Waarschuwing: Mint ISO's met backdoor verspreid op 20 februari

[testcees]

Wat wel helpt is het extra controleren van de md5 en sha hashes in combinatie met een pgp ondertekening. Maar dit is ingewikkeld en voor leken bijna niet te doen.

Idee voor een handleiding op onze wiki?

Nu is er alleen een (oud) artikel over het gebruiken van MD5SUM. Dit kan worden uitgebreid met SHA256 en het gebruik van ondertekende controlegetallen met gpg.

Hoewel ik dan nog steeds verwacht dat veel gebruikers de ISO na het downloaden direct willen gebruiken en niet de moeite nemen deze te controleren. 

Het gebruik van https kan een extra drempel opwerpen voor bepaalde (MITM) aanvallen en op gangbare computers geeft dit weinig tot geen vertraging. Er is volgens mij geen goede reden om http te blijven gebruiken (anders dan de tijd nemen om het goed te configureren).

[Johan van Dijk]

@MKe: Voor de websites ben ik het met je eens.

Voor een download kan het zin hebben, maar voegt niet veel toe op het punt van betrouwbaarheid van die download. Naderhand zou je die toch moeten controleren met behulp van een getekende hash (md5sum, sha-sum, etc.). Anders kan je niet controleren of die wel volledig en zonder fouten is binnengekomen. En met de gpg ondertekening weet je zeker dat er niet gerommeld is met de bestanden en wie ze getekend heeft.

GPG wordt ook gebruikt voor het verifiëren van de updates die je met apt-get binnenhaalt, om maar wat te noemen.

[MKe]

Klopt. Maar in dit geval waren de hash codes op de site waarmee je moest vergelijken ook veranderd. Al met al had het voor de gebruiker niet uitgemaakt. Er was geen mogelijkheid om te controleren.

Overigens voor de minder onderlegde gebruikers, de firefox addon "download them all" kun je automatisch de checksum laten testen terwijl hij download. Hoef je de extra stap niet te doen.

[Pjotr]

Nieuw officieel bericht over de maatregelen die Linux Mint heeft genomen en voornemens is om binnenkort te gaan nemen: http://blog.linuxmint.com/?p=3007

Men maakt er veel werk van, en dat is ook terecht.

[MKe]

Een boodschap aan allen:

We cannot ignore the threat of malware and think that it only affects Windows.

[lachendearend]

--- lange lap tekst ---

Het "artikel" op LWN.net waar jij naar verwijst als basis voor je afkraken van Linux Mint, is kwalijke onzin.

Puntsgewijs:

1. Linux Mint streeft naar 100 % compatibiliteit met de Ubuntu-pakketbronnen. Vandaar dat de Ubuntubronnen onderdeel uitmaken van de bronnenlijst in Mint; Mint heeft slechts vrij weinig eigen programmatuur in haar eigen bronnen.

Er hoeft dus ook niets te worden gehercompileerd en CVE's voor de spullen uit de Ubuntubronnen kan men desgewenst bij Ubuntu bekijken: http://www.ubuntu.com/usn/

Bronnenlijst van Linux Mint 17.3 (de NLUUG is een Nederlandse spiegelserver die ik heb ingesteld voor de Mintpakketten):

Code: [Selecteer]

deb http://ftp.nluug.nl/os/Linux/distr/linuxmint/packages rosa main upstream import

deb http://extra.linuxmint.com rosa main

deb http://archive.ubuntu.com/ubuntu trusty main restricted universe multiverse
deb http://archive.ubuntu.com/ubuntu trusty-updates main restricted universe multiverse

deb http://security.ubuntu.com/ubuntu/ trusty-security main restricted universe multiverse
deb http://archive.canonical.com/ubuntu/ trusty partner
2. De politiek van Mint betreffende updates van bovenstrooms (voornamelijk Ubuntu), is een afgewogen keuze die niets met Frankenstein-handelwijzen te doen heeft. Een uitleg vind je hier: https://sites.google.com/site/computertip/10

3. Er is blijkbaar één voorbeeld van een "dubbele naam", namelijk bij mdm, waardoor een of ander onbelangrijk Ubuntupakketje blijkbaar niet installeerbaar is in Mint.

Xedit is al lang omgedoopt naar Xed, juist om een naamconflict te vermijden, dus dat speelt sowieso niet meer.

Eén voorbeeld is veel te weinig grond om dit dan maar te gaan lopen veralgemeniseren tot: "Mint kaapt pakketnamen".

