¿Cómo instalar un software como Sublime Text en Ubuntu 14.04 LTS y mitigar un ataque MITM? Hay un PPA disponible , pero el PPA debe ser añadido manualmente.
No veo ninguna clave PGP ni hashes MD5 para ella en la página de descarga .
Entonces, ¿es posible instalar un software como este y estar a salvo de un ataque MITM? Por ejemplo, alguien hackea su servidor y agrega malware al archivo de descarga.
Cuando ejecuta add-apt-repository para agregar un PPA, esto le brinda una garantía criptográfica de que el contenido de los paquetes que instala es el del PPA que Launchpad (el servicio de Ubuntu que distribuye PPA) considera que es este PPA. - en este caso, add-apt-repository ppa:webupd8team/sublime-text-3 garantiza que, mientras los servidores de Ubuntu estén seguros, los paquetes que descarga de esa fuente en particular fueron realmente del usuario Launchpad webupd8team . Así que estás protegido de un ataque MITM.
El add-apt-repository descarga una clave pública asociada con el PPA a través de HTTPS. Los autores del programa no necesitan proporcionar una suma de comprobación porque APT verificará las firmas. La única información que necesita recuperar de forma segura es el nombre del PPA (especialmente el nombre del usuario del PPA). Un ataque de phishing podría intentar convencerlo de que instale desde ppa:webupdateam/sublime-text-3 o ppa:webupd8teteam/sublime-text-3 , por ejemplo, en lugar del legítimo.
Launchpad hace la construcción, también, así que si confías en los servidores de Ubuntu (y los autores y proveedores de los compiladores y otras herramientas de compilación), también puedes confiar en que el binario implementa el código fuente cargado por el autor de PPA.
Esto no protege de un ataque en los servidores de compilación de Ubuntu: si tienen una brecha, el atacante podría inyectar una puerta trasera en el momento de la compilación. Esto no protege de un ataque a la propia infraestructura de Sublime que permitió al atacante inyectar su código fuente, ni por supuesto de un desarrollador malicioso que trabaja para Sublime y podría haber incluido una puerta trasera en el código fuente genuino.
Como se puede ver en la página web del PPA (bajo detalles técnicos) , el paquete que descarga del PPA está firmado por el operador del PPA, lo que lo protegerá contra un ataque MITM cuando se actualice. Sin embargo, como sugirió, esto no impide que el propietario del PPA cargue un paquete malintencionado de manera intencional o no intencional. Siempre puede utilizar la descarga de SSL página en el sitio web sublime
Lea otras preguntas en las etiquetas attacks malware man-in-the-middle linux ubuntu