|
| Debian: Some Debian Project machines compr~ Fra : Peder |
Dato : 23-11-03 20:13 |
| | |
Rasmus Bøg Hansen (23-11-2003)
| Kommentar Fra : Rasmus Bøg Hansen |
Dato : 23-11-03 21:38 |
|
Peder <pf@fabel.dk.RE.MOVE.INVALID> writes:
> Some Debian Project machines compromised:
>
> <URL: http://www.debian.org/News/2003/20031121 >
> Er der nogen der har en ide til at checke disse filer MANUELT med en
> alternativ gnupg (som jeg har installeret) i stedet for den nytilkomne.
Jeg mener ikke at filerne normalt er signeret og jeg er iøvrigt ikke
helt stiv i gnupg. Jeg bemærker dog:
"The archive is not affected by this compromise!"
Hvis man kan stole på det, burde der jo ikke være nogen ko på isen -
eftersom "arkivet" er alle pakker mv. Desuden indeholder ingen af de
omtalte maskiner hovedarkivet - med undtagelse af security, der jo
blev taget ud af drift; alle dine nye pakker kommer dog fra et spejl
af hovedarkivet.
/Rasmus
--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
Life is that property, which a being will lose as a result of falling
out of a cold and mysterious cave 30 miles above ground level.
- HitchHikers Guide to the Galaxy, Douglas Adams
----------------------------------[ moffe at amagerkollegiet dot dk ] --
| |
Peder (24-11-2003)
| Kommentar Fra : Peder |
Dato : 24-11-03 09:51 |
|
Rasmus Bøg Hansen wrote:
> > Er der nogen der har en ide til at checke disse filer MANUELT med en
> > alternativ gnupg (som jeg har installeret) i stedet for den nytilkomne.
>
> Jeg mener ikke at filerne normalt er signeret og jeg er iøvrigt ikke
> helt stiv i gnupg. Jeg bemærker dog:
>
> "The archive is not affected by this compromise!"
>
> Hvis man kan stole på det, burde der jo ikke være nogen ko på isen -
Det er jo lige det, altså hvad man efterhånden kan stole på 8-/
Derfor ville jeg også godt manuelt checke de filer ud (fx ved at hive
dem over på en anden spand), for at sikre at de ikke var "pyntet af" med
noget mindre interessant.
> eftersom "arkivet" er alle pakker mv. Desuden indeholder ingen af de
> omtalte maskiner hovedarkivet - med undtagelse af security, der jo
> blev taget ud af drift; alle dine nye pakker kommer dog fra et spejl
> af hovedarkivet.
Der er (for mig) en del løse ender i den aktuelle "opdatering" af de 10
filer.
Sikkerheds-arkivet er faldet ud, men normalt bør disse pakker være nyere
end dem der ligger i stable der vel derfor normalt ikke kan overgå
sikkerheds-pakkerne.
I det her tilfælde har man så samtidig udrullet en Woody release 3.0r2.
til mirrors der i principet kunne have nyere pakker af de anførte (men
det ved jeg p.t. intet om) og derfor ruller de ind på spanden.
Der er dog (IMHO) en del af de pakker som det ville være MEGET uheldigt
om der var "pillet ved", derfor ønsket om at kunne checke dem manuelt
uden om Debians normale pakke-håndtering / et Debian-util.
Men jeg mangler lige et hint til en HOWTO do, herunder access til noget
checksum/key ...
--
Med venlig hilsen / Best regards,
Peder
| |
Rasmus Bøg Hansen (24-11-2003)
| Kommentar Fra : Rasmus Bøg Hansen |
Dato : 24-11-03 12:04 |
|
Peder <pf@fabel.dk.RE.MOVE.INVALID> writes:
> Det er jo lige det, altså hvad man efterhånden kan stole på 8-/
Jep
> Derfor ville jeg også godt manuelt checke de filer ud (fx ved at hive
> dem over på en anden spand), for at sikre at de ikke var "pyntet af" med
> noget mindre interessant.
Klart, det forstås.
> Sikkerheds-arkivet er faldet ud, men normalt bør disse pakker være nyere
> end dem der ligger i stable der vel derfor normalt ikke kan overgå
> sikkerheds-pakkerne.
