggiungere file nuovi.
Questa è una vecchia storia, probabilmente messa in giro da quelli di Gentoo 8<))), e che periodicamente torna alla ribalta.
Penso che il problema più di toccare Debian tocchi Ubuntu dove esistono centinaia di produttori di pacchetti indipendenti tra cui si può nascondere qualche cattivone e li allora sì che sono guai se il pollo di turno gli capita fra le mani, comunque appunto basta sorgenti ufficiali ed il problema non si pone o quasi (potrebbero sempre corrompere quelli di Debian).
Ciao Ciao
Ebbene sì confesso sono un infiltrato di http://www.mandrakeitalia.org ma mi piace girare il Mondo.
Profilo
Inviato da pietro il Sab, 12/07/2008 - 22:18.
Re: Package manager: il tallone di Achille?
Quote:
Questa frase l'ho letta anch'io taaaanto tempo fa ma non mi ricordo piu' dove..... Probabilmente nel mensile "Le Scienze" nella rubrica "Ricreazioni al calcolatore", ma non sono sicuro.... Ferretti, illuminami!
Citazioni a parte, a quanto ho capito il metodo si basa sulla distribuzione, attraverso mirror creati appositamente, di sw vecchio di cui si possono sfruttare le falle per penetrare nel sistema....
Il problema, quindi, e' nella gestione dei mirror, e non nella scarsa sicurezza del software che gestisce i pacchetti.
La cosa sicuramente fa riflettere, ma sinceramente non penso che uno che voglia attaccare un server metta su un mirror non ufficiale sperando che la sua vittima ci caschi e modifichi poi la lista dei repository sostituendo "debian.org" con "telomettoinquelposto.com".... Poi deve sperare che il server abbia il firewall impostato in modalita' "pregoentratefatecomesefosteacasavostra", dopo di che si puo' sferrare un attacco sperando che il sistemista utilizzi proprio quel programma bacato di cui e' disponibile il rootkit.... E' piu' credibile la fine del film "Independence Day" (chi non l'ha ancora visto non lo faccia: la vostra vita non ne risentira').
Chi usa repository ignoti presi chissa' da dove, probabilmente ha gia' tante di quelle falle sul PC che rendono possibile un attacco anche senza mettere su un mirror.
Comunque non si puo' essere mai sicuri al 100% che il server che stiamo contattando e' proprio quello che crediamo (man-in-the-middle).... su questo l'articolo ha pienamente ragione. I pacchetti sono gia' firmati, a questo punto firmiamo pure i mirror ed il protocollo HTTPS puo' sicuramente aiutare.
Pietro
Debian Lenny on BeagleBoard
Inviato da ntropia il Dom, 13/07/2008 - 02:11.
Re: Package manager: il tallone di Achille?
La frase io la sapevo attribuita ad un vecchio dipendente dell'FBI
Quote:
Quanto alla vulnerabilità di un pacchetto, non la vedo così semplice. Al pari di Steve Jobs, alieni di Independence Day non si sarebbero mai aspettati un attacco con un improbabile virus da un Macintosh, ma tutt'altra cosa è la recente compromissione di SSL. Direi che è un pacchetto comune e ragionevolmente diffuso su un bel po' di macchine.
Se come dicono, una volta che il pacchetto è stato segnato è facilmente ridistribuibile, e io sono quel cattivone che ha registrato il mirror dal rassicurante nome debianfriend.org, magari qualche tiro birbone mi riesce. E non dimenticate che il mio mirror verrebbe riportato tra quelli *ufficiali*, non da un sito internet qualsiasi. Gli autori dell'articolo dicono che i loro mirror hanno ricevuto accessi anche da computer militari e governativi.
Senza andare troppo nel dettaglio, mi pare un controsenso troppo profondo sforzarsi fino alla paranoia nel controllare contributi, sviluppatori, e tutte le manfrine che ci vogliono per entrare a far parte di Debian, quando poi basta così poco per far cascare tutto.
eNjoy
Chi ha intendimento conti il numero della Bestia, perché è un numero d'uomo; e il suo numero è...
rw-rw-rw-Inviato da Stemby il Lun, 14/07/2008 - 10:11.
