ИТ-специалисты критикуют механизм обновлений Unix- и Linux-систем

>фигня, надо просто использовать доверенные сервера

а если на официальный репозиторий будет совершена атака и некоторые пакеты будут подменены?

>Автоматический выбор новых зеркал без ручной проверки, кто стоит за этим зеркалом? Тогда этой половине дистрибутивов нужно менять такую политику.

В любом же случае, это не проблема _механизма обновлений_.

> С одной стороны ахинея, с другой стороны представь ситуацию, если 99% десктопов на GNU/Linux.

Слышал байку про вирус в Mac OS X : в e-mail содержалось `типа фото`, при открытии фото пользователем ему задавался вопрос, реально ли он хочет запустить этот исполняемый файл. Пользователь жал `да`. Потом его спрашивали пароль администратора - он вводил.

Не знаю правда ли, но тут похожая ситуация.

> Тогда этой половине дистрибутивов нужно менять такую политику.

Именно. И эта половина дистрибутивов занимет до 80% всех машин.

>а если на официальный репозиторий будет совершена атака и некоторые пакеты будут подменены?

А если на серверы некрософта будет совершена атака и пакеты обновления безопасности будут подменены?

Все это не проблема механизма обновлений.

>>Прекрасный пример - твой пост.

> Я не понял, примером чего является мой пост?

Социальной инженерии. )) Разработчики дистра убеждают тебя использовать автоматический выбор зеркал с проверкой подписи пакетов, но не проверкой качества работы самих зеркал. В результате тебя могут изящно поиметь ))

> Это что ли камень в мой огород?

Ну типа того. ^^

> а если на официальный репозиторий будет совершена атака и некоторые пакеты будут подменены?

что бы подменить пакет в репозитории apt нужно сначала украсть ключ которым этот репозиторий подписан.

>> фигня, надо просто использовать доверенные сервера > а если на официальный репозиторий будет совершена атака и некоторые пакеты будут подменены?

А если все девелоперы в мире сговорятся?

> В любом же случае, это не проблема _механизма обновлений_.

Это именно его проблема, так как автоматический выбор зеркал - это часть механизма обновлений. ))

>>фигня, надо просто использовать доверенные сервера

> а если на официальный репозиторий будет совершена атака и некоторые пакеты будут подменены?

Ничего не произойдет, так как не была скомпрометировна цифровая подпись.

Подтвердил Шаман, сомнений нет.

>Именно. И эта половина дистрибутивов занимет до 80% всех машин.

Это хуже. Ну, тогда пусть пользователи и или админы этой самой половины дистрибутивов пинают свой дистроклепателей или переходят на другой дистрибутив.

>> В любом же случае, это не проблема _механизма обновлений_.

>Это именно его проблема, так как автоматический выбор зеркал - это часть механизма обновлений. ))

не писЯй! выпустят пару патчиков, отключающих "автоматический выбор зеркал" и усе будет опять сладко-бархатно!

>> Это что ли камень в мой огород?

>Ну типа того. ^^

Чушь. Никто меня не убеждает. Если я могу контроллировать процесс выбора зеркал, то никто _мне_ ничего не навяжет.

> тут похожая ситуация.

Мляааааа.. Какие же вы все, сцуко, Ъ! Чего только лоровцы не придумают, лишь бы не сходить по ссылке.

Итак, краткое хауту взлома, для Ъ:

1. Поднять зеркало пакета и попасть в официальный список зеркал. 2. Дождаться уязвимости в публичном сервисе (http, ssh, ssl и т.п.) 3. Воспрепятствовать обновлению уязвленного пакета, попутно вычитывая из логов все обращения за этим пакетом.

В итоге имеем неполохую базу машин с известной уязвимостью. Можно делать ботнет.

> Чушь. Никто меня не убеждает. Если я могу контроллировать процесс выбора зеркал, то никто _мне_ ничего не навяжет.

Про тебя лично речь не идет. Для создания ботнета твой персональный ноут с вайфаем не критичен ))

> Поднять зеркало пакета

Дистра, само собой...

В SUSE с этим всё нормально. http://lists.opensuse.org/opensuse-security-announce/2008-07/msg00005.html

>а если на официальный репозиторий будет совершена атака и некоторые пакеты будут подменены?

А если война начнется?

>Поднять зеркало пакета и попасть в официальный список зеркал.

Debian отпадает, там список зеркал статический на офсайте, редиректов нет, у злоумышленника нет возможности подписать неверный пакет - у него нет приватного ключа. Следовательно, лесом.

