Nenechte se nachytat. Ověřujte ISO obrazy distribucí

Roman Bořánek 11. 3. 2016

Jak nám ukázal příklad Linux Mint, v obrazech linuxových distribucí se může skrýt nemilé překvapení v podobě trojana. Stačí napadení serveru. Proto bychom obrazy měli pečlivě kontrolovat. Jak na to?

Ruku na srdce, opravdu všichni poctivě ověřujeme legitimitu stažených kopií linuxových distribucí? A nebo prostě jen klikneme na první dostupný odkaz a víc neřešíme? Nedávné napadení serverů distribuce Linux Mint a obohacení obrazů o trojana nám ukázalo, že bychom to řešit měli. Nejde o nějakou čistě teoretickou hrozbu, ale hrozbu reálnou, která uživatele může stát mnoho osobních údajů nebo dokonce peněz. V následujících odstavcích si shrneme, jak při stahování obrazů optimálně postupovat.

Sledujte chování stránek a HTTPS

Obraz pravděpodobně budete chtít stahovat z oficiálních stránek distribuce (i když to určitě není nutné). V takovém případě je základní obranou sledování, zda se stránky nechovají divně nebo jinak než obvykle. Pokud vám např. prohlížeč zahlásí, že na stránkách může být malware, neignorujte to. Pravděpodobně sice půjde o planý poplach, a i kdyby ne, problém spíš bude jinde než v obrazech, ale předběžná opatrnost je na místě.

Stránky by ideálně měly běžet přes šifrovaný protokol HTTPS, což zajistí, že vám někdo na cestě mezi serverem a vaší stanicí nepodstrkuje nesprávná data. U větších distribucí už je HTTPS naprosto běžné a rychle se rozšiřuje i na stránkách těch menších. Některým uživatelům by zelené políčko v prohlížeči mohlo evokovat, že všechno bude OK. Ale nemusí – i HTTPS je spíš bonus, který jistotu neposkytne.

Linux Mint už po incidentu také nasadil HTTPS

Linux Mint už po incidentu také nasadil HTTPS

Běžné řešení: ověření kontrolního součtu

Po stažení ISO souboru byste měli ověřit jeho kontrolní součet neboli hash. Tak opět zjistíte, zda vám někdo nepodstrčil jiný soubor a celkově, zda se soubor správně stáhl. Prakticky vždy jsou k dispozici kontrolní součty funkce MD5, většinou také SHA1 a SHA256. Z nich se za nejsilnější považuje poslední jmenovaná. Zjištění kontrolního součtu zabere maximálně několik desítek sekund, v závislosti na rychlosti úložiště a výkonu procesoru.

Na Linuxu součet získáte následujícím příkazem: md5sum CestaKSouboru. Místo md5sum můžete použít sha1sum nebo sha256sum, podle toho jaký součet chcete. Na Windows je k tomuto účelu třeba nainstalovat nějakou utilitku. Je jich celá řada, doporučme třeba File Checksum Integrity Verifier přímo od Microsoftu. Nástroj má grafické rozhraní, takže použití netřeba vysvětlovat. Poté získaný kontrolní součet porovnáte s kontrolním součtem uvedeným na místě, odkud jste obraz distribuce stahovali. Měly by se shodovat.

Lepší řešení: ověření pomocí podpisu

Zejména větší distribuce a distribuce zaměřené na bezpečnost/soukromí už nabízejí také možnost ověření pomocí podpisu. Řešení je také založeno na kontrolním součtu. Rozdíl je v tom, že se k ISO obrazu přikládá podpis, který může vygenerovat jedině vlastník soukromého klíče. Abyste obraz a podpis mohli ověřit, je potřeba získat odpovídající veřejný klíč. Pokyny naleznete na stránkách distribuce. Klíč stáhnete z keyserveru nebo přímo ze stránek. Postup se vždy drobně liší. Uveďme příklad klíče pro distribuci Tails, který jsem stáhl a následně importoval tímto příkazem:

gpg --import tails-signing.key

Dále je potřeba stáhnout samotný podpis, nejčastěji mívá příponu .gpg nebo .sig. Následujícím příkazem (první soubor je podpis, druhý ISO obraz) jsem obraz ověřil.

gpg --verify tails-i386-2.2.iso.sig tails-i386-2.2.iso

Výstup potvrdil, že byl obraz vytvořen majitelem příslušného soukromého klíče:

Dobrý podpis od "Tails developers (offline long-term identity key) tails@boum.org"

Ve výstupu dost možná najdete i nějaké varování, ale tím se nemusíte zabývat. Problém je zkrátka v tom, že jsme klíč stáhli z internetu a nevíme, kdo ho emitoval. Na Windows lze použít nástroj Gpg4win. Ověření probíhá obdobným způsobem.

Víc jistoty dodá i vyhledávač

Možná už vám došlo, že ani jedna metoda není všespásná. Pokud se útočníkovi podaří proniknout na server, může ke změněným ISO obrazům samozřejmě vytvořit nové hashe a vesele je na web vystavit. Stejně tak si může udělat nový soukromý klíč, veřejný klíč k němu rozdistribuovat na keyservery, kompromitované ISO obrazy podepsat, změnit instrukce atd. Proti tomu neexistuje efektivní obrana. Nejlepší je asi použít trochu selského rozumu a vyhledávání.

