Il software Linux / Debian e l'ecosistema di gestione dei pacchetti sono sicuri?

3

La mia domanda di base è questa:

Quando utilizziamo il sistema di pacchetti apt-get o yum Linux / Debian, ci stiamo dando molta fiducia che i pacchetti che stiamo scaricando e installando siano sicuri. Del resto, anche scaricando immagini Linux da Ubuntu o Debian o Red Hat o qualsiasi altra cosa, stiamo assumendo che questi server siano sicuri e che le fonti siano affidabili.

Dato che c'è un'ampia varietà di distro, gestori di pacchetti, mirror e siti che ci servono questo contenuto, sembra che valga la pena mettere in discussione la sicurezza di questo intero ecosistema.

Quanto è sicuro questo ecosistema software open-source dagli hacker del dipartimento di sicurezza nazionale?

Come sappiamo, il nostro "guv'mint" è già stato responsabile della compromissione dei server e degli standard di sicurezza di altri progetti open source come lo standard di crittografia SSL e implicato nell'hacking di sistemi aziendali privati su cui facciamo affidamento ( Google / Gmail), che mi dà motivo di considerare quanti possibili vettori di attacco potrebbero esserci in un ecosistema complesso quanto la comunità open-source / unix / linux.

Per dare un esempio concreto:

Se utilizzo il gestore pacchetti apt-get di Ubuntu negli Stati Uniti (o in un altro paese), sto scaricando i pacchetti da server ospitati in quella nazione e presumendo che il software che sto installando sia sicuro. Che cosa c'è per garantire che i server non siano stati compromessi o che il codice dannoso sia stato incorporato in pacchetti software affidabili? Sembra un obiettivo probabile per le nazioni con dipartimenti di sicurezza delle informazioni che hanno forti ambizioni verso il controllo del cyberspazio.

    
posta emf 07.04.2016 - 11:17
fonte

3 risposte

5

Non lo è. Il modello di minaccia tenta di resistere all'attacco esterno, ma se tutto ciò che serve è una linea maligna in uno script di build su un pacchetto usato su molti sistemi (ad es. Libc, x11, ecc.) Allora tutto quello che devono fare è compromettere una build macchina per ottenere un controllo quasi universale.

Cercare di proteggersi da questo è difficile, e l'unico modo per farlo è costruire su molte macchine e diffare gli output (il che non è sempre fattibile a causa dell'entropia coinvolta nelle minuscole modifiche della versione del pacchetto nei sistemi di compilazione) . Questo non è un costo o un tempo effettivo per l'open source, quindi non è fatto.

Realisticamente, se il tuo avversario è uno stato nazionale e in realtà ti dà una cagata per ottenere il tuo materiale, probabilmente non vincerai quel combattimento a meno che tu non sia anche uno stato nazionale con un budget di sicurezza capace e un grande aiutando la fortuna.

Come ha detto James Mickens nel suo brillante articolo " Questo nostro mondo ":

If your adversary is not-Mossad, then you’ll probably be fine if you pick a good password and don’t respond to emails from [email protected]. If your adversary is the Mossad, YOU’RE GONNA DIE AND THERE’S NOTHING THAT YOU CAN DO ABOUT IT.

The Mossad is not intimidated by the fact that you employ https://. If the Mossad wants your data, they’re going to use a drone to replace your cellphone with a piece of uranium that’s shaped like a cellphone, and when you die of tumors filled with tumors, they’re going to hold a press conference and say “It wasn't us” as they wear t-shirts that say “IT WAS DEFINITELY US,” and then they’re going to buy all of your stuff at your estate sale so that they can directly look at the photos of your vacation instead of reading your insipid emails about them.

TL; DR - Includere gli stati nazione nel tuo modello di minaccia equivale essenzialmente a includere procedure guidate nel tuo modello di minaccia: nessuno capisce veramente di cosa sono capaci e nessuno ha davvero alcuna ragionevole capacità di difendersi contro di loro.

    
risposta data 07.04.2016 - 11:30
fonte
1

I pacchetti Debian e Ubuntu sono firmati con le chiavi GPG, rendendo piuttosto difficile la sostituzione di un pacchetto software nel repository con un altro .

Per il supporto di installazione stesso (ISO) sono disponibili alcuni hash e firme GPG, ma questi non vengono controllati automaticamente. Ciò rende possibile scambiare l'ISO di installazione con un altro, poiché è successo con Linux Mint .

    
risposta data 07.04.2016 - 11:44
fonte
0

Se non lo hai già fatto, leggi la risposta fantastica di Polynomial prima di leggere questo. IMO è totalmente a buon mercato!

In particolare non ho potuto fare a meno di ridere (perché preferirei non piangere ATM) a questo:

Including nation states in your threat model is essentially equivalent to including wizards in your threat model[!]

Detto questo, Debian sta compiendo sforzi significativi per ridurre i vettori di attacco.

Probabilmente il più importante di questi è il progetto Riproduzioni riproducibili . Non ha ancora una copertura completa, ma si stanno facendo progressi significativi. Anche se non è infallibile, sicuramente solleva il tiro.

Ci sono anche altri sforzi, ad es. Confezione dichiarativa , che dovrebbe anche migliorare la sicurezza delle installazioni dei pacchetti (specialmente i pacchetti installati da repository di terze parti).

    
risposta data 20.09.2018 - 02:18
fonte

Leggi altre domande sui tag