Kevin Fenzi: come verificare le immagini Fedora

Il recente avvenimento riguardante la compromissione del portale di Linux Mint, ha suscitato molto clamore all'interno del mondo Open Source.

Kevin "nirik" Fenzi, membro del team Infrastructure, ha scritto un interessante articolo a riguardo di come controllare l'integrità delle immagini di Fedora scaricate. Riportiamo di seguito la traduzione italiana del post.

 

Con la recente notizia della compromissione delle ISO della distribuzione Linux Mint, ho pensato di impiegare alcuni minuti per spiegare come Fedora gestisce il download delle immagini e cosa, l'utente, può fare per assicurarsi di aver reperito l'ufficiale e corretta versione di Fedora.

Per prima cosa, possiamo esaminare, passaggio dopo passaggio, cosa succede quando si apre il browser per raggiungere getfedora.org, il nostro portale per il download delle immagini per l'installazione:

  • L'utente scrive “getfedora.org” nel browser

  • Per prima cosa, il sistema operativo dell'utente chiede ai server DNS l'indirizzo IP di getfedora.org. Se si sta utilizzando dnssec, si riceverà una risposta firmata e cifrata. In caso contrario, si riceverà una normale risposta proveniente dal DNS.

  • Il browser quindi, potrebbe tentare di connettersi a getfedora.org utilizzando http. Abbiamo impostato getfedora.org per redirigere tutte le richieste ad https.

  • Con la prima connessione https a getfedora.org, mandiamo un header HSTS. Quest'ultimo, informa il browser dell'utente affinché esso utilizzi sempre https per usufruire delle pagine sito (se il browser supporta tale meccanismo).

  • Una volta connesso al sito, l'utente può utilizzare l'apposito link per scaricare l'immagine che preferisce. Successivamente, se Javascript non è stato completamente disabilitato, appare una schermata che descrive come verificare il download: https://getfedora.org/it/verify.

  • Al termine del download, per assicurarsi di essere in possesso di un'immagine valida ed ufficiale, sono necessari due passaggi. Per prima cosa, occorre controllare la firma gpg del file di checksum. I file di checksum ufficiali di Fedora, sono sempre firmati. La chiave gpg relativa allo specifico rilascio, può essere ottenuta da getfedora.org, da praticamente tutti i keyserver, o dal pacchetto fedora-repos se si è già in possesso di un sistema Fedora installato. Inoltre, se l'utente importa la chiave ed opera un refresh (gpg2 –-refresh-keys), egli può vedere i dettagli relativi e, in base a questi, decidere se la chiave è affidabile. Se tutto appare corretto, è possibile procedere con l'utilizzo di sha256sum per controllare il checksum dell'immagine. CONVIENE ESEGUIRE SEMPRE QUESTI CONTROLLI APPENA DELINEATI.

 

Concludendo… Abbiamo dnssec, hsts e file di checksum firmati. Tutto questo, ci avrebbe aiutato nel caso in cui avessimo sofferto un attacco similare a quanto subito dai ragazzi di Linux Mint? In tale intrusione, le loro macchine per il download sono state compromesse e gli ignoti hanno rimpiazzato i checksum e i link per lo scaricamento con loro versioni. Se questo fosse capitato a Fedora, l'unico passaggio della lista sopra citata, che avrebbe protetto gli utenti, sarebbe stato il controllo delle firme gpg. Purtroppo, tale precauzione non viene sempre presa, perché appare difficile, frustrante e deve essere eseguita manualmente.

Con Fedora 24, le edizioni Workstation e Server si attiveranno per preferire l'applicazione per la creazione di supporti Usb, in luogo dei download diretti delle immagini. Dobbiamo assicurarci che essa risulti il più affidabile possibile, ma probabilmente saranno comunque necessari alcuni passaggi manuali per il controllo dell'applicazione scaricata (se essa non viene reperita come normale pacchetto all'interno di un sistema Fedora già installato). Nella sua implementazione corrente, il programma reperisce già i file di checksum dal master mirror di Fedora mediante https e l'utente può quindi controllare l'integrità del download. Si può comunque fare di più.

Ultime News: