Re: [Lista Criptica] curl | bash i copy-paste és MOLT peril…

Delete this message

Reply to this message
Author: drymer
Date:  
To: Criptica - Llista de debat
Subject: Re: [Lista Criptica] curl | bash i copy-paste és MOLT perillós!
Estic d'acord en general, executar un script desde internet sense saber que fa es molt perillós (igual que copiar i pegar d'internet). Pero discrepo en,,,

On Wed, Nov 09, 2016 at 05:20:11PM +0100, guifipedro wrote:
>Recontra-discrepo :D
>
>(Hola David! Què ve!)
>
>Tenint en compte que "x509 is broken" com em va dir Lix, no ens podem
>fiar del HTTPS.


Això. Ara per ara el SSL es segur. Les úniques claus que s'han trencat han sigut mitjançant vulnerabilitats concretes i sempre amb claus inferiors a 2048b. I en cas de que es trenquin, per això està el Perfect Forward Secrecy.

>I ara que tenim a Trump president de la Terra, tinc més
>motius conspiranoics. Vull dir, la NSA té les claus privades de molts
>HTTPS, lo qual vol dir que pot canviar els seus continguts i tornar a
>signar amb "candau verd". Com bé has dit, HTTPS contra Signatures GPG: GPG.
>
>Les entitats certificadores, per ser centralitzades: we are f*cked


En això tambè estic d'acord, el tema de les CA centralitzades es una merda. Se suposa que ho ha de substituir dane i dnssec, pero si anem al mateix ritme que les IPv6 potser dintre de 20 anys hemo començat.

>Després, allò de que poden detectar quan has fet el pipe a l'ssh o no...
>per enviar-te un fitxer o un altre.
>
>Alguna cosa valuosa del teu u$uari que no és r#ot: el .ssh, tens totes
>les claus ssh amb password fort? algunes password-less? :o)
>


Hi ha que recordar que la contrasenya es un afegit, amb la clau privada ja es considera segur.

>Què em preocupa, el target d'usuari novell linux a les 2 del matí
>intentant arreglar una cosa i copiant i pegant coses que no entén de
>blogs perduts a Internet. A vegades jo sóc un d'ells, i crec que molts
>de vosaltres també, hehe. Doncs a aquesta persona li haurem de donar un
>toc d'atenció i de que vagi amb compte. Has provat a fer el git clone
>que proposa? Nous incentius per utilitzar... links i w3m !! :D
>
>Són molts inconvenients, alguns molt impactants, altres no tant.
>
>Un cas pel qual no em podràs recontracontra-discrepar és que és còmode,
>però perillós pel teu sistema si se't talla la connexió a mitja
>transferència del pipe. Sí, és més segur descarregar-lo primer a
>l'ordinador i no fer un "we are in the cloud, we fly everywhere"
>


No es va executant a mesura que descarrega, ho executa un cop descarregat tot.

>... i quan comença a ser perillós, deixa de ser còmode, no paga la pena.
>Esdevé una mala pràctica.
>
>On 11/09/2016 03:33 PM, David Llop via list_criptica wrote:
>> Discrepo :-)
>>
>> Quan ens instal·lem tor, per exemple, anem
>> a https://www.torproject.org/, li donem a descarregar y ens baixem un
>> tar.xz amb un programa executable en el seu interior, que obrim.
>>
>> Tor podria oferir-nos un script d'instal·lació com els que es comenten:
>>
>> $ curl -s https://torproject.org/install | sh
>>
>> I això no suposaria una vulnerabilitat de seguretat, o almenys tindria
>> el mateix nivell de seguretat que els passos habituals que comento al
>> principi. Perquè...
>>
>>  1.
>>     Ens descarreguem el programa per un canal autenticat (https) en els
>>     dos casos
>>  2.
>>     Ens descarreguem el programa d'un lloc de confiança (torproject.org)
>>     en els dos casos
>>  3.
>>     Executem el programa de la mateixa manera en els dos casos (suposant
>>     que en el segon cas no ens demana sudo).

