[Primipassi] R: Re: Software non autenticato

EclipseSpark eclipse@frozenbox.org
Sab 11 Maggio 2013 11:52:40 CEST 

i repository debuan sono degli archivi su protocolli http contenenti un file compresso contenente tutte le informazioni sui pacchetti contenuti, la loro dimensione, le loro dipendenze, la loro posizione ecc

poi vi sono ovviamente tutti i pacchetti .deb

ora ecco il tuo problema

per evitare che i repository possano essere contraffatti è possibile imporre una chiave di sicurezza, un po come se il repository si firmasse. quando configuri un nuovo reposiyory devi sempre configurare anche la sua chiave di autenticazione, così potrai sempre sapere se i pacchetti che stai wcaricando provengono davvero dal repository e non da un attacker che stia bypassando le tue richieste.


in parole più povere:

1) sei sotto attacco hijacking e stanno dirottando le trasmissioni verso un repository falso contenente dei pacchetti contraffatti potenzialmente pericolosi

2) hai aggiunto dei repository al file /etc/apt/sources.list senza configurare la relativa chiave su APT

3) molti repository non hanno neanche un supporto alle chiavi di autenticazione, tipico di repository annena nati, fatti di fretta, non molto importanti e chi più ne ha più ne metta



al 99,9999999% dei casi ti trovi o nella seconda o nella terza ipotesi. e l'unica cosa realmente pericolosa è trovarsi nella prima ipotesi. 


se hai repository correttamente autenticati e ti spunta quell'allarme ti trovi in mezzo ad un attacco o errori del server (ma potenzialmnte anche tuoi)

se i repo non li hai autenticati ti spuntera sempre quel messaggio anche durante il funziinamento normale della macchina, ma non noterai mai la differenza tra i repo ufficiali o dei falsi repo  on cui ti stanno attaccando

Eclipse Spark
www.frozenbox.org
eclipse.frozenbox.org 

Inviato dalla ruota del criceto

Hal <hal@linux.it> ha scritto:

On 06/05/2013 22:18, mugelsis@livecom.it wrote:
> "Si sta per installaredel software che non può essere autenticato.
> Continuando si potrebbe permettere a un utente malintenzionato di
> danneggiare il sistema o prenderne il controllo".

Se da terminale dai il comando

sudo apt-get update

quale errore ti compare alla fine?



> Vorrei sapere se qualcuno può dire fino a che punto è consigliabile
> tenere in considerazione questo avvertimento o si può trascurare con un
> buon margine di sicurezza o eventualmente quali sono le fonti di
> software da cui stare alla larga.

Finché poni questa domanda è consigliabile stare lontano dalle fonti non
ufficiali.


Dall'interfaccia grafica, da Gestione Sorgenti, quali fonti hai attive e
quali no?

Tutte quelle previste, ufficiali, presenti nella prima scheda, vanno
bene. Delle altre parliamone.
-- 
Ciao
Hal  :o)                           [ GnuPGKeyID: 19C156F3 ]

GOLEM - Gruppo Operativo Linux Empoli http://golem.linux.it
_______________________________________________
FLUG primipassi con Linux - primipassi@lists.linux.it
Policy: http://www.firenze.linux.it/primipassi/policy_html
URL: http://lists.linux.it/listinfo/primipassi
Archivio:  http://lists.linux.it/pipermail/primipassi/
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://lists.linux.it/pipermail/primipassi/attachments/20130511/7448d5ca/attachment.html>

Maggiori informazioni sulla lista primipassi