The Treviño Story – Una lista repository sotto “attacco”
Qui a fianco vedrete il famigerato «sfondo col teschio» che ormai alcuni utenti di Ubuntu e Kubuntu Edgy (con una sources.list “arricchita” 
) conosceranno…
Ma cos’è successo esattamente?
Qualche giorno fa ho pubblicato, con un po’ di ritardo – per riuscire a fare le cose nel miglior modo, la ormai arcinota Lista Repository (sources.list) per Ubuntu / Kubuntu Edgy Eft, nella speranza di fornire un servizio utile e comodo per gli utenti Ubuntu che volevano arricchire il proprio "parco software" con programmi più aggiornati od altrimenti non disponibili; tra questi repository ne ho aggiunti alcuni, oltre a quelli "convertitesi" ad edgy, che erano sorti da poco tempo (ovviamente, dopo averli controllati ed aver visto che erano ok).
Tutavia tra questi si annidava un repository che poi non si è dimostrato esattamente corretto abusando del proprio "potere" fornitogli dalla mia lista… Lo Ion’s Ubuntu packages, mantenuto da Jοhan Kiviniemi.
Di fatto, Ion ha deciso di sfruttare questa sua nuova “notorietà” pubblicando nel proprio repository dei pacchetti collegati ai desktop ubuntu e kubuntu “arricchiti” per modificare delle impostazioni di sistema (in questo caso, il desktop) per avvertire, a suo modo, la comunità…
Lo sfondo infatti riporta:
«Using untrusted repositories may cause permanent damage to your system»
«Usare repository non fidati può causare danni irreparabili al tuo sistema»
Ed è vero, ma come ho sottolineato nei thread a riguardo, se si vogliono usare fonti alternative bisogna sempre controllare le modifiche che il nostro sistema eseguirà durante gli aggiornamenti (ed infatti io non ci sono cascato…).
Se da una parte è comodo avere fonti alternative per poter mantenere la propria distro più aggiornata, dall’altra è necessario fare attenzione a cosa si fa sapendo che chi detiene un repository può avere il controllo totale sul nostro sistema… E questo l’ho sempre considerato ovvio… Il fatto di riconoscere o meno le chiavi GPG con cui viene firmato un repository non è un azione che deve essere fatta con sufficienza, ma bisogna prima essere sicuri di quello che si fa…!
Ad ogni modo, John ci ha fornito una sua spiegazione del suo gesto scrivendola in una pagina chiamata “The Treviño Story” (da cui deriva poi il titolo di questo post…) :angry:; praticamente Ion afferma di aver notato un aumento di contatti (dai ~5 ai ~700) da quando ho pubblicato la lista, ed essendo seccato della cosa mantenendo il repository sul proprio server, ha deciso di creare questi pacchetti “fake” per avvertire l’utenza del rischio che potevano correre…
Se di per sé l’intento può essere considerato abbastanza “nobile”, di fatto il metodo usato è stato davvero pessimo… Al di là del fatto che ha modificato pacchetti base dandogli numeri di versioni enormi (999… Così che fosse difficile rimpiazzarli automaticamente), poteva anche semplicemente mostrare un avviso di debconf avvertendo del rischio… Di certo danneggiava meno persone e riusciva meglio nel suo intento!
Conosciuto il danno, per risolvere questo “hack grafico” semplicemente tornate alla versione originale dei pacchetti modificati…
# Per Kubuntu
sudo apt-get install kubuntu-artwork-usplash/edgy kubuntu-default-settings/edgy
# Per Ubuntu
sudo apt-get install usplash-theme-ubuntu/edgy edgy-wallpapers/edgy
sudo nano "/etc/gconf/gconf.xml.mandatory/%gconf-tree.xml"
# quindi cancellate il suo contenuto
sudo gconftool-2 –shutdown # doppia linetta "-"
Altre informazioni le potete trovare qui.
Morale della favola, usate la lista (che è ripulita così come il pacchetto collegato) a vostro rischio e pericolo, stando attenti a quello che fate ad ogni passaggio…
Tutto dipende da chi gestisce i singoli repository, per ora non era mai successa una cosa simile visto che i mantainer si erano sempre comportati correttamente, ma a quanto pare non tutti sono così… Da parte mia, tutti i miei repository sono e saranno sempre puliti!
For English Readers, please read this post.
