Waarschuwing: Mint ISO's met backdoor verspreid op 20 februari

[DarkEra]

Over websites en dergelijke gesproken.... Al bewust van dit?: http://www.zdnet.com/article/dont-let-your-openssl-secured-web-sites-drown/

Ik neem aan dat ondertussen de patches al uitgebracht zijn?

[MKe]

Markba, Ik denk dat je dat anders moet zien. Volgens mij zijn ze ineens wakker geschud van hun gezapig 'Linux kan niet gehacked worden' instelling en proberen ze nu alle mogelijke lekken te vinden.

Even iets rechtzetten: Linux is niet gehackt! Er is ingebroken in een website van een Linux distributie. Via die inbraak is er vervolgens het een en ander door de inbrekers gemuteerd. Dat is wat er is gebeurd. Niets meer en niets minder.
Dat er verder consequenties aan vast zitten is een ander verhaal.

Nee dat zie ik niet zo. Dit lijkt mij een te versimpelde voorstelling van zaken.  Ik vind absoluut niet dat de consequenties een ander verhaal is. Ik denk dat dit geen geïsoleerd geval blijft.

De Linux infrastructuur is gehacked.

Er is bij een linuxdistributie via een website binnengedrongen. Als er via de website van Mint wordt ingebroken is dat alleen vervelend voor Mint en zijn gebruikers. Niet voor bijv. Debian, OpenSuSE, Red Hat en noem verder maar op.
Dat heeft niets met de infrastructuur van Linux, maar wel met die van (in dit geval) Mint te maken.
Als de website  Red Hat wordt gehackt, is dat ook weer niet van toepassing voor Mint. En zo kunnen we doorgaan.

Okay, jouw visie.

Ik ben de discussie al weer zat. I'll quit...

[Pjotr]

Zoals dat er elke dag een nieuw geval van een gecompromitteerde PPA bijkomt? Oh wacht, die zijn er niet.... 
(zoals ik wel vaker zeg: zelf besteed ik mijn tijd niet aan volkomen uit de lucht gegrepen theoretische risico's, heb wel wat beters te doen; of iemand anders dat doet moet ie helemaal zelf weten)

Besteed je tijd maar fijn waaraan je wil, broeder..... 

Wel eens gehoord van het gezegde: "als het kalf verdronken is, dempt men de put"?

Natuurlijk is het verstandig om de put te dempen als het kalf is verdronken. Maar veel beter is het om voordat er iets is gebeurd, een schatting te maken van de theoretische risico's en de put preventief te dempen. Of er een hek omheen te zetten, enzovoorts enzovoorts.

De slechtst denkbare bescherming biedt de houding van: "Ach, het is nog nooit gebeurd, dus zal het wel nooit gaan gebeuren ook".

Door een PPA toe te voegen aan je systeem, geef je de beheerder van die PPA rootmacht over je systeem. Waakzaamheid en voorzichtigheid zijn dus geboden.

[Ron]

Door een PPA toe te voegen aan je systeem, geef je de beheerder van die PPA rootmacht over je systeem. Waakzaamheid en voorzichtigheid zijn dus geboden.

De betrouwbaarheid van een PPA is hetzelfde als de betrouwbaarheid + de programmeerkennis van de beheerder.

[DarkEra]

Er is bij een linuxdistributie via een website binnengedrongen. Als er via de website van Mint wordt ingebroken is dat alleen vervelend voor Mint en zijn gebruikers. Niet voor bijv. Debian, OpenSuSE, Red Hat en noem verder maar op.
Dat heeft niets met de infrastructuur van Linux, maar wel met die van (in dit geval) Mint te maken.
Als de website  Red Hat wordt gehackt, is dat ook weer niet van toepassing voor Mint. En zo kunnen we doorgaan.

Het gaat in dit geval niet alleen over het hacken van een website en dan binnen dringen (wat overigens zover ik begrepen heb de tweede keer op korte termijn is gebeurd bij Mint) maar gaat het om het feit dat ze een gemodificeerde ISO hebben gemaakt met een backdoor erin en via de Mint website naar de Bulgaarse server waar deze op stond, gelinked. Honderden gebruikers hadden deze iso geinstalleerd en de hacker kon lekker in hun computer terecht.
DIT heeft een behoorlijk impact gehad op het hele eco systeem van Linux zelf, niet alleen Mint. Ik denk dat er velen zijn die gaan denken of het na dit gebeuren nog wel veilig is om van andere distributies ISO's te downloaden. Wie zegt dat er daar geen backdoors in zouden kunnen zitten? Wie garandeert dat, jij?

