Sind Benutzer von Ubuntu-zertifizierten Computern vor OEM-SSL / TLS-Manipulationen geschützt?

Bitte lassen Sie mich diese Frage hier stellen, in der Hoffnung, dass wir auch eine offizielle Antwort erhalten, obwohl dies eine hauptsächlich von der Community betriebene Website ist.

Da Dell nach Lenovo (Superfish) erst in diesem Jahr der zweite Hersteller ist, der die Web-Sicherheit in OEM-Windows-Installationen gefährdet, und beide auch Computer der Marke Ubuntu Edition mit OEM-Installationen anbieten, verdienen Benutzer, die der Marke Ubuntu vertrauen, eine Antwort, die weitaus besser ist als:

Canonical kann diese OEM-Bilder nicht der Öffentlichkeit zur Verfügung stellen.

_{Quelle: Launchpad , siehe auch .}

Dies steht im Widerspruch zu den Vorteilen von Betriebssystemen für freie Software: Den überprüfbaren und reproduzierbaren Zustand eines Systems kennen und wissen, wer die Teile davon zusammensetzt.

Antworten, die ich gerne sehen würde:

• Gibt es Hinweise darauf, dass die Bilder, die Canonical OEMs zur Verfügung stellt, keine Änderungen am Ubuntu-Stammzertifikatsspeicher enthalten? (Erstellen Sie ein System, verwendete Skripte oder eine verwendete Paketliste, Hashes usw.)
• Gibt es bereits etablierte Prozesse, die sicherstellen, dass OEMs, die Ubuntu-zertifizierte Computer anbieten, den Inhalt des Stammzertifikatspeichers niemals manipulieren? (Auch nicht, um angepasste Browser vorab zu installieren oder Pakete aus ihren Repositorys als Bypass anzubieten oder um knifflige Firmware-Funktionen zu implementieren, die den Zertifikatspeicher manipulieren.)

Ergänzende Antworten willkommen:

• Eine Antwort zum Vergleichen des lokalen Stammzertifikatspeichers mit entsprechenden Paketen aus den Repositorys. (Wahrscheinlich besser als separates Q & A, wenn es noch nicht existiert.)
  • Optional Antworten von Benutzern mit Ubuntu-zertifizierten Computern - siehe den obigen Link -, die ihre Systeme auf diese Weise überprüft haben. (Bitte warten Sie ein paar Tage, bis wir die richtigen Kriterien gefunden haben oder ob dies überhaupt eine gute Idee ist. Wir organisieren sie wahrscheinlich als Antwort im Wiki-Stil, die jeder bearbeiten kann, sobald die Kriterien festgelegt sind - bitte keine Antwort im großen Stil. Kriterien Das fällt mir derzeit ein: Hersteller, Modell, ausgeliefertes Release, aktuell laufendes Release.)

In beiden Fällen bestand das Problem darin, dass die Infrastruktur der offiziellen Zertifizierungsstelle unter Berücksichtigung sehr schlechter Sicherheitsstandards umgangen wurde, was schnell zum Missbrauch dieser Zertifikate durch andere Parteien führte.

Verwandte Beiträge zu Information Security SE:

• Welche Sicherheitsrisiken stellen Softwareanbieter dar, die SSL Intercepting-Proxys auf Benutzerdesktops (z. B. Superfish) bereitstellen?
• Warum war der private Schlüssel des Superfish-Zertifikats so einfach zu extrahieren?
• Wie erkenne ich, ob ich für "Superfish" anfällig bin, und wie entferne ich es?

Die Open-Source-Natur von Ubuntu macht es nicht immun gegen die gleichen Probleme, bei denen ein OEM möglicherweise (versehentlich oder absichtlich) Malware auf den auf Computern vorinstallierten Images hinzugefügt hat, unabhängig davon, ob es sich um zusätzliche CA-Zertifikate oder auf andere Weise handelt.

Wenn Sie Ubuntu selbst installieren, gibt es eine Reihe von Maßnahmen gegen böswillige Änderungen durch Dritte: Wenn Sie ein Image von Ubuntu von einer offiziellen Ubuntu-Quelle erhalten, können Sie dessen Prüfsumme überprüfen, und wenn Sie Ubuntu mithilfe von APT mit den offiziellen Repositorys auf dem neuesten Stand halten, profitieren Sie Dank der integrierten digitalen Signatur können Sie sicherstellen, dass die Bilder nicht von Dritten manipuliert wurden.

Wie Sie vielleicht vermuten, haben Ubuntu, wenn es von einem OEM vorinstalliert wurde, aus legitimen Gründen mit ziemlicher Sicherheit Änderungen daran vorgenommen, abgesehen von der Installation der offiziellen Images. Wenn es von einer vertrauenswürdigen Quelle gekauft wird, ist es sehr unwahrscheinlich, dass die Installation Malware enthält, möglicherweise sogar noch unwahrscheinlicher als die typische Windows-Installation. Es gibt jedoch nichts, was dies unmöglich macht , und Sie müssen sich nur die Beispiele von Lenovo und Lenovo ansehen Dell, um zu sehen, wie das passieren könnte.

Ob Sie sich Sorgen machen müssen, können Sie selbst beurteilen. Das Löschen und Neuinstallieren von einem offiziellen Ubuntu-Installationsprogramm kann einige Befürchtungen zerstreuen, obwohl Sie jegliche OEM-spezifische Anpassung oder zusätzliche Funktionalität verlieren.

Ich kann Ihre Frage nicht beantworten, ob Ubuntu / Canonical versuchen, Änderungen an Root-Zertifikatspeichern in von OEMs abgeleiteten Installationen zu überwachen, aber ich kann nicht sehen, wie dies umfassend genug wäre.

Es gibt eine einfache Möglichkeit, https://dellrootcheck.detectify.com auf Ihrem vorinstallierten Ubuntu-System zu überprüfen .