Man in the middle attack en las descargas del navegador

Question

Man in the middle attack en las descargas del navegador

#1 de Steve Sether (2 votos)
#2 de StackzOfZtuff (0 votos)

1

Estoy escribiendo este post desde chrome. Si voy a un sitio HTTPS después de esto, las claves públicas integradas en la versión de chrome que estoy usando se usarán para verificar la firma del sitio (a menos que lo entienda mal). Desde que descargué Chrome a través de Internet, ¿cómo podría haber prevenido contra un hombre en el ataque central? Por ejemplo, suponga que un atacante puede insertarse en la conexión cerca del servidor de descarga de Chrome. Podía insertar claves falsas en los paquetes de descarga y luego enviarlas a los usuarios. Obviamente, esto es muy hipotético, pero desde un punto de vista teórico, supongo que lo que pregunto es cómo se pueden distribuir las claves en una red insegura. ¿Cómo sabes que la persona de la que estás descargando las claves es quién dicen que son sin obtener una clave de otra persona, donde te enfrentas al mismo problema?

public-key-infrastructure digital-signature man-in-the-middle

pregunta Elliot Gorokhovsky 27.05.2015 - 05:05

fuente

2 respuestas

Lea otras preguntas en las etiquetas public-key-infrastructure digital-signature man-in-the-middle

Ventajas de habilitar la protección de contraseña de firmware Reenvío de puertos con VPN

score 2 · Answer 1

No es teórico en absoluto. La NSA tiene un programa llamado Quantum Insert que inyecta paquetes en las sesiones web de los usuarios, y puede redirigir las descargas a un sitio de la NSA que contiene lo que la NSA eligió incluir en la descarga. Es ciertamente posible que puedan hacer lo que estás describiendo en una descarga del navegador.

Hay un gran ensayo sobre cómo funciona en enlace

Para protegerse contra este tipo de ataque, debe asegurarse de que está descargando el navegador con https. Siempre y cuando el navegador con el que está descargando no esté comprometido, y se conecte a través de https (y verifique que la URL de la que está descargando es legítimo y https), entonces la inyección de paquetes como Quantum Insert, o alguna otra forma de redirección no es posible.

score 0 · Answer 2

las claves públicas integradas en la versión de Chrome

Chrome no tiene un almacén de confianza de certificados interno. Utiliza el almacén de confianza del sistema operativo. (Firefox, por otro lado, tiene su propio almacén de confianza de certificados). Pero supongo que si asumes una versión pirateada de Chrome, todo es posible.

Desde que descargué Chrome a través de Internet, ¿cómo podría haber prevenido contra un hombre en el ataque central?

Las descargas de Chrome están predeterminadas en HTTPS AFAIK. Por lo tanto, si antes confiaba en HTTPS, también podría confiar en ello más adelante.

También: de lo contrario: cargue su instalador de Chrome en enlace (si aún confía en el sitio HTTPS de cualquiera ). )

Si estás en Windows: comprueba la firma digital de ChromeSetup.exe (si aún confías en que tu sistema operativo no te miente allí).

Si no confía en su sistema operativo lo suficiente como para no mentirle en estos aspectos, entonces no tiene suerte.

Supongo que lo que pregunto es cómo se pueden distribuir las claves en una red insegura.

No puedes. La confianza tiene que empezar en alguna parte. No, si esa red insegura es su único medio de comunicación y no confía en nadie.