Jak Sprawdzać Autentyczność Plików

securitybeztabu.pl 1 rok temu

Czy samo MD5 nie wystarczy?

W tym materiale zajmę się sposobem sprawdzenia autentyczności plików, tym razem stosując już aktualne metody. Nie chcę jednak, aby czytelnik, który nie czytał poprzedniego artykułu, był zmuszony do tego, dlatego niektóre treści się powtórzą.

W jednym z moich poprzednich artykułów pisałem na temat MD5, który wzbudził dość spore zainteresowanie. Cieszy mnie to, szczególnie, iż dzięki waszym komentarzom, zarówno tym pozytywnym, jak i negatywnym, otrzymałem bardzo dobry temat na napisanie kolejnego artykułu. Cieszę się również z waszego sposobu wyrażania opinii, zwłaszcza gdy zwracacie uwagę na braki. Dlatego na samym początku chciałbym wam podziękować za to. Jest to dla mnie pewnego rodzaju silnik napędowy do dalszych działań.

Dobrze, wydaje mi się, iż wystarczy tego wstępu. Przejdźmy teraz do szczegółów.

Codzienność…

Dziennie większość z nas pobiera sporą ilość plików. Czy kiedykolwiek zastanawialiście się, czy korzystanie z pobranego pliku jest bezpieczne, czy też po prostu go pobracie i nie myślicie o tym? w tej chwili Internet jest wykorzystywany w chyba każdej branży. Przyznam, iż znajomi często pytają mnie, w jaki sposób sprawdzić, czy ich system nie jest w jakiś sposób zainfekowany. Wtedy najczęściej pytam, w jaki sposób weryfikują pliki pobrane z Internetu. Najczęstszą odpowiedzią jest: “Mam antywirusa“. W tym miejscu warto zadać sobie pytanie, czy na pewno to wystarczy? Przy tak wielu zagrożeniach płynących z sieci i rodzajach złośliwego systemu ważne jest, aby wiedzieć, jak sprawdzić autentyczność pobieranych plików.

Co najważniejsze, należy to robić.

Powinieneś to robić niezależnie od tego, czy pobierasz dokument, program czy plik multimedialny. jeżeli chcesz mieć pewność, iż plik pochodzi z wiarygodnego źródła i nie został zmodyfikowany, musisz na to poświęcić czas.

W tym artykule chcę pokazać, w jaki sposób sprawdzić autentyczność pobranych plików, wykorzystując najprostsze sposoby uwierzytelniania, takie jak podpisy cyfrowe, hashe i oprogramowanie antywirusowe.

O czym warto pamiętać na początku

Zanim przejdziemy do sprawdzania autentyczności pobranych plików, ważne jest, aby zastanowić się, skąd je pobieramy. Istnieje wiele różnych źródeł plików do pobrania, z których niektóre są bardziej godne zaufania niż inne. W pewnym sensie możemy dokonać klasyfikacji plików na pliki z oficjalnych stron internetowych, sieci P2P oraz załączniki w wiadomości e-mail.

Oficjalne strony internetowe

Pierwszym wspomnianym źródłem są oficjalne strony internetowe, prowadzone zwykle przez twórców systemu lub treści, które chcesz pobrać. Witryny te są zwykle zabezpieczone i oferują bezpieczne pobieranie. Jednak, niezależnie od zapewnień, o jakich przeczytasz, zawsze powinieneś sprawdzić adres URL witryny, aby upewnić się, iż jest to ta, na którą liczyłeś. Niektórzy hakerzy tworzą fałszywe strony internetowe, które wyglądają jak oficjalne, aby nakłonić ludzi do pobrania złośliwego oprogramowania.

Jak i na co powinieneś zwrócić uwagę przy weryfikacji adresu strony.

