Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Tails verificatie van de download

11-01-2020, 14:48 door Anoniem, 9 reacties
Wat ik me al een tijd heb afgevraagd, is waarom tails niet gewoon op hun website aangeeft wat de hash van de download is, en uit hoeveel bytes de download bestaat.
In plaats hiervan laten ze je een verifying addon installeren.

Heel gebruikersvriendelijk hoor, dat wel.
Maar je moet er echt naar zoeken om er achter te komen wat die verify-addon nu eigenlijk doet.
En erop vertrouwen dat "geen bericht goed bericht" betekent, vind ik toch altijd een beetje een risico.

Het blijkt dat die addon te rade gaat bij:
https://tails.boum.org/install/v2/Tails/amd64/stable/latest.json
Dit is (zoals was te verwachten) een bestandje met daarin de sha256-hash en de bestandgrootte (aantal bytes) van de laatste stable tails-versies van zowel de versie die bestemd is voor USB-stick (.img) als de versie voor live-DVD (.iso)

In plaats van de addon te laden, kan je dus als je wil ook op genoemde link klikken om het zelf verifiëren,
en dit bestandje eventueel downloaden/opslaan (- save as - , to save your ass...)


Overigens staat Tails versie 4.2.1 er aan te komen (met de laatste Firefox update / tor browser 9.0.4)
Je kan hem hier en daar al downloaden, maar besef wel dat hij pas "stable" wordt geacht wanneer hij officieel uitkomt.
Reacties (9)
12-01-2020, 23:17 door Anoniem
Door Anoniem: waarom tails niet gewoon op hun website aangeeft wat de hash van de download is, en uit hoeveel bytes de download bestaat. In plaats hiervan laten ze je een verifying addon installeren.

De Tails OS ontwikkelaars hebben het controleren van de SHA256 checksum en het flashen van het .IMG bestand op een bootable USB stick sterk vereenvoudigd. Dat is om het gebruik van Tails OS beter toegankelijk en meer frequent te maken. Een verificatie met GPG en flashen met DD vanaf de commandline kan uiteraard ook nog steeds:

https://tails.boum.org/install/expert/usb/index.en.html

In plaats van de addon te laden, kan je dus als je wil ook op genoemde link klikken om het zelf verifiëren,
en dit bestandje eventueel downloaden/opslaan (- save as - , to save your ass...)

Het risico van alleen het gebruik van die Tails verificatie add-on, op basis van het Let's Encrypt SSL certificaat van boum.org en de SHA256 hash, is evident, omdat zowel de betrokken CA organisatie, de download server zelf of de eigen webbrowser kan zijn gecompromitteerd. Verifieer om die reden ook altijd de GPG signature van het image bestand.

Overigens staat Tails versie 4.2.1 er aan te komen (met de laatste Firefox update / tor browser 9.0.4) Je kan hem hier en daar al downloaden, maar besef wel dat hij pas "stable" wordt geacht wanneer hij officieel uitkomt.

Tor Browser 9.0.3 onder Tails OS 4.2.0 is kwetsbaar vanwege Firefox CVE-2019-17026 IonMonkey. Dat is een gevaarlijk gat, want dat is een exploited 0day bug. Hopenlijk komt het Tails OS 4.2.1 stable image na de tests met Tor de nieuwe Browser 9.0.4 spoedig beschikbaar. Het goede nieuws is dat een Tails automactic upgrade eenvoudiger is geworden.

https://www.security.nl/posting/638503/Mozilla+dicht+actief+aangevallen+zerodaylek+in+Firefox
13-01-2020, 11:08 door Anoniem
Het risico van alleen het gebruik van die Tails verificatie add-on, op basis van het Let's Encrypt SSL certificaat van boum.org en de SHA256 hash, is evident, omdat zowel de betrokken CA organisatie, de download server zelf of de eigen webbrowser kan zijn gecompromitteerd. Verifieer om die reden ook altijd de GPG signature van het image bestand.
Ah, 2- factor verificatie dus.
Hoewel de kans van wat je zegt volgens mij erg klein is.
Want tails.boum.org heeft HSTS, en is keurig voorgeprogrammeerd in Firefox/Chrome! (hsts preload)
Dus men moet dan wel de site hacken, hetgeen meestal vrij snel wordt ontdekt.
14-01-2020, 14:30 door Anoniem
Door Anoniem: Wat ik me al een tijd heb afgevraagd, is waarom tails niet gewoon op hun website aangeeft wat de hash van de download is, en uit hoeveel bytes de download bestaat.

