Вопрос
мигрируя с windows, я заказал у человека debian 4 (нет возможности качать большие файлы), поставил.
Меня интересует такой вопрос: возможно ли "встроить" в дистриб. троян ?
безопасно ли выходить в сеть с такой системой ?
Ссылки
[link1] http://www.debian.org/doc/manuals/securing-debian-howto/ch7#s-deb-pack-sign
[link2] http://wiki.debian.org/SecureApt
[link3] http://fly.isti.cnr.it/software/#checkiso
[link4] http://cdimage.debian.org/debian-cd/4.0_r0/i386/iso-cd/
[link5] http://www.linux.org.ru/profile/_white2/view-message.jsp?msgid=1489939
[link6] https://www.pgpru.com/novosti/2007/0502razjjasnenienochnogoincidenta
[link7] http://www.gentoo.org/security/en/glsa/glsa-200312-01.xml
[link8] http://www.derkeiler.com/Mailing-Lists/Securiteam/2002-08/0003.html
[link9] http://infosecuritymag.techtarget.com/2002/aug/digest12.shtml#brief1
[link10] http://cdimage.debian.org/debian-cd/4.0_r0/i386/iso-dvd/
[link11] http://www.debian.org/releases/stable/i386/ch05s03.html.ru
[link12] https://www.pgpru.com/novosti/2008/predskazuemyjjgschinebezopasnyekljuchivdebianubuntu
Разумеется, при желании можно встроить троян в любую программу, в том числе и дистрибутив Linux'а, и потому советуют проверять чексуммы ;-) Однако, это не спасёт от того случая, когда сами же разработчики встроят троян в свою систему.
Что значит "безопасно" в вашем понимании? "Жить в принципе не безопасно: от этого умирают" © не помню кто. Антивирус можно не держать, а только следить за обновлениями ;-)
Предупреждение:
Создавать "неинформативные" названия топиков запрещено: старайтесь давать сколь-нибудь внятные названия, раскрывающие суть вашего поста на форуме (например, "Вопрос о безопасности Debian"). На сей раз, думаю, верховные поправят, но на будущее учтите – могут удалить без предупреждения.
подпись пакетов в Debian[link1]
и ещё про secure apt[link2].
Кроме того можно посчитать сумму и сверить подпись самого iso образа.
с помощью checkiso[link3]
См.: http://www.debian.org/CD/faq/#verify
А насколько трудно встроить троян в iso-образ, используя несовершенство алгоритма MD5? Или это всё пока только теория?
Скорей всего даже для md5 теория, не говоря уже про sha-1.
А там по крайней мере две суммы – MD5 и SHA-1 и две подписи[link4]
Не могу не упомянуть о новости[link5]. Среди всего прочего, кажется, это уже не первая новость о взломах серверов дебиан. Среди всего прочего особо стоит отметить следующие идиотизмы, которые имели место в последнем случае:
- На взломанном сервере (gluck) работали одновременно: "Primary web server, CVS server, People server" ©.
- Была разрешена аутентификация на SSH по паролю (подчёркиваю, это был тестовый сервер для разработчиков дебиана, а не для деток, которые впервые nix увидели). Вы много видели людей на свете которые дружат с головой и ходят по SSH удалённо по паролю? Я – нет. Для слабопомнящих: есть такое понятие как "аутентификация по ключам".
- Даже открыв апрольную аутентификацию, они не проверяли пароли на слабость: "An investigation of developer passwords revealed a number of weak passwords whose accounts have been locked in response."
- На столь важный сервер поставили столь свежее ядро что не каждый его на обычный десктоп поставит. Последнее дало возможность кому-то всалдить руткит, подобрав пароль для локального пользователя.
- Всаживание руткита было возможным в силу того, что core-dump'ы были разрешены. Все в курсе, что на production-серверах, а уж тем более "people server" core dump'ы должны были быть запрещены?
- Функциональность ядра 2.6 действительно была нужна для функционирования всего того что там функционировало?
- Есть ещё такая вещь как включение неисполнимости стека. Тоже, как оказалось, не про их честь.
- Взломщик в данном случае не ограничился взломом gluck. Имея права доступа на него, были установлены руткиты на ещё 3 сервера (если мне не изменяет память), что не стало бы возможным при адекватной модели безопасности, где взлом одного из серверов не упрощает взлом последующих.
Вывод: если Debian-team ставит админами своих основных серверов таких людей, то остаётся лишь сказать "видел я такой дистрибутив в гробу и в белых тапках". Столь обширный набор одновременных фактов на случайность не тянет, а если они так относятся к своей безопасности, то откуда основания думать что к безопасности пользователей они относятся лучше?Ссылка глючит что-то. Чтобы получит адекватную, в гугле можно ввести: "взлом серверов debian" linux.org.ru
Это не проблема, если удалённый хост аутентифицируется по ключу (сертификату).
А вот и второй случай взлома Debian ранее (одного случая мало было, видать): http://www.debian.org/News/2003/20031202
Что такое аутентификация "хоста"? Удалённый маунт NFS? Речь идёт об аутентификации обычных пользователей по обычному SSH.
