Nowe posty

xx Dystrybucja pod HP Omen (6)
Wczoraj o 23:30:08
xx [Poradnik] Wyszukiwanie Sterowników (2)
Wczoraj o 21:08:23
lamp Problem z Linux Lite po instalacji (0)
Wczoraj o 19:50:30
xx Ile pingwinów? (1)
Wczoraj o 08:59:24
xx konfiguracja pale moon (0)
2024-03-24, 21:53:42
xx Plasma 6 w Neonie ssie trochę mniej ... (10)
2024-03-23, 02:38:11
xx problem z instalacja sterowników do karty sieciowej (3)
2024-03-18, 18:10:16
xx Plik abc.001 (1)
2024-03-17, 17:48:27
xx Zlecę dopracowanie programu w MatLab (0)
2024-03-13, 15:28:40
xx Linux Mint 21.3 XFCE brak dźwieku po paru minutach (karta muzyczna zintegrowana) (5)
2024-03-12, 23:07:01

Autor Wątek: Jak pobrać ISO które nie jest fałszywką ?  (Przeczytany 718 razy)

Offline kolombo

  • Nowy na forum
  • *
  • Wiadomości: 1
    • Zobacz profil
Jak pobrać ISO które nie jest fałszywką ?
« dnia: 2022-08-20, 23:00:22 »
Witam.
 
Pytanie jak w temacie. Lokalny ISP wysłał nam sfałszowany dokument rzutując na moje urodziny.
Jest podejrzany o podkładanie nam fake mirrorów z fałszywkami ISO Windows / Linux. Cokolwiek
pobraliśmy z sieci Windows / Linux, mamy malware...

Offline Paweł Kraszewski

  • Administrator
  • Guru
  • *****
  • Wiadomości: 3049
  • Lenistwo jest matką potrzeby = babcią wynalazku
    • Zobacz profil
Odp: Jak pobrać ISO które nie jest fałszywką ?
« Odpowiedź #1 dnia: 2022-08-21, 09:38:27 »
Cytuj
Pytanie jak w temacie. Lokalny ISP wysłał nam sfałszowany dokument rzutując na moje urodziny.
Nawet nie pytam...

Cytuj
Jest podejrzany o podkładanie nam fake mirrorów z fałszywkami ISO Windows / Linux. Cokolwiek
pobraliśmy z sieci Windows / Linux, mamy malware...

1. Jeżeli masz nieskompromitowaną przeglądarkę (tj jest aktualna i nie ma wgranych lewych certyfikatów CA), to ISP nie ma możliwości manipulowania strumieniami TLS (https, itp). Ściągnięcie ISO bezpośrednio ze strony HTTPS producenta jest bezpieczne.
2. Część (niestety nie większość) ISO publikowana jest z podpisami GPG. Tego ISP nie jest w stanie skompromitować.
3. Większość ISO publikowana jest z sumą kontrolną (SHA) na stronie źródłowej. Jeżeli strona z SHA jest po HTTPS i masz niestrzeloną przeglądarkę, wartość ta jest wiarygodna. ISP nie jest w stanie zmanipulować obrazu ze znanym SHA256 czy SHA512. MD5 - przy odpowiednim zapleczu - tak. SHA1 przy odpowiednim budżecie też.

Jeżeli jest jak piszesz, sprawa jest natychmiast do zgłoszenia przede wszystkim do UKE. Ale - jak ISP ma niedoedukowanych adminów, atak może być prowadzony przez któregoś z klientów "równoległych" do ciebie. Nie rzucaj za szybko kamieniami.
Paweł Kraszewski
~Arch/Void/Gentoo/FreeBSD/OpenBSD/Specjalizowane customy