Контрольные суммы 101: как убедиться, что ваши загрузки соответствуют действительности

Киберпреступники никогда не отдыхают, всегда ищут новые хитрые способы вывести из строя ваш компьютер для развлечения и наживы. И в то время как App Store — постучите по дереву — кажется, построил стену достаточно высокой, чтобы не пускать их внутрь, приложениям для Mac, продаваемым за его пределами, не так повезло. Даже доверенные приложения могут невольно стать троянскими конями для различных злоумышленников. К счастью, вы можете аутентифицировать эти приложения еще до их установки, узнав, как проверять их контрольные суммы.

Вали-какие у них чек-ха?

Чтобы создать контрольную сумму, вы запускаете компьютерный файл с помощью криптографического алгоритма — серии вычислений, предназначенных для преобразования этого файла в последовательность букв и цифр. Он работает только в одном направлении; вы не можете запустить контрольную сумму через другой алгоритм и получить исходный файл. Но алгоритм настроен так, что даже незначительные изменения в исходном файле приводят к большим различиям в результирующей контрольной сумме.

Если вы запустите этот алгоритм для полученного файла, и полученный код совпадает с кодом исходного файла, вы можете быть достаточно уверены в том, что эти два файла идентичны.

Контрольные суммы созданы не для того, чтобы файлы безопасность, но чтобы сохранить свои честность. Если вы копируете приложение или отправляете его по сети, вы хотите убедиться, что ни одна из его единиц и нулей не смешивается при передаче, что может привести к сбою в работе приложения. (Вспомните маленькую аварию Джеффа Голдблюма в Муха, но меньше… тупой.)

Контрольные суммы использовали несколько различных криптографических алгоритмов с течением времени. На момент написания я чаще всего сталкивался с теми, которые сделаны с SHA-256 алгоритм. Он более современный и безопасный, чем алгоритм SHA-1, с которым вы тоже могли столкнуться. Также есть еще более сложный SHA-512 и более старый и менее безопасный MD5. (Интересный факт: алгоритмы SHA были разработаны нашими друзьями из Национальное Агенство Безопасности.)

Зачем вам проверять контрольные суммы?

В 2016 году хакеры дважды взломал серверы для популярного торрент-приложения Transmission, на короткое время заменяя реальное приложение вариантами, которые либо зашифровывали файлы зараженных пользователей, чтобы хранить их для выкупа, либо давали хакерам черный доступ к зараженным компьютерам. В 2017 году то же самое случилось с Ручной тормоз, хорошо известное бесплатное приложение для копирования DVD-дисков и сжатия видеофайлов. И да, эти злобные двойники были нацелены особенно на Mac.

Чтобы их пользователи не стали жертвами любых подобных атак в будущем, Transmission, Handbrake и многие другие приложения, распространяемые или продаваемые за пределами Mac App Store, начали включать контрольные суммы на своих страницах загрузки рядом со ссылками для загрузки. Пользователи могут сравнить контрольную сумму для файла, который они загружают, с контрольной суммой, указанной на сайте, чтобы убедиться, что их копия файла соответствует действительности.

Как проверить контрольную сумму?

(Чуть более) трудный путь

Достаточно простая команда терминала может создать контрольную сумму для любого файла на вашем Mac, которую вы затем можете сравнить с контрольной суммой, предоставленной создателями приложения. Помни, всегда делай это прежде чем открывать любой загруженный .dmg. Делать это после вы открыли файл и установили приложение, что несколько противоречит цели.

Откройте терминал и в командной строке введите:

shasum -a 256

Изменять 256 к 1 или же 512 если вы хотите создать контрольную сумму SHA-1 или SHA-512. Вы также можете заменить все вышеперечисленное командой md5 если вы хотите создать контрольную сумму MD5. Не забудьте добавить этот последний пробел после любого номера или команды, которую вы укажете!

Теперь найдите файл, для которого вы хотите сгенерировать контрольную сумму, в Finder и перетащите его в окно терминала. Это создаст путь в Терминале к дому этого файла на вашем жестком диске. Теперь вы должны увидеть что-то вроде:

shasum -a 256 /Users/your_user_name/Downloads/Your-Downloaded-File-1.0.1.dmg

Теперь нажмите Return key, и Терминал выдаст очень длинную строку букв и цифр. Сравните эти результаты с контрольной суммой, предоставленной при загрузке файла, чтобы убедиться, что ваше приложение постоянно работает.

(Невероятно) простой способ

Если вы Терминально ленивы, как я, отчаиваетесь от необходимости рассматривать каждую букву и цифру в длинной строке, чтобы убедиться, что все они совпадают, или просто впадаете в холодный пот при мысли о командах Unix, не волноваться. Бесплатное приложение под названием Контрольная сумма ты прикрыл. Он доступен в Mac App Store, поэтому вам даже не нужно проверять его контрольную сумму. (Там вы найдете другие приложения, которые делают то же самое, но большинство из них стоит денег. В моих тестах Checksum сработал хорошо, так зачем платить за альтернативу?)

Как только вы откроете Checksum, начните с выбора алгоритма, который использует ваша контрольная сумма; обычно это SHA 256. Затем вставьте исходную контрольную сумму, предоставленную создателем или распространителем приложения, в самое верхнее поле.

Перетащите загруженный файл на большой значок «перетащите файл сюда» и отпустите его. Checksum выполнит необходимые вычисления и четко покажет вам, совпадает ли контрольная сумма вашего файла с исходной.

Не сегодня, киберпреступники!

Проверка контрольных сумм не гарантирует, что ваш Mac будет избегать вредоносных программ, и он не может удалить вредоносные программы с зараженного Mac. Но это буду значительно снизит риск установки того, о чем вы пожалеете, даже или особенно с сайта, который вы знаете и которому доверяете.

Мы можем получать комиссию за покупки, используя наши ссылки. Узнать больше.

Добавить комментарий

Ваш адрес email не будет опубликован.