Luna trecută, site-ul Linux Mint a fost hacked și un ISO modificat a fost pus pentru descărcare care include o backdoor. În timp ce problema a fost rezolvată rapid, aceasta demonstrează importanța verificării fișierelor ISO Linux pe care le descărcați înainte de a le rula și de a le instala. Iată cum.
Distribuțiile Linux publică sume de control pentru a confirma că fișierele pe care le descărcați sunt ceea ce pretind că sunt, iar acestea sunt adesea semnate astfel încât să puteți verifica dacă sumele de control nu au fost modificate. Acest lucru este util în special dacă descărcați un ISO din altă parte decât oglinda principală a unei site-uri, cum ar fi o terță parte, sau prin BItTorrent, unde este mult mai ușor pentru oameni să manipuleze fișierele.
Procesul de verificare a unui ISO este un pic complex, deci înainte de a ajunge la pașii exacți, să explicăm exact ce implică procesul:
Procesul poate diferi un pic pentru diferite ISO-uri, dar de obicei rezultă acel model general. De exemplu, există mai multe tipuri diferite de sumele de control. În mod tradițional, sumele MD5 au fost cele mai populare. Cu toate acestea, sumele SHA-256 sunt acum utilizate mai frecvent de distribuțiile moderne de Linux, deoarece SHA-256 este mai rezistent la atacurile teoretice. Vom discuta în primul rând sumele SHA-256, deși un proces similar va funcționa pentru sumele MD5. Unele distribuții Linux pot oferi, de asemenea, sume SHA-1, deși acestea sunt chiar mai puțin frecvente.
În mod similar, unele distribuții nu își semnează sumele de control cu PGP. Va trebui doar să urmați pașii 1, 2 și 5, dar procesul este mult mai vulnerabil. La urma urmei, dacă atacatorul poate înlocui fișierul ISO pentru descărcare, poate înlocui și suma de control.
Utilizarea PGP este mult mai sigură, dar nu rezistentă. Atacatorul ar putea în continuare să înlocuiască cheia publică cu propria lor, ar putea încă să vă smulgă să credeți că ISO este legitimă. Cu toate acestea, dacă cheia publică este găzduită pe un alt server - cum este cazul cu Linux Mint - acest lucru devine mult mai puțin probabil (deoarece ar trebui să hack două servere în loc de unul singur). Dar dacă cheia publică este stocată pe același server ca și ISO și suma de control, ca în cazul unor distribuții, atunci nu oferă o securitate atât de mare.
Cu toate acestea, dacă încercați să verificați semnătura PGP într-un fișier de control și apoi validarea descărcării cu acel sumă de control, tot ce puteți face în mod rezonabil ca utilizator finalizat care descarcă un standard ISO. Sunteți mult mai siguri decât cei care nu vă deranjează.
Vom folosi aici exemplul Linux Mint, dar este posibil să trebuiască să căutați pe site-ul distribuției Linux pentru a găsi opțiunile de verificare pe care le oferă. Pentru Linux Mint, sunt furnizate două fișiere împreună cu descărcarea ISO pe oglinzile sale de descărcare. Descărcați fișierul ISO, apoi descărcați fișierele "sha256sum.txt" și "sha256sum.txt.gpg" pe computer. Faceți clic dreapta pe fișiere și selectați "Salvați link-ul ca" pentru a le descărca.
În spațiul de lucru Linux, deschideți o fereastră terminal și descărcați cheia PGP. În acest caz, cheia PGP a Linux Mint este găzduită pe serverul cheie al Ubuntu și trebuie să executați următoarea comandă pentru ao obține.
gpg --keyserver hkp: //keyserver.ubuntu.com - taste revers 0FF405B2
Site-ul dvs. de distribuție Linux vă va îndruma către cheia de care aveți nevoie.
Avem acum tot ce avem nevoie: ISO, fișierul de sumă de verificare, fișierul de semnătură digitală a sumelor de control și cheia PGP. Deci, în continuare, schimbați folderul în care au fost descărcate ...
cd ~ / Descărcări
... și executați următoarea comandă pentru a verifica semnătura fișierului de control:
gpg - verifica sha256sum.txt.gpg sha256sum.txt
Dacă comanda GPG vă informează că fișierul sha256sum.txt descărcat are o "semnătură bună", puteți continua. În linia a patra a capturii de ecran de mai jos, GPG ne informează că aceasta este o "semnătură bună", care pretinde că este asociată cu Clement Lefebvre, creatorul Linux Mint.
Nu vă faceți griji că cheia nu este certificată cu o "semnătură de încredere". Acest lucru se datorează modului în care funcționează criptarea PGP - nu ați creat o rețea de încredere importând chei de la persoane de încredere. Această eroare va fi foarte comună.
