Nenechte se nachytat. Ověřujte ISO obrazy distribucí

Roman Bořánek 11. 3. 2016

Jak nám ukázal příklad Linux Mint, v obrazech linuxových distribucí se může skrýt nemilé překvapení v podobě trojana. Stačí napadení serveru. Proto bychom obrazy měli pečlivě kontrolovat. Jak na to?

Ruku na srdce, opravdu všichni poctivě ověřujeme legitimitu stažených kopií linuxových distribucí? A nebo prostě jen klikneme na první dostupný odkaz a víc neřešíme? Nedávné napadení serverů distribuce Linux Mint a obohacení obrazů o trojana nám ukázalo, že bychom to řešit měli. Nejde o nějakou čistě teoretickou hrozbu, ale hrozbu reálnou, která uživatele může stát mnoho osobních údajů nebo dokonce peněz. V následujících odstavcích si shrneme, jak při stahování obrazů optimálně postupovat.

Sledujte chování stránek a HTTPS

Obraz pravděpodobně budete chtít stahovat z oficiálních stránek distribuce (i když to určitě není nutné). V takovém případě je základní obranou sledování, zda se stránky nechovají divně nebo jinak než obvykle. Pokud vám např. prohlížeč zahlásí, že na stránkách může být malware, neignorujte to. Pravděpodobně sice půjde o planý poplach, a i kdyby ne, problém spíš bude jinde než v obrazech, ale předběžná opatrnost je na místě.

Stránky by ideálně měly běžet přes šifrovaný protokol HTTPS, což zajistí, že vám někdo na cestě mezi serverem a vaší stanicí nepodstrkuje nesprávná data. U větších distribucí už je HTTPS naprosto běžné a rychle se rozšiřuje i na stránkách těch menších. Některým uživatelům by zelené políčko v prohlížeči mohlo evokovat, že všechno bude OK. Ale nemusí – i HTTPS je spíš bonus, který jistotu neposkytne.

Linux Mint už po incidentu také nasadil HTTPS

Linux Mint už po incidentu také nasadil HTTPS

Běžné řešení: ověření kontrolního součtu

Po stažení ISO souboru byste měli ověřit jeho kontrolní součet neboli hash. Tak opět zjistíte, zda vám někdo nepodstrčil jiný soubor a celkově, zda se soubor správně stáhl. Prakticky vždy jsou k dispozici kontrolní součty funkce MD5, většinou také SHA1 a SHA256. Z nich se za nejsilnější považuje poslední jmenovaná. Zjištění kontrolního součtu zabere maximálně několik desítek sekund, v závislosti na rychlosti úložiště a výkonu procesoru.

Na Linuxu součet získáte následujícím příkazem: md5sum CestaKSouboru. Místo md5sum můžete použít sha1sum nebo sha256sum, podle toho jaký součet chcete. Na Windows je k tomuto účelu třeba nainstalovat nějakou utilitku. Je jich celá řada, doporučme třeba File Checksum Integrity Verifier přímo od Microsoftu. Nástroj má grafické rozhraní, takže použití netřeba vysvětlovat. Poté získaný kontrolní součet porovnáte s kontrolním součtem uvedeným na místě, odkud jste obraz distribuce stahovali. Měly by se shodovat.

Lepší řešení: ověření pomocí podpisu

Zejména větší distribuce a distribuce zaměřené na bezpečnost/soukromí už nabízejí také možnost ověření pomocí podpisu. Řešení je také založeno na kontrolním součtu. Rozdíl je v tom, že se k ISO obrazu přikládá podpis, který může vygenerovat jedině vlastník soukromého klíče. Abyste obraz a podpis mohli ověřit, je potřeba získat odpovídající veřejný klíč. Pokyny naleznete na stránkách distribuce. Klíč stáhnete z keyserveru nebo přímo ze stránek. Postup se vždy drobně liší. Uveďme příklad klíče pro distribuci Tails, který jsem stáhl a následně importoval tímto příkazem:

gpg --import tails-signing.key

Dále je potřeba stáhnout samotný podpis, nejčastěji mívá příponu .gpg nebo .sig. Následujícím příkazem (první soubor je podpis, druhý ISO obraz) jsem obraz ověřil.

gpg --verify tails-i386-2.2.iso.sig tails-i386-2.2.iso

Výstup potvrdil, že byl obraz vytvořen majitelem příslušného soukromého klíče:

Dobrý podpis od "Tails developers (offline long-term identity key) tails@boum.org"

Ve výstupu dost možná najdete i nějaké varování, ale tím se nemusíte zabývat. Problém je zkrátka v tom, že jsme klíč stáhli z internetu a nevíme, kdo ho emitoval. Na Windows lze použít nástroj Gpg4win. Ověření probíhá obdobným způsobem.

Víc jistoty dodá i vyhledávač

Možná už vám došlo, že ani jedna metoda není všespásná. Pokud se útočníkovi podaří proniknout na server, může ke změněným ISO obrazům samozřejmě vytvořit nové hashe a vesele je na web vystavit. Stejně tak si může udělat nový soukromý klíč, veřejný klíč k němu rozdistribuovat na keyservery, kompromitované ISO obrazy podepsat, změnit instrukce atd. Proti tomu neexistuje efektivní obrana. Nejlepší je asi použít trochu selského rozumu a vyhledávání.

