Waarschuwing: Mint ISO's met backdoor verspreid op 20 februari

[Johan van Dijk]

Dat zal niet heel veel helpen. Als iemand onze site hackt en de linkjes naar releases.ubuntu.com vervangt sturen we mensen alsnog de verkeerde kant op.

[ZijneBalorigheid]

Beste lieden,

Ok ik kwam hier wat later achter, heb het hele hackverhaal compleet gemist. Zeer waarschijnlijk ook geen schade geleden daar ik Mint KDE gebruik maar ik zou alhier de discussie toch weer eens willen aanzwengelen.
Als ik de vraag stel: vertouwen jullie mint als veilige distro? Zo ja waarom? Zo nee, waarom niet en welke distro dan wel?

[Ron]

Mint is veilig.
Maar wanneer een website gehackt is en naar een verkeerde download wijst, dan is dat niet de schuld van de distributie.

[ZijneBalorigheid]

Ron,

Dat is mij inderdaad ook duidelijk. Maar als ik nu diverse stukken er na sla, zie ik dat er nog al eens wordt aangenomen dat Mint bijvoorbeeld minder veillig zou zijn dan Ubuntu. De makers van Mint hebben zelf aangegeven dat ze in mint 18 de beveiliging drastisch hebben aangepakt. Zeggen ze ook niet voor niets, los van dat ik het toejuich. Is het dan werkelijk terecht om te stellen dat mint onveiliger was/is en waar komt dat dan door? Waar komt de eventuele onveiligheid door of waar komt de onterechte opvatting door? Let wel dat ik hier nog niet zo heel veel van weet al ben ik inmiddels een fervent linuxgebruiker.

[Ron]

Even kort door de bocht: 100% veilig bestaat niet.
Kijken we naar de stamboom dan denk ik (persoonlijke mening):
Debian is van de stamboom de veiligste en de onvriendelijkste.
Ubuntu is een vriendelijker systeem en is misschien 1% minder veilig.
Mint is volgens sommigen de vriendelijkste, maar is misschien 2% minder veilig.
Op dezelfde schaal zou ik een ander veel gebruikt OS ergens tussen de 25% en 50% minder veilig willen zetten.

Volvo, BMW en Mercedes zijn door hun kooi constructie veilige auto's, vergelijk het daarmee!
Een Trabant is een stuk minder veilig.

Ter info: In Engeland is in 2015 Ubuntu tot het veiligste OS benoemd (zou BSD ook bekeken zijn?) ................
Het bovenstaande is mijn PERSOONLIJKE mening!

[MKe]

De reden waarom dit sommige mensen Mint als minder veilig wordt gezien is dat Mint een andere update policy heeft dan B.v. Ubuntu. Het gaat hierbij om de standaard instellingen waardoor veiligheidsuodates blijkbaar langzamer komen dan bij b.v. Ubuntu.
Het verhaal in dit draadje is trouwens wel degelijk het team aan te rekenen. Zij hadden domweg de beveiliging van hun website niet op orde. Gelukkig hebben ze daar zelf ook erkent en hebben ze dat nu aangepakt. Ik neem aan dat Mint dus nu veilig is.

[Pjotr]

De reden waarom dit sommige mensen Mint als minder veilig wordt gezien is dat Mint een andere update policy heeft dan B.v. Ubuntu. Het gaat hierbij om de standaard instellingen waardoor veiligheidsuodates blijkbaar langzamer komen dan bij b.v. Ubuntu.

Wat uitleg over het updatebeheer in Linux Mint:
https://sites.google.com/site/computertip/10

Dat updatebeheer vind ik overigens één van de belangrijkste voordelen van Mint. Misschien zelfs wel het allergrootste voordeel.

[FrSu]

De website van Mint was gehackt en er was een valse Mint versie opgezet met een backdoor. Dat zegt toch niets over de veiligheid van de "goede" Mint?

