Vale a pena verificar os ISOs baixados do site oficial?

Eu baixei o ISO em https://www.ubuntu.com/download , selecionando a opção "Ubuntu Desktop" padrão.

O site vincula a página https://tutorials.ubuntu.com/tutorial/tutorial-how-to-verify-ubuntu, que fornece instruções sobre como verificar o ubuntu.

Isso parece muito entediante, e eu me pergunto como é realista que haja um problema com o ISO baixado do site oficial. Observo que o próprio processo de verificação exige que eu baixe um software novo para mim, introduzindo outro vetor de ataque em mim, mesmo quando estou fechando outro.

Pelo que vale, planejo usar apenas o Live USB e não instalar completamente o Ubuntu. Isso faz alguma diferença?

Sim, vale a pena.

Leva apenas alguns segundos para o md5sum / etc obter uma ISO baixada e garante que você não foi atacado pelo MITM etc. Além disso, esses segundos são seguros para as [horas de] tempo desperdiçado se você tiver alguns erros e depuração necessários perseguindo erros que ninguém mais recebe por causa do seu download (por exemplo, você tem problemas de rede e tenta depurar; mas a rede está cheia porque é isso que os poucos bits errados ...) Pense nos cheques de soma de verificação como um seguro muito barato.

O software necessário para o md5sum ser de outra fonte normalmente (uma versão mais antiga, mesmo os / distros diferentes na ocasião), é muito pequeno e já está presente para muitos / a maioria de nós.

Além disso, ele permite que eu baixe de um espelho local, mas porque pego o md5sum da fonte Canonical; Tenho seguro de que o espelho não brinca com ele. Novamente seguro muito barato que me custa ~ 3segs de tempo.

Sim, é MUITO RECOMENDADO que você verifique a imagem que baixou, eis alguns motivos:

• Leva apenas alguns segundos e posso dizer se a integridade do arquivo está correta, quero dizer, o arquivo não está corrompido. (Uma causa comum de corrupção é um erro de transferência devido a razões técnicas, como uma conexão com a Internet esquisita do comentário @sudodus.)
• Se o arquivo estiver corrompido e você gravar essa imagem ISO em uma unidade de CD / USB e ela não funcionar, ou durante a instalação poderá falhar, isso resultará em perda de tempo e CDs.
• Você tem certeza de que está usando a versão oficial CLEAN de qualquer tipo de imagem ou software ISO e não uma versão modificada (talvez por invasores), consulte este relatório: Watch Dogs piratas atingidos por um escorbuto malware de mineração de Bitcoin

Se você já possui uma distribuição GNU Linux, pode usar o md5sum , se estiver no Windows, pode usar: WinMD5Free .

Espero que ajude.

Sim, mas o Ubuntu parece tornar mais difícil do que deveria ser.

Na melhor das hipóteses, basta baixar foo.iso e foo.iso.sig e clicar no arquivo .sig (ou usar gpg no shell do arquivo .sig) depois de importar a chave uma vez. Isso custa alguns segundos.

O Ubuntu parece torná-lo mais complicado, forçando você a verificar as somas sha256 de um arquivo enquanto apenas o arquivo em si é assinado. Isso é conveniente para eles, mas mais trabalho para seus usuários.

Por outro lado, quando o arquivo foi gerado apenas por sha256sum * >SHA256SUMS, você pode verificá-lo usando sha256 -ce obtendo OK/Bad/Not-Foundcomo saída.

Verifique o seu /proc/net/deve veja quantos quadros TCP ruins você recebeu até o momento. Se você vir um valor de um dígito (espero que seja zero), continue lendo. Se você tiver muitos erros de rede, use o MD5 para verificar seus downloads (embora eu prefira investigar a causa raiz, pois uma rede não confiável significa que você não pode confiar em nada que recebe via HTTP).

