LINUX.ORG.RU
ФорумSecurity

подмена обновлений ос и приложений

 , , ,


0

2

Какие механизмы защиты использует к примеру Ubuntu или семейство Linux OS при обновлении? Как самой ОС так и приложений из репозитория и сервера? От атак «человек по середине».

Я знаю, что там используется система с ключами, но хотелось бы подробной информации.

Ведь подменить сервер обновлений не так уж и сложно, тот же dns и вуаля. И это не единственный способ.

Вопрос второй. Если провайдер использует собственные dns сервера (они назначены в роутере через DHCP), то по сути он имет возможность проводить махинации? Как этого избежать?



Последнее исправление: Viktor_Uzlov (всего исправлений: 1)
Может ли пров просмотреть содержимое VPS?
UFW иногда блокирует пакеты, хотя порт открыт
Показаны ответы на комментарий. Показать все комментарии.

Вопрос второй. Если провайдер использует собственные dns сервера (они назначены в роутере через DHCP), то по сути он имет возможность проводить махинации?

Имея свой DNS, пров может выдать тебе другой ip-шник. Правда, если там https - то браузер ругнется на левый сертификат.

Как этого избежать?

Назначит DNS ручками. Не ходить на http-сайты.

Но, AFAIK, пров может и подменять DNS-ответы, тогда остается DNSSEC. Гуглоdns его умеет, по слухам. Но, если пров таки подменяет ответы, то при использовании dnssec у тебя просто перестанет работать dns.

CaveRat ★★
()
Ответ на: комментарий от CaveRat

Гуглоdns его умеет, по слухам.

dig @8.8.8.8 gentoo.org +dnssec
Судя по выхлопу умеет без слухов.

imul ★★★★★
()
Ответ на: комментарий от CaveRat

Спасибо за ответы.

А откуда браузер знает, какие вообще должны быть сертификаты? С чем он сравнивает, перед тем как обругать левый? Если пользователь внимательный, насколько сложно обойти такую защиту?

anonymous
()
Ответ на: комментарий от anonymous

Браузер смотрит, во-первых, кем был выдан сертификат. Если корневой УЦ сертификата не добавлен в доверенные - будет ругаться. Ещё он сравнивает subject name сертификата с доменным именем сервера, к которому ты обращаешься.

CaveRat ★★
()
Ответ на: комментарий от CaveRat

откуда он знает, какие УЦ доверенные? Браузер уже идет со списком доверенных УЦ? Что мешает подделать subject name? Что мешает сертификат от Васи (левый) пометить как выданный Борей (доверенный).

Viktor_Uzlov
() автор топика
Ответ на: комментарий от Viktor_Uzlov

откуда он знает, какие УЦ доверенные? Браузер уже идет со списком доверенных УЦ?

ЕМНИП, не браузер, а ось.

Что мешает подделать subject name? Что мешает сертификат от Васи (левый) пометить как выданный Борей (доверенный).

Ты не сам выдаешь себе сертификат, а запрашиваешь у доверенного УЦ (можно и самому быть УЦ, но это сложно). УЦ проверяет, что ты запросил сертификат для своей сайта.

А подделать сертификат мешает отсутствие закрытого ключа УЦ, которым подписывается сертификат.

CaveRat ★★
()
Ответ на: комментарий от CaveRat

Возможно цру себе уже понаделала фальшивых сертификатов. Трояны же свои подписывала фальшиввми, но валидными сертификатами, пока не поймали за руку.

imul ★★★★★
()
Ответ на: комментарий от imul

Возможно цру себе уже понаделала фальшивых сертификатов.

Может, да. А может, нет.

Трояны же свои подписывала фальшиввми, но валидными сертификатами, пока не поймали за руку.

Трояны, AFAIR, и просто хацкерами подписывались.

И что?

PS Продолжая тему. Один из глобальных УЦ - Thawte, принадлежит Symantec. А сама Symantec, по слухам, тесно связана с АНБ и ЦРУ. Примерно, как Лаборатория Касперского с ФСБ :)

PPS А McAfee - с DOD :)

CaveRat ★★
()
Ответ на: комментарий от imul

Дополнить, и намекнуть, что анализ рисков должен быть рационален. Поднимать свой сервер обновлений и проводить анализ исходников собственными силами - это круто, но дорого.

CaveRat ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Может ли пров просмотреть содержимое VPS?
Security
UFW иногда блокирует пакеты, хотя порт открыт