Foro Wifi-libre.com

Habilitar el soporte https en aptitude para actualizar y instalar paquetes desde los repositorios Kali Linux con una capa de seguridad "SSL" suplementaria

https y repositorios

  No sé si se han fijado en su consola...
Cuando hacemos un "apt update" en una distribución GNU-Linux los repositorios están todos en http.

Algo que puede sorprender ya que sabemos de sobra que el http "sin s" no es "seguro".
  No permite autenticar el sitio visitado y las comunicaciones no están cifradas.
 
  La respuesta dada por los desarrolladores de distribuciones GNU-Linux es que la seguridad de los repositorios no se juega a este nivel.
Los paquetes están cifrados con algoritmos robustos y es "casi imposible", para no decir imposible, crear un paquete falso y colar unas lineas "malware" a dentro.
Si nos limitamos a mirar este aspecto del asunto el https no aporta fundamentalmente nada especial.

  Me parece que los desarrolladores no toman bastante en cuenta un elemento a la hora de tomar una "foto global" de la situación.
No hablo de la seguridad/integridad de los repositorios sino de la seguridad de los propios usuarios.
  Está claro que los repositorios son seguros y que va a ser imposible (o casi) instalar un paquete malicioso en lugar de un paquete legitimo.

Ahora imaginamos que por la razón que sea tenemos a un intruso o a un "espía" que consigue esnifar el trafico.
  Si consigue tener una idea precisa de los paquetes que tenemos instalados analizando las peticiones hacía los repositorios tiene información para rastrear-nos más fácilmente.
Y puede trabajar de forma más eficiente, buscando una vulnerabilidad en uno de los paquetes que tenemos instalados.
  Cierto, no estamos hablando de una amenaza directa y se podría definir que paquetes tenemos examinando el peso de los paquetes (el peso no lo esconde el https)
   
Más hipotético, pero es una amenaza: Si no se pone https se facilita la tarea en un caso de un eventual MITM,
  Podemos imaginar por ejemplo que se redirige hacía unos repositorios falseados al momento de bajar la lista de actualizaciones (apt update)
Lista igual a la original--- sin las actualizaciones de seguridad.
  Se deja así el sistema con vulnerabilidades sin corregir para poder intentar usarlas en contra de la victima.

Así que si se puede cifrar estas peticiones con SSL... ¿Por qué no hacerlo?
  Es lo que opinan los de Kali y estoy en está linea: En seguridad; más es más.

   Cualquier medida para dificultar la tarea a un una persona mal intencionada es buena a tomar
 
Sobre todo que existe la posibilidad de emplear el https con aptitude gracias al paquete apt-transport-https
La única pega es que no todos los servidores son capaces de emplear el https
  Si el servidor más cerca de nuestra localización no es compatible pasaremos por otro servidor, más alejado, y podríamos ver  disminuir nuestra velocidad de descarga. 

Habilitando el https con aptitude y los  repositorios Kali

Un juego de niños en dos pasos
  Paso 1: Debemos primero instalar el paquete apt-transport-https

sudo apt  update && sudo apt install apt-transport-https

  Paso 2: Abrimos el fichero sources.list (con derechos de administrador) para añadir un "s" después "http"

sudo leafpad /etc/apt/sources.list

ejemplo:

A partir de ahora tenemos el htttps activado cuando actualizamos o instalamos algo nuevo desde nuestros repositorios Kali Linux.
No he notado ninguna diferencia en la velocidad de descargas.

  Así que los que viven en España pueden (deberían) habilitar el https sin medio.

Fuentes

• Kali Linux repository HTTPS support by mutz @ Kali.org

• How to use https with apt-get? @ Ask Ubuntu