ИТ-специалисты критикуют механизм обновлений Unix- и Linux-систем

>> Если же ты установил testing или unstable и при этом используешь неофициальные зеркала - ты дважды ССЗБ.

>Снимись с ручника: подставное зеркало входит в список официальных.

А как оно туда попало, можно полюбопытствовать? "Здрасьте, у меня тут есть место на сервере, давайте я буду вашим официальным зеркалом?"

Почему? Дерево портов формируется централизованно. Исходники лежат на своих сайтах. Одно с другим "пересекается" только в момент make checksum, а далее принимается решение отбросить лажовый архив или продолжить сборку. Для компрометации нужна только возможность изменить дерево портов (включить левый порт), что под силу лишь руткиту. Но как он попадёт в систему, если всё ПО устанавливается из дерева портов? Только если одмин настроил синхронизацию дерева с левым сайтом, чего у вменяемого админа быть не может.

>Попасть в этот список может любой желающий.

Пруфлинк, пожалуйста.

>> только от это к LamerOk, а не ко мне :)

>А ты не отмазывайся )))

А я, кроме как про Дебиан, ничего не утверждаю, потому что не знаю. Так что это не ко мне :)

> А как оно туда попало, можно полюбопытствовать?

>>Попасть в этот список может любой желающий.

> Пруфлинк, пожалуйста.

Пруфлинк, для тех, кто не знает общеизвестных вещей, по правильной ссылке. ))

Дублирую: http://www.cs.arizona.edu/people/justin/packagemanagersecurity/attacks-on-pac...

Я понимаю, что волшебное слово "официальный" оказывает на тебя особую социальную магию. )))

> Почему? Дерево портов формируется централизованно. Исходники лежат на своих сайтах.

И никаких зеркал не используется? Тогда конечно.

> Пруфлинк, пожалуйста.

http://www.debian.org/mirror/official
http://www.debian.org/mirror/submit

>Там есть защита от Slow Retrieval?

Это вообще никаким боком не касается проблемы - покажи как ты это осуществишь.

>Это ошибка безопасности в самом дизайне.

Эта ошибка в политике а не дизайне.

>В статье говориться именно об этом, и о том, каким способом эту угрозу свести к минимуму.

Чем инвалидацией пакетов?

>>Там есть защита от Slow Retrieval?

>Это вообще никаким боком не касается проблемы - покажи как ты это осуществишь.

http://www.linux.org.ru/jump-message.jsp?msgid=2938374&cid=2940030

Мда. Читать нынче не в моде. В моде нынче пейсать. Вот что жж и прочие web 2.0 животворящие делают... ))

>волшебное слово "официальный" оказывает на тебя особую социальную магию. )))

"уличную" забыл :)

Что же они в статье не указали адресочков своих подставных мирроров, а? Статья-то сама без пруфлинков.

>>Это ошибка безопасности в самом дизайне.

>Эта ошибка в политике а не дизайне.

Эта политика - единственная приемлемая в некоторых случаях.

>Чем инвалидацией пакетов?

Не понял вопроса.

>Пруфлинк, для тех, кто не знает общеизвестных вещей, по правильной ссылке. ))

НУ и почитай что там. Там написано "держать зеркало со старыми версиями". НУ пусть держит - это зеркало будет задискардено пакедж менеджером. А если кто-то обновляется только с этого зеркала - то он ССЗБ.

Повторяю - это политическая проблема - а не софтовая. Если ты можешь записаться в армию - значит проблема не в том что ты когото можешь пристрелить ввереным тебе оружием а в том что ты можешь записаться в армию.

> "уличную" забыл :)

Не забыл, а заменил на "социальную". Копировать слово в слово - уныло. Парафраз - наше фсио. ))

> Что же они в статье не указали адресочков своих подставных мирроров, а? Статья-то сама без пруфлинков.

Ну, ты можешь обратиться непосредственно к самим мужикам за деталями, а развешивать айпишники в научных и технических работах пока еще не в моде. ))

> НУ и почитай что там. Там написано "держать зеркало со старыми версиями"

Там написно немного не то и по английски.

> Повторяю - это политическая проблема - а не софтовая.

И я повторяю. Вирусы и эксполиты - это политическая, социальная, национальная, расовая и религиозная проблемы. Повторять мы оба умеем, один недавний тред это прекрасно проиллюстрировал. xDD

>Эта политика - единственная приемлемая в некоторых случаях.

Тогда эта проблема неразрешима - если нормально апдейтится с враждебных сайтов - чего жаловаться?

