¿Es teóricamente posible secuestrar (me refiero a sustituir sobre la marcha) las actualizaciones de paquetes de fedora o ubuntu o windows si un cracker ha sido dueño del firewall / proxy de la compañía?
El intento de reemplazar los paquetes con otros archivos es ciertamente posible e incluso bastante fácil para un atacante que tomó el control del firewall o proxy. Sin embargo, estos paquetes están firmados digitalmente con una clave privada que es propiedad de la gente en la sede de Fedora, y el atacante no poder forjar eso; Sus paquetes falsos serán rechazados por los sistemas de Fedora que intentan usarlos. Esta firma utiliza GnuPG ; Consulte esta página para obtener más información.
Por supuesto, tal atacante todavía podrá evitar las actualizaciones simplemente bloqueando los paquetes relevantes. Esto solo puede ser un problema, porque le permite extender indefinidamente la vida útil de las vulnerabilidades conocidas.
Editar: lo mismo se aplica a casi todos los demás sistemas operativos modernos: todos utilizan algún tipo de mecanismo de firma en las actualizaciones auténticas. El sistema operativo basado en Linux tiende a utilizar el formato OpenPGP mientras que Windows se basa en derivados del mundo X.509, por ejemplo. autenticodo pero eso no cambia el concepto.
Lea otras preguntas en las etiquetas firewalls http-proxy