Man in the middle attack sui download del browser

1

Sto scrivendo questo post da chrome. Se vado su un sito HTTPS dopo questo, verranno utilizzate le chiavi pubbliche incorporate nella versione di Chrome che sto usando per verificare la firma del sito (a meno che non fraintendimenti). Dal momento che ho scaricato Chrome su Internet, come avrei potuto evitare un uomo nell'attacco centrale? Ad esempio, supponiamo che un utente malintenzionato possa inserirsi nella connessione vicino al server di download di Chrome. Poteva inserire chiavi false nei pacchetti di download e quindi inviarle a valle agli utenti. Ovviamente questo è molto ipotetico, ma da un punto di vista teorico credo che quello che sto chiedendo è come possono essere distribuite le chiavi su una rete non sicura? Come fai a sapere che la persona da cui scarichi le chiavi è chi dice di essere senza ottenere una chiave da qualcun altro, dove si trova ad affrontare lo stesso problema?

    
posta Elliot Gorokhovsky 27.05.2015 - 05:05
fonte

2 risposte

2

Non è affatto teorico. L'NSA ha un programma chiamato Quantum Insert che inietta i pacchetti nelle sessioni Web degli utenti e può reindirizzare i download su un sito NSA che contiene tutto ciò che l'NSA ha scelto di inserire nel download. È certamente possibile che possano fare ciò che stai descrivendo per il download di un browser.

C'è un grande saggio su come funziona in link

Per proteggersi da questo tipo di attacco, devi assicurarti di scaricare il browser con https. Finché il browser che stai scaricando non viene compromesso e ti stai connettendo tramite https (e controlli che l'URL da cui stai scaricando sia legit e https), poi l'iniezione di pacchetti come Quantum Insert, o qualche altra forma di reindirizzamento non è possibile.

    
risposta data 28.05.2015 - 17:05
fonte
0

the public keys built into the version of chrome

Chrome non ha un trust store certificato interno. Utilizza il trust store del sistema operativo. (Firefox d'altra parte ha il proprio archivio di certificati attendibili.) - Ma suppongo che se si presume una versione compromessa di Chrome, allora tutto è possibile.

Since I downloaded chrome over the internet, how could I have prevented against a man in the middle attack?

Chrome esegue il download predefinito su HTTPS AFAIK. Quindi, se ti fidi di HTTPS in precedenza, allora potresti anche fidarti di esso in seguito.

Inoltre: Altrimenti: carica il tuo programma di installazione di Chrome su link (se ti fidi ancora di qualsiasi sito HTTPS che sia. )

Se sei su Windows: controlla la firma digitale di ChromeSetup.exe (se ti fidi ancora del tuo sistema operativo per non mentirti lì.)

Se non ti fidi del tuo sistema operativo abbastanza lontano da non mentirti sotto questi aspetti, allora sei sfortunato.

I guess what I'm asking is how can keys be distributed over an unsafe network?

Non puoi. La fiducia deve iniziare da qualche parte. Non se quella rete non sicura è il tuo unico mezzo di comunicazione e non ti fidi di nessuno.

    
risposta data 28.05.2015 - 09:16
fonte