Далеко там не дураки сидят. И я ещё не знаю ни одного аналога, где не только не скрывались, а полностью раскрывались подробности взлома:
http://www.debian.org/News/2003/20031202
http://www.debian.org/News/2006/20060713
А я о чём говорю? SSH допускает (хотя и не предписывает) взаимную аутентификацию клиента и сервера. Сервер аутентифицируется первым, клиент — вторым (как с SSL). Если установлена аутентификация сервера, то клиент может авторизоваться и по паролю (в надежде, что он достаточно стойкий; эту проблему и решает использование клиентских ключей).
Я их осуждаю не за взлом, и да, это похвально что они раскрыли подробности взлома. Вопрос в другом: кем надо быть чтобы чтобы сделать всё возможное к тому, чтобы сервер был взломан? Раздавать SSH кому попало на сервере, где крутится cvs и www – это оригинально. Кстати, насколько я слышал от админов, www среднетипичной организации вообще всегда ставится на отдельный сервер.
Ну, вот, например.[link6] :-)
А SATtva Gentoo использует. Генте тоже досталось[link7] ;-)
Кстати в Gentoo там порывались тоже рассказать "The method used to gain access to the box remotely is still under investigation. We will release more details once we have ascertained the cause of the remote exploit." © http://www.gentoo.org/security.....a/glsa-200312-01.xml[link7] но не видно где они рассказали.
http://www.mavetju.org/unix/openssh-trojan.php
http://www.derkeiler.com/Maili.....am/2002-08/0003.html[link8]
http://seclists.org/incidents/2002/Aug/0009.html
А где можно официальный отчёт о взломе почитать?
Пошла жара! Конкурс: кто найдёт больше сообщений о взломах серверов чужого дистрибутива. :-))
Типа вот оно:
http://article.gmane.org/gmane.os.openbsd.announce/32
Да, вытащим на свет все скелеты из шкафов! У Debian'а хоть пакеты не пострадали в двух взломах и кажется малоиспользуемые пакеты в третьем. А тут такой важный пакет затроянили.
http://infosecuritymag.techtar.....igest12.shtml#brief1[link9]
De Raadt отказался давать отчёт о подробностях взлома. И заметили его со стороны, а не изнутри, когда троян уже стал расползаться по зеркалам.
Я же сказал – мигрирую, чайник – я.
Звиняйте что вмешиваюсь, но как проверить MD5 суммы если у меня на руках ( как я уже сказал ) не ISO образ а прожённые DVD?
На дисках есть неподписаный md5sum.txt, и собственно нет особых оснований ему доверять.
Возможно-ли самостоятельно закатать DVD в ISO и сравнить контрольную сумму?
Где-же взять этот md5sum.txt на пакеты ( меня ссылка конктетная интересует)?
Это надо сравнивать с тем, что на странице http://cdimage.debian.org/debi.....4.0_r0/i386/iso-dvd/[link10]
gpg --verify MD5SUMS.sign MD5SUMS
См.: http://www.debian.org/releases.....i386/ch05s03.html.ru[link11]
Но нужна чистая система и доверенные ключи.
Гну тоже сломали:
http://www.securitylab.ru/news/213393.php
Кстати, кто не знает: openbsd.org хостица на соляре, и потому не совсем ясно: ломали ли вообще что-то OpenBSDшное когда-либо или нет. Я когда-то давно, не помню от кого, слышал байку о том, что в доисторические времена "... NetBSD-team ломало Раддата, причём используя ту узявимость, котороая была как в NetBSD, так и в OpenBSD; после же успешного взлома OpenBSD у самих NetBSDшников эта уязвимость ещё некоторое время оставалась открытой... "
Ужас, дайте ему кто-нибудь алгоритм как проверить чексуммы под виндой (и какими программами), а то слова "из под чистой доверяемой системы" слишком страшно звучат.
ЗЫ: личное имхо, что вероятность получить троянский дистр слишком мала: linux – это не тот софт который сейчас интересно троянить, хакеры массово ориентированы покамест на винду. Более того, я ни разу в жизни не слышал о массовых инфекциях каких-либо репозитариев _открытого_ софта, если не считать инцидент про openbsd в этой ветке.
Здесь про взлом Debian-2003 хорошо написано, со вкусом (как происходил взлом в реальном времени):
http://www.debian.org/News/2003/20031202
– читал как захватывающий детектив ;-)
Кто-нибудь даст ссылку на взлом сервеов NetBSD и FreeBSD? ;-) А то я что-то не вижу. Неужели NetBSD в стороне от всего этого?
Целенаправленно могут. Мало ли чем господин berkyt4 в жизни занят.
Есть два принципиальных момента: проверить суммы всех пакетов на диске легко, но недостаточно. Есть ещё загрузчик диска (isolinux) и собственно инсталлятор.
Второе: Надо считать сумму всей исошки, но не все приводы корректно дают считать сумму записанного диска. У некоторых одна несовпадает, причём непонятно почему (скажем в одном случае из 10). Хотя если на тот же диск (cd-dvd-rw) записать другой образ и считать в этом-же приводе, то всё совпадёт. Под Win думаю ситуация ещё хуже. Некоторые программы отказываются писать "нестандартные" исошки или вписывают в них свои заголовки.
Читал историю о том, как узнав о редких музыкальных предпочтениях "клиента" был создан специальный сайт, торгующей музыкой именно этого направления, на котором этот человек и сподобился заказать диск...
Вот именно поэтому мы всегда качаем музыку бесплатно и с бесплатных сайтов ;-)
Естественно, но не имеет смысла. Ведь он там уже есть[link12].
Не думаю. Я бы не стал.