That’s my blog… Life and Linux

The Treviño Story – Una lista repository sotto “attacco”

Ubuntu Untrusted Repository Wallpaper “gift”Qui a fianco vedrete il famigerato «sfondo col teschio» che ormai alcuni utenti di Ubuntu e Kubuntu Edgy (con una sources.list “arricchita” :roll:) conosceranno…
Ma cos’è successo esattamente?
Qualche giorno fa ho pubblicato, con un po’ di ritardo – per riuscire a fare le cose nel miglior modo, la ormai arcinota Lista Repository (sources.list) per Ubuntu / Kubuntu Edgy Eft, nella speranza di fornire un servizio utile e comodo per gli utenti Ubuntu che volevano arricchire il proprio "parco software" con programmi più aggiornati od altrimenti non disponibili; tra questi repository ne ho aggiunti alcuni, oltre a quelli "convertitesi" ad edgy, che erano sorti da poco tempo (ovviamente, dopo averli controllati ed aver visto che erano ok).
Tutavia tra questi si annidava un repository che poi non si è dimostrato esattamente corretto abusando del proprio "potere" fornitogli dalla mia lista… Lo Ion’s Ubuntu packages, mantenuto da Jοhan Kiviniemi.
Di fatto, Ion ha deciso di sfruttare questa sua nuova “notorietà” pubblicando nel proprio repository dei pacchetti collegati ai desktop ubuntu e kubuntu “arricchiti” per modificare delle impostazioni di sistema (in questo caso, il desktop) per avvertire, a suo modo, la comunità…

Lo sfondo infatti riporta:

«Using untrusted repositories may cause permanent damage to your system»

«Usare repository non fidati può causare danni irreparabili al tuo sistema»

Ed è vero, ma come ho sottolineato nei thread a riguardo, se si vogliono usare fonti alternative bisogna sempre controllare le modifiche che il nostro sistema eseguirà durante gli aggiornamenti (ed infatti io non ci sono cascato…).
Se da una parte è comodo avere fonti alternative per poter mantenere la propria distro più aggiornata, dall’altra è necessario fare attenzione a cosa si fa sapendo che chi detiene un repository può avere il controllo totale sul nostro sistema… E questo l’ho sempre considerato ovvio… Il fatto di riconoscere o meno le chiavi GPG con cui viene firmato un repository non è un azione che deve essere fatta con sufficienza, ma bisogna prima essere sicuri di quello che si fa…!

Ad ogni modo, John ci ha fornito una sua spiegazione del suo gesto scrivendola in una pagina chiamata “The Treviño Story(da cui deriva poi il titolo di questo post…) :angry:; praticamente Ion afferma di aver notato un aumento di contatti (dai ~5 ai ~700) da quando ho pubblicato la lista, ed essendo seccato della cosa mantenendo il repository sul proprio server, ha deciso di creare questi pacchetti “fake” per avvertire l’utenza del rischio che potevano correre…
Se di per sé l’intento può essere considerato abbastanza “nobile”, di fatto il metodo usato è stato davvero pessimo… Al di là del fatto che ha modificato pacchetti base dandogli numeri di versioni enormi (999… Così che fosse difficile rimpiazzarli automaticamente), poteva anche semplicemente mostrare un avviso di debconf avvertendo del rischio… Di certo danneggiava meno persone e riusciva meglio nel suo intento!

Conosciuto il danno, per risolvere questo “hack grafico semplicemente  tornate alla versione originale dei pacchetti modificati…

# Per Kubuntu
sudo apt-get install kubuntu-artwork-usplash/edgy kubuntu-default-settings/edgy

# Per Ubuntu
sudo apt-get install usplash-theme-ubuntu/edgy edgy-wallpapers/edgy
sudo nano "/etc/gconf/gconf.xml.mandatory/%gconf-tree.xml"
# quindi cancellate il suo contenuto
sudo gconftool-2 –shutdown # doppia linetta "-"

Altre informazioni le potete trovare qui.

Morale della favola, usate la lista (che è ripulita così come il pacchetto collegato) a vostro rischio e pericolo, stando attenti a quello che fate ad ogni passaggio…
Tutto dipende da chi gestisce i singoli repository, per ora non era mai successa una cosa simile visto che i mantainer si erano sempre comportati correttamente, ma a quanto pare non tutti sono così… Da parte mia, tutti i miei repository sono e saranno sempre puliti

For English Readers, please read this post.

