Re: Gehacked ????????
Hi, Rainer!
Rainer Ellinger (rainer@ellinger.de) wrote 37 lines:
> Wolfgang Weisselberg schrieb:
> > > Debian-Quellen gibt es wenigstens eine minimale Sicherheit den
> > > Verursacher identifizieren und dingfest machen zu können.
> > Nicht mehr als bei offiziellen foo Quellen.
> Doch sicherlich. Die Identität des Maintainers und Uploaders eines
> Archivs ist vergleichbar einer "Class 3" Zertifizierung (Überprüfung
> der Identität durch Personalausweis) festgestellt worden, wobei dieses
> auch für die meisten Feld-Wald-Wiesen Trustcenter heutzutage schon das
> obere Ende der Fahnenstange darstellt.
> Deine foo-Quelle kann dagegen kaum mit einer "Class 1" Authentizität
> (Überprüfung der Existenz der eMail-Adresse) mithalten.
Ja und? solange nicht mindestends:
> > - alle Pakete kryptographisch signiert sind
> Die Absicherung des Übtragungswegs ist irrelevant, wenn die Identität
> der foo-Quelle nicht überprüfbar ist.
Die "Class 3" Zertifizierung ist vollkommen irrelevant, wenn du
nicht garantieren kannst, dass der Absender mit dem Inhaber des
'Zertifikates' uebereinstimmt. Und so sinnvoll, wie der Name
des Brieftraegers, der die Briefbombe zugestellt hat (s.u.).
> Das grössere Problem sehe ich auf der Seite der Maintainer
> und bei dessen PC. Ist der Maintainer Marke "Student" Typ "muss alles
> ausprobieren, was P2P hergibt", ist es eigentlich nur eine Frage der
> Zeit und Zahl der Maintainer, bis es mal einen grösseren Unfall gibt.
Sag' ich doch.
Nehmen wir ein Paket foo (Autor Foo Bar) an, fuer welches ein
Debian-Paket foo_1.1-3_i386.deb existiert.
Wenn du das Paket direkt von www.foo.org, der Webseite von Foo
Bar, beziehst, musst du hoffen oder ueberpruefen, dass:
- du tatsaechlich auf www.foo.org gekommen bist, und nicht auf
foo.evil-are-us.net (DNS poisoning etc.)
- foo selber keine uebelen Absichten hat
- foo selber keine Sicherheitsfehler hat
- www.foo.net nicht gehackt wurde und foo-1.1.tar ein Trojaner
ist.
Dies gilt allerdings in gleichem Masse fuer den Maintainer!
Laedst du das Debian-Paket herunter, sollte:
- der Maintainer kein Black Head sein (unwahrscheinlich)
- der Mirror-Betreiber kein Black Head sein (unwahrscheinlich)
- solltest du tatsaechlich den Mirror an der Strippe hast, und
nicht debian-mirror.evil-are-us.net.
- der Rechner des Maintainers nicht gehackt worden sein
- mit den Daten auf dem Uebertragungsweg Maintainer->Mirror
nichts passiert sein (s.o.)
- mit den Daten auf dem Uebertragungsweg Mirrir->dein Rechner
nichts passiert sein (s.o.)
Zudem ist ein Debian-Maintainer ein gutes Ziel, da er ein
starker Multiplikator ist (viele seine Pakete nutzen).
Wenn wir jetzt annehmen, dass die Daten sicher seinen,
nachdem der Maintainer sie in den Fingern hatte -- dann
laeuft der Maintainer das genau gleiche Risiko wie ein
einfacher Downloader von www.foo.org. Oder?
Mithin wird die Sicherheit nur dann durch Debian-Pakete
verbessert, wenn:
- der Maintainer vertrauenswuerdiger ein Spezialist ist, dem ein
Angriff eher auffaellt als all den sonst-einfach-downloadern
("with enough eyes, every bug is shallow")
- der Maintainer selber nicht gehackt wird und auch keine
gehackten Pakete bei sich selber aufspielt (z.B. ein gcc,
der in Executables mit Netzwerk eine Backdoor einbaut)
- Die Daten ab Maintainer vertrauenswuerdig sind (d.h.
signiert)
- die Signatur mit hinreichender Sicherheit auch von Maintainer
kommt (wie werden die Keyrings verteilt? Wer garantiert, dass
das auch der Key des Trustcenters ist, mit dem die signiert
sind? ...)
Oder sehe ich das falsch?
-Wolfgang
Reply to: