ИТ-специалисты критикуют механизм обновлений Unix- и Linux-систем

> ТАм описан совершенно фантастический сценарий коорый полностью зависит от настроек сделаных админом который сам себе враг.

>Вовсе нет. Половина, если не две трети инсталляций на машины выберут ближайшее зеркало на автомате официальной тулзой из дистрибутива. Остается только встать в список официальных зеркал и получить свою долю обращений.

Aga, аж два раза :)) обычно идет ротация списка, каждый раз новое зеркало. И все твои засады идут в /dev/null

Еще раз для тех кто в танке:

Политика зеркалирования изначально строилась на предположении что ЛЮБОЙ хост может быть скомпрометирован, таже центральный, а уж твои фейки сразу вылетят.

Ну а твой ник.... как раз на тролля тянет :D

> Т.е. у меня в худшем случае запросится этот же пакет. Это значит, что я уже знаю, что его нужно обновлять. Это значит, что не найдя пакет, я поползу на другое зеркало.

И ты гарантируешь такое поведение для всех пакетных менеджеров, рассмотренных в статье? Или ты распинаешься о каком-то своем отдельно взятом микрософт апдейте?

> обычно идет ротация списка, каждый раз новое зеркало.

Ну покажи мне "ротацию списка" в дебиане. Хотя учитывая аргумент к нику... )))

>Ну покажи мне "ротацию списка" в дебиане. Хотя учитывая аргумент к нику... )))

ты действительно считаешь что с _http://ftp.debian.org/debian реально провернуть эту махинацию??

deb http://ftp.debian.org/debian lenny main contrib non-free токо оттуда. ну и секурити-апдейты еще

Сходил по ссылке.

Сложно было в тексте новости указать, что за "обноруженый метод" имеется в виду?

Чего они там курят, в Аризоне?

Предлагаю новую метку "Университет" (с большой буквы).

Хотя... Если устроить man-in-middle и подсунуть старый пакет... Да нет, все равно очень сомнительно.

За примерами далеко ходить не надо:

http://linuxhelp.blogspot.com/2007/05/using-netselect-apt-tip-to-select.html

Это логика нормально пользователя системы.

Попасть в список дебиановских зеркало - вопрос техники в прямом смысле слова. ))

>Это логика нормально пользователя системы.

тогда большинство знакомых ненормальные пользователи системы. в source.list 2 зеркала (второе http://security.debian.org/). этого более чем достаточно.

или имелся в виду "чисто конкретный пользователь" (жарг.)?

Гм. Пришёл ответ от них на мой запрос по поводу Дебиановского зеркала:
-------------
The mirror was called mirror1.lockdownhosting.com and was active from
roughly the 22nd of January to the 1st of February. These might not
be the exact stop and start date of our mirror being listed as an
official mirror, but it was between these dates. I'm not sure if you
can get information from Debian about mirrors that were active in the
past.

By the way, I wanted to stress that we didn't run any attacks from our
official mirrors. We did the actual attack testing on a private
mirror we set up and used only with a test client of ours. We used
the activity traces from our official mirror to get provide
information about what an attacker could do with a malicious mirror.
-------------
Что думаете? Меня дата смущает, что они полгода делали, прежде чем статью выпустить?

> или имелся в виду "чисто конкретный пользователь" (жарг.)?

Имелся в виду "среднестатистический пользователь" (мат., соц.).

> что они полгода делали, прежде чем статью выпустить?

Поднимали и держали зеркала для других дистрибутивов.

>Поднимали и держали зеркала для других дистрибутивов.

А параллельно это сделать типа было нельзя? :) Кроме того, полгода это 24 недели, а тут, допустим, полторы недели на дистрибутив x 6 дистрибутивов - получаем не больше двух месяцев.

Сервер один. Арендованный у сторонней компании, с университетом никак не связанный. Штат сотрудников тоже один (и тот же). Смысл поднимать 20 зеркал, если тестировать баги все равно будут по очереди? Да и торопиться людям некуда, время до публикации еще есть.

>Сервер один. Арендованный у сторонней компании, с университетом никак не связанный. Штат сотрудников тоже один (и тот же). Смысл поднимать 20 зеркал, если тестировать баги все равно будут по очереди? Да и торопиться людям некуда, время до публикации еще есть.

Есть рациональное зерно в твоих речах. Признавайся, это ты статью готовил? ;)

В общем, я запросил у них ещё технические детали, посмотрим...

> Признавайся, это ты статью готовил?

Решительно отрицаю какую-либо связь с какими-либо исселедователями из Аризоны )))

Если вышлют данные - вывесь в треде, плиз.

> The signature prevents an attacker who can not sign the root metadata from substituting arbitrary metadata. An attacker may, for example, capture the root metadata from a date when a vulnerable package was released. At some time in the future, well after the package has been patched, the attacker may replay his captured metadata, causing clients who request the package to install the vulnerable version.

То невозможно есть подделать метаданные так, чтобы пакетный менеджер поверил, что старый пакет - на самом деле новый, Тогда как их атака отличается от ситуации с зеркалом, которое долго не обновлялось? Оно может только подсунуть старые пакеты - но, если пакетный менеджер зайдет хоть на одно зеркало с новым пакетом, он оттуда его и скачает.

