Sicherheitslücke in apt

Neuigkeiten rund um GNU/Linux
tobo
Beiträge: 1964
Registriert: 10.12.2008 10:51:41

Re: Sicherheitslücke in apt

Beitrag von tobo » 29.01.2019 19:49:31

wanne hat geschrieben: ↑ zum Beitrag ↑
29.01.2019 06:02:29
wäre der apt-Fehler mit https oder tor so nicht ausnutzbar gewesen.
So? Meines Wissens ist niemand bekannt der die Lücke ausgenutzt hat. Der Entdecker hat lediglich ein Szenario aufgezeigt, wie die Lücke hätte ausgenutzt werden könnte, die mit https nicht funktioniert hätte.
Ich sehe da jetzt erstmal keinen Widerspruch.
Auf andere Art und weise wäre es problemlos möglichgewesen. – Nämlich indem man einen Mirror auf macht. Das dürfte sowieso die um Größenordnungen einfachere Variante sein als sich irgend wo zwischen mich und den sowieso meist wenige km entfernten Mirror ins Glasfaserkabel einzuklinken.
Was dann aber unabhängig zum verwendeten Protokoll wäre.
Die Diskussion gibt es seit Jahren: Wenn apt einen Fehler in der Signaturprüfung hätte (Das davor in den 10 Zeilen Download Lücken sein könnten hatte vorher niemand angenommen.) könnte https und kontrollierte Mirrors helfen. Man hätte eine doppelte Absicherung.
Kontrollierte Mirrors - sowas wie Debian Enterprise Edition?
Auf der anderen Seite holt man sich die Gefahr ins Haus, dass die TLS-Implementierung alleine anfällig ist.
Davon redet keiner. Die Sicherheitsmechanismen von APT ändern sich ja nicht, nur weil das transportverschlüsselt wird!? Das ist nicht Oder- sondern Und-Verknüpft.
Apt mit https-Support ist etwa doppelt so groß wie ohne. Und der aller meiste Teil, der in apt gemacht wird ist eh nach der Signaturprüfung und damit nicht angreifbar. Man würde sich die Angriffsfläche vervielfachen. Auch die Statistik spricht für http: GnuTLS hatte deutlich mehr Sicherheitslücken als apt. Man hätte sich den Teufel mit dem Blezebub ausgetrieben.
Ich bin ja auch für weniger und kleinere Software, man darf aber auch nicht das große Ganze aus den Augen verlieren. Bei den staatlichen/wirtschaftlichen Begehrlichkeiten heutzutage muss das Anliegen doch sein, dass die Kommunikationstränge verschlüsselt sind und selbstverständlich ist das aufwendiger, als unverschlüsselt Daten zu übertragen. Und selbst wenn GNU TLS eine Bugmaschine wäre, was wäre denn dann das Worstcase-Szenario? Dass du auf das Sicherheitsniveau von APT zurückfällst und keinen Deut darunter.
Und das zu einem hohen Preis: Man müsst jetzt plötzlich alle Mirror-Betreiber kontrollieren
Warum, um was zu erreichen?
und würde sich vor allem die ganze Caching-Struktur kaputt machen.
Ja, es muss ja auch einen guten Grund geben, wieso das nicht längst der Default ist!?

Benutzeravatar
jph
Beiträge: 1049
Registriert: 06.12.2015 15:06:07
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Greven/Westf.

Re: Sicherheitslücke in apt

Beitrag von jph » 29.01.2019 21:48:22

MSfree hat geschrieben: ↑ zum Beitrag ↑
24.01.2019 08:44:40
Onlinebanking betreibe ich sowieso nicht, weil mir bewußt ist, daß man vor allem im Bankensektor mit HTTPS nur Sicherheit vortäuschen will. Die Banken haben eine lange Tradition darin, technische Unzulänglichkeiten juristisch als "sicher" deklarieren zu lassen. Ja, wenn ein Jurist sagt, das ist sicher, dann wird das wohl stimmen. Beispiel?
https://de.wikipedia.org/wiki/Chaos_Com ... b#Btx-Hack
Meiner Meinung nach ist es unredlich, den Btx-Hack von vor 35 Jahren (den jüngeren Forenteilnehmern wirst du erst mal erklären müssen, was Btx überhaupt war) anzuführen und daraus zu schlussfolgern, dass die Banken seitdem nichts dazugelernt hätten.

Full disclosure: ich arbeite in einer Rechenzentrale, habe aber mit IT-Security nichts zu tun.

Benutzeravatar
KBDCALLS
Moderator
Beiträge: 22355
Registriert: 24.12.2003 21:26:55
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Dortmund
Kontaktdaten:

Re: Sicherheitslücke in apt

Beitrag von KBDCALLS » 29.01.2019 23:52:36

jph hat geschrieben: ↑ zum Beitrag ↑
29.01.2019 21:48:22

Meiner Meinung nach ist es unredlich, den Btx-Hack von vor 35 Jahren (den jüngeren Forenteilnehmern wirst du erst mal erklären müssen, was Btx überhaupt war) anzuführen und daraus zu schlussfolgern, dass die Banken seitdem nichts dazugelernt hätten.

