ISO e checkum di Ubuntu serviti via HTTP

[Filoteo]

Come da titolo, da sempre le ISO di Ubuntu e i checksum MD5, SHA1 e SHA256 sono serviti via HTTP sul sito http://releases.ubuntu.com/18.04/. Ciò rende vulnerabili a attacchi MiTM tutti gli utenti che non verificano l'autenticità della ISO e dei checksum con GPG, seguendo questa guida: https://tutorials.ubuntu.com/tutorial/t ... ify-ubuntu. Quanti utenti lo fanno? E anche se fosse la maggior parte, perché lasciare tale misura di sicurezza alla consapevolezza degli utenti? Nel 2019 impostare HTTPS mi pare il minimo per aprire un sito.

[zuino1]

fammi capire: non essendo https, un malintenzionato potrebbe sostituire alla versione ufficiale di ubuntu una versione con backdoor e robaccia varia?
o non ho capito nulla?

[woddy68]

Mi ha stupito il fatto che la pagina di download di Ubuntu sia ancora su HTTP, tuttavia se si utilizza l'indirizzo principale che può essere questo https://www.ubuntu-it.org/download/derivate o questo https://ubuntu.com/download/desktop come si può vedere le pagine sono in HTTPS e non in HTTP.

[frapox]

fammi capire: non essendo https, un malintenzionato potrebbe sostituire alla versione ufficiale di ubuntu una versione con backdoor e robaccia varia?
o non ho capito nulla?

In un certo senso...

L'unico modo di "certificare" l'identità di un server remoto (e quindi dei suoi contenuti) è quello di utilizzare appunto un cert SSL (il quale "trasforma" il protocollo da http a https) altrimenti gli attacchi man-in-the-middle sono possibili. Non so quanto siano probabili però...

Certo, se uno avesse "paranoie" di questo genere, potrebbe tranquillamente controllare la firma GPG del file CHECKSUMS, non so quanti lo facciano però... (io lo faccio). A quel punto le possibilità di compromissione scendono quasi a zero (si dovrebbe scaricare anche una chiave per la verifica compromessa, il che è molto difficile visto che il sistema di server SKS è decentralizzato e affidabile).

Comunque interessante la questione sollevata da Filoteo, chissà se qualche esperto di pentesting/sicurezza possa fornirci ulteriori dettagli/info sulla questione.

[Filoteo]

Mi ha stupito il fatto che la pagina di download di Ubuntu sia ancora su HTTP, tuttavia se si utilizza l'indirizzo principale che può essere questo https://www.ubuntu-it.org/download/derivate o questo https://ubuntu.com/download/desktop come si può vedere le pagine sono in HTTPS e non in HTTP.

Sì però il link di download punta sempre a http://releases.ubuntu.com.

[woddy68]

Boh ! Come si fa a capire ? Nel senso che nel secondo link, se clicco sul download, mi porta ad un'altra pagina sempre HTTPS e il download è automatico, mentre nel primo link il download è automatico e non vengo re-indirizzato da nessuna parte.

[Filoteo]

Boh ! Come si fa a capire ? Nel senso che nel secondo link, se clicco sul download, mi porta ad un'altra pagina sempre HTTPS e il download è automatico, mentre nel primo link il download è automatico e non vengo re-indirizzato da nessuna parte.

E' vero, porta alla pagina HTTPS in cui ti ringrazia per il download, però se vedi il link da cui scarica la ISO è sempre HTTP. Firefox dovrebbe mostrarti l'URL quando chiede di salvare il file mentre da Chrome lo vedi andando in chrome://downloads.

[woddy68]

Boh ! Come si fa a capire ? Nel senso che nel secondo link, se clicco sul download, mi porta ad un'altra pagina sempre HTTPS e il download è automatico, mentre nel primo link il download è automatico e non vengo re-indirizzato da nessuna parte.

E' vero, porta alla pagina HTTPS in cui ti ringrazia per il download, però se vedi il link da cui scarica la ISO è sempre HTTP. Firefox dovrebbe mostrarti l'URL quando chiede di salvare il file mentre da Chrome lo vedi andando in chrome://downloads.

Hai ragione, tra l'altro stavo utilizzando Opera che non conosco molto bene, ma andando nei download e copiando l'indirizzo è effettivamente HTTP.

EDIT. Comunque è sempre bene controllare il codice di controllo, io ho incominciato a controllarlo da quando utilizzo Plasma, perché è molto semplice e veloce da fare con Dolphin. D'altra parte i codici vengono fatti proprio per evitare problemi di questa natura.

[frapox]

EDIT. Comunque è sempre bene controllare il codice di controllo, io ho incominciato a controllarlo da quando utilizzo Plasma, perché è molto semplice e veloce da fare con Dolphin. D'altra parte i codici vengono fatti proprio per evitare problemi di questa natura.

Come si diceva poc'anzi, il codice di controllo (checksum) può non bastare... visto che può essere stato compromesso anche quello. In teoria bisognerebbe controllare anche la validità della firma GPG a esso associata.

[Filoteo]

Attendendo il rilascio di Ubuntu 20.04 mi sono accorto che finalmente il sito supporta HTTPS https://releases.ubuntu.com

Il certificato è stato creato il 19 marzo https://crt.sh/?id=2598862307

[frapox]

Attendendo il rilascio di Ubuntu 20.04 mi sono accorto che finalmente il sito supporta HTTPS https://releases.ubuntu.com

Il certificato è stato creato il 19 marzo https://crt.sh/?id=2598862307

È una buona cosa, in effetti, strano che non l'avessero implementato prima!

Comunque resta sempre valido il discorso dei post precedenti: per la sicurezza "totale", la procedura è sempre: verifica GPG file SHA256SUM > verifica della iso con sha256sum.

[Filoteo]

Comunque resta sempre valido il discorso dei post precedenti: per la sicurezza "totale", la procedura è sempre: verifica GPG file SHA256SUM > verifica della iso con sha256sum.

Assolutamente sì. Per lo meno ora c’è una sicurezza in più per chi non segue quei passaggi.

[Pike]

HTTPS = no Proxy.