тупицы, про gpg они видимо не прочитали

ВНЕМАНЕЕ!! Голактеко опасносте!

>Насколько я понял из статьи, суть уязвимости в том что можно в репозиторий положить например версию пакета 0.1 с кучей уязвимостей (пакет взять из старого официального репозитария, т.е. он будет правильно подписан). Но файлы метаданных заменить на файлы из свежего пакета (например 2.12). В результате менеджер пакетов будет думать, что это новая версия и она правильно подписана.

пакеты подписываются как минимум в двух местах

dsc - это пакеты с исходниками (там если подложить другую версию то тот кому она понадобится это сразу заметит)

и Release - общая подпись на все

то есть apt-get берет контрольную сумму из packages

то есть установщик берет пакет, сравнивает его сумму с тем что прописано в Release (а он подписан) и если не сходится - не устанавливает если отсутствует тоже не устанавливает

> dsc - это пакеты с исходниками (там если подложить другую версию то тот кому она понадобится это сразу заметит)

> и Release - общая подпись на все

То есть возможность подписать сам пакет не предусмотрена?

>фигня, надо просто использовать доверенные сервера

Много HTTPS-ных знаешь?

Будучи Ъ по ссылкам не ходил, но по результатам дискуссии ясно, что:

1. При обновлении, репозитарий должен выбираться автоматически.

Это сделает невозможным сбор статистики о том, на каких ip какие версии пакетов были в последний раз установлены (текущие версии сервисов например).

2. Синхронизация мета-данных и синхронизация пакетов не должны осуществляться с одного и того же сервера обновлений.

Т.е. грубо говоря _клиенты_ никогда не должны брать md5sums и тарболы с одного и того же сервера.

3. Устаревшие пакеты должны сразу же удаляться из репозитария.

Это предотвратит загрузку протухших обновлений по подделанным злоумышленником мета-данным с других серверов обновлений.

4. Никогда нельзя соединяться с сервером обновлений напрямую.

Обновления нужно качать через прокси или нат. Это позволит не светить реальный ip обновляемой системы вообще и защитит от сканирования или встречного соединения.

5. PROFIT! ;-)

> Исследователи из Университета штата Аризона

Кто о нем слышал раньше?

Ещё было бы неплохо, если бы пакетные менеджеры писали в лог зеркало, с которого был скачан тот или иной пакет.

>> Debian отпадает, там список зеркал статический на офсайте

> Каким боком он отпадает? Кто мешает тебе туда попасть? Иди по ссылке ))

Попасть в security.debian.org? Выдыхай!

>Кто о нем слышал раньше?

Это смтуденты term paper делали:)

>Кто это "мы"? Какой еще комплекс серверов? Ты о чем?

Ты, я, r_...

>Она базируется на изложенных ими аргументах. Сюрприз?

Ну да.

"Все люди врут" (с)

Нельзя базироваться на аргументах, если ты не можешь их доказать сам.

Философию в институте пропускал, что ли?

>Не актуальная. Наша аудитория - автоапдейты.

Очень актуальная. Ты же говоришь, что ты крут. Ну вот прикинь - к твоему сайту идут обращения, забивающие твой канал (а тебе он нужен широкий - ботнет и все такое). Из этих запросов тебе сначала нужно вычленить тех, кто апдейтит только уязвимые пакеты, а потом, проверив ИХ ВСЕ, НАЙТИ машины, которые после твоего сервера не смогли проапдейтиться с нормальных серверов.

Как мы уже говорили выше, свои пакеты ты подсунуть не сможешь, будучи "официальным репозиторием". Думаю, ты с этим согласен.

>Забыл добавить: "у тех, кто так сделал." Маленькая такая деталь.

Да, есть отдельные люди, которые могут выбрать ручное разбиение и один раздел. Обычно это машины не являющиеся серверами, с двойной загрузкой, ограниченным дисковым пространством и не находящиеся в сети постоянно. Т.е. это десктопы, где второй системой линуха или ноуты. На 99% машинки за NAT. Ломать не получится или бесполезно.

>Ну подумай сам, скольким клиентам можно выдавать инфу из /dev/null?

Я не гадаю. Если я что-то считаю, должна быть хоть одна зацепка по численности. Если ее нет, я не привожу данный аргумент до появления зацепки.

Это бизнес.

>Слово "этика" совсем не знакомо?

Сосет хер слово этика. Половина серверов fedora имеет задержку от суток до трех в обновлениях, тем не менее все обновляются нормально. Сюрприз?

>И ты гарантируешь такое поведение для всех пакетных менеджеров, рассмотренных в статье? Или ты распинаешься о каком-то своем отдельно взятом микрософт апдейте?

Слушай, пойди faq пообновляй, а то у меня времени сейчас нет. Больше пользы будет.

Я гарантирую такое поведение для yum и apt-get.

>Это логика нормально пользователя системы.