SuSE, вроде как тоже (по ссылке ниже). Кто следующий на повестке дня?

И Убунты кстати тоже, там та же ситуация.

>В итоге имеем неполохую базу машин с известной уязвимостью. Можно делать ботнет.

Правильно - но это _не софтверная проблема_.

s/кстати/, кстати, /g

Ппц, ребята не отличают "злонамеренное ПО" от софта, в котором обнаружились дыры.
Им, видимо, хочется, чтобы как только найдена дырка в том или ином пакете, система заваливала админа уведомлениями, а потом сама принудительно начинала обновляться, оставляя хозяина машины наблюдать за прогресс-баром. =))
Что-то это мне напоминает :-)

Имхо, кому надо, тот прикрутит security-репозиторий и будет регулярно с него обновляться. Кому не надо - тот будет жить с дырами и не париться.

> Debian отпадает, там список зеркал статический на офсайте

Каким боком он отпадает? Кто мешает тебе туда попасть? Иди по ссылке ))

> SuSE, вроде как тоже

тестировалось OpenSuSE, по ссылке ниже - не опен.

>>В итоге имеем неполохую базу машин с известной уязвимостью. Можно делать ботнет.

> Правильно - но это _не софтверная проблема_.

Так злые дяди, делающие эксполиты и вирусы - тоже не софтверная проблема. )))

> ребята не отличают "злонамеренное ПО" от софта, в котором обнаружились дыры

Какие из? На секьритифокусе.ру/москвоском.комсомольце или авторы исследования? ))

>тестировалось OpenSuSE, по ссылке ниже - не опен.

open. Механихм обновшения там совершенно одинаковый - отличаются только списки. Сам описанный механизм по ссылке делат атаку невозможной - зеркало которое не синхронно с основным _не учавствует в редиректе_ и дискардится. А энтепрайз версии вообще _только_ с новела обновляются.

Все правильно. А все PC уязвимы от эксплоитов формат-формат. Если злонамеренный пользователь форматирует диск все данные с него пропадут!;-)

короче блин опять какие-то роботы родили проблему которая проистекает из их собственного незнания.

Ты чего такой трудный?

Вот же написано:

"Создать подставной сервер обновлений совсем нетрудно. Мы арендовали у провайдера машину и бесплатно разместили на ней зеркала обновлений для дистрибутивов Ubuntu, Fedora, OpenSuse, CentOS и Debian. Судя по серверным журналам, подставным зеркалом воспользовались несколько тысяч пользователей, в том числе и из сетей, принадлежащих военным и правительственным органам", - говорят разработчики метода."

Все, кто обновился -- ССЗБ. На дурака не нужен нож!

>Иди по ссылке ))

По ссылке в основном бред.

Итак, я пользую зеркала ftp.cz.debian.org и debian.org.ua. И что ты со мной сделаешь?

>Кто мешает тебе туда попасть?

Ещё раз, уже четвёртый, наверное. Объясни мне, как злоумышленник, не имея приватного ключа, сможет подписать пакет.

слака+мозг решает. ну и оф. репы конечно.

Новость феерический бред и порванный боян. Ученые наконец то выяснили что можно создать репозиторий с левыми пакетами? Пусть тогда объяснят мне как меня заставить использовать этот репозиторий от Васи Пупкина? если я по жизни использую официальный дебовский репозиторий. всегда один и тот же. И проживет этот реп с левыми пакетами всего пару дней)

ИМХО эта уязвимость стандартная - из тех которые сидят на кресле за компом.

> Сам описанный механизм по ссылке делат атаку невозможной - зеркало которое не синхронно с основным _не учавствует в редиректе_ и дискардится.

Там есть защита от Slow Retrieval?

Фигня! Надо просто использовать FreeBSD и автоматизированную синхронным деревом портов сборку ПО из исходников, а не пользоваться какими-то левыми репозиториями убунт и прочих сусь. Легче всего переложить ответственность за безопасность на проверенных мантейнеров портов.

>>Иди по ссылке ))

> По ссылке в основном бред.

Иди по правильной ссылке ))

> И что ты со мной сделаешь?

С тобой лично - ничего. Ты лично нафик не нужен. Нужна база уязвимых машин.

>>Кто мешает тебе туда попасть?

> Ещё раз, уже четвёртый, наверное. Объясни мне, как злоумышленник, не имея приватного ключа, сможет подписать пакет.