Sikkerhedsarkivet blev gennemgået manuelt inden det blev sat online
igen.
De nævnte pakker er alle pakker med ikke-sikkerhedsrelaterede
bugfixes. Det betyder, at de *ikke* har ligget i sikkerhedsarkivet,
hvorfor hovedarkivets version er den nyeste (efter opdateringen fra
3.0r1 til 3.0r2).
> I det her tilfælde har man så samtidig udrullet en Woody release 3.0r2.
> til mirrors der i principet kunne have nyere pakker af de anførte (men
> det ved jeg p.t. intet om) og derfor ruller de ind på spanden.
Ja, man kan argumentere for, at det er uheldigt, at udgivelsen af
3.0r2 er faldet sammen med en kompromittering af nogle maskiner - men
det havde formentlig været uheldigt uanset hvad...
Som sagt burde de omtalte pakker ikke findes i nyere versioner på
spejlene - hovedarkivets burde her være de nyeste.
> Men jeg mangler lige et hint til en HOWTO do, herunder access til noget
> checksum/key ...
Som sagt er pakker i pakkearkivet svjh. ikke signeret. Pakker, der
uploades, skal være signeret, før build-systemet samler dem op.
Normalt ville jeg have fisket checksummen op på packages.debian.org -
men da den kører på gluck, ville jeg nok ikke stole på den. Hvis den
altså var tilgængelig.
/Rasmus
--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
I was going to compile a list of innovations that could be
attributed to Microsoft. Once I realized that Ctrl-Alt-Del
was handled in the BIOS, I found that there aren't any.
----------------------------------[ moffe at amagerkollegiet dot dk ] --
| |
Peder (26-11-2003)
| Kommentar Fra : Peder |
Dato : 26-11-03 10:15 |
|
Rasmus Bøg Hansen wrote:
> Sikkerhedsarkivet blev gennemgået manuelt inden det blev sat online
> igen.
Det er meget fint, men ikke til megen hjælp HVIS det nødvendige debian
util, gnupg mv., der er kommet indebords på en given kasse, er blevet
pillet ved ;-(
> De nævnte pakker er alle pakker med ikke-sikkerhedsrelaterede
> bugfixes. Det betyder, at de *ikke* har ligget i sikkerhedsarkivet,
> hvorfor hovedarkivets version er den nyeste (efter opdateringen fra
> 3.0r1 til 3.0r2).
Det forstås.
> Normalt ville jeg have fisket checksummen op på packages.debian.org -
> men da den kører på gluck, ville jeg nok ikke stole på den. Hvis den
> altså var tilgængelig.
Yep, jeg sad først og fedtede med noget md5sum på pakkerne som stemte
overens med det der stod i
<URL:
http://ftp.dk.debian.org/debian/dists/stable/main/binary-i386/Packages.gz
>
Men det hjælper jo lige fedt, for hvis nogen har pillet, har de sikkert
også pillet der
Jeg lurede lidt på:
<URL:
http://www.linuxsecurity.com/docs/harden-doc/html/securing-debian-howto/ch7.en.html
>
Jfr. pkt 7.1 første punkt.
"the Release file includes the md5sum of Packages.gz (which contains the
md5sums of packages) and will be signed. The signature is one of a
trusted source."
Den MANUELLE arbejdsgang for at checke sagerne er som følger:
=============================================================
Al check foregår på en alternativ (eg. non Debian) kasse.
Hent (og stol på):
<URL: http://ftp-master.debian.org/ziyi_key_2003.asc >
$ gpg --import ziyi_key_2003.asc
$ gpg --fingerprint ftpmaster@debian.org
pub 1024D/38C6029A 2002-12-20 Debian Archive Automatic Signing Key
(2003)
<ftpmaster@debian.org>
Key fingerprint = EB2F A2AF 170D 2359 26A7 7BF3 B629 A24C 38C6 029A
(*OBS*: kan nogen bekræfte at det er det autentiske & valide fingerprint
?)
