Pagina 1 di 1

ISO e checkum di Ubuntu serviti via HTTP

Inviato: martedì 19 novembre 2019, 14:50
da Filoteo
Come da titolo, da sempre le ISO di Ubuntu e i checksum MD5, SHA1 e SHA256 sono serviti via HTTP sul sito http://releases.ubuntu.com/18.04/. Ciò rende vulnerabili a attacchi MiTM tutti gli utenti che non verificano l'autenticità della ISO e dei checksum con GPG, seguendo questa guida: https://tutorials.ubuntu.com/tutorial/t ... ify-ubuntu. Quanti utenti lo fanno? E anche se fosse la maggior parte, perché lasciare tale misura di sicurezza alla consapevolezza degli utenti? Nel 2019 impostare HTTPS mi pare il minimo per aprire un sito.

Re: ISO e checkum di Ubuntu serviti via HTTP

Inviato: mercoledì 20 novembre 2019, 14:43
da zuino1
fammi capire: non essendo https, un malintenzionato potrebbe sostituire alla versione ufficiale di ubuntu una versione con backdoor e robaccia varia?
o non ho capito nulla?

Re: ISO e checkum di Ubuntu serviti via HTTP

Inviato: mercoledì 20 novembre 2019, 15:11
da woddy68
Mi ha stupito il fatto che la pagina di download di Ubuntu sia ancora su HTTP, tuttavia se si utilizza l'indirizzo principale che può essere questo https://www.ubuntu-it.org/download/derivate o questo https://ubuntu.com/download/desktop come si può vedere le pagine sono in HTTPS e non in HTTP.

Re: ISO e checkum di Ubuntu serviti via HTTP

Inviato: mercoledì 20 novembre 2019, 15:24
da frapox
zuino1 [url=https://forum.ubuntu-it.org/viewtopic.php?p=5163371#p5163371][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:fammi capire: non essendo https, un malintenzionato potrebbe sostituire alla versione ufficiale di ubuntu una versione con backdoor e robaccia varia?
o non ho capito nulla?
In un certo senso...

L'unico modo di "certificare" l'identità di un server remoto (e quindi dei suoi contenuti) è quello di utilizzare appunto un cert SSL (il quale "trasforma" il protocollo da http a https) altrimenti gli attacchi man-in-the-middle sono possibili. Non so quanto siano probabili però...

Certo, se uno avesse "paranoie" di questo genere, potrebbe tranquillamente controllare la firma GPG del file CHECKSUMS, non so quanti lo facciano però... (io lo faccio). A quel punto le possibilità di compromissione scendono quasi a zero (si dovrebbe scaricare anche una chiave per la verifica compromessa, il che è molto difficile visto che il sistema di server SKS è decentralizzato e affidabile).

Comunque interessante la questione sollevata da Filoteo, chissà se qualche esperto di pentesting/sicurezza possa fornirci ulteriori dettagli/info sulla questione.

Re: ISO e checkum di Ubuntu serviti via HTTP

Inviato: mercoledì 20 novembre 2019, 16:44
da Filoteo
woddy68 [url=https://forum.ubuntu-it.org/viewtopic.php?p=5163379#p5163379][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Mi ha stupito il fatto che la pagina di download di Ubuntu sia ancora su HTTP, tuttavia se si utilizza l'indirizzo principale che può essere questo https://www.ubuntu-it.org/download/derivate o questo https://ubuntu.com/download/desktop come si può vedere le pagine sono in HTTPS e non in HTTP.
Sì però il link di download punta sempre a http://releases.ubuntu.com.

Re: ISO e checkum di Ubuntu serviti via HTTP

Inviato: mercoledì 20 novembre 2019, 17:03
da woddy68
Boh ! Come si fa a capire ? Nel senso che nel secondo link, se clicco sul download, mi porta ad un'altra pagina sempre HTTPS e il download è automatico, mentre nel primo link il download è automatico e non vengo re-indirizzato da nessuna parte.

