Jump to content
Che

Securitatea distributiilor linux?

Recommended Posts

Sa zicem ca ti-ai instalat pe PC o distributie de linux.

Cum poti sti/verifica daca are backdoors sau programe de spionaj sau password stealers preinstalate sau facut cumva sa ti le descarce la scurt timp dupa ce tocmai ai instalat sistemul de operare pe harddisk?

Presupunand de dragul discutiei ca vrei sa rulezi nonstop un trading bot de crypto de exemplu (cum deja a si postat cineva pe forum unul de acest gen) si care functioneaza doar pe linux.

Cum faci? Cum verifici ca sa iti dai seama daca este ceva in neregula sau nu sau cum o securizezi?

Astea pot parea intrebari de paranoia dar sa nu uitam ca la un momentdat in codul sursa al unui client de torrente era un cod de bitcoin mining si au recunoscut mai tarizu acest lucru deci orice este posibil.

 

Plus, in alta ordine de idei si legat oarecum de subiect, ce parere aveti despre aceasta distriubutie de linux?

https://puppylinux.com/

Este de incredere?

Link to comment
Share on other sites

Daca vrei sa rulezi nu stiu ce bot de crypto, nu cred ca trebuie sa iti faci griji ca NSA-ul a pus ceva backdoor acolo, nu prea o sa ii pese daca nu esti cine stie ce persoana importanta la nivel mondial (e.g. directorul unei centrale nucelare din Iran).

 

Ca sa o securizezi e destul de simplu:

1. Faci update cat se poate de des

2. Nu instalezi toate mizeriile

3. Scoti lucrurile de care nu ai nevoie, precum servicii pe care nu le foloseti

4. Lasi doar SSH, auth cu cheie si gata

5. Poti face multe lucruri de hardening dar nu prea ai nevoie

 

Daca vrei, poti verifica o distributie de Linux si poti fi sigur ca nu are niciun backdoor, doar ca va dura cateva mii de ani:

1. Iei tot codul sursa si il compilezi

2. Face reproductible build daca se poate, daca nu faci diff-uri intre ce ai tu pe distributie si ce se compileaza

3. Verifici toate diferentele (o sa fie) datorate unor patch-uri, modificari sau configurari

4. Verifici tot codul sursa de la kernel la toate programele instalate si vezi sa nu aiba backdoor

5. Bonus: Cauti si vulnerabilitati cand faci asta

 

Acum mai serios, nu prea ai ce face tu, o persoana, individual. Daca s-ar aduna cateva mii de persoane s-ar putea face asa ceva dar tot ar dura luni sau chiar ani (fara sa se faca vreo actualizare in acest timp).

 

Cat despre distributia respectiva, nu am auzit de ea, de ce ai ales-o? De ce nu ceva "clasic": debian, centos, ubuntu, kali etc.?

  • Thanks 2
  • Upvote 2
Link to comment
Share on other sites

24 minutes ago, Nytro said:

Cat despre distributia respectiva, nu am auzit de ea, de ce ai ales-o? De ce nu ceva "clasic": debian, centos, ubuntu, kali etc.?

Am vazut pe Youtube ca la rulare normala foloseste maxim 95-100Mb RAM si nici nu ocupa foarte mult spatiu pe disc si m-am gandit ca e numai buna pentru a rula pe un PC micro/portabil/de buzunar pe care sa-l lasi deschis undeva pe sifonier si sa uiti de el. Mai sunt si altele dar din cate vad in testele de pe Youtube se blocheaza si nu se misca asa de rapid ca asta.

 

Eu nu ma refer sa fie cu backdoor de la institutii guvernamentale ci sa aiba prin vreun pachet instalat sau printr-o librarie .so ceva cod malware special pus chiar de cei care o fac, in exemplul de fata astia care au si situl respectiv.

 

Dar nu este vreun fel de process monitor ca sa vezi ce face fiecare proces care ruleaza si ce fisiere accesteaza/sterge/creaza/descarca runtime?

Tot la fel, nu exista vreun fel de firewall care sa verifice exact ce fisier ce host vrea sa acceseze?

Dar un antivirus bun pe care sa te bazezi nu exista pentru linux?

Multumesc mult!

Link to comment
Share on other sites

https://www.debian.org/CD/verify

 

Majoritatea distro vin cu signed checksums. Tu descarci fisierele, le calculezi hasul(local, la tine pe pc) si verifici daca hasul calculat e la fel cu cel oficial, semnat de catre autor.

Asa stii 100% ca ce ai descarcat tu e varianta oficiala, fara modificari de la parte terte.

 

Daca ai incredere sau nu in autori, problema e mult mai complicata. Unele distro au codul sursa public, au audite de securitate independente, sunt folosite de catre companii mari, in situatii safety-critical. Toate aceste aspecte inspira incredere, dar nu poti fi niciodata 100% sigur. Poate exista un Remote Code Execution in nucleul UNIX. Poate exista un exploit in hardware de la network card.

 

La polul extrem: 

13 minutes ago, Che said:

Dar nu este vreun fel de process monitor ca sa vezi ce face fiecare proces care ruleaza si ce fisiere accesteaza/sterge/creaza/descarca runtime?

Tot la fel, nu exista vreun fel de firewall care sa verifice exact ce fisier ce host vrea sa acceseze?

poti avea incredere in "process monitor" sau "firewall"? Poate ele insele sunt virusate!

 

Pe scurt: Nu-ti fura nimeni aia 10$ din pariuri sportive sau forex pe care ii investesti in crypto auto-trading. :)) Ii scoti repede prin off-shore si ii bagi in cabinetul de stomatologie.

 

As pune pariu ca bot-ul tau o sa-ti piarda banii in margin trades. Bafta! :))

  • Thanks 1
  • Upvote 4
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.



×
×
  • Create New...