Jak donosi blog Minta, atakujący wykradli bazę danych (pełną – hash hasła, adres email, wiadomości prywatne) użytkowników forum, udało im się też podmienić linki na stronie kierując do wyposażonego w backdoora ISO.
Z racji zamykania Joggera trochę przeglądałem stare wpisy i widzę, że to nie pierwszy raz i nic nowego[1]. W roku 2008 doszło do włamania na serwery Fedory oraz Red Hata. Wtedy atakującym udało się nawet podpisać pakiety SSH w Red Hacie, co uważam za groźniejsze. Włamanie na serwery Linux Mint przypomina mi zatem póki co bardziej to, co spotkało choćby TAILS, czyli jedynie naruszenie dystrybucyjnego „frontendu”, bez dostępu do kluczowych elementów dystrybucji.
Warto przypomnieć o sprawdzaniu podpisów pobranych ISO[2]. I nie chodzi mi o sumy kontrolne typu MD5 czy SHA1, które są zamieszczane na stronach WWW, a o podpisy GPG, które dobrze opisuje strona TAILS. Suma kontrolna weryfikuje jedynie brak przekłamań przy pobieraniu i zapisie. Pobieranie przy pomocy protokołu torrent również nie jest gwarancją autentyczności ISO! Pojawiają się informacje, że ISO Linuksa Mint pobrane przez torrent były bezpieczne, ale stało się tak tylko dlatego, że przypadku atakujący po prostu nie pomyśleli o publikacji zainfekowanej wersji ISO przez torrent i podmianie plików torrent na stronie.
[1] Widzę też, że kiedyś pisałem o takich drobiazgach na blogu, teraz bym pominął, gdybym nie znalazł tamtego wpisu… Czasy się zmieniają, ludzie się zmieniają nawet nar^Wblogi się zmieniają.
[2] Na temat kontenerów różnej maści tym razem będę litościwie milczał.
Przecież ta dystrybucja to typowy koń trojański w świecie wolnego oprogramowania całkowicie nieakceptowalna u samych podstaw. Jak polityka bezpieczeństwa, łamanie i nieprzestrzeganie licencji oraz wielu innych pomniejszych powodów.
A jakieś konkrety, najchętniej linki do źródeł? Przyznaję, że Minta nie znam, kiedyś rozważałem przez chwilę LMDE na desktop z ciekawości i jak wtedy patrzyłem to wyglądało mi to po prostu na odświeżonego Debiana/Ubuntu.
Akurat Linux Mint jest jedną z rozsądniejszych dystrybucji w świecie linuksa. Polityka bezpieczeństwa jest zdecydowanie lepsza od pierwowzoru , czyli Ubuntu (z LMDE1 im nie specjalnie wyszło, ale to był eksperyment z serii CUT – Ciągle Używalny Testing. Debian także na nim poległ.). Co do nieprzestrzegania licencji to były pewne zawirowania ale doszło do porozumienia – jeśli mnie pamięć nie myli chodziło o kasę z reklam – tyle, że to „prehistoria” 😉
Linux Mint jest tworzony dla przeciętnego użytkownika, który chce system zainstalować i z niego korzystać, stąd są w nim zawarte zamknięte kodeki itp. Dla purystów wolnego oprogramowania LM rzeczywiście nie jest dobrym wyborem.
Upada każdy. Ważne, żeby się szybko podnieść.
http://www.dobreprogramy.pl/Linux-Mint-podnosi-sie-po-ataku-a-to-dopiero-poczatek-jego-problemow,News,70705.html
Czyli trochę standard dla dystrybucji, których założeniem jest „weźmy Debiana/Ubuntu i go poprawmy”. Niewesoła prawda jest taka, że Debian ze swoimi wytycznymi i praktykami jest, dla osób, które niespecjalnie się kwestiami wolności w open source interesują i chcą „po prostu używać komputera”, niezbyt atrakcyjny czy wygodny. I niezbyt używalny, przynajmniej tylko z użyciem sekcji free.
Tworzenie dystrybucji to jednak jest dość skomplikowana i pracochłonna sprawa, a „poprawki” typu „zróbmy prościej dla użytkownika”, nie zawsze tak naprawdę upraszczają (patrz moje narzekania na Raspbiana.
Jeśli problemy z licencjami polegały tylko na ich nieprezentowaniu, to… rozumiem błąd, rozumiem jego wagę, ale byłbym skłonny bronić Minta. Typowy użytkownik systemu wieloużytkownikowego nie czyta tych licencji (nie tylko na Linuksie). Czyta je (bardziej: ma prezentowane) wyłącznie osoba instalująca oprogramowanie, czyli administrator. Jeśli założeniem dystrybucji jest „uprośćmy wszystko tak, żeby administrator nie był potrzebny”, to takie rzeczy mogą się przydarzyć. Choć oczywiście z punktu widzenia purystów licencyjnych to niewybaczalny błąd.
Dlatego nie przepadam za wynalazkami i preferuję czystego Debiana – znam rozwiązania, wiem, czego się spodziewać, i jak obejść utrudnienia związane z instalacją niewolnych komponentów (firmware!). Ale uważam, że „łatwe” dystrybucje też są potrzebne w linuksowym ekosystemie – zmniejszają barierę wejścia dla nowych użytkowników.
Z całą pewnością byłby to początek końca wolnego i otwartego oprogramowania jeśli taki model przyjąłby się w świecie linuksa jako standard. Jeśli udałoby się zbałamucić znaczną część jego użytkowników. Nie ważne źródło pochodzenia, nie ważna jego licencja, sposób dystrybucji, rozwijania, instalowania, nie ważny jego kod źródłowy.
Jaki rodzaj oprogramowania wykorzystuje korporacja Microsoft na swoje wewnętrzne potrzeby? Czy jest ono niewolne, niesprawdzone, niezaufane, nie wiadomo skąd, nie wiadomo co zawierające.
Czekam z niecierpliwością na następne edycje Minta. Może by pójść o następny krok dalej i zintegrować nie tylko Adobe Flash ale też… oraz…
Nie przesadzajmy. Większość tzw. „łatwych” dystrybucji jest rozwijana tak jak Linux Mint. W zasadzie tylko Debian, z założenia, jest purytańsko czysty (w sekcji main), pozostałe dystrybucje polecane przez gnu.org to oczyszczane dystrybucje standardowe.
Linux Mint na samym początku rzeczywiście był tworzony jako „weźmy Debiana/Ubuntu i go poprawmy”, ale od czasu kiedy Ubuntu stworzyło Unity, a Gnome pokazał 3 wersję swojego środowiska graficznego, zespół LM włączył się w rozwój środowiska Mate i stworzył Cynamona, a Ubuntu/Debian stał się „tylko” bazą dla tego distro. W moim odczuciu Linux Minta powinno się traktować jak SteamOS niż poprawione Ubuntu/Debian, czyli specjalizowana a nie ogólna dystrybucja.
W żadnym razie nie uważam, że taki model tworzenia dystrybucji miałby być standardem. Ale z tego co zauważyłem, takie podejście jest bardzo popularne wśród użytkowników Linuksa. Zresztą, w praktyce mało kto, używa Linuksa bez niewolnych komponentów. IMO wydzielenie jasno oznaczonej sekcji non free jest wystarczające. I uważam, że Debian trochę przegiął z wyrzuceniem niewolnego firmware’u (WiFi!) z instalatorów – niby jest to dobrze opisane, ale nowi użytkownicy niezbyt sobie radzą, a jak ktoś ma tylko kartę WiFi w laptopie, do której nie ma wolnego sterownika, to jakby nie ma wyboru i będzie i tak z tego firmware’u korzystał…
Podoba mi się idea traktowania Minta jako dystrybucji specjalizowanej, w stylu SteamOS i rozróżnienia dystrybucji na full i specjalizowane. 🙂
Repozytorium nonfree nie jest żadną oficjalną częścią Debiana, podobnie jak AUR w ArchLinux, itd. To są repozytoria „Community” tych distr. Niewolne firmware są akceptowalne z uwagi na fakt, że nie wchodzą one w żadną interakcję z systemem operacyjnym. Całkowicie nieakceptowalne, przykładowo są niewolne bloby Nvidii, bo te działają na najwyższych uprawnieniach i mogą być potencjalnym ogromnym zagrożeniem w systemie. Wielokrotnie przestrzegał przed tym Torvalds.
O ile to sam użytkownik decyduje się z nich korzystać, trudno, jego wola że jest tak nieroztropny. Jeśli to użytkownik decyduje zainstalować sobie potencjalną furtkę w postaci Adobe Flash, jego wybór. Jeśli dystrybucja czyni to za niego, to istne nieszczęście.
Jeśli domyślną polityką bezpieczeństwa dystrybucji jest nieinstalowanie krytycznych łat oprogramowania kluczowych komponentów systemu, jest to nic innego jak celowy sabotaż i świadome wystawianie użytkowników na CEL.