Nenechte se nachytat. Ověřujte ISO obrazy distribucí

Roman Bořánek 11. 3. 2016

Jak nám ukázal příklad Linux Mint, v obrazech linuxových distribucí se může skrýt nemilé překvapení v podobě trojana. Stačí napadení serveru. Proto bychom obrazy měli pečlivě kontrolovat. Jak na to?

Ruku na srdce, opravdu všichni poctivě ověřujeme legitimitu stažených kopií linuxových distribucí? A nebo prostě jen klikneme na první dostupný odkaz a víc neřešíme? Nedávné napadení serverů distribuce Linux Mint a obohacení obrazů o trojana nám ukázalo, že bychom to řešit měli. Nejde o nějakou čistě teoretickou hrozbu, ale hrozbu reálnou, která uživatele může stát mnoho osobních údajů nebo dokonce peněz. V následujících odstavcích si shrneme, jak při stahování obrazů optimálně postupovat.

Sledujte chování stránek a HTTPS

Obraz pravděpodobně budete chtít stahovat z oficiálních stránek distribuce (i když to určitě není nutné). V takovém případě je základní obranou sledování, zda se stránky nechovají divně nebo jinak než obvykle. Pokud vám např. prohlížeč zahlásí, že na stránkách může být malware, neignorujte to. Pravděpodobně sice půjde o planý poplach, a i kdyby ne, problém spíš bude jinde než v obrazech, ale předběžná opatrnost je na místě.

Stránky by ideálně měly běžet přes šifrovaný protokol HTTPS, což zajistí, že vám někdo na cestě mezi serverem a vaší stanicí nepodstrkuje nesprávná data. U větších distribucí už je HTTPS naprosto běžné a rychle se rozšiřuje i na stránkách těch menších. Některým uživatelům by zelené políčko v prohlížeči mohlo evokovat, že všechno bude OK. Ale nemusí – i HTTPS je spíš bonus, který jistotu neposkytne.

Linux Mint už po incidentu také nasadil HTTPS

Linux Mint už po incidentu také nasadil HTTPS

Běžné řešení: ověření kontrolního součtu

Po stažení ISO souboru byste měli ověřit jeho kontrolní součet neboli hash. Tak opět zjistíte, zda vám někdo nepodstrčil jiný soubor a celkově, zda se soubor správně stáhl. Prakticky vždy jsou k dispozici kontrolní součty funkce MD5, většinou také SHA1 a SHA256. Z nich se za nejsilnější považuje poslední jmenovaná. Zjištění kontrolního součtu zabere maximálně několik desítek sekund, v závislosti na rychlosti úložiště a výkonu procesoru.

Na Linuxu součet získáte následujícím příkazem: md5sum CestaKSouboru. Místo md5sum můžete použít sha1sum nebo sha256sum, podle toho jaký součet chcete. Na Windows je k tomuto účelu třeba nainstalovat nějakou utilitku. Je jich celá řada, doporučme třeba File Checksum Integrity Verifier přímo od Microsoftu. Nástroj má grafické rozhraní, takže použití netřeba vysvětlovat. Poté získaný kontrolní součet porovnáte s kontrolním součtem uvedeným na místě, odkud jste obraz distribuce stahovali. Měly by se shodovat.

Lepší řešení: ověření pomocí podpisu

Zejména větší distribuce a distribuce zaměřené na bezpečnost/soukromí už nabízejí také možnost ověření pomocí podpisu. Řešení je také založeno na kontrolním součtu. Rozdíl je v tom, že se k ISO obrazu přikládá podpis, který může vygenerovat jedině vlastník soukromého klíče. Abyste obraz a podpis mohli ověřit, je potřeba získat odpovídající veřejný klíč. Pokyny naleznete na stránkách distribuce. Klíč stáhnete z keyserveru nebo přímo ze stránek. Postup se vždy drobně liší. Uveďme příklad klíče pro distribuci Tails, který jsem stáhl a následně importoval tímto příkazem:

gpg --import tails-signing.key

Dále je potřeba stáhnout samotný podpis, nejčastěji mívá příponu .gpg nebo .sig. Následujícím příkazem (první soubor je podpis, druhý ISO obraz) jsem obraz ověřil.

gpg --verify tails-i386-2.2.iso.sig tails-i386-2.2.iso

Výstup potvrdil, že byl obraz vytvořen majitelem příslušného soukromého klíče:

Dobrý podpis od "Tails developers (offline long-term identity key) tails@boum.org"

Ve výstupu dost možná najdete i nějaké varování, ale tím se nemusíte zabývat. Problém je zkrátka v tom, že jsme klíč stáhli z internetu a nevíme, kdo ho emitoval. Na Windows lze použít nástroj Gpg4win. Ověření probíhá obdobným způsobem.

