Vale a pena verificar os ISOs baixados do site oficial?

37

Eu baixei o ISO em https://www.ubuntu.com/download , selecionando a opção "Ubuntu Desktop" padrão.

O site vincula a página https://tutorials.ubuntu.com/tutorial/tutorial-how-to-verify-ubuntu, que fornece instruções sobre como verificar o ubuntu.

Isso parece muito entediante, e eu me pergunto como é realista que haja um problema com o ISO baixado do site oficial. Observo que o próprio processo de verificação exige que eu baixe um software novo para mim, introduzindo outro vetor de ataque em mim, mesmo quando estou fechando outro.

Pelo que vale, planejo usar apenas o Live USB e não instalar completamente o Ubuntu. Isso faz alguma diferença?

user1205901 - Restabelecer Monica
fonte
8
Minha resposta política é "SIM, SIM". Eu nunca fiz isso, exceto talvez uma vez no primeiro download, muitas luas atrás. Estou sempre baixando e avaliando software ou patches / correções de bugs e simplesmente não posso me incomodar com as etapas extras. Além disso, todos os meus sistemas não são de produção e, se eles forem "malucos" amanhã, eu apenas darei de ombros e seguir em frente.
WinEunuuchs2Unix
14
Torrent é uma alternativa, se você não quiser verificar o md5sum. Quando você obtém um arquivo via torrent, ele é verificado automaticamente :-) Geralmente é mais rápido usar o método torrent (em comparação com downloads comuns), mas alguns provedores de serviços de Internet o bloqueiam porque acham que ele é usado apenas para fins ilegais .
sudodus 8/0118
2
O uso primário das somas de verificação MD5 em arquivos grandes é garantir a integridade do arquivo baixado (por exemplo, detectar se a transferência foi cancelada prematuramente), não reduzir a chance de ataques MITM.
rexkogitans
11
@rackandboneman Não, essa não é a questão subjacente.
David Richerby
16
Curiosidade: você provavelmente passará mais tempo fazendo essa pergunta do que calculando somas de verificação em toda a sua vida.
el.pescado

Respostas:

57

Sim, vale a pena.

Leva apenas alguns segundos para o md5sum / etc obter uma ISO baixada e garante que você não foi atacado pelo MITM etc. Além disso, esses segundos são seguros para as [horas de] tempo desperdiçado se você tiver alguns erros e depuração necessários perseguindo erros que ninguém mais recebe por causa do seu download (por exemplo, você tem problemas de rede e tenta depurar; mas a rede está cheia porque é isso que os poucos bits errados ...) Pense nos cheques de soma de verificação como um seguro muito barato.

O software necessário para o md5sum ser de outra fonte normalmente (uma versão mais antiga, mesmo os / distros diferentes na ocasião), é muito pequeno e já está presente para muitos / a maioria de nós.

Além disso, ele permite que eu baixe de um espelho local, mas porque pego o md5sum da fonte Canonical; Tenho seguro de que o espelho não brinca com ele. Novamente seguro muito barato que me custa ~ 3segs de tempo.

guiverc
fonte
12
No entanto, se o download usou o método de transferência HTTPS, todas as verificações de integridade já ocorreram.
Nayuki
15
@Nayuki essas verificações de integridade não valeriam nada se o arquivo estivesse danificado no servidor (falha no disco / driver do FS, espelhamento incorreto etc.).
Ruslan
6
@Nayuki Só porque você está acessando um site por HTTPS não significa que todo o link do seu PC para o armazenamento que contém o arquivo que você está baixando é criptografado de ponta a ponta. Veja o desastre de interlocuções do data center do Google alguns anos atrás.
um CVn
30
Se alguém tiver MITM com o ISO, quem pode dizer que não MITM a soma de verificação quando você a visualizou no site? (Se você estiver usando um espelho, é útil.) Não é muito raro ver a soma de verificação e o download exibidos pela mesma entidade.
Lan
14
NUNCA suponha que uma soma de verificação detecte o MitM. As somas de verificação fornecidas também podem ser falsas. A maneira correta é verificar a assinatura , mas isso requer GPG (eu fiz isso apenas uma vez e é uma tarefa difícil).
Micheal Johnson
21

Sim, é MUITO RECOMENDADO que você verifique a imagem que baixou, eis alguns motivos:

