Bejelentkezés

Találtam egy érdekes cikket. Lefordítani lusta vagyok, így az angolul értők előnyben lesznek.

The security flaws in Tails Linux are not its only problem.

 

A cikk arról szól, hogy milyen módszerekkel próbálják az anonim szörfölést segító Tail Linux-ot illetéktelen illetékesek meghekkelni. Elég sötét perspektíva.

A szép időre tekintettel közkívánatra (a kutya se kérte) mégis összefoglalom a cikk lényegét magyarul.

----

A valamit is magukra adó emberek, akik nagyon nem szeretik az állami és egyéb turkálást az internetezésükben Tor-t és Tail-t használnak. A Tor a The Onion Router rövidítése és egy névtelen böngészést biztosító szervert takar. A Tail a The Amnesic Incognito Live System pedig egy DVD-ről futtatható Linux disztribúció, ami a Tor-t használja. Ezek így együtt elég ütősek ahhoz, hogy az illetékes illetékteleneknél homlokráncolást okozzanak. (A cikk szerint Snowden is ezt használja.) Lehetne még használni a Tor Browser Bundle-t is, ami a fontosabb operációs rendszereken pl. USB médiáról futtatható és a gépen nem hagy nyomot.

Amitől beindultak a hangyák egyeseknél, hogy az Exodus nevú internetes biztonsággal foglalkozó csapat tagjai a legfrissebb Tail verziónál (2014. július) biztonsági rést találtak. A cikk írója azt mondja, a Tail-lel van egy másik kockázat, hogy a illetékes illetéktelenek (továbbiakban iik) elkezdenek utazni rá. Hogyan lehet kitolni a gyanakvó, ám tájékozatlan felhasználóval?

1. Kell egy megpiszkált modem (mondjuk a firmware-t lecserélik, vagy eleve úgy jön ki a gyárból, hogy pl. a DNS szerverét megpiszkálták) - ha tudják, hogy kire utaznak - és ha az illető Tail-t akarna letölteni, akkor átirányítják egy hamis letöltő oldalra, ahol egy preparált változatot kap.

2. Nagyüzemi változata, amikor az internetszolgáltatónál érik el, hogy a tail.boum.org hivatkozásokat térítse el. Az eltérítéshez van egy kiváló eszközük a Havoc, ami on the fly", azaz menetközben klónozza és piszkálja meg a weboldalakat.

3. Esetleg Tail-re van kihegyezett malware-rel fertőzik meg a gépet. (De ez túl feltűnő lenne.) Erre ellenszer, hogy pl. egy Chromebook-on guest módban kel letölteni az iso-t és egy másik gépen írni ki lemezre. (Szerintem egy sima Live Linux is megteszi.)

Igazából az okozza gondot, hogy a Tail maga nem foglalkozika hitelesítéssel, tehát nehéz meggyőződni arról, hogy tényleg a valódi honlapról, az igazi iso-t tölti le. Na de a hitelesítés ellen is van eszközük az iik-nek. Van a Gandi SAS nevű, ami hitelesít, de a kutya sem kérte fel rá őket. Valószínűleg ez egy ármányos banda. A valódi hitelesítő a DigiNotar lenne. Na de van megoldás a hitelesítők hamisítására is. Meghamisítják a megbizható hitelesítő cégek listáját. Pl. az egyik megbízható hitelesítő hivatal a listán a Hong Kong-i Posta Hivatal.

Szóval, hiába használ a letöltő oldal HSTS protokolt (HTTPS Strict Transport Security - megnövelt biztonságű HTTPS) ha az ellenőrzés (megbízhatóan) megbízhatatlan hitelelsítőre támaszkodik.

Szóval, hogyan lehet meggyőződni a letöltő oldal hitelességéről?

  •   Tudnunk kell, hogy az IP cím valóban a tails.boum.org-é.
  •   Melyik Certificate Authority hitelesíti az oldalt?
  •   A hitelesítés rendes, vagy kiterjesztett-e (rendesenk tűnik)?
  •   A kibocsátás és a lejárat dátumát ellenőrizni.
  •   Valamilyen módon a hitelesítés sorozatszámának hitelességéről pl az md5, vagy SHA1 ujjlenyomat segítségével meggyőződni.

A hitelesítésben segítségünkre lehetnek: az EFF, Pro Publica, The Intercept (vagy a partnere a First Look), az ACLU, a Freedom of the Press Foundation és esetleg a sajtó.

De hogy legyen konkrétum is. A hitelesítők hiteltelenségével foglalkozó Steve Gibson (ld. egy 2013-as cikke a fingerprint of digital certificates) saját szervert tart fenn, ami ellenőrzi a kiválasztott weblap digitális aláírásának ujjlenyomatát. A szerint a cikk keletkezésének idején a tails.boum.org Gibson által jelentett SHA1 ujjlenyomata: 78:F1:3B:80:FA:77:35:74:18:87:59:D3:64:86:03:13:0B:91:CD:4D

Na ennyit tudtam tenni az ügy érdekében.

Hozzászólások   

0 # toroka 2014-09-16 16:04
Ja és még egy érdekesség, amiért pl. a .buntuk használata nem tanácsos.

A jelszót úgy lopják el, hogy a megtámadott gépre képernyővédőt raknak fel és amikor a gyanútlan fószer begépeli a jelszavát, máris kezükben van a gép.

Hát ezért is véleményes a felhasználói jelszó root jogú használata.

You have no rights to post comments