Gesellschaft::Politik/Recht
Paketverwaltung von freien Systemen angreifbar
Nach Recherchen einiger Sicherheitsforscher sollte den Spiegelservern der meisten Distributionen nicht zuviel Vertrauen entgegengebracht werden.
Eine Forschungsgruppe an der Universität von Arizona untersuchte, wie sich die Paketverwaltung von freien Betriebssystemen unterwandern lässt. Die Paketverwaltung spielt eine kritische Rolle beim Aktualisieren, aber auch bei der Nachinstallation von Paketen aus dem Internet. Teile der Paketverwaltung müssen mit vollen Root-Rechten laufen, und da es sich meist um monolithische Programme handelt, läuft folglich die gesamte Paketverwaltung als Root.
Sicherheitsprobleme in der Paketverwaltung sind somit besonders kritisch. Die Forscher untersuchten daher zehn verschiedene Linux- und BSD-Paketverwaltungen, darunter APT, YUM und YaST. Dass es ihnen gelang, alle untersuchten Systeme zu kompromittieren, könnte weitreichende Folgen haben. Die Forscher mussten dafür weder Schlüssel noch Passwörter herausfinden.
Fundamentale Probleme in der Paketverwaltung existieren dabei auf mehreren Ebenen. So wird Spiegelservern grundsätzlich vertraut, und Kriminelle, die einen manipulierten Spiegelserver aufsetzen, können oft problemlos den Status als offizieller Mirror erhalten. Manipulationen werden dadurch erleichtert, dass manche Systeme die Metadaten ihrer Repositorien nicht mit kryptografischen Signaturen sichern. Die Pakete selbst werden zwar in allen Systemen mittlerweile mit Signaturen gesichert, doch bleibt die Signatur bestehen, selbst wenn im Paket Sicherheitslücken entdeckt wurden.
Zusammengenommen geben diese Schwächen Kriminellen die Möglichkeit, sich als offizieller Mirror einer Distribution zu bewerben und dann die Metadaten zu manipulieren. Da die Distributionen nur wenige Prüfungen der Mirror-Server durchführen können und diese sich auch überlisten lassen, können Kriminelle so erreichen, dass tausende von Benutzern sich nichtsahnend mit ihrem Server verbinden. Dass dies tatsächlich funktioniert, wurde von den Forschern mit einem gemieteten Rootserver und einer fingierten Firma demonstriert.
Ist der falsche Spiegelserver erst einmal etabliert, haben die Kriminellen verschiedene Möglichkeiten, die alle von der Tatsache Gebrauch machen, dass die Paketverwaltung bei einem Update immer die neueste verfügbare Version eines Pakets installiert. Es könnten unsignierte Pakete bereitgestellt werden in der Hoffnung, dass die Benutzer eventuelle Warnungen ignorieren. Aktuelle Pakete könnten durch ältere mit bekannten Sicherheitslücken ersetzt werden. Am einfachsten dürfte es jedoch sein, Updates zu blockieren und darauf zu warten, dass neue Sicherheitslücken bekannt werden. Viele Anwender würden es nicht bemerken, wenn wichtige Updates ausbleiben.
Die Forscher schlagen einige Abhilfen gegen die Misere vor. Anwender sollten nur Spiegelserver verwenden, denen zu trauen ist. Die offiziellen Listen der Distributionen könnten Server enthalten, denen nicht zu trauen ist. Paketverwaltungen sollten die Metadaten signieren, und Anwender sollten, wenn möglich, auf eine solche Paketverwaltung ausweichen. Ferner sollten die Anwender ihre Systeme nur manuell aktualisieren und auch darauf achten, dass der verwendete Mirror aktuell ist. Sinnvoll, wenn auch in der Praxis schwierig, ist den Forschern zufolge die Verwendung von HTTPS zur Kommunikation mit dem Server.
Künftig sollten, so die Forscher weiter, nicht nur alle Systeme die Metadaten signieren, sondern auch ein automatisches Verfallen der Signatur implementieren. Damit würden veraltete Metadaten automatisch ungültig. Distributionen, die die Sicherheitsvorkehrungen der Paketverwaltung nicht in vollem Umfang unterstützen, sollten von den Anwendern gemieden werden.
