"Jakým způsobem se stahují aktualizace u jiných systémů? Šlo by podstrčit kompromitovaný balíček on-the-fly při útoku man-in-the-middle?"
Netuším, jak konkrétně je to u NetBSD, ale balíčky jsou podepsané. Proto je možné je stahovat pomocí nešifrovaných protokolů. Po stažení, resp. před jakýmkoliv použití staženého balíčku, se ověřuje jeho podpis.