https://www.heise.de/security/meldung/FinFisher-Internetprovider-schieben-Spitzelopfern-Malware-unter-3837645.html

Sehr interessant. Anscheinend werden Internetprovider per Gesetz dazu gezwungen saubere Downloads durch mit FinFisher verseuchte zu ersetzen. Für den Benutzer ist das alles transparent und er merkt nix, dass der Download umgeleitet wurde. Auch Prüfsummen bringen in dem Falle nix weil diese auf dem gleichen Wege ersetzt werden können.

Wobei, https mit gültigen Zertifikaten müsste da aber theoretisch helfen. so lange die CAs nicht ebenfalls gültige Zertifikate für die umgeleitete Site ausstellen. Da müsste der Browser merken, dass man nicht mit der Website spricht, die es laut Zertifikat sein müsste.

Und ich weiss warum ich bestimmte Parteien nicht wähle. ;)

Auch Prüfsummen bringen in dem Falle nix weil diese auf dem gleichen Wege ersetzt werden können.


Eigentlich nicht. Man wird sicher nicht jede Webseite im Internet, die die Prüfsumme nennt, faken können. Zudem werden hier auch keine Webseiten gefakt, sondern nur die Download-Aufrufe selber. Ist also sehr speziell bzw. singulär. Prüfsummen sollten also helfen. Die von Dir genannte Zertifizierung aber genauso.

Jetzt wäre wichtig zu wissen, welcher Browser beim Download die Prüfsummen checken könnte und MD5 und SHA-1 Hashes gleich verwirft.

Eigentlich nicht. Man wird sicher nicht jede Webseite im Internet, die die Prüfsumme nennt, faken können. Zudem werden hier auch keine Webseiten gefakt, sondern nur die Download-Aufrufe selber. Ist also sehr speziell bzw. singulär. Prüfsummen sollten also helfen. Die von Dir genannte Zertifizierung aber genauso.
Wenn du die Downloads faken kannst dann kannst du auch alle anderen Inhalte der Website faken inkl. der Prüfsummen der Downloads. Du bräuchtest in dem Falle eine "saubere" Quelle für Prüfsummen. Einfacher ist wohl https. Da meckert der Browser sofort. Natürlich nur dann wenn die CAs nicht mit den Behörden kooperieren und nicht ebenfalls gültige Zertifikate für die umgeleitete Website ausstellen. Symantec hat es offenbar öfter getan und jetzt werden sie von den Browser-Herstellern blacklisted.

Wenn man sichergehen will, kommt man nicht drum herum die Dateien kryptografisch zu signieren und die öffentlichen Schlüssel irgendwie zu verteilen. Wenn ich nicht gerade unter GNU/Linux unterwegs bin, versuche ich auch immer möglichst die öffentlichen Schlüssel der Entwickler zu bekommen, deren Software ich benutze. Wenn sie denn ihre Software signieren, was aber auch bei Windows (Win32) nicht mehr so unüblich ist.

Bei den App Stores ist das alles natürlich weniger ein Problem, weil man da an so etwas schon gedacht hat.

Wenn du die Downloads faken kannst dann kannst du auch alle anderen Inhalte der Website faken inkl. der Prüfsummen der Downloads.


So wie sie es gemacht haben, haben sie nur den Download-Ort des Downloads umgeleitet, nicht die Webseite selber verändert.

So wie sie es gemacht haben, haben sie nur den Download-Ort des Downloads umgeleitet, nicht die Webseite selber verändert.
Es ist aber im gleichen zu völlig unproblematisch den bitstream des Nutzers auf den hash des "echten" dls zu prüfen und diesen bei bedarf durch den hash des eigenen zu ersetzen. Das geht völlig transparent bei http. Da hilft nur https, wenn das zert nicht komprimiert ist.