Hver gang du downloader et program fra internettet, er du tvunget til at stole på udvikleren, at det ikke er malware. Ingen anden måde. Men normalt er dette ikke et problem, især med berømte udviklere og software.
Dog er websteder, der hoster software, mere sårbare over for angreb. Angribere kan underminere et websteds sikkerhed og erstatte programmer med ondsindede versioner af dem. Den ondsindede version ser ud og fungerer præcis som originalen, bortset fra at den har en bagdør indsat. Med denne bagdør kan en angriber kontrollere forskellige dele af computeren. Din computer vil blive indsat i et botnet eller værre, malwaren vil vente, indtil du bruger dit kredit-/betalingskort og stjæler dine loginoplysninger. Du bør være særlig forsigtig, når du downloader vigtig software såsom operativsystemer, cryptocurrency tegnebøger eller anden lignende software.
Instruktioner til godkendelse af Windows-software ved hjælp af digitale signaturer
Softwareskribenter kan "signere" deres produkter. Medmindre en angriber kan stjæle softwareskribentens private nøgle, er der ingen måde for nogen at forfalske denne signatur. Der er mange tilfælde, hvor tusindvis af brugere har downloadet ondsindede programmer, og i næsten alle tilfælde, hvis de tjekkede de digitale signaturer, ville de have bemærket, at de var ugyldige, og situationen kunne have været undgået. Det er relativt nemt at erstatte software på et sårbart websted, men ekstremt svært at stjæle en privat nøgle, der er korrekt gemt og isoleret fra internetadgang.
Du kan læse mere om digitale signaturer i artiklen: Sådan kontrollerer du ægtheden af Linux-software ved hjælp af digitale signaturer . Denne artikel diskuterer det samme, bortset fra at du bruger Windows-værktøjer til at godkende downloads.
Download og installer Gpg4win . Smarte mennesker vil undre sig over, hvordan man med sikkerhed kan vide, at denne software er legitim. Dette er et godt spørgsmål, og hvis denne downloadside er brudt, så vil alle de trin, der følger, være forgæves.
Heldigvis har udvikleren Gpg4win gennemgået alle besværet med at få sin software signeret af en certificeringsmyndighed, og beskriver trinene til at verificere sit program på hjemmesiden. Selvom den samme kryptografi bruges til at kontrollere validiteten, vil den overordnede metode være anderledes. Digitale certifikater bruges til dette.
Lad os sige, at du vil downloade Bitcoin Core -pungen . Download den eksekverbare Windows x64-fil ( exe , ikke zip ). Klik derefter på " Bekræft udgivelsessignaturer " for at downloade filen SHA256SUMS.asc. Det første trin er at bekræfte hashen af installationsfilen.
Gå til download-mappen og med Gpg4win installeret, kan du nu højreklikke på en fil og en ny kontekstmenu vises. Højreklik på Bitcoin-installationsfilen ( exe du downloadede) og vælg Flere GpgEX-indstillinger > Opret kontrolsummer , som på billedet nedenfor.
Åbn både de oprettede sha256sum.txt og downloadede SHA256SUMS.asc- filer. Sammenlign SHA256-kontrolsummen, og de bør være de samme.
Selvom du lige har downloadet opsætningsfilen og checksum-listen fra det samme websted, kan en angriber, hvis en angriber erstatter installationsfilen, også nemt erstatte checksum-listen. Hackere kan dog ikke forfalske signaturer. Det kan bekræftes af en kendt (legitim) offentlig nøgle. Først skal du downloade denne nøgle.
Signaturbilledet ser sådan ud:
Dette er en inline signatur (inkluderet i den samme fil, som den validerer). Nogle gange vil denne signatur blive adskilt og placeret i en separat fil. Hvis du kun ændrer ét bogstav i denne tekstfil, vil signaturen ikke længere være gyldig. Dette er en måde at vide sig sikker på, at udvikleren har godkendt og underskrevet disse nøjagtige, specifikke aktiver med den korrekte kontrolsum.