Re: ISO e checkum di Ubuntu serviti via HTTP

Inviato: mercoledì 20 novembre 2019, 17:07
da Filoteo
woddy68 [url=https://forum.ubuntu-it.org/viewtopic.php?p=5163411#p5163411][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Boh ! Come si fa a capire ? Nel senso che nel secondo link, se clicco sul download, mi porta ad un'altra pagina sempre HTTPS e il download è automatico, mentre nel primo link il download è automatico e non vengo re-indirizzato da nessuna parte.
E' vero, porta alla pagina HTTPS in cui ti ringrazia per il download, però se vedi il link da cui scarica la ISO è sempre HTTP. Firefox dovrebbe mostrarti l'URL quando chiede di salvare il file mentre da Chrome lo vedi andando in chrome://downloads.

Re: ISO e checkum di Ubuntu serviti via HTTP

Inviato: mercoledì 20 novembre 2019, 17:09
da woddy68
Filoteo [url=https://forum.ubuntu-it.org/viewtopic.php?p=5163412#p5163412][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:
woddy68 [url=https://forum.ubuntu-it.org/viewtopic.php?p=5163411#p5163411][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Boh ! Come si fa a capire ? Nel senso che nel secondo link, se clicco sul download, mi porta ad un'altra pagina sempre HTTPS e il download è automatico, mentre nel primo link il download è automatico e non vengo re-indirizzato da nessuna parte.
E' vero, porta alla pagina HTTPS in cui ti ringrazia per il download, però se vedi il link da cui scarica la ISO è sempre HTTP. Firefox dovrebbe mostrarti l'URL quando chiede di salvare il file mentre da Chrome lo vedi andando in chrome://downloads.
Hai ragione, tra l'altro stavo utilizzando Opera che non conosco molto bene, ma andando nei download e copiando l'indirizzo è effettivamente HTTP.

EDIT. Comunque è sempre bene controllare il codice di controllo, io ho incominciato a controllarlo da quando utilizzo Plasma, perché è molto semplice e veloce da fare con Dolphin. D'altra parte i codici vengono fatti proprio per evitare problemi di questa natura.

Re: ISO e checkum di Ubuntu serviti via HTTP

Inviato: mercoledì 20 novembre 2019, 17:44
da frapox
woddy68 [url=https://forum.ubuntu-it.org/viewtopic.php?p=5163413#p5163413][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:EDIT. Comunque è sempre bene controllare il codice di controllo, io ho incominciato a controllarlo da quando utilizzo Plasma, perché è molto semplice e veloce da fare con Dolphin. D'altra parte i codici vengono fatti proprio per evitare problemi di questa natura.
Come si diceva poc'anzi, il codice di controllo (checksum) può non bastare... visto che può essere stato compromesso anche quello. In teoria bisognerebbe controllare anche la validità della firma GPG a esso associata.

Re: ISO e checkum di Ubuntu serviti via HTTP

Inviato: giovedì 23 aprile 2020, 17:38
da Filoteo
Attendendo il rilascio di Ubuntu 20.04 mi sono accorto che finalmente il sito supporta HTTPS https://releases.ubuntu.com

Il certificato è stato creato il 19 marzo https://crt.sh/?id=2598862307

Re: ISO e checkum di Ubuntu serviti via HTTP

Inviato: giovedì 23 aprile 2020, 17:55
da frapox
Filoteo ha scritto:
giovedì 23 aprile 2020, 17:38
Attendendo il rilascio di Ubuntu 20.04 mi sono accorto che finalmente il sito supporta HTTPS https://releases.ubuntu.com

Il certificato è stato creato il 19 marzo https://crt.sh/?id=2598862307
È una buona cosa, in effetti, strano che non l'avessero implementato prima!

Comunque resta sempre valido il discorso dei post precedenti: per la sicurezza "totale", la procedura è sempre: verifica GPG file SHA256SUM > verifica della iso con sha256sum.

Re: ISO e checkum di Ubuntu serviti via HTTP

Inviato: giovedì 23 aprile 2020, 18:09
da Filoteo
frapox ha scritto:
giovedì 23 aprile 2020, 17:55
Comunque resta sempre valido il discorso dei post precedenti: per la sicurezza "totale", la procedura è sempre: verifica GPG file SHA256SUM > verifica della iso con sha256sum.
Assolutamente sì. Per lo meno ora c’è una sicurezza in più per chi non segue quei passaggi.

Re: ISO e checkum di Ubuntu serviti via HTTP

Inviato: giovedì 23 aprile 2020, 18:16
da Pike
HTTPS = no Proxy.