¿Es seguro descargar el firmware del enrutador a través de HTTP sin cifrar?

Navega tus respuestas
24

Fui a descargar el firmware más reciente para mi enrutador y noté que el enlace de descarga no es HTTPS, así que envié el siguiente correo electrónico al fabricante:

  

Fui a buscar un nuevo firmware para mi enrutador Archer C7, pero vi   que el enlace de descarga está sobre HTTP sin cifrar, no HTTPS seguro. yo   nunca descargaría software o firmware a través de una conexión no segura.   Actualice su sitio a HTTPS.

Esta fue su respuesta:

  

El dispositivo verificará la integridad y la exactitud del archivo bin,   si se manipula, no podrá actualizarse correctamente. No hacer   preocupate, puedes descargarlo.

Ignorando el hecho de que no tienen excusa para no usar HTTPS, mi pregunta es: ¿Es posible que el enrutador confirme que no se ha alterado un nuevo archivo de firmware? ¿Cómo funcionaría?

    
pregunta Ian Phillips 12.01.2017 - 17:56
fuente

4 respuestas

55

Claro, podría ser una imagen firmada. Si el enrutador tiene una clave pública incorporada y la imagen fue firmada por la clave privada correspondiente, sería perfectamente seguro.

A menos que alguien haya obtenido la clave privada y haya cargado una versión maliciosa en el servidor, en cuyo caso, HTTPS tampoco ayudaría.

    
respondido por el Matthew 12.01.2017 - 18:06
fuente
22

Probablemente sea seguro.

Pero la descarga a través de https debería ser preferible si es posible.

Sin https:

  • Si hay una falla en el mecanismo de firma, puede ser explotado (ejemplo: enlace )

  • Un atacante puede saber qué firmware / versión instala (por lo tanto, si hay fallas conocidas en ese firmware / versión, podría explotarse)

  • Si el archivo descargado no es solo el archivo bin del firmware, sino un archivo ejecutable, una versión modificada no pudo instalar un firmware malicioso, pero podría dañar la computadora

  • Si el archivo descargado no es solo el archivo bin del firmware, sino que contiene inflamaciones adicionales para el programa de actualización (como la secuencia de comandos anterior a la actualización), podría dañar la computadora

  • Si el programa de actualización tiene fallas (como el desbordamiento del búfer para un archivo de firmware de un contenedor no válido), incluso si no se pudo instalar el firmware, podría dañar la computadora.

  • Si se roban las claves de cifrado del firmware, https agrega una protección significativa.

  • Un atacante puede reemplazar su descarga por un firmware oficial anterior con fallas conocidas: pasará la especificación de la firma pero será vulnerable.

respondido por el Tom 13.01.2017 - 12:57
fuente
5

Probablemente haya una firma digital en el firmware y una clave en el enrutador. Si el archivo de actualización se manipula de alguna manera, la verificación de la firma fallará y el enrutador rechazará la actualización.

Funciona, pero emplear SSL sería mejor.

    
respondido por el ThoriumBR 12.01.2017 - 18:05
fuente
-3

si el sitio tiene suma de control md5. Lo usaría para verificar que lo que descargué no ha sido alterado. al menos tengo una base que el archivo que usaré es seguro.

    
respondido por el Toto 13.01.2017 - 17:08
fuente

Lea otras preguntas en las etiquetas

¿Es más seguro usar la concatenación de múltiples algoritmos hash? ¿Cuántas contraseñas son buenas para la seguridad? [cerrado]