Du har de offentlige nøgler til rådighed for download i afsnittet " Bitcoin Core Release Signing Keys " på Bitcoins downloadside. Som en sikkerhedsforanstaltning kan du downloade dem fra en anden kilde. Hvis angriberen erstatter de legitime nøgler med sin private nøgle, vil du finde de korrekte nøgler (og fingeraftryk) på alle de andre steder, hvor de blev lagt ud eller diskuteret.
Højreklik på SHA256SUMS.asc og vælg Decrypt and Verify . Programmet vil fortælle dig, at du ikke har en offentlig nøgle. Klik på Søg.
Søgningen kan tage et stykke tid. Bemærk strengen i feltet Find.
Du kan kopiere og indsætte i Google for at se offentlige nøglefingeraftryk, der er blevet diskuteret på legitime websteder eller fora. Jo flere steder du finder denne offentlige nøgle, jo mere sikker kan du være på, at den tilhører den retmæssige ejer.
Klik på tasten og indtast den. Du kan klikke på Nej i den prompt, du modtager næste gang (tag foranstaltninger for at bekræfte nøglen), hvis du ikke ved hvordan eller ikke vil gøre dette lige nu.
Klik til sidst på Vis revisionslog .
Du vil se den gode signaturtekst fremhævet på det næste billede.
Prøv at ændre kun ét bogstav i SHA256SUMS.asc, og du vil få resultatet som vist på det følgende billede.
Meget få udviklere giver dig mulighed for at kontrollere, om softwaren kommer fra dem. Men normalt vil programmer, der håndterer følsomme eller meget vigtige data, give dig denne mulighed. Brug muligheden for kontrol af digital signatur, og det kan redde dig fra problemer en dag.
Håber du har succes.
I dagens artikel vil Quantrimang opsummere nogle ofte stillede spørgsmål om standardadgangskoder for at hjælpe læserne med at besvare spørgsmål relateret til dette problem.
En række bedste sikkerhedsmetoder er opstået med fremkomsten af multicloud-miljøer, og der er nogle vigtige skridt, som alle organisationer bør tage, når de udvikler deres egne sikkerhedsstrategier.
I Microsofts Windows Vista-operativsystem tillod DreamScene opsætning af dynamiske baggrunde til computere, men otte år senere er det stadig ikke tilgængeligt på Windows 10. Hvorfor har denne skik repræsenteret et tilbagevenden til fortiden gennem årene, og hvad kan vi gøre for at ændre dette?
Hvis vi vil forbinde to bærbare computere til netværket, kan vi bruge et netværkskabel og så ændre IP-adresserne på de to computere, og det er det.
Når Windows viser fejlen "Du har ikke tilladelse til at gemme på denne placering", vil dette forhindre dig i at gemme filer i ønskede mapper.
Syslog Server er en vigtig del af en IT-administrators arsenal, især når det kommer til at administrere hændelseslogfiler på en central placering.
Fejl 524: En timeout opstod er en Cloudflare-specifik HTTP-statuskode, der angiver, at forbindelsen til serveren blev lukket på grund af en timeout.
Fejlkode 0x80070570 er en almindelig fejlmeddelelse på computere, bærbare computere og tablets, der kører operativsystemet Windows 10. Den vises dog også på computere, der kører Windows 8.1, Windows 8, Windows 7 eller tidligere.
Blue screen of death fejl BSOD PAGE_FAULT_IN_NONPAGED_AREA eller STOP 0x00000050 er en fejl, der ofte opstår efter installation af en hardwareenhedsdriver eller efter installation eller opdatering af en ny software, og i nogle tilfælde skyldes årsagen, at fejlen skyldes en korrupt NTFS-partition.
Video Scheduler Internal Error er også en dødbringende blå skærm-fejl, denne fejl opstår ofte på Windows 10 og Windows 8.1. Denne artikel vil vise dig nogle måder at rette denne fejl på.
