Forum Linux.pl

System => Instalacja => Wątek zaczęty przez: kolombo w 2022-08-20, 23:00:22

Tytuł: Jak pobrać ISO które nie jest fałszywką ?
Wiadomość wysłana przez: kolombo w 2022-08-20, 23:00:22
Witam.
 
Pytanie jak w temacie. Lokalny ISP wysłał nam sfałszowany dokument rzutując na moje urodziny.
Jest podejrzany o podkładanie nam fake mirrorów z fałszywkami ISO Windows / Linux. Cokolwiek
pobraliśmy z sieci Windows / Linux, mamy malware...
Tytuł: Odp: Jak pobrać ISO które nie jest fałszywką ?
Wiadomość wysłana przez: Paweł Kraszewski w 2022-08-21, 09:38:27
Cytuj
Pytanie jak w temacie. Lokalny ISP wysłał nam sfałszowany dokument rzutując na moje urodziny.
Nawet nie pytam...

Cytuj
Jest podejrzany o podkładanie nam fake mirrorów z fałszywkami ISO Windows / Linux. Cokolwiek
pobraliśmy z sieci Windows / Linux, mamy malware...

1. Jeżeli masz nieskompromitowaną przeglądarkę (tj jest aktualna i nie ma wgranych lewych certyfikatów CA), to ISP nie ma możliwości manipulowania strumieniami TLS (https, itp). Ściągnięcie ISO bezpośrednio ze strony HTTPS producenta jest bezpieczne.
2. Część (niestety nie większość) ISO publikowana jest z podpisami GPG. Tego ISP nie jest w stanie skompromitować.
3. Większość ISO publikowana jest z sumą kontrolną (SHA) na stronie źródłowej. Jeżeli strona z SHA jest po HTTPS i masz niestrzeloną przeglądarkę, wartość ta jest wiarygodna. ISP nie jest w stanie zmanipulować obrazu ze znanym SHA256 czy SHA512. MD5 - przy odpowiednim zapleczu - tak. SHA1 przy odpowiednim budżecie też.

Jeżeli jest jak piszesz, sprawa jest natychmiast do zgłoszenia przede wszystkim do UKE. Ale - jak ISP ma niedoedukowanych adminów, atak może być prowadzony przez któregoś z klientów "równoległych" do ciebie. Nie rzucaj za szybko kamieniami.