Re: [Lista Criptica] curl | bash i copy-paste és MOLT peril…

Delete this message

Reply to this message
Author: David Llop
Date:  
To: Criptica - Llista de debat
Subject: Re: [Lista Criptica] curl | bash i copy-paste és MOLT perillós!
Estem els dos d'acord en que HTTPS no ens garanteix una bona seguretat. Si et descarregues un programa (sigui per web o per curl) i t'estan fent un man-in-the-middle, et poden fer passar gat per llebre.

Ara bé, si comparem la seguretat de descarregar-ho per web o per curl, jo no hi veig gaire diferència. La gent normalment no comprova el codi que va a executar abans d'executar-lo (també perquè habitualment executen binaris), i és molt improvable que la conexió es talli mentre et descarregues un script d'uns pocs kilobytes. En cas de que s'executés sols mig script, no seria tant perillós. El programa es quedaria mig instal·lat, i sempre es pot tornar a probar a decarregar el script d'instal·lació i executar-lo de nou. Molt probablement es solucioni el problema.



Per això no diria que el curl | bash i copy-paste són molt perillosos, diria que

-
fer coses sense entendre-les en un entorn de producció es perillós per a tots (em refereixo a llocs que continguin dades personals dels usuaris d'un servei)
-
a casa, animo a la gent a tenir sentit crític. Que intenti entendre bé el que fa, ja que es la única manera d'aprendre
- i per últim, preferir software firmat, com per exemple el que podem trobar als repositoris de la nostra distribució.


________________________________________________
Sent from [ProtonMail](https://protonmail.ch), encrypted email based in Switzerland.



-------- Original Message --------
Subject: Re: [Lista Criptica] curl | bash i copy-paste és MOLT perillós!
Local Time: 9 novembre 2016 5:20 PM
UTC Time: 9 novembre 2016 16:20
From: guifipedro@???
To: list_criptica@???

Recontra-discrepo :D

(Hola David! Què ve!)

Tenint en compte que "x509 is broken" com em va dir Lix, no ens podem
fiar del HTTPS. I ara que tenim a Trump president de la Terra, tinc més
motius conspiranoics. Vull dir, la NSA té les claus privades de molts
HTTPS, lo qual vol dir que pot canviar els seus continguts i tornar a
signar amb "candau verd". Com bé has dit, HTTPS contra Signatures GPG: GPG.

Les entitats certificadores, per ser centralitzades: we are f*cked

Després, allò de que poden detectar quan has fet el pipe a l'ssh o no...
per enviar-te un fitxer o un altre.

Alguna cosa valuosa del teu u$uari que no és r#ot: el .ssh, tens totes
les claus ssh amb password fort? algunes password-less? :o)

Què em preocupa, el target d'usuari novell linux a les 2 del matí
intentant arreglar una cosa i copiant i pegant coses que no entén de
blogs perduts a Internet. A vegades jo sóc un d'ells, i crec que molts
de vosaltres també, hehe. Doncs a aquesta persona li haurem de donar un
toc d'atenció i de que vagi amb compte. Has provat a fer el git clone
que proposa? Nous incentius per utilitzar... links i w3m !! :D

Són molts inconvenients, alguns molt impactants, altres no tant.

Un cas pel qual no em podràs recontracontra-discrepar és que és còmode,
però perillós pel teu sistema si se't talla la connexió a mitja
transferència del pipe. Sí, és més segur descarregar-lo primer a
l'ordinador i no fer un "we are in the cloud, we fly everywhere"

... i quan comença a ser perillós, deixa de ser còmode, no paga la pena.
Esdevé una mala pràctica.