W celu weryfikacji adresu URL, aby potwierdzić, iż jest on prawidłowy, powinniśmy:

  • Szukać ikony kłódki przy adresie URL. Każdy prawidłowy adres URL witryny powinien mieć ikonę kłódki na pasku adresu. Oznacza to, iż witryna używa szyfrowania w celu ochrony Twoich informacji.
  • Sprawdzać nazwę domeny witryny. Oszuści często używają nazw domen podobnych do legalnych, ale z niewielkimi różnicami. Na przykład, mogą używać domeny “.com.pl” zamiast domeny “.pl”. Sprawdź dwukrotnie nazwę domeny, aby upewnić się, iż jest zgodna z oczekiwaną.
  • Sprawdzać pisownię i gramatykę. Oszuści często popełniają błędy ortograficzne i gramatyczne w adresach URL swoich witryn, więc uważaj na nie. Wiarygodna witryna internetowa zwykle zawiera poprawną pisownię i gramatykę.
  • Poszukać recenzji. Przed pobraniem czegokolwiek ze strony internetowej, wyszukaj recenzje, aby zobaczyć, czy inne osoby miały z tym pozytywne doświadczenia. jeżeli witryna ma wiele negatywnych recenzji, prawdopodobnie najlepiej jest jej unikać.

Sieci peer to peer (P2P)

Kolejnym źródłem są sieci peer-to-peer (P2P), które umożliwiają użytkownikom bezpośrednie udostępnianie plików między sobą. Chociaż sieci P2P mogą być przydatne do tego celu, są również ryzykowne, ponieważ nie ma możliwości zagwarantowania bezpieczeństwa ani autentyczności tego, co jest w nich udostępniane. Złośliwe oprogramowanie i inne zagrożenia można łatwo ukryć pod nieszkodliwymi plikami i gwałtownie rozprzestrzenić w sieciach P2P.

Jak sprawdzić autentyczność plików pobranych dzięki P2P?

Sprawdzanie autentyczności pliku pobranego z sieci peer-to-peer (P2P) jest bardzo trudne. Jednak istnieje kilka sposobów weryfikacji autentyczności, na jakie możemy sobie pozwolić. Poniżej opisuję kilka z nich:

  • Sprawdź rozmiar pliku. jeżeli rozmiar pliku wydaje się podejrzanie mały lub duży, może to oznaczać, iż plik został zmieniony. Spróbuj znaleźć oryginalny rozmiar pliku online i porównaj go z rozmiarem pobranego.
  • Szukaj komentarzy lub recenzji. Wiele sieci P2P umożliwia użytkownikom dodawanie komentarzy lub recenzji na temat pobranych plików. Sprawdź te komentarze, aby zobaczyć, czy inni użytkownicy mieli pozytywne doświadczenia z plikiem, który chcesz pobrać.
  • Przeskanuj plik dzięki systemu antywirusowego. Użyj programu antywirusowego, aby przeskanować plik przed jego otwarciem. Może to pomóc wykryć złośliwe oprogramowanie lub inną szkodliwą zawartość ukrytą w pliku.
  • Sprawdź hash pliku. Wartość skrótu to unikalny kod identyfikujący plik. Porównując wartość skrótu pobranego pliku z wartością skrótu oryginalnego pliku, możesz sprawdzić, czy plik jest autentyczny. Możesz użyć narzędzi online do generowania i porównywania wartości skrótu.

Jednak pomimo tych możliwości pobieranie plików dzięki sieci P2P przez cały czas jest bardzo ryzykowne. jeżeli to możliwe, rozważ korzystanie z innych źródeł, takich jak oficjalne strony internetowe lub zaufane portale.

Załączniki do wiadomości e-mail

Załączniki do wiadomości e-mail są kolejnym powszechnym źródłem pobieranych plików. Często słyszy się o tym sposobie infekcji urządzeń. Zachowaj szczególną ostrożność w przypadku załączników pochodzących od nieznanych lub podejrzanych nadawców i nie otwieraj ich, jeżeli nie masz pewności, iż pochodzą ze sprawdzonego źródła. Szczególnie zwróć uwagę, czy są w jakiś sposób spakowane. jeżeli tak, ryzyko, iż zawierają szkodliwe oprogramowanie, zwiększa się ponad dwukrotnie.

Jak sprawdzić, czy plik w wiadomości e-mail zawiera złośliwe oprogramowanie?

O tym, jak ważne jest to zagadnienie, nie muszę chyba nikogo uświadamiać. Oto kilka sposobów sprawdzenia, czy plik w wiadomości e-mail jest bezpieczny do pobrania:

  1. Sprawdź nadawcę. jeżeli nie rozpoznajesz nadawcy lub e-mail wygląda podejrzanie, nie pobieraj pliku. Oszuści często używają fałszywych adresów e-mail do rozprzestrzeniania złośliwego oprogramowania.
  2. Sprawdź rozszerzenie pliku. Rozszerzenie pliku to część nazwy pliku występująca po kropce, na przykład .exe lub .pdf. Złośliwe oprogramowanie często udaje nieszkodliwy plik, więc sprawdź rozszerzenie, aby upewnić się, iż jest to typ pliku, którego się spodziewałeś. Na przykład, jeżeli spodziewałeś się pliku PDF, upewnij się, iż rozszerzenie to .pdf.
  3. Przeskanuj plik dzięki systemu antywirusowego. Użyj programu antywirusowego, aby przeskanować plik przed jego otwarciem. Może to pomóc wykryć złośliwe oprogramowanie lub inną szkodliwą zawartość, która może być ukryta w pliku.
  4. Uważaj na makra. Makra to małe programy, które można uruchamiać w dokumencie, takim jak dokument programu Word lub arkusz kalkulacyjny programu Excel. Twórcy złośliwego systemu często używają makr do rozprzestrzeniania wirusów. jeżeli nie masz pewności, czy uruchamianie makra jest bezpieczne, nie włączaj go.

Pierwszą formą zapewnienia sobie bezpieczeństwa jest pobieranie plików z zaufanych źródeł. W miarę możliwości trzymaj się oficjalnych stron internetowych i zachowaj ostrożność podczas pobierania z sieci P2P lub załączników do wiadomości e-mail. Pobierając pliki z zaufanych źródeł, zmniejszysz ryzyko pobrania plików, które są szkodliwe lub zostały naruszone. Jednak zwracam tutaj szczególną uwagę na użyte słowo zmniejszysz. Nie istnieje sposób który zapewni Ci 100% bezpieczeństwo.

Podpisy cyfrowe

Wiesz już na temat źródeł, z jakich mogą pochodzić pliki oraz o ryzyku pobierania każdego z nich. Istotne jest rozumienie ryzyka, które pochodzi niezależnie od źródła, z jakiego pobierasz plik, oraz świadomość tego, iż nie istnieje pewność choćby w przypadku, gdy plik pochodzi z oficjalnej strony. Dlatego zawsze warto korzystać ze sposobów uwierzytelniania plików.

Jednym ze sposobów upewnienia się, iż pliki nie zostały naruszone, jest użycie podpisów cyfrowych. Podpis cyfrowy to rodzaj podpisu elektronicznego, który weryfikuje autentyczność pliku i tożsamość osoby, która go podpisała. Gdy plik jest w ten sposób podpisany, dodawany jest do niego unikatowy kod. Ten podpis jest tworzony przy użyciu klucza prywatnego należącego do osoby, która podpisała plik. Podpis można następnie zweryfikować dzięki klucza publicznego, który jest dostępny dla wszystkich, kto chce sprawdzić autentyczność pliku. Podpisy cyfrowe dają pewność, iż pliki nie zostały zmodyfikowane od czasu ich podpisania. jeżeli po podpisaniu pliku zostaną wprowadzone jakiekolwiek zmiany, podpis cyfrowy straci ważność, wskazując, iż plik został zmodyfikowany.

Sprawdzenie autentyczności podpisu cyfrowego

Aby sprawdzić autentyczność pliku podpisanego cyfrowo, w systemie Linux możesz skorzystać z narzędzia GNU Privacy Guard, w uproszczeniu GPG. Oto, w jaki sposób możemy tego dokonać:

Pierwsze, co musimy zrobić, to zaimportować klucz publiczny osoby, która podpisała plik. Klucz publiczny można zwykle znaleźć na stronie internetowej osoby podpisującej lub za pośrednictwem serwera kluczy. Aby zaimportować klucz, użyj następującego polecenia:

$ gpg –recv-keys [ID-KLUCZA]

Zastąp [ID-KLUCZA] identyfikatorem klucza, który chcesz zaimportować.

Podpis cyfrowy jest zwykle dostarczany w osobnym pliku z rozszerzeniem .sig lub .asc. Dlatego ważne jest aby pobrać plik podpisu wraz z plikiem, który chcesz zweryfikować.

W celu weryfikacji pliku użyj następującego polecenia:

$ gpg –verify [PLIK PODPISU] [PLIK DO WERYFIKACJI]

Zamień [PLIK-PODPISU] na nazwę pliku podpisu, a [PLIK-DO-WERYFIKACJI] na nazwę pliku, który chcesz zweryfikować.

Dane wyjściowe polecenia pokażą, czy podpis jest ważny, czy nie. jeżeli podpis jest ważny, otrzymamy informację o autentyczności pliku.

Pamiętaj jednak, iż podpisy cyfrowe nie są niezawodne i przez cały czas mogą być podatne na niektóre rodzaje ataków. Zapewniają jednak dodatkową warstwę bezpieczeństwa i mogą pomóc w weryfikacji autentyczności plików.

Uwierzytelnianie plików dzięki wartości skrótu

Następnym sposobem uwierzytelniania plików jest użycie wartości skrótu. Wartość skrótu to unikalny kod alfanumeryczny, który jest generowany przez uruchomienie algorytmu matematycznego na pliku. Algorytm tworzy dane wyjściowe o stałym rozmiarze, które są unikalne dla pliku i zmieniają się, jeżeli plik zostanie w jakikolwiek sposób zmodyfikowany. Aby uwierzytelnić plik dzięki wartości skrótu, możesz wygenerować wartość skrótu oryginalnego pliku i porównać ją z wartością skrótu pobranego pliku. jeżeli wartości skrótu są zgodne, to pobrany plik jest identyczny z oryginalnym plikiem i nie został zmodyfikowany.

Sprawdzenie autentyczności pliku dzięki wartości skrótu

Dostępnych jest kilka narzędzi do generowania i porównywania wartości skrótu, takich jak md5sum i sha256sum. O tym trochę wspomniałem na końcu tego materiału (https://securitybeztabu.pl/dlaczego-warto-prawie-zawsze-sprawdzac-md5-pliku/).

Na przykładzie pobierania obrazów Kali Linux ze strony https://www.kali.org/get-kali/#kali-virtual-machines, warto zwrócić uwagę na zakładkę SUM. Klikając na nią, pojawi się kod SHA256sum:

SHA256sum 7e675a83094a2863a66872a400109e6cb10540061c359fc7cef6d4152daa4723

W celu weryfikacji wartości skrótu, w systemie Linux należy wpisać polecenie:

$ sha256sum nazwa_pliku

W miejsce nazwa_pliku wpisujemy nazwę pliku, którego wartość skrótu chcemy sprawdzić.

Należy jednak pamiętać, iż wartości skrótu mogą być podatne na niektóre typy ataków, takie jak ataki kolizyjne, w których dwa różne pliki mają tę samą wartość skrótu. Dlatego sprawdzenie wartości skrótu dodaje dodatkową warstwę bezpieczeństwa, ale nie stuprocentową, identycznie jak w przypadku podpisów cyfrowych.