În cele din urmă, acum că știm că suma de control a fost creată de către mentenerii Linux Mint, rulați următoarea comandă pentru a genera o sumă de control din fișierul .iso descărcat și ao compara cu fișierul TXT de control de descărcare descărcat:
sha256sum - check sha256sum.txt
Veți vedea o mulțime de mesaje "nu există un astfel de fișier sau director" dacă descărcați numai un singur fișier ISO, dar ar trebui să vedeți un mesaj "OK" pentru fișierul descărcat dacă se potrivește cu suma de control.
De asemenea, puteți rula comenzile de sumă de control direct pe un fișier .iso. Va examina fișierul .iso și va scuipa suma de control.Apoi, puteți verifica dacă se potrivește cu suma de control validă, privindu-vă cu ochii.
De exemplu, pentru a obține suma SHA-256 a unui fișier ISO:
sha256sum /path/to/file.iso
Sau, dacă aveți o valoare md5sum și trebuie să obțineți md5sum unui fișier:
md5sum /path/to/file.iso
Comparați rezultatul cu fișierul de control TXT pentru a vedea dacă se potrivesc.
Dacă descărcați un ISO Linux de la o mașină Windows, puteți verifica, de asemenea, suma de control acolo - deși Windows nu are software-ul necesar încorporat. Deci, va trebui să descărcați și să instalați instrumentul open source Gpg4win.
Localizați fișierele de chei pentru semnarea distribuției Linux și fișierele de control. Vom folosi Fedora ca exemplu aici. Site-ul Fedora oferă descărcări de sumă de control și ne spune că putem descărca cheia de semnare Fedora de la https://getfedora.org/static/fedora.gpg.
După ce ați descărcat aceste fișiere, va trebui să instalați cheia de semnare utilizând programul Kleopatra inclus în Gpg4win. Lansați Kleopatra și faceți clic pe File> Import Certificates. Selectați fișierul .gpg pe care l-ați descărcat.
Acum puteți verifica dacă fișierul sumă de control descărcat a fost semnat cu unul dintre fișierele cheie importate. Pentru a face acest lucru, faceți clic pe File> Decrypt / Verify Files. Selectați fișierul de sumă de verificare descărcat. Debifați opțiunea "Fișierul de intrare este o semnătură detașată" și faceți clic pe "Deconectare / Verificare".
Sunteți sigur că veți vedea un mesaj de eroare dacă faceți acest lucru, deoarece nu ați trecut prin problemele de confirmare a faptului că certificatele Fedora sunt de fapt legitime. Aceasta este o sarcină mai dificilă. Acesta este modul în care PGP este proiectat să funcționeze - întâlniți și faceți schimb de chei în persoană, de exemplu, și puneți împreună o rețea de încredere. Majoritatea oamenilor nu o folosesc în acest fel.
Cu toate acestea, puteți să vizualizați mai multe detalii și să confirmați că fișierul de control a fost semnat cu una dintre cheile pe care le-ați importat. Acest lucru este mult mai bine decât încrederea într-un fișier ISO descărcat fără verificare, oricum.
Acum ar trebui să puteți selecta Fișier> Verificați fișierele de verificare și confirmați că informațiile din fișierul de control se potrivesc cu fișierul .iso descărcat. Cu toate acestea, acest lucru nu a funcționat pentru noi, poate că este doar modul în care fișierul de control al Fedora este întocmit. Când am încercat acest lucru cu fișierul sha256sum.txt al Linux Mint, a funcționat.
Dacă acest lucru nu funcționează pentru distribuția dvs. Linux, alegeți soluția. Mai întâi, faceți clic pe Setări> Configurați Cleopatra. Selectați "Operațiuni Crypto", selectați "Operațiuni de fișiere" și setați Kleopatra să utilizeze programul de control "sha256sum", deoarece acesta a fost generat de acest control special. Dacă aveți un cont de control MD5, selectați "md5sum" din listă aici.
Acum, faceți clic pe Fișier> Creați fișiere de verificare și selectați fișierul ISO descărcat. Kleopatra va genera o sumă de control din fișierul .iso descărcat și o va salva într-un fișier nou.
Puteți deschide ambele fișiere - fișierul sumă de verificare descărcat și cel pe care tocmai l-ați generat - într-un editor de text precum Notepad. Confirmați că suma de control este identică atât cu ochii voștri. Dacă este identică, ați confirmat că fișierul ISO descărcat nu a fost modificat.
Aceste metode de verificare nu au fost inițial destinate protejării împotriva programelor malware. Acestea au fost concepute pentru a confirma că fișierul dvs. ISO a fost descărcat corect și nu a fost corupt în timpul descărcării, astfel încât să îl puteți arde și să-l utilizați fără să vă faceți griji. Nu sunt o soluție complet lipsită de siguranță, deoarece trebuie să aveți încredere în cheia PGP pe care o descărcați. Cu toate acestea, aceasta oferă încă mult mai multă siguranță decât folosirea unui fișier ISO fără a fi verificat deloc.
Credit de imagine: Eduardo Quagliato pe Flickr