Pokud kontrolní součet zadáte do vyhledávače a ten najde jen váš původní zdroj, je to výstražný vykřičník. Naopak pokud bude součet nalezen na řadě webů, např. včetně univerzitních serverů, dá se předpokládat, že jsou obraz i součet legitimní. Kompromitace serverů totiž obvykle mívá krátkého trvání a kompromitované obrazy a jejich kontrolní součty se tím pádem moc nestihnou rozšířit dál.

Opět, tato metoda rozhodně nepředstavuje jistotu. Ani nelze stanovit nějaké limity, kolik výsledků v Googlu je v pořádku a kolik ne. To je samozřejmě hloupost. Jedná se ale o další způsob, kterým lze možnost podvodu trochu snížit. Je třeba brát v potaz, o jakou distribuci jde. U málo známých distribucí nebo denních sestavení si vyhledáváním moc nepomůžete. Ale na MD5 kontrolní součet posledního Ubuntu mi Google zobrazil přes šest set výsledků, na stránkách publikovaných v různé době. To už asi něco znamená.

Ještě víc pomůže vyhledání veřejného klíče podle jeho ID. Na rozdíl od hashe se totiž nemění a bývá používán mnoho let. Takže u správného klíče zobrazí hodně výsledků publikovaných na důvěryhodných stránkách v průběhu mnoha let. Díky tomu se můžete domnívat, že s velkou pravděpodobností nejde o podvrh. Můžete namítnout, že je to humpolácké řešení. Asi ano. Ale poctivé řešení à la web of trust v tomto případě v praxi není dost dobře použitelné. Určitě ne pro běžné uživatele.

Shrnutí

  • Většina uživatelů distribuci stahuje a instaluje jednou za X měsíců nebo dokonce let. Proto se vyplatí věnovat pár minut navíc ověření obrazu. Ano, na kompromitaci se pravděpodobně brzy přijde, ale pro vás už to může být pozdě.
  • Nejlepším způsobem ověření legitimity ISO obrazů je použití GPG a ověření podpisu a obrazu proti jeho veřejnému klíči. Bohužel se jedná o komplikovanější způsob, který pro méně zkušené uživatele může být příliš složitý.
  • Obraz není třeba stahovat z oficiálních stránek, ale je nutné ho patřičně ověřit. Pomůžou oficiální stránky distribucí a případně vyhledání hashe ve vyhledávači. Často je vhodnější stahovat přes BitTorrent. Většinou je to rychlé a odlehčíte serverům distribuce.

Ohodnoťte jako ve škole:

Průměrná známka 1,93

Našli jste v článku chybu?
Zasílat nově přidané názory e-mailem
Vitalia.cz: Tetanus v USA – i po odřeninách

Tetanus v USA – i po odřeninách

Lupa.cz: Nová podoba Instagramu? Katastrofa

Nová podoba Instagramu? Katastrofa

120na80.cz: Co lidi tropí se sádrou

Co lidi tropí se sádrou

120na80.cz: Tady se vaří padělané léky

Tady se vaří padělané léky

120na80.cz: Velký přehled: 7 očkování proti exotickým nemocem

Velký přehled: 7 očkování proti exotickým nemocem

Vitalia.cz: Taky ji kupujete? Je šizená

Taky ji kupujete? Je šizená

Vitalia.cz: Muži kouří 24 cigaret denně, ženy o dost míň

Muži kouří 24 cigaret denně, ženy o dost míň

Vitalia.cz: Ministerstvo: tyto příbory jsou nebezpečné

Ministerstvo: tyto příbory jsou nebezpečné

Vitalia.cz: Před, nebo po snídani? Kdy je lepší čistit si zuby

Před, nebo po snídani? Kdy je lepší čistit si zuby

Vitalia.cz: 7 nemocí očí, které musíte léčit včas

7 nemocí očí, které musíte léčit včas

120na80.cz: 5 triků, jak zastavit krvácení po holení

5 triků, jak zastavit krvácení po holení

DigiZone.cz: Konec geoblokace? Ani náhodou…

Konec geoblokace? Ani náhodou…

Podnikatel.cz: Konečně vývar. Skoro jako od Steva Jobse

Konečně vývar. Skoro jako od Steva Jobse

Podnikatel.cz: Šizený guláš na pultě. Jako Lidl to nedělejte

Šizený guláš na pultě. Jako Lidl to nedělejte

Podnikatel.cz: Když už je sexy, tak ať taky funguje

Když už je sexy, tak ať taky funguje

Lupa.cz: Přenos hokeje padal kvůli útoku, tvrdí O2

Přenos hokeje padal kvůli útoku, tvrdí O2

DigiZone.cz: Šlágr TV dostala pokutu 100 000 Kč

Šlágr TV dostala pokutu 100 000 Kč

120na80.cz: Jak si udržet zdravou vaginu

Jak si udržet zdravou vaginu

120na80.cz: Zjistěte, zda je vaše klíště infikované

Zjistěte, zda je vaše klíště infikované

Lupa.cz: Kam si doma dáte internet věcí? Na polici?

Kam si doma dáte internet věcí? Na polici?