Il discorso non fa una piega: quando fai qualunque cosa cerca di esserne consapevole, però … non dimentichiamo che molti, come il sottoscritto, usano il pc così come si usa un frullatore senza troppi pensieri. In fondo quello che devo farci è usare internet, caricare musica sul mio lettore mp3, scrivere documenti etc. Fino ad ora l’aggiornamento del sistema era una icona in basso a dx che ti avvertiva che parte del mio software stava per essere aggiornato, tu aggiornavi e, senza neanche riavviare il sistema, continuavi a fare quello che stavi facendo.
Già il cambio versione è stato un po’ più impegnativo (il fatto che adept non è in grado di farlo da solo mi ha seccato un po’) ma ci può stare. Non sono però d’accordo sul fatto che aggiornando il sistema come ho sempre fatto negli ultimi mesi mi debba ritrovare delle sorprese simili solo perchè qualcuno vuole fare il Giovanni Battista dell’informatica (alias il sig. Johan Kiviniemi), considerando, ripeto, che io sono l’utente cretino che uso il pc come un frullatore e voglio continuare ad esserlo
Commento di fabio — 14 novembre 2006 @ 09:27
quello che ti risponderei, non per creare un inutile flame, e infatti di usare i repository ufficiali!
…beh l’ho sempre pensato che prima o poi una cosa del genere sarebbe successa. fidarsi e bene non fidarsi è meglio
Commento di bingo — 15 novembre 2006 @ 10:42
Ho Ubuntu, ho lanciato i comandi che dici ma mi risponde:
sudo apt-get install usplash-theme-ubuntu/edg edgy-wallpapers/edgy
Password:
Reading package lists… Done
Building dependency tree
Reading state information… Done
E: Release ‘edg’ for ‘usplash-theme-ubuntu’ was not found
Mentre nel secondo mirisponde:
sudo echo "" > "/etc/gconf/gconf.xml.mandatory/%gconf-tree.xml"
bash: /etc/gconf/gconf.xml.mandatory/%gconf-tree.xml: Permission denied
Cosa devo fare?
Grazie, sei veramente utile alla comunita. open source.
Commento di mentor — 15 novembre 2006 @ 14:35
Scusa, ho scritto "edg" invece che edgy… Il comando è
Riguardo il secondo comando, ho modificato il post…
Sennò dovrebbe bastare anche un semplice "rm" dovrebbe andare bene uguale, tanto gconf rigenera i files…
Commento di Treviño — 15 novembre 2006 @ 16:55
Hai il mio supporto Trevino’s
…. tu hai solo reso disponibile una lista di repository (essenzialmente raccolti su diversi siti) e ciò credo sia legittimo.
non capisco peròl perchè Jοhan Kiviniemi. si sia seccato di questa "notorierà".
Che senso ha tenere un repo se poi non si desiderano troppi accessi
Mah..Marco
Commento di Marco — 27 novembre 2006 @ 17:55
volendo si può semplicemente disinstallare il pacchetto con synaptic
Commento di Creed — 28 novembre 2006 @ 22:35
Hola. Soy Javier Treviño, de Monterrey, México. Me llamó la atención la "Treviño Story". Te invito a entrar a mi blog. http://javiertrevino.blogspot.com/
¿Eres de Italia o de otro país?
Saludos
Commento di Javier Treviño — 16 dicembre 2006 @ 17:08
Ciao… Sono Italiano, spero tu capisca quello che dica…
Cmq, avevo trovato anche io il tuo blog, ma qui "Treviño" è solo un nickname
Hi…! Yes, I’m Italian, I hope you’ll understand what I write, I’ve just seen your blog some days ago… From your description it seems you’re really a VIP in your country… Glad to read you here!
Anyway for me "Treviño" is only a nickname!
BYE!
PS: Mexico is wonderful… I come there (Yucatán, Cancun) some years ago and I felt in love with it… Completely!
PS2: I see you use Internet Explorer and Windows… This is not good!
Commento di Treviño — 16 dicembre 2006 @ 23:01
Ciao, spero qualcuno voglia darmi una mano. Ho provato ad installare i pacchetti SUN-JAVA5-BIN e SUN-JAVA5-JRE ma l’installazione si blocca senza chiedermi se accetto la licenza. Ho letto che mancavano i pacchetti LIBGNOME2-PERL e altri che lui automaticamente ha scelto e dopo tale installazione ancora punto e a capo. Adesso non posso eliminare i pacchetti JAVA perchè si trovano in uno stato di incosistenza grave e mi chiede di reistallarli ma mi fermo sempre allo stesso punto.