4. Oracle Java zit al vele jaren niet meer standaard in Mint; dat is jaren geleden al vervangen door OpenJDK.

5. Speciaal voor de Verenigde Staten (en voor andere landen waar bepaalde codecs en programmatuur niet zomaar mogen worden verspreid), maakt Mint een editie zonder niet-vrije en eigendommelijke codecs en zonder pakketten als Adobe Flash Player.

Kortom: het LWN.net-schrijfsel stikt dus van de onjuistheden en de halve waarheden.

Overigens is het niet de gewoonte op dit forum, om andere distributies op onjuiste gronden te gaan lopen afkraken. Kritiek is één ding. Laster, zwartmaken en FUD-verspreiding zijn andere zaken.

[Mod edit: tekst in eerste citaat even wat netter gemaakt. Dat je het niet eens bent met testcees, prima. Maar zo verwoord je dat niet.]

mooi stukje om het zo neer te zetten,Mint heeft zeker niet mijn voorkeur maar heb er wel mee gewerkt. en ze doen echt goed hun best om alles goed en veilig te laten werken.

[testcees]

Een boodschap aan allen:

We cannot ignore the threat of malware and think that it only affects Windows.

En daarom:

We need scanners, and we’ll look into that as well, and we need something people can use to quickly and easily configure outgoing traffic and review applications communicating with their network, and Gufw does that very well.

Scanners? Ben wel nieuwsgierig welke, ClamAV (ClamTK)?

Ben ook wel nieuwsgierig hoe Gufw, als die standaard in Mint is geïnstalleerd, word ingezet om uitgaand netwerkverkeer te controleren.
Voor zover mij bekend kan Gufw algemene beperking op IP-adressen en poorten instellen maar, in tegenstelling tot de standaard Windows firewall, geen beperkingen opleggen/opheffen aan specifieke programmabestanden.

De TSUNAMI-backdoor maakte op poort 6667 een uitgaande verbinding met een IRC-server maar kan volgens mij kan een malafide backdoor ook een willekeurige ander poortnummer gebruiken (bijv. 80) die open staat om de computer normaal te kunnen gebruiken.

[MKe]

Ik denk dat aan een situatie als dit weinig te doen is. Als iemand de site hacked en zijn eigen iso's ter download aanbied dan is daar nooit een kruid tegen gewassen. Ze kunnen dan ook Firewall settings aanpassen, updates uitzetten, noem maar op. Dit is echt het ergste wat je als Linux distro kan overkomen.

De energie moet denk ik gericht worden op het beveiligen van de downloads en de website.

[testcees]

Ik denk dat aan een situatie als dit weinig te doen is.

Met andere woorden “Het is niet de vraag óf je wordt gehackt, maar wanneer”

De energie moet denk ik gericht worden op het beveiligen van de downloads en de website.

Voorkomen is beter dan genezen maar

We can’t just protect ourselves from attacks, we also need to think of how we can react to them after they’ve taken place. We need scanners

De geplaatste TSUNAMI-backdoor wordt (nu) door scanners als ClamAV opgemerkt.

Wie heeft er nu een scanner op een Linux desktop?

[Frederik]

Wie heeft er nu een scanner op een Linux desktop?

Ikke niet en die wil ik ook niet.

[Pjotr]

Frederik +1

Tja, het was te verwachten dat een gebruikelijke verdachte hier weer mee aan de loop zou gaan.... 

In de eerste plaats blijkt uit dat bericht niet duidelijk, wat er met scanners wordt bedoeld. En ook niet hoe die ingezet zouden moeten worden. Dat moeten we voorlopig nog afwachten.

En in de tweede plaats is ook de mening van de hoofdontwikkelaar van Linux Mint..... slechts een mening. Er zijn wel meer dingen waar ik niet hetzelfde over denk als hij, want anders zou ik geen direct-doen-lijstje hoeven te publiceren inzake Linux Mint. 

De energie moet denk ik gericht worden op het beveiligen van de downloads en de website.

Geheel mee eens.

Zoals de hoofdontwikkelaar van Linux Mint al aankaart: vooral de PPA's op Launchpad zijn natuurlijk in theorie een veiligheidsgat van jewelste, zowel voor Ubuntu als Linux Mint. Daar heeft-ie helemaal gelijk in. Zeker als je bedenkt dat hele volksstammen erg roekeloos omspringen met het toevoegen van PPA's aan hun bronnenlijsten.

Daar mag dus best wel eens kritisch naar worden gekeken: kan de veiligheid van wat er in PPA's zit worden verhoogd (extra controles)? En zo ja, welke gevolgen gaat dat dan hebben voor de gebruikers?

En niet minder belangrijk: hoe kunnen we onze gebruikers nog beter waarschuwen om voorzichtig en kritisch om te springen met PPA's?

[MKe]

De energie moet denk ik gericht worden op het beveiligen van de downloads en de website.

Geheel mee eens.

Zoals de hoofdontwikkelaar van Linux Mint al aankaart: vooral de PPA's op Launchpad zijn natuurlijk in theorie een veiligheidsgat van jewelste, zowel voor Ubuntu als Linux Mint. Daar heeft-ie helemaal gelijk in. Zeker als je bedenkt dat hele volksstammen erg roekeloos omspringen met het toevoegen van PPA's aan hun bronnenlijsten.

Daar mag dus best wel eens kritisch naar worden gekeken: kan de veiligheid van wat er in PPA's zit worden verhoogd (extra controles)? En zo ja, welke gevolgen gaat dat dan hebben voor de gebruikers?

En niet minder belangrijk: hoe kunnen we onze gebruikers nog beter waarschuwen om voorzichtig en kritisch om te springen met PPA's?

Ja, in principe zijn PPA's vergelijkbaar met de AUR van Arch. En bij Arch wordt er zeer duidelijk op gewezen dat je jezelf overlevert als je de AUR gebruikt. Het voordeel bij Arch is natuurlijk dat de gebruikers van die distro over het algemeen geen doorsnee gebruikers zijn en vaak wat meer technisch onderlegd. Deze gebruikers zijn gemiddeld wat kritischer dan de gemiddelde Ubuntu/Mint gebruiker denk ik.

Het wordt volgens mij erg moeilijk om gebruikers te overtuigen van gevaren en noodzaak van maatregelen (zie de firejail discussie). Voor mijn gevoel zal dit vooral bij Mint een probleem zijn. Ik heb altijd de indruk dat de Mint gebruikersgroep een grotere percentage verse Windows-bekeerlingen heeft en die zijn natuurlijk altijd gewend geweest om onbetrouwbare software bronnen te gebruiken (=installer van een internet site).

[

De energie moet denk ik gericht worden op het beveiligen van de downloads en de website.

Voorkomen is beter dan genezen maar

We can’t just protect ourselves from attacks, we also need to think of how we can react to them after they’ve taken place. We need scanners

De geplaatste TSUNAMI-backdoor wordt (nu) door scanners als ClamAV opgemerkt.

Wie heeft er nu een scanner op een Linux desktop?

Tja, maar scanners blijven achter de feiten aanhobbelen. Dit probleem in Mint is al onderkent en 'opgelost'. De scanner is leuk om de getroffen gebruikers een simpele methode te geven om de boel te herstellen. Standaard scanners installeren zal het voor de volgende keer iets moeilijker maken voor een hacker om dit weer te doen, maar maakt het niet echt onmogelijk. De hacker had in dit geval alle toegang tot de hele iso i.p.v. dat hij probeerde een gezond systeem aan te vallen. Het is een huiveringwekkend vooruitzicht.

[markba]

Zoals de hoofdontwikkelaar van Linux Mint al aankaart: vooral de PPA's op Launchpad zijn natuurlijk in theorie een veiligheidsgat van jewelste, zowel voor Ubuntu als Linux Mint.

Eens kijken. De site van Mint wordt gehackt omdat ze kennelijk niet wisten hoe een wordpress-site goed beveiligd moet worden. En dan begint hij over PPA's van Ubuntu die een risico vormen?!?!?!? Waarom iets erbij slepen wat totaal irrelevant wat betreft het probleem wat hier speelt (hun eigen onvermogen). Op zijn minst een zeer wonderlijke redenatie.
(het zou natuurlijk anders zijn als een ppa wél de oorzaak van de hack zou zijn, maar dat is (hier) geenszins het geval)

[MKe]

Markba, Ik denk dat je dat anders moet zien. Volgens mij zijn ze ineens wakker geschud van hun gezapig 'Linux kan niet gehacked worden' instelling en proberen ze nu alle mogelijke lekken te vinden. De website hacken, zoals nu gebeurde is 1 ding en dan kun je wel proberen dat gat te dichten, maar het heeft geen zin om de voordeur op slot te doen terwijl je het raam open laat staan. Je moet een totaal aanpak gaan doen nu Linux blijkbaar ineens interessant genoeg is om aan te vallen. Daarbij is het aanstippen van de pijnpunten wel degelijk belangrijk en good practise.

[Ron]

Tja, maar scanners blijven achter de feiten aanhobbelen.

Een scanner is eigenlijk een gevolg-bestrijder, terwijl het probleem bij de oorzaak moet worden aangepakt,
Helaas is dit niet altijd mogelijk, maar opvoeden kunnen we natuurlijk wel
Ook ik gebruik PPA's, maar wel zeldzaam en alleen uit bekende bronnen, zoals b.v. Opera.
Zou het een keer fout gaan, dan nemen we een andere "werk" partitie, octal-boot heeft zo zijn voordelen...........

[Ron]

Tja, maar scanners blijven achter de feiten aanhobbelen.

Een scanner is eigenlijk een gevolg-bestrijder, terwijl het probleem bij de oorzaak moet worden aangepakt,
Helaas is dit niet altijd mogelijk, maar opvoeden kunnen we natuurlijk wel
Ook ik gebruik PPA's, maar wel zeldzaam en alleen uit bekende bronnen, zoals b.v. Opera.
Mocht het een keer fout gaan, dan nemen we een andere "werk" partitie, octal-boot heeft zo zijn voordelen...........

[h2o]

Markba, Ik denk dat je dat anders moet zien. Volgens mij zijn ze ineens wakker geschud van hun gezapig 'Linux kan niet gehacked worden' instelling en proberen ze nu alle mogelijke lekken te vinden.

Even iets rechtzetten: Linux is niet gehackt! Er is ingebroken in een website van een Linux distributie. Via die inbraak is er vervolgens het een en ander door de inbrekers gemuteerd. Dat is wat er is gebeurd. Niets meer en niets minder.
Dat er verder consequenties aan vast zitten is een ander verhaal.

[markba]

Markba, Ik denk dat je dat anders moet zien. Volgens mij zijn ze ineens wakker geschud van hun gezapig 'Linux kan niet gehacked worden' instelling en proberen ze nu alle mogelijke lekken te vinden.

Even iets rechtzetten: Linux is niet gehackt! Er is ingebroken in een website van een Linux distributie. Via die inbraak is er vervolgens het een en ander door de inbrekers gemuteerd. Dat is wat er is gebeurd. Niets meer en niets minder.
Dat er verder consequenties aan vast zitten is een ander verhaal.

Dat is wat ik probeer te zeggen. Je kunt er van natuurlijk van alles bijslepen die in theorie een mogelijk gevaar is maar dat is best onzinnig. PPA's schijnen voor sommige lieden reden voor een persoonlijke kruistocht te zijn.

[Pjotr]

PPA's schijnen voor sommige lieden reden voor een persoonlijke kruistocht te zijn.

En voor andere lieden blijkbaar een reden om hun kop in het zand te steken. 

[Frederik]

Dat brengt mij op de vraag: ik gebruik een PPA voor LibreOffice en een PPA voor Pipelight.
Is dat nu veilig of niet ?

[MKe]

Markba, Ik denk dat je dat anders moet zien. Volgens mij zijn ze ineens wakker geschud van hun gezapig 'Linux kan niet gehacked worden' instelling en proberen ze nu alle mogelijke lekken te vinden.

Even iets rechtzetten: Linux is niet gehackt! Er is ingebroken in een website van een Linux distributie. Via die inbraak is er vervolgens het een en ander door de inbrekers gemuteerd. Dat is wat er is gebeurd. Niets meer en niets minder.
Dat er verder consequenties aan vast zitten is een ander verhaal.

Nee dat zie ik niet zo. Dit lijkt mij een te versimpelde voorstelling van zaken.  Ik vind absoluut niet dat de consequenties een ander verhaal is. Ik denk dat dit geen geïsoleerd geval blijft.

De Linux infrastructuur is gehacked. De hele Linux ecosysteem drijft op het feit dat er via webservices software wordt aangeleverd. De gecontroleerde software bronnen is een van de belangrijkste argumenten om te claimen dat Linux veilig is. Nu blijken deze software bronnen (in dit geval de iso download) ineens doel geworden te zijn van hackers. Dat ze daarbij nu de zwakste schakel hebben gebruikt doet er niet aan toe. Ze hebben de kern van Linux aangevallen. Naar mijn mening is er dus een goede aanleiding om de ecostructuur van Linux onder de loop te gaan nemen. En inderdaad, ongecontroleerde PPA's zijn wel degelijk een andere zwakke schakel en moeten zeker genoemd worden.

