Sostituzione di file con file infetti su server ftp anonimo

0

Sto creando una nuova domanda perché ora ho un'altra domanda che è stata sollevata da un precedente post di una domanda con risposta.

Quello che sto cercando di capire è che questo scenario sia possibile.

Ho un server FTP anonimo con un file che chiameremo cred.gpg, all'interno di quel file crittografato c'è un PDF chiamato passwords.pdf.

Sarebbe possibile, in quanto server anonimo per qualcuno rimuovere remove.gpg. Poi per loro creare un file fasullo sul loro lato che contiene un virus chiamato passwords.pdf e crittografarlo usando la mia chiave pubblica a un nome di file cred.gpg.

Quindi carica quel file sul server. Poi quando vado ad aprire il file sembra tutto uguale tranne quando vado ad aprire le password.pdf che ora sono infetto.

Questo scenario sarebbe possibile? Sto pensando che lo sia, ma non sono sicuro, ho solo bisogno di un consiglio se questo sarebbe possibile, perché potrei aver bisogno di ripensare il mio setup.

Grazie

    
posta Freeman 02.05.2016 - 21:19
fonte

2 risposte

1

È possibile, se il tuo server accetta file caricati da un utente anonimo e se non fornisci un hash (ad esempio SHA-256, SHA-512, ...) per verificare che in realtà cred.gpg contenga passwords.pdf e non evilfile.pdf.

    
risposta data 02.05.2016 - 21:28
fonte
1

Lascia che ti risponda in base a come funziona PGP / GPG. Quindi hai un file per dire X cliente e stai usando FTP come meccanismo di consegna. Si desidera garantire che i dati siano protetti (crittografati) e solo il client X può leggerli. Per fare ciò, useresti la tua chiave PGP per la firma, e useranno la loro chiave per decifrare.

You (PGP key which can be looked up on a PGP key server) --> Encrypt --> Them (decrypt)

La tua chiave PGP genera un'impronta digitale che può essere consultata. La chiave di tutto è, assicurando che il Cliente X riceva la TUA impronta digitale a CUI dovranno verificare. Ad esempio, se inserisci la tua chiave specifica, ecco come ottenere l'impronta digitale:

gpg --list-keys johndoe@mycompany
pub   dsa1024/1DBD1234 2011-10-05 [expires: 2021-10-02]
uid         [ultimate] VALIDATION (TESTING) <johndoe@mycompany>
sub   elg4096/12347B3C 2011-10-05 [expires: 2021-10-02]

Fingerprint

gpg --fingerprint 1DBD1234
pub   dsa1024/1DBD1234 2011-10-05 [expires: 2021-10-02]
      Key fingerprint = 1234 EECF B9C4 6D0C 154A  5678 4B2B DE74 1DBD 9876
uid         [ultimate] VALIDATION (TESTING) <johndoe@mycompany>
sub   elg4096/12347B3C 2011-10-05 [expires: 2021-10-02]

Puoi quindi fare in modo che il Cliente X verifichi la tua chiave in base alle corrispondenza delle impronte digitali . Quindi vediamo come posso ottenere da questo come attaccante. Come attaccante, devo sapere a chi è destinato il file. Avrei bisogno di crittografare il mio malware fingendo di essere te. Ma come posso "falsificare / imitare" la tua impronta digitale? Non posso Posso provare a installare un registratore di tasti, attendere che tu inserisca la tua password, rubare la tua chiave pubblica e privata. Se ciò accade, hai molti più problemi da affrontare. MA ... Posso generare il mio proprio codice PGP / GPG fingendo di essere te, caricarlo su un server di chiavi GPG / PGP, firmare QUALCHE COSA fingendo di essere te. Se il destinatario NON verifica l'impronta digitale, sono fatti.

    
risposta data 02.05.2016 - 22:54
fonte

Leggi altre domande sui tag