Hent (fx):
<URL: http://ftp.dk.debian.org/debian/dists/stable/Release >
<URL: http://ftp.dk.debian.org/debian/dists/stable/Release.gpg >
$ gpgv -v --keyring ~/.gnupg/pubring.gpg Release.gpg Release
gpgv: armor header: Version: GnuPG v1.0.6 (GNU/Linux)
gpgv: Signature made Thu Nov 20 19:57:33 2003 CET using DSA key ID
38C6029A
gpgv: Good signature from "Debian Archive Automatic Signing Key (2003)
<ftpmaster@debian.org>"
Hent (fx):
<URL:
http://ftp.dk.debian.org/debian/dists/stable/main/binary-i386/Packages >
Find md5sum for denne file i Release filen:
f6665befd8b1adc622b6b683203d8bf0 6531974 main/binary-i386/Packages
$ md5sum Packages
f6665befd8b1adc622b6b683203d8bf0 Packages
Sammenlign ...
Check pakken/pakkerne.
Hiv den/de ønskede pakke(r) over på den alternative kasse.
$ md5sum <pakke ... ...>
Find md5sum for den/de pakke(r) i Packages
Sammenlign ...
Any comment er velkommen
BTW: Tak Rasmus for en inspirerende og konstruktiv dialog
--
Med venlig hilsen / Best regards,
Peder
| |
Rasmus Bøg Hansen (26-11-2003)
| Kommentar Fra : Rasmus Bøg Hansen |
Dato : 26-11-03 11:34 |
|
Peder <pf@fabel.dk.RE.MOVE.INVALID> writes:
> Rasmus Bøg Hansen wrote:
>
>> Sikkerhedsarkivet blev gennemgået manuelt inden det blev sat online
>> igen.
>
> Det er meget fint, men ikke til megen hjælp HVIS det nødvendige debian
> util, gnupg mv., der er kommet indebords på en given kasse, er blevet
> pillet ved ;-(
Øh, det er gennemgået *manuelt*. Dvs. de folk, der har med det at
gøre, har kontrolleret alle pakkerne i hånden. Det blev ikke sagt, at
de gjorde det med gnupg - man må formode, at de folk har et væsentlig
bedre kendskab til pakkerne end os 'almindelige' mennesker og derfor
kan verificere deres korrekthed på bedre vis - f. eks. ved at
sammenligne med filer på deres hjemmemaskiner.
> http://ftp.dk.debian.org/debian/dists/stable/main/binary-i386/Packages.gz
>>
>
> Men det hjælper jo lige fedt, for hvis nogen har pillet, har de sikkert
> også pillet der
Eller 'pilningen' er i hvert fald nok blevet spejlet, hvis bare en
enkelt spejling efter komprommiteringen har ligget der.
Men som sagt skulle hovedarkivet ikke være berørt, og
den omtalte URL indeholder kun hovedarkivet; ikke security, som var
den berørte.
> <URL: http://ftp.dk.debian.org/debian/dists/stable/Release >
>
> <URL: http://ftp.dk.debian.org/debian/dists/stable/Release.gpg >
Ah. release-filen er signeret og md5summen i denne skal så passe - så
har jeg lært noget nyt i dag
/Rasmus
--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
Military Justice is to Justice, what Military Music is to Music.
-- Groucho Marx
----------------------------------[ moffe at amagerkollegiet dot dk ] --
| |
Peder (26-11-2003)
| Kommentar Fra : Peder |
Dato : 26-11-03 21:10 |
|
Rasmus Bøg Hansen wrote:
> >> Sikkerhedsarkivet blev gennemgået manuelt inden det blev sat online
> >> igen.
> >
> > Det er meget fint, men ikke til megen hjælp HVIS det nødvendige debian
> > util, gnupg mv., der er kommet indebords på en given kasse, er blevet
> > pillet ved ;-(
>
> Øh, det er gennemgået *manuelt*. Dvs. de folk, der har med det at
> gøre, har kontrolleret alle pakkerne i hånden. Det blev ikke sagt, at
> de gjorde det med gnupg - man må formode, at de folk har et væsentlig
> bedre kendskab til pakkerne end os 'almindelige' mennesker og derfor
> kan verificere deres korrekthed på bedre vis - f. eks. ved at
> sammenligne med filer på deres hjemmemaskiner.
