Ottenere checksum affidabili

Naviga le tue risposte
4

Aggiornamento : una versione di trasmissione che contiene malware è stata distribuita molto recentemente. Citando questo articolo di ars technica :

It appears that somehow the Transmission website may have been compromised as it was served via HTTP rather than the primary HTTPS Transmission

Domanda originale


Voglio scaricare l'applicazione bittorrent di trasmissione per mac, da qui . C'è un checksum sha1 su quella pagina se passi il mouse sul link al link del file .dmg , ma poiché la pagina non è pubblicata su https, non posso dire se questo è autentico. La mia preoccupazione principale è un uomo in mezzo all'attacco (per corrompere i dati). Il fatto che https non sia usato sembra sciocco, perché un'altra pagina sul loro dominio può stabilire una connessione sicura con un certificato firmato.

Mi chiedo se mi manca qualcosa, anche se questo Q & A sembra essere d'accordo con me. Vorrei anche sapere se esiste un metodo per scoprire se un file è autentico in uno scenario come questo o nel mio caso specifico.

    
posta Matheor 26.02.2016 - 21:52
fonte

2 risposte

9

Getting reliable checksums

Il checksum stesso è affidabile per ciò che dovrebbe essere usato. Ma la tua aspettativa è sbagliata.

Lo scopo dell'hash specificato se non controllare gli attacchi, ma per corruzione accidentale di file (bit flip, estremità mancanti ...). Non può essere utilizzato per l'autenticità in quanto sia l'hash che il file sono serviti dallo stesso sito e un hacker potrebbe semplicemente sostituire entrambi durante l'hacking del sito. Per verificare l'autenticità è necessaria una firma digitale firmata dall'autore e non un semplice hash.

    
risposta data 26.02.2016 - 22:05
fonte
1

L'hash SHA-1 non è probabilmente lì per l'integrità, ma perché nei file BitTorrent sono indicizzati dagli hash. Suppongo che le persone che vogliono scaricare quel client BitTorrent stiano già utilizzando un'implementazione in competizione e potrebbero voler ottenere quella nuova tramite BitTorrent.

Se tenti di connetterti alla pagina di download tramite HTTPS, ti reindirizza alla pagina di download HTTP. Lo stesso accade se si utilizza l'URL diretto al file (con un prefisso https:// ). Questo mi sembra un errore di configurazione. Forse hanno intenzione di supportare SSL, ma armeggiano. Forse temono "l'ovvio alto costo" di SSL (senza averlo effettivamente misurato). Forse pensano che se userete BitTorrent dovete essere già pronti a scaricare e usare cose losche.

Potresti utilizzare il valore hash nelle richieste di ricerca su Google, per vedere se riesci a individuare una posizione "attendibile" che elenca l'hash e garantisce in qualche modo che sia quella giusta. In questo caso, non produce risultati molto interessanti, ma, in generale, è qualcosa da provare.

Personalmente temerei meno la possibilità di un MitM che modifica l'hash e il file al volo, piuttosto che l'idea che il file binario compilato possa contenere malware (come potresti sapere se i server di origine non sono stati hackerati?) . SSL proteggerebbe solo contro l'alterazione in transito . (Questo è un commento generico che faccio sui pericoli del download di cose, non voglio fare dichiarazioni denigratorie su quel particolare software o sui suoi autori.)

    
risposta data 26.02.2016 - 22:11
fonte

Leggi altre domande sui tag

Che cos'è un esempio di aritmetica e buffer overflow in un'applicazione php? Aggiornamento certificato SSL / TLS?