  • Leva apenas alguns segundos e posso dizer se a integridade do arquivo está correta, quero dizer, o arquivo não está corrompido. (Uma causa comum de corrupção é um erro de transferência devido a razões técnicas, como uma conexão com a Internet esquisita do comentário @sudodus.)
  • Se o arquivo estiver corrompido e você gravar essa imagem ISO em uma unidade de CD / USB e ela não funcionar, ou durante a instalação poderá falhar, isso resultará em perda de tempo e CDs.
  • Você tem certeza de que está usando a versão oficial CLEAN de qualquer tipo de imagem ou software ISO e não uma versão modificada (talvez por invasores), consulte este relatório: Watch Dogs piratas atingidos por um escorbuto malware de mineração de Bitcoin

Se você já possui uma distribuição GNU Linux, pode usar o md5sum , se estiver no Windows, pode usar: WinMD5Free .

Espero que ajude.

Galoget
fonte
3
Para Windows, você pode usar o built-in certutil: superuser.com/a/898377/521689
Kanchu
11
Também respondi, mas estou votando positivamente na sua resposta, porque acho que ela também responde bem à pergunta e é útil para mais leitores, pois não entra em detalhes técnicos demais como as outras respostas.
bitoolean
As redes @sudodus têm suas próprias verificações de integridade. Embora não seja impossível que os erros passem por eles (o TCP apenas usa uma soma de verificação simples, que não detecta trocas de palavras, mas a maioria dos links usa CRC), não é algo com o qual geralmente se preocupe.
Barmar
Se um invasor puder corromper um arquivo, a alteração do valor em uma caixa MD5 também deve estar ao seu alcance.
Pascal Engeler
2

Sim, mas o Ubuntu parece tornar mais difícil do que deveria ser.

Na melhor das hipóteses, basta baixar foo.iso e foo.iso.sig e clicar no arquivo .sig (ou usar gpg no shell do arquivo .sig) depois de importar a chave uma vez. Isso custa alguns segundos.

O Ubuntu parece torná-lo mais complicado, forçando você a verificar as somas sha256 de um arquivo enquanto apenas o arquivo em si é assinado. Isso é conveniente para eles, mas mais trabalho para seus usuários.

Por outro lado, quando o arquivo foi gerado apenas por sha256sum * >SHA256SUMS, você pode verificá-lo usando sha256 -ce obtendo OK/Bad/Not-Foundcomo saída.

todos
fonte
2

Verifique o seu /proc/net/deve veja quantos quadros TCP ruins você recebeu até o momento. Se você vir um valor de um dígito (espero que seja zero), continue lendo. Se você tiver muitos erros de rede, use o MD5 para verificar seus downloads (embora eu prefira investigar a causa raiz, pois uma rede não confiável significa que você não pode confiar em nada que recebe via HTTP).

Quando você está baixando pelo TCP, que soma todos os dados transmitidos, há muito poucas chances de ter um download corrompido com exatamente o mesmo tamanho. Se você está confiante de que está baixando do site oficial (normalmente está usando HTTPS e a verificação do certificado é aprovada), verificar se o download está completo é suficiente. Navegadores decentes geralmente fazem a verificação para você de qualquer maneira, dizendo algo como "o download falhou" se eles não obtiverem a quantidade de dados que esperam, embora eu tenha visto navegadores que decidem manter o arquivo incompleto sem dizer nada para o usuário; nesse caso, você pode verificar o tamanho do arquivo manualmente.

Obviamente, verificar uma soma de verificação ainda tem seu valor, cobrindo você nos casos em que o arquivo que você está baixando está corrompido no servidor, mas isso não acontece com muita frequência. Ainda assim, se você usar o seu download para algo importante, vale a pena dar um passo.

Como o @sudodus disse nos comentários, usar o Bittorrent em vez do HTTPS é outra opção, já que os clientes de torrents fazem um trabalho muito melhor ao lidar com dados incompletos / corrompidos, como os navegadores da web.

Observe que as somas de verificação realmente não impedem que você seja atacado, é para isso que serve o HTTPS.

