Quali sono le probabilità che qualcuno modifichi i binari scaricati su HTTP?

-1

Recentemente ho letto che la maggior parte del software disponibile sul Web non viene inviato su HTTPS (anche se il collegamento si trova su una pagina HTTPS). Ciò significa che i file binari scaricati non sono mai stati autenticati e potrebbero in teoria essere modificati durante il transito.

È inverosimile immaginare che qualcuno sulla rete inserisca malware nei programmi scaricati?

Immagino che sarebbe molto più facile per qualcuno su un WiFi pubblico; supponiamo che i file vengano scaricati tramite una connessione personale presso un ISP ben noto.

    
posta Arno 25.07.2016 - 01:48
fonte

2 risposte

1

Per un uomo nel mezzo è facile manomettere un download. Esistono anche moduli metasploit che rendono davvero facile infettare un eseguibile scaricato al volo .

E anche l'uomo nel mezzo può essere facilmente raggiunto, ad esempio reindirizzando il traffico all'interno di una rete locale con ARP o DHCP spoofing, controllando la propria rete locale creando un hotspot dal suono innocente o crea il tuo dannato nodo di uscita Tor . E in alcune parti del mondo anche le agenzie governative sono in grado di dirottare parti critiche della rete.

È impossibile dire quale sia la tua possibilità di essere infettati in questo modo perché dipende molto da quanto è facile per un utente malintenzionato dirottare esattamente la tua connessione di rete e la quantità di target che sei. E anche se la manomissione del download stesso ha avuto successo, potrebbe non provocare un'infezione del sistema. Ad esempio, la manomissione del download di un aggiornamento firmato probabilmente determinerà un aggiornamento non riuscito se la firma è stata verificata dal sistema locale. E a parte la manomissione dei dati durante il download, ci sono molti più modi per fornire tali malware, come hackerare il sistema che serve i file e modificare il file offerti .

    
risposta data 25.07.2016 - 08:02
fonte
1

Questo tipo di attacchi è una minaccia legittima. Può essere facilmente implementato da strumenti come EvilGrade (aggiornamento malvagio). Molti software eseguono ancora l'aggiornamento via HTTP.

Scenario di esempio: diciamo che un utente ha notepad ++ installato sul suo PC. Un utente malintenzionato che ha accesso al DNS interno può eseguire l'avvelenamento della cache DNS e utilizzare uno strumento come Evil Grade. Per mettere in parole semplici, si richiede un aggiornamento fasullo per notepad ++, quando l'utente fa clic su Aggiorna lo strumento fornisce un binario pre-fatto (agenti infetti). Lo strumento viene fornito con i propri moduli webserver e server DNS.

L'utente malintenzionato può anche trovarsi nella rete interna che esegue lo spoofing ARP o un falso punto di accesso Wi-Fi.

Ovviamente ciò si avvale della scarsa implementazione degli aggiornamenti software. Un certificato aggiornato su TLS può proteggere da questo tipo di attacchi.

    
risposta data 25.07.2016 - 09:46
fonte

Leggi altre domande sui tag