Ненадо ничего подписывать. Это никому не нужно. Еще раз повторяю медленно и печально:

1. Ты имеешь пакет, представляющий общедоступный сервис, с уязвимостью.
2. Ты обращаешся за обновлением метаинформации на зеркало. (Пусть даже центральное). Ты получаешь ответ, что есть новая версия пакета.
3. Ты обращаеся за _разницей_ между имеющемся пакетом и свежевышедшим на подставное зеркало.
4. Подставное зеркало выдает тебе _настоящий новый пакет_, но по байту в секунду.
5. Пока ты качаешь обновление со скоростью байт в секунду, твой сервис УЖЕ ВЗЛАМЫВАЮТ. Когда обновление будет скачено, в лучшем случае у тебя будет прописан шелл в (x)init, в худшем - руткит.

Ошибка всех менеджеров обновлений в том, что они априори полгают зеркало доверенной зоной, при том, что передают туда полную информацию о всех своих уязвимостях. Это ошибка безопасности в самом дизайне. В статье говориться именно об этом, и о том, каким способом эту угрозу свести к минимуму.

Единственные, кто не подвержен этой угрозе сейчас, те, кто обновляется только с официальных зеркал.

Все ясно? За деталями - по ссылке.

> Надо просто использовать ... автоматизированную синхронным деревом портов сборку ПО из исходников

Это не спасет от подставного зеркала. И между подписаным архивом с исходниками и подписаным двоичным пакетом принципиальной разницы с точки зрения безопасности нет.

>Кроме того, сам rpm не даст совершить транзакцию с даунгрейдом версии, даже если с точки зрения yum эта версия более новая

Есть специальный плагин под yum.

>1. Ты имеешь пакет, представляющий общедоступный сервис, с уязвимостью. 2. Ты обращаешся за обновлением метаинформации на зеркало. (Пусть даже центральное). Ты получаешь ответ, что есть новая версия пакета. 3. Ты обращаеся за _разницей_ между имеющемся пакетом и свежевышедшим на подставное зеркало.

Лечение от уязвимостей, к примеру, в Дебиане, предоставляет один и только один сайт - security.debian.org. Всё. Никаких зеркал by design.

Если же ты установил testing или unstable и при этом используешь неофициальные зеркала - ты дважды ССЗБ.

> Автоматический выбор новых зеркал без ручной проверки, кто стоит за этим зеркалом? Тогда этой половине дистрибутивов нужно менять такую политику.

Ознакомьтесь с тем, как это сделано, прежде чем шуметь. В той же федоре yum запрашивает список зеркал С САЙТА САМОГО ПРОЕТА. А тот, в свою очередь, содержит и раздает только список "достоверных" (оффициальных) зеркал.

> Подставное зеркало выдает тебе _настоящий новый пакет_, но по байту в секунду.

Так вот "подставное зеркало" может взяться только твоими кривыми руками - списки официальных зеркал публикуются на официальных сайтах дистрибутивов, угу?

> Так вот "подставное зеркало" может взяться только твоими кривыми руками - списки официальных зеркал публикуются на официальных сайтах дистрибутивов, угу?

зачем подставное зеркало ? можно же стать официальным зеркалом ради такого дела :)

> а в новость то это зачем? Уже давно пришли к выводу, что это феерическая ахинея.

+1

> Если же ты установил testing или unstable и при этом используешь неофициальные зеркала - ты дважды ССЗБ.

Снимись с ручника: подставное зеркало входит в список официальных. А netselect - один из этапов установки.

>Ознакомьтесь с тем, как это сделано, прежде чем шуметь. В той же федоре yum запрашивает список зеркал С САЙТА САМОГО ПРОЕТА. А тот, в свою очередь, содержит и раздает только список "достоверных" (оффициальных) зеркал.

Отлично, только от это к LamerOk, а не ко мне :)

> А тот, в свою очередь, содержит и раздает только список "достоверных" (оффициальных) зеркал.

Дубль N. Подставное зеркало _ВХОДИТ В СПИСОК ОФИЦИАЛЬНЫХ ЗЕРКАЛ_. Попасть в этот список может любой желающий.

>> Подставное зеркало выдает тебе _настоящий новый пакет_, но по байту в секунду.

>Так вот "подставное зеркало" может взяться только твоими кривыми руками - списки официальных зеркал публикуются на официальных сайтах дистрибутивов, угу?

И мое подставное возглавляет этот список. Угу?

> только от это к LamerOk, а не ко мне :)

А ты не отмазывайся )))

Облажаться с этой уязвимостью может только виндузятник + новость обсудили = в топку!