Re: [Lista Criptica] curl | bash i copy-paste és MOLT peril…

Delete this message

Reply to this message
Autor: guifipedro
Data:  
A: list_criptica
Assumpte: Re: [Lista Criptica] curl | bash i copy-paste és MOLT perillós!
Recontra-discrepo :D

(Hola David! Què ve!)

Tenint en compte que "x509 is broken" com em va dir Lix, no ens podem
fiar del HTTPS. I ara que tenim a Trump president de la Terra, tinc més
motius conspiranoics. Vull dir, la NSA té les claus privades de molts
HTTPS, lo qual vol dir que pot canviar els seus continguts i tornar a
signar amb "candau verd". Com bé has dit, HTTPS contra Signatures GPG: GPG.

Les entitats certificadores, per ser centralitzades: we are f*cked

Després, allò de que poden detectar quan has fet el pipe a l'ssh o no...
per enviar-te un fitxer o un altre.

Alguna cosa valuosa del teu u$uari que no és r#ot: el .ssh, tens totes
les claus ssh amb password fort? algunes password-less? :o)

Què em preocupa, el target d'usuari novell linux a les 2 del matí
intentant arreglar una cosa i copiant i pegant coses que no entén de
blogs perduts a Internet. A vegades jo sóc un d'ells, i crec que molts
de vosaltres també, hehe. Doncs a aquesta persona li haurem de donar un
toc d'atenció i de que vagi amb compte. Has provat a fer el git clone
que proposa? Nous incentius per utilitzar... links i w3m !! :D

Són molts inconvenients, alguns molt impactants, altres no tant.

Un cas pel qual no em podràs recontracontra-discrepar és que és còmode,
però perillós pel teu sistema si se't talla la connexió a mitja
transferència del pipe. Sí, és més segur descarregar-lo primer a
l'ordinador i no fer un "we are in the cloud, we fly everywhere"

... i quan comença a ser perillós, deixa de ser còmode, no paga la pena.
Esdevé una mala pràctica.

On 11/09/2016 03:33 PM, David Llop via list_criptica wrote:
> Discrepo :-)
>
> Quan ens instal·lem tor, per exemple, anem
> a https://www.torproject.org/, li donem a descarregar y ens baixem un
> tar.xz amb un programa executable en el seu interior, que obrim.
>
> Tor podria oferir-nos un script d'instal·lació com els que es comenten:
>
> $ curl -s https://torproject.org/install | sh
>
> I això no suposaria una vulnerabilitat de seguretat, o almenys tindria
> el mateix nivell de seguretat que els passos habituals que comento al
> principi. Perquè...
>
>  1.
>     Ens descarreguem el programa per un canal autenticat (https) en els
>     dos casos
>  2.
>     Ens descarreguem el programa d'un lloc de confiança (torproject.org)
>     en els dos casos
>  3.
>     Executem el programa de la mateixa manera en els dos casos (suposant
>     que en el segon cas no ens demana sudo). 

