Re: [Lista Criptica] curl | bash i copy-paste és MOLT peril…

Delete this message

Reply to this message
Author: David Llop
Date:  
To: Criptica - Llista de debat
Subject: Re: [Lista Criptica] curl | bash i copy-paste és MOLT perillós!
Discrepo :-)

Quan ens instal·lem tor, per exemple, anem a https://www.torproject.org/, li donem a descarregar y ens baixem un tar.xz amb un programa executable en el seu interior, que obrim.

Tor podria oferir-nos un script d'instal·lació com els que es comenten:

$ curl -s https://torproject.org/install | sh

I això no suposaria una vulnerabilitat de seguretat, o almenys tindria el mateix nivell de seguretat que els passos habituals que comento al principi. Perquè...

-
Ens descarreguem el programa per un canal autenticat (https) en els dos casos
-
Ens descarreguem el programa d'un lloc de confiança (torproject.org) en els dos casos
-
Executem el programa de la mateixa manera en els dos casos (suposant que en el segon cas no ens demana sudo).

Així que instal·lar un programa que ens hem baixat d'un lloc de confiança per https és el mateix que fer-ho amb la comanda ssh. L'article que comentes diu que el lloc pot detectar si estàs descarregant-ho per curl i també pot saber la teva ip, però entenem que si el lloc es de confiança no ens estan intentant colar gat per llebre (podem confiar en torproject, per exemple).

O no?

Fa uns mesos van crackejar la web de Linux Mint i van canviar la imatge que es descarregava la gent just en el moment en que estaven treient una versió nova. Això va fer que alguna gent es descarregués una versió del Linux Mint amb malware. També hagués pogut passar que algú que tingui accés a forjar certificats https fraudulets faci un man-in-the-middle a un objectiu que estigui descarregant-se un programa des d'una web. Ja ha passat amb els Dark Hotels.

Un sistema més segur per a distribuir i actualitzar software és mitjançant la firma criptogràfica (comunment OpenPGP). És el sistema que utilitzen els repositoris de les distribuicions linux, com en el cas de Debian. Al actualitzar-se, Debian es decarrega els nous paquets de fonts que poden ser insegures (sense https), l'important es que vinguin firmades pels mantenidors d'aquests paquets. Aquest és un sistema molt més segur, l'inconvenient és que habitualment no tenim les claus públiques del desenvolupadors de programes que no estan als repositoris del nostre sistema, i aquí es on ens hem de fiar de l'https.

En definitiva, no us emparanoieu perquè utilitzar un script d'instal·lació d'una sola línia és tant segur (o tant perillós) com decarregar-vos el programa des de la pàgina web, dependrà de si l'origen és de confiança i de si el canal està autenticat. Per a més seguretat comproveu que els paquets que us descarregueu estan correctament firmats abans d'executar-los, i no val amb mirar el fingerprint, perquè si han pogut canviar el programa a descarregar, també hauràn pogut canviar el fingerprint que et donen per a que ho comprovis. Si és molt crític, asegureu-vos de tenir les claus públiques dels desenvolupadors dels programes que feu servir per a poder comprovar que quan hi ha una actulització, aquesta no és fraudulenta (com en el cas de Linux Mint).



________________________________________________
Sent from [ProtonMail](https://protonmail.ch), encrypted email based in Switzerland.



-------- Original Message --------
Subject: [Lista Criptica] curl | bash i copy-paste és MOLT perillós!
Local Time: 9 novembre 2016 1:08 PM
UTC Time: 9 novembre 2016 12:08
From: guifipedro@???
To: list_criptica@???

copio-pego de llista sudoers-bcn [1]. LO FLIPAS

Així en resum:
- en el copy paste te la poden fotre
- quan veus el script versus quan l'estàs instal·lant, te'l poden canviar

Cal formació en aquest àmbit també!




Contingut:

Ahir, de passada, va sortir el tema que era una mala pràctica usar els
instal·ladors d'una sola línia trets d'internet (per exemple, curl -s
example.com/install | sh [1]) , perquè:

1. Si la pàgina no va per HTTPS, algú podria modificar el codi que
pretenem executar
2. No sabem què fa (l'hauriem de descarregar, mirar, i executar, en
passos separats).
3. No me'n recordo de l'altre punt :D

M'agradaria afegir que:
1. Si es talla la connexió per qualsevol motiu, la instal·lació pot
quedar interrompuda si hi ha wgets pel mig i podem no adonar-nos-en.
2. No podem confiar en el copiar i enganxar. Un exemple (podeu
copiar-lo ;-) és https://thejh.net/misc/website-terminal-copy-paste

[1]
https://jordaneldredge.com/blog/one-way-curl-pipe-sh-install-scripts-can-be-dangerous/

I a banda de detectar el 'user agent' també es pot diferenciar una
descàrrega a disc de un 'curl ... | bash' pel temps que tarda bash en
empassar-se la descàrrega.

https://www.idontplaydarts.com/2016/04/detecting-curl-pipe-bash-server-side/

[1] https://groups.google.com/forum/#!forum/sudoers-barcelona
_______________________________________________
list_criptica mailing list
list_criptica@???
Lista de correo de debate de Criptica