Nenechte se nachytat. Ověřujte ISO obrazy distribucí

Roman Bořánek 11. 3. 2016

Jak nám ukázal příklad Linux Mint, v obrazech linuxových distribucí se může skrýt nemilé překvapení v podobě trojana. Stačí napadení serveru. Proto bychom obrazy měli pečlivě kontrolovat. Jak na to?

Ruku na srdce, opravdu všichni poctivě ověřujeme legitimitu stažených kopií linuxových distribucí? A nebo prostě jen klikneme na první dostupný odkaz a víc neřešíme? Nedávné napadení serverů distribuce Linux Mint a obohacení obrazů o trojana nám ukázalo, že bychom to řešit měli. Nejde o nějakou čistě teoretickou hrozbu, ale hrozbu reálnou, která uživatele může stát mnoho osobních údajů nebo dokonce peněz. V následujících odstavcích si shrneme, jak při stahování obrazů optimálně postupovat.

Sledujte chování stránek a HTTPS

Obraz pravděpodobně budete chtít stahovat z oficiálních stránek distribuce (i když to určitě není nutné). V takovém případě je základní obranou sledování, zda se stránky nechovají divně nebo jinak než obvykle. Pokud vám např. prohlížeč zahlásí, že na stránkách může být malware, neignorujte to. Pravděpodobně sice půjde o planý poplach, a i kdyby ne, problém spíš bude jinde než v obrazech, ale předběžná opatrnost je na místě.

Stránky by ideálně měly běžet přes šifrovaný protokol HTTPS, což zajistí, že vám někdo na cestě mezi serverem a vaší stanicí nepodstrkuje nesprávná data. U větších distribucí už je HTTPS naprosto běžné a rychle se rozšiřuje i na stránkách těch menších. Některým uživatelům by zelené políčko v prohlížeči mohlo evokovat, že všechno bude OK. Ale nemusí – i HTTPS je spíš bonus, který jistotu neposkytne.

Linux Mint už po incidentu také nasadil HTTPS

Linux Mint už po incidentu také nasadil HTTPS

Běžné řešení: ověření kontrolního součtu

Po stažení ISO souboru byste měli ověřit jeho kontrolní součet neboli hash. Tak opět zjistíte, zda vám někdo nepodstrčil jiný soubor a celkově, zda se soubor správně stáhl. Prakticky vždy jsou k dispozici kontrolní součty funkce MD5, většinou také SHA1 a SHA256. Z nich se za nejsilnější považuje poslední jmenovaná. Zjištění kontrolního součtu zabere maximálně několik desítek sekund, v závislosti na rychlosti úložiště a výkonu procesoru.

Na Linuxu součet získáte následujícím příkazem: md5sum CestaKSouboru. Místo md5sum můžete použít sha1sum nebo sha256sum, podle toho jaký součet chcete. Na Windows je k tomuto účelu třeba nainstalovat nějakou utilitku. Je jich celá řada, doporučme třeba File Checksum Integrity Verifier přímo od Microsoftu. Nástroj má grafické rozhraní, takže použití netřeba vysvětlovat. Poté získaný kontrolní součet porovnáte s kontrolním součtem uvedeným na místě, odkud jste obraz distribuce stahovali. Měly by se shodovat.

Lepší řešení: ověření pomocí podpisu

Zejména větší distribuce a distribuce zaměřené na bezpečnost/soukromí už nabízejí také možnost ověření pomocí podpisu. Řešení je také založeno na kontrolním součtu. Rozdíl je v tom, že se k ISO obrazu přikládá podpis, který může vygenerovat jedině vlastník soukromého klíče. Abyste obraz a podpis mohli ověřit, je potřeba získat odpovídající veřejný klíč. Pokyny naleznete na stránkách distribuce. Klíč stáhnete z keyserveru nebo přímo ze stránek. Postup se vždy drobně liší. Uveďme příklad klíče pro distribuci Tails, který jsem stáhl a následně importoval tímto příkazem:

gpg --import tails-signing.key

Dále je potřeba stáhnout samotný podpis, nejčastěji mívá příponu .gpg nebo .sig. Následujícím příkazem (první soubor je podpis, druhý ISO obraz) jsem obraz ověřil.

gpg --verify tails-i386-2.2.iso.sig tails-i386-2.2.iso

Výstup potvrdil, že byl obraz vytvořen majitelem příslušného soukromého klíče:

Dobrý podpis od "Tails developers (offline long-term identity key) tails@boum.org"

Ve výstupu dost možná najdete i nějaké varování, ale tím se nemusíte zabývat. Problém je zkrátka v tom, že jsme klíč stáhli z internetu a nevíme, kdo ho emitoval. Na Windows lze použít nástroj Gpg4win. Ověření probíhá obdobným způsobem.

Víc jistoty dodá i vyhledávač

Možná už vám došlo, že ani jedna metoda není všespásná. Pokud se útočníkovi podaří proniknout na server, může ke změněným ISO obrazům samozřejmě vytvořit nové hashe a vesele je na web vystavit. Stejně tak si může udělat nový soukromý klíč, veřejný klíč k němu rozdistribuovat na keyservery, kompromitované ISO obrazy podepsat, změnit instrukce atd. Proti tomu neexistuje efektivní obrana. Nejlepší je asi použít trochu selského rozumu a vyhledávání.

