Si un atacante logra controlar uno de los dispositivos que administran o enrutan el tráfico de Internet a lo largo o en mi red, por ejemplo, un enrutador o femtocell / IMSI-catcher comprometido para Internet móvil, ¿cómo puedo realizar la actualización de forma segura? mis computadoras (por ejemplo, apt-get update apt-get upgrade)?
Me doy cuenta de que hacer esto sobre tor puede ser una buena idea, pero necesito instalarlo en primer lugar y, por lo tanto, necesito conectarme a internet.
Cualquier buen proceso de actualización de software utilizará firmas digitales para garantizar la integridad. Cada firma digital funciona realizando una operación matemática en un hash de los archivos utilizando una clave secreta que solo conocen los operadores de la infraestructura de actualización de software. El resultado de esta operación es la creación de una firma digital. Es fácil verificar que la firma proviene de una clave secreta dada, pero está diseñada para ser extremadamente difícil (imposible con la tecnología actual) para falsificarla.
El apt updater utilizado en los sistemas basados en Debian verifica automáticamente las firmas digitales. Si un atacante en la red modifica los archivos de actualización, no podrá falsificar una firma coincidente. Esto será detectado y las actualizaciones maliciosas no serán instaladas. Lo peor que puede hacer un atacante es evitar que se actualice. No pueden reemplazar sus actualizaciones con otras maliciosas sin ser detectadas.
Lea otras preguntas en las etiquetas man-in-the-middle