Linux MintのWebサイトが改ざん、バックドア付きISOのダウンロードリンクに書き換えられる 18
ストーリー by hylom
またWordPressか 部門より
またWordPressか 部門より
headless 曰く、
人気Linuxディストリビューション「Linux Mint」のWebサイトが改ざんされ、バックドアの組み込まれたISOイメージをポイントするようにダウンロードリンクが書き換えられていたそうだ(Linux Mint Blog、Neowin、Softpedia、BetaNews)。
リンクが改ざんされたのはLinux Mint 17.3 Cinnamonエディションのみ。改変版のISOイメージにはTsunamiバックドアが組み込まれており、ブルガリアのサーバーでホストされていたとのこと。他のバージョンやエディションへの影響はなく、BitTorrentや直リンクからダウンロードした場合も影響を受けない。
被害を受けたのは2月20日とされているが、日本時間では21日の可能性もある。該当する時間帯にLinux Mint 17.3 Cinnamonをダウンロードした可能性がある場合、ブログ記事に記載されているISOイメージのMD5を確認するといいだろう。
Webサイトはいったん復旧したようだが、再度改ざんを受けて停止中だ。最初の改ざんはWordPressの脆弱性が突かれたものとみられるが、この時に何か仕込まれた可能性もあるため、原因が究明されるまで再開しないとのことだ。
電子署名が欲しいけど (スコア:5, 参考になる)
インストールイメージには意外と付いてないんだよね。
あっても、標準のダウンロードページでは積極的に案内されてなかったりするし、
例えば、
https://www.debian.org/distrib/ [debian.org]
http://www.ubuntu.com/download/desktop [ubuntu.com]
では電子署名の所在がよく分からなくて、何も考えずにダウンロードすると ISO とかが直接落ちてくるリンクを踏んじゃう感じ。
ディレクトリのインデックスに飛ぶリンクを踏めば、
http://cdimage.debian.org/debian-cd/8.3.0/amd64/bt-cd/ [debian.org]
http://ftp.jaist.ac.jp/pub/Linux/ubuntu-releases/15.10/ [jaist.ac.jp]
のように電子署名(.gpg や .sign)のファイルが見つかるけど、
http://ftp.nl.debian.org/debian/dists/jessie/main/installer-amd64/curr... [debian.org]
http://archive.ubuntu.com/ubuntu/dists/wily/main/installer-amd64/curre... [ubuntu.com]
なんかに飛ぶと、電子署名見つからなかったりする。
ま、電子署名付いてても、この辺に詳しくないと、まず gpg の環境整備や使い方調べるところからだったりするから結構ハードル高いし、公開鍵の真贋をどう担保するかってのが、駆け出しの利用者には結構頭の痛い問題。
あと、ハッシュ値自身の改竄や、
ハッシュ値計算以前の段階で汚染されている可能性もあるので、
ハッシュ置き場や、電子署名した人の環境がクリーンであることが担保出来ないと、
結局、ハッシュや電子書名があっても信用できないという話に。
セキュリティは難しい。
uxi
Re: (スコア:0)
大分前に指摘されている [blogspot.jp]のに未だに何も改善してないのが驚きです。
ハッシュ値自体の改竄についても、今はLet's Encryptで手軽にSSLが使えるのに。
Re:電子署名が欲しいけど (スコア:1)
今回はWebサイトでホストしているファイルを改竄されたということなので、HTTPS等のプロトコルでの対策は有効ではありません。
また、ユーザーはWebサイト上のリンクを踏んでダウンロードサイトに向かうはずですから、仮にイメージをホストするサーバー、証明書を分けるなどしても対策にはならないでしょう。
GPG公開鍵も駆け出しの利用者は持っていないはずです。そう簡単に回避できる問題ではないですね。
Re: (スコア:0)
電子署名が、サーバークラッキングを受けた際に
どれだけの効果を期待できるか?ってことになりますね。
そういう意味では、個人的に必然性が無いと考えています。
Windowsでは、ハッシュ値を使う風習すら一般大衆には無く
Linuxを体験してみようという人達に
ハッシュ値は電子署名による検証を期待することも、かなり難しいと思います。
ハッシュ値参照という話より先に
「ダウンロード失敗しているかもしれないから再度DLしてみよう」
だなんて、情弱っぽい発言が
ダウンロード先でハッシュ値が公開されていないために
しかたが無く行われる発言だったりするようですし…
たとえば、Windowsでも、MD5SUM
Re:電子署名が欲しいけど (スコア:2)
公開鍵が信用出来る限りにおいて、
サーバーレベルのクラッキングには完璧な効果を期待出来るのに、
前段の疑問が、なぜ後段の結論に繋がるのか理解に苦しむ。
効果が期待できないケースは
・署名する段階で既に汚染されている場合
・公開鍵の正当性が担保出来ない場合
の2つである。
uxi
Re: (スコア:0)
windowsだとマルウェアが電子署名付きで出回るせいと昔からのアプリがなかなか電子署名に対応しないせいか
smartscreenで利用者数を見るようになったみたいね
検索サイトの結果みたく利用数が多くて問題がレポートされてないならまあ安全という
マイナーソフトの作者にはお金で解決する方法が提供される(EVSSL)
Re: (スコア:0)
>あと、ハッシュ値自身の改竄や、
>ハッシュ値計算以前の段階で汚染されている可能性もあるので、
開発者のPCで計算されるハッシュ値と、Webサーバに置かれたデータでは改善のしやすさが全然違うでしょう。
Re: (スコア:0)
配布側のウェブサイトで公開されているハッシュ値が改ざんされないという保証もない。
LinuxのISOファイル (スコア:1)
バックドア付のISOファイルでもCDに焼いて電車内に置いておくと拾った人が妙な掲示板サイト立ち上げてくれるかもよ。
Re: (スコア:0)
緑から茶色に変わったので、次は枝だけ?
フフフ (スコア:0)
Mintがやられたようだな
奴はLinux4天王の中では最弱...
Re: (スコア:0)
Fedora、Debian、Gentoo、Ubuntu、SuSEあたりはクラック被害経験済みだけど
これらはLinux4天王とやらには入ってないのかな
Re:フフフ (スコア:3)
Mintが4天王最弱とは言ってるけど、それより強い4天王がやられてないとは言ってない
Re: (スコア:0)
mintを四天王の一角とするならそんなにたくさん入らないのでは?
linuxでハッシュというとubuntuの配布時にISOの確認用として公開したハッシュ値が間違っていた騒動を思い出してしまう。
Re: (スコア:0)
mintがminetに空目した。スラド脳恐るべし
Re: (スコア:0)
×4天王
○四天王
Re: (スコア:0)
❓?❔‽?
Re: (スコア:0)
四天王じゃなくて、十六神将くらいで我慢しとき。