Wie mächtig sind Repository-Betreiber?

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
spueli
Beiträge: 7
Registriert: 26.03.2015 17:11:40

Wie mächtig sind Repository-Betreiber?

Beitrag von spueli » 26.03.2015 17:36:55

Hallo, ich habe mal eine grundsätzliche Frage zu Repositories. Manche Programme sind ja nunmal nicht in den voreingestellten Repos vorhanden. Um sie trotzdem zu installieren, kann man weitere Repositories und deren Signaturschlüssel hinzufügen (z.B. https://repo.tox.im/). Merkt sich Debian, welches Paket aus welchem Repository installiert wurde? Und welcher Schlüssel zu welchem Repo gehört? Und was passiert, wenn es Packages mit dem selben Namen in mehreren Repos gibt?

Denkbar wäre z.B. folgendes Angriffsszenario: Schon während der Installation von Debian habe ich sudo aus dem offiziellen Repo installiert. Um den Tox-Messenger zu installieren, füge ich https://repo.tox.im/ nach der Installation hinzu. Eines Tages wird das Tox-Repo gekapert oder deren Betreiber werden einfach evil und nun bieten sie in ihrem Repo ebenfalls ein Package namens "sudo" in einer neuen Version an, das jedoch Schadsoftware ist. Würde Debian dies nun installieren, wenn man

Code: Alles auswählen

sudo apt-get update
sudo apt-get upgrade
eingibt? sudo hat ja ziemlich hohe Verbreitung, somit wäre es für einen böswilligen Repository-Betreiber doch ein attraktives Angriffsziel, um mal eben eine Bot-Armee von tausenden Rechnern aufzustellen. Man braucht nur ein beliebtes Programm als Köder in seinem Repo, damit die Leute das Repo in ihre Liste aufnehmen.

Danke schonmal für die Aufklärung!

Benutzeravatar
4A4B
Beiträge: 981
Registriert: 09.11.2011 11:19:55
Kontaktdaten:

Re: Wie mächtig sind Repository-Betreiber?

Beitrag von 4A4B » 26.03.2015 18:07:15

Du kannst mit AptPinning die Priorität von Repos festlegen. Zu dem Thema gibt es hier auch einen Wiki-Artikel:

https://wiki.debianforum.de/AptPinning

Du kannst Pakte aus diesem Repo (o=repo.tox.im) auf einen niedrigen Wert pinnen, so dass keine Updates von dort übernommen werden, wenn die jeweiligen Pakete auch in anderen Repos vorhanden sind

spueli
Beiträge: 7
Registriert: 26.03.2015 17:11:40

Re: Wie mächtig sind Repository-Betreiber?

Beitrag von spueli » 26.03.2015 19:09:47

Sehr hilfreiche Antwort. Vielen Dank dafür! Wie es aussieht, haben die Debian-Macher mal wieder an alles gedacht... :wink:

Benutzeravatar
ThorstenS
Beiträge: 2875
Registriert: 24.04.2004 15:33:31

Re: Wie mächtig sind Repository-Betreiber?

Beitrag von ThorstenS » 26.03.2015 19:32:21

Genau dein Angriffsszenario hat mich dazu gebracht, dass ich die Pakete zwar initial aus einem fremdem Repo installiere, dann aber die debs mit Hilfe von Debianreprepro in mein eigenes Repo packe.
Updates sind dann natürlich schwieriger zu handeln, aber ich habe dabei ein besseres Gefühl. Zumal ich nicht nur einen Desktop/Server pflege und dafür verwantwortlich bin…

Hier ist z.B. ein hilfreicher deutschsprachiger Artikel zum Thema:
http://www.pro-linux.de/artikel/2/1726/ ... repro.html

Benutzeravatar
hikaru
Moderator
Beiträge: 14013
Registriert: 09.04.2008 12:48:59

Re: Wie mächtig sind Repository-Betreiber?

Beitrag von hikaru » 26.03.2015 23:14:30

Dein Szenario ist durchaus realistisch. Als Christian Marillat aufgefordert wurde die Domain debian-multimedia.org aufzugeben [1] ist sie danach in fremde Hände geraten [2].
Wer das nicht mitbekommen hat (und Schlüsselwarnungen ignoriert), der hat sich womöglich Pakete von einem ukrainischen Motorradclub geholt.

Ich staune eigentlich nur, dass man praktisch gar nichts von solchen Problemen im Zusammenhang mit den wildwuchernden Ubuntu-PPAs liest.


[1] http://lists.alioth.debian.org/pipermai ... 26678.html
[2] https://bits.debian.org/2013/06/remove- ... media.html

eggy
Beiträge: 3334
Registriert: 10.05.2008 11:23:50

Re: Wie mächtig sind Repository-Betreiber?

