Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

  • 12345dan
  • Registratie: oktober 2013
  • Laatst online: 01-12-2020
Ik update gisteren heel stom via root.lu, dat was echt een malicieuse website. Daarna installeerde ik Mint op advies van het IRC-kanaal opnieuw. Echter, later kwam ik er achter dat ik dat had gedownload via http://ftp.nluug.nl/. Is die server wel bonafide? En moet ik hem dan weer opnieuw installeren?

Met vriendelijke groet,
12345dan

- 12345dan


  • Cyphax
  • Registratie: november 2000
  • Laatst online: 22:31

Cyphax

Moderator NOS
NLUUG = Nederlandse Unix User Group, die kan je wel vertrouwen ja. :)

Saved by the buoyancy of citrus


  • Cheatah
  • Registratie: mei 2001
  • Niet online

Cheatah

Lágrimas negras

Cyphax schreef op zondag 20 april 2014 @ 09:47:
NLUUG = Nederlandse Unix User Group, die kan je wel vertrouwen ja. :)
Niet zomaar. Releases horen gechecksumd en gesigned te zijn, en je kunt normaal gesproken een flink netwerk van gelinkte PGP signatures achterhalen, net zolang tot je voldoende overtuigd bent dat de checksums en signatures kloppen.

Dat is wat package managers onder water ook doen, ze downloaden een package en controleren de signature met wat ze al weten.

Het is nu voor iemand prima mogelijk om alle Mint packages zelf te compilen en signen, een mirror te maken met allemaal eigen signatures en net te doen alsof hij een bonafide mirror is. Het gaat dan pas mis als je iets van een "officiële" mirror downloadt want dan pas krijg je te maken met niet-matchende signatures. Maar ook dat is te omzeilen als de malafide installer ook een package manager heeft die niet klaagt als er "echte" packages geïnstalleerd worden.

Kortom, bepalen of je een echte mirror hebt en een betrouwebare installer, doe je door te crosschecken met andere bronnen waarvan je weet dat ze kloppen. Maar helemaal 100% zeker zul je het niet weten ;)

TL;DR: controleer checksum en signatures

My intentions soon you will see. The sway of my scheme, imposed upon all.
Come follow me, my puppets to be. I'll attach my strings, manipulation begins.


  • Cyphax
  • Registratie: november 2000
  • Laatst online: 22:31

Cyphax

Moderator NOS
Goed idee, maar de NLUUG is als partij iig niet malafide. :) Checksum controleren moet je eigenlijk even doen ongeacht de bron.

Opnieuw installeren is niet aan de orde of we hebben een gehackte server van NLUUG gemist.

Saved by the buoyancy of citrus


  • 12345dan
  • Registratie: oktober 2013
  • Laatst online: 01-12-2020
Bedankt voor jullie reacties.
Maar hoe controleer je checksums en signatures?

[Voor 49% gewijzigd door 12345dan op 20-04-2014 10:24]

- 12345dan


  • Cheatah
  • Registratie: mei 2001
  • Niet online

Cheatah

Lágrimas negras

Precies, en om dan maar een voorbeeld te geven:

Stel ik wil Mint downloaden van NLUUG:
Je gaat uiteindelijk downloaden via een link als http://ftp.nluug.nl/os/Linux/distr/linuxmint/iso/stable/16/
Klik je door via de website dan krijg je die md5sum.txt en sha265sum.txt niet zo gauw te zien. Dat is niet zo netjes.

Nu heb je nog steeds een probleem als je de ISO controleert met de md5sum.txt en sha256sum.txt die je van dezelfde bron hebt gedownload, want die files zijn niet gesigned. Ook niet zo netjes.

Vergelijk met Debian:
http://cdimage.debian.org/debian-cd/7.4.0/amd64/iso-cd/

Hier staan md5, sha1, sha256 en sha512 checksums bij, maar ook nog eens de PGP signatures van die checksum files. En die PGP signatures kun je weer checken met andere bronnen:

$ wget -q http://cdimage.debian.org/debian-cd/7.4.0/amd64/iso-cd/debian-7.4.0-amd64-netinst.iso
$ wget -q http://cdimage.debian.org/debian-cd/7.4.0/amd64/iso-cd/SHA512SUMS
$ wget -q http://cdimage.debian.org/debian-cd/7.4.0/amd64/iso-cd/SHA512SUMS.sign

Let op: je hebt nu natuurlijk gewoon via HTTP gedownload, er kan makkelijk een malafide proxy server tussen zitten, stel dat je ergens op een niet-vertrouwd netwerk zit. Eerst moet dus de integriteit vvan de checksum file worden gecontroleerd:
$ gpg --verify SHA512SUMS.sign
gpg: Signature made Sun 09 Feb 2014 07:31:31 PM CET using RSA key ID 6294BE9B
gpg: Can't check signature: public key not found

Dit zat er natuurlijk dik in, want ik had de CD signing key nog niet in mijn keyring. Als je die wel hebt, zie je het volgende:
$ gpg --verify SHA512SUMS.sign
gpg: Signature made Sun 09 Feb 2014 07:31:31 PM CET using RSA key ID 6294BE9B
gpg: Good signature from "Debian CD signing key <debian-cd@lists.debian.org>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: DF9B 9C49 EAA9 2984 3258  9D76 DA87 E80D 6294 BE9B

Je krijgt nog steeds waarschuwingen want ik heb geen directe of indirecte relatie tussen mijn eigen PGP key en de CD signing key. Je zult je nu wel afvragen hoe ik uberhaupt aan die CD signing key kwam, maar dat laat ik als oefening over aan de lezer. Verdiep je in een klein beetje in PGP anders ben je niet goed in staat te begrijpen waar vertrouwen begint en ophoudt.

