Sind Benutzer von Ubuntu-zertifizierten Computern vor OEM-SSL / TLS-Manipulationen geschützt?

7

Bitte lassen Sie mich diese Frage hier stellen, in der Hoffnung, dass wir auch eine offizielle Antwort erhalten, obwohl dies eine hauptsächlich von der Community betriebene Website ist.

Da Dell nach Lenovo (Superfish) erst in diesem Jahr der zweite Hersteller ist, der die Web-Sicherheit in OEM-Windows-Installationen gefährdet, und beide auch Computer der Marke Ubuntu Edition mit OEM-Installationen anbieten, verdienen Benutzer, die der Marke Ubuntu vertrauen, eine Antwort, die weitaus besser ist als:

Canonical kann diese OEM-Bilder nicht der Öffentlichkeit zur Verfügung stellen.

Quelle: Launchpad , siehe auch .

Dies steht im Widerspruch zu den Vorteilen von Betriebssystemen für freie Software: Den überprüfbaren und reproduzierbaren Zustand eines Systems kennen und wissen, wer die Teile davon zusammensetzt.

Antworten, die ich gerne sehen würde:

  • Gibt es Hinweise darauf, dass die Bilder, die Canonical OEMs zur Verfügung stellt, keine Änderungen am Ubuntu-Stammzertifikatsspeicher enthalten? (Erstellen Sie ein System, verwendete Skripte oder eine verwendete Paketliste, Hashes usw.)
  • Gibt es bereits etablierte Prozesse, die sicherstellen, dass OEMs, die Ubuntu-zertifizierte Computer anbieten, den Inhalt des Stammzertifikatspeichers niemals manipulieren? (Auch nicht, um angepasste Browser vorab zu installieren oder Pakete aus ihren Repositorys als Bypass anzubieten oder um knifflige Firmware-Funktionen zu implementieren, die den Zertifikatspeicher manipulieren.)

Ergänzende Antworten willkommen:

  • Eine Antwort zum Vergleichen des lokalen Stammzertifikatspeichers mit entsprechenden Paketen aus den Repositorys. (Wahrscheinlich besser als separates Q & A, wenn es noch nicht existiert.)
    • Optional Antworten von Benutzern mit Ubuntu-zertifizierten Computern - siehe den obigen Link -, die ihre Systeme auf diese Weise überprüft haben. (Bitte warten Sie ein paar Tage, bis wir die richtigen Kriterien gefunden haben oder ob dies überhaupt eine gute Idee ist. Wir organisieren sie wahrscheinlich als Antwort im Wiki-Stil, die jeder bearbeiten kann, sobald die Kriterien festgelegt sind - bitte keine Antwort im großen Stil. Kriterien Das fällt mir derzeit ein: Hersteller, Modell, ausgeliefertes Release, aktuell laufendes Release.)

In beiden Fällen bestand das Problem darin, dass die Infrastruktur der offiziellen Zertifizierungsstelle unter Berücksichtigung sehr schlechter Sicherheitsstandards umgangen wurde, was schnell zum Missbrauch dieser Zertifikate durch andere Parteien führte.

Verwandte Beiträge zu Information Security SE:

LiveWireBT
quelle

Antworten:

2

Die Open-Source-Natur von Ubuntu macht es nicht immun gegen die gleichen Probleme, bei denen ein OEM möglicherweise (versehentlich oder absichtlich) Malware auf den auf Computern vorinstallierten Images hinzugefügt hat, unabhängig davon, ob es sich um zusätzliche CA-Zertifikate oder auf andere Weise handelt.

Wenn Sie Ubuntu selbst installieren, gibt es eine Reihe von Maßnahmen gegen böswillige Änderungen durch Dritte: Wenn Sie ein Image von Ubuntu von einer offiziellen Ubuntu-Quelle erhalten, können Sie dessen Prüfsumme überprüfen, und wenn Sie Ubuntu mithilfe von APT mit den offiziellen Repositorys auf dem neuesten Stand halten, profitieren Sie Dank der integrierten digitalen Signatur können Sie sicherstellen, dass die Bilder nicht von Dritten manipuliert wurden.

Wie Sie vielleicht vermuten, haben Ubuntu, wenn es von einem OEM vorinstalliert wurde, aus legitimen Gründen mit ziemlicher Sicherheit Änderungen daran vorgenommen, abgesehen von der Installation der offiziellen Images. Wenn es von einer vertrauenswürdigen Quelle gekauft wird, ist es sehr unwahrscheinlich, dass die Installation Malware enthält, möglicherweise sogar noch unwahrscheinlicher als die typische Windows-Installation. Es gibt jedoch nichts, was dies unmöglich macht , und Sie müssen sich nur die Beispiele von Lenovo und Lenovo ansehen Dell, um zu sehen, wie das passieren könnte.

Ob Sie sich Sorgen machen müssen, können Sie selbst beurteilen. Das Löschen und Neuinstallieren von einem offiziellen Ubuntu-Installationsprogramm kann einige Befürchtungen zerstreuen, obwohl Sie jegliche OEM-spezifische Anpassung oder zusätzliche Funktionalität verlieren.

Ich kann Ihre Frage nicht beantworten, ob Ubuntu / Canonical versuchen, Änderungen an Root-Zertifikatspeichern in von OEMs abgeleiteten Installationen zu überwachen, aber ich kann nicht sehen, wie dies umfassend genug wäre.

thomasrutter
quelle
-1

Es gibt eine einfache Möglichkeit, https://dellrootcheck.detectify.com auf Ihrem vorinstallierten Ubuntu-System zu überprüfen .

Vier Dollar
quelle
Dieses Tool sucht nur bei Dell-Computern nach dem eDellRoot-CA-Zertifikat, das für diese bestimmte Sicherheitsanfälligkeit relevant ist. Es wird nicht überprüft, ob ein bestimmter Computer-OEM zusätzliche eigene CA-Zertifikate installiert hat.
Thomasrutter
Ich habe zuvor das Basis-Image für Dell und andere OEMs erstellt. Ich sehe nie, dass es ein zusätzliches CA-Zertifikat gibt. Wenn Sie den Nachweis für zusätzliche CA-Zertifikate im OEM-Image erbringen können, bin ich froh zu wissen.
FourDollars
Wenn Sie dafür keine Beweise vorlegen können, handelt es sich nur um eine FUD en.wikipedia.org/wiki/Fear,_uncertainty_and_doubt .
FourDollars
2
Es ist eindeutig keine FUD, da es in letzter Zeit tatsächlich zweimal passiert ist, sowohl bei Lenovo als auch bei Dell. Die Frage des OP, ob dies möglich ist mit vorinstalliertem Ubuntu von OEMs angeboten wird , ist legitim (und die Antwort ist , dass es ist möglich, wir sind einfach nicht bewusst , es jemals passiert).
Thomasrutter
1
Bei der Frage des OP ging es nicht darum, ob Sie dies schon einmal gesehen haben, sondern ob es passieren könnte und welche Schritte unternommen werden, um sicherzustellen, dass dies nicht der Fall ist. Warum fordern Sie Beweise von mir? Beweis für was? Dass es schon mal passiert ist? Ich habe nie gesagt, dass es hat. Was ist mit dieser Frage, die Sie zu dieser Abwehrreaktion veranlasst hat?
Thomasrutter