We moeten dingen kunnen blijven benoemen en kritisch zijn.

Dat brengt mij op de vraag: ik gebruik een PPA voor LibreOffice en een PPA voor Pipelight.
Is dat nu veilig of niet ?

Dat hangt af van de PPA's. Maar we moeten op dit moment niet in paniek schieten. PPA's zijn dingen die je met beleid moet gebruiken. Als jij de bron van die PPA's vertrouwd dan zal het wel goed zijn. Ik denk dat Pjotr meer doelt op mensen die dat niet controleren en zo maar allerlei PPA's toevoegen.

[Pjotr]

Dat brengt mij op de vraag: ik gebruik een PPA voor LibreOffice en een PPA voor Pipelight.
Is dat nu veilig of niet ?

Er zijn PPA's en PPA's. Hoewel alleen de officiële pakketbronnen volledig te vertrouwen zijn, is de ene PPA beter te vertrouwen dan de ander.

Ik kijk naar dingen als: wie zijn de beheerders van de PPA? Als het een bekend bedrijf is of ontwikkelaars van Ubuntu, LibreOffice enzovoorts, dan is zo'n PPA natuurlijk meer te vertrouwen dan de PPA van een of andere onbekende figuur die een eenmans-PPA'tje beheert.

Verder: hoe actief wordt de PPA bijgehouden? Wanneer vonden de laatste codetoevoegingen plaats? Dat geeft geen indicatie over het risico op kwaadaardige programmatuur, maar wel een aanwijzing over hoe goed de boel wordt bijgehouden met o.a. veiligheids-updates.

[markba]

PPA's schijnen voor sommige lieden reden voor een persoonlijke kruistocht te zijn.

En voor anderen blijkbaar een reden om hun kop in het zand te steken. 

Zoals dat er elke dag een nieuw geval van een gecompromitteerde PPA bijkomt? Oh wacht, die zijn er niet.... 
(zoals ik wel vaker zeg: zelf besteed ik mijn tijd niet aan volkomen uit de lucht gegrepen theoretische risico's, heb wel wat beters te doen; of iemand anders dat doet moet ie helemaal zelf weten)

[DarkEra]

Nee dat zie ik niet zo. Dit lijkt mij een te versimpelde voorstelling van zaken.  Ik vind absoluut niet dat de consequenties een ander verhaal is. Ik denk dat dit geen geïsoleerd geval blijft.

De Linux infrastructuur is gehacked. De hele Linux ecosysteem drijft op het feit dat er via webservices software wordt aangeleverd. De gecontroleerde software bronnen is een van de belangrijkste argumenten om te claimen dat Linux veilig is.

Te claimen dat iets veilig is, ongeacht welke argumenten dan ook, is totally wrong. Niets is veilig, ook Linux niet. De mensen die denken van wel leven in een droomwereld imho....

[h2o]

Markba, Ik denk dat je dat anders moet zien. Volgens mij zijn ze ineens wakker geschud van hun gezapig 'Linux kan niet gehacked worden' instelling en proberen ze nu alle mogelijke lekken te vinden.

Even iets rechtzetten: Linux is niet gehackt! Er is ingebroken in een website van een Linux distributie. Via die inbraak is er vervolgens het een en ander door de inbrekers gemuteerd. Dat is wat er is gebeurd. Niets meer en niets minder.
Dat er verder consequenties aan vast zitten is een ander verhaal.

Nee dat zie ik niet zo. Dit lijkt mij een te versimpelde voorstelling van zaken.  Ik vind absoluut niet dat de consequenties een ander verhaal is. Ik denk dat dit geen geïsoleerd geval blijft.

De Linux infrastructuur is gehacked.

Er is bij een linuxdistributie via een website binnengedrongen. Als er via de website van Mint wordt ingebroken is dat alleen vervelend voor Mint en zijn gebruikers. Niet voor bijv. Debian, OpenSuSE, Red Hat en noem verder maar op.
Dat heeft niets met de infrastructuur van Linux, maar wel met die van (in dit geval) Mint te maken.
Als de website  Red Hat wordt gehackt, is dat ook weer niet van toepassing voor Mint. En zo kunnen we doorgaan.