Dlaczego Google Chrome nie podaje sumy kontrolnej?

3

W porządku, mogę być trochę niewykształcony, jeśli chodzi o ten temat, ale mam prawdziwą ciekawość, dlaczego Google nie zapewnia sumy kontrolnej wraz z podpisem gpg przy pobieraniu Google Chrome. W rzeczywistości nigdy nie widziałem nigdzie sumy kontrolnej w Google.com.

Rozumiem, że pobieranie odbywa się za pośrednictwem połączenia HTTPS, ale popraw mnie, jeśli się mylę, nadal będzie możliwe wstrzyknięcie złośliwego pliku do pobrania, prawda? Czytałem gdzieś, że stwierdzono, że węzły wyjściowe dla VPN wstrzyknęły pliki wykonywalne .

Niedawno niedawno Linux Mint został zhakowany ze względu na wadliwą konfigurację Wordpress, a ISO Linuksa ISO została zamieniona na jedną zawierającą backdoor dla roju DDOS .

Aktualizacje Windows, aktualizacje Apple, apt-get Ubuntu mają podpisy i weryfikację pakietów.

Ale Google wszystkich firm nie ma nawet sumy kontrolnej na stronie pobierania.

Dlaczego to? Czy naprawdę istnieje ryzyko, że użytkownicy końcowi pobiorą Chrome?

Dzięki =)

ctrev
źródło

Odpowiedzi:

3

Instalatory Windows są podpisane przy użyciu Authenticode (X.509), który jest weryfikowany natywnie przez sam Windows. Automatyczne aktualizacje (dostarczane przy użyciu Omaha) są również podpisywane przy użyciu X.509.

W repozytoriach Linux są podpisane za pomocą GPG - kiedy po raz pierwszy pobrać google-chrome-current.debza pośrednictwem protokołu HTTPS, to automatycznie dodaje aktualizacje przechowalni do sources.list i instaluje swój klucz podpisu do konfiguracji apt (zobacz /opt/google/chrome/cron/).

(Nie powiedziałbym, że to bardzo źle. Rozważ to: jeśli uważasz, że atakujący może wprowadzić fałszywe pobranie ... Dlaczego nie mógł również wprowadzić fałszywych „sum kontrolnych”? Jeśli nie możesz ufać, że pobrałeś właściwą wersję.deb z https : //google.com , a także nie możesz ufać, że uzyskałeś odpowiednie klucze PGP z https://google.com ).

Rozumiem, że pobieranie odbywa się za pośrednictwem połączenia HTTPS, ale popraw mnie, jeśli się mylę, nadal będzie możliwe wstrzyknięcie złośliwego pliku do pobrania, prawda?

Ogólnie nie. To ... rodzaj HTTPS powinien zapobiegać.

Istnieją jednak dwie możliwości:

  • Jeśli zaczniesz od http://www.google.com/chromei spodziewasz się automatycznego przekierowania do HTTPS, osoba atakująca może usunąć to przekierowanie i zmusić cię do pozostania w wersji HTTP.

    Aby tego uniknąć, upewnij się, że tylko na stronach pobierania przez HTTPS; może istnieć pewna konfiguracja Tora, której można by użyć do całkowitego zablokowania HTTP (tcp / 80). (Wiem, że Tor ma białą listę portów dla węzłów wyjściowych, ale na pewno przydałby się jeden dla klientów ...)

  • Jeśli otworzysz witrynę HTTPS, ale atakujący przechwyci twoje połączenie (MITM), przeglądarka ostrzeże Cię o błędzie certyfikatu (ponieważ atakujący nie może uzyskać „prawdziwego” certyfikatu google.com), ale wiele osób po prostu ślepo „kliknie” te ostrzeżenia bez patrzenia.

    Aby tego uniknąć, nie omijaj ostrzeżeń bezpieczeństwa przeglądarki.

Największe przeglądarki (nawet IE, myślę?) Są teraz dostarczane z google.comlistami „wstępnego ładowania HSTS”, które zmuszają przeglądarkę do korzystania z HTTPS i zapobiegają omijaniu błędów certyfikatu. Powinien więc chronić się przed takimi błędami.

grawitacja
źródło
Jedynym sposobem na 100% uniknięcie ataków jest skorzystanie z serwera pobierania DNSSEC , autorytet pobierania i sprawdzania musi być zaufany ... Przykład: połączenie google.comw Chinach jest prawdopodobnie uszkodzone na poziomie DNS ... Nawet w innych krajach, jako DNS z google nie jest DNSSEC, a DNSSEC z UBUNTU ma ostrzeżenia .. patrz zonemaster.iis.se
Peter Krauss