最近事情多,没办法,创业,偶尔“灰袍”里分享分享,比起写文章来说确实不那么费力。
不用问我创业还想做什么,反正如果是普通的事,我也不会创业。在网络安全上,独树一帜潇洒自在比起被套路捆绑重要得多。不用期待我们能如何,你只需知道,比如这个懒号,会是我们发声的一个重要通道。
最近这个世界出了不少事,我也学到了个和公信力危机有关的词“塔西佗陷阱”。虽然我对整体发展是乐观的,但是,这是群体规律,是的,在进化,会乐观,但如果事件发生在个体身上,这个个体就不会这样冷静了,不冷静后,你觉得什么不会发生?
好了,这里随便跑点题,现在进入正题吧。
给大家简单分享点小细节安全经验,关于文件下载的。
我下载一个文件,尤其当这个文件是个安装程序,无论是 Win 上的还是 Mac 上的,我都特别特别谨慎这个安装程序到底靠不靠谱,对我来说我是职业选手,我的判断手法很多,但对于普通人来说那可不是件轻松的事。于是,对于大家来说,我们会建议下载这些文件,一定要首选官方,然后是靠谱的第三方源,比如某些安全软件的软件下载中心。
下面这几个小细节大家特别注意下。
1、全程 https
什么是全程?首先你打开的官方网页是 https,然后点击下载后,下载地址必须也是 https,这才是全程 https。
有的下载忽视了这点,如果下载地址不是 https,我会担心被坏人中间人劫持,这里至少两种技巧可以实施这种中间人劫持攻击,一种是 DNS 劫持,一种是 Backdoor Factory 这种技巧。
如果下载地址所在的网页也不是 https,那甚至可以直接在“下载地址所在的网页”响应输出的时候把下载地址完全替换掉,很难被察觉。
2、文件篡改校验
良心的下载,一般会至少给出目标文件的 MD5,更好点的是 SHA256,那是因为目前 256 这个加密级别还未被如碰撞破解成功过。
有了这几个哈希值,校验就简单了,见我之前这篇文章:我是如何 Python 一句话校验软件哈希值的。
这里需要特别提下更被推荐的校验技巧:GPG 签名校验。
你可能会在有的下载里看到附带一个 .sig 文件,那么如果你之前准备过 GPG 环境,校验很简单,一行命令:
gpg --verify xxx.zip.sig zzz.zip
看输出信息就可以判断是否通过签名校验。
GPG 我之前文章也提过,比如这篇:期待下 Google 在推进的 E2EMail 项目,当然我估计很多人还是不懂,那么,如果想入门可以看这篇:
GPG入门教程
http://www.ruanyifeng.com/blog/2013/07/gpg.html
其实,我还会根据这些点来辅助判断目标厂商是否真的懂安全或用户隐私。
到这的话,文件下载就靠谱了?嗯...至少靠谱一个等级了。还有没有改进空间?当然有了,不过不展开了。
那么,如果你要说把目标网站黑掉,在里面直接替换,包括校验的那些“参数”都给替换了,可以吧?当然了,这又不是没发生,可以说这是个挺普遍的深度攻击了。遇到这个情况怎么办?其实,真不知道怎么个办好。
最近几年,供应链攻击越来越火,那些玩 APT 攻击的,耐心有的是,不一定要直接黑掉你,可以黑和你有关的“供应链”呀,比如你总会下载些安装程序吧?你总会做升级操作吧?自己电脑或服务器里躺了几个后门都不知道了吧?
那么后续到底该怎么办?
好吧,这篇文章已经完成了使命,后续的事,我有空了再补上一篇。
人生苦短,多学点技巧至少可以保护自己和身边的人。
VIA:懒人在思考
- 我的微信
- 这是我的微信扫一扫
- 我的微信公众号
- 我的微信公众号扫一扫