Voor mij is deze nog steeds veilig, Clem heeft zo snel mogelijk gehgandeld, dat was goed.

Dat er servers gehackt worden is kwalijk, maar dat overkomt niet alleen Clem. Wie weet hoe vaak het elders gebeurd is en er geen melding van is gemaakt?

[ZijneBalorigheid]

De reden waarom dit sommige mensen Mint als minder veilig wordt gezien is dat Mint een andere update policy heeft dan B.v. Ubuntu. Het gaat hierbij om de standaard instellingen waardoor veiligheidsuodates blijkbaar langzamer komen dan bij b.v. Ubuntu.

Wat uitleg over het updatebeheer in Linux Mint:
https://sites.google.com/site/computertip/10

Dat updatebeheer vind ik overigens één van de belangrijkste voordelen van Mint. Misschien zelfs wel het allergrootste voordeel.

Daarom is het dus ook helemaal niet verkeerd om de discussie en dus de bewustwording gaande te houden. Het updatebeheer van mint is inderdaad handig. Echter, ik werk met mint KDE en daar alleen cinnamon voor zover bekend is gecompromitteerd, hoef ik me over de hack geen zorgen te maken. Hoe het updatebeheer van mint kde werkt is bijna gelijk aan hoe dat werkt bij Kubuntu. Dat weet ik dan weer omdat ik met Kubuntu 14.04 heb gewerkt voor ik overstapte op Mint KDE vanwege iets uitgebreidere out of the box opties. Aangezien Kubuntu gewoonweg Ubuntu met een KDE schil is, durf ik te stellen dat deze ook profiteert van de degelijke beveiliging van de Ubuntu familie. WEerspreek mij gerust als dit een misvatting is daar ik slechts een gebruiker ben met traag groeiende kennis van de diepere aspecten.

Wellicht een mooie gelegenheid om de nieuwste LTS kubuntu eens te bekijken eens te meer deze fraaier lijkt te zijn dan mint (Waar je mee werkt, moet je tenslotte tegenaan kijken dus dat weegt mee).

Het kan zijn dat ik te ver off topic ga, maar wat vinden jullie van de veiligheid van bijvoorbeeld een OpenSuse ? Welke optie mag in het algemeen voor veiligheid wat jullie betreft niet ontbreken of welke is juist een risico. Komt u aub met uw inzichten want ik denk dat het belangrijk is dat juist ook de minder onderlegde gebruikers op dit gebied goed moeten worden voorgelicht.

[ZijneBalorigheid]

Frsu: dat werd hiervoor ook inderdaad al onderstreept en is ook juist. Het is echter zo dat het geheel een discussie heeft doen oplaaien of er niet een groter probleem speelde.
Ook dat hoeft natuurlijk niets met het hacken van een server te maken te hebben.
Er is ook zonder meer wat voor te zeggen dat het vaker gebeurd kan zijn en niet gemeld. VErgelijking: Veel westerse autofabrikanten verdoezelen constructiefouten en bv een Toyota roept gewoon publiekelijk auto's terug, zeikt niet, en lost het op.

Nu wil ik echter trachten om de discussie wat breder te trekken naar veiligheid en afwegingen om tot goede keuzes te komen wat betreft die veiligheid. Ik denk op zich ook dat het met die vermeende onveiligheid van Mint wel losloopt........

[Pjotr]

alleen cinnamon voor zover bekend is gecompromitteerd, hoef ik me over de hack geen zorgen te maken.

Er is sowieso niks gecompromitteerd, destijds. Alleen de webstek van Mint is één dag gekraakt geweest, waardoor op die ene dag de webkoppelingen voor het binnenhalen van de iso's van Mint, verwezen naar een spiegelserver in Bulgarije (of ergens in die buurt), waar vervalste iso's op stonden.

Als je dus net op die ene dag een iso van Mint had binnengesleurd, via de betreffende webpagina op de webstek van Mint, dan had je dus pech.

