Waarschuwing: Mint ISO's met backdoor verspreid op 20 februari

[testcees]

Overigens heeft er een unieke samenwerking plaatsgevonden met Avast: in de jongste update voor Updatebeheer zelf, zit een stukje programmatuur van Avast dat die backdoor (Tsunami) opspoort en verwijdert.

Inderdaad unieke reclame samenwerking om automatisch (commerciële/gratis) antivirussoftware te installeren.

Doet me wel denken aan een opmerking uit een ander topic,

Uitgelegd dat ik geen vertrouwen kan hebben in een software bedrijf, dat weer software van anderen nodig heeft, om zijn eigen software te beveiligen.

[Pjotr]

Overigens heeft er een unieke samenwerking plaatsgevonden met Avast: in de jongste update voor Updatebeheer zelf, zit een stukje programmatuur van Avast dat die backdoor (Tsunami) opspoort en verwijdert.

Inderdaad unieke reclame samenwerking om automatisch (commerciële/gratis) antivirussoftware te installeren.

Doet me wel denken aan een opmerking uit een ander topic,

Uitgelegd dat ik geen vertrouwen kan hebben in een software bedrijf, dat weer software van anderen nodig heeft, om zijn eigen software te beveiligen.

Nog niet klaar met afkraken van Linux Mint?

Onder normale omstandigheden heeft Linux Mint beslist geen antivirus nodig. Maar buitengewone omstandigheden (een besmet iso met een backdoor, dat bij honderden mensen in gebruik is) vragen om buitengewone maatregelen (een eenmalige toevoeging aan Updatebeheer om die ene backdoor eruit te gooien).

Als je zo doorgaat met afkraken, dan zal ik mij genoodzaakt zien om de forumploeg te vragen om maatregelen tegen jou te nemen. Regels zijn regels, en bashing is hier niet toegestaan. Tegen negatieve elementen wordt hier gelukkig opgetreden.

[Vincentlaborant]

Onder normale omstandigheden heeft Linux Mint beslist geen antivirus nodig. Maar buitengewone omstandigheden (een besmet iso met een backdoor, dat bij honderden mensen in gebruik is) vragen om buitengewone maatregelen (een eenmalige toevoeging aan Updatebeheer om die ene backdoor eruit te gooien).

Als je zo doorgaat met afkraken, dan zal ik mij genoodzaakt zien om de forumploeg te vragen om maatregelen tegen jou te nemen. Regels zijn regels, en bashing is hier niet toegestaan. Tegen negatieve elementen wordt hier gelukkig opgetreden.

Ik ben het er mee eens dat een netjes geïnstalleerde Linux distributie in principe geen anti virus nodig heeft (ik zou het enkel op een mail/ web server draaien).

Het is misschien afkraken wat er gebeurd, maar om dit al gelijk bashing te noemen gaat wel heel ver.

Nu weet ik weer waarom ik hier amper nog kom.

[DarkEra]

Ik wil niet veel zeggen Vincentlaborant maar afkraken, ook wel bekend als onderuit halen en  er heel negatief over spreken of schrijven is bashing, en is het Engelse woord hiervoor.

[markba]

Overigens heeft er een unieke samenwerking plaatsgevonden met Avast: in de jongste update voor Updatebeheer zelf, zit een stukje programmatuur van Avast dat die backdoor (Tsunami) opspoort en verwijdert.

Daar hadden ze dan net zo goed een scriptje kunnen vrijgeven die datzelfde doet. Want na het verwijderen van die backdoor heb je helemaal niks meer aan AV, overbodige ballast dus.

Als je zo doorgaat met afkraken, dan zal ik mij genoodzaakt zien om de forumploeg te vragen om maatregelen tegen jou te nemen. Regels zijn regels, en bashing is hier niet toegestaan. Tegen negatieve elementen wordt hier gelukkig opgetreden.

Jeetje, heb je aandelen in Minst of zo? Het lijkt je eigen kindje wel. Denk vooral aan je bloeddruk, Piet! 

Het is misschien afkraken wat er gebeurd, maar om dit al gelijk bashing te noemen gaat wel heel ver.

Er wordt expliciet het woord 'bashing' gekozen om (mogelijk) geldige kritiek in een hokje te plaatsen waardoor er ook niet meer over gesproken kán en mág worden (het is immers 'bashing'); dit is een bekende discussietechniek die in de politiek ook vaak gebruikt wordt (oa karaktermoord). Jammer want door het niet meer mogen uitspreken van kritiek verhinder je daarmee een gezonde dialoog en uiteindelijk een beter product.
(zelf  heb ik vraagtekens bij het dubieuze update-beleid van mint, één van de redenen waarom ik Mint niet wil gebruiken; maar goed that's just me....)