Verification using a checksum would be no better than verifying using one of the techniques documented on our download page: our browser extension, BitTorrent, or basic OpenPGP.

https://tails.boum.org/support/faq/index.en.html#index10h2

Overigens staat Tails versie 4.2.1 er aan te komen (met de laatste Firefox update / tor browser 9.0.4) Je kan hem hier en daar al downloaden, maar besef wel dat hij pas "stable" wordt geacht wanneer hij officieel uitkomt.

Tails 4.2.2 emergency release is out 2020-01-14.

https://tails.boum.org/news/version_4.2.2/

Update Tor Browser to 9.0.4. This fixes a critical vulnerability in the JavaScript JIT compiler of Firefox and Tor Browser.
14-01-2020, 19:19 door Anoniem
Door Anoniem:
Door Anoniem: Wat ik me al een tijd heb afgevraagd, is waarom tails niet gewoon op hun website aangeeft wat de hash van de download is, en uit hoeveel bytes de download bestaat.

Verification using a checksum would be no better than verifying using one of the techniques documented on our download page: our browser extension, BitTorrent, or basic OpenPGP.

Lees ik or...or... en niet and....and?!.............


Tails 4.2.2 emergency release is out 2020-01-14.

https://tails.boum.org/news/version_4.2.2/

Update Tor Browser to 9.0.4. This fixes a critical vulnerability in the JavaScript JIT compiler of Firefox and Tor Browser.
Daar zou 4.2.1 ook over gaan. Er mankeerde zeker nog wat aan in 4.2.1. (zal de genoemde 2 minuten-delay wel zijn)
Ben ik even blij dat ik 4.2.1 heb laten liggen omdat ie nog niet officieel was. Zo zie je maar.
14-01-2020, 21:30 door Anoniem
Door Anoniem:Lees ik or...or... en niet and....and?!.............

Gebruik beide. Verificatie ook aan de hand van het OpenPGP WoT geeft meer zekerheid.

Er mankeerde zeker nog wat aan in 4.2.1. (zal de genoemde 2 minuten-delay wel zijn)

* Bugfixes
- Avoid the Upgrader proposing to upgrade to the version
that's already running (Closes: #17425)
- Avoid 2 minutes delay while rebooting after applying an automatic
upgrade (Closes: #17026)
- Make Thunderbird support TLS 1.3 (Closes: #17333)

Ben ik even blij dat ik 4.2.1 heb laten liggen omdat ie nog niet officieel was. Zo zie je maar.

Zie het Tails changelog voor de details. Beschouw die versie 4.2.1 als nooit uitgebracht. Die staat niet in het log:

https://git.tails.boum.org/tails/plain/debian/changelog
15-01-2020, 12:31 door Anoniem
Door Anoniem:
Door Anoniem:Lees ik or...or... en niet and....and?!.............

Gebruik beide. Verificatie ook aan de hand van het OpenPGP WoT geeft meer zekerheid.

Er mankeerde zeker nog wat aan in 4.2.1. (zal de genoemde 2 minuten-delay wel zijn)

* Bugfixes
- Avoid the Upgrader proposing to upgrade to the version
that's already running (Closes: #17425)
- Avoid 2 minutes delay while rebooting after applying an automatic
upgrade (Closes: #17026)
- Make Thunderbird support TLS 1.3 (Closes: #17333)

Ben ik even blij dat ik 4.2.1 heb laten liggen omdat ie nog niet officieel was. Zo zie je maar.

Zie het Tails changelog voor de details. Beschouw die versie 4.2.1 als nooit uitgebracht. Die staat niet in het log:

https://git.tails.boum.org/tails/plain/debian/changelog

Zei ik toch: hij is nooit stable geweest, dus nooit officieel uitgebracht.
Maar tails v4.2.1. was wel als test/development versie zal ik maar zeggen op een aantal sites enige tijd te downloaden.
15-01-2020, 12:33 door Anoniem
Ho wacht, je wil natuurlijk bewijs zien van wat ik net beweerde, anders geloof je het niet:

https://www.reddit.com/r/tails/comments/enlt31/is_the_421_image_ready_to_use/
03-03-2020, 10:53 door Danielestes
Thanks
03-03-2020, 11:34 door Anoniem
Door Anoniem: Wat ik me al een tijd heb afgevraagd, is waarom tails niet gewoon op hun website aangeeft wat de hash van de download is, en uit hoeveel bytes de download bestaat.
Het idee daarachter is dat als iemand in staat is om de van een website gedownloade file aan te passen naar eigen idee, hij/zij ook in staat zou zijn om die op die website getoonde hash en lengte overeenkomstig aan te passen.
M.a.w. het heeft geen zin om die informatie op zo'n manier te publiceren, of het gebruik zou beperkt moeten zijn tot controleren of die file corrupt is geraakt door een probleem op je eigen computer (fouten in memory bijvoorbeeld).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.