ISO e checkum di Ubuntu serviti via HTTP

Sicurezza del sistema: firewall, antispam, antivirus, ssh, patch, bug, eccetera.
Filoteo
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 660
Iscrizione: venerdì 28 agosto 2015, 9:38
Desktop: Gnome
Distribuzione: Arch Linux

ISO e checkum di Ubuntu serviti via HTTP

Messaggio da Filoteo » martedì 19 novembre 2019, 14:50

Come da titolo, da sempre le ISO di Ubuntu e i checksum MD5, SHA1 e SHA256 sono serviti via HTTP sul sito http://releases.ubuntu.com/18.04/. Ciò rende vulnerabili a attacchi MiTM tutti gli utenti che non verificano l'autenticità della ISO e dei checksum con GPG, seguendo questa guida: https://tutorials.ubuntu.com/tutorial/t ... ify-ubuntu. Quanti utenti lo fanno? E anche se fosse la maggior parte, perché lasciare tale misura di sicurezza alla consapevolezza degli utenti? Nel 2019 impostare HTTPS mi pare il minimo per aprire un sito.

zuino1
Prode Principiante
Messaggi: 76
Iscrizione: giovedì 16 febbraio 2017, 9:33

Re: ISO e checkum di Ubuntu serviti via HTTP

Messaggio da zuino1 » mercoledì 20 novembre 2019, 14:43

fammi capire: non essendo https, un malintenzionato potrebbe sostituire alla versione ufficiale di ubuntu una versione con backdoor e robaccia varia?
o non ho capito nulla?

Avatar utente
woddy68
Rampante Reduce
Rampante Reduce
Messaggi: 5124
Iscrizione: sabato 12 febbraio 2011, 14:23
Desktop: Kde Plasma5
Distribuzione: openSUSE Leap 15.2 - Tumbleweed
Sesso: Maschile

Re: ISO e checkum di Ubuntu serviti via HTTP

Messaggio da woddy68 » mercoledì 20 novembre 2019, 15:11

Mi ha stupito il fatto che la pagina di download di Ubuntu sia ancora su HTTP, tuttavia se si utilizza l'indirizzo principale che può essere questo https://www.ubuntu-it.org/download/derivate o questo https://ubuntu.com/download/desktop come si può vedere le pagine sono in HTTPS e non in HTTP.
Desktop - Acer Aspire M5500 (AMD) - Notebook Acer Aspire E1 -522 (Amd)
Ho sempre accettato caramelle dagli sconosciuti. ;)

Avatar utente
frapox
Entusiasta Emergente
Entusiasta Emergente
Messaggi: 1110
Iscrizione: sabato 31 dicembre 2005, 19:22
Desktop: Gnome 3
Distribuzione: Arch, Debian Sid
Località: Lombardia

Re: ISO e checkum di Ubuntu serviti via HTTP

Messaggio da frapox » mercoledì 20 novembre 2019, 15:24

zuino1 [url=https://forum.ubuntu-it.org/viewtopic.php?p=5163371#p5163371][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:fammi capire: non essendo https, un malintenzionato potrebbe sostituire alla versione ufficiale di ubuntu una versione con backdoor e robaccia varia?
o non ho capito nulla?
In un certo senso...

L'unico modo di "certificare" l'identità di un server remoto (e quindi dei suoi contenuti) è quello di utilizzare appunto un cert SSL (il quale "trasforma" il protocollo da http a https) altrimenti gli attacchi man-in-the-middle sono possibili. Non so quanto siano probabili però...

Certo, se uno avesse "paranoie" di questo genere, potrebbe tranquillamente controllare la firma GPG del file CHECKSUMS, non so quanti lo facciano però... (io lo faccio). A quel punto le possibilità di compromissione scendono quasi a zero (si dovrebbe scaricare anche una chiave per la verifica compromessa, il che è molto difficile visto che il sistema di server SKS è decentralizzato e affidabile).

Comunque interessante la questione sollevata da Filoteo, chissà se qualche esperto di pentesting/sicurezza possa fornirci ulteriori dettagli/info sulla questione.

Filoteo
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 660
Iscrizione: venerdì 28 agosto 2015, 9:38
Desktop: Gnome
Distribuzione: Arch Linux

Re: ISO e checkum di Ubuntu serviti via HTTP

Messaggio da Filoteo » mercoledì 20 novembre 2019, 16:44

woddy68 [url=https://forum.ubuntu-it.org/viewtopic.php?p=5163379#p5163379][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Mi ha stupito il fatto che la pagina di download di Ubuntu sia ancora su HTTP, tuttavia se si utilizza l'indirizzo principale che può essere questo https://www.ubuntu-it.org/download/derivate o questo https://ubuntu.com/download/desktop come si può vedere le pagine sono in HTTPS e non in HTTP.
Sì però il link di download punta sempre a http://releases.ubuntu.com.