Давай определимся. Сначала ты говорил, что все системы подвержены. Потом, что только часть. Далее ты мазал одной краской всех пользователей, теперь только "пользователей системы" - юзеры десктопов?

>Enter netselect-apt, a package which helps one to find and use the fastest Debian mirror for his region.

Такой же плагин есть у yum.

Тебе какое слово тут непонятно?

>Поднимали и держали зеркала для других дистрибутивов.

Можно сделать за неделю. Т.е. вымученно что-то пытались сделать, но ни один пакет подменить не удалось. \

>Сервер один. Арендованный у сторонней компании, с университетом никак не связанный. Штат сотрудников тоже один (и тот же). Смысл поднимать 20 зеркал, если тестировать баги все равно будут по очереди? Да и торопиться людям некуда, время до публикации еще есть.

Хватило бы пяти максимум на месяц. Рассказать, как сделать виртуальные серверы для apache?

>То есть возможность подписать сам пакет не предусмотрена?

Он подписан, как и остальные.

>3. Устаревшие пакеты должны сразу же удаляться из репозитария.

Плохо читал. И так не загрузится.

> Плохо читал. И так не загрузится.

Я говорю о работе пм в целом, а не о пм Debian/SuSE.

Амемриканские исследователи также бнаружили КРИТИЧЕСКУЮ уязвимость в технологии написания программного обеспечения: автор любой программы может оказаться злоумышленником, либо его компьютер может быть взломан злоумышленниками, которые, пользуясь доступом, могут установить в программу вредоносные закладки и корректно подписать пакет. Все пользователи программного обеспечения в опасности. Решения на данный момент не существует.

Как стало известно учёным из университета из штата Аризона, жизнь на планете Земля в опасности. В ходе экспериментов обнаружилось, что всё живые организмы и растения имеет тенденцию рано или поздно погибать. Исследователи пришли к выводу, что рано или поздно случится Апокалипксис.

Ссылки на предыдущие исследования группы учёных университета Аризоны:

Сенсация: Волга впадает в Каспийское море.
Гипотеза о том, что в сутках 24 часа, нашла подтверждение.
Солнце может потухнуть.

О да. Покажите мне протокол, защищённый от атаки Monkey-In-The-Middle.

У security.debian.org нет зеркал.
Оно прописывается при установке, пакеты есть
для стейбла и тестинга.
Даже если добавить какой-то левый
миррор со старыми пакетами, качаться
будет всё-равно с security, ибо они там новее :)

>Покажите мне протокол, защищённый от атаки Monkey-In-The-Middle.

OpenVPN с определенными настройками. ;) Но это не протокол.

>Я говорю о работе пм в целом, а не о пм Debian/SuSE.

В целом их не так уж и много.

В целом мейнстримовые дистрибы поддерживают либо rpm, либо dprg.

Т.е. из списка как минимум покрываются: apt, urpmi, yast и yum. Apt-rpm практически сдох (но по идее тоже должен поддерживать подписи). Насчет остального не в курсе.

> Тогда как их атака отличается от ситуации с зеркалом, которое долго не обновлялось?

Никак. Суть атаки - в преднамеренном оставлении уязвимой версии на машине. Что в сочетании с инфой о машине дает нехилый эффект.

> То есть возможность подписать сам пакет не предусмотрена?

Предусмотрена. Все пакеты идут с подписью, без подписи пакет поставиться только из локального репозитария.

>> Исследователи из Университета штата Аризона

>Кто о нем слышал раньше?

Я. А что? У тебя есть сомнения в его существовании? ))

> Покажите мне протокол, защищённый от атаки Monkey-In-The-Middle.

Secure sockets layer, нет?

>>> Debian отпадает, там список зеркал статический на офсайте

>> Каким боком он отпадает? Кто мешает тебе туда попасть? Иди по ссылке ))

>Попасть в security.debian.org? Выдыхай!

Включи остатки мозга и прочитай еще раз исходную инфу.

>>Не актуальная. Наша аудитория - автоапдейты.

> Очень актуальная.

Лично мне никакой мысли в дальнейшем потоке сознания найти не удалось. И ты так и не объяснил, при чем тут кластеры каких-то серверов...

> Обычно это машины не являющиеся серверами, с двойной загрузкой, ограниченным дисковым пространством и не находящиеся в сети постоянно. Т.е. это десктопы, где второй системой линуха или ноуты. На 99% машинки за NAT.

Европейские или американские dsl клинеты, качающие торренты? За нат? Не в сети постоянно? Ну-ну. А дисковое пространство пока у всех машин ограниченно. Или тебе известны системы с безграничным дисковым пространством? ))

> Сосет хер слово этика. Половина серверов fedora имеет задержку от суток до трех в обновлениях, тем не менее все обновляются нормально. Сюрприз?

Чувак, у тебя ФГМ. Прочти еще раз, о чем речь.

>>И ты гарантируешь такое поведение для всех пакетных менеджеров, рассмотренных в статье?

>Я гарантирую такое поведение для yum и apt-get.

Ну и напрасно, потому что apt-get так себя не ведет. Он не ищет сам зеркала с новыми обновлениями.