On 10/11/20 23:39, Sabrewolf wrote:
I pacchetti sono firmati e apt di default non installa se non risultano
integri.
https://wiki.debian.org/SecureApt
è vero, i pacchetto sono firmati dai DD e hanno anche il controllo per
il checksum.
Però quando è uscita la versione https era indicato di usare questa per
evitare dei possibili tipi di attacco, ora non ricordo né quali fossero
né dove avevo letto, ma provo ad improvvisare:
* l'attaccante scopre un bug su debsums o sul check della firma o ...
* l'attaccante si intromette nella trasmissione tramite la tecnica del
"Man in The Middle" e ti cambia quanto stai scaricando
* il sistema in automatico effettua i vari controlli e operazioni viene
sfruttato il bug dall'attaccante
Inoltre ti viene sì indicato che il pacchetto non è firmato o non è
firmato da qualcuno "autorizzato", ma poi ti viene chiesto se vuoi
continuare comunque... e sono sicuro che utenti meno esperti potrebbero
dire sì, senza aver compreso quello che gli viene chiesto. Questo perché
sono sicuri che stanno prendendo dei pacchetti dai repository ufficiali...
Ciao
Davide
--
Dizionari: http://linguistico.sourceforge.net/wiki
I lati oscuri del secure boot:
https://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/whitepaper-web
Petizione contro il secure boot:
https://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/statement
GNU/Linux User: 302090: http://counter.li.org
Non autorizzo la memorizzazione del mio indirizzo su outlook
