Re: Linux und Malware 2006 Debian clamav installation
Am Mittwoch, 16. Mai 2007 11:31 schrieb Andreas Pakulat:
[...]
> Ach und eines noch hintendran: 100% Sicherheit dass die Pakete die du
> runterlaedst manipuliert sind kannst du sowieso vergessen, das
> kriegst du nicht hin, ausser du machst die Rechner aus...
Das ist mir schon klar. Mir geht's darum welche/wieviele Angriffspunkte
überhaupt möglich sind.
Nach deiner Erläuterung/Bestätigung mal ein Versuch diese aufzuzählen:
Punkt 1. dput läuft ja vie scp/sftp mit Zugangspasswort/schlüssel jedes
Maintainers zu den Build-Maschinen. -> Stehlen des SSH-Key + GPG-Key
eines Maintainers. Da jeder Maintainer anscheinend jedes Paket
hochladen kann und dieses automatisiert (keine Prüfung ob Maintainer
dieses Paket hochladen darf?) gebaut wird.
Punkt 2. Hack der build-Maschine
Punkt 3. Hack der Signierungs-Maschine bzw. Stehlen des
Signierschlüssels. Ich vermute Zugriff auf diese Maschine(n) haben nur
die ftp-master?
Punkt 2 und 3 sind schon recht aufwendig und zu 100% nicht zu
verhindern. Bei Punkt 1 sehe ich da schon mehr Risiken, da es eine
recht große Anzahl an Maintainern gibt.
Einzig die Tatsache, das SSH-Key _und_ GPG-Key gestohlen werden müssen
(unsigned source Pakete werden hoffentlich abgelehnt) beruhigt mich
etwas. Zumal wohl kein Maintainer seinen GPG Key unverschlüsselt auf
seiner Platte liegen hat, bei SSH-Keys kann man da nicht wirklich
sicher von ausgehen.
Das man dem Maintainer als Person vertrauen muss (bzgl. kein
absichtliches Uploaden "böser" Pakete) ist natürlich klar, sonst müsste
man wirklich von Debian als Distri Abstand nehmen.
> Und was das Erkennen von Hacks angeht: Die letzten 2 oder 3 Male wo
> Debian Server gehackt wurden, war das innerhalb von wenigen Stunden
> bei den entsprechenden Leuten bekannt und die Server vom Netz
> genommen. Da laeuft entsprechende IDS Software damit sowas nicht
> tagelang unentdeckt bleibt.
Naja zu IDS oder IPS habe ich eine eher gespaltene Meinung, mag aber
daran liegen das ein Freund von mir an diesem Thema an der Uni forscht
und meine Meinung dazu mit prägt.
--
Markus Schulz
Reply to: