Защищены ли пользователи сертифицированных компьютеров Ubuntu от несанкционированного доступа OEM SSL / TLS?
Пожалуйста, позвольте мне поднять этот вопрос здесь, надеясь, что мы также получим официальный ответ, хотя этот сайт в основном ориентирован на сообщество.
Поскольку Dell теперь является вторым производителем после Lenovo (Superfish) только в этом году , чтобы поставить под угрозу веб-безопасность в установках OEM-Windows, и оба также предлагают Ubuntu Edition ] брендовые компьютеры с OEM-установками. Я думаю, что пользователи, доверяющие бренду Ubuntu, заслуживают ответа, который гораздо лучше, чем:
Canonical не может предоставить эти OEM-образы широкой публике.
Источник: Launchpad , см. Также .
Что противоречит преимуществам свободных программных операционных систем: знание проверяемого и воспроизводимого состояния системы и составление ее частей.
Ответы, которые я хотел бы видеть:
- Есть ли доказательства того, что образы, которые Canonical предоставляет OEM-производителям, не содержат изменений в хранилище корневых сертификатов Ubuntu? (Сборка используемой системы, сценариев или списка пакетов, хэшей и т. Д.)
- Существуют ли уже установленные процессы, которые навязывают и гарантируют, что OEM-производители, предлагающие сертифицированные Ubuntu компьютеры , никогда не вмешиваются в содержимое хранилище корневых сертификатов? (Также не следует предварительно устанавливать настраиваемые браузеры или предлагать пакеты из своих репозиториев в качестве обходного пути или реализовывать хитрые функции встроенного ПО, которые вмешиваются в хранилище сертификатов.)
Дополнительные ответы приветствуются:
- Один ответ для сравнения локального корневого хранилища сертификатов с соответствующими пакетами из репозиториев. (Возможно, лучше в качестве отдельного вопроса и ответов, если он еще не существует.)
- При желании можно получить ответы от пользователей с компьютерами, сертифицированными Ubuntu - посмотрите на ссылку выше - которые проверяли свои системы таким образом. (Пожалуйста, подождите несколько дней, пока мы не найдем подходящие критерии или если это вообще хорошая идея. Мы, вероятно, организуем его как ответ в стиле вики для того, чтобы все могли редактировать его после того, как критерии установлены - не используйте стиль ответов большого списка, пожалуйста. Критерии что мне приходит в голову: производитель, модель, выпущенная версия, текущая версия.)
Чтобы было ясно, проблема в обоих событиях заключалась в том, что официальная инфраструктура центра сертификации была обойденный с очень плохими стандартами безопасности, которые быстро привели к злоупотреблению этими сертификатами другими сторонами.
Связанные публикации по информационной безопасности SE:
2 ответа
Характер Ubuntu с открытым исходным кодом не делает это неуязвимым для того же вида проблемы, где OEM, возможно, добавила вредоносное программное обеспечение (случайно или сознательно), распределяет ли это быть дополнительными сертификатами CA или иначе, на изображениях это предварительно установленный на компьютерах.
при установке Ubuntu сами, существует много мер против злонамеренной модификации третьими лицами: при получении изображения Ubuntu из официального источника Ubuntu, можно проверить его контрольную сумму, и если Вы сохраняете Ubuntu обновленным с помощью APT с официальными репозиториями, Вы извлекаете выгоду из его встроенной цифровой подписи, уверяя Вас, что в изображения не вмешались третьи лица.
Однако, как можно подозревать, предварительно установлен ли Ubuntu OEM, они почти наверняка сделали модификации к нему кроме просто установки официальных изображений по довольно законным причинам. Если бы куплено от надежного источника было бы очень маловероятно, что установка включала бы вредоносное программное обеспечение, возможно еще более маловероятное, чем типичная установка Windows, но нет ничего, что сделало бы его невозможным , и только необходимо посмотреть на примеры от Lenovo и Dell, чтобы видеть, как это могло бы произойти.
Что касается того, необходимо ли волноваться, можно судить для себя. Стирание и переустановка из официального установщика Ubuntu могли бы подавить некоторые страхи, хотя Вы потеряете любое определенное для OEM удовлетворение требованиям заказчика или дополнительную функциональность.
я не могу ответить на Ваш вопрос о том, не, не вижу ли попытка Ubuntu / Каноническая попытка управлять какими-либо изменениями на основе политик в корневых хранилищах сертификатов на полученных установках OEM, но я, как это было бы выполнимо сделать достаточно всесторонне.
-
1Я пытался установить xubuntu, как описано. Установка пошла прекрасная, но проблема осталась тем же. Тогда я попробовал failsafex параметр загрузки, но напрасно. Я даже не мог добраться до экрана входа в систему. Тогда после нормальной перезагрузки, xrandr делал предложение 1024x768, 800x600 и 640x480. Я понятия не имею, почему они обнаруживаются теперь и почему я все еще не могу добраться 1920x1080. – cfoucher 17 February 2017 в 10:58
Существует простой способ проверить https://dellrootcheck.detectify.com в Вашей предварительно установленной системе Ubuntu.
-
1Это странно, что failsafeX не дает Вам корректный рабочий стол, он должен устранить типичные источники взаимодействия графического драйвера. Когда Вы говорите после нормальной начальной загрузки Вы добираетесь, xrandr предложение состоит в том что от текстового терминала или от рабочего стола xterm. Когда моя графика не работала, я также получил те разрешения от xrandr (они, кажется, связаны с некоторой нейтрализацией или значением по умолчанию больше). Я предполагаю, что Вы попытались уже добавить новое разрешение CVT 1920 1080 60 и вставить вывод от (и включая "...") в xrandr - newmode? Сверьтесь с lspci-vnn | grep VGA-A 12, если это говорит " драйвер ядра в use" – CatMan 17 February 2017 в 13:00