  • fabio

    Il discorso non  fa una piega: quando fai qualunque cosa cerca di esserne consapevole, però … non dimentichiamo che molti, come il sottoscritto, usano il pc così come si usa un frullatore senza troppi pensieri. In fondo quello che devo farci è usare internet, caricare musica sul mio lettore mp3, scrivere documenti etc. Fino ad ora l’aggiornamento del sistema era una icona in basso a dx che ti avvertiva che parte del mio software stava per essere aggiornato, tu aggiornavi e, senza neanche riavviare il sistema, continuavi a fare quello che stavi facendo.

    Già il cambio versione è stato un po’ più impegnativo (il fatto che adept non è in grado di farlo da solo mi ha seccato un po’) ma ci può stare. Non sono però d’accordo sul fatto che aggiornando il sistema come ho sempre fatto negli ultimi mesi mi debba ritrovare delle sorprese simili solo perchè qualcuno vuole fare il Giovanni Battista dell’informatica (alias il sig. Johan Kiviniemi), considerando, ripeto, che io sono l’utente cretino che uso il pc come un frullatore e voglio continuare ad esserlo

  • bingo

    quello che ti risponderei, non per creare un inutile flame, e infatti di usare i repository ufficiali!

    …beh l’ho sempre pensato che prima o poi una cosa del genere sarebbe successa. fidarsi e bene non fidarsi è meglio emoticon 

  • mentor

    Ho Ubuntu, ho lanciato i comandi che dici ma mi risponde:

    sudo apt-get install usplash-theme-ubuntu/edg edgy-wallpapers/edgy
    Password:
    Reading package lists… Done
    Building dependency tree       
    Reading state information… Done
    E: Release ‘edg’ for ‘usplash-theme-ubuntu’ was not found

    Mentre nel secondo mirisponde:
    sudo echo "" > "/etc/gconf/gconf.xml.mandatory/%gconf-tree.xml"
    bash: /etc/gconf/gconf.xml.mandatory/%gconf-tree.xml: Permission denied

    Cosa devo fare?

    Grazie, sei veramente utile alla comunita. open source.

  • Scusa, ho scritto "edg" invece che edgy… Il comando è

    sudo apt-get install usplash-theme-ubuntu/edgy edgy-wallpapers/edgy

     Riguardo il secondo comando, ho modificato il post…

    Sennò dovrebbe bastare anche un semplice "rm" dovrebbe andare bene uguale, tanto gconf rigenera i files…

  • Marco

    Hai il mio supporto Trevino’semoticon…. tu hai solo reso disponibile una lista di repository (essenzialmente raccolti su diversi siti) e ciò credo sia legittimo.
    non capisco peròl perchè  Jοhan Kiviniemi. si sia seccato di questa "notorierà".
    Che senso ha tenere un repo se poi non si desiderano troppi accessi emoticon emoticon

    Mah..Marco 

  • Creed

    volendo si può semplicemente disinstallare il pacchetto con synaptic 😉

  • Hola.  Soy Javier Treviño, de Monterrey, México.  Me llamó la atención la "Treviño Story". Te invito a entrar a mi blog.  http://javiertrevino.blogspot.com/

    ¿Eres de Italia o de otro país?

     Saludos

  • Ciao… Sono Italiano, spero tu capisca quello che dica… 🙂
    Cmq, avevo trovato anche io il tuo blog, ma qui "Treviño" è solo un nickname 😉 

    Hi…! Yes, I’m Italian, I hope you’ll understand what I write, I’ve just seen your blog some days ago… From your description it seems you’re really a VIP in your country… Glad to read you here! 🙂
    Anyway for me "Treviño" is only a nickname!

    BYE! 

    PS: Mexico is wonderful… I come there (Yucatán, Cancun) some years ago and I felt in love with it… Completely!
    PS2: I see you use Internet Explorer and Windows… This is not good! 😛

  • Andrea

    Ciao, spero qualcuno voglia darmi una mano. Ho provato ad installare i pacchetti SUN-JAVA5-BIN e SUN-JAVA5-JRE ma l’installazione si blocca senza chiedermi se accetto la licenza. Ho letto che mancavano i pacchetti LIBGNOME2-PERL e altri che lui automaticamente ha scelto e dopo tale installazione ancora punto e a capo. Adesso non posso eliminare i pacchetti JAVA perchè si trovano in uno stato di incosistenza grave e mi chiede di reistallarli ma mi fermo sempre allo stesso punto.

