SHA256 incorrecto o roto en la nueva Kali VM

Question 1

El archivo del paquete Kali se encuentra actualmente en un estado inconsistente. No puedes hacer nada al respecto.

Sería muy poco probable que su sistema produjera sumas de verificación incorrectas. Hay varias razones por las que esto podría suceder, pero ninguna de ellas es plausible.

El software que calcula la suma de comprobación podría tener errores. Esto es extremadamente improbable: calcular sumas de verificación es fácil y el código para hacerlo es muy estable y fácil de probar.
El software que descarga los archivos, los almacena, los verifica, etc., podría tener errores. Es muy poco probable que tenga errores de tal manera que calcule sumas de verificación incorrectas, en lugar de generar errores.
Es posible que el software esté descargando archivos incorrectos, trunciándolos o codificándolos de una manera que no se detecta. Este es el punto menos inverosímil aquí.
Su sistema podría verse comprometido de tal manera que se calculen sumas de verificación incorrectas. Esto es inverosímil porque un atacante que puede hacer eso puede hacer cosas mucho más útiles de una manera menos notoria.

Es algo menos improbable que su red esté bajo ataque y que un atacante esté manipulando activamente los archivos que está descargando. Aún es poco probable porque el atacante sabría que el ataque sería detectado y sería ineficaz debido a las comprobaciones criptográficas que realiza apt (explicaré estas comprobaciones a continuación). El ataque sólo sería útil contra un usuario que se las arregle para ignorar el error o que descargue .debarchivos manualmente y los instale con dpkg.

Por supuesto, improbable no significa imposible. Puede verificar que nada de esto sucede descargando los archivos y calculando su suma de verificación en un sistema diferente y en buen estado. Hice eso y obtuve los mismos valores de sumas de verificación esperadas y reales.

La corrupción podría estar en un espejo, así que usé un espejo diferente (https://http.kali.org/dists/kali-rolling/). El InReleasearchivo contiene las sumas de verificación esperadas y Packages.gzes el archivo cuyas sumas de verificación se verifican.

$ wget -q https://http.kali.org/dists/kali-rolling/InRelease https://http.kali.org/dists/kali-rolling/main/binary-arm64/Packages.gz
$ TZ=UTC \ls -log InRelease Packages.gz
-rw-rw-r-- 1    30501 Apr  3 15:48 InRelease
-rw-rw-r-- 1    30501 Apr  3 15:48 InRelease
-rw-rw-r-- 1 16179052 Apr  3 12:04 Packages.gz
$ md5sum Packages.gz
31a332531ecf9d092aaad9a3f4885767  Packages.gz
$ sha1sum Packages.gz
138883655ff0d58a3779acbeda0d61f7552c03eb  Packages.gz
$ sha256sum Packages.gz
63ae17c54bc57dc445ba4a3555bec3fa077c5de6eec0b11363680efc23fd09ec  Packages.gz
$ grep main/binary-amd64/Packages.gz InRelease
 257a18dc4dff52c27f94f6e66a5a82bf 16317378 main/binary-amd64/Packages.gz
 f5b21d796c25dc10d382ffedc1ce4d7bee376057 16317378 main/binary-amd64/Packages.g
 77a3e22e7b5ea34fca2d74d79a9d46f4bb27af0dfb56d6052e2d288b3c684d98 16317378 main/binary-amd64/Packages.gz

Como puede ver, las sumas de verificación esperadas y reales son diferentes. Los tamaños esperados y reales también son diferentes. Tengo una versión diferente y anterior Packages.gza la tuya, aunque la descargué más recientemente, pero desde un espejo diferente.

También descargué los archivos deel mismo espejo que tuy allí los archivos tenían las sumas de comprobación esperadas, por lo que el problema se repara en ese espejo. Parece un error temporal y la solución aún no se ha propagado por completo.

No sé qué causó el problema. Podría ser un intento de ataque (pero, de ser así, parece haber fallado ya que no todos los archivos que debían corromperse estaban corruptos). Lo más probable es que se tratara de un fallo de sincronización en algún lugar dentro de la infraestructura de Kali.

No sé por qué ves un MD5 coincidente. O el InReleasearchivo que descargó tiene datos inconsistentes o apt ni siquiera se molesta en calcular MD5 porque se considera débil.

Como prometimos, así es como apt garantiza la seguridad de las descargas. La siguiente infraestructura criptográfica genera los datos que garantizan que los paquetes son genuinos:

Un servidor de compilación calcula elhash criptográfico¹ de cada paquete ( .deb, o archivo de un paquete fuente).
Un servidor hash crea la lista de paquetes ( Packagesy una versión comprimida Packages.gz) a partir de los hashes enviados por el servidor de compilación para cada parte de la distribución y genera un Releasearchivo que contiene los hashes de los Packagesarchivos.
Un servidor de firma, que tiene unPGPclave privada, genera unafirma criptográficadel Releasearchivo y lo almacena en Release.gpg. También hay un archivo InReleaseque contiene tanto los datos como la firma en el mismo archivo.

En su sistema:

Su imagen de instalación inicial contiene la clave pública PGP para la clave privada del servidor de compilación, así como todas las herramientas necesarias para validar que un archivo esté firmado correctamente con esta clave.
Cuando apt descarga la lista de paquetes, descarga el InReleasearchivo (o tal vez Releasey Release.gpg) y verifica que esté firmado correctamente. También verifica que los hashes criptográficos de los Packagearchivos coincidan con el valor del InReleasearchivo.
Cuando apt descarga un paquete, verifica que los hash del archivo del paquete coincidan con los valores del Packagesarchivo.

Esto es suficiente porque:

Nadie sabe cómo crear un archivo con el mismo hash criptográfico que otro archivo existente. (Esto es cierto incluso para MD5 y SHA-1, para los cuales sabemos cómo hacer una colisión, es decir, cómo crear dos archivos con el mismo hash, pero no cómo calcular una segunda preimagen, es decir, encontrar otro archivo cuyo hash sea lo mismo que un archivo determinado.)
Nadie sabe cómo generar una firma PGP válida sin tener la clave privada.

Eso es todo. Tenga en cuenta que no importa cómo se transfirieron los archivos entre la infraestructura de Kali y el espejo de descarga, o entre el espejo de descarga y su sistema. Usar TLS para estos es una mejora de seguridad porque evita que un atacante de red entregue archivos obsoletos (por ejemplo, pretenda que nunca se realizó una actualización de seguridad para una pieza crítica de software, entregue paquetes genuinos pero obsoletos con la correspondiente versión obsoleta del Releaseexpediente y su firma).

La única forma en que algo puede pasar desapercibido es dentro de la infraestructura de Kali: si la clave de firma está comprometida o si los servidores de compilación informan hashes incorrectos.

¹ _{En este contexto, “suma de comprobación (criptográfica)”, “hash (criptográfica)” y “resumen (criptográfico)” son sinónimos. Hay sumas de verificación y hashes no criptográficos, pero no están involucrados aquí.}

Answer

El archivo del paquete Kali se encuentra actualmente en un estado inconsistente. No puedes hacer nada al respecto.

Sería muy poco probable que su sistema produjera sumas de verificación incorrectas. Hay varias razones por las que esto podría suceder, pero ninguna de ellas es plausible.

El software que calcula la suma de comprobación podría tener errores. Esto es extremadamente improbable: calcular sumas de verificación es fácil y el código para hacerlo es muy estable y fácil de probar.
El software que descarga los archivos, los almacena, los verifica, etc., podría tener errores. Es muy poco probable que tenga errores de tal manera que calcule sumas de verificación incorrectas, en lugar de generar errores.
Es posible que el software esté descargando archivos incorrectos, trunciándolos o codificándolos de una manera que no se detecta. Este es el punto menos inverosímil aquí.
Su sistema podría verse comprometido de tal manera que se calculen sumas de verificación incorrectas. Esto es inverosímil porque un atacante que puede hacer eso puede hacer cosas mucho más útiles de una manera menos notoria.

Es algo menos improbable que su red esté bajo ataque y que un atacante esté manipulando activamente los archivos que está descargando. Aún es poco probable porque el atacante sabría que el ataque sería detectado y sería ineficaz debido a las comprobaciones criptográficas que realiza apt (explicaré estas comprobaciones a continuación). El ataque sólo sería útil contra un usuario que se las arregle para ignorar el error o que descargue .debarchivos manualmente y los instale con dpkg.

Por supuesto, improbable no significa imposible. Puede verificar que nada de esto sucede descargando los archivos y calculando su suma de verificación en un sistema diferente y en buen estado. Hice eso y obtuve los mismos valores de sumas de verificación esperadas y reales.

La corrupción podría estar en un espejo, así que usé un espejo diferente (https://http.kali.org/dists/kali-rolling/). El InReleasearchivo contiene las sumas de verificación esperadas y Packages.gzes el archivo cuyas sumas de verificación se verifican.

$ wget -q https://http.kali.org/dists/kali-rolling/InRelease https://http.kali.org/dists/kali-rolling/main/binary-arm64/Packages.gz
$ TZ=UTC \ls -log InRelease Packages.gz
-rw-rw-r-- 1    30501 Apr  3 15:48 InRelease
-rw-rw-r-- 1    30501 Apr  3 15:48 InRelease
-rw-rw-r-- 1 16179052 Apr  3 12:04 Packages.gz
$ md5sum Packages.gz
31a332531ecf9d092aaad9a3f4885767  Packages.gz
$ sha1sum Packages.gz
138883655ff0d58a3779acbeda0d61f7552c03eb  Packages.gz
$ sha256sum Packages.gz
63ae17c54bc57dc445ba4a3555bec3fa077c5de6eec0b11363680efc23fd09ec  Packages.gz
$ grep main/binary-amd64/Packages.gz InRelease
 257a18dc4dff52c27f94f6e66a5a82bf 16317378 main/binary-amd64/Packages.gz
 f5b21d796c25dc10d382ffedc1ce4d7bee376057 16317378 main/binary-amd64/Packages.g
 77a3e22e7b5ea34fca2d74d79a9d46f4bb27af0dfb56d6052e2d288b3c684d98 16317378 main/binary-amd64/Packages.gz

Como puede ver, las sumas de verificación esperadas y reales son diferentes. Los tamaños esperados y reales también son diferentes. Tengo una versión diferente y anterior Packages.gza la tuya, aunque la descargué más recientemente, pero desde un espejo diferente.

También descargué los archivos deel mismo espejo que tuy allí los archivos tenían las sumas de comprobación esperadas, por lo que el problema se repara en ese espejo. Parece un error temporal y la solución aún no se ha propagado por completo.

No sé qué causó el problema. Podría ser un intento de ataque (pero, de ser así, parece haber fallado ya que no todos los archivos que debían corromperse estaban corruptos). Lo más probable es que se tratara de un fallo de sincronización en algún lugar dentro de la infraestructura de Kali.

No sé por qué ves un MD5 coincidente. O el InReleasearchivo que descargó tiene datos inconsistentes o apt ni siquiera se molesta en calcular MD5 porque se considera débil.

Como prometimos, así es como apt garantiza la seguridad de las descargas. La siguiente infraestructura criptográfica genera los datos que garantizan que los paquetes son genuinos:

Un servidor de compilación calcula elhash criptográfico¹ de cada paquete ( .deb, o archivo de un paquete fuente).
Un servidor hash crea la lista de paquetes ( Packagesy una versión comprimida Packages.gz) a partir de los hashes enviados por el servidor de compilación para cada parte de la distribución y genera un Releasearchivo que contiene los hashes de los Packagesarchivos.
Un servidor de firma, que tiene unPGPclave privada, genera unafirma criptográficadel Releasearchivo y lo almacena en Release.gpg. También hay un archivo InReleaseque contiene tanto los datos como la firma en el mismo archivo.

En su sistema:

Su imagen de instalación inicial contiene la clave pública PGP para la clave privada del servidor de compilación, así como todas las herramientas necesarias para validar que un archivo esté firmado correctamente con esta clave.
Cuando apt descarga la lista de paquetes, descarga el InReleasearchivo (o tal vez Releasey Release.gpg) y verifica que esté firmado correctamente. También verifica que los hashes criptográficos de los Packagearchivos coincidan con el valor del InReleasearchivo.
Cuando apt descarga un paquete, verifica que los hash del archivo del paquete coincidan con los valores del Packagesarchivo.

Esto es suficiente porque:

Nadie sabe cómo crear un archivo con el mismo hash criptográfico que otro archivo existente. (Esto es cierto incluso para MD5 y SHA-1, para los cuales sabemos cómo hacer una colisión, es decir, cómo crear dos archivos con el mismo hash, pero no cómo calcular una segunda preimagen, es decir, encontrar otro archivo cuyo hash sea lo mismo que un archivo determinado.)
Nadie sabe cómo generar una firma PGP válida sin tener la clave privada.

Eso es todo. Tenga en cuenta que no importa cómo se transfirieron los archivos entre la infraestructura de Kali y el espejo de descarga, o entre el espejo de descarga y su sistema. Usar TLS para estos es una mejora de seguridad porque evita que un atacante de red entregue archivos obsoletos (por ejemplo, pretenda que nunca se realizó una actualización de seguridad para una pieza crítica de software, entregue paquetes genuinos pero obsoletos con la correspondiente versión obsoleta del Releaseexpediente y su firma).

La única forma en que algo puede pasar desapercibido es dentro de la infraestructura de Kali: si la clave de firma está comprometida o si los servidores de compilación informan hashes incorrectos.

¹ _{En este contexto, “suma de comprobación (criptográfica)”, “hash (criptográfica)” y “resumen (criptográfico)” son sinónimos. Hay sumas de verificación y hashes no criptográficos, pero no están involucrados aquí.}

Question 2

Esta respuesta supone un host de Windows 10.

