|
Diese Diskussion wurde archiviert.
Es können keine neuen Kommentare abgegeben werden.
|
|
|
| |
|
 |
|
|
|
|
|
|
|
Verdammt da muss ich dir zustimmen, wer auf einem wichtigen Server als Root etwas installiert oder entpackt ohne signatur zu überprüffen ist einfach verdammt blöd!
JA DAS SAGE ICH, DAS DENKE ICH UND DAS MEINE ICH !
Egal wie gut er Sendmail konfiguriert, oder perl scriptet, egal wie viel ehr über Unix weiss wenn er nicht die Signaturen überprüft, dann bringt der rest nämlich nen mist :)...
|
|
|
|
|
|
|
|
|
|
|
|
|
Wenn die Signaturen im gleichen Directory wie die tar Files liegen, bringt das überprüfen auch nichts, es sei den der Cracker sei recht dumm/liebenswürdig.
Gruss Kohlendioxid
|
|
|
|
|
|
|
|
|
|
|
|
|
na ja, da hast du recht :)
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Friday 11. October, 14:13 MEW (#14)
|
|
|
|
|
Zum Glück ist dies falsch! Signaturen bringen immer was, das ist ja grad der Witz daran. Egal wo sie sich auf dem Server, auf der CD usw. befinden.
Hashes kann jede beliebige Person von jedem beliebigen File selbst erzeugen und somit fälschen. Eine gültige Signatur kann nur erzeugen, wer im Besitz des Private Keys ist. Ein Intruder müsste sich also auch den Private Key und dessen Pass phrase beschaffen, damit er die Signatur fälschen könnte. Dies ist aber i.a. nicht möglich, da man den Private Key an einem gut geschützten Ort (sicher nicht auf einem Server!), z.B. einer Diskette, einem USB-Token oder einer Smartcard zuhause aufbewahrt. Sollte der Private Key trotzdem kompromittiert werden, kann bzw. muss der Key vom Besitzer unverzüglich zurückgezogen (=für ungültig erklärt) werden.
Wer jetzt denkt: "ja woher soll ich denn wissen, dass zum File XY eine Signatur existiert?" dem sei gesagt: Man sollte aus Sicherheitsgründen eigentlich immer nur Software installieren, die signiert ist. Also Finger weg davon, wenn keine Signatur vorhanden ist. Bzw. wenn, dann sollte man sie zum Testen nur in einer geschützten Umgebung installieren (z.B. auf einem vom Netz isolierten Sandkasten-Computer, bei dem es egal ist, wenn etwas kaputt geht dabei). In der Praxis sind wir, wie wir alle wissen, noch weit entfernt von einer konsequenten Umsetzung dieses Prinzips. Automatische Überprüfungsmechanismen könnten dabei aber helfen (der Mensch ist ein bequemes Wesen).
Ein noch ungelöstes Problem beim gegenwärtigen Signieren basierend auf PKI/OpenPGP ist, dass die Sicherheit der verwendeten asymmetrischen Algorithmen (noch?) nicht bewiesen ist.
|
|
|
|
|
|
|
|
|
|
|
|
|
Genau. Allerdings passiert auch das (oder wird evtl. aus Absicht gemacht, damit es nur Publicity, aber keinen Schaden gibt), wie man bei der OpenSSH letzthin gesehen hat. Denn dort wurde der Trojaner entdeckt, weil genau die MD5-Summe, die daneben im Verzeichnis lag, nicht stimmte.
--
Einer der Gnutella-Klone heißt Gnutoka, und ich frag mich, wann Gnusspli rauskommt...
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Thursday 10. October, 18:57 MEW (#8)
|
|
|
|
|
Tja, noch nicht lange her seit der Diskussion:
"Darf root einfach so, auf produktiven rechnern die neusten .dep pakages installieren ?"
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Thursday 10. October, 13:02 MEW (#4)
|
|
|
|
|
Bis die Devs und Users begreifen, dass Package Signing unabdingbare Voraussetzung fürs sichere Verteilen von Software ist? Mindestens die Integrität und die Authentizität eines Softwarepakets müssen gewährleitstet werden können.
Ich "predige" das schon seit langem, bisher leider mit mässigem Erfolg. Nachwievor werden zuerst publizitätswirksame Features implementiert, um Sicherheitsaspekte kümmert man sich erst, wenn es brennt und auch dann nur halbherzig. Dabei wäre es wichtig, zuerst ein sicheres Fundament zu entwerfen, auf dem danach "Feature-Layers" aufsetzen können. Ich suche immer noch das OS/die Distro, bei der die Sicherheit wirklich an erster Stelle steht, das also so vorgeht. Kennt jemand so ein Open Source Projekt? Braucht nicht unbedingt Linux oder ein *BSD zu sein.
NB: Das Überprüfen von MD5- und anderen Hashes ist aus Sicherheitssicht irrelevant, denn die kann ein Intruder i.a. genauso leicht manipulieren wie ein Softwarepaket selbst! Nur das Überprüfen von Signaturen kann die Vertrauenswürdigkeit erhöhen (im Fall von OpenPGP durch das Web of Trust).
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Da fällt mir nur eines ein: OpenBSD
Ist zwar nicht so schwer zu installieren, aber paranoia pur.
Die Sicherheit eines Systems ist stark von der Konfiguration des Administrators abhängig. Wobei somit die Grundlage und die Möglichkeiten für das 'sicher machen/installieren/konfigurieren' bei einem Betriebssystem ausschlaggebend ist. Ich bevorzuge Linux, weil man hier extrem viele Möglichkeiten hat und eine viel feinere Abstuffung hat.
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Thursday 10. October, 22:02 MEW (#9)
|
|
|
|
|
Nee. Bei OpenBSD gabs nämlich vor 3 Monaten das gleiche Problem - Makefile-Trojaner in OpenSSH, auf FTP Server geschmuggelt und auf Mirrors propagiert. Hätte OpenBSD eine automatische Paket-Signatur-Überprüfung eingebaut, wäre das Ganze nie ein Problem gewesen...
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Friday 11. October, 11:43 MEW (#11)
|
|
|
|
|
Wenn sich die md5 Checksumme mit auf dem Server befindet, wie bitte soll sicher gestellt werden, dass diese nicht auch vom Hacker 'nachgebessert' wird? Ich habe deswegen bedenken, da eine automatische Prüfung, wie ich sie bei Debian/apt vermute, keine andere Prüfungsmöglichkleit bietet.
|
|
|
|
|
|
| |
|
|
|
|
Von Anonymer Feigling am Friday 11. October, 13:57 MEW (#13)
|
|
|
|
|
Richtig erkannt, siehe maol. Eben genau darum wäre es wichtig, dass die gegenwärtigen Softwaredistributions-Systeme weg kämen vom automatischen Überprüfen von reinen Hashes (simpel, aber bringt nichts, stammt noch aus der Zeit, als es vor allem ums Erkennen von Übertragungsfehlern ging, nicht ums Erkennen von mutwilligem Trojanisieren) hin zum mehr oder weniger automatischen Überprüfen von Signaturen. Technisch ist das ohne weiteres möglich, jedoch etwas schwieriger zu implementieren als nur das Überprüfen von Hashes.
|
|
|
|
|
|