De meeste thuis gebruikers kijken de checksum nog niet eens na omdat ze het niet begrijpen dus zit je snel met de gebakken peren.

[Frederik]

Excuus voor het niet ter zake doende PPA in dit topic maar ik ben gerustgesteld met de gegeven antwoorden

[Theo1971]

Ik zie het zo,  stel een raampje van mijn huis is niet goed dicht (wordpress o.i.d.) en een onverlaat komt daardoor in mijn huis en vind het grappig om door de ventilatiegleuven van mijn tv (mint) water te laten stromen.  Moet ik dan de oorzaak leggen bij de fabrikant (i.v.m. de gleuven) of ligt het toch aan het raampje?
Ik ben geneigd om toch eerder te denken aan het raampje, want wat voor merk tv er ook stond, dat maakt voor de onverlaat met kwade bedoelingen niet uit.

[markba]

Ik zie het zo,  stel een raampje van mijn huis is niet goed dicht (wordpress o.i.d.) en een onverlaat komt daardoor in mijn huis en vind het grappig om door de ventilatiegleuven van mijn tv (mint) water te laten stromen.  Moet ik dan de oorzaak leggen bij de fabrikant (i.v.m. de gleuven) of ligt het toch aan het raampje?
Ik ben geneigd om toch eerder te denken aan het raampje, want wat voor merk tv er ook stond, dat maakt voor de onverlaat met kwade bedoelingen niet uit.

Prima voorbeeld. Pak de oorzaak van het probleem aan. En ga je niet druk maken die daarna *kunnen* gebeuren, maar alleen als *gevolg* van.

Ander voorbeeld: stel je hebt bestandstoegang via je router van buitenaf. Dan zorg je dat die zeer goed beveiligd is (uiteraard). Je gaat niet op ieder bestand een wachtwoord zetten voor het geval dat. Compleet onzinnig. En daarom doet ook niemand dat.

Als je eenmaal binnen bent, dan houdt het op, denk bv aan een root-wachtwoord mocht een onverlaat die in handen krijgen. Daar kun je (praktisch gezien) geen (afdoende) maatregelen tegen nemen omdat het de werksituatie onwerkbaar kan maken.

[MKe]

Ander voorbeeld: stel je hebt bestandstoegang via je router van buitenaf. Dan zorg je dat die zeer goed beveiligd is (uiteraard). Je gaat niet op ieder bestand een wachtwoord zetten voor het geval dat. Compleet onzinnig. En daarom doet ook niemand dat.

Als je eenmaal binnen bent, dan houdt het op, denk bv aan een root-wachtwoord mocht een onverlaat die in handen krijgen. Daar kun je (praktisch gezien) geen (afdoende) maatregelen tegen nemen omdat het de werksituatie onwerkbaar kan maken.

Dat was inderdaad het idee van veiligheid in de jaren '90. Een dikke muur erom heen en daarbinnen is het dan veilig. De trent is tegenwoordig toch wel anders. Bedrijven zorgen ook binnen de dikke muur ervoor dat de boel veilig is. Gokken op maar een paard is niet erg slim. Versleuteling van bestanden en netwerkverkeer is noodzakelijk voor bedrijven dan. Maar ook binnen particuliere netwerken is dat tot op zekere hoogte gebruikelijk. Ubuntu geeft je de mogelijkheid om je bestanden te versleutelen en zorgt er ook voor dat alleen je eigen gebruiker bij je home directory kan. Communicatie tussen computers gaat o.a. met ssh, wat een versleuteld protocol is.

[Tom]

Over websites en dergelijke gesproken.... Al bewust van dit?: http://www.zdnet.com/article/dont-let-your-openssl-secured-web-sites-drown/

Ik neem aan dat ondertussen de patches al uitgebracht zijn?

Ja dat zijn ze !.

