¿Cómo verifico el hash de un ISO?

3

Si descargo la imagen del sistema operativo de los servidores de Ubuntu desde una ubicación donde puedo obtener el ataque MITM y obtener una imagen comprometida, ¿cómo puedo verificar su hash para demostrar que es su imagen original?

  1. El atacante MiTM puede reemplazar los hash en el sitio oficial. Pero no es un problema porque puedo consultarlos en un canal IRC o en otro lugar.

  2. El software que puedo usar para verificar sumas puede verse comprometido para mostrar la respuesta correcta en un archivo comprometido.

Antes de hacer estas preguntas, escuché que Ubuntu tiene repositorios firmados con PGP para que no se puedan comprometer, pero ... Aquí hay algo interesante que leí:

Cita:

  

Si se modificó el archivo sources.list de apt, también se podría redireccionar a   ubicación que proporciona actualizaciones maliciosas (y firmada con claves "confiables",   Si estos han sido agregados, aunque no los de Ubuntu).

     

un atacante   podría haber cambiado casi todo, incluyendo el real   verificación de las firmas OpenPGP o incluir malware arbitrario y   puertas traseras.

     

Entonces, ¿cómo se puede resolver este dilema?

Me refiero a comprobar la originalidad de la imagen si no puedo confiar en la fuente de descarga y supondremos que no he tenido ninguna conexión social excepto con los sitios web.

    
pregunta Dmitry 17.04.2015 - 11:09
fuente

3 respuestas

3

Estás pensando demasiado.

Es posible que un atacante intercepte tu conexión a los servidores de Ubuntu y redirija tu descarga a una imagen contaminada, pero es una tarea difícil:

  1. Deben estar en condiciones de poder MiTM su conexión, parándose en la ruta entre usted y los Servidores de Ubuntu

  2. Tal vez te ataque a DNS para redirigirte a otro servidor que ellos controlan

  3. Si accede a Ubuntu utilizando HTTPS, deben quitar el HTTPS o proporcionar un certificado válido. Proporcionar un certificado válido requiere que una CA maliciosa emita el certificado o presente un certificado falso Y usted lo permita.

Después de esto, si descarga la imagen, puede ejecutar una comprobación de hash (MD5 o SHA) y verificar la imagen. Esto es muy fácil de hacer y muy, muy difícil de manchar.

Después de todo, hay muchos programas que pueden calcular el hash, y el atacante nunca podrá comprometer cada uno de ellos. Incluso puedes calcular esto usando Javascript en cualquier navegador. Por lo tanto, es imposible para un atacante comprometer cada calculadora de hash que puedas usar.

    
respondido por el ThoriumBR 17.04.2015 - 15:38
fuente
2

Bueno, un paso en la dirección correcta sería instalar desde un ISO confiable.

La ISO de Ubuntu está firmada con su clave GPG. Los detalles están aquí: VeriFyIsoHowto

Pero entonces, ¿cómo sabes que esa clave GPG es realmente suya?

Yo, tengo la confianza suficiente para buscar en Google la clave (y en el supuesto de que Google se entrega a través de HTTPS y que Google no ha sido contaminado por un agente malintencionado). Y esa clave parece haber estado en uso desde 2006. Eso es lo suficientemente bueno para mí.

    
respondido por el StackzOfZtuff 17.04.2015 - 12:22
fuente
0
  1. Usted descarga la iso potencialmente MITMed.
  2. Obtienes el buen hash de una forma confiable (irc, llamando a un amigo en una red de confianza ...).
  3. Debe usar un binario de confianza para calcular la suma de comprobación. Esto se hace normalmente utilizando el sistema operativo anterior (que asumimos que no está comprometido).

Si verifica con PGP en lugar de hashes, cambia 2 de obtener el hash correcto para obtener la clave de lanzamiento correcta, y el paso 3 varía ligeramente los paquetes de software.

La principal diferencia es que si está seguro de que la clave de lanzamiento de Ubuntu es 0xFBB75451, puede usar eso no solo para esta versión, sino también para las futuras (hasta que roten la clave).

La forma OpenPGP de hacerlo es a través de la Web of Trust, donde muchas personas confirman que la Persona X tiene la clave Y para muchos pares (X, Y) y usted terminaría verificando que alguien que usted conoce ha verificado que alguien sabe ha verificado que alguien que conoce es la clave de lanzamiento de Ubuntu. Es una buena manera en teoría pero no tan útil en la práctica para un recién llegado a PGP.

    
respondido por el Ángel 20.04.2015 - 01:07
fuente

Lea otras preguntas en las etiquetas