¿Qué pasaría si uno de los repositorios populares de Linux es hackeado?

Bueno, ya que esto casi sucedió, una de las primeras cosas sería un artículo en LWN !

Como puede ver en la publicación anterior sobre kernel.org, en ocasiones los servidores utilizados para distribuir paquetes y códigos están comprometidos, como cualquier otro. Exactamente la cantidad de daño que se puede hacer realmente depende del nivel del compromiso, pero si se capturara una frase de contraseña de firma, el atacante podría firmar cualquier paquete que quisiera, pasándolo como un paquete distribuido por la distribución.

El resultado de esto sería que los sistemas cliente aceptarían la actualización y que el usuario no sabría nada, al menos hasta que la distribución se diera cuenta y enviara claves actualizadas e investigara qué se había modificado.

Desafortunadamente, no es mucho lo que usted, el usuario final, puede hacer para protegerse contra esto, la única forma que sabría es analizando su sistema en busca de comportamientos maliciosos y (con suerte) encontrarlo.

Antes de considerar esto como un problema exclusivo de Linux, recuerde que muchas empresas eliminan las actualizaciones de los servidores o confían en el código de firma central. Se aplica el mismo conjunto de riesgos (y son aún peores si no se realiza la firma). Compromisos con las CAs raíz han sucedido , y las consecuencias son bastante similares: terminas con una conexión que aparece Válido, que en realidad no se puede confiar.

Todo esto se reduce a un modelo de confianza central que tiene un único punto de falla, a diferencia de la web de confianza Modelo que intenta descentralizar el tema. Sin embargo, los modelos web de confianza tienen sus propios problemas.

Tenga en cuenta que kernel.org fue , de hecho, hackeado. Hay un análisis interesante de cómo esto no afectó a ningún proveedor secundario. Básicamente, la razón principal por la que este ataque no produjo resultados significativos se debió al sistema de control de fuente Git que se usa.

enlace

(Parece que no puedo encontrar los mensajes originales de kernel.org, aunque su comunicado de prensa original está enterrado en este artículo: enlace )

Entonces obviamente sería malo.

Hay factores atenuantes; espejos, firmas, sumas de comprobación, etc. Ocultar este tipo de cosas por más de una o dos horas sería difícil en la mayoría de las circunstancias, por lo que este tipo de cosas tiende a descubrirse y remediarse antes de que pueda causar daños.

Lo que es mucho más problemático es si un repositorio oficial de código fuente para un paquete es hackeado y las fuentes modificadas. Esto le ha sucedido a algunos proyectos y es un importante punto de venta para hacer un desarrollo descentralizado como se ve con el kernel de Linux. De esa manera no hay un repositorio central para hackear.

¿Supongo que está hablando de "espejos" de software de distribución?

La mayoría de las distribuciones modernas utilizan firmas digitales para evitar que se manipulen los paquetes en sus espejos.

Cuando un desarrollador de distribución crea un paquete, lo firma con su clave en la que confía la distribución. El paquete se puede distribuir a los espejos y siempre que:

1. se comprueban las firmas del paquete
2. la cadena de firmas no está comprometida

Puede estar bastante seguro de que el paquete que descargó es el que el desarrollador agregó a la distribución.