>>
>> Així que instal·lar un programa que ens hem baixat d'un lloc de
>> confiança per https és el mateix que fer-ho amb la comanda ssh.
>> L'article que comentes diu que el lloc pot detectar si estàs
>> descarregant-ho per curl i també pot saber la teva ip, però entenem que
>> si el lloc es de confiança no ens estan intentant colar gat per llebre
>> (podem confiar en torproject, per exemple).
>>
>> O no?
>>
>> Fa uns mesos van crackejar la web de Linux Mint i van canviar la imatge
>> que es descarregava la gent just en el moment en que estaven treient una
>> versió nova. Això va fer que alguna gent es descarregués una versió del
>> Linux Mint amb malware. També hagués pogut passar que algú que tingui
>> accés a forjar certificats https fraudulets faci un man-in-the-middle a
>> un objectiu que estigui descarregant-se un programa des d'una web. Ja ha
>> passat amb els Dark Hotels.
>>
>> Un sistema més segur per a distribuir i actualitzar software és
>> mitjançant la firma criptogràfica (comunment OpenPGP). És el sistema que
>> utilitzen els repositoris de les distribuicions linux, com en el cas de
>> Debian. Al actualitzar-se, Debian es decarrega els nous paquets de fonts
>> que poden ser insegures (sense https), l'important es que vinguin
>> firmades pels mantenidors d'aquests paquets. Aquest és un sistema molt
>> més segur, l'inconvenient és que habitualment no tenim les claus
>> públiques del desenvolupadors de programes que no estan als repositoris
>> del nostre sistema, i aquí es on ens hem de fiar de l'https.
>>
>> En definitiva, no us emparanoieu perquè utilitzar un script
>> d'instal·lació d'una sola línia és tant segur (o tant perillós) com
>> decarregar-vos el programa des de la pàgina web, dependrà de si l'origen
>> és de confiança i de si el canal està autenticat. Per a més seguretat
>> comproveu que els paquets que us descarregueu estan correctament firmats
>> abans d'executar-los, i no val amb mirar el fingerprint, perquè si han
>> pogut canviar el programa a descarregar, també hauràn pogut canviar el
>> fingerprint que et donen per a que ho comprovis. Si és molt crític,
>> asegureu-vos de tenir les claus públiques dels desenvolupadors dels
>> programes que feu servir per a poder comprovar que quan hi ha una
>> actulització, aquesta no és fraudulenta (com en el cas de Linux Mint).
>>
>> ________________________________________________
>> Sent from ProtonMail <https://protonmail.ch>, encrypted email based in
>> Switzerland.
>>
>>
>>> -------- Original Message --------
>>> Subject: [Lista Criptica] curl | bash i copy-paste és MOLT perillós!
>>> Local Time: 9 novembre 2016 1:08 PM
>>> UTC Time: 9 novembre 2016 12:08
>>> From: guifipedro@???
>>> To: list_criptica@???
>>>
>>> copio-pego de llista sudoers-bcn [1]. LO FLIPAS
>>>
>>> Així en resum:
>>> - en el copy paste te la poden fotre
>>> - quan veus el script versus quan l'estàs instal·lant, te'l poden canviar
>>>
>>> Cal formació en aquest àmbit també!
>>>
>>>
>>>
>>>
>>> Contingut:
>>>
>>> Ahir, de passada, va sortir el tema que era una mala pràctica usar els
>>> instal·ladors d'una sola línia trets d'internet (per exemple, curl -s
>>> example.com/install | sh [1]) , perquè:
>>>
>>> 1. Si la pàgina no va per HTTPS, algú podria modificar el codi que
>>> pretenem executar
>>> 2. No sabem què fa (l'hauriem de descarregar, mirar, i executar, en
>>> passos separats).
>>> 3. No me'n recordo de l'altre punt :D
>>>
>>> M'agradaria afegir que:
>>> 1. Si es talla la connexió per qualsevol motiu, la instal·lació pot
>>> quedar interrompuda si hi ha wgets pel mig i podem no adonar-nos-en.
>>> 2. No podem confiar en el copiar i enganxar. Un exemple (podeu
>>> copiar-lo ;-) és https://thejh.net/misc/website-terminal-copy-paste
>>>
>>> [1]
>>> https://jordaneldredge.com/blog/one-way-curl-pipe-sh-install-scripts-can-be-dangerous/
>>>
>>> I a banda de detectar el 'user agent' també es pot diferenciar una
>>> descàrrega a disc de un 'curl ... | bash' pel temps que tarda bash en
>>> empassar-se la descàrrega.
>>>
>>> https://www.idontplaydarts.com/2016/04/detecting-curl-pipe-bash-server-side/
>>>
>>> [1] https://groups.google.com/forum/#!forum/sudoers-barcelona
>>> _______________________________________________
>>> list_criptica mailing list
>>> list_criptica@???
>>> Lista de correo de debate de Criptica
>>
>>
>>
>> _______________________________________________
>> list_criptica mailing list
>> list_criptica@???
>> Lista de correo de debate de Criptica
>>
>


pub RSA 4096/B3287E40 2016-05-05 guifipedro <guifipedro@???>
>sub RSA 4096/21971B26 2016-05-05
>


Saluts


>_______________________________________________
>list_criptica mailing list
>list_criptica@???
>Lista de correo de debate de Criptica