>Не понял вопроса.

По ссылке:

In the future:

Use package managers that implement metadata expiration.

Что они предлагают - пользоваться HTTPS вместо HTTP - ну и чем это поможет ? Да ничем.

У них в э той статье все сводится к тому что "а мы будем старые несекурные дырявые версии держать". Ну пусть держат. Ключевое слово обновлятся - если в центральном листинге репозитария написано что пакет версии a.b.c - то этот малишиус репозитарий может засунуть a.b.c-1 в задницу.

Вари анты атаки описаны там как "инсталяция непатченых версий" - что возхможно только в том случае если они непосредственно источник и других нет, и вторая атака - если они недадут апдейтится - что возможно тоже только в указанном случае.

Это притянутый за уши сопротивляющийся осел - если они получат систему которая будет эксклюзивным зеркалом для определенной группы пользователей - это рпоблема идиотов которые так настроили себе системы. Если основной источник метаданных - официален - их зеркало старых версий идет просто в лес.

>Там написно немного не то и по английски.

Да серьезно?

>Impact: What Can an Attacker Do With a Replay Attack?

>Vulnerable Package Installation

>... A malicious mirror can respond to the client with an outdated signed list of packages or an arbitrary list of outdated packages...

Для того чтобы это работало это зеркало должно быть тем самы которое говорит список последних версий - старых.

>Preventing Security Updates

>...All that an attacker needs to do is to continuously serve the client the same repository metadata....

То есть сферический конь в вакууме - зеркало которое по факту зеркалом не является потому что раздает старые данные.

Дваждую и аплодирую пост :)

>Ну, ты можешь обратиться непосредственно к самим мужикам за деталями, а развешивать айпишники в научных и технических работах пока еще не в моде. ))

Не вопрос. Намылил им письмецо. Посмотрим, что ответят.

>>Мляааааа.. Какие же вы все, сцуко, Ъ! Чего только лоровцы не придумают, лишь бы не сходить по ссылке.

>> Итак, краткое хауту взлома, для Ъ: 1. Поднять зеркало пакета и попасть в официальный список зеркал. 2. Дождаться уязвимости в публичном сервисе (http, ssh, ssl и т.п.) 3. Воспрепятствовать обновлению уязвленного пакета, попутно вычитывая из логов все обращения за этим пакетом. В итоге имеем неполохую базу машин с известной уязвимостью. Можно делать ботнет.

Скажем так - в итоге (если дистр - OpenSUSE/Novell/SLED/SLES) - сосёшь ты со своим миррором. Письмо в рассылку security по поводу этой ахинеи:


Date: Tue, 15 Jul 2008 17:10:52 +0200
From: Ludwig Nussel <ludwig.nussel@suse.de>
To: opensuse-security-announce@opensuse.org

[-- PGP output follows (current time: Wed 16 Jul 2008 05:04:35 PM MSD) --]
gpg: Signature made Tue 15 Jul 2008 07:10:52 PM MSD using RSA key ID 3D25D3D9
gpg: Can't check signature: No public key
[-- End of PGP output --]

[-- The following data is signed --]

Dear openSUSE and SUSE Linux Enterprise users,

Several news sites recently published articles citing a report about
attacks on package managers [1]. Some unfortunately chose a wording
that could be misunderstood as if a rogue mirror server could trick
YaST into installing malicious software when applying regular
(security-)updates.

This is not the case. All official update repositories for SUSE
Linux based products use cryptographically signed packages and meta
data. YaST verifies the cryptographic signatures and rejects any
file whose signature doesn't match. Therefore it's not possible for
a rogue mirror to introduce malicious software.

Another problem outlined in the report was that mirror servers could
intentionally serve an old version of the update repository.
Therefore clients using that mirror would not get the latest
security updates and potentially stay vulnerable to known and
presumably already fixed problems.

SUSE already addresses this issue too.
- Firstly, YaST will not automatically downgrade installed packages.
Therefore an outdated repository can not undo an already applied
security fix.
- Secondly, starting with version 10.3 openSUSE uses a central
download redirector that directly serves the meta data. Stale
mirrors are therefore detected immediately. To avoid sending
clients to mirrors that do not have certain files (yet), the
download redirector also continuously monitors it's mirrors. It
only redirects to servers that are known to have the file in
question.

For SUSE Linux enterprise products only servers owned by Novell
are used via secure https connections.

cu
Ludwig

[1] http://www.cs.arizona.edu/people/justin/packagemanagersecurity/attacks-on-pac...

