Y sucedió, esta vez en LinuxMint, reportaron el fin de semana que ciertos ISOs de su distribución habían sido comprometidos. Es una historia larga que puede ser leída aquí
Queremos hablar del tema
- Al momento 2 de los mirrors que funcionan dentro de la red de CEDIA alojan a LinuxMint, aparentemente estos no bajaron el iso adulterado pues todo parece indicar que el ataque fue a través de la modificación de uno o varios links en el sitio principal hacia un sitio malicioso con los ISOs adulterados. Permaneciendo los ISOs originales en todos los mirrors.
- Esto nos conduce a pensar que eventualmente los mirrors podrán alojar algún contenido malicioso si se modifica el ISO en los servidores de origen. Realmente los mirrors hacen la función de «mirror» que no es más que espejear los contenidos de las distribuciones que alojan. Si un servidor de origen aloja un contenido malicioso, el mirror replicará el mismo contenido mientras esté presente en el servidor de origen. Cuando corrijan el contenido, el mirror corregirá igualmente el problema.
- Esto nos lleva a sugerir algo: siempre deben verificarse las sumas md5 de los isos que se bajan, para tener la seguridad de que
- O el atacante además de modificar los isos se molestó en modificar los md5 (y esta es una mala noticia)
- O el md5 dará un resultado incorrecto producto de que se modificó el iso y no el md5.
- De hecho sugerimos al bajar el iso, también guardar el md5 conque se bajó, de forma tal que a futuro se pueda verificar el md5 almacenado si se reportara una intrusión.
El mirror maneja todas las operaciones de sincronía a través de usuarios no privilegiados utilizando rsync, por lo que un contenido malicioso en teoría no debe afectar ni a las otras distribuciones ni al sistema operativo que lo aloja.