¿El software Linux / Debian y el ecosistema de gestión de paquetes son seguros?

3

Mi pregunta básica es esta:

Cuando estamos utilizando el sistema de paquetes Linux / Debian apt-get o yum, estamos confiando en que los paquetes que estamos descargando e instalando son seguros. Para el caso, incluso descargando imágenes de Linux desde Ubuntu o Debian o Red Hat o lo que sea, asumimos que estos servidores son seguros y que las fuentes son confiables.

Dado que hay una amplia variedad de distribuciones, gestores de paquetes, duplicados y sitios que nos sirven este contenido, parece que vale la pena cuestionar la seguridad de todo este ecosistema.

¿Qué tan seguro es este ecosistema de software de código abierto de los piratas informáticos del departamento de seguridad del estado-nación?

Como sabemos, nuestro propio "guv'mint" ya ha sido responsable de comprometer los servidores y los estándares de seguridad de otros proyectos de código abierto, como el estándar de cifrado SSL, e implicado en la piratería de sistemas corporativos privados en los que confiamos ( Google / Gmail), lo que me da razones para considerar cuántos posibles vectores de ataque podría haber en un ecosistema tan complejo como lo es la comunidad de código abierto / Unix / Linux.

Para dar un ejemplo concreto:

Si utilizo el administrador de paquetes apt-get de Ubuntu en los EE. UU. (u otro país), estoy descargando ciegamente paquetes de servidores alojados en esa nación y asumiendo que el software que estoy instalando es seguro. ¿Qué hay para asegurar que los servidores no se hayan visto comprometidos, o hayan tenido un código malicioso incrustado en paquetes de software de confianza? Parece un objetivo probable para las naciones con departamentos de seguridad de la información que tienen grandes ambiciones para controlar el ciberespacio.

    
pregunta emf 07.04.2016 - 11:17
fuente

3 respuestas

5

No lo es. El modelo de amenaza intenta ser resistente a los ataques externos, pero si todo lo que necesita es una línea maliciosa en un script de compilación en un paquete utilizado en la mayoría de los sistemas (por ejemplo, libc, x11, etc.), entonces todo lo que deben hacer es comprometer una compilación. Máquina para obtener un control casi universal.

Intentar protegerse contra esto es difícil, y la única forma de hacerlo es construir en muchas máquinas y diferenciar las salidas (lo que no siempre es factible debido a la entropía involucrada en los cambios de versión de paquetes por minuto en los sistemas de compilación) . Esto no es rentable ni rentable para el código abierto, por lo que no se hace.

Siendo realistas, si tu adversario es un estado nacional y realmente te desagradan tus cosas, es probable que no ganes esa lucha a menos que también seas un estado nacional con un presupuesto de seguridad capaz y una gran ventaja. ayudando a la suerte.

Como dijo James Mickens en su brillante artículo " Este mundo de los nuestros ":

  

Si su adversario no es Mossad, entonces probablemente estará bien si elige una buena contraseña y no responde a los correos electrónicos de [email protected]. Si tu adversario es el Mossad, ERES MUERTA Y NO HAY NADA QUE PUEDES HACER AL RESPECTO.

     

El Mossad no se siente intimidado por el hecho de que emplee https: //. Si el Mossad desea sus datos, usarán un dron para reemplazar su teléfono celular con un pedazo de uranio que tiene la forma de un teléfono celular, y cuando usted muera de tumores llenos de tumores, van a celebrar una conferencia de prensa y diga "No fuimos nosotros", ya que usan camisetas que dicen "DEFINITIVAMENTE DE NOSOTROS", y luego comprarán todas sus cosas en la venta de su finca para que puedan ver directamente las fotos de su Vacaciones en lugar de leer sus correos electrónicos insípidos sobre ellos.

TL; DR: incluir a los estados nacionales en tu modelo de amenaza es esencialmente equivalente a incluir a los magos en tu modelo de amenaza: nadie entiende realmente de qué son capaces, y nadie tiene una capacidad razonable de defensa contra ellos.

    
respondido por el Polynomial 07.04.2016 - 11:30
fuente
1

Los paquetes Debian y Ubuntu están firmados con claves GPG, lo que hace que sea bastante difícil reemplazar un paquete de software en el repositorio con otro .

Para el medio de instalación en sí (la ISO) hay algunos hashes y firmas GPG disponibles, pero estos no se verifican automáticamente. Esto hace posible intercambiar la ISO de instalación con otra, ya que sucedió con Linux Mint .

    
respondido por el Sjoerd 07.04.2016 - 11:44
fuente
0

Si aún no lo ha hecho, lea la respuesta fantástica de Polynomial antes de leer esto. En mi opinión, ¡él está totalmente en el dinero!

Particularmente no pude evitar reírme (porque preferiría no llorar en cajeros automáticos) por esto:

  

Incluir estados nacionales en su modelo de amenaza es esencialmente equivalente a incluir asistentes en su modelo de amenaza [!]

Habiendo dicho eso, Debian está haciendo esfuerzos significativos para reducir los vectores de ataque.

Podría decirse que el más importante de estos es el proyecto Reprod. Reproducible . Todavía no tiene cobertura completa, pero se está logrando un progreso significativo. Aunque todavía no es infalible, ciertamente eleva el nivel.

También hay otros esfuerzos, por ejemplo, Embalaje Declarativo , que también debería mejorar la seguridad de las instalaciones de paquetes (especialmente los paquetes instalados desde repositorios de terceros).

    
respondido por el Jeremy Davis 20.09.2018 - 02:18
fuente

Lea otras preguntas en las etiquetas