Pokud kontrolní součet zadáte do vyhledávače a ten najde jen váš původní zdroj, je to výstražný vykřičník. Naopak pokud bude součet nalezen na řadě webů, např. včetně univerzitních serverů, dá se předpokládat, že jsou obraz i součet legitimní. Kompromitace serverů totiž obvykle mívá krátkého trvání a kompromitované obrazy a jejich kontrolní součty se tím pádem moc nestihnou rozšířit dál.

Opět, tato metoda rozhodně nepředstavuje jistotu. Ani nelze stanovit nějaké limity, kolik výsledků v Googlu je v pořádku a kolik ne. To je samozřejmě hloupost. Jedná se ale o další způsob, kterým lze možnost podvodu trochu snížit. Je třeba brát v potaz, o jakou distribuci jde. U málo známých distribucí nebo denních sestavení si vyhledáváním moc nepomůžete. Ale na MD5 kontrolní součet posledního Ubuntu mi Google zobrazil přes šest set výsledků, na stránkách publikovaných v různé době. To už asi něco znamená.

Ještě víc pomůže vyhledání veřejného klíče podle jeho ID. Na rozdíl od hashe se totiž nemění a bývá používán mnoho let. Takže u správného klíče zobrazí hodně výsledků publikovaných na důvěryhodných stránkách v průběhu mnoha let. Díky tomu se můžete domnívat, že s velkou pravděpodobností nejde o podvrh. Můžete namítnout, že je to humpolácké řešení. Asi ano. Ale poctivé řešení à la web of trust v tomto případě v praxi není dost dobře použitelné. Určitě ne pro běžné uživatele.

Shrnutí

  • Většina uživatelů distribuci stahuje a instaluje jednou za X měsíců nebo dokonce let. Proto se vyplatí věnovat pár minut navíc ověření obrazu. Ano, na kompromitaci se pravděpodobně brzy přijde, ale pro vás už to může být pozdě.
  • Nejlepším způsobem ověření legitimity ISO obrazů je použití GPG a ověření podpisu a obrazu proti jeho veřejnému klíči. Bohužel se jedná o komplikovanější způsob, který pro méně zkušené uživatele může být příliš složitý.
  • Obraz není třeba stahovat z oficiálních stránek, ale je nutné ho patřičně ověřit. Pomůžou oficiální stránky distribucí a případně vyhledání hashe ve vyhledávači. Často je vhodnější stahovat přes BitTorrent. Většinou je to rychlé a odlehčíte serverům distribuce.
Našli jste v článku chybu?
DigiZone.cz: Slováci první, Češi třetí. Krásný...

Slováci první, Češi třetí. Krásný...

Měšec.cz: Cestujte bez starostí, získejte výhodné pojištění

Cestujte bez starostí, získejte výhodné pojištění

120na80.cz: Běžecká lékárnička: jak si poradit?

Běžecká lékárnička: jak si poradit?

DigiZone.cz: Mobilní aplikace pro DVTV je tady

Mobilní aplikace pro DVTV je tady

Vitalia.cz: Unikátní fotografie: Sládek sbírá pivní pěny

Unikátní fotografie: Sládek sbírá pivní pěny

Měšec.cz: Udali ho na nelegální software a přišla Policie

Udali ho na nelegální software a přišla Policie

Podnikatel.cz: Oblíbené Babišovo reverse charge. Potopilo je?

Oblíbené Babišovo reverse charge. Potopilo je?

Podnikatel.cz: Eseróčko vs. živnost. Co vyhrává?

Eseróčko vs. živnost. Co vyhrává?

DigiZone.cz: ČT veze bronz z klání televizní grafiky

ČT veze bronz z klání televizní grafiky

DigiZone.cz: Skylink zapojil nový transpondér

Skylink zapojil nový transpondér

Měšec.cz: Ceny PHM v Evropě. Finty na úspory

Ceny PHM v Evropě. Finty na úspory

Root.cz: Nejvýkonnější počítač mají v Číně, podívejte se

Nejvýkonnější počítač mají v Číně, podívejte se

DigiZone.cz: Markíza: tady je předběžné opatření

Markíza: tady je předběžné opatření

DigiZone.cz: Nova: technické pauzy každé 1. pondělí

Nova: technické pauzy každé 1. pondělí

Vitalia.cz: Máte chutě? Nejezděte do světa, ale do Dobřichovic

Máte chutě? Nejezděte do světa, ale do Dobřichovic

Lupa.cz: Vydavatelé jsou v háji, ale neumí si to připustit

Vydavatelé jsou v háji, ale neumí si to připustit

Root.cz: Střílejte v obýváku, stačí kamera a projektor

Střílejte v obýváku, stačí kamera a projektor

Měšec.cz: Od kdy musí studenti platit pojistné?

Od kdy musí studenti platit pojistné?

DigiZone.cz: Roční bonus pro Dvořáka schválen

Roční bonus pro Dvořáka schválen

DigiZone.cz: Náhrada za nevrácená zařízení?

Náhrada za nevrácená zařízení?