On 11/09/2016 03:33 PM, David Llop via list_criptica wrote:
> Discrepo :-)
>
> Quan ens instal·lem tor, per exemple, anem
> a https://www.torproject.org/, li donem a descarregar y ens baixem un
> tar.xz amb un programa executable en el seu interior, que obrim.
>
> Tor podria oferir-nos un script d'instal·lació com els que es comenten:
>
> $ curl -s https://torproject.org/install | sh
>
> I això no suposaria una vulnerabilitat de seguretat, o almenys tindria
> el mateix nivell de seguretat que els passos habituals que comento al
> principi. Perquè...
>
> 1.
> Ens descarreguem el programa per un canal autenticat (https) en els
> dos casos
> 2.
> Ens descarreguem el programa d'un lloc de confiança (torproject.org)
> en els dos casos
> 3.
> Executem el programa de la mateixa manera en els dos casos (suposant
> que en el segon cas no ens demana sudo).
>
> Així que instal·lar un programa que ens hem baixat d'un lloc de
> confiança per https és el mateix que fer-ho amb la comanda ssh.
> L'article que comentes diu que el lloc pot detectar si estàs
> descarregant-ho per curl i també pot saber la teva ip, però entenem que
> si el lloc es de confiança no ens estan intentant colar gat per llebre
> (podem confiar en torproject, per exemple).
>
> O no?
>
> Fa uns mesos van crackejar la web de Linux Mint i van canviar la imatge
> que es descarregava la gent just en el moment en que estaven treient una
> versió nova. Això va fer que alguna gent es descarregués una versió del
> Linux Mint amb malware. També hagués pogut passar que algú que tingui
> accés a forjar certificats https fraudulets faci un man-in-the-middle a
> un objectiu que estigui descarregant-se un programa des d'una web. Ja ha
> passat amb els Dark Hotels.
>
> Un sistema més segur per a distribuir i actualitzar software és
> mitjançant la firma criptogràfica (comunment OpenPGP). És el sistema que
> utilitzen els repositoris de les distribuicions linux, com en el cas de
> Debian. Al actualitzar-se, Debian es decarrega els nous paquets de fonts
> que poden ser insegures (sense https), l'important es que vinguin
> firmades pels mantenidors d'aquests paquets. Aquest és un sistema molt
> més segur, l'inconvenient és que habitualment no tenim les claus
> públiques del desenvolupadors de programes que no estan als repositoris
> del nostre sistema, i aquí es on ens hem de fiar de l'https.
>
> En definitiva, no us emparanoieu perquè utilitzar un script
> d'instal·lació d'una sola línia és tant segur (o tant perillós) com
> decarregar-vos el programa des de la pàgina web, dependrà de si l'origen
> és de confiança i de si el canal està autenticat. Per a més seguretat
> comproveu que els paquets que us descarregueu estan correctament firmats
> abans d'executar-los, i no val amb mirar el fingerprint, perquè si han
> pogut canviar el programa a descarregar, també hauràn pogut canviar el
> fingerprint que et donen per a que ho comprovis. Si és molt crític,
> asegureu-vos de tenir les claus públiques dels desenvolupadors dels
> programes que feu servir per a poder comprovar que quan hi ha una
> actulització, aquesta no és fraudulenta (com en el cas de Linux Mint).
>
> ________________________________________________
> Sent from ProtonMail <https://protonmail.ch>, encrypted email based in
> Switzerland.
>
>
>> -------- Original Message --------
>> Subject: [Lista Criptica] curl | bash i copy-paste és MOLT perillós!
>> Local Time: 9 novembre 2016 1:08 PM
>> UTC Time: 9 novembre 2016 12:08
>> From: guifipedro@???
>> To: list_criptica@???
>>
>> copio-pego de llista sudoers-bcn [1]. LO FLIPAS
>>
>> Així en resum:
>> - en el copy paste te la poden fotre
>> - quan veus el script versus quan l'estàs instal·lant, te'l poden canviar
>>
>> Cal formació en aquest àmbit també!
>>
>>
>>
>>
>> Contingut:
>>
>> Ahir, de passada, va sortir el tema que era una mala pràctica usar els
>> instal·ladors d'una sola línia trets d'internet (per exemple, curl -s
>> example.com/install | sh [1]) , perquè:
>>
>> 1. Si la pàgina no va per HTTPS, algú podria modificar el codi que
>> pretenem executar
>> 2. No sabem què fa (l'hauriem de descarregar, mirar, i executar, en
>> passos separats).
>> 3. No me'n recordo de l'altre punt :D
>>
>> M'agradaria afegir que:
>> 1. Si es talla la connexió per qualsevol motiu, la instal·lació pot
>> quedar interrompuda si hi ha wgets pel mig i podem no adonar-nos-en.
>> 2. No podem confiar en el copiar i enganxar. Un exemple (podeu
>> copiar-lo ;-) és https://thejh.net/misc/website-terminal-copy-paste
>>
>> [1]
>> https://jordaneldredge.com/blog/one-way-curl-pipe-sh-install-scripts-can-be-dangerous/
>>
>> I a banda de detectar el 'user agent' també es pot diferenciar una
>> descàrrega a disc de un 'curl ... | bash' pel temps que tarda bash en
>> empassar-se la descàrrega.
>>
>> https://www.idontplaydarts.com/2016/04/detecting-curl-pipe-bash-server-side/
>>
>> [1] https://groups.google.com/forum/#!forum/sudoers-barcelona
>> _______________________________________________
>> list_criptica mailing list
>> list_criptica@???
>> Lista de correo de debate de Criptica
>
>
>
> _______________________________________________
> list_criptica mailing list
> list_criptica@???
> Lista de correo de debate de Criptica
>


_______________________________________________
list_criptica mailing list
list_criptica@???
Lista de correo de debate de Criptica