Linux Mint ana sayfasının hacklenmesi olayı ve düşündürdükleri…

linuxmintLinux Mint dünyasında üzücü bir olay yaşandı. Dağıtımın ana sayfası 20 Şubat 2016 tarihinde hacklendi ve ziyaretçiler arka kapı yerleştirilmiş ISO dosyalarına yönlendirildiler. 1 2 Bu kötü niyetli saldırı Linux’un itibarını sarsmayı hedeflemiş olabilir.

GNU/Linux ISO dosyalarını torrent üzerinden indirmek ve hash kontrolü yapmadan kullanmamak her zaman tavsiye edilmiştir. 3 Bu tavsiyelere uyan kullanıcılar bu saldırıdan etkilenmediler.

Bu olay, önemli bir konuyu bize tekrar hatırlatıyor: İnternette eriştiğiniz bir web sayfası veya indirdiğiniz bir dosya veya uygulama, veya aldığınız bir e-posta mesajı, kötü niyetli üçüncü kişiler tarafından değiştirilerek size sunuluyor olabilir.

Bu riske karşı alınabilecek önlemlerden bazıları:

  • Bunu destekleyen web sayfalarına daima “https://” uzantısını kullanarak bağlanmak (bunun için tarayıcınıza HTTPS Everywhere isimli eklentiyi kurabilirsiniz),
  • İnternetten indirilen dosyalarda “hash” kontrolü yapmak ve hash kontrolü yaparken kullanılan “hash checksum” dosyalarının de varsa elektronik imzalarını kontrol etmek,
  • E-posta iletilerinde elektronik imza kullanmak.

GTKHash

Linux Mint 17.2 üzerinde dosyaların özgünlüğünü tespit edebilmek için GTKHash yazılımını kurdum (Windows üzerinde “HashCheck Shell Extension” adlı yazılımı kullandığımdan daha önce bahsetmiştim).

GTKHash kurulumu için Synaptic’te aşağıdaki paketleri yükledim:

  • gtkhash
  • gtkhash-common
  • nemo-gtkhash

Kurulum tamamlandıktan sonra kontrol edilecek dosyaya sağ tıklayarak “Özellikler” (Properties) seçeneğinden, “Digests” bölümünde hash çıktıları bana sunulmaya başladı.

gtkhashBu pencerede “Check” kutusuna dosyanın olması gereken hash çıktısını yapıştırdığımızda sağda “tik” işareti görüyorsak sonuç başarılı anlamına geliyor.

Bir dosyanın olması gereken hash çıktısını, o dosyayı indirdiğimiz kaynaktan edinmeliyiz. Örneğin LibreOffice indirme sayfasında bu bilgiler şu şekilde yer alıyor:

Screenshot from 2015-11-14 15:18:30

Metinlerin hash çıktılarını da hesaplayabiliyor…

Bu programın bir marifeti de, dosyaların yanı sıra, metinlerin de hash çıktılarını hesaplayabilmesi…

Örneğin adım “Ertuğrul Harman”, SHA1 algoristmasıyla 57cd2ace8436cb2b146890a6c9a5fef9de94b576 sonucunu veriyor.

Screenshot from 2015-11-14 15:30:39

Linux Mint 17.2’de BADSIG hatası

Linux Mint 17.2 64 bit kurduktan sonra,

sudo apt-get update

komutu aşağıdaki hata ile sonlanıyordu:

W: An error occurred during the signature verification. The repository is not updated and the previous index files will be used. GPG error: http://archive.ubuntu.com trusty Release: The following signatures were invalid: BADSIG 16126D3A3E5C1192 Ubuntu Extras Archive Automatic Signing Key <ftpmaster@ubuntu.com>

W: Failed to fetch http://archive.ubuntu.com/ubuntu/dists/trusty/Release

W: Some index files failed to download. They have been ignored, or old ones used instead.

Forumlarda bu sorunla ilgili önerilen hemen hemen bütün çözümleri denedim ama hiçbiri işe yaramadı.

Birkaç gün sonra bu hata kendiliğinden kayboldu. Sizde de öyle olabilir, önemsemeden bir süre kullanmaya devam edin. Kullanımınızı etkileyen bir sorun da değil zaten.