Cosa succederebbe se uno dei popolari repository di Linux venisse violato?

12

Anche se la maggior parte delle persone considera sicuro il download del proprio software Linux dai repository della propria distribuzione, pensa allo scenario in cui un repository viene hackerato dai brividi.

Cosa succederebbe se un repository che ospita applicazioni ampiamente utilizzate venisse violato e quelle applicazioni vengano sostituite (o aggiunte) con virus / trojan / malware? Quanto velocemente si sarebbe notato e fatto qualcosa come un "hack del repository" accaduto in passato e molte macchine sono state colpite?

    
posta loudandclear 07.05.2012 - 02:53
fonte

4 risposte

5

Bene, dal momento che questo è quasi accaduto, una delle prime cose sarebbe un articolo su LWN !

Come puoi vedere dal precedente post su kernel.org, a volte i server utilizzati per distribuire pacchetti e codice sono compromessi, proprio come qualsiasi altro. Esattamente quanto il danno può essere fatto dipende realmente dal livello del compromesso, ma se è stata catturata una passphrase della chiave di firma, l'utente malintenzionato può firmare qualsiasi pacchetto che gli è piaciuto, passandolo come pacchetto distribuito dalla distribuzione.

Il risultato sarebbe che i sistemi client avrebbero accettato l'aggiornamento e l'utente non sarebbe stato più saggio, almeno fino a quando la distribuzione non avesse realizzato e spedito chiavi aggiornate e indagato su cosa era stato alterato.

Sfortunatamente non c'è molto che tu, l'utente finale, possa fare per proteggerti da questo: l'unico modo per saperlo è analizzare il tuo sistema per comportamenti dannosi e (si spera) trovarlo.

Prima di considerare questo un problema solo per Linux, ricorda che molte aziende eliminano gli aggiornamenti dai server o fanno affidamento sul codice di firma centrale. La stessa serie di rischi si applica (e sono anche peggio se non viene effettuata alcuna firma). Compromessi alle CA root è successo , e le conseguenze sono piuttosto simili - si finisce con una connessione che appare valido, che non puoi davvero fidarti.

Tutto ciò si riduce a un modello di fiducia centrale con un singolo punto di errore, in contrapposizione alla rete di fiducia modello che tenta di decentrare il problema. I modelli Web di fiducia, tuttavia, hanno i loro problemi.

    
risposta data 07.05.2012 - 23:05
fonte
6

Si noti che era , in pratica, hackerato. C'è un'analisi interessante di come questo non ha influenzato alcun fornitore downstream. Fondamentalmente, il motivo principale per cui questo attacco non ha prodotto risultati significativi è dovuto al sistema di controllo del codice sorgente Git che viene utilizzato.

link

(Non riesco a trovare i messaggi originali di kernel.org, sebbene il loro comunicato stampa originale sia sepolto in questo articolo: link )

    
risposta data 07.05.2012 - 03:51
fonte
2

Quindi ovviamente sarebbe male.

Ci sono fattori attenuanti; specchi, firme, checksum, ecc. Nascondere questo genere di cose per più di un'ora o due sarebbe difficile nella maggior parte delle circostanze, quindi questo tipo di cose tende a essere scoperto e rimediato prima che possa causare danni.

Ciò che è molto più problematico è se un repository di codice sorgente ufficiale per un pacchetto viene violato e le fonti modificate. Questo è successo a pochi progetti, ed è un importante punto di vendita per lo sviluppo decentralizzato come si vede con il kernel di Linux. In questo modo non esiste un repository centrale da hackerare.

    
risposta data 09.05.2012 - 02:23
fonte
1

Suppongo che tu stia parlando di "mirror" del software di distribuzione?

La maggior parte delle distribuzioni moderne utilizza le firme digitali per impedire la manomissione dei pacchetti sui loro mirror.

Quando uno sviluppatore di distribuzione crea un pacchetto, lo firma con la sua chiave che è considerata affidabile dalla distribuzione. Il pacchetto può quindi essere distribuito ai mirror e fino a:

  1. le firme dei pacchetti sono controllate
  2. la catena di firma non è compromessa

Puoi essere abbastanza sicuro che il pacchetto che hai scaricato sia quello che lo sviluppatore ha aggiunto alla distribuzione.

    
risposta data 09.05.2012 - 01:54
fonte

Leggi altre domande sui tag