网络安全 文件下载的一些安全小细节

2017/12/0322:41:00网络安全 文件下载的一些安全小细节已关闭评论 761

最近事情多,没办法,创业,偶尔“灰袍”里分享分享,比起写文章来说确实不那么费力。

不用问我创业还想做什么,反正如果是普通的事,我也不会创业。在网络安全上,独树一帜潇洒自在比起被套路捆绑重要得多。不用期待我们能如何,你只需知道,比如这个懒号,会是我们发声的一个重要通道。

最近这个世界出了不少事,我也学到了个和公信力危机有关的词“塔西佗陷阱”。虽然我对整体发展是乐观的,但是,这是群体规律,是的,在进化,会乐观,但如果事件发生在个体身上,这个个体就不会这样冷静了,不冷静后,你觉得什么不会发生?

好了,这里随便跑点题,现在进入正题吧。

给大家简单分享点小细节安全经验,关于文件下载的。

我下载一个文件,尤其当这个文件是个安装程序,无论是 Win 上的还是 Mac 上的,我都特别特别谨慎这个安装程序到底靠不靠谱,对我来说我是职业选手,我的判断手法很多,但对于普通人来说那可不是件轻松的事。于是,对于大家来说,我们会建议下载这些文件,一定要首选官方,然后是靠谱的第三方源,比如某些安全软件的软件下载中心。

下面这几个小细节大家特别注意下。

1、全程 https

什么是全程?首先你打开的官方网页是 https,然后点击下载后,下载地址必须也是 https,这才是全程 https。

有的下载忽视了这点,如果下载地址不是 https,我会担心被坏人中间人劫持,这里至少两种技巧可以实施这种中间人劫持攻击,一种是 DNS 劫持,一种是 Backdoor Factory 这种技巧

如果下载地址所在的网页也不是 https,那甚至可以直接在“下载地址所在的网页”响应输出的时候把下载地址完全替换掉,很难被察觉。

2、文件篡改校验

良心的下载,一般会至少给出目标文件的 MD5,更好点的是 SHA256,那是因为目前 256 这个加密级别还未被如碰撞破解成功过。

有了这几个哈希值,校验就简单了,见我之前这篇文章:我是如何 Python 一句话校验软件哈希值的。

这里需要特别提下更被推荐的校验技巧:GPG 签名校验。

你可能会在有的下载里看到附带一个 .sig 文件,那么如果你之前准备过 GPG 环境,校验很简单,一行命令:

gpg --verify xxx.zip.sig zzz.zip

看输出信息就可以判断是否通过签名校验。

GPG 我之前文章也提过,比如这篇:期待下 Google 在推进的 E2EMail 项目,当然我估计很多人还是不懂,那么,如果想入门可以看这篇:

GPG入门教程

http://www.ruanyifeng.com/blog/2013/07/gpg.html

其实,我还会根据这些点来辅助判断目标厂商是否真的懂安全或用户隐私。

到这的话,文件下载就靠谱了?嗯...至少靠谱一个等级了。还有没有改进空间?当然有了,不过不展开了。

那么,如果你要说把目标网站黑掉,在里面直接替换,包括校验的那些“参数”都给替换了,可以吧?当然了,这又不是没发生,可以说这是个挺普遍的深度攻击了。遇到这个情况怎么办?其实,真不知道怎么个办好。

最近几年,供应链攻击越来越火,那些玩 APT 攻击的,耐心有的是,不一定要直接黑掉你,可以黑和你有关的“供应链”呀,比如你总会下载些安装程序吧?你总会做升级操作吧?自己电脑或服务器里躺了几个后门都不知道了吧?

那么后续到底该怎么办?

好吧,这篇文章已经完成了使命,后续的事,我有空了再补上一篇。

人生苦短,多学点技巧至少可以保护自己和身边的人。

 

VIA:懒人在思考

本文最后更新于2017年12月3日,已超过 1 年没有更新,涉及的内容可能失效,如需帮助,请联系站长QQ,谢谢!
  • 我的微信
  • 这是我的微信扫一扫
  • weinxin
  • 我的微信公众号
  • 我的微信公众号扫一扫
  • weinxin