Všiml jsem si, že pro stahování balíčků se používá wget nebo sysupgrade, kdy oba nástroje stahují balíčky nezabezpečeným kanálem. Existuje tady volba i pro šifrované spojení? U wgetu by člověk zadal "https". Funguje to něco podobného u sysupgrade?
Jakým způsobem se stahují aktualizace u jiných systémů? Šlo by podstrčit kompromitovaný balíček on-the-fly při útoku man-in-the-middle?
Díky.
"Jakým způsobem se stahují aktualizace u jiných systémů? Šlo by podstrčit kompromitovaný balíček on-the-fly při útoku man-in-the-middle?"
Netuším, jak konkrétně je to u NetBSD, ale balíčky jsou podepsané. Proto je možné je stahovat pomocí nešifrovaných protokolů. Po stažení, resp. před jakýmkoliv použití staženého balíčku, se ověřuje jeho podpis.
U NetBESD nevím, ale je to v článku :-)
Poslední verze OpenBSD tj. 5.5 už má vše podepsané, klíče jsou na release webstránce a budou se měnit s každým releasem.
FreeBSD má určitě u instalačních ISO checksum soubory a ports systém taky používá checksumy, u binárních balíčků nevím.
Jinak MITM útoku nepředejdete nijak, vždy budete muset nakonec někomu na Internetu důvěřovat, od koho budete chtít stahovat data.
BSD systémy mají pro odhalení možné kompromitace systému možnost (základní, ale IMHO postačující) kontroly integrity souborů pomocí utility mtree.