È sicuro scaricare il firmware del router su HTTP non criptato?

Naviga le tue risposte
25

Sono andato a scaricare il firmware più recente per il mio router e ho notato che il link per il download non è HTTPS, quindi ho inviato la seguente email al produttore:

I went to look for new firmware for my Archer C7 router, but I saw that the download link is over unencrypted HTTP, not secure HTTPS. I would never download software or firmware over an unsecure connection. Please upgrade your site to HTTPS.

Questa è stata la risposta:

The device will verify the integrity and correctness of the bin file, if it is tampered, it won't be able to upgrade successfully. Don't worry, you can download it.

Ignorando il fatto che non hanno scuse per non usare HTTPS, la mia domanda è: è possibile che il router confermi che un nuovo file del firmware non è stato manomesso? Come funzionerebbe?

    
posta Ian Phillips 12.01.2017 - 17:56
fonte

4 risposte

56

Certo: potrebbe essere un'immagine firmata. Se il router ha una chiave pubblica incorporata e l'immagine è stata firmata dalla chiave privata corrispondente, sarebbe perfettamente sicura.

A meno che qualcuno non avesse ricevuto la chiave privata e caricato una versione dannosa sul server, in questo caso, HTTPS non sarebbe stato d'aiuto.

    
risposta data 12.01.2017 - 18:06
fonte
23

Probabilmente è sicuro.

Tuttavia, se possibile, è preferibile il download su https.

Senza https:

  • Se c'è un difetto nel meccanismo della firma, può essere sfruttato (esempio: link )

  • Un utente malintenzionato può sapere quale firmware / versione si installa (quindi se ci sono difetti noti in quel firmware / versione, potrebbe essere sfruttato)

  • Se il file scaricato non è solo il file bin del firmware ma un eseguibile, una versione modificata non può installare un firmware non autorizzato, ma potrebbe comunque danneggiare il computer

  • Se il file scaricato non è solo il file bin del firmware ma contiene ulteriori infiammazioni per il programma di aggiornamento (come lo script pre-aggiornamento da eseguire) potrebbe danneggiare il computer

  • Se il programma di aggiornamento presenta dei difetti (come l'overflow del buffer per il file del firmware del cestino non valido), anche se il firmware non può essere installato, potrebbe danneggiare il computer.

  • Se vengono rubate le chiavi di crittografia del firmware, https aggiunge una protezione significativa.

  • Un utente malintenzionato può sostituire il download con un vecchio firmware ufficiale con difetti noti: passerà la specifica della firma ma sarà vulnerabile.

risposta data 13.01.2017 - 12:57
fonte
6

Probabilmente c'è una firma digitale sul firmware e una chiave sul router. Se il file di aggiornamento viene manomesso in qualche modo, la verifica della firma fallirà e il router rifiuterà l'aggiornamento.

Funziona, ma usare SSL sarebbe meglio.

    
risposta data 12.01.2017 - 18:05
fonte
-3

se il sito ha checksum md5. lo userei per verificare ciò che ho scaricato non è stato alterato. almeno ho una base che il file che userò è sicuro.

    
risposta data 13.01.2017 - 17:08
fonte

Leggi altre domande sui tag

Quante password sono utili per la sicurezza? [chiuso] Quali algoritmi crittografici non sono considerati sicuri? [chiuso]