ISO e checkum di Ubuntu serviti via HTTP

Sicurezza del sistema: firewall, antispam, antivirus, ssh, patch, bug, eccetera.
Scrivi risposta
Avatar utente
Filoteo
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 885
Iscrizione: venerdì 28 agosto 2015, 9:38
Desktop: Gnome
Distribuzione: Arch Linux

ISO e checkum di Ubuntu serviti via HTTP

Messaggio da Filoteo » martedì 19 novembre 2019, 14:50

Come da titolo, da sempre le ISO di Ubuntu e i checksum MD5, SHA1 e SHA256 sono serviti via HTTP sul sito http://releases.ubuntu.com/18.04/. Ciò rende vulnerabili a attacchi MiTM tutti gli utenti che non verificano l'autenticità della ISO e dei checksum con GPG, seguendo questa guida: https://tutorials.ubuntu.com/tutorial/t ... ify-ubuntu. Quanti utenti lo fanno? E anche se fosse la maggior parte, perché lasciare tale misura di sicurezza alla consapevolezza degli utenti? Nel 2019 impostare HTTPS mi pare il minimo per aprire un sito.

zuino1
Prode Principiante
Messaggi: 83
Iscrizione: giovedì 16 febbraio 2017, 9:33

Re: ISO e checkum di Ubuntu serviti via HTTP

Messaggio da zuino1 » mercoledì 20 novembre 2019, 14:43

fammi capire: non essendo https, un malintenzionato potrebbe sostituire alla versione ufficiale di ubuntu una versione con backdoor e robaccia varia?
o non ho capito nulla?

Avatar utente
woddy68
Rampante Reduce
Rampante Reduce
Messaggi: 5704
Iscrizione: sabato 12 febbraio 2011, 14:23
Desktop: Kde Plasma5
Distribuzione: openSUSE Leap-Tumbleweed-Kubuntu 20
Sesso: Maschile

Re: ISO e checkum di Ubuntu serviti via HTTP

Messaggio da woddy68 » mercoledì 20 novembre 2019, 15:11

Mi ha stupito il fatto che la pagina di download di Ubuntu sia ancora su HTTP, tuttavia se si utilizza l'indirizzo principale che può essere questo https://www.ubuntu-it.org/download/derivate o questo https://ubuntu.com/download/desktop come si può vedere le pagine sono in HTTPS e non in HTTP.
Desktop - Acer Aspire M5500 (AMD) - Notebook Acer Aspire E1 -522 (Amd)
Voglio trovare la mia strada per il paradiso - Perché ho scontato la mia pena all'inferno
Non avevo un bell'aspetto ma mi sentivo proprio bene 😬

Avatar utente
frapox
Entusiasta Emergente
Entusiasta Emergente
Messaggi: 1455
Iscrizione: sabato 31 dicembre 2005, 19:22
Desktop: Gnome 3
Distribuzione: Arch, Debian, Ubuntu
Località: Lombardia

Re: ISO e checkum di Ubuntu serviti via HTTP

Messaggio da frapox » mercoledì 20 novembre 2019, 15:24

zuino1 [url=https://forum.ubuntu-it.org/viewtopic.php?p=5163371#p5163371][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:fammi capire: non essendo https, un malintenzionato potrebbe sostituire alla versione ufficiale di ubuntu una versione con backdoor e robaccia varia?
o non ho capito nulla?
In un certo senso...

L'unico modo di "certificare" l'identità di un server remoto (e quindi dei suoi contenuti) è quello di utilizzare appunto un cert SSL (il quale "trasforma" il protocollo da http a https) altrimenti gli attacchi man-in-the-middle sono possibili. Non so quanto siano probabili però...

Certo, se uno avesse "paranoie" di questo genere, potrebbe tranquillamente controllare la firma GPG del file CHECKSUMS, non so quanti lo facciano però... (io lo faccio). A quel punto le possibilità di compromissione scendono quasi a zero (si dovrebbe scaricare anche una chiave per la verifica compromessa, il che è molto difficile visto che il sistema di server SKS è decentralizzato e affidabile).

Comunque interessante la questione sollevata da Filoteo, chissà se qualche esperto di pentesting/sicurezza possa fornirci ulteriori dettagli/info sulla questione.