Pokud kontrolní součet zadáte do vyhledávače a ten najde jen váš původní zdroj, je to výstražný vykřičník. Naopak pokud bude součet nalezen na řadě webů, např. včetně univerzitních serverů, dá se předpokládat, že jsou obraz i součet legitimní. Kompromitace serverů totiž obvykle mívá krátkého trvání a kompromitované obrazy a jejich kontrolní součty se tím pádem moc nestihnou rozšířit dál.

Opět, tato metoda rozhodně nepředstavuje jistotu. Ani nelze stanovit nějaké limity, kolik výsledků v Googlu je v pořádku a kolik ne. To je samozřejmě hloupost. Jedná se ale o další způsob, kterým lze možnost podvodu trochu snížit. Je třeba brát v potaz, o jakou distribuci jde. U málo známých distribucí nebo denních sestavení si vyhledáváním moc nepomůžete. Ale na MD5 kontrolní součet posledního Ubuntu mi Google zobrazil přes šest set výsledků, na stránkách publikovaných v různé době. To už asi něco znamená.

Ještě víc pomůže vyhledání veřejného klíče podle jeho ID. Na rozdíl od hashe se totiž nemění a bývá používán mnoho let. Takže u správného klíče zobrazí hodně výsledků publikovaných na důvěryhodných stránkách v průběhu mnoha let. Díky tomu se můžete domnívat, že s velkou pravděpodobností nejde o podvrh. Můžete namítnout, že je to humpolácké řešení. Asi ano. Ale poctivé řešení à la web of trust v tomto případě v praxi není dost dobře použitelné. Určitě ne pro běžné uživatele.

Shrnutí

  • Většina uživatelů distribuci stahuje a instaluje jednou za X měsíců nebo dokonce let. Proto se vyplatí věnovat pár minut navíc ověření obrazu. Ano, na kompromitaci se pravděpodobně brzy přijde, ale pro vás už to může být pozdě.
  • Nejlepším způsobem ověření legitimity ISO obrazů je použití GPG a ověření podpisu a obrazu proti jeho veřejnému klíči. Bohužel se jedná o komplikovanější způsob, který pro méně zkušené uživatele může být příliš složitý.
  • Obraz není třeba stahovat z oficiálních stránek, ale je nutné ho patřičně ověřit. Pomůžou oficiální stránky distribucí a případně vyhledání hashe ve vyhledávači. Často je vhodnější stahovat přes BitTorrent. Většinou je to rychlé a odlehčíte serverům distribuce.
Našli jste v článku chybu?
Vitalia.cz: Mango – ovoce bohů

Mango – ovoce bohů

120na80.cz: Lepší poporodní sexuální život? Žádný problém

Lepší poporodní sexuální život? Žádný problém

Root.cz: Xiaomi má vlastní notebook podobný Macu

Xiaomi má vlastní notebook podobný Macu

DigiZone.cz: Joj u nás spustí nový kanál

Joj u nás spustí nový kanál

120na80.cz: Dejte sbohem pigmentovým skvrnám

Dejte sbohem pigmentovým skvrnám

Vitalia.cz: Vakcína Cervarix je oficiálně i pro chlapce

Vakcína Cervarix je oficiálně i pro chlapce

Měšec.cz: Ceny PHM v Evropě. Finty na úspory

Ceny PHM v Evropě. Finty na úspory

DigiZone.cz: Ultra HD: TV vysílání budoucnosti

Ultra HD: TV vysílání budoucnosti

DigiZone.cz: E! a zákulisí turné Mariah Carey

E! a zákulisí turné Mariah Carey

Měšec.cz: Na návštěvě na exekutorském úřadě

Na návštěvě na exekutorském úřadě

Měšec.cz: Se stavebkem k soudu už (většinou) nemusíte

Se stavebkem k soudu už (většinou) nemusíte

Lupa.cz: Co vzal čas: internetové kavárny a herny

Co vzal čas: internetové kavárny a herny

Měšec.cz: Co když na dovolené přijdete o kartu?

Co když na dovolené přijdete o kartu?

DigiZone.cz: Hodlá Markíza skončit v DVB-T?

Hodlá Markíza skončit v DVB-T?

Podnikatel.cz: OSA zdražuje poplatky. Zaplatíte o polovinu víc

OSA zdražuje poplatky. Zaplatíte o polovinu víc

Podnikatel.cz: Oznamte skutečné sídlo firmy, jinak zaplatíte

Oznamte skutečné sídlo firmy, jinak zaplatíte

DigiZone.cz: Digi Slovakia: Eurosport 1 i 2 v HD

Digi Slovakia: Eurosport 1 i 2 v HD

Měšec.cz: Platíme NFC mobilem. Konečně to funguje!

Platíme NFC mobilem. Konečně to funguje!

DigiZone.cz: Pevnost Boyard v září a česká

Pevnost Boyard v září a česká

DigiZone.cz: Server VideaCesky.cz má Mladá fronta

Server VideaCesky.cz má Mladá fronta