パスワードを忘れた? アカウント作成
12696482 story
インターネット

Linux MintのWebサイトが改ざん、バックドア付きISOのダウンロードリンクに書き換えられる 18

ストーリー by hylom
またWordPressか 部門より
headless 曰く、

人気Linuxディストリビューション「Linux Mint」のWebサイトが改ざんされ、バックドアの組み込まれたISOイメージをポイントするようにダウンロードリンクが書き換えられていたそうだ(Linux Mint BlogNeowinSoftpediaBetaNews)。

リンクが改ざんされたのはLinux Mint 17.3 Cinnamonエディションのみ。改変版のISOイメージにはTsunamiバックドアが組み込まれており、ブルガリアのサーバーでホストされていたとのこと。他のバージョンやエディションへの影響はなく、BitTorrentや直リンクからダウンロードした場合も影響を受けない。

被害を受けたのは2月20日とされているが、日本時間では21日の可能性もある。該当する時間帯にLinux Mint 17.3 Cinnamonをダウンロードした可能性がある場合、ブログ記事に記載されているISOイメージのMD5を確認するといいだろう。

Webサイトはいったん復旧したようだが、再度改ざんを受けて停止中だ。最初の改ざんはWordPressの脆弱性が突かれたものとみられるが、この時に何か仕込まれた可能性もあるため、原因が究明されるまで再開しないとのことだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by uxi (5376) on 2016年02月23日 15時36分 (#2969329)

    インストールイメージには意外と付いてないんだよね。
    あっても、標準のダウンロードページでは積極的に案内されてなかったりするし、
    例えば、
    https://www.debian.org/distrib/ [debian.org]
    http://www.ubuntu.com/download/desktop [ubuntu.com]
    では電子署名の所在がよく分からなくて、何も考えずにダウンロードすると ISO とかが直接落ちてくるリンクを踏んじゃう感じ。

    ディレクトリのインデックスに飛ぶリンクを踏めば、
    http://cdimage.debian.org/debian-cd/8.3.0/amd64/bt-cd/ [debian.org]
    http://ftp.jaist.ac.jp/pub/Linux/ubuntu-releases/15.10/ [jaist.ac.jp]
    のように電子署名(.gpg や .sign)のファイルが見つかるけど、
    http://ftp.nl.debian.org/debian/dists/jessie/main/installer-amd64/curr... [debian.org]
    http://archive.ubuntu.com/ubuntu/dists/wily/main/installer-amd64/curre... [ubuntu.com]
    なんかに飛ぶと、電子署名見つからなかったりする。

    ま、電子署名付いてても、この辺に詳しくないと、まず gpg の環境整備や使い方調べるところからだったりするから結構ハードル高いし、公開鍵の真贋をどう担保するかってのが、駆け出しの利用者には結構頭の痛い問題。

    あと、ハッシュ値自身の改竄や、
    ハッシュ値計算以前の段階で汚染されている可能性もあるので、
    ハッシュ置き場や、電子署名した人の環境がクリーンであることが担保出来ないと、
    結局、ハッシュや電子書名があっても信用できないという話に。

    セキュリティは難しい。

    --
    uxi
    • by Anonymous Coward

      大分前に指摘されている [blogspot.jp]のに未だに何も改善してないのが驚きです。
      ハッシュ値自体の改竄についても、今はLet's Encryptで手軽にSSLが使えるのに。

      • by Anonymous Coward on 2016年02月23日 22時08分 (#2969590)

        今回はWebサイトでホストしているファイルを改竄されたということなので、HTTPS等のプロトコルでの対策は有効ではありません。
        また、ユーザーはWebサイト上のリンクを踏んでダウンロードサイトに向かうはずですから、仮にイメージをホストするサーバー、証明書を分けるなどしても対策にはならないでしょう。

        GPG公開鍵も駆け出しの利用者は持っていないはずです。そう簡単に回避できる問題ではないですね。

        親コメント
      • by Anonymous Coward

        電子署名が、サーバークラッキングを受けた際に
        どれだけの効果を期待できるか?ってことになりますね。

        そういう意味では、個人的に必然性が無いと考えています。

        Windowsでは、ハッシュ値を使う風習すら一般大衆には無く
        Linuxを体験してみようという人達に
        ハッシュ値は電子署名による検証を期待することも、かなり難しいと思います。

        ハッシュ値参照という話より先に
        「ダウンロード失敗しているかもしれないから再度DLしてみよう」
        だなんて、情弱っぽい発言が
        ダウンロード先でハッシュ値が公開されていないために
        しかたが無く行われる発言だったりするようですし…

        たとえば、Windowsでも、MD5SUM

        • by uxi (5376) on 2016年02月27日 16時00分 (#2971711)

          電子署名が、サーバークラッキングを受けた際に
          どれだけの効果を期待できるか?ってことになりますね。

          そういう意味では、個人的に必然性が無いと考えています。

          公開鍵が信用出来る限りにおいて、
          サーバーレベルのクラッキングには完璧な効果を期待出来るのに、
          前段の疑問が、なぜ後段の結論に繋がるのか理解に苦しむ。

          効果が期待できないケースは
          ・署名する段階で既に汚染されている場合
          ・公開鍵の正当性が担保出来ない場合
          の2つである。

          --
          uxi
          親コメント
        • by Anonymous Coward

          windowsだとマルウェアが電子署名付きで出回るせいと昔からのアプリがなかなか電子署名に対応しないせいか
          smartscreenで利用者数を見るようになったみたいね
          検索サイトの結果みたく利用数が多くて問題がレポートされてないならまあ安全という

          マイナーソフトの作者にはお金で解決する方法が提供される(EVSSL)

    • by Anonymous Coward

      >あと、ハッシュ値自身の改竄や、
      >ハッシュ値計算以前の段階で汚染されている可能性もあるので、

      開発者のPCで計算されるハッシュ値と、Webサーバに置かれたデータでは改善のしやすさが全然違うでしょう。

      • by Anonymous Coward

        配布側のウェブサイトで公開されているハッシュ値が改ざんされないという保証もない。

  • by Anonymous Coward on 2016年02月23日 17時04分 (#2969423)

    バックドア付のISOファイルでもCDに焼いて電車内に置いておくと拾った人が妙な掲示板サイト立ち上げてくれるかもよ。

    • by Anonymous Coward

      緑から茶色に変わったので、次は枝だけ?

  • by Anonymous Coward on 2016年02月23日 17時10分 (#2969427)

    Mintがやられたようだな
    奴はLinux4天王の中では最弱...

    • by Anonymous Coward

      Fedora、Debian、Gentoo、Ubuntu、SuSEあたりはクラック被害経験済みだけど
      これらはLinux4天王とやらには入ってないのかな

      • by Patilise (45974) on 2016年02月23日 20時59分 (#2969552) 日記

        Mintが4天王最弱とは言ってるけど、それより強い4天王がやられてないとは言ってない

        親コメント
      • by Anonymous Coward

        mintを四天王の一角とするならそんなにたくさん入らないのでは?
        linuxでハッシュというとubuntuの配布時にISOの確認用として公開したハッシュ値が間違っていた騒動を思い出してしまう。

        • by Anonymous Coward

          mintがminetに空目した。スラド脳恐るべし

    • by Anonymous Coward

      ×4天王
      ○四天王

    • by Anonymous Coward

      四天王じゃなくて、十六神将くらいで我慢しとき。

typodupeerror

アレゲはアレゲを呼ぶ -- ある傍観者

読み込み中...