Full disclosure: ich arbeite in einer Rechenzentrale, habe aber mit IT-Security nichts zu tun.
Das die Banken was gelernt haben da kann man schon berechtigte Zweifel dran haben. Zum Beispiel wie mit Leuten umgegangen wird denen die Ec-Karte gestohlen und dann das Konto geplündert wird , und denen dann unterstellt das man den Ganoven die Pin auf dem Silbertablett serviert hat, (Anscheinsbeweis) . Obwohl es Beweise gibt wie die Ganoven an die Pin kommen, nur das wird einfach ignoriert.
Was haben Windows und ein Uboot gemeinsam?
Kaum macht man ein Fenster auf, gehen die Probleme los.

EDV ist die Abkürzung für: Ende der Vernunft

Bevor du einen Beitrag postest:
  • Kennst du unsere Verhaltensregeln
  • Lange Codezeilen/Logs gehören nach NoPaste, in Deinen Beitrag dann der passende Link dazu.

wanne
Moderator
Beiträge: 7448
Registriert: 24.05.2010 12:39:42

Re: Sicherheitslücke in apt

Beitrag von wanne » 30.01.2019 11:23:01

tobo hat geschrieben: ↑ zum Beitrag ↑
29.01.2019 19:49:31
Davon redet keiner. Die Sicherheitsmechanismen von APT ändern sich ja nicht, nur weil das transportverschlüsselt wird!? Das ist nicht Oder- sondern Und-Verknüpft.
Eine Lücke im der http Implementierung wie sie jetzt gefunden wurde ist dann ja auch völlig harmlos, weil danach die Signaturen überprüft werden. Oder?
Und selbst wenn GNU TLS eine Bugmaschine wäre, was wäre denn dann das Worstcase-Szenario? Dass du auf das Sicherheitsniveau von APT zurückfällst und keinen Deut darunter.
Wenn also ein Bug im http ist fällt man lediglich auf das Sicherheitsniveau von PGP? Dann haben wir ja im Moment kein Problem.

Ne sorry, wenn dein TLS eine remote-Code Execution oder Speicher auslesen im TLS hat, dann interessierst du dich nicht mehr dafür , ob apt sicher ist. Du hast neie root shell.
Und das zu einem hohen Preis: Man müsst jetzt plötzlich alle Mirror-Betreiber kontrollieren
Mehr Sicherheit als aktuell. Um den aktuellen Bug auszunutzen, musst du mindestens ein MITM sein. Wenn du lediglich https machst kann das weiterhin jeder, der die 5min investiert sich ein TLS-Zertifikat zu klicken. Normalerweise sichert sich TLS dagegen ab, indem es die Domain der URL im Browser mit der im Zertifikat abgleicht. Apt ist aber keine interaktive Browseranwendung, wo du gegen die Addresszeile abgleichen kannst. Du forderst Pakete an, die je nach Laune von völlig unterschiedlichen URLs kommen können. – Je nach dem was Debian gerade als schnell erachtet. Liefert dir irgend jemand ein passendes Paket nimmt apt im Moment jede Domain. Ein Angreifer würde sich also einfach ein kostenloses Zertifikat holen können, dass zu einer Domain gehört die ihm legitim gehört.
TLS meckert nicht apt meckert nicht. Bingo! Und erzähl mir nichts von kompliziert:
Du hast vorher gemeint, dass da irgend jemand NSA style mäßig irgend wo heimlich Kabel manipuliert. Das war mal einfach, aber häute kannst du da dicke Bücher drüber schreiben, wie man das mit Glasfaser oder DSL noch hinbekommt.
Wie gesagt der mit Abstand einfachste weg den aktuellen Bug auszunutzen ist einfach einen eigenen Mirror zu betreiben. Und da hilft absolut kein TLS.
Ja, es muss ja auch einen guten Grund geben, wieso das nicht längst der Default ist!?
Nein. Weil es mit https deutlich sicherer wird.
rot: Moderator wanne spricht, default: User wanne spricht.

tobo
Beiträge: 1964
Registriert: 10.12.2008 10:51:41

Re: Sicherheitslücke in apt

Beitrag von tobo » 30.01.2019 11:43:43

Da du mich ja gezielt falsch verstehen willst, verstehst du mich nicht richtig.
wanne hat geschrieben: ↑ zum Beitrag ↑
30.01.2019 11:23:01
Du hast vorher gemeint, dass da irgend jemand NSA style mäßig irgend wo heimlich Kabel manipuliert.
Wo habe ich das gesagt: anderer Thread, anderes Forum?

wanne
Moderator
Beiträge: 7448
Registriert: 24.05.2010 12:39:42

Re: Sicherheitslücke in apt

Beitrag von wanne » 30.01.2019 16:28:16

tobo hat geschrieben: ↑ zum Beitrag ↑
30.01.2019 11:43:43
Da du mich ja gezielt falsch verstehen willst, verstehst du mich nicht richtig.
Nein. Deine aussagen waren schlicht falsch. Ich habe sie nur konsequent weiter gedacht. Da ist halt eben keine Und-Verknüpfung. (Und auch keine Oder) Für Lücken wie die aktuelle ist halt die erste Schicht, die die zählt. Deswegen hat PGP den Bug im http-Code nicht ausmerzen können und deswegen könnte es das auch nicht im Fall von https. – Nur das https ungleich komplizierter ist und deswegen anfälliger für Fehler.
Wo habe ich das gesagt: anderer Thread, anderes Forum?
Das war halt der Angriff den https verhindert hätte. Alle einfacheren hätte es nicht verhindert.
rot: Moderator wanne spricht, default: User wanne spricht.

Antworten