שימוש בטוח

שימוש בטוח

מדריך זה מסביר איך להשיג קבצים בצורה בטוחה ולהמנע מתולעים, ווירוסים וסוסים טרויאנים. המדריך מדגים כיצב לוודא אותנטיות של קבצים בעזרת "טביעת אצבע" דיגיטלית.

תוכן עניינים

1. שימוש בטוח
   1. מהם מקורות בטוחים
   2. מהם מקורות לא בטוחים
   3. מהי טביעת אצבע דיגיטלית?
   4. שימוש ב־md5sum
   5. דיון

מהם מקורות בטוחים

השיגו קבצים רק ממקורות בטוחים:

• תוכנת Software Update המותקנת במערכת ומאפשרת להוריד עדכונים ישירות ממחשבי אפל

• אתרים מוכרים ואמינים:

  • http://www.apple.com

  • http://www.versiontracker.com

• תקליטור או דיוידי מקוריים של יצרן התוכנה, או עותק שהוכן על ידי מישהו אמין. עותק של תקליטור או דיוידי הוא זהה לחלוטין למקור, למרות מה שינסו לספר לכם יצרני תוכנה נכלוליים.

  • הכנת עותק כזה והשימוש בו עלולים להיות לא חוקיים, התיעצו עם עורך הדין שלכם. על מנת להמנע מבעיות אלה, ממולץ להשתמש רק ב תוכנה חופשית.

מהם מקורות לא בטוחים

אל תשתמשו בקבצים ממקורות לא בטוחים:

• רשתות שיתוף הקבצים - בדרך כלל אין לכם מושג מיהו המקור של הקובץ. האם זה קובץ שהעתיק גנב קטן מתוך תקליטור ההתקנה של התוכנה או שזה קובץ שקרקר מרושע שתל בו וירוס זדוני?

• קבצים שנשלחים אליכם בדואר אלקטרוני - גם אם הקובץ הגיע מחבר אמין - זה יכול להיות אימייל שנשלח על י די תולעת אכזרית

• פורום או וויקי - אין לדעת מי העלה את הקובץ. גם בפורומים המחייבים רישום אפשר לשתול קבצים זדוניים בקלות.

• אתרים שאתם לא מכירים ושאין לכם מושג מי עומד מאחוריהם

• תוכנה לא חופשית - תוכנה שאין גישה לקוד המקור שלה היא מסוכנת. איש מלבד מספר מצומצם של מתכנתים לא יודע מה יש בתוך הקובץ. האם התוכנה תשלח מידע אישי בסתר ליצרן התוכנה? האם התוכנה תאפשר לשירות הבטחון הכללי לפשפש במסמכים שלכם? בתוכנה חופשית אי אפשר להסתיר דבר.

למרות מה שנאמר בסעיף זה, אם אתם יודעים מיהו יוצר הקובץ והוא מפרסם טביעת אצבע דיגיטלית של הקובץ, אתם יכולים להשיג את הקובץ בדרך לא בטוחה כמו רשתות שיתוף קבצים ולוודא את האותנטיות של הקובץ לאחר ההורדה. אם הקובץ הוא אותנטי ויוצר הקובץ אמין, מדובר בקובץ בטוח לשימוש.

מהי טביעת אצבע דיגיטלית?

טביעת אצבע דיגיטלית (digest) היא כמו תעודת זהות של הקובץ. אין שני אנשים בעלי אותו מספר תעודת זהות, ואין שני קבצים שיש להם טביעת אצבע דיגיטלית זהה. אם מישהו ישנה אפילחו סיבית אחת בתוך קובץ של 100 מגה בתים, טביעת האצבע הדיגיטלית שלו תשתנה. אם יש לכם טביעת אצבע דיגיטלית של קובץ, אתם יכולים בעזרת תוכנה מתאימה לוודא שהקובץ הוא אותנטי ואיש לא שינה אותו.

כך נראית טביעת אצבע דיגיטלית:

4d16732b1cfccc0ed250956d41463c61

יש שיטות שונות ליצירה של טביעת אצבע דיגיטלית לקבצים ובדיקה של קובץ מול טביעת אצבע דיגיטלית.

שימוש ב־md5sum

באמצעות התוכנה md5sum אפשר ליצור ולבדוק טביעת אצבע דיגיטליות. בשתי הדקות הבאות