[testcees]

Over websites en dergelijke gesproken.... Al bewust van dit?: http://www.zdnet.com/article/dont-let-your-openssl-secured-web-sites-drown/

Ik neem aan dat ondertussen de patches al uitgebracht zijn?

Ja dat zijn ze !.

Wel offtopic, maar toch niet voor Ubuntu?

The DROWN  attack was assigned CVE-2016-0800.

Vervolgens lees ik dat Ubuntu daar niet kwetsbaar voor is:

openssl in Ubuntu is compiled with no-ssl2

Er zijn recent wel (andere?) patches voor openssl uitgebracht, http://www.ubuntu.com/usn/usn-2914-1/

[testcees]

Wat wel helpt is het extra controleren van de md5 en sha hashes in combinatie met een pgp ondertekening. Maar dit is ingewikkeld en voor leken bijna niet te doen.

Het controleren is en blijft lastig maar misschien kan een Nederlandstalig uitleg op de wiki iets helpen, (voor Ubuntu) zie HoeSHA256SUMS en VerifeerISO.

Eventuele reacties in een eigen topic Documentatie → Hoe SHA256SUMS

[markba]

Wat wel helpt is het extra controleren van de md5 en sha hashes in combinatie met een pgp ondertekening. Maar dit is ingewikkeld en voor leken bijna niet te doen.

Het controleren is en blijft lastig maar misschien kan een Nederlandstalig uitleg op de wiki iets helpen, (voor Ubuntu) zie HoeSHA256SUMS en VerifeerISO.

Van wat ik zo begrijp, is dat in dit specifieke geval ook die codes aangepast waren aan de gewijzigde iso's. Dus zelfs al zou je het gecontroleerd hebben, dan zou je nog steeds niet gemerkt hebben.
(die hackers waren ook niet gek)

[Theo1971]

Een beetje off-topic,maar ik las net dat transmission (wellicht de bekendste torrentclient voor linux) op de mac besmet is met ransomware. Voor zover ik weet/lees gaat het alleen om de Mac versie, maar erg gerust ben ik er nietop aangezien dit ook een open-source project is.

[Ron]

Een beetje off-topic,maar ik las net dat transmission (wellicht de bekendste torrentclient voor linux) op de mac besmet is met ransomware. Voor zover ik weet/lees gaat het alleen om de Mac versie, maar erg gerust ben ik er niet op aangezien dit ook een open-source project is.

Zie voor meer informatie:
Nu.nl
WebWereld.nl
Security.nl

[Frederik]

Niet ongerust over worden.
Er is geen update uitgebracht voor Ubuntu Linux en als je Transmission automatisch laat updaten acht ik de kans op besmetting gering.

[testcees]

Van wat ik zo begrijp, is dat in dit specifieke geval ook die codes aangepast waren aan de gewijzigde iso's. Dus zelfs al zou je het gecontroleerd hebben, dan zou je nog steeds niet gemerkt hebben.

Door de ondertekening in het .pgp bestand te controleren had kunnen opvallen dat het SHA-256 en/of MD5 controlegetal was aangepast. Zie VerifieerISO

[Pjotr]

Weer een lekke webstek, dit keer van Transmission....

Enfin. Blij met onze officiële pakketbronnen, zeg ik altijd maar. 

[henkoegema]

Niet ongerust over worden.
Er is geen update uitgebracht voor Ubuntu Linux en als je Transmission automatisch laat updaten acht ik de kans op besmetting gering.

Hoe gebeurt dat automatisch updaten?
Ik gebruik Ubuntu 14.04 (al bijna 2 jaar) en mijn versie van Transmission staat op 2.82 (14160) en is nooit( ?) geupdate.

[Pjotr]

Niet ongerust over worden.
Er is geen update uitgebracht voor Ubuntu Linux en als je Transmission automatisch laat updaten acht ik de kans op besmetting gering.

Hoe gebeurt dat automatisch updaten?
Ik gebruik Ubuntu 14.04 (al bijna 2 jaar) en mijn versie van Transmission staat op 2.82 (14160) en is nooit( ?) geupdate.

Niks aan de hand, goed = goed. 

Als er veiligheids-updates nodig zouden zijn voor Transmission, dan krijg je die automatisch via Updatebeheer.