--
(o_ Ludwig Nussel
//\
V_/_ http://www.suse.de/
SUSE LINUX Products GmbH, GF: Markus Rex, HRB 16746 (AG Nuernberg)

Гы. Нормальный одмин у которого в локалке стоят юниксы делает свой мирор и софт дает ставить только с него. А сам мирорит с офф сайта.

Вывод. Не надо обновляться откуда попало.

> Тогда эта проблема неразрешима - если нормально апдейтится с враждебных сайтов - чего жаловаться?

Проблема как раз разрешима техническими методами. Ограниченное время действия подписи метаданных + инвалидация пакетов, где уязвимость имеется точно.

> У них в э той статье все сводится к тому что "а мы будем старые несекурные дырявые версии держать". Ну пусть держат. Ключевое слово обновлятся - если в центральном листинге репозитария написано что пакет версии a.b.c - то этот малишиус репозитарий может засунуть a.b.c-1 в задницу.

Пакетменеджеры бывают разные. Очень разные. Там есть примеры и изменения метаданных. Как тебе понравится, если в зависимостях от GNU Utils окажется баговая версия апача, которого у тебя вообще нет?

Ключевое же слово всей работы - до настоящего времени всем было пох на безопасность работы с зеркалами. От себя добавлю, что еще долго будет пох. )) И этот тред - хорошее тому свидетельство. ))

> Скажем так - в итоге (если дистр - OpenSUSE/Novell/SLED/SLES) - сосёшь ты со своим миррором.

Скажем так, если новость не про тебя, то ты сосешь с дублированием этого письма в треде третий раз. )) Почему на новость "голубые заражаются спидом" болезненно реагирует так много натуралов? ))

> Нормальный одмин у которого в локалке стоят юниксы делает свой мирор и софт дает ставить только с него.

Нет никакой связи между "нормальным одмином" и "юниксами в локалке" с одной стороны и тысячами машин, обновляющихся с различных групп зеркал по США и Европе с другой. Это почти не пересекающиеся множества.

Почему- то меня не удивляет тот факт, что эта новость пришла с быдло- секьюритилаб.

Негрософт уже не знает какими методами ножи в спину повтыкать.

>Debian отпадает, там список зеркал статический на офсайте, редиректов нет, у злоумышленника нет возможности подписать неверный пакет - у него нет приватного ключа. Следовательно, лесом.

Официальные - да. Но вот чтобы поставить, например, cinerella, требуется добавить отдельное зеркало (там как раз cinerella, avidemux2 и что-то еще для работы с видео). Потом ты импортируешь ключ этого зеркала и дальше пройдут любые пакеты с этим ключом.

Если бы пакеты шифровались PGP и ключ для шифровки выдавался только доверенным сайтам, то жизнь была бы проще - создан пакет не для тех ключей, значит идет лесом. Добавил себе левый ключ - ССЗБ.

>Создать подставной сервер обновлений совсем нетрудно

+1

Как нетрудно в некоторой сетке подменить DNS и воткнуть на свой сервер левые обновления для microsoft.

Конечно, будет ругаться на подпись, но юзверь привык жмакать на кнопку не читая.

>Ограниченное время действия подписи метаданных + инвалидация пакетов, где уязвимость имеется точно.

Чего чего чего? А если я хочу установить систему определенных версий с определенного устаревшего миррора - мне недадуд это сделать? Если я на более старую железку попытаюсь воткнуть более старый линукс - он долже мне еще в инсталере выпендриться что подпись заэспайрилась?

Именно из-за таких советов эту статью называют феерическим бредом.

>Как тебе понравится, если в зависимостях от GNU Utils окажется баговая версия апача, которого у тебя вообще нет?

Сереьзно? И каким чудом этот пакет вдруг окажется подписанным сертификатом новела?

>Пока ты качаешь обновление со скоростью байт в секунду, твой сервис УЖЕ ВЗЛАМЫВАЮТ. Когда обновление будет скачено, в лучшем случае у тебя будет прописан шелл в (x)init, в худшем - руткит

Зачем так сложно?

>Ошибка всех менеджеров обновлений в том, что они априори полгают зеркало доверенной зоной, при том, что передают туда полную информацию о всех своих уязвимостях.

Не все, а только те, на которые есть ключи.

Закрыть данную дыру очень просто - прописать на все системные пакеты системные репозитории. Будет работать чуть медленнее на этапе инициализации. А механизм выбора с какого репа что качается есть уже года два везде.

>Снимись с ручника: подставное зеркало входит в список официальных. А netselect - один из этапов установки.

С чего бы это?