Nu weet ik weer waarom ik hier amper nog kom.

Tsja, altijd fijn hè zo'n uitstraling. Nu weet ik ook weer waarom ik vragen van gebruikers liever zelf beantwoordt dan mensen naar het forum te sturen. Zooooo jammer dit.

[asphyxia]

Mensen, kunnen we het waardig houden?

Er wordt wel vaker (ook in Ubuntu) voor een oplossing gekozen waarover eenieder zo zijn/mening heeft, en die mag best geuit worden.
De pijlen vervolgens op de boodschapper richten gaat niet echt bijdragen aan de sfeer.

Ik wil dit draadje nog niet sluiten omdat ik het onderwerp te belangrijk vind, maar bij verdere escalatie gebeurt dit mogelijkerwijs wel.

[Theo1971]

Ik ben zelf geen Mint gebruiker, maar kan de Avast keuze wel  begrijpen. Natuurlijk had het Mint team zelf een oplossing kunnen ontwikkelen.
Maar ik denk dat dit een snellere en goedkopere methode is om mensen te helpen die met een besmet systeem zitten.
Ik zou ook een besmette versie van een linux distributie kunnen maken  van ik noem maar wat debian. Is Debian dan verantwoordelijk voor mijn acties? Ik geloof het niet.
Wat ik nog meer kan begrijpen is dat dit 'geintje' een aardige duit heeft gekost en ik denk dat aan de Mint bomen ook geen miljoenen groeien, dus dat rechtvaardigt denk ik ook de keuze om in dit geval te gaan samenwerken met Avast.

Overigens sluit ik mij aan dat het vrij nutteloos is om een distributie af te kraken, de 1 houd van spruitjes en de ander niet en gelukkig is het linux-menukaart rijkelijk gevuld met de heerlijkste gerechten

[Henkp]

Ik heb om het waardig te houden, een vraag?,
Is het vandaag de dag nog veilig om op een computer waar ISO files met verwijzing, worden aangeboden, nog met http: te werken?.

[Vincentlaborant]

Ik heb om het waardig te houden, een vraag?,
Is het vandaag de dag nog veilig om op een computer waar ISO files met verwijzing, worden aangeboden, nog met http: te werken?.

Nee.

[Pjotr]

Ik heb om het waardig te houden, een vraag?,
Is het vandaag de dag nog veilig om op een computer waar ISO files met verwijzing, worden aangeboden, nog met http: te werken?.

Dat denk ik wel.... De kraak van de Mint-webstek was slechts één incident, dat slechts gedurende één dag plaatsvond. 

Overigens ben ik zelf sowieso al enigszins kritisch bij de keuze van een spiegelserver. Ik zal bijvoorbeeld niet gauw een spiegelserver kiezen die in een studentenhuis staat; wel eentje van de universiteit zelf.

[Henkp]

Ik heb om het waardig te houden, een vraag?,
Is het vandaag de dag nog veilig om op een computer waar ISO files met verwijzing, worden aangeboden, nog met http: te werken?.

Nee.

Goed zo, zo denk ik er ook over. Dus Linux Mint heeft de laatste dagen heel veel geleerd.
Hopelijk volgen nu ook de andere.

https://www.linuxmint.com/

[markba]

Ik heb om het waardig te houden, een vraag?,
Is het vandaag de dag nog veilig om op een computer waar ISO files met verwijzing, worden aangeboden, nog met http: te werken?.

Nee.

Alhoewel het me logisch lijkt dat downloads altijd via htpps verlopen, heb ik ff gecontroleerd hoe de downloads van ubuntu zelf gebeuren:  dat gaat dus via een niet-beveiligde site (http). Blijkbaar wordt daar niet zo zwaar aan getild.

[Henkp]

Ik heb om het waardig te houden, een vraag?,
Is het vandaag de dag nog veilig om op een computer waar ISO files met verwijzing, worden aangeboden, nog met http: te werken?.

Nee.

Alhoewel het me logisch lijkt dat downloads altijd via htpps verlopen, heb ik ff gecontroleerd hoe de downloads van ubuntu zelf gebeuren:  dat gaat dus via een niet-beveiligde site (http). Blijkbaar wordt daar niet zo zwaar aan getild.

