Cada vez que descarga un programa de Internet, debe confiar en el desarrollador de que no es malicioso. No hay manera de evitar eso. Pero esto no es un problema, por lo general, especialmente con software y desarrolladores conocidos.
Sin embargo, los sitios web que alojan software son más vulnerables. Los atacantes pueden subvertir la seguridad de un sitio web y reemplazar programas con su propia versión maliciosa. Esto se ve y funciona exactamente como el original, excepto que tiene una puerta trasera insertada. Con esta puerta trasera, los atacantes pueden controlar varias partes de su cómputo diario normal. Su computadora está insertada en una botnet o, lo que es peor, la utilidad espera hasta que usa su tarjeta de crédito/débito y roba sus credenciales. Debe tener especial cuidado cuando descargue software importante, como un sistema operativo, una billetera de criptomonedas o similar.
Las firmas digitales pueden salvar el día
Los escritores de software pueden firmar sus productos. A menos que un atacante pueda robar su clave privada, no hay forma conocida de que alguien pueda falsificar esta firma. Hay numerosos casos en los que miles de usuarios han descargado programas maliciosos y, en casi todos los casos, si hubieran verificado las firmas digitales, se habrían dado cuenta de que no eran válidas, evitando así la situación. Es relativamente fácil reemplazar el software en un sitio web vulnerable, pero increíblemente difícil robar una clave privada que se almacena correctamente y está aislada del acceso a Internet.
Puede leer mucho más sobre las firmas digitales aquí. Este artículo analiza lo mismo, excepto que utilizará las utilidades de Windows para validar las descargas.
Cómo usar Gpg4win para verificar firmas digitales
Vaya a esta página y descargar e instalar Gpg4win. Las personas inteligentes se preguntarán: «¿Pero cómo sé que esto es legítimo?» Y es una buena pregunta. Si esto se rompiera, entonces todos los pasos posteriores serían inútiles.
Afortunadamente, el desarrollador se tomó la molestia de conseguir que su software fuera firmado por una autoridad certificadora. Y detalla el pasos para verificar su programa en su sitio web. Aunque se utiliza una criptografía similar para verificar la validez, el método general es diferente. Para ello se utilizan certificados digitales.
Verificar sumas de verificación de archivos
Digamos que quieres descargar la billetera Bitcoin Core. Descargue el ejecutable de Windows x64 (exe, no zip). Luego, haga clic en «Verificar firmas de versión» para descargar el archivo «SHA256SUMS.asc». El primer paso es verificar el hash del archivo de instalación. Puedes leer más sobre hashes aquí.
Vaya a su carpeta de descargas, y con Gpg4win instalado, ahora puede hacer clic derecho en un archivo y aparecerá un nuevo menú contextual. Haga clic derecho en el archivo de configuración de Bitcoin (el exe que descargó) y seleccione «Más opciones de GpgEX -> Crear sumas de verificación», como en la imagen a continuación.
Abra tanto «sha256sum.txt» que se generó como «SHA256SUMS.asc» que descargó. Compare las sumas de verificación SHA256. Deben ser una pareja perfecta.
Verifique la firma del archivo que enumera las sumas de verificación
Si bien acaba de descargar un archivo de configuración y una lista de sumas de verificación del mismo sitio web, si un atacante reemplaza el archivo de configuración, también podría reemplazar fácilmente la lista de sumas de verificación. Sin embargo, lo que no puede hacer es falsificar una firma. Eso puede ser validado por una clave pública conocida (legítima). Primero, necesita descargar esta clave.
La siguiente imagen es el aspecto de una firma.
Esta es una firma en línea (incluida en el mismo archivo que valida). A veces, esto se separará, se incluirá en un archivo separado. Si cambia solo una letra en este archivo de texto, la firma deja de ser válida. Esta es una forma de saber que el desarrollador aprobó y firmó estos contenidos exactos y específicos con las sumas de verificación correctas.
Importar clave pública del desarrollador
Tiene las claves públicas disponibles para descargar en «Bitcoin Core Release Signing Keys» en la página de descarga de Bitcoin. Como medida de precaución, puede descargarlos de otra fuente. Si un atacante reemplazó las claves legítimas con las suyas, es probable que encontremos las claves correctas (y las huellas dactilares) en todos los demás lugares donde se hayan publicado o discutido.
Haga clic derecho en «SHA256SUMS.asc» y seleccione «Descifrar y verificar». El programa le dirá que aún no tiene la clave pública. Haga clic en «Buscar».
La búsqueda puede llevar un tiempo. Tenga en cuenta la cadena en el campo «Buscar».
Puede copiar esto y pegarlo en Google para ver si esta huella dactilar de clave pública se ha discutido en foros/sitios web legítimos, etc. Cuantos más lugares la encuentre, más seguro estará de que pertenece al propietario previsto.
Haga clic en la clave y luego impórtelo. Puede hacer clic en «No» en el mensaje que aparece a continuación (tome medidas para certificar la clave) si no sabe cómo o no quiere hacerlo ahora.
Finalmente, haga clic en «Mostrar registro de auditoría».
Debería ver el texto que se ha resaltado en la siguiente imagen, «Buena firma».
Intente cambiar solo una letra en «SHA256SUMS.asc» y obtendrá lo que se muestra en la siguiente imagen.
Conclusión
Pocos desarrolladores te dan la posibilidad de comprobar que su software proviene de ellos. Pero, por lo general, los programas que tratan con datos confidenciales o que son muy importantes te ofrecerán esta opción. Úselo y podría salvarlo de problemas algún día.