Феерический бред.

Злоумышленник может правильно подписать... Ппц, чем он может правильно подписать? У нас что, новая дырка в криптографии, что кто угодно, может что угодно от кого угодно подписать? Хоть от майнтейнера, хоть от разраба? Если майнтейнер включает неглядя пакеты от разраба и подписанные разрабом, значит это уязвимость в мозгах майнтейнера дистриба!

Сменить содержимое и подобрать контрольную сумму, если подписуется только список пакетов... Ню-ню, удачи вам сначала в поиске коллизий, а потом еще потрахайтесь, что-бы так подменить содержимое. Последние вести с китайских полей по борьбе с md5 не радуют, там баба-математик уже который год пилит, но результаты вялые. Смогли в итоге сгенерить 2 сертификата, в общем кому интересно, сам найдет.

Ну дальше что? Можно держать зеркало со старыми дырявыми версиями?... Даунгрейда версий ведь не будет. И если зеркал несколько и среди них официальное, как часто по дефолту, то выберется самое свежее.

Ну если админ совсем дебил и снес все зеркала и настроил только одно, на злоумышленника, то сам он себе дурак.

Об чем шорох, не пойму

> То есть сферический конь в вакууме - зеркало которое по факту зеркалом не является потому что раздает старые данные.

Ну вот новость то о том, что эти ребята из сферического коня в вакууме сделали кубический сервер в стойке.

> Об чем шорох, не пойму

ftp://ftp.cs.arizona.edu/reports/2008/TR08-04.pdf

>Ну вот новость то о том, что эти ребята из сферического коня в вакууме сделали кубический сервер в стойке.

Ничего они не сделали - все что они сделали это миррор с которого проапдейтилась куча народу. Они не показали пруф оф концепт атаки - например давнгрейд апача или блокировку апдейтов определенного софта в то время как на него вышли апдейты. Пускай теперь перестанут обновлять этот сервер и они увидят как туда больше никто не попадет.

>Потом ты импортируешь ключ этого зеркала и дальше пройдут любые пакеты с этим ключом.

Я ставил mencoder с multimedia. Я _не_ импортировал ключ, я поставил этот пакет без него.

>обнаружили уязвимость в технологии обновления программного обеспечения

по ссылке Ъ. где они механизм то какой-то сначала обнаружили? при том один универсальный.

captcha: sortest

> Если бы пакеты шифровались PGP и ключ для шифровки выдавался только доверенным сайтам

Ну оно так и есть почти у всех уже. К примеру: http://wiki.debian.org/SecureApt

> С чего бы это?

С чего бы что? Входит в список зеркал? Перечитай тред и избався от "особой социальной магии".

Относительно Debian:

1. Список файлов с информацией о пакетах (Release) в том числе и дата выпуска подписывается (Release.gpg). 2. В этом списке файлов с информацией о пакетах для каждого файла (Packages или Sources) есть SHA1 и MD5 суммы. 3. Для каждого пакета в файле информации есть SHA1 и MD5 суммы.

Таким образом из выше перечисленных уязвимостей Debian подвержен только Slow Retrieval.

Но как ниже перечисленное может решить эту проблему я не понимаю? >Проблема как раз разрешима техническими методами. >Ограниченное время действия подписи метаданных + инвалидация пакетов, где уязвимость имеется точно.

> Ключевое же слово всей работы - до настоящего времени всем было пох на безопасность работы с зеркалами. От себя добавлю, что еще долго будет пох. )) И этот тред - хорошее тому свидетельство. ))

А вот это не правда, вся система зеркал изначально создавалась в условиях отсутствия доверия к серверам. Отсюда и подписи. Авторы топика облажались со своими призывами лет на десять.

И твой случай - атака на ищущий обновление сервер ничем не лучше простого сканирования сети на предмет уязвимости. Но тут бессилен и один репозиторий как у МС - можно спуффинг сделать.

Тут скорей игра на упережение - обновиться до появления експлойта.

Относительно Debian:

1. Список файлов с информацией о пакетах (Release) в том числе и дата выпуска подписывается (Release.gpg).
2. В этом списке файлов с информацией о пакетах для каждого файла (Packages или Sources) есть SHA1 и MD5 суммы.
3. Для каждого пакета в файле информации есть SHA1 и MD5 суммы.

Таким образом из выше перечисленных уязвимостей Debian подвержен только Slow Retrieval.

Но как ниже перечисленное может решить эту проблему я не понимаю?
>Проблема как раз разрешима техническими методами.
>Ограниченное время действия подписи метаданных + инвалидация пакетов, где уязвимость имеется точно. 