Víc jistoty dodá i vyhledávač

Možná už vám došlo, že ani jedna metoda není všespásná. Pokud se útočníkovi podaří proniknout na server, může ke změněným ISO obrazům samozřejmě vytvořit nové hashe a vesele je na web vystavit. Stejně tak si může udělat nový soukromý klíč, veřejný klíč k němu rozdistribuovat na keyservery, kompromitované ISO obrazy podepsat, změnit instrukce atd. Proti tomu neexistuje efektivní obrana. Nejlepší je asi použít trochu selského rozumu a vyhledávání.

Pokud kontrolní součet zadáte do vyhledávače a ten najde jen váš původní zdroj, je to výstražný vykřičník. Naopak pokud bude součet nalezen na řadě webů, např. včetně univerzitních serverů, dá se předpokládat, že jsou obraz i součet legitimní. Kompromitace serverů totiž obvykle mívá krátkého trvání a kompromitované obrazy a jejich kontrolní součty se tím pádem moc nestihnou rozšířit dál.

widgety

Opět, tato metoda rozhodně nepředstavuje jistotu. Ani nelze stanovit nějaké limity, kolik výsledků v Googlu je v pořádku a kolik ne. To je samozřejmě hloupost. Jedná se ale o další způsob, kterým lze možnost podvodu trochu snížit. Je třeba brát v potaz, o jakou distribuci jde. U málo známých distribucí nebo denních sestavení si vyhledáváním moc nepomůžete. Ale na MD5 kontrolní součet posledního Ubuntu mi Google zobrazil přes šest set výsledků, na stránkách publikovaných v různé době. To už asi něco znamená.

Ještě víc pomůže vyhledání veřejného klíče podle jeho ID. Na rozdíl od hashe se totiž nemění a bývá používán mnoho let. Takže u správného klíče zobrazí hodně výsledků publikovaných na důvěryhodných stránkách v průběhu mnoha let. Díky tomu se můžete domnívat, že s velkou pravděpodobností nejde o podvrh. Můžete namítnout, že je to humpolácké řešení. Asi ano. Ale poctivé řešení à la web of trust v tomto případě v praxi není dost dobře použitelné. Určitě ne pro běžné uživatele.

Shrnutí

  • Většina uživatelů distribuci stahuje a instaluje jednou za X měsíců nebo dokonce let. Proto se vyplatí věnovat pár minut navíc ověření obrazu. Ano, na kompromitaci se pravděpodobně brzy přijde, ale pro vás už to může být pozdě.
  • Nejlepším způsobem ověření legitimity ISO obrazů je použití GPG a ověření podpisu a obrazu proti jeho veřejnému klíči. Bohužel se jedná o komplikovanější způsob, který pro méně zkušené uživatele může být příliš složitý.
  • Obraz není třeba stahovat z oficiálních stránek, ale je nutné ho patřičně ověřit. Pomůžou oficiální stránky distribucí a případně vyhledání hashe ve vyhledávači. Často je vhodnější stahovat přes BitTorrent. Většinou je to rychlé a odlehčíte serverům distribuce.
Našli jste v článku chybu?
Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

DigiZone.cz: Ginx TV: pořad o počítačových hráčích

Ginx TV: pořad o počítačových hráčích

Lupa.cz: Jen technická kvalita může být málo

Jen technická kvalita může být málo

Vitalia.cz: Fyzioterapeutka: Chůze naboso? Rozhodně ano!

Fyzioterapeutka: Chůze naboso? Rozhodně ano!

DigiZone.cz: Samsung EVO-S: novinka pro Skylink

Samsung EVO-S: novinka pro Skylink

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

DigiZone.cz: Numan Two: rozhlasový přijímač s CD

Numan Two: rozhlasový přijímač s CD

Podnikatel.cz: Tyto pojmy k #EET byste měli znát

Tyto pojmy k #EET byste měli znát

Lupa.cz: Jak levné procesory změnily svět?

Jak levné procesory změnily svět?

Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

DigiZone.cz: Wimbledon na Nova Sport až do 2019

Wimbledon na Nova Sport až do 2019

Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

Lupa.cz: Cimrman má hry na YouTube i vlastní doodle

Cimrman má hry na YouTube i vlastní doodle

Vitalia.cz: Jsou vegani a vyrábějí nemléko

Jsou vegani a vyrábějí nemléko

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

Podnikatel.cz: Vánoce v září? Kaufland si legraci nedělá

Vánoce v září? Kaufland si legraci nedělá