Encontré lo que parece ser el mismo error de "No coincide la suma de hash" en "Packages.gz" durante el paso "Instalación del sistema base" de cualquiera de los ISO AMD-64 2020-2 en VirtualBox. También inicié Kali 2020-2 amd-64 VirtualBox OVA y recibí el mismo error al intentar instalar un archivo apt-get update. Parece que se resolvió al desactivar la función "Windows Defender Credential Guard", también conocida como "Device Guard" o "Virtualization Based Security".

Administrar la protección de credenciales de Windows Defender

Introducido en Windows 10 Enterprise y Windows Server 2016, Windows Defender Credential Guard utiliza seguridad basada en virtualización para aislar secretos de modo que solo el software privilegiado del sistema pueda acceder a ellos. El acceso no autorizado a estos secretos puede dar lugar a ataques de robo de credenciales, como Pass-the-Hash o Pass-The-Ticket. Windows Defender Credential Guard previene estos ataques protegiendo los hashes de contraseñas NTLM, los tickets de concesión de tickets Kerberos y las credenciales almacenadas por las aplicaciones como credenciales de dominio. Link de referencia

Existen varios métodos para desactivar esta función, como se explica en el enlace. Utilicé la "herramienta de preparación de hardware Credential Guard de Windows Defender", disponibleaquí.

DG_Readiness_Tool_v3.6.ps1 -Disable -AutoReboot

Answer

Esta respuesta supone un host de Windows 10.

Encontré lo que parece ser el mismo error de "No coincide la suma de hash" en "Packages.gz" durante el paso "Instalación del sistema base" de cualquiera de los ISO AMD-64 2020-2 en VirtualBox. También inicié Kali 2020-2 amd-64 VirtualBox OVA y recibí el mismo error al intentar instalar un archivo apt-get update. Parece que se resolvió al desactivar la función "Windows Defender Credential Guard", también conocida como "Device Guard" o "Virtualization Based Security".

Administrar la protección de credenciales de Windows Defender

Introducido en Windows 10 Enterprise y Windows Server 2016, Windows Defender Credential Guard utiliza seguridad basada en virtualización para aislar secretos de modo que solo el software privilegiado del sistema pueda acceder a ellos. El acceso no autorizado a estos secretos puede dar lugar a ataques de robo de credenciales, como Pass-the-Hash o Pass-The-Ticket. Windows Defender Credential Guard previene estos ataques protegiendo los hashes de contraseñas NTLM, los tickets de concesión de tickets Kerberos y las credenciales almacenadas por las aplicaciones como credenciales de dominio. Link de referencia

Existen varios métodos para desactivar esta función, como se explica en el enlace. Utilicé la "herramienta de preparación de hardware Credential Guard de Windows Defender", disponibleaquí.

DG_Readiness_Tool_v3.6.ps1 -Disable -AutoReboot

Question 3

Deshabilitar Hyper-V

Deshabilitar Hyper-V funcionó para mí.

Poreste comentario, encontré los recursos que necesitaba para hacer precisamente eso.

Abra un mensaje de cmd elevado
Ejecute bcdedity verifique la configuración para hypervisorlaunchtypedebajo{current}
Correrbcdedit /set {current} hypervisorlaunchtype off
Reiniciar

Después de hacer esto, ya no veo la "tortuga verde" en la barra de estado del huésped.

Para volver a encenderlo, realice el proceso de guardar como se indica arriba con este paso alternativo 3:

Correrbcdedit /set {current} hypervisorlaunchtype auto

https://www.tenforums.com/tutorials/139405-run-hyper-v-virtualbox-vmware-same-computer.html#Part1

Nota:

Noté que Docker para Windows usa Hyper-V, por lo que es posible que apagar Docker solucione los problemas de VBox si está usando Docker.

Answer

Deshabilitar Hyper-V

Deshabilitar Hyper-V funcionó para mí.

Poreste comentario, encontré los recursos que necesitaba para hacer precisamente eso.

Abra un mensaje de cmd elevado
Ejecute bcdedity verifique la configuración para hypervisorlaunchtypedebajo{current}
Correrbcdedit /set {current} hypervisorlaunchtype off
Reiniciar

Después de hacer esto, ya no veo la "tortuga verde" en la barra de estado del huésped.

Para volver a encenderlo, realice el proceso de guardar como se indica arriba con este paso alternativo 3:

Correrbcdedit /set {current} hypervisorlaunchtype auto

https://www.tenforums.com/tutorials/139405-run-hyper-v-virtualbox-vmware-same-computer.html#Part1

Nota:

Noté que Docker para Windows usa Hyper-V, por lo que es posible que apagar Docker solucione los problemas de VBox si está usando Docker.

SHA256 incorrecto o roto en la nueva Kali VM

Respuesta1

Respuesta2

Respuesta3

Deshabilitar Hyper-V

Nota:

información relacionada