Obtención de sumas de comprobación confiables

4

Actualización : una versión de transmisión que contiene malware se ha distribuido muy recientemente. Citando este artículo de ars technica :

  

Parece que, de alguna manera, el sitio web de Transmisión pudo haber sido comprometido, ya que se sirvió a través de HTTP en lugar de la Transmisión HTTPS primaria


Pregunta original


Quiero descargar la aplicación de transmisión de bittorrent para mac, desde aquí . Hay una suma de comprobación de sha1 en esa página si pasa el mouse sobre el enlace al enlace del archivo .dmg , pero como la página no se sirve a través de https, no puedo saber si esto es auténtico. Mi principal preocupación es un hombre en el ataque central (para corromper los datos). El hecho de que no se use https parece tonto, porque otra página en su dominio puede establecer una conexión segura con un certificado firmado.

Me pregunto si me estoy perdiendo algo, aunque esta Q & A está de acuerdo conmigo. También me gustaría saber si hay un método para averiguar si un archivo es auténtico en un escenario como este, o en mi caso particular.

    
pregunta Matheor 26.02.2016 - 21:52
fuente

2 respuestas

9
  

Obtención de sumas de comprobación confiables

La suma de comprobación en sí misma es confiable para lo que se debe usar. Pero tu expectativa es incorrecta.

El propósito del hash dado es no verificar los ataques, pero la corrupción involuntaria del archivo (tiradas de bit, extremos faltantes ...). No se puede usar para la autenticidad ya que tanto el hash como el archivo son atendidos por el mismo sitio y un pirata informático podría simplemente reemplazar ambos al hackear el sitio. Para verificar la autenticidad necesitaría una firma digital firmada por el autor y no un simple hash.

    
respondido por el Steffen Ullrich 26.02.2016 - 22:05
fuente
1

El hash SHA-1 probablemente no esté allí por integridad, pero debido a que en BitTorrent los índices están indexados por hashes. Supongo que las personas que desean descargar ese cliente de BitTorrent pueden estar usando una implementación de la competencia y les gustaría obtener la nueva a través de BitTorrent.

Si intenta conectarse a la página de descarga a través de HTTPS, le redirigirá a la página de descarga HTTP. Lo mismo sucede si usa la URL directa al archivo (con un prefijo https:// ). Esto me parece una mala configuración. Tal vez tienen la intención de soportar SSL, pero torcido. Tal vez temen el "alto costo obvio" de SSL (sin haberlo medido realmente). Tal vez consideren que si vas a usar BitTorrent ya debes estar preparado para descargar y usar cosas con sombra.

Puede usar el valor de hash en las solicitudes de búsqueda en Google, para ver si puede ubicar una ubicación "confiable" que enumere el hash y garantice de alguna manera que es la correcta. En este caso, no produce muchos resultados interesantes, pero, en general, es algo que hay que probar.

Personalmente, temería menos la posibilidad de un MitM que modifique el hash y el archivo sobre la marcha, que la idea de que ese binario compilado pueda contener malware (¿cómo podría saber si los servidores de origen no fueron pirateados?) . SSL solo protegería contra la alteración en tránsito . (Este es un comentario genérico que hago sobre los peligros de descargar cosas; no quiero hacer afirmaciones despectivas sobre esa pieza específica de software o sus autores).

    
respondido por el Tom Leek 26.02.2016 - 22:11
fuente

Lea otras preguntas en las etiquetas