>
> Així que instal·lar un programa que ens hem baixat d'un lloc de
> confiança per https és el mateix que fer-ho amb la comanda ssh.
> L'article que comentes diu que el lloc pot detectar si estàs
> descarregant-ho per curl i també pot saber la teva ip, però entenem que
> si el lloc es de confiança no ens estan intentant colar gat per llebre
> (podem confiar en torproject, per exemple).
>
> O no?
>
> Fa uns mesos van crackejar la web de Linux Mint i van canviar la imatge
> que es descarregava la gent just en el moment en que estaven treient una
> versió nova. Això va fer que alguna gent es descarregués una versió del
> Linux Mint amb malware. També hagués pogut passar que algú que tingui
> accés a forjar certificats https fraudulets faci un man-in-the-middle a
> un objectiu que estigui descarregant-se un programa des d'una web. Ja ha
> passat amb els Dark Hotels.
>
> Un sistema més segur per a distribuir i actualitzar software és
> mitjançant la firma criptogràfica (comunment OpenPGP). És el sistema que
> utilitzen els repositoris de les distribuicions linux, com en el cas de
> Debian. Al actualitzar-se, Debian es decarrega els nous paquets de fonts
> que poden ser insegures (sense https), l'important es que vinguin
> firmades pels mantenidors d'aquests paquets. Aquest és un sistema molt
> més segur, l'inconvenient és que habitualment no tenim les claus
> públiques del desenvolupadors de programes que no estan als repositoris
> del nostre sistema, i aquí es on ens hem de fiar de l'https.
>
> En definitiva, no us emparanoieu perquè utilitzar un script
> d'instal·lació d'una sola línia és tant segur (o tant perillós) com
> decarregar-vos el programa des de la pàgina web, dependrà de si l'origen
> és de confiança i de si el canal està autenticat. Per a més seguretat
> comproveu que els paquets que us descarregueu estan correctament firmats
> abans d'executar-los, i no val amb mirar el fingerprint, perquè si han
> pogut canviar el programa a descarregar, també hauràn pogut canviar el
> fingerprint que et donen per a que ho comprovis. Si és molt crític,
> asegureu-vos de tenir les claus públiques dels desenvolupadors dels
> programes que feu servir per a poder comprovar que quan hi ha una
> actulització, aquesta no és fraudulenta (com en el cas de Linux Mint).
>
> ________________________________________________
> Sent from ProtonMail <https://protonmail.ch>, encrypted email based in
> Switzerland.
>
>
>> -------- Original Message --------
>> Subject: [Lista Criptica] curl | bash i copy-paste és MOLT perillós!
>> Local Time: 9 novembre 2016 1:08 PM
>> UTC Time: 9 novembre 2016 12:08
>> From: guifipedro@???
>> To: list_criptica@???
>>
>> copio-pego de llista sudoers-bcn [1]. LO FLIPAS
>>
>> Així en resum:
>> - en el copy paste te la poden fotre
>> - quan veus el script versus quan l'estàs instal·lant, te'l poden canviar
>>
>> Cal formació en aquest àmbit també!
>>
>>
>>
>>
>> Contingut:
>>
>> Ahir, de passada, va sortir el tema que era una mala pràctica usar els
>> instal·ladors d'una sola línia trets d'internet (per exemple, curl -s
>> example.com/install | sh [1]) , perquè:
>>
>> 1. Si la pàgina no va per HTTPS, algú podria modificar el codi que
>> pretenem executar
>> 2. No sabem què fa (l'hauriem de descarregar, mirar, i executar, en
>> passos separats).
>> 3. No me'n recordo de l'altre punt :D
>>
>> M'agradaria afegir que:
>> 1. Si es talla la connexió per qualsevol motiu, la instal·lació pot
>> quedar interrompuda si hi ha wgets pel mig i podem no adonar-nos-en.
>> 2. No podem confiar en el copiar i enganxar. Un exemple (podeu
>> copiar-lo ;-) és https://thejh.net/misc/website-terminal-copy-paste
>>
>> [1]
>> https://jordaneldredge.com/blog/one-way-curl-pipe-sh-install-scripts-can-be-dangerous/
>>
>> I a banda de detectar el 'user agent' també es pot diferenciar una
>> descàrrega a disc de un 'curl ... | bash' pel temps que tarda bash en
>> empassar-se la descàrrega.
>>
>> https://www.idontplaydarts.com/2016/04/detecting-curl-pipe-bash-server-side/
>>
>> [1] https://groups.google.com/forum/#!forum/sudoers-barcelona
>> _______________________________________________
>> list_criptica mailing list
>> list_criptica@???
>> Lista de correo de debate de Criptica
>
>
>
> _______________________________________________
> list_criptica mailing list
> list_criptica@???
> Lista de correo de debate de Criptica
>