Os usuários de computadores certificados do Ubuntu estão protegidos contra adulteração OEM SSL / TLS?

7

Por favor, deixe-me levantar esta questão aqui esperando que nós também recebamos uma resposta oficial, mesmo que este seja um site principalmente dirigido pela comunidade.

Desde Dell agora é o segundo fabricante depois da Lenovo (Superfish) este ano para comprometer a segurança da Web em instalações OEM-Windows e ambos também oferecem computadores com a marca Ubuntu Edition com instalações OEM Acredito que os usuários que confiam na marca Ubuntu merecem uma resposta melhor que:

  

A Canonical não pode fornecer essas imagens OEM ao público.

Fonte: Launchpad , ver também .

O que é contraditório com os benefícios dos sistemas operacionais de software livre: Conhecer o estado verificável e reproduzível de um sistema e que junta as partes dele.

Respostas que gostaria de ver:

  • Existem evidências de que as imagens que a Canonical fornece aos OEMs não contêm modificações no armazenamento de certificados raiz do Ubuntu? (Construir sistema, scripts ou lista de pacotes usados, hashes e assim por diante.)
  • Já existem processos estabelecidos que impõem e garantem que os OEMs que oferecem computadores certificados pelo Ubuntu nunca alterem o conteúdo do armazenamento de certificado raiz? (Também não pré-instalar navegadores personalizados ou oferecer pacotes de seus repositórios como um desvio ou implementar recursos complicados de firmware que violam o armazenamento de certificados.)

Respostas suplementares são bem-vindas:

  • Uma resposta para comparar o repositório de certificados raiz local com os pacotes correspondentes dos repositórios. (Provavelmente melhor como um Q & amp; A separado, se já não existir.)
    • Opcionalmente, respostas de usuários com computadores certificados pelo Ubuntu - veja o link acima - que verificam seus sistemas dessa maneira. (Por favor, aguarde alguns dias até encontrarmos os critérios apropriados ou se esta é uma boa idéia. Provavelmente a organizamos como uma resposta no estilo wiki para que todos editem uma vez que os critérios estejam definidos - não há resposta no estilo big list por favor. que atualmente vem à minha mente: fabricante, modelo, release enviado, release atualmente em execução.)

Para ser claro, o problema em ambos os eventos foi que a infraestrutura da autoridade de certificação oficial foi ignorada com padrões de segurança muito ruins em mente, o que levou rapidamente ao abuso desses certificados por outras partes.

Posts relacionados sobre Segurança da Informação SE:

por LiveWireBT 24.11.2015 / 11:39

2 respostas

2

A natureza de código aberto do Ubuntu não o torna imune ao mesmo tipo de problema, onde um OEM pode ter adicionado malware (acidentalmente ou deliberadamente), sejam certificados CA adicionais ou não, nas imagens que ele distribui pré-instaladas computadores.

Se você instalar o Ubuntu por conta própria, há várias medidas contra modificação maliciosa de terceiros: Se você obtiver uma imagem do Ubuntu de uma fonte oficial do Ubuntu, poderá verificar sua soma de verificação e manter o Ubuntu atualizado usando o APT. repositórios você se beneficia de sua assinatura digital integrada, assegurando que as imagens não foram adulteradas por terceiros.

No entanto, como você pode suspeitar se o Ubuntu é pré-instalado por um OEM, eles quase certamente fizeram modificações nele, além de apenas instalar as imagens oficiais, por razões bastante legítimas. Se comprado de uma fonte confiável, seria muito improvável que a instalação incluísse malware, possivelmente ainda mais improvável do que a instalação típica do Windows, mas não há nada que o torne impossível , e você só precisa Veja os exemplos da Lenovo e da Dell para ver como isso pode acontecer.

Quanto a se você precisa se preocupar, você pode julgar por si mesmo. Limpar e reinstalar a partir de um instalador oficial do Ubuntu pode acabar com alguns receios, mas você perderá qualquer customização específica do OEM ou funcionalidade extra.

Não consigo responder à sua pergunta sobre se o Ubuntu / Canonical tentará policiar quaisquer alterações nos armazenamentos de certificados raiz nas instalações derivadas do OEM, mas não consigo ver como isso seria viável de forma abrangente.

    
por thomasrutter 25.11.2015 / 04:29
-1

Existe uma maneira simples de verificar o link no seu sistema Ubuntu pré-instalado.

    
por FourDollars 25.11.2015 / 02:53