Si descargo la imagen del sistema operativo de los servidores de Ubuntu desde una ubicación donde puedo obtener el ataque MITM y obtener una imagen comprometida, ¿cómo puedo verificar su hash para demostrar que es su imagen original?
-
El atacante MiTM puede reemplazar los hash en el sitio oficial. Pero no es un problema porque puedo consultarlos en un canal IRC o en otro lugar.
-
El software que puedo usar para verificar sumas puede verse comprometido para mostrar la respuesta correcta en un archivo comprometido.
Antes de hacer estas preguntas, escuché que Ubuntu tiene repositorios firmados con PGP para que no se puedan comprometer, pero ... Aquí hay algo interesante que leí:
Cita:
Si se modificó el archivo sources.list de apt, también se podría redireccionar a ubicación que proporciona actualizaciones maliciosas (y firmada con claves "confiables", Si estos han sido agregados, aunque no los de Ubuntu).
un atacante podría haber cambiado casi todo, incluyendo el real verificación de las firmas OpenPGP o incluir malware arbitrario y puertas traseras.
Entonces, ¿cómo se puede resolver este dilema?
Me refiero a comprobar la originalidad de la imagen si no puedo confiar en la fuente de descarga y supondremos que no he tenido ninguna conexión social excepto con los sitios web.