AIUTATEMI………non voglio formattare ancora tutto.
Commento di Andrea — 20 dicembre 2006 @ 12:28
Hai provato
Altrimenti forza la rimozione (completa) con synaptic quindi reinstallalo
Commento di Treviño — 20 dicembre 2006 @ 18:10
Posso anche reinstallarlo ma se non trovo cosa manca si bloccherà sempre prima di chiedermi l’accettazione della licenza.
Commento di Andrea — 20 dicembre 2006 @ 21:59
Ri8eccomi…… come x il sun-java5-bin anche con il flashplayer-nonfree ed il suo plugin manca qualcosa che impedisce all’installazione di continuare e non mi chiede l’accettazione della licenza e rimane sospeso nel nulla.
Commento di Andrea — 22 dicembre 2006 @ 12:37
Guarda come hai configurato debconf…
Commento di Treviño — 24 dicembre 2006 @ 19:18
Visto il problema qui esposto, hai pensato che è un pò pesante sostituire tutta la sources.list? Io per i repository aggiuntivi uso la /etc/apt/sources.list.d dove metto files di poche righe (che finiscono in .list).
Si può, per es, fare un pacchetto col singolo file trevino.list con dentro le sole righe
che definiscono il tuo repository.
Ciò renderebbe possibile a chi lo vuole di aggiungere SOLO i repository che desidera.
(SO che per il realizzatore è una palla, ma probabilmente è automatizzabile, e l’installazione potrebbe anche registrare la chiave).
COMUNQUE: ASSOLUTI COMPLIMENTI PER IL LAVORO EGREGIO CHE HAI FATTO!
Commento di stefmac — 29 dicembre 2006 @ 19:05
ottimi repository !!! Non posso farne a meno
Se poi qualcuno fa il pirla che si può fare??
Ma a tutto si può mettere rimedio
Per l’installazione java… se installi da synaptic o adept clicca su informazioni aggiuntive o extras o come si chiama
ti darà la schermata dove con il tasto TAB dovrai andare su ok e poi dare invio… vedrai che così si installa… se lo fai da console con apt viene in automatico… spero di esserti stato utile
Commento di maiALE — 11 gennaio 2007 @ 12:26
Ciao Trevino,
come capirai dal mio nick, ho incominciato da poco con Ubuntu 6.10 (avendo alcuni problemi che non sono riuscito ancora a risolvere), sono un pò intimorito dal fatto che si dice che i proprietari dei rispettivi repository possono avere il controllo del mio pc, no che io abbia chissà che nel pc ma mi darebbe fastidio il sol pensiero che qualcuno diciamo faccia "qualcosa alle mie spalle". Siccome novello, potresti (in via generale) avvertirmi di cosa possono fare del mio pc i proprietari dei repository che ho aggiunto alla mia lista??
Grazie e ciao
Commento di novello_ubuntu — 31 gennaio 2007 @ 19:56
Beh, fondamentalmente tutto
Diciamo che possono installare ma anche rimuovere dal tuo pc qualsiasi cosa…
Tuttavia penso che tu possa fidarti, visto che chi detiene un repository di solito vuole solo aiutare la comunità, non distruggerla
ciao!
Commento di Treviño — 1 febbraio 2007 @ 05:07
Tutto???
Come tutto?? Ma come mai si ha questo "potere"??
Dal quel che leggo in questo blog, e dai commenti che lasciano gli altri utenti, non avrei problemi a fidarmi di te, ma con gli altri?? che faccio??
Come posso accorgermi di eventuali intrusioni? Penso che mettere un firewell o non antivirus non combinerei niente o no??
Ciao.
Commento di novello_ubuntu — 1 febbraio 2007 @ 20:18
Il fatto è che un pacchetto può contenere tutti i dati che vuole, ma sopratutto degli script di post installazione che possono fare operazioni di ogni genere… Non sono certo, ma penso non ci siano limitazioni sui comandi eseguibili… Quindi è ovvio che se una persona ti fa aggiornare un pacchetto cambiando i contenuti al suo interno puoi rischiare.
Virus non ce ne sono, quindi non c’è verso che tu venga infettato… Firewall possono servire ma non per questo.
In genere i repository che posto sono fidati… Non posso però garantire, ovviamente, per gli altri.
Commento di Treviño — 2 febbraio 2007 @ 04:12
Look for my homepage please. | | | | | | | | | | | | | | | | | | | | | | | | |
Commento di Ford Focus Performance — 13 giugno 2007 @ 05:48