Muchas descargas, como la de numerosos paquetes de software así como las imágenes ISO de las distribuciones Linux que descargamos nos presentan hashes MD5. Un hash es una clave cifrada sacada de un paquete que es única para dicho paquete, por tanto, si se modifica éste, la suma también se verá modificada, por tanto resulta una herramienta potente para saber si el software que te has descargado ha sufrido alguna modificación o daño, ya que el hash para un paquete es único, como la huella dactilar.
Si se comprueba que el hash de tu descarga y el hash que te ofrece el desarrollador o distribuidor en la web coinciden, entonces puedes estar tranquilo de que tu descarga está libre de daños o modificaciones. Pero no del todo… ya que hemos visto un ejemplo en el ataque de la web de Linux Mint, donde el atacante modificó el hash de la imagen ISO que había modificado con un backdoor para que al descargarla y comprobar el hash, éste coincidiese y no levantase sospechas.
No obstante es importante usar, por ejemplo md5sum, para comprobar estas sumas y garantizar que no han metido su zarpa terceros para modificar el paquete, siempre y cuando la web o servidor no haya sido atacada, por supuesto… Comprobar el hash es una buena práctica que muy pocos hacen y que desde LxA te animamos a realizar. Para comprobarlo es bien sencillo, si tienes instalado el paquete md5sum (instalada por defecto), y te has descargado una ISO o cualquier otro paquete, lo único que tienes que hacer es:
*Imaginando que el paquete que hemos bajado se llama lxa.iso (que lo tenemos en el directorio Descargas)
cd Descargas md5sum lxa.iso
Dándote un hash que debes ver si es igual que el que muestra el sitio web de la descarga… ¡Ojo! El sitio web de la descarga debe ser de confianza, de lo contrario la comprobación no servirá de nada. Y un último apunte, también se hacen sumas con SHA-1, más seguro que MD5, y en cuyo caso, el procedimiento es el mismo, sustituyendo “md5sum” por “sha1sum”.
Si hay cualquier mínima modificación entre el hash obtenido y el hash original, no deberías fiarte del paquete…
El artículo ¿Es importante verificar el hash de tus descargas? ha sido originalmente publicado en Linux Adictos.
from Linux Adictos http://ift.tt/1Rm2S1i
via IFTTT
Pacosite's Blog 