De tweede stap is de checksum van de ISO checken, wel even beseffen dat je de checksum ook via een niet-vertrouwde methode hebt verkregen.
$ sha512sum -c SHA512SUMS

Dit geeft een shitload aan output, maar het gaat alleen om de volgende regel:
debian-7.4.0-amd64-netinst.iso: OK

Nu heb je als het goed is voldoende zekerheid dat je een betrouwbare installer hebt gedownloadt. Zelfs al is de bron (NLUUG) misschien betrouwbaar, je kunt nog steeds slachtoffer worden van een MITM aanval.

My intentions soon you will see. The sway of my scheme, imposed upon all.
Come follow me, my puppets to be. I'll attach my strings, manipulation begins.


  • 12345dan
  • Registratie: oktober 2013
  • Laatst online: 01-12-2020
Moet ik hem dan voor de zeker weer opnieuw installeren (via Linux Mint zelf)? ;(

- 12345dan


  • CAPSLOCK2000
  • Registratie: februari 2003
  • Laatst online: 26-01 14:47

CAPSLOCK2000

zie teletekst pagina 888

Ik heb vertrouwen in de NLUUG en zou niet opnieuw installeren. Maar als je echt paranoide bent, voor de geheime dienst werkt of denkt dat de geheime dienst jouw bespioneert neem je natuurlijk het zekere voor het onzekere. Als je de ISO nog hebt waarmee je hebt geinstalleerd kun je nog steeds de checksum controleren, liefst wel op een andere computer als je je eigen installatie niet vertrouwt.

Goed van je dat je hier over nadenkt.

[Voor 4% gewijzigd door CAPSLOCK2000 op 20-04-2014 13:02]

This post is warranted for the full amount you paid me for it.


  • johnkeates
  • Registratie: februari 2008
  • Laatst online: 06:38
NLUUG kan je vertrouwen. Niet opnieuw installeren.

Als je de NLUUG niet kan vertrouwen kan je het beste persoonlijk CD's of DVD's ophalen bij een gerenommeerde Mint dev :p hoewel die ook weer een geheime NSA agent kan zijn... enz. :p Dan is je laatste hoop vragen of Richard Stallman je computer voor je wil installeren :p

  • Brahiewahiewa
  • Registratie: oktober 2001
  • Laatst online: 26-01 19:56

Brahiewahiewa

boelkloedig

johnkeates schreef op zondag 20 april 2014 @ 13:04:
NLUUG kan je vertrouwen. Niet opnieuw installeren.
Nee, NLUUG kun je niet vertrouwen.

Niet zozeer omdat ze malafide zijn, maar wel omdat het ook maar gewoon mensen zijn. Mensen die fouten maken; niet met opzet, maar toch maken ze fouten. Daarom _moet_ je de checksums controleren

QnJhaGlld2FoaWV3YQ==


  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 21:16

Hero of Time

Moderator NOS

There is only one Legend

Brahiewahiewa schreef op maandag 21 april 2014 @ 14:30:
[...]

Nee, NLUUG kun je niet vertrouwen.

Niet zozeer omdat ze malafide zijn, maar wel omdat het ook maar gewoon mensen zijn. Mensen die fouten maken; niet met opzet, maar toch maken ze fouten. Daarom _moet_ je de checksums controleren
En jij gaat dan ook elke keer als je controleert op updates de checksum verifiëren van de package list, de pdiffs en alle packages die je als update krijgt? Veel succes, dan ben je een dag bezig met 50 updates, een week als je een systeem nieuw opbouwt en een maand als je een oudere release pakt en die gaat bijwerken.

Je moet natuurlijk wel een grens trekken in hoe paranoïde je met je systeem omgaat. Als je een degelijke mirror al niet vertrouwd, hoe heb je dan in vredesnaam Windows kunnen gebruiken, of een auto besturen of überhaupt leven?

Commandline FTW | Tweakt met mate


  • CAPSLOCK2000
  • Registratie: februari 2003
  • Laatst online: 26-01 14:47

CAPSLOCK2000

zie teletekst pagina 888

Hero of Time schreef op maandag 21 april 2014 @ 14:42:
En jij gaat dan ook elke keer als je controleert op updates de checksum verifiëren van de package list, de pdiffs en alle packages die je als update krijgt? Veel succes, dan ben je een dag bezig met 50 updates, een week als je een systeem nieuw opbouwt en een maand als je een oudere release pakt en die gaat bijwerken.

