Come installare un software come Sublime Text su Ubuntu 14.04 LTS e mitigare un attacco MITM? È disponibile un PPA , ma il PPA deve essere aggiunto manualmente.
Non vedo alcuna chiave PGP o hash MD5 per questo nella pagina di download .
Quindi, è possibile installare un software come questo ed essere al sicuro da un attacco MITM? Ad esempio, qualcuno ha hackerato il proprio server e aggiunge malware al file di download.
Quando esegui add-apt-repository per aggiungere un PPA, questo ti dà una garanzia crittografica che il contenuto dei pacchetti che installi sono quelli del PPA che Launchpad (il servizio Ubuntu che distribuisce PPA) considera questo PPA - in questo caso, add-apt-repository ppa:webupd8team/sublime-text-3 garantisce che, fintanto che i server di Ubuntu sono sicuri, i pacchetti che scarichi da quella particolare fonte provenivano realmente dall'utente Launchpad webupd8team . Quindi sei protetto da un attacco MITM.
La add-apt-repository scarica una chiave pubblica associata al PPA su HTTPS. Gli autori del programma non hanno bisogno di fornire un checksum perché APT controllerà le firme. L'unica informazione che è necessario recuperare in modo sicuro è il nome del PPA (in particolare il nome dell'utente PPA). Un attacco di phishing potrebbe provare a convincerti a installare da ppa:webupdateam/sublime-text-3 o ppa:webupd8teteam/sublime-text-3 , ad esempio, anziché da quello legittimo.
Anche Launchpad fa l'edificio, quindi se ti fidi dei server di Ubuntu (e degli autori e dei provider dei compilatori e di altri strumenti di compilazione), puoi anche fidarti che il binario implementa il codice sorgente caricato dall'autore PPA.
Questo non protegge da un attacco ai server di build di Ubuntu: se vengono violati, l'attaccante può iniettare una backdoor al momento della compilazione. Questo non protegge da un attacco all'infrastruttura di Sublime che ha permesso all'aggressore di iniettare il proprio codice sorgente, né ovviamente da uno sviluppatore malintenzionato che lavora per Sublime e potrebbe aver incluso una backdoor nel codice sorgente originale.
Come si può vedere nella pagina web del PPA (sotto i dettagli tecnici) , il pacchetto scaricato dal PPA è firmato dall'operatore del PPA, questo ti proteggerà da un attacco MITM durante l'aggiornamento. Tuttavia, come hai accennato, questo non impedisce al proprietario del PPA di caricare intenzionalmente o involontariamente un pacchetto dannoso. Puoi sempre utilizzare il download SSL pagina sul sito web sublime
Leggi altre domande sui tag linux ubuntu malware attacks man-in-the-middle