Dmitry Grigoryev
fonte
5
A soma de verificação TCP não é grande o suficiente para algo tão grande quanto um arquivo ISO. São apenas 16 bits; em um link barulhento, há uma boa chance de que alguma corrupção tenha passado.
Mark
11
@Marque um ISO grande, haverá muitas somas de verificação TCP: uma para cada segmento TCP individual necessário para transmitir os dados.
Anthony G - justiça para Monica
3
@AnthonyGeoghegan, exatamente. Cada segmento tem uma chance independente de ser corrompido e, considerando quantos segmentos estão envolvidos em um arquivo ISO, há uma boa chance de que um deles seja corrompido de uma maneira que ainda corresponda à soma de verificação desse segmento.
Mark
11
@ Mark você pode verificar seu / proc / net / dev e dizer quantos frames TCP ruins você recebeu? Meu computador obteve 0, com um tempo de atividade de 140 dias. Se não me engano, o equipamento Gigabit Ethernet certificado fornece uma taxa de erro de bit de 10 ^ -10 ou melhor. Claro, tudo depende do que você chama de "boa chance" ...
Dmitry Grigoryev
11
@ Mark Que tipo de camada 2 você está usando que não possui um CRC ou similar? Com a Ethernet, você recebe verificações CRC e a soma de verificação TCP. Ainda não fiz as contas para isso, mas não vejo como você chega a "boas chances" lá.
Voo
0

Eu descobri da maneira mais difícil sobre não verificar a soma. Eu gravava um CD com um ISO corrompido durante um download e não conseguia inicializá-lo ou havia erros ao executar.

Como os outros disseram, leva pouco tempo.

fixit7
fonte
A pior coisa sobre essa experiência é que se você queimar a ISO novamente, você obter o mesmo erro no CD
thomasrutter
11
É por isso que eu uso CDs e DVDs RW. :-)
fixit7
7
Eu nunca escrevi nenhum CD / DVD por mais de uma década. Não vale a pena o tempo para escrever e o custo para comprar quando há toneladas de pendrives baratos
phuclv
0

Você está vendo isso com apenas um caso de uso. Em uma configuração com automação em massa, ajuda a verificá-lo; scripts que executam a verificação, antes de prosseguir com o que precisamos fazer com a imagem

ajax_velu
fonte
0

Os outros deram respostas com detalhes técnicos que eu esqueci, apesar de ser um programador (meu trabalho não envolve comunicação através de redes), por isso vou apenas permitir que você saiba uma experiência pessoal.

muito tempo, quando eu costumava gravar CDs com frequência, uma vez me aconteceu baixar esta ISO de distribuição Linux que parecia ter baixado corretamente. O CD falhou comigo, então verifiquei o arquivo baixado e ele não correspondeu. Então, eu baixei novamente e funcionou. Então, isso só aconteceu uma vez em 15 anos desde que eu sou um usuário e programação avançados de computadores (uso computadores desde os 11, 19 anos atrás e queimei mais de mil discos). Mas é a prova de que isso pode acontecer.

Também aconteceu comigo pelo BitTorrent uma ou duas vezes, para que também não seja à prova de falhas. Ao forçar a verificação novamente do arquivo baixado, ele identificou a parte corrompida.

Minha conclusão é que o HTTP (dependendo do TCP) pode ser o mais seguro possível, mas a Internet significa que existem nós intermediários entre o dispositivo e o servidor, e não há como dizer o que pode acontecer no caminho (os pacotes são perdidos até tempo) e, às vezes, os computadores não conseguem dizer que os dados estão errados, eu acho.

Ninguém pode responder se valeria a pena o problema para você - depende do contexto e tenho certeza de que você pode julgar isso por si mesmo. Para mim, não vale a pena na maioria das vezes. No entanto, se eu fosse instalar um sistema operacional, verificaria a imagem baixada antes.

Nota: o fato de eu ter percebido apenas uma ou duas vezes um download corrompido não significa que isso só aconteceu então. Talvez outras vezes não atrapalhe, para que você não perceba.

EDIT: Eu até tive outros programadores mais experientes no trabalho argumentando (com alguma indignação mesmo) que esses hashes de verificação de integridade de dados tornam possível saber se um arquivo é idêntico ao original, mas eu sei (eu li) que o fato de dois arquivos resultarem no mesmo hash não significa que eles são idênticos - apenas significa que é extremamente improvável que sejam diferentes. A maneira como eles são úteis é que, quando os arquivos não são idênticos, e especialmente quando são muito diferentes, seus códigos de hash resultantes praticamente nunca serão os mesmos (é menos provável que esse teste falhe). Em menos palavras - se os códigos de hash forem diferentes, você saberá que os arquivos são diferentes.

bitoolean
fonte