Re: Linux und Malware 2006 Debian clamav installation

To: debian-user-german@lists.debian.org
Subject: Re: Linux und Malware 2006 Debian clamav installation
From: Markus Schulz <msc@antzsystem.de>
Date: Wed, 16 May 2007 12:53:14 +0200
Message-id: <[🔎] 200705161253.15494.msc@antzsystem.de>
In-reply-to: <[🔎] 20070516093158.GA17461@morpheus.apaku.dnsalias.org>
References: <[🔎] 20070516042805.GB1998@server.homelinux.net> <[🔎] 200705161042.42334.msc@antzsystem.de> <[🔎] 20070516093158.GA17461@morpheus.apaku.dnsalias.org>

Am Mittwoch, 16. Mai 2007 11:31 schrieb Andreas Pakulat:
[...]
> Ach und eines noch hintendran: 100% Sicherheit dass die Pakete die du
> runterlaedst manipuliert sind kannst du sowieso vergessen, das
> kriegst du nicht hin, ausser du machst die Rechner aus...

Das ist mir schon klar. Mir geht's darum welche/wieviele Angriffspunkte 
überhaupt möglich sind.
Nach deiner Erläuterung/Bestätigung mal ein Versuch diese aufzuzählen:

Punkt 1. dput läuft ja vie scp/sftp mit Zugangspasswort/schlüssel jedes 
Maintainers zu den Build-Maschinen. -> Stehlen des SSH-Key + GPG-Key 
eines Maintainers. Da jeder Maintainer anscheinend jedes Paket 
hochladen kann und dieses automatisiert (keine Prüfung ob Maintainer 
dieses Paket hochladen darf?) gebaut wird.

Punkt 2. Hack der build-Maschine

Punkt 3. Hack der Signierungs-Maschine bzw. Stehlen des 
Signierschlüssels. Ich vermute Zugriff auf diese Maschine(n) haben nur 
die ftp-master?

Punkt 2 und 3 sind schon recht aufwendig und zu 100% nicht zu 
verhindern. Bei Punkt 1 sehe ich da schon mehr Risiken, da es eine 
recht große Anzahl an Maintainern gibt. 
Einzig die Tatsache, das SSH-Key _und_ GPG-Key gestohlen werden müssen 
(unsigned source Pakete werden hoffentlich abgelehnt) beruhigt mich 
etwas. Zumal wohl kein Maintainer seinen GPG Key unverschlüsselt auf 
seiner Platte liegen hat, bei SSH-Keys kann man da nicht wirklich 
sicher von ausgehen. 
Das man dem Maintainer als Person vertrauen muss (bzgl. kein 
absichtliches Uploaden "böser" Pakete) ist natürlich klar, sonst müsste 
man wirklich von Debian als Distri Abstand nehmen.

> Und was das Erkennen von Hacks angeht: Die letzten 2 oder 3 Male wo
> Debian Server gehackt wurden, war das innerhalb von wenigen Stunden
> bei den entsprechenden Leuten bekannt und die Server vom Netz
> genommen. Da laeuft entsprechende IDS Software damit sowas nicht
> tagelang unentdeckt bleibt.

Naja zu IDS oder IPS habe ich eine eher gespaltene Meinung, mag aber 
daran liegen das ein Freund von mir an diesem Thema an der Uni forscht 
und meine Meinung dazu mit prägt.

-- 
Markus Schulz

Reply to:

Follow-Ups:
- Re: Linux und Malware 2006 Debian clamav installation
  - From: Jochen Schulz <ml@well-adjusted.de>

References:
- Linux und Malware 2006 Debian clamav installation
  - From: Mark-Walter@t-online.de (Mark Walter)
- Re: Linux und Malware 2006 Debian clamav installation
  - From: Markus Schulz <msc@antzsystem.de>
- Re: Linux und Malware 2006 Debian clamav installation
  - From: Andreas Pakulat <apaku@gmx.de>

Prev by Date: Re: [OT] SE K800i und debian?
Next by Date: Re: Acer Travelmate 291 lci speedstep und suspend to disk
Previous by thread: Re: Linux und Malware 2006 Debian clamav installation
Next by thread: Re: Linux und Malware 2006 Debian clamav installation
Index(es):
- Date
- Thread