    AIUTATEMI………non voglio formattare ancora tutto. 

  • Hai provato

    sudo dpkg-reconfigure sun-java5-bin
    sudo dpkg-reconfigure sun-java5-jre

     Altrimenti forza la rimozione (completa) con synaptic quindi reinstallalo

  • Andrea

    Posso anche reinstallarlo ma se non trovo cosa manca si bloccherà sempre prima di chiedermi l’accettazione della licenza.

  • Andrea

    Ri8eccomi…… come x il sun-java5-bin anche con il flashplayer-nonfree ed il suo plugin manca qualcosa che impedisce all’installazione di continuare e non mi chiede l’accettazione della licenza e rimane sospeso nel nulla.

  • Guarda come hai configurato debconf…

    sudo dpkg-reconfigure debconf 

  • stefmac

    Visto il problema qui esposto, hai pensato che è un pò pesante sostituire tutta la sources.list? Io per i repository aggiuntivi uso la /etc/apt/sources.list.d dove metto files di poche righe (che finiscono in .list).
    Si può, per es, fare un pacchetto col singolo file trevino.list con dentro le sole righe
    che definiscono il tuo repository.
    Ciò renderebbe possibile a chi lo vuole di aggiungere SOLO i repository che desidera.
    (SO che per il realizzatore è una palla, ma probabilmente è automatizzabile, e l’installazione potrebbe anche registrare la chiave).
    COMUNQUE: ASSOLUTI COMPLIMENTI PER IL LAVORO EGREGIO CHE HAI FATTO!

  • maiALE

    ottimi repository !!! Non posso farne a menoemoticon

    Se poi qualcuno  fa il pirla che si può fare??

    Ma a tutto si può mettere rimedio emoticon

    Per l’installazione java… se installi da synaptic o adept clicca su informazioni aggiuntive o extras o come si chiama emoticon  ti darà la schermata dove con il tasto TAB dovrai andare su ok e poi dare invio… vedrai che così si installa… se lo fai da console con apt viene in automatico… spero di esserti stato utile

  • novello_ubuntu

    Ciao Trevino,

     come capirai dal mio nick, ho incominciato da poco con Ubuntu 6.10 (avendo alcuni problemi che non sono riuscito ancora a risolvere), sono un pò intimorito dal fatto che si dice che i proprietari dei rispettivi repository possono avere il controllo del mio pc, no che io abbia chissà che nel pc ma mi darebbe fastidio il sol pensiero che qualcuno diciamo faccia "qualcosa alle mie spalle". Siccome novello, potresti (in via generale) avvertirmi di cosa possono fare del mio pc i proprietari dei repository che ho aggiunto alla mia lista??

     Grazie e ciao

  • Beh, fondamentalmente tutto 😀

    Diciamo che possono installare ma anche rimuovere dal tuo pc qualsiasi cosa…

    Tuttavia penso che tu possa fidarti, visto che chi detiene un repository di solito vuole solo aiutare la comunità, non distruggerla 😉

    ciao!     

  • novello_ubuntu

    Tutto???emoticon

    Come tutto?? Ma come mai si ha questo "potere"??

    Dal quel che leggo in questo blog, e dai commenti che lasciano gli altri utenti, non avrei problemi a fidarmi di te, ma con gli altri?? che faccio??emoticon

    Come posso accorgermi di eventuali intrusioni? Penso che mettere un firewell o non antivirus non combinerei niente o no??

     Ciao.

  • Il fatto  è che un pacchetto può contenere tutti i dati che vuole, ma sopratutto degli script di post installazione che possono fare operazioni di ogni genere… Non sono certo, ma penso non ci siano limitazioni sui comandi eseguibili… Quindi è ovvio che se una persona ti fa aggiornare un pacchetto cambiando i contenuti al suo interno puoi rischiare.

    Virus non ce ne sono, quindi non c’è verso che tu venga infettato… Firewall possono servire ma non per questo. 

    In genere i repository che posto sono fidati… Non posso però garantire, ovviamente, per gli altri. 

  • Look for my homepage please. | | | | | | | | | | | | | | | | | | | | | | | | |