Avatar utente
woddy68
Rampante Reduce
Rampante Reduce
Messaggi: 5124
Iscrizione: sabato 12 febbraio 2011, 14:23
Desktop: Kde Plasma5
Distribuzione: openSUSE Leap 15.2 - Tumbleweed
Sesso: Maschile

Re: ISO e checkum di Ubuntu serviti via HTTP

Messaggio da woddy68 » mercoledì 20 novembre 2019, 17:03

Boh ! Come si fa a capire ? Nel senso che nel secondo link, se clicco sul download, mi porta ad un'altra pagina sempre HTTPS e il download è automatico, mentre nel primo link il download è automatico e non vengo re-indirizzato da nessuna parte.
Desktop - Acer Aspire M5500 (AMD) - Notebook Acer Aspire E1 -522 (Amd)
Ho sempre accettato caramelle dagli sconosciuti. ;)

Filoteo
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 660
Iscrizione: venerdì 28 agosto 2015, 9:38
Desktop: Gnome
Distribuzione: Arch Linux

Re: ISO e checkum di Ubuntu serviti via HTTP

Messaggio da Filoteo » mercoledì 20 novembre 2019, 17:07

woddy68 [url=https://forum.ubuntu-it.org/viewtopic.php?p=5163411#p5163411][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Boh ! Come si fa a capire ? Nel senso che nel secondo link, se clicco sul download, mi porta ad un'altra pagina sempre HTTPS e il download è automatico, mentre nel primo link il download è automatico e non vengo re-indirizzato da nessuna parte.
E' vero, porta alla pagina HTTPS in cui ti ringrazia per il download, però se vedi il link da cui scarica la ISO è sempre HTTP. Firefox dovrebbe mostrarti l'URL quando chiede di salvare il file mentre da Chrome lo vedi andando in chrome://downloads.

Avatar utente
woddy68
Rampante Reduce
Rampante Reduce
Messaggi: 5124
Iscrizione: sabato 12 febbraio 2011, 14:23
Desktop: Kde Plasma5
Distribuzione: openSUSE Leap 15.2 - Tumbleweed
Sesso: Maschile

Re: ISO e checkum di Ubuntu serviti via HTTP

Messaggio da woddy68 » mercoledì 20 novembre 2019, 17:09

Filoteo [url=https://forum.ubuntu-it.org/viewtopic.php?p=5163412#p5163412][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:
woddy68 [url=https://forum.ubuntu-it.org/viewtopic.php?p=5163411#p5163411][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Boh ! Come si fa a capire ? Nel senso che nel secondo link, se clicco sul download, mi porta ad un'altra pagina sempre HTTPS e il download è automatico, mentre nel primo link il download è automatico e non vengo re-indirizzato da nessuna parte.
E' vero, porta alla pagina HTTPS in cui ti ringrazia per il download, però se vedi il link da cui scarica la ISO è sempre HTTP. Firefox dovrebbe mostrarti l'URL quando chiede di salvare il file mentre da Chrome lo vedi andando in chrome://downloads.
Hai ragione, tra l'altro stavo utilizzando Opera che non conosco molto bene, ma andando nei download e copiando l'indirizzo è effettivamente HTTP.

EDIT. Comunque è sempre bene controllare il codice di controllo, io ho incominciato a controllarlo da quando utilizzo Plasma, perché è molto semplice e veloce da fare con Dolphin. D'altra parte i codici vengono fatti proprio per evitare problemi di questa natura.
Desktop - Acer Aspire M5500 (AMD) - Notebook Acer Aspire E1 -522 (Amd)
Ho sempre accettato caramelle dagli sconosciuti. ;)

Avatar utente
frapox
Entusiasta Emergente
Entusiasta Emergente
Messaggi: 1110
Iscrizione: sabato 31 dicembre 2005, 19:22
Desktop: Gnome 3
Distribuzione: Arch, Debian Sid
Località: Lombardia

Re: ISO e checkum di Ubuntu serviti via HTTP

Messaggio da frapox » mercoledì 20 novembre 2019, 17:44

woddy68 [url=https://forum.ubuntu-it.org/viewtopic.php?p=5163413#p5163413][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:EDIT. Comunque è sempre bene controllare il codice di controllo, io ho incominciato a controllarlo da quando utilizzo Plasma, perché è molto semplice e veloce da fare con Dolphin. D'altra parte i codici vengono fatti proprio per evitare problemi di questa natura.
Come si diceva poc'anzi, il codice di controllo (checksum) può non bastare... visto che può essere stato compromesso anche quello. In teoria bisognerebbe controllare anche la validità della firma GPG a esso associata.

Scrivi risposta

Ritorna a “Sicurezza”

Chi c’è in linea

Visualizzano questa sezione: 0 utenti iscritti e 2 ospiti