Jow, men det jeg her tænker på, er at man som alm. sysadmin under givne
uheldige omstændigheder kunne være så uheldig at have fået et stykke
pille-software ind på dåsen. SW der i sin normale funktion anvendes til
at finde ud af om der skal hentes nyt fra sikkerheds-arkiver og eller
som benyttes til at validerer at tingene er som de skal være mht.
signering, checksum etc.
Pointen er her, at man som alm. sysadmin nødvendigvis manuelt må sikre
sig at lige netop disse centrale stykker software ikke har fået tilføjet
"specielle kreative kvaliteter" skulle man opleve underlige begivenheder
som dem jeg beskrev.
Ellers sidder man formodentlig bare der ½ hjernelam den ene gang efter
den anden og gennemfører den samme opdateringsrutine uden at der sker en
dyt af det man forventer, imedens én eller anden bøv i Langtbortistan
sidder griner sin røv i laser - for et detect system som fx Aide vil jo
netop ikke fange den type ændringer, hvis "kreativiteten" holder sig til
de ting der "opdateres" ...
(og det var såmen "bare" det jeg ville forsøge at sikre mig imod ved
selvsyn)
--
Med venlig hilsen / Best regards,
Peder
| |
Rasmus Bøg Hansen (27-11-2003)
| Kommentar Fra : Rasmus Bøg Hansen |
Dato : 27-11-03 00:26 |
|
Peder <pf@fabel.dk.RE.MOVE.INVALID> writes:
> Jow, men det jeg her tænker på, er at man som alm. sysadmin under givne
> uheldige omstændigheder kunne være så uheldig at have fået et stykke
> pille-software ind på dåsen. SW der i sin normale funktion anvendes til
> at finde ud af om der skal hentes nyt fra sikkerheds-arkiver og eller
> som benyttes til at validerer at tingene er som de skal være mht.
> signering, checksum etc.
Ok, jeg troede, at du lige her snakkede om udviklernes kontrol af den
kompromitterede maskine med security updates.
> Pointen er her, at man som alm. sysadmin nødvendigvis manuelt må sikre
> sig at lige netop disse centrale stykker software ikke har fået tilføjet
> "specielle kreative kvaliteter" skulle man opleve underlige begivenheder
> som dem jeg beskrev.
Korrekt. Men et eller andet sted stoler jeg på udviklerne (jeg kan
ikke overskue alle de 834 pakker, jeg har installeret), så når de
skriver på http://www.debian.org/News/2003/20031121:
"The archive is not affected by this compromise!"
"The security archive will be verified from trusted sources before it
will become available again."
"Please note that we have recently prepared a new point release for
Debian GNU/Linux 3.0 (woody), release 3.0r2. While it has not been
announced yet, it has been pushed to our mirrors already. The
announcement was scheduled for this morning but had to be
postponed. This update has now been checked and it is not affected by
the compromise."
så stoler jeg på dem på samme måde, som når jeg på almindeligvis
installerer pakker.
> Ellers sidder man formodentlig bare der ½ hjernelam den ene gang efter
> den anden og gennemfører den samme opdateringsrutine uden at der sker en
> dyt af det man forventer, imedens én eller anden bøv i Langtbortistan
> sidder griner sin røv i laser - for et detect system som fx Aide vil jo
> netop ikke fange den type ændringer, hvis "kreativiteten" holder sig til
> de ting der "opdateres" ...
>
> (og det var såmen "bare" det jeg ville forsøge at sikre mig imod ved
> selvsyn)
Bare fordi du er paranoid, skal du ikke tro, de er efter dig
Spøg til side - det er ikke forkert at være mistroisk i sådan en
situation her; det finder jeg helt naturligt!
/Rasmus
--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
I'm a unix system administrator
- sending me HTML formatted emails and/or attached Word documents is a
nice way to ensure I won't bother to answer you.
-- Jan Chrillesen
----------------------------------[ moffe at amagerkollegiet dot dk ] --
| |
Peder (27-11-2003)
| Kommentar Fra : Peder |
Dato : 27-11-03 11:37 |
|
Rasmus Bøg Hansen wrote:
> > Pointen er her, at man som alm. sysadmin nødvendigvis manuelt må sikre
> > sig at lige netop disse centrale stykker software ikke har fået tilføjet
> > "specielle kreative kvaliteter" skulle man opleve underlige begivenheder
> > som dem jeg beskrev.
>
> Korrekt. Men et eller andet sted stoler jeg på udviklerne (jeg kan
> ikke overskue alle de 834 pakker, jeg har installeret), så når de
> skriver på http://www.debian.org/News/2003/20031121:
>
> "The archive is not affected by this compromise!"
>
> "The security archive will be verified from trusted sources before it
> will become available again."
>
> "Please note that we have recently prepared a new point release for
> Debian GNU/Linux 3.0 (woody), release 3.0r2. While it has not been
> announced yet, it has been pushed to our mirrors already. The
> announcement was scheduled for this morning but had to be
> postponed. This update has now been checked and it is not affected by
> the compromise."
>
> så stoler jeg på dem på samme måde, som når jeg på almindeligvis
> installerer pakker.
Sådan generelt stoler jeg nu mere på Gnupg/PGP med tilhørende keys hvor
fingerprint fx er valideret out of band (eller i mangel heraf, bekræftet
fra forskellige sources) end hvad der tilfældigvis står på en given
WWW-side, der i principet kunne være pillet ved på samme vis som så
meget andet åbenbart har været pillet ved ;-/
BTW: Konkret handler det heller ikke om at overskue 834 pakker, men
derimod 10, hvoraf i hvert fald 2 havde strategisk betydning for den
videre opdatering.
Men vi er i valideringsprocessen kravlet så højt oppe i "fødekæden" at
det egentlig kun handler om at stole på / sikre sig, at det keysæt der
anvendes i forbindelse med validering af filer indeholdende de
indledende md5sums ikke er kompromiteret.
> Bare fordi du er paranoid, skal du ikke tro, de er efter dig
Men derfor kan man jo godt være forfulgt alligevel
> Spøg til side - det er ikke forkert at være mistroisk i sådan en
> situation her; det finder jeg helt naturligt!
Og så er det egentlig rigtig træls, at man oplever noget i den retning 5
minutter i gå_i_seng_tid og efterflg. ud fra devisen: "better safe than
sorry" må bruge en del tid på at hitte ud af HOWTO do
Men som du selv har været inde på, så hænder det at man bliver lidt
klogere undervejs, og det er vel helle ikk' så ringe endda
--
Med venlig hilsen / Best regards,
Peder
| |
Rasmus Bøg Hansen (29-11-2003)
| Kommentar Fra : Rasmus Bøg Hansen |
Dato : 29-11-03 21:34 |
|
Peder <pf@fabel.dk.RE.MOVE.INVALID> writes:
> Sådan generelt stoler jeg nu mere på Gnupg/PGP med tilhørende keys hvor
> fingerprint fx er valideret out of band (eller i mangel heraf, bekræftet
> fra forskellige sources) end hvad der tilfældigvis står på en given
> WWW-side, der i principet kunne være pillet ved på samme vis som så
> meget andet åbenbart har været pillet ved ;-/
I et tilfælde hvor man er i tvivl, ja.
Til kontrol stoler jeg også mere på gnupg. Til daglig kontrollerer jeg
ikke signaturer (jeg følger dog med i annonceringslister af forskellig
slags) - hvis apt-get kunne gøre det automatisk, vill jeg naturligvis
straks begynde på det!
>> Bare fordi du er paranoid, skal du ikke tro, de er efter dig
>
> Men derfor kan man jo godt være forfulgt alligevel
Jæb - i princippet er man det vel altid - især hvis man er paranoid
> Og så er det egentlig rigtig træls, at man oplever noget i den retning 5
> minutter i gå_i_seng_tid og efterflg. ud fra devisen: "better safe than
> sorry" må bruge en del tid på at hitte ud af HOWTO do
5 minutter i gå-i-seng-tid er altid træls (på trods af at jeg tilhører
den del af befolkningen, der principielt ikke kender ordet).
> Men som du selv har været inde på, så hænder det at man bliver lidt
> klogere undervejs, og det er vel helle ikk' så ringe endda
Jeg prøver at vænne mig af med det...
/Rasmus
--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
There is no such things as overkill
- only kill or no kill!
----------------------------------[ moffe at amagerkollegiet dot dk ] --
| |
|
|