Предположим, что хакер запускает новый дистрибутив Linux с предоставленным ему Firefox. Теперь браузер содержит сертификаты корневых центров сертификации PKI. Поскольку Firefox - это бесплатный браузер, любой может упаковать его в поддельные корневые сертификаты. Таким образом, поддельный корневой сертификат будет содержать центр сертификации, который на самом деле не сертифицирован. Может ли это использоваться для проверки подлинности некоторых веб-сайтов. Как?

Многие существующие дистрибутивы Linux отражаются людьми. Они могут легко упаковать программное обеспечение, содержащее сертификаты, которые могут привести к таким атакам. Возможно ли вышеуказанное? Была ли такая атака раньше?

4 ответа4

4

Большинство приложений с открытым исходным кодом будут опубликованы вместе с каким-то хеш-ключом. Существует множество инструментов, которые позволят вам убедиться, что загруженное вами содержимое имеет тот же хэш, что и опубликованный на веб-сайте проекта. Таким образом, даже если вы загружаете файлы с зеркала, вы можете проверить хеш, чтобы убедиться, что загрузка имеет точно такой же контент. Это означает, что для того, чтобы сделать то, что вы предлагаете, злоумышленнику придется также подорвать сайт проектов и опубликовать поддельный ключ хеша, но даже тогда кто-то довольно быстро заметит, что опубликованный хеш не соответствует всем действительным загрузкам программного обеспечения.

Я предполагаю, что нет никаких причин, по которым злоумышленник не мог создать свой собственный дистрибутив Linux, но помните, что все это с открытым исходным кодом, чтобы люди могли убедиться, что он не делал ничего вредоносного. Когда новый дистрибутив маленький, никто не сможет его проверить, но если он когда-нибудь достигнет масштабного внедрения, такого как Ubuntu, Suse, Fedora и т.д., Тогда кто-то найдет время, чтобы проверить это.

1

Всегда есть цепь доверия. Для большинства людей это начинается (для них) в обычном магазине, где они покупают свой предварительно собранный компьютер или упакованное программное обеспечение. Вы доверяете известным брендам и тому факту, что магазин был там некоторое время и не подвергался обыску со стороны полиции.

Linux и программное обеспечение с открытым исходным кодом, которое вы загружаете из сети, также имеют цепочку доверия. Вы доверяете продавцу дистрибутивов (потому что это делают другие люди, или вы читали об этом в журнале). Вы предполагаете, что Google отправляет вам правильный URL. Вы предполагаете, что люди там должным образом подписывают программное обеспечение (то есть они шифруют хэш или уникальную определяющую подпись своего программного обеспечения), которое вы можете протестировать. Но если какое-либо из этих звеньев в цепи нарушено, доверие может быть скомпрометировано.

0

Чтобы ответить на ваш первоначальный вопрос, да, злоумышленник может сгенерировать свой собственный центр сертификации и добавить его в качестве доверенного пользователя в браузер. Это - функция, хотя, список доверенных CA - только широко принятый список. Нет причин, по которым вы не сможете добавить свой собственный CA. Это возвращает нас к тому моменту, когда вы просто должны быть в состоянии доверять источникам, где вы получаете свое программное обеспечение. Если пользователь загружает поврежденную установку Linux с вредоносным кодом, наиболее вероятной атакой будет какой-либо руткит.

Если вы беспокоитесь, вы всегда можете проверить список разрешенных CA от Firefox и сравнить его с вашей текущей установкой.

0

Как сказал Саймон Стивенс, они обычно идут с хешем, хотя я заметил, что многие на самом деле идут с хешем MD5, который имеет слабые места. Так что было бы вполне возможно, даже изменив ключ hask, в зависимости от того, с чем был создан хеш. Лучше всего проверить, есть ли у них хэш SHA-2, они намного более безопасны, чем MD5, и если используется что-то вроде MD4, просто не доверяйте ему вообще.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .