Cada vez que você baixa um programa da Internet, você é forçado a confiar no desenvolvedor que não se trata de malware. Não há outro jeito. Mas geralmente isso não é um problema, especialmente com desenvolvedores e softwares famosos.
No entanto, os sites que hospedam software são mais vulneráveis a ataques. Os invasores podem minar a segurança de um site e substituir programas por versões maliciosas deles. A versão maliciosa parece e funciona exatamente como a original, exceto que possui um backdoor inserido. Com esse backdoor, um invasor pode controlar diferentes partes do computador. Seu computador será inserido em uma botnet ou pior, o malware esperará até que você use seu cartão de crédito/débito e roube suas informações de login. Você deve ter cuidado especial ao baixar software importante, como sistemas operacionais, carteiras de criptomoedas ou outro software semelhante.
Instruções para autenticar software Windows usando assinaturas digitais
Os escritores de software podem “assinar” seus produtos. A menos que um invasor consiga roubar a chave privada do criador do software, não há como alguém falsificar essa assinatura. Existem muitos casos em que milhares de utilizadores descarregaram programas maliciosos e, em quase todos os casos, se verificassem as assinaturas digitais, teriam notado que eram inválidas e a situação poderia ter sido evitada. É relativamente fácil substituir software num site vulnerável, mas extremamente difícil roubar uma chave privada que esteja devidamente armazenada e isolada do acesso à Internet.
Você pode ler mais sobre assinaturas digitais no artigo: Como verificar a autenticidade do software Linux usando assinaturas digitais . Este artigo discute a mesma coisa, exceto que você usará utilitários do Windows para autenticar downloads.
Baixe e instale Gpg4win . Pessoas inteligentes vão se perguntar como saber com certeza se este software é legítimo. Esta é uma boa pergunta e se esta página de download estiver quebrada, todos os passos a seguir serão em vão.
Felizmente, o desenvolvedor Gpg4win passou por todos os problemas para obter seu software assinado por uma autoridade de certificação e detalha as etapas para verificar seu programa no site. Embora a mesma criptografia seja usada para verificar a validade, o método geral será diferente. Certificados digitais são usados para isso.
Digamos que você queira baixar a carteira Bitcoin Core . Baixe o arquivo executável do Windows x64 ( exe , não zip ). Em seguida, clique em “ Verificar assinaturas de versão ” para baixar o arquivo SHA256SUMS.asc. A primeira etapa é verificar o hash do arquivo de configuração.
Vá para a pasta de download e com o Gpg4win instalado, você pode clicar com o botão direito em um arquivo e um novo menu de contexto aparecerá. Clique com o botão direito no arquivo de instalação do Bitcoin ( exe que você baixou) e selecione More GpgEX Options > Create checksums , como na imagem abaixo.
Abra os arquivos sha256sum.txt criados e SHA256SUMS.asc baixados . Compare a soma de verificação SHA256 e elas devem ser iguais.
Mesmo que você tenha baixado o arquivo de configuração e a lista de soma de verificação do mesmo site, se um invasor substituir o arquivo de configuração, ele também poderá substituir facilmente a lista de soma de verificação. No entanto, os hackers não podem falsificar assinaturas. Isso pode ser confirmado por uma chave pública conhecida (legítima). Primeiro, você precisa baixar esta chave.
A imagem da assinatura fica assim:
Esta é uma assinatura embutida (incluída no mesmo arquivo que valida). Às vezes, essa assinatura será separada e colocada em um arquivo separado. Se você alterar apenas uma letra neste arquivo de texto, a assinatura não será mais válida. Esta é uma forma de saber com certeza se o desenvolvedor aprovou e assinou esses ativos exatos e específicos com a soma de verificação correta.
Você tem as chaves públicas disponíveis para download na seção “ Bitcoin Core Release Signing Keys ” na página de download do Bitcoin. Por precaução, você pode baixá-los de outra fonte. Se o invasor substituir as chaves legítimas pela sua chave privada, você encontrará as chaves (e impressões digitais) corretas em todos os outros locais onde foram publicadas ou discutidas.
Clique com o botão direito em SHA256SUMS.asc e selecione Decrypt and Verify . O programa informará que você não possui uma chave pública. Clique em Pesquisar.
A pesquisa pode demorar um pouco. Observe a string no campo Localizar.
Você pode copiar e colar no Google para ver impressões digitais de chaves públicas que foram discutidas em sites ou fóruns legítimos. Quanto mais lugares você encontrar essa chave pública, mais certeza terá de que ela pertence ao legítimo proprietário.
Clique na chave e insira-a. Você pode clicar em Não no prompt que receberá a seguir (tomar medidas para confirmar a chave), se não souber ou não quiser fazer isso agora.
Por fim, clique em Mostrar log de auditoria .
Você verá o texto da assinatura Boa destacado na próxima imagem.
Tente alterar apenas uma letra em SHA256SUMS.asc e você obterá o resultado conforme mostrado na imagem a seguir.
Muito poucos desenvolvedores oferecem a capacidade de verificar se o software vem deles. Mas normalmente os programas que lidam com dados confidenciais ou muito importantes oferecem essa opção. Use a opção de verificação de assinatura digital e isso poderá salvá-lo de problemas um dia.
Espero que você tenha sucesso.
Você vê uma notificação de ativação do Windows 10 no canto direito da tela? Este artigo irá orientá-lo sobre como excluir o aviso de solicitação de direitos autorais no Windows 10.
Recentemente, a Microsoft lançou a atualização cumulativa mais recente para usuários de PC com Windows 10, chamada Build 14393.222. Esta atualização lançada para o Windows 10 corrige principalmente bugs com base no feedback do usuário e melhora a experiência de desempenho do sistema operacional.
Você tem computadores em sua rede local que precisam de acesso externo? Usar um host bastião como gatekeeper para sua rede pode ser uma boa solução.
Às vezes, pode ser necessário excluir logs de eventos antigos de uma só vez. Neste guia, Quantrimang.com mostrará três maneiras de excluir rapidamente todos os logs de eventos no Visualizador de Eventos do Windows 10.
Se você preferir usar um teclado clássico antigo, como o IBM Modelo M, que não inclui uma tecla física do Windows, existe um método fácil de adicionar mais, pegando emprestada uma tecla que você não usa com frequência.
WindowTop é uma ferramenta que tem a capacidade de escurecer todas as janelas de aplicativos e programas em execução em computadores com Windows 10. Ou você pode usar uma interface de fundo escuro no Windows.
Em muitos artigos anteriores, mencionamos que permanecer anônimo online é extremamente importante. Informações privadas vazam todos os anos, tornando a segurança online cada vez mais necessária. Essa também é a razão pela qual devemos usar endereços IP virtuais. Abaixo, aprenderemos sobre métodos para criar IPs falsos!
A barra de idiomas do Windows 8 é uma barra de ferramentas de idiomas em miniatura projetada para ser exibida automaticamente na tela da área de trabalho. No entanto, muitas pessoas desejam ocultar esta barra de idiomas na barra de tarefas.
Maximizar a velocidade da Internet é essencial para otimizar sua conexão de rede. Você pode ter uma ótima experiência de entretenimento e trabalho usando computadores, TVs com Internet, consoles de jogos, etc.
A conectividade sem fio é uma necessidade hoje e por isso a segurança sem fio é essencial para garantir a segurança da sua rede interna.
