Mes pasado, El sitio web de Linux Mint ha sido pirateado, y se cargó una ISO modificada para su descarga que incluía una puerta trasera. Si bien el problema se resolvió rápidamente, demuestra la importancia de verificar los archivos ISO de Linux que descarga antes de ejecutarlos e instalarlos. Así es cómo.
Las distribuciones de Linux publican sumas de comprobación para que pueda confirmar que los archivos que descarga son lo que dicen ser, y estos suelen estar firmados para que pueda verificar que las sumas de comprobación en sí no han sido manipuladas. Esto es especialmente útil si está descargando un ISO desde algún lugar que no sea el sitio principal, como un espejo de terceros, oa través de BItTorrent, donde es mucho más fácil para las personas manipular los archivos.
Como funciona este proceso
El proceso de verificación de una ISO es un poco complejo, así que antes de entrar en los pasos exactos, expliquemos exactamente en qué consiste el proceso:
- Descargará el archivo ISO de Linux desde el sitio web de distribución de Linux, o en otro lugar, como de costumbre.
- Cargará una suma de comprobación y su firma digital desde el sitio web de distribución de Linux. Pueden ser dos archivos TXT separados, o puede obtener un solo archivo TXT que contenga ambos datos.
- Obtendrá una clave PGP pública que pertenece a la distribución de Linux. Puede obtenerlo desde el sitio web de distribución de Linux o desde un servidor de claves independiente administrado por las mismas personas, dependiendo de su distribución de Linux.
- Utilizará la clave PGP para verificar que la firma digital para la suma de comprobación fue creada por la misma persona que creó la clave, en este caso los encargados de esta distribución de Linux. Esto confirma que la suma de comprobación en sí no fue alterada.
- Generará la suma de verificación para su archivo ISO descargado y verificará que coincida con el archivo TXT de suma de verificación que descargó. Esto confirma que el archivo ISO no ha sido manipulado ni dañado.
El proceso puede diferir un poco para diferentes ISO, pero generalmente sigue este patrón general. Por ejemplo, existen varios tipos de sumas de comprobación. Tradicionalmente, las sumas MD5 han sido las más populares. Sin embargo, las sumas SHA-256 ahora se utilizan con más frecuencia en las distribuciones modernas de Linux, porque SHA-256 es más resistente a los ataques teóricos. Aquí discutiremos principalmente las sumas de comprobación SHA-256, aunque un proceso similar funcionará para las sumas de comprobación MD5. Algunas distribuciones de Linux también pueden proporcionar sumas SHA-1, aunque son incluso menos comunes.
Asimismo, algunas distribuciones no firman sus sumas de verificación con PGP. Solo tendrás que realizar los pasos 1, 2 y 5, pero el proceso es mucho más vulnerable. Después de todo, si el atacante puede reemplazar el archivo ISO descargado, también puede reemplazar la suma de verificación.
Usar PGP es mucho más seguro, pero no infalible. El atacante siempre podría reemplazar esta clave pública con la suya, aún podría hacerle creer que la ISO es legítima. Sin embargo, si la clave pública está alojada en un servidor diferente, como es el caso de Linux Mint, es mucho menos probable (ya que deberían piratear dos servidores en lugar de solo uno). Pero si la clave pública se almacena en el mismo servidor que la ISO y la suma de comprobación, como es el caso de algunas distribuciones, entonces no ofrece tanta seguridad.
Sin embargo, si intenta verificar la firma PGP en un archivo de suma de verificación y luego valida su descarga con esa suma de verificación, eso es todo lo que puede hacer razonablemente como usuario final que descarga una ISO de Linux. Siempre estás mucho más seguro que las personas a las que no les importa.
Cómo verificar una suma de comprobación en Linux
Aquí usaremos Linux Mint como ejemplo, pero es posible que deba buscar en el sitio web de su distribución de Linux para encontrar las opciones de verificación que ofrece. Para Linux Mint, se proporcionan dos archivos con la descarga ISO en sus espejos de descarga. Descargue la ISO, luego descargue los archivos «sha256sum.txt» y «sha256sum.txt.gpg» a su computadora. Haga clic derecho en los archivos y seleccione «Guardar enlace como» para descargarlos.
En su escritorio Linux, abra una ventana de terminal y descargue la clave PGP. En este caso, la clave PGP de Linux Mint está alojada en el servidor de claves de Ubuntu, y necesitamos ejecutar el siguiente comando para obtenerla.
gpg --keyserver hkp://keyserver.ubuntu.com --recv-keys 0FF405B2
El sitio web de su distribución de Linux le dirá qué clave necesita.
Ahora tenemos todo lo que necesitamos: la ISO, el archivo de suma de verificación, el archivo de firma digital de suma de verificación y la clave PGP. Luego vaya a la carpeta donde se descargaron …
cd ~/Downloads
… y ejecute el siguiente comando para verificar la firma del archivo de suma de comprobación:
gpg --verify sha256sum.txt.gpg sha256sum.txt
Si el comando GPG le permite saber que el archivo sha256sum.txt descargado tiene una «buena firma», puede continuar. En la cuarta línea de la captura de pantalla a continuación, GPG nos informa que se trata de una «buena firma» que afirma estar asociada con Clément Lefebvre, el creador de Linux Mint.
No se preocupe si la clave no está certificada con una «firma confiable». Esto se debe a cómo funciona el cifrado PGP: no ha creado una red de confianza importando claves de personas de confianza. Este error será muy común.
Finalmente, ahora que sabemos que la suma de verificación fue creada por los mantenedores de Linux Mint, ejecute el siguiente comando para generar una suma de verificación a partir del archivo .iso descargado y compárelo con el archivo TXT de suma de verificación que descargó:
sha256sum --check sha256sum.txt
Verá muchos mensajes de «no existe tal archivo o directorio» si descargó solo un archivo ISO, pero debería ver un mensaje «OK» para el archivo que descargó si coincide con la suma de verificación.
También puede ejecutar comandos de suma de comprobación directamente en un archivo .iso. Examinará el archivo .iso y escupirá su suma de comprobación. Luego, simplemente puede verificar que coincida con la suma de verificación válida mirando ambos con los ojos.
Por ejemplo, para obtener la suma SHA-256 de un archivo ISO:
sha256sum /path/to/file.iso
O, si tiene un valor md5sum y necesita obtener la suma md5 de un archivo:
md5sum /path/to/file.iso
Compare el resultado con el archivo TXT de suma de comprobación para ver si coinciden.
Cómo verificar una suma de comprobación en Windows
Si está descargando una imagen ISO de Linux desde una máquina con Windows, también puede verificar la suma de verificación allí, aunque Windows no tiene incorporado el software necesario. Por lo tanto, tendrá que descargar e instalar el código abierto. Gpg4win herramienta.
Busque el archivo de clave de firma y los archivos de suma de comprobación para su distribución de Linux. Usaremos Fedora como ejemplo aquí. El sitio web de Fedora proporciona descargas de suma de comprobación y nos dice que podemos descargar la clave de firma de Fedora desde https://getfedora.org/static/fedora.gpg.
Después de descargar estos archivos, deberá instalar la clave de firma utilizando el programa Kleopatra incluido con Gpg4win. Inicie Kleopatra y haga clic en Archivo> Importar certificados. Seleccione el archivo .gpg que descargó.
Ahora puede verificar si el archivo de suma de comprobación descargado se ha firmado con alguno de los archivos clave que importó. Para hacer esto, haga clic en Archivo> Descifrar / Comprobar archivos. Seleccione el archivo de suma de comprobación descargado. Desmarque la opción «El archivo de entrada es una firma separada» y haga clic en «Descifrar / Verificar».
Seguro que verá un mensaje de error si hace esto porque no se ha molestado en confirmar que estos certificados de Fedora son realmente legítimos. Es una tarea más difícil. Así es como está diseñado para que funcione PGP: se reúne e intercambia claves en persona, por ejemplo, y crea una red de confianza. La mayoría de la gente no lo usa de esa manera.
Sin embargo, puede ver más detalles y confirmar que el archivo de suma de comprobación se firmó con una de las claves que importó. De todos modos, es mucho mejor que confiar en un archivo ISO descargado sin verificarlo.
Ahora debería poder seleccionar Archivo> Comprobar archivos de suma de comprobación y confirmar que la información del archivo de suma de comprobación coincide con el archivo .iso descargado. Sin embargo, eso no funcionó para nosotros, tal vez sea solo la forma en que se presenta el archivo de suma de comprobación de Fedora. Cuando probamos esto con el archivo sha256sum.txt de Linux Mint, funcionó.
Si eso no funciona para la distribución de Linux que elijas, aquí tienes una solución. Primero, haga clic en Configuración> Configurar Kleopatra. Seleccione «Operaciones de cifrado», seleccione «Operaciones de archivo» y configure Kleopatra para usar el programa de suma de verificación «sha256sum», ya que con esto se generó esta suma de verificación en particular. Si tiene una suma de comprobación MD5, seleccione «md5sum» de la lista aquí.
Ahora haga clic en Archivo> Crear archivos de suma de comprobación y seleccione su archivo ISO descargado. Kleopatra generará una suma de comprobación a partir del archivo .iso descargado y la guardará como un archivo nuevo.
Puede abrir estos dos archivos (el archivo de suma de comprobación descargado y el que acaba de generar) en un editor de texto como el Bloc de notas. Confirme que la suma de comprobación sea la misma ante sus ojos. Si es el mismo, ha confirmado que su archivo ISO descargado no fue manipulado.
Estos métodos de verificación no se diseñaron originalmente para proteger contra el malware. Fueron diseñados para confirmar que su archivo ISO se descargó correctamente y que no se corrompió durante la descarga, para que pueda grabarlo y usarlo sin preocuparse. Esta no es una solución completamente infalible, ya que debe confiar en la clave PGP que descarga. Sin embargo, esto todavía ofrece mucha más seguridad que simplemente usar un archivo ISO sin verificarlo en absoluto.
Credito de imagen: Eduardo Quagliato en Flickr