Tja, een goede verstaander heeft maar een half woord nodig! 

[Frederik]

Ik heb om het waardig te houden, een vraag?,
Is het vandaag de dag nog veilig om op een computer waar ISO files met verwijzing, worden aangeboden, nog met http: te werken?.

Nee.

Flauwekul, er is geen enkele reden om een versleutelde verbinding te gebruiken voor het downloaden van iso- of andere bestanden, wat overigens ook bijna nergens plaats vindt.

[Theo1971]

Ik heb om het waardig te houden, een vraag?,
Is het vandaag de dag nog veilig om op een computer waar ISO files met verwijzing, worden aangeboden, nog met http: te werken?.

Nee.

Flauwekul, er is geen enkele reden om een versleutelde verbinding te gebruiken voor het downloaden van iso- of andere bestanden, wat overigens ook bijna nergens plaats vindt.

Ik ben het er wel mee eens hoor. Ik zou overigens de netwerkkaart uit de computer verwijderen en een vergiet op mijn hoofd zetten, want het Spaghettimonster slaapt nooit. Nu serieus,  wanneer je een goede URL gebruikt voor de download en daarbij de checksum in acht neemt zal het normaal gesproken in orde zijn. Door deze hack en ook het niet controleren van de checksum is het koren op de molen voor degene die sowieso al argwanend zijn. Er zijn genoeg methodes (bijvoorbeeld met PGP) om een download absoluut veilig te maken, ook via http.

[MKe]

Ik heb om het waardig te houden, een vraag?,
Is het vandaag de dag nog veilig om op een computer waar ISO files met verwijzing, worden aangeboden, nog met http: te werken?.

Nee.

Vergeet niet dat een https niet alleen voor versleutelen is, maar ook om ervoor te zorgen dat je echt download van de site die je denkt. Dit voorkomt een man-in-the-middle en verhoogt dus de veiligheid. Ik denk dus dat een https wel degelijk een vereiste is voor een download site waar je je besturingssysteem vandaan haalt.
Flauwekul, er is geen enkele reden om een versleutelde verbinding te gebruiken voor het downloaden van iso- of andere bestanden, wat overigens ook bijna nergens plaats vindt.

[Johan van Dijk]

Een https verbinding voorkomt alleen dat iemand die jouw internetverkeer controleert (bijv. je provider) mee kan kijken of de inhoud daarvan aan kan passen. In het geval van een gehackte site heb je er niks aan, je krijgt alsnog de verkeerde linkjes te zien en je download een aangepaste iso.

Wat wel helpt is het extra controleren van de md5 en sha hashes in combinatie met een pgp ondertekening. Maar dit is ingewikkeld en voor leken bijna niet te doen.

http://nl.archive.ubuntu.com/ubuntu-cdimages/14.04.4/release/
Let op de gpg bestanden.

Mint heeft ook een ondertekening: http://ftp.nluug.nl/os/Linux/distr/linuxmint/iso//stable/17.3/

[MKe]

SSL certificaten verzorgen ook authenticatie:

Why are SSL providers important? Trusted SSL providers will only issue an SSL certificate to a verified company that has gone through several identity checks. Certain types of SSL certificates, like EV SSL Certificates, require more validation than others. How do you know if an SSL provider is trusted? You can use our SSL Wizard to compare SSL providers(link) that are included in most web browsers. Web browser manufactures verify that SSL providers are following specific practices and have been audited by a third-party using a standard such as WebTrust.

[Johan van Dijk]

Ja, de SSL verbinding zal alles wat de website je stuurt beveiligen. Maar wat als de originele website al de verkeerde informatie stuurt omdat die gehackt is? SSL zorgt er dan voor dat je zeker weten de verkeerde linkjes ziet en dus download.

[Ron]

Met de cursor op de download link, zie je ook de url, gewoon de menselijke controle

[Frederik]

Met de cursor op de download link, zie je ook de url, gewoon de menselijke controle

Precies en dáár heb je geen https voor nodig.
Het is alleen erg spijtig voor de mensen die niks controleren en met de verkeerde boodschappen thuiskomen.

[MKe]

Met de cursor op de download link, zie je ook de url, gewoon de menselijke controle

Klopt, maar weet je altijd de correcte URL?
Ik snap de weerstand tegen SSL niet. Als je de tools hebt om gebruikers te beschermen, dan doe je dat toch?

Ja, de SSL verbinding zal alles wat de website je stuurt beveiligen. Maar wat als de originele website al de verkeerde informatie stuurt omdat die gehackt is? SSL zorgt er dan voor dat je zeker weten de verkeerde linkjes ziet en dus download.

Tja, in dit geval bij Mint had het idd geen moer uitgemaakt omdat de website zelf was gecompromitteerd. Je gaat ervan uit dat een erkende website zijn zakjes voor elkaar heeft, maar in het geval was het bij de groep van Mint niet het geval. SSL is toch in principe voor andere bedreigingen.
Maar ff voor mijn begrip, hoezo zorgt SSL ervoor dat je de verkeerde linkjes zeker weten ziet? Het veranderd toch niets aan de content van de site?

[Frederik]

Ik snap de weerstand tegen SSL niet. Als je de tools hebt om gebruikers te beschermen, dan doe je dat toch?

Er is bij mij geen enkele weerstand tegen het gebruik van SSL, integendeel: als iets veiliger kan moet dat vooral.
Geen mens bij zinnen zal het https gebruik bij internetbankieren of andere gevoelige transacties overbodig vinden.
Maar voor iets simpels  als een iso of andere download waar geen 'persoonlijke' overdrachtsgegevens plaats vindt is dat niet nodig en ga dan niet lopen roepen dat het niet veilig is. De eerder genoemde checksum biedt voldoende veiligheidsgaranties.

[Johan van Dijk]

Ik snap de weerstand tegen SSL niet. Als je de tools hebt om gebruikers te beschermen, dan doe je dat toch?

Echt een weerstand is het niet, maar in dit geval had het niks uitgemaakt.
Het is wel zo dat SSL verbindingen de server meer belasten en in het geval van load balancers de zaak compliceren. In het verleden had je ook nog extra kosten voor een certificaat.
De keuze voor simpele http verbindingen is dus prima te begrijpen.

Tja, in dit geval bij Mint had het idd geen moer uitgemaakt omdat de website zelf was gecompromitteerd. Je gaat ervan uit dat een erkende website zijn zakjes voor elkaar heeft, maar in het geval was het bij de groep van Mint niet het geval. SSL is toch in principe voor andere bedreigingen.
Maar ff voor mijn begrip, hoezo zorgt SSL ervoor dat je de verkeerde linkjes zeker weten ziet? Het veranderd toch niets aan de content van de site?

Dat laatste is precies het probleem in dit geval. De bron gaf de verkeerde linkjes en SSL zorgt ervoor dat die verkeerde informatie onveranderd bij jou terecht komt. Je kan nog wel 100 manieren bedenken om te bepalen of een site echt wel is wie ze beweren dat ze zijn, of manieren om MITM te voorkomen, enz. Maar dat voorkomt niet dat een gehackte site je verkeerde linkjes geeft.
Het was een poging om duidelijk te maken dat SSL op geen enkele manier iets had veranderd aan het gehackt zijn van de site.

[MKe]

Tja, in dit geval bij Mint had het idd geen moer uitgemaakt omdat de website zelf was gecompromitteerd. Je gaat ervan uit dat een erkende website zijn zakjes voor elkaar heeft, maar in het geval was het bij de groep van Mint niet het geval. SSL is toch in principe voor andere bedreigingen.
Maar ff voor mijn begrip, hoezo zorgt SSL ervoor dat je de verkeerde linkjes zeker weten ziet? Het veranderd toch niets aan de content van de site?

Dat laatste is precies het probleem in dit geval. De bron gaf de verkeerde linkjes en SSL zorgt ervoor dat die verkeerde informatie onveranderd bij jou terecht komt. Je kan nog wel 100 manieren bedenken om te bepalen of een site echt wel is wie ze beweren dat ze zijn, of manieren om MITM te voorkomen, enz. Maar dat voorkomt niet dat een gehackte site je verkeerde linkjes geeft.
Het was een poging om duidelijk te maken dat SSL op geen enkele manier iets had veranderd aan het gehackt zijn van de site.

Ja precies, dat ben ik met je eens, zie quote, maar ik begreep dat de discussie erover ging off ssl uberhaupt wenselijk is voor een download, los van de huidige problemen. Naar mijn mening dus wel. Volgens mij is het
voor websites altijd "best practice" om https aan te bieden, al was het alleen maar omdat eindgebruikers dan de mogelijkheid hebben om te controleren of jij daadwerkelijk degene bent waarvoor je je uitgeeft.