Re: Package manager: il tallone di Achille?
Quote:
Ma, appunto, possibile che non venga controllato che tutti i repository ufficiali abbiano i medesimi pacchetti?
È così difficile realizzare un controllo di questo tipo?
Registered Linux User #443882
Registered Debian User #9
Inviato da pauldianno85 il Lun, 14/07/2008 - 11:43.
Re: Package manager: il tallone di Achille?
Agganciandomi all'argomento, vorrei porre anche il problema del perché ancora non esiste un backports italiano su debian, con un bel server dove ci sono tutti i pacchetti aggiornati e i repo ufficiali continuano a distribuire tutte le librerie di dipendenza e i software in genere, però secondo me questa è anche una pecca di debian, è un s.o eccezionale però il fatto che non ha software sempre aggiornato non è sempre un bene, ad esempio amule 2.1.3 non supporta nemmeno l'offuscamento e non c'è una versione più aggiornata almeno che tutti non se la compilano da soli, uniamo le nostre forze e mettiamo su un server di repo italiano che ne dite?
Clicca qui per visitare il mio blog
8-) :idea:
Inviato da pietro il Lun, 14/07/2008 - 12:08.
Re: Package manager: il tallone di Achille?
Software sempre aggiornato e stabilita' non vanno molto d'accordo... Non ha senso usare una versione stabile di Debian e poi riempirla di pacchetti ancora instabili.
Se vuoi sw piu' nuovo non capisco perche' usi una versione stabile: installa la testing o la unstable ed avrai il tuo amule 2.2 attualmente presenti in tali repository.
Non basta ricompilare un programma per farlo andare su una stable, occorre anche correggerne i bug altrimenti la stable non e' piu' stable.
Pietro
Debian Lenny on BeagleBoard
Inviato da gabry il Lun, 14/07/2008 - 21:29.
Re: Package manager: il tallone di Achille?
per questo ultimo discorso magari si potrebbe aprire una discussione nella sezione "OffTopic".
non conosco molto bene le policy per ottenere le autorizzazioni a inserire contenuti nei repository debian, comunque mi pare che serva un minimo di "consenso" da parte del resto della comunità degli sviluppatori...inoltre, il codice dei programmi di sistema più "importanti" (mi viene in mente ad esempio un programma molto delicato dal punto di vista della sicurezza, /bin/login) sono mantenuti da più di una persona, quindi nel caso che qualcuno inserisse codice palesemente "malevolo" farebbe danni limitati in quanto verrebbe "sputtanato" dal resto della comunità nel giro di pochi giorni ed uscirebbero aggiornamenti in breve tempo (in svn o cvs potrebbe soltanto bastare annullare l'ultimo commit, quindi senza nemmeno mettere mano al codice).
volendo essere ancora più "teorici", comunque, essendo la funzione hash definita "molti a uno", è soggetta a collisione e con opportune modifiche al codice, ad esempio un attacco di yuval (praticamente cerco un testo diverso per pochi caratteri, "simile" all'originale, che però ha la stessa hash :-o ), potrei contraffare una firma, o meglio, cambiare qualcosa mantenendo la stessa firma.
ciao ciao
"Non e' la legge che decide cosa e' giusto e cosa e' sbagliato"
R. Stallman
Inviato da pauldianno85 il Mar, 15/07/2008 - 00:15.
Re: Package manager: il tallone di Achille?
Ma certo che la stabilità non va sempre d'accordo con la novità, però in alcuni casi come ad esempio aMule che di per sè non è un programma che offre chissà quale sicurezza, anche perché se vuoi scaricare con un id alto nella maggior parte dei casi devi disattivare il firewall quindi anche se non è una versione svn, resta il fatto che non è sicura lo stesso quindi certe eccezioni si possono fare, se siamo radicali in tutte le cose e in particolar modo in cose che alla radice non danno sicurezza come un programma p2p, chi scarica con un programma del genere sa perfettamente che usa il pc anche per smanettarci non di certo per tenere i codici delle carte di credito, se lo fa è poco informato sui rischi che corre 8-)
Clicca qui per visitare il mio blog
8-) :idea: