Na pewno ściągasz lub ściągnąłeś „darmowe” (albo i płatne) oprogramowanie w internecie. Ale pewnie nie chciało Ci się sprawdzić jego pochodzenia lub też hasha pliku. Dziś więc dowiesz się, jak bezpiecznie ściągać software.
Wstęp – Jak bezpiecznie ściągać software
Często jest tak, że znajdujesz darmową wersję płatnego oprogramowania. I myślisz, że haker, który dużo się napracował nad złamaniem danego oprogramowania, odda Ci je za darmo. Nie wiem, jak Ty, ale ja każdą spędzoną godzinę pracy nad danym oprogramowaniem chciałbym odzyskać – w formie $$$, bym mógł to wykorzystać na coś innego.
I tak właśnie jest – haker spędza parę godzin, dni czy miesięcy łamiąc dane oprogramowanie, na przykład Photoshopa. Wrzuca to na Torrenty, a Ty lecisz i ściągasz to oprogramowanie. I nie wiesz, że gdy już ściągniesz sobie to oprogramowanie i je odpalisz, zostaje przejęty Twój system.
Był to koń trojański, o którym możesz dowiedzieć się tu. System został przejęty, napastnik wgrywa dodatkowe oprogramowanie.
Pozwoli mu ono na dalszą eksplorację systemu
Tak właśnie wygląda to najczęściej. Pamiętaj, w życiu za darmo to nawet w mordę nie dostaniesz. W dzisiejszych czasach płacisz kartą kredytową lub informacjami. Nikt nie robi nic za darmo. Na przykład Facebook: myślisz, że korzystasz za darmo.
Fajnie, mogę wstawiać do oporu zdjęć, mogę dzielić się jakimiś informacjami z bliskimi (i nie tylko, ale o tym innym razem). I myślisz sobie, że jest to za darmo, a Facebook wykorzystuje wszystkie dane, które mu przekazujesz, sprzedając je np. reklamodawcy.
Reklamodawca wykorzystuje je, by lepiej sprzedać Ci produkt, na przykład wysłać reklamę Coca-coli do osób, które polubiły stronę Coca-coli.
Dobrze, więc jeśli już wiesz, że prawie wszyscy coś od Ciebie chcą (pieniędzy, uwagi, informacji)
Dobrze, więc jeśli już wiesz, że prawie wszyscy coś od Ciebie chcą (pieniędzy, uwagi, informacji), zastanów się dwa razy, czy naprawdę potrzebujesz danego oprogramowania. Czy chcesz, aby firma xxx wiedziała o Tobie wszystko?
I tworzyła dla Ciebie bańkę informacyjną. Zrób test: wpisz jakąś znaną Ci frazę w Google, coś, co chciałbyś znaleźć. A teraz otwórz drugie okno w przeglądarce, uruchom Duck Duck Go („https://duckduckgo.com/”). Jest to inny rodzaj wyszukiwarki.
I teraz wpisz tę samą frazę w Duck Duck Go i zobacz, czy masz w 100% takie same wyniki wyszukiwania. Bardzo rzadko, a wręcz prawie nigdy się nie zdarza, by wyniki były takie same. Oczywiście obie wyszukiwarki mają inne silniki itd. Ale zwróć uwagę, że Google podaje Ci bardziej spersonalizowane wyniki, pasujące bardziej do Ciebie.
Sklepy na telefonie
Zacznijmy od telefonów. Na temat App Store nie będę się wypowiadał, ponieważ nie mam dużej wiedzy w tym temacie. Wiem, że ten sklep nie jest w stu procentach bezpieczny, ponieważ wielokrotnie zdarzały się aplikacje, które przeszły testy, a i tak coś w nich było.
Na pewno jednak jest bezpieczniejszy niż Google Play Store, ponieważ w Google jest dużo więcej autorów oprogramowania i nie są oni też tak dokładnie sprawdzani – po prostu jest to ciężkie przy takiej ilości aplikacji. A ta ilość cały czas wzrasta.
Tak jak wspomniałem, zastanów się, czy dana aplikacja jest Ci potrzebna. Na przykład latarka czy kalendarz – są to wbudowane mechanizmy, a niektórzy ściągają aplikacje tego typu. Jeśli już wiesz, że chcesz ściągnąć daną aplikację i z niej korzystać, sprawdź proszę !! czy pochodzi ona wprost od developera, czy może sprzedaje ją ktoś inny.
Czy to oprogramowanie robi firma, czy też jedna osoba? A może to jest jakiś fake adres podany. Na przykład widać, że mail jest z Indii, a adres ze Stanów. I tym podobne niespójne dane. Jeśli już aplikacja przejdzie przez to sito, zobacz, jakich uprawnień będzie ona potrzebować. I zastanów się, czy latarka potrzebuje dostępu do aparatu, czy potrzebuje dostępu do kontaktów?
Po co jej to, nie do tego służy chyba to oprogramowanie? Dzięki tym pytaniom ustrzeżesz się masy fałszywego oprogramowania, które wykradłoby twoje dane. Oczywiście może zdarzyć się, że wszystko wygląda super. W tle coś było jednak dograne i teraz się męczysz. Nie da się zniwelować ryzyka do zera.
Lecz dzięki powyższym pytaniom możesz się ustrzec przed masą tego syfu, więc zadawaj je sobie. Wszystkie informacje powyżej, które musisz sprawdzić, są na każdej aplikacji, jaką chcesz ściągnąć. Po prostu przewiń na dół.
Oprogramowanie na komputerze
Zasada jest tu podobna, wszystkie powyższe kryteria muszą być spełnione. Plus: nie ściągaj oprogramowania z jakichś dzikich stron typu dobre programy, instalki itp. Od tego jest strona producenta, by od niego to ściągać.