[Theo1971]

Het is niet zo zeer dat ik bang bent dat Ubuntu besmet raakt,  maar het is meer de zorg in het algemeen dat er steeds meer onverlaten het voorzien hebben op open-source projecten. Het herstellen van de schade kost meestal tijd (en geld) en een aantal van dit soort projecten hebben daar vaak een gebrek aan.

[markba]

Van wat ik zo begrijp, is dat in dit specifieke geval ook die codes aangepast waren aan de gewijzigde iso's. Dus zelfs al zou je het gecontroleerd hebben, dan zou je nog steeds niet gemerkt hebben.

Door de ondertekening in het .pgp bestand te controleren had kunnen opvallen dat het SHA-256 en/of MD5 controlegetal was aangepast. Zie VerifieerISO

Ah, die extra stap had ik ff niet in de gaten. Maar het is dan wel errug veel werk. Wie doet nu zoiets?

Weer een lekke webstek, dit keer van Transmission....

Idd, het lijkt op de Mint-hack:

Hoe de besmette versie van Transmission op de officiële website heeft kunnen verschijnen is nog niet duidelijk. "Het zou kunnen komen doordat de officiële website is gehackt en dat de officiële client is vervangen door een opnieuw gecompileerde versie, maar dat kunnen wij op dit moment niet bevestigen." Deze manier van besmetten lijkt erg op de Linux Mint-besmetting van enkele weken geleden.

En.....

Enfin. Blij met onze officiële pakketbronnen, zeg ik altijd maar. 

Ja, want daar worden allerlei zaken automatisch gecontroleerd. Waar het nu verkeerd gaat (Mint + Transmission) gaat om losse downloads, niet om een installatie-systeem zoals apt.

[vanadium]

Enfin. Blij met onze officiële pakketbronnen, zeg ik altijd maar. 

Ja, want daar worden allerlei zaken automatisch gecontroleerd. Waar het nu verkeerd gaat (Mint + Transmission) gaat om losse downloads, niet om een installatie-systeem zoals apt.

Tot dergelijke pakketbron eens gekraakt wordt?

[Pjotr]

Enfin. Blij met onze officiële pakketbronnen, zeg ik altijd maar. 

Ja, want daar worden allerlei zaken automatisch gecontroleerd. Waar het nu verkeerd gaat (Mint + Transmission) gaat om losse downloads, niet om een installatie-systeem zoals apt.

Tot dergelijke pakketbron eens gekraakt wordt?

Alles kan, helaas zelfs dat.... Een leven zonder risico's bestaat niet. Noch analoog, noch digitaal. 

De vraag is dus ook niet: hoe sluit ik elk risico uit? Maar wel: hoe houd ik, met een redelijke en proportionele inspanning, de risico's op een aanvaardbaar laag niveau?

Welnu, in dit concrete geval (de betrouwbaarheid van programmatuur) is het heel verstandig om 't zoveel mogelijk te houden bij wat er in de officiële pakketbronnen zit.

[testcees]

Transmission, een populair computerprogramma waarmee via BitTorrent (Wiki) bestanden worden gedownload. Dit is een methode om via bijvoorbeeld The Pirate Bay films, series of spellen illegaal te downloaden.

Oh, kan dat ook? Bij mij staat Transmission altijd aan voor het delen van Raspbian (Linux distributie voor Raspberry Pi). Helemaal legaal, sneller dan download via de website en automatisch gecontroleerd met een SHA-1 controlegetal. Op de Ubuntu-nl website staan ook torrent voor het (legaal en snel) downloaden van Ubuntu en afgeleide distributies (bijvoorbeeld met Transmission). Jammer dat alleen illegaal gebruik wordt genoemd in het nieuwsbericht.

Over downloadlinks op de Ubuntu-nl website gesproken, deze zijn in potentie ook te misbruiken voor dit soort aanvallen. Is het beter deze pagina’s te laten vervallen en  in plaats daarvan te verwijzen naar http://releases.ubuntu.com en http://cdimage.ubuntu.com ?
De ubuntu.com download-pagina’s zijn actueel en bevatten alle ondersteunde uitgaves inclusief de ondertekende bestanden met controlegetallen (MD5, SHA-1 en SHA-256) en torrents.