Eén dag. Alleen de webkoppelingen op die webstek. Dat is alles. Erg genoeg, natuurlijk, maar niet overdrijven. 

[ZijneBalorigheid]

Geachte Pjotr,

Inderdaad die ene dag en die ene distro op die ene plek. Klopt helemaal maar hoe je het ook wendt of keert: compromitteren kan in veel gradaties maar het blijft gecompromitteerd of je het nu een onprettig woord vind of niet.
Nu is mij opgevallen dat jij erg fanatiek stelling lijkt te nemen ten aanzien van kritische vragen over Mint. Aangezien ik ook van jouw site/info gebruik maak, kan ik hier goed doorheen prikken en durf ik op basis van jouw argumentatie best te geloven dat mint veilig is. Ik ben alleen benieuwd naar meerdere invalshoeken afkomstig van mensen die beter geïnformeerd zijn dan ik. Daarbij zou het ook jammer zijn, want ik vind Mint KDE tot nu toe het fijnst om mee te werken.......

[MKe]

Tja, ik ben niet echt een fan van Mint, maar ik geloof niet dat het op moment veel onveiliger is dan Ubuntu. Volgens mij kun je het gewoon veilig gebruiken. Zeker nu, na de eerdere problemen hebben ze de boel goed onder handen genomen, zodat ook hun servers nu erg veilig zijn. Geen probleem dus.

[ZijneBalorigheid]

Op zich heb ik ook de neiging om daar vertrouwen in te hebben. Dan blijft bij mij nog wel de verwarring omtrent wat nu wijsheid is.
Mint schrijft voor om alleen updates van een level 1 tm 3 toe te staan en op te passen met 4 en 5 maar daar is dus ook discussie over.

[midas]

Laat ik voorop stellen dat ik Mint en Ubuntu graag door elkaar gebruik. Een echte voorkeur heb ik niet, beiden zijn in mijn ogen en mijn hardware voortreffelijke stukjes software.
Mint laat je echter kiezen om voor stabiliteit te gaan of voor maximale veiligheid. Dat kun je naar eigen keuze instellen. De keuze is dus aan jouzelf.

In het recente verleden had Mint echter wel een aantal zaken die ik niet zo snapte. Het flashpakket werd bijvoorbeeld pas heel laat geupdate en ook bij het gebruik van mono stelde ik vraagtekens. Voor een meer ervaren gebruiker was het simpel te verhelpen maar eigenlijk moet het out of the box al goed zijn.

Maar dat is allemaal met Mint 18 verholpen dus waar praten wij over? Ik kan alleen maar putten uit mijn eigen ervaring en met Mint heb ik nooit problemen gehad. Het draait allemaal wonderwel. Ook de KDE-versie heb ik meermalen gedraaid.

[Pjotr]

Op zich heb ik ook de neiging om daar vertrouwen in te hebben. Dan blijft bij mij nog wel de verwarring omtrent wat nu wijsheid is.
Mint schrijft voor om alleen updates van een level 1 tm 3 toe te staan en op te passen met 4 en 5 maar daar is dus ook discussie over.

Zoals midas al zegt: dat schrijft Mint niet voor, dat laat Mint over aan de gebruikers.... Bij installatie van Mint 18 krijg je de vraag voorgelegd, welk bijwerkbeleid je wil toepassen. Met een verklarende toelichting bij elk van de drie beschikbare vormen van bijwerkbeleid.

Elk van die drie opties levert een veilig systeem op. Heel wat veiliger dan Windows, om maar eens iets te noemen. De keuze die je hebt, is of je al dan niet een klein stukje veiligheid wil inleveren voor meer betrouwbaarheid en stabiliteit.   

Voor de duidelijkheid geef ik nogmaals de webkoppeling naar de uitleg die ik daarover heb geschreven:
https://sites.google.com/site/computertip/10

[ZijneBalorigheid]

Vooralsnog wacht ik met belangstelling op de KDE versie van Mint 18.