Z innych stron, jak już powyżej opisałem, możesz w pakiecie ściągnąć trojana lub też jakiś adware czy spyware. Po co Ci to, żadnych bonusów z tego nie ma. Co najwyżej irytujące pop-upy na pulpicie, przekierowania w przeglądarce i tym podobne.
Dla przykładu: nie szukaj 7zip na innych stronach, niż strona twórcy tego oprogramowania (https://www.7-zip.org/) . Pamiętaj, że jeśli ściągasz z innej strony, możesz liczyć na niespodziankę :). Już w samej paczce (np. zip), jeszcze przed wypakowaniem i zainstalowaniem programu, może być dograny kod, który zainstaluje u Ciebie np. malware.
Czasami warto zapłacić te 10-20 zł czy dolarów za oprogramowanie, a cieszyć się spokojem i niewykradzionymi danymi ;). Podczas instalacji również czytaj warunki oraz uprawnienia, jakie dostaje aplikacja. Wiem, że jest to mozolne, nudne itp.
Ale jeśli tego nie zrobisz, nie wiesz, na co się godzisz. To jest tak, jakbym ja podszedł do Ciebie, dał Ci umowę do podpisania, a Ty – nie czytając – wszystko byś podpisał. A tam zapis, że wszystko, co posiadasz lub będziesz posiadał przez najbliższe 10 lat, należy do mnie. Czy w takim wypadku chętniej byś przeczytał te zapisy przy instalacji? Jeśli tak, to właśnie w ten sposób sobie to wyobrażaj.
Suma kontrolna hash pliku
Kolejnym aspektem, którym musimy sprawdzić, jest suma kontrolna. Nawet gdy ściągasz oprogramowanie od właściciela z jego strony i tak może się wydarzyć coś złego. Na przykład po drodze napastnik zaatakował MITM i przesłał Ci nie ten plik, który ściągnąłeś.
Aby sprawdzić jego poprawność, musisz sprawdzić hash pliku (jego sumę kontrolną). Producenci prawie zawsze podają sumę kontrolną od razu obok ściąganego oprogramowania.
Są to numerki, które musimy porównać z sumą kontrolna pliku, który ściągnęliśmy, by sprawdzić, czy na pewno mamy plik od producenta i czy nie zostało nam nic podrzucone. Jeśli to zrobimy, będziemy pewni, że mamy odpowiedni plik.
Oczywiście może się zdarzyć, że suma kontrolna na stronie producenta jest podmieniona. Ale tego nie będziemy mogli sprawdzić przed faktem – dopiero, gdy wykryjemy coś u siebie na komputerze, będziemy mogli to zgłosić. Lub jeśli ktoś inny to zgłosi, producent powinien nas poinformować – czy to mailowo, czy na swojej stronie.
Dobrze, teraz jak sprawdzić sumę kontrolną Twojego pliku dla Windows?
- Otwieramy PowerShell poprzez klikniecie ikonę lupki i wpisanie „powershell”.
- Dobrze, teraz jak sprawdzić sumę kontrolną Twojego pliku? Jeśli korzystasz z Windowsa, musisz otworzyć Powershell. Kliknij lupkę i wpisz Powershell. Uruchom go jako administrator i wpisz komendę:
Get-FileHash C:\Users\%%\Downloads\nazwa%%.exe -Algorithm SHA256 | Format-List
- W powyższej komendzie plik znajduje się w folderze Pobrane w systemie Windows. W miejsce znaków %% musisz wstawić nazwę swojego użytkownika, np. „C:\Users\PUSZ\Downloads\”.
- Następnie dodać nazwę pliku, który chcemy sprawdzić, czyli na przykład „C:\Users\PUSZ\Downloads\7zip.exe”.
- Jak już to zmienimy, musimy sprawdzić, jaki rodzaj sumy kontrolnej został użyty. Jest to podane na stronie producenta, np. SHA256.
- Jeśli jest inny, wtedy w polu Algorithm zmieniamy SHA256 na inny np MD5. Poniżej przykład sumy kontrolnej:
- Następnie klikamy Enter. Jak już dostaniemy wynik – zazwyczaj dostajemy go bardzo szybko – musimy porównać oba hashe, nasz i ten na stronie producenta. Ja korzystam do tego z Excela, nie chce mi się sprawdzać literka po literce i cyferka po cyferce.
- Sprawdzam duplikaty. I jeśli zaznaczy się na czerwono lub usunie, to jest ok. I mogę teraz śmiało instalować oprogramowanie.
Dobrze, teraz jak sprawdzić sumę kontrolną Twojego pliku dla Linuxa?
- Dla Linuxa jest to sha256sum w terminalu, jeśli jesteś w odpowiednim pod folderze.
Poniżej podaję parę stron które uznawane są za bezpieczne.
Jeśli naprawdę nie chcesz ściągać ze strony producenta. Uznawane są one za bezpieczne, ale i tak sprawdzaj za każdym razem hash pliku (sumę kontrolną).
Podsumowanie
Na tym zakończmy na dziś temat „Jak bezpiecznie ściągać software”. Mam nadzieję, że dowiedziałeś się czegoś nowego i już nie będziesz instalować byle czego ;). Bo najczęściej wyciekiem danych padają osoby, u których jest nieaktualne oprogramowanie, ale również takie które nie było sprawdzone przed instalacją
Zapraszam do ocenienia artykułu, by poinformować mnie jak i przyszłych czytelników o jego wartości.
Pozdrawiam – Pusz 🙂
The form you have selected does not exist.
Funkcja trackback/Funkcja pingback