Je moet natuurlijk wel een grens trekken in hoe paranoïde je met je systeem omgaat. Als je een degelijke mirror al niet vertrouwd, hoe heb je dan in vredesnaam Windows kunnen gebruiken, of een auto besturen of überhaupt leven?
Alles kan gehackt worden, ook de servers van de NLUUG. Voor het installeren de ISO controleren is dus best verstandig. Updates controleren hoeft echter niet, dat doet het systeem al voor je. Als je dus eenmaal een installatie hebt die je vertrouwt kun je er ook op vertrouwen dat de updates in orde zijn.

This post is warranted for the full amount you paid me for it.


  • Thulium
  • Registratie: september 2011
  • Laatst online: 23:03
@CAPSLOCK2000:

Heel andere vraag, hoe doe je dat dan met repositories als die van de openSUSE build, waarbij het repo door een vertrouwde club verzorgd wordt, maar semi-openbaar is?

Ik snap het punt van veilige software, maar voor sommige dingen kun je niet anders (zeker in het geval van Debian, aangezien de software daar -gemiddeld- genomen ouder is, of niet beschikbaar in de debian repo's). Hoe past dat in jouw visie? Of gaat het jou alleen om het feit dat hetgene wat je binnenhaalt, ook echt is wat je denkt dat het is?

[Voor 8% gewijzigd door Thulium op 23-04-2014 03:26]


  • Cyphax
  • Registratie: november 2000
  • Laatst online: 22:31

Cyphax

Moderator NOS
CAPSLOCK2000 schreef op maandag 21 april 2014 @ 18:14:
[...]


Alles kan gehackt worden, ook de servers van de NLUUG. Voor het installeren de ISO controleren is dus best verstandig. Updates controleren hoeft echter niet, dat doet het systeem al voor je. Als je dus eenmaal een installatie hebt die je vertrouwt kun je er ook op vertrouwen dat de updates in orde zijn.
Dit lijkt me ook wel een mooie balans. Een checksum controleren voor een ISO is heel weinig werk, dat scheelt. Dan weet je dat het goed zit met de basisinstallatie van je OS.

Het is ook wel zo dat alles gehackt kan worden. Zelfs kernel.org is een tijd uit de lucht geweest omdat erop ingebroken was. Als je dan net een kernel van ze had gedownload, kon je die dan nog vertrouwen?

Waar je bij Windows (op de desktop iig) bij elk stuk software zelf de bron moet vertrouwen en die bron over het algemeen steeds een andere is, is het risico verspreid. Bij je Debian-installatie gebruik je maar een paar bronnen. Het probleem is dan wel groter als het mis gaat omdat het dan een stuk centraler zit.

Saved by the buoyancy of citrus


  • CAPSLOCK2000
  • Registratie: februari 2003
  • Laatst online: 26-01 14:47

CAPSLOCK2000

zie teletekst pagina 888

Ik weet niet zeker of ik je vragen wel goed begrijp.

Ik heb het er alleen over dat je de software krijgt zoals de programmeur/distributie het heeft bedoeld. Het gaat mij er dus om dat tussenpartijen (zoals de hoster, of een rotte disk) niks aan de bestanden hebben veranderd.

Dat kun je op zich doen met alleen checksums maar als die op dezelfde server staan en de server wordt gehacked, dan hebben die checksums ook geen waarde meer. Als die cheksums echter zijn ondertekend met GPG dan wordt het beter, mits je een manier hebt om te controleren of het ook de juiste PGP-handtekeningen zijn.

Overigens kan iedereen die software publiceert dit doen, het is niet exclusief voor distributies. De distributies maken het alleen makkelijker door a. de juiste tools te leveren, b. je te voorzien van vertrouwde sleutels, c. automatisch handtekeningen te controleren, d. af te dwingen dat alle sofware in hun repository een handtekening heeft.

Of je die programmeur kan vertrouwen en of de code van goede kwaliteit is zijn heel andere vragen, die kun je niet met cyrptografie beantwoorden. Daarvoor zul je zelf de sources moeten gaan lezen.

This post is warranted for the full amount you paid me for it.


  • Thulium
  • Registratie: september 2011
  • Laatst online: 23:03
Je hebt m'n vragen beantwoord :)

Het is dus van belang om niet alleen de file te downloaden, maar ook de handtekeningen. Deze te controleren met GPG op integriteit en als alles klopt is het veilig. In de zin van dat het dan is wat de programmeur gemaakt heeft.

  • leuk_he
  • Registratie: augustus 2000
  • Laatst online: 18-01 18:29

leuk_he

1. Controleer de kabel!

Brahiewahiewa schreef op maandag 21 april 2014 @ 14:30:
[...]

Nee, NLUUG kun je niet vertrouwen.
........ Daarom _moet_ je de checksums controleren
Controle is geen wantrouwen! ja, dat is spelen met taal, maar daar gaan de reacties dus over...

Vertrouwde site gebruiken is goed. Controle daarvan is beter.

Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.

Pagina: 1


Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True