Oprogramowanie antywirusowe

Oprogramowanie antywirusowe to narzędzie, które może pomóc w weryfikacji autentyczności plików poprzez skanowanie ich w poszukiwaniu złośliwego oprogramowania. Gdy pobierasz plik z Internetu lub otrzymujesz go pocztą e-mail, ważne jest, aby przed otwarciem przeskanować go oprogramowaniem antywirusowym, ponieważ może on zawierać szkodliwe oprogramowanie, które może zainfekować urządzenie na którym będzie uruchomione.

Oprogramowanie antywirusowe działa na zasadzie porównywania podpisu cyfrowego lub wartości skrótu pliku z bazą danych znanych sygnatur złośliwego oprogramowania. Jeśli zostanie znalezione dopasowanie, wyświetli ono ostrzeżenie i podda plik kwarantannie (w zależności od konfiguracji), aby zapobiec uszkodzeniu komputera. jeżeli nie zostanie znalezione dopasowanie, plik jest uważany za bezpieczny i można go otworzyć.

Warto jednak pamiętać, iż niektóre wirusy lub złośliwe oprogramowanie mogą uniknąć wykrycia przez oprogramowanie antywirusowe, dlatego ważne jest, aby zachować ostrożność i nie otwierać podejrzanych plików ani linków, szczególnie jeżeli pochodzą z nieznanych źródeł. choćby o ile nasz program antywirusowy mówi co innego.

Sprawdzenie plików dzięki ClamAV

ClamAV to darmowy antywirus dostępny w większości dystrybucji Linux. Aby zweryfikować plik, najlepiej skorzystać z tego narzędzia w następujący sposób:

$ clamscan –detect-pua exel

Opcja –detect-pua informuje ClamAV, aby wykrył i raportował potencjalnie niepożądane aplikacje (PUA – Potentially Unwanted Applications), które mogą nie być uznane za wirusy, ale przez cały czas stanowią zagrożenie dla systemu lub prywatności użytkownika.

Korzystanie z systemu antywirusowego może pomóc w weryfikacji autentyczności plików. Ważne jest, aby zaktualizować je najnowszymi definicjami wirusów i używać w połączeniu z innymi metodami weryfikacji, o których wspomniałem powyżej.

Zalecenia…

Całość napisanego przeze mnie materiału sprowadza się do wskazania ogólnych zaleceń co do weryfikacji plików. Do takich działań, moim zdaniem, należą:

  1. Pobieraj pliki tylko z renomowanych źródeł.
  2. Sprawdź adres URL witryny.
  3. Sprawdź autentyczność pliku.
  4. Aktualizuj oprogramowanie antywirusowe.
  5. Włącz automatyczne aktualizacje.
  6. Używaj silnych haseł.

Choć mogą Cię zaskoczyć dwie ostatnie pozycje, ponieważ nie wymieniłem ich w tym materiale, są one równie istotne jak wszystkie pozostałe. Mają one ogólny związek z bezpieczeństwem, dlatego zostały umieszczone na tej liście.

Podsumowanie

Puentą tego materiału jest to, iż nie istnieje narzędzie, które zapewni nam bezpieczeństwo. My jedynie możemy próbować osiągnąć najwyższy dostępny poziom bezpieczeństwa. Jednak jest coś o czym nie wspomniałem, a mianowicie błąd ludzki. Tak naprawdę, można wprowadzić najdroższe, najlepsze na daną chwilę zabezpieczenia, ale o ile nie przeszkolimy użytkowników, co im wolno, a co nie, lub też wystąpi w jakiś sposób błąd ludzki, to w wielu przypadkach tak jakby tych zabezpieczeń nie było. Dlatego warto dokształcać się w tym zakresie, niezależnie od tego, czym się zajmujemy. My wszyscy w jakiś sposób korzystamy z internetu, a czy będziemy to robili w bezpieczny sposób, zależy od nas samych.

Idź do oryginalnego materiału