Quando você está baixando pelo TCP, que soma todos os dados transmitidos, há muito poucas chances de ter um download corrompido com exatamente o mesmo tamanho. Se você está confiante de que está baixando do site oficial (normalmente está usando HTTPS e a verificação do certificado é aprovada), verificar se o download está completo é suficiente. Navegadores decentes geralmente fazem a verificação para você de qualquer maneira, dizendo algo como "o download falhou" se eles não obtiverem a quantidade de dados que esperam, embora eu tenha visto navegadores que decidem manter o arquivo incompleto sem dizer nada para o usuário; nesse caso, você pode verificar o tamanho do arquivo manualmente.

Obviamente, verificar uma soma de verificação ainda tem seu valor, cobrindo você nos casos em que o arquivo que você está baixando está corrompido no servidor, mas isso não acontece com muita frequência. Ainda assim, se você usar o seu download para algo importante, vale a pena dar um passo.

Como o @sudodus disse nos comentários, usar o Bittorrent em vez do HTTPS é outra opção, já que os clientes de torrents fazem um trabalho muito melhor ao lidar com dados incompletos / corrompidos, como os navegadores da web.

Observe que as somas de verificação realmente não impedem que você seja atacado, é para isso que serve o HTTPS.

Eu descobri da maneira mais difícil sobre não verificar a soma. Eu gravava um CD com um ISO corrompido durante um download e não conseguia inicializá-lo ou havia erros ao executar.

Como os outros disseram, leva pouco tempo.

Você está vendo isso com apenas um caso de uso. Em uma configuração com automação em massa, ajuda a verificá-lo; scripts que executam a verificação, antes de prosseguir com o que precisamos fazer com a imagem

Os outros deram respostas com detalhes técnicos que eu esqueci, apesar de ser um programador (meu trabalho não envolve comunicação através de redes), por isso vou apenas permitir que você saiba uma experiência pessoal.

Há muito tempo, quando eu costumava gravar CDs com frequência, uma vez me aconteceu baixar esta ISO de distribuição Linux que parecia ter baixado corretamente. O CD falhou comigo, então verifiquei o arquivo baixado e ele não correspondeu. Então, eu baixei novamente e funcionou. Então, isso só aconteceu uma vez em 15 anos desde que eu sou um usuário e programação avançados de computadores (uso computadores desde os 11, 19 anos atrás e queimei mais de mil discos). Mas é a prova de que isso pode acontecer.

Também aconteceu comigo pelo BitTorrent uma ou duas vezes, para que também não seja à prova de falhas. Ao forçar a verificação novamente do arquivo baixado, ele identificou a parte corrompida.

Minha conclusão é que o HTTP (dependendo do TCP) pode ser o mais seguro possível, mas a Internet significa que existem nós intermediários entre o dispositivo e o servidor, e não há como dizer o que pode acontecer no caminho (os pacotes são perdidos até tempo) e, às vezes, os computadores não conseguem dizer que os dados estão errados, eu acho.

Ninguém pode responder se valeria a pena o problema para você - depende do contexto e tenho certeza de que você pode julgar isso por si mesmo. Para mim, não vale a pena na maioria das vezes. No entanto, se eu fosse instalar um sistema operacional, verificaria a imagem baixada antes.

Nota: o fato de eu ter percebido apenas uma ou duas vezes um download corrompido não significa que isso só aconteceu então. Talvez outras vezes não atrapalhe, para que você não perceba.

EDIT: Eu até tive outros programadores mais experientes no trabalho argumentando (com alguma indignação mesmo) que esses hashes de verificação de integridade de dados tornam possível saber se um arquivo é idêntico ao original, mas eu sei (eu li) que o fato de dois arquivos resultarem no mesmo hash não significa que eles são idênticos - apenas significa que é extremamente improvável que sejam diferentes. A maneira como eles são úteis é que, quando os arquivos não são idênticos, e especialmente quando são muito diferentes, seus códigos de hash resultantes praticamente nunca serão os mesmos (é menos provável que esse teste falhe). Em menos palavras - se os códigos de hash forem diferentes, você saberá que os arquivos são diferentes.