¿Cuáles son las probabilidades de que alguien modifique los binarios descargados a través de HTTP?

Navega tus respuestas
-1

Recientemente leí que la mayoría del software disponible en la Web no se envía a través de HTTPS (incluso si el enlace está en una página de HTTPS). Esto significa que los binarios descargados nunca se autenticaron y, en teoría, podrían modificarse en tránsito.

¿Es inverosímil imaginar que alguien en la red está insertando malware en los programas que uno descarga?

Me imagino que sería mucho más fácil para alguien en un WiFi público; Supongamos que los archivos se descargan a través de una conexión personal en un ISP conocido.

    
pregunta Arno 25.07.2016 - 01:48
fuente

2 respuestas

1

Para un hombre en el medio es fácil manipular una descarga. Incluso hay módulos de metasploit que hacen que sea realmente fácil infectar un archivo ejecutable descargado al vuelo .

Y el hombre en el medio también se puede lograr fácilmente, por ejemplo, redirigiendo el tráfico dentro de una red local con falsificación ARP o DHCP, controlando su propia red local creando un punto de acceso con sonido inocente o crear su propio nodo malicioso de salida Tor . Y en algunas partes del mundo también las agencias gubernamentales pueden secuestrar partes críticas de la red.

Es imposible decir cuál es su probabilidad de estar infectado de esta manera porque depende en gran medida de lo fácil que sea para un atacante secuestrar exactamente su conexión de red y de cuánta cantidad de objetivo sea. E incluso si la manipulación de la descarga en sí fue exitosa, podría no resultar en una infección de su sistema. Por ejemplo, manipular la descarga de una actualización firmada probablemente solo dará como resultado una actualización fallida si la firma es verificada por su sistema local. Y, además de manipular los datos durante la descarga, existen muchas más formas de enviar este tipo de malware, como piratear el sistema que sirve los archivos y modificar el archivos ofrecidos .

    
respondido por el Steffen Ullrich 25.07.2016 - 08:02
fuente
1

Este tipo de ataques es una amenaza legítima. Puede ser implementado fácilmente por herramientas como EvilGrade (actualización malvada). Muchos softwares aún realizan actualizaciones vía HTTP.

Escenario de ejemplo: digamos que un usuario tiene el bloc de notas ++ instalado en su PC. Un atacante que tiene acceso a DNS interno puede realizar el envenenamiento de caché de DNS y usar una herramienta como Evil Grade. Para poner palabras simples, se solicita una actualización falsa para notepad ++, cuando el usuario hace clic en actualizar, la herramienta entrega un binario prefabricado (agentes infectados). La herramienta viene con su propio servidor web y módulos de servidor DNS.

El atacante también puede estar en la red interna realizando falsificación ARP, o falsificar un punto de acceso wifi.

Por supuesto, esto hace uso de una implementación deficiente de las actualizaciones de software. Una firma actualizada sobre TLS puede proteger contra este tipo de ataques.

    
respondido por el tdkm 25.07.2016 - 09:46
fuente

Lea otras preguntas en las etiquetas

¿Debo borrar mi iPhone si lo pierdo o me lo roban? NET :: ERR_CERT_AUTHORITY_INVALID con HSTS