> Закрыть данную дыру очень просто

По умолчанию она широко открыта на половине инсталляций. И никто не хочет отказываться от зеркал и ддосить центральные репозитарии.

пеар своего собственного пакедж менеджера. Причем начали они хреново - обосрали других. Я думаю их пакедж менеджер с таким началом станет очень популярным.

> А если я хочу установить систему определенных версий с определенного устаревшего миррора - мне недадуд это сделать?

Вариант "заставят дать в ручную согласие"/"выстваить опцию в конфиге" ты, разумеется, не рассматриваешь. Это не входит в прием "женский аргумент".

> И каким чудом этот пакет вдруг окажется подписанным сертификатом новела?

Потому что этот пакет был действительно подписан сертификатом новелла. Когда про дыру еще никто не знал.

> по ссылке Ъ. где они механизм то какой-то сначала обнаружили? при том один универсальный.

Сама ссылка не Ъ. Ъ ссылка: http://www.cs.arizona.edu/people/justin/packagemanagersecurity/papers.html

>Вариант "заставят дать в ручную согласие"/"выстваить опцию в конфиге" ты, разумеется, не рассматриваешь.

На импорт ключа я и так даю согласие руками всегда. Экпирейшен к чему приведет - к тому что он меня раз в месяц будет переспрашивть?

[v] - не задавать дурацких вопросов.

>Потому что этот пакет был действительно подписан сертификатом новелла.

А что мы уже научились менять пакеты так чтобы их контрольные суммы совпадали? Или как туда попала зависимость от дырявого апача?

> Ничего они не сделали - все что они сделали это миррор с которого проапдейтилась куча народу. Они не показали пруф оф концепт атаки - например давнгрейд апача или блокировку апдейтов определенного софта в то время как на него вышли апдейты.

Может им еще и взломать надо было пару серверов? А потом отправится со свежей статейкой к окружному прокурору? Читай статью. Если ты не в состоянии понять "пруф оф концепт" со слов, то не трать время.

>Packages are essentially trusted forever once they or repository metadata describing them has been signed. This means that even after a package has a vulnerability discovered in it, clients will continue to be willing to install that insecure package. An attacker can replay the correctly signed packages or metadata from a previous release and your computer will install software with flaws that the attacker can exploit.

Такая атака не получится. Не знаю уж как работает apt, но в yum/rpm подписи сравниваются после скачивания пакета. Если ты не можешь подписать пакет (а ты не можешь, т.к. у тебя нет ключа), твой пакет идет лесом, да еще и выдает предупреждение о том, что найденного ключа у тебя не наблюдается. Единственный способ его поставить (если он сохранился, а не убит) - руками.

>and our mirrors were contacted by thousands of clients, even including military and government computers!

Могу перевести слово "contacted" - да, они на него стучались. И что? Он в списке, на него и должны были стучаться.

>Attackers can respond to the distribution's queries with the expected answer while at the same time targeting the public at large or individual clients with different responses. These targeted responses can include old signed files or manipulated unsigned files.

Угу. Так я и думал. Unsigned не встанет без force. И то, что они Васю редиректнут на другой сервак им не поможет без ключа.

>When a user installs a package, their package manager retrieves from a repository mirror the list of available packages. A malicious mirror can respond to the client with an outdated signed list of packages or an arbitrary list of outdated packages, depending on characteristics of the package manager

Действительно может. Но запрос идет по всем зеркалам и клиент забьет на это зеркало болт. А подписи у них, опять же, нет.

>All that an attacker needs to do is to continuously serve the client the same repository metadata. Over time, even though vulnerabilities become known in various packages and new versions become available, the client will never see them when updating.

Только вот apt и yum качают с разных зеркал список. Причем, не найдя апдейт в одном, лезут в другой по зависимостям. Дистрибутивы в legacy, несомненно, захотят новый софт, но список не будет подписан верным ключом и атакующий опять обломается.

>For example, it is known that an earlier version of OpenSSL for Debian has a security flaw. The list of files from the repository that previously included this package is still correctly signed.

Допустим, в ухе у меня серьга. Да, у меня нет корабля. Но допустим, что я пират.

>Manually update your systems (and local mirror caches)

Остер должен включить это во вредные советы.

>Use signed repository metadata. If your package manager or distribution does not yet support signed metadata but only signed packages, at least require signed packages until signed metadata is supported.

Это был голос из далекого прошлого.

http://en.opensuse.org/Libzypp/Metadata_Signature