Beitrag von eggy » 27.03.2015 00:12:56

Ihr überseht da eine Kleinigkeit: Deine Paketinstallation läuft unter root. Und in fast jedem Paket gibt es sogenannte pre- und postinst Scripte, die ausgeführt werden sobald das Paket installiert wird. Wenn jemand böses vorhat reicht es doch darin etwas anzustellen. Und ausserdem gibts noch x andere Stellen.
Daher gilt auch weiterhin: Fremdpakete nur bei 100% Vertrauen installieren, gleiches gilt für Fremdrepos.

Benutzeravatar
hikaru
Moderator
Beiträge: 14013
Registriert: 09.04.2008 12:48:59

Re: Wie mächtig sind Repository-Betreiber?

Beitrag von hikaru » 27.03.2015 07:49:46

Die Scripte sind aber Teil des Pakets. Natürlich kann man mit einem pre/postinst/rm-Script allen möglichen Schindluder treiben. Und ehrlich gesagt ist das genau die Stelle wo ich als Angreifer ansetzen würde. Aber wenn ich einem Paket vertraue, dann kann ich das nur als Ganzes tun. Und einem Paket kann ich nur vertrauen wenn ich dem Paketanbieter (u.a. also dem Repro) traue.

Benutzeravatar
Ibex
Beiträge: 319
Registriert: 25.07.2008 20:54:19

Re: Wie mächtig sind Repository-Betreiber?

Beitrag von Ibex » 27.03.2015 11:12:04

eggy hat geschrieben:Ihr überseht da eine Kleinigkeit: Deine Paketinstallation läuft unter root. Und in fast jedem Paket gibt es sogenannte pre- und postinst Scripte, die ausgeführt werden sobald das Paket installiert wird. Wenn jemand böses vorhat reicht es doch darin etwas anzustellen. Und ausserdem gibts noch x andere Stellen.
Daher gilt auch weiterhin: Fremdpakete nur bei 100% Vertrauen installieren, gleiches gilt für Fremdrepos.
Und wann vertraust du jemandem zu 100%? Ich bräuchte da nicht mal die zweite Hand, um solche Menschen an den Fingern abzuzählen. Und leider betreiben die alle kein Debian repository.

Den Debian repositoriy vertraue ich notgedrungen, da ich mir kein OS selbst schreiben kann, und Debian in meinem relativen Ranking im Vergleich zu Microsoft, Apple und Co. immer noch recht weit oben plaziert sind. trozdem bin ich relativ überzeugt davon, das es bei den >1000 Debian Entwicklern auch welche gibt, die z.B., auf der Gehaltliste der NSA stehen. Hundertprozent Vertrauen sieht also anders aus.

Fremdquellen erhöhen das risiko nochmal, sowohl das da jemand böse absichten haben kann, als auch das einfach Fehler in der Absicherung der Server gemacht werden. Trozdem nutze ich manche Fremdquellen aus Bequemlichkeit und ignoriere das Risko. Ich will den Computer schließlich auch nutzen. Meine Vorsichtsmaßnahme bestehen dann in backups und darin, nur soviel persönliche Daten wie unbedingt nötig freizugeben.

Apt-pinning nutze ich auch, allerdings eher um ungewollte Paktekonflikte zu vermeiden. Als Sicherheitsmaßnahme taugt es meiner Meinung nach nicht wirklich, da ja wie schon erwähnt wurde den Fremdquellen auch bei der Aktualisierung der erwünschten Software root rechte zur Verfügung stehen.

DeletedUserReAsG

Re: Wie mächtig sind Repository-Betreiber?

Beitrag von DeletedUserReAsG » 27.03.2015 19:39:10

Aber wenn ich einem Paket vertraue, dann kann ich das nur als Ganzes tun.
Sehe ich anders. Ich habe durchaus auch schon ein Paket manuell geladen, ausgepackt und den Inhalt nach Überprüfung genutzt.

Benutzeravatar
hikaru
Moderator
Beiträge: 14013
Registriert: 09.04.2008 12:48:59

Re: Wie mächtig sind Repository-Betreiber?

Beitrag von hikaru » 30.03.2015 07:15:27

Aber wenn du das Paket installierst (per dpkg, oder wie auch immer, jedenfalls als Paket), dann überprüfst du in so einem Fall doch sowohl die "Nutzlast" als auch die Debianscripte.
Wenn du das Paket zerpflückst, die Debianscripte wegschmeißt und die Nutzlast wie auch immer manuell verwaltest, dann kannst du die Scripte natürich ignorieren.
Aber im Endeffekt überprüfst du doch aus dem Paket alles was irgendwas auf deinem System machen könnte.

Antworten