Avatar utente
Filoteo
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 885
Iscrizione: venerdì 28 agosto 2015, 9:38
Desktop: Gnome
Distribuzione: Arch Linux

Re: ISO e checkum di Ubuntu serviti via HTTP

Messaggio da Filoteo » mercoledì 20 novembre 2019, 16:44

woddy68 [url=https://forum.ubuntu-it.org/viewtopic.php?p=5163379#p5163379][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Mi ha stupito il fatto che la pagina di download di Ubuntu sia ancora su HTTP, tuttavia se si utilizza l'indirizzo principale che può essere questo https://www.ubuntu-it.org/download/derivate o questo https://ubuntu.com/download/desktop come si può vedere le pagine sono in HTTPS e non in HTTP.
Sì però il link di download punta sempre a http://releases.ubuntu.com.

Avatar utente
woddy68
Rampante Reduce
Rampante Reduce
Messaggi: 5704
Iscrizione: sabato 12 febbraio 2011, 14:23
Desktop: Kde Plasma5
Distribuzione: openSUSE Leap-Tumbleweed-Kubuntu 20
Sesso: Maschile

Re: ISO e checkum di Ubuntu serviti via HTTP

Messaggio da woddy68 » mercoledì 20 novembre 2019, 17:03

Boh ! Come si fa a capire ? Nel senso che nel secondo link, se clicco sul download, mi porta ad un'altra pagina sempre HTTPS e il download è automatico, mentre nel primo link il download è automatico e non vengo re-indirizzato da nessuna parte.
Desktop - Acer Aspire M5500 (AMD) - Notebook Acer Aspire E1 -522 (Amd)
Voglio trovare la mia strada per il paradiso - Perché ho scontato la mia pena all'inferno
Non avevo un bell'aspetto ma mi sentivo proprio bene 😬

Avatar utente
Filoteo
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 885
Iscrizione: venerdì 28 agosto 2015, 9:38
Desktop: Gnome
Distribuzione: Arch Linux

Re: ISO e checkum di Ubuntu serviti via HTTP

Messaggio da Filoteo » mercoledì 20 novembre 2019, 17:07

woddy68 [url=https://forum.ubuntu-it.org/viewtopic.php?p=5163411#p5163411][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Boh ! Come si fa a capire ? Nel senso che nel secondo link, se clicco sul download, mi porta ad un'altra pagina sempre HTTPS e il download è automatico, mentre nel primo link il download è automatico e non vengo re-indirizzato da nessuna parte.
E' vero, porta alla pagina HTTPS in cui ti ringrazia per il download, però se vedi il link da cui scarica la ISO è sempre HTTP. Firefox dovrebbe mostrarti l'URL quando chiede di salvare il file mentre da Chrome lo vedi andando in chrome://downloads.

Avatar utente
woddy68
Rampante Reduce
Rampante Reduce
Messaggi: 5704
Iscrizione: sabato 12 febbraio 2011, 14:23
Desktop: Kde Plasma5
Distribuzione: openSUSE Leap-Tumbleweed-Kubuntu 20
Sesso: Maschile

Re: ISO e checkum di Ubuntu serviti via HTTP

Messaggio da woddy68 » mercoledì 20 novembre 2019, 17:09

Filoteo [url=https://forum.ubuntu-it.org/viewtopic.php?p=5163412#p5163412][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:
woddy68 [url=https://forum.ubuntu-it.org/viewtopic.php?p=5163411#p5163411][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Boh ! Come si fa a capire ? Nel senso che nel secondo link, se clicco sul download, mi porta ad un'altra pagina sempre HTTPS e il download è automatico, mentre nel primo link il download è automatico e non vengo re-indirizzato da nessuna parte.
E' vero, porta alla pagina HTTPS in cui ti ringrazia per il download, però se vedi il link da cui scarica la ISO è sempre HTTP. Firefox dovrebbe mostrarti l'URL quando chiede di salvare il file mentre da Chrome lo vedi andando in chrome://downloads.
Hai ragione, tra l'altro stavo utilizzando Opera che non conosco molto bene, ma andando nei download e copiando l'indirizzo è effettivamente HTTP.

EDIT. Comunque è sempre bene controllare il codice di controllo, io ho incominciato a controllarlo da quando utilizzo Plasma, perché è molto semplice e veloce da fare con Dolphin. D'altra parte i codici vengono fatti proprio per evitare problemi di questa natura.
Desktop - Acer Aspire M5500 (AMD) - Notebook Acer Aspire E1 -522 (Amd)
Voglio trovare la mia strada per il paradiso - Perché ho scontato la mia pena all'inferno
Non avevo un bell'aspetto ma mi sentivo proprio bene 😬

Avatar utente
frapox
Entusiasta Emergente
Entusiasta Emergente
Messaggi: 1455
Iscrizione: sabato 31 dicembre 2005, 19:22
Desktop: Gnome 3
Distribuzione: Arch, Debian, Ubuntu
Località: Lombardia

Re: ISO e checkum di Ubuntu serviti via HTTP

Messaggio da frapox » mercoledì 20 novembre 2019, 17:44

woddy68 [url=https://forum.ubuntu-it.org/viewtopic.php?p=5163413#p5163413][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:EDIT. Comunque è sempre bene controllare il codice di controllo, io ho incominciato a controllarlo da quando utilizzo Plasma, perché è molto semplice e veloce da fare con Dolphin. D'altra parte i codici vengono fatti proprio per evitare problemi di questa natura.
Come si diceva poc'anzi, il codice di controllo (checksum) può non bastare... visto che può essere stato compromesso anche quello. In teoria bisognerebbe controllare anche la validità della firma GPG a esso associata.

Avatar utente
Filoteo
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 885
Iscrizione: venerdì 28 agosto 2015, 9:38
Desktop: Gnome
Distribuzione: Arch Linux

Re: ISO e checkum di Ubuntu serviti via HTTP

Messaggio da Filoteo » giovedì 23 aprile 2020, 17:38

Attendendo il rilascio di Ubuntu 20.04 mi sono accorto che finalmente il sito supporta HTTPS https://releases.ubuntu.com

Il certificato è stato creato il 19 marzo https://crt.sh/?id=2598862307

Avatar utente
frapox
Entusiasta Emergente
Entusiasta Emergente
Messaggi: 1455
Iscrizione: sabato 31 dicembre 2005, 19:22
Desktop: Gnome 3
Distribuzione: Arch, Debian, Ubuntu
Località: Lombardia

Re: ISO e checkum di Ubuntu serviti via HTTP

Messaggio da frapox » giovedì 23 aprile 2020, 17:55

Filoteo ha scritto:
giovedì 23 aprile 2020, 17:38
Attendendo il rilascio di Ubuntu 20.04 mi sono accorto che finalmente il sito supporta HTTPS https://releases.ubuntu.com

Il certificato è stato creato il 19 marzo https://crt.sh/?id=2598862307
È una buona cosa, in effetti, strano che non l'avessero implementato prima!

Comunque resta sempre valido il discorso dei post precedenti: per la sicurezza "totale", la procedura è sempre: verifica GPG file SHA256SUM > verifica della iso con sha256sum.

Avatar utente
Filoteo
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 885
Iscrizione: venerdì 28 agosto 2015, 9:38
Desktop: Gnome
Distribuzione: Arch Linux

Re: ISO e checkum di Ubuntu serviti via HTTP

Messaggio da Filoteo » giovedì 23 aprile 2020, 18:09

frapox ha scritto:
giovedì 23 aprile 2020, 17:55
Comunque resta sempre valido il discorso dei post precedenti: per la sicurezza "totale", la procedura è sempre: verifica GPG file SHA256SUM > verifica della iso con sha256sum.
Assolutamente sì. Per lo meno ora c’è una sicurezza in più per chi non segue quei passaggi.

Pike
Imperturbabile Insigne
Imperturbabile Insigne
Messaggi: 4822
Iscrizione: domenica 20 gennaio 2008, 1:13
Desktop: Kubuntu
Distribuzione: 20.04 x64
Contatti:

Re: ISO e checkum di Ubuntu serviti via HTTP

Messaggio da Pike » giovedì 23 aprile 2020, 18:16

HTTPS = no Proxy.
Sono colui che fa cose che non servono...
Secondo Principio di Dilbert, di Scott Adams. "Si parte dalla certezza che siamo tutti idioti". Ed alcuni su questo mi ab-battono alla grande.
Come certificato dalla moderazione, incivile e maleducato. You have been warned.

Scrivi risposta

Ritorna a “Sicurezza”

Chi c’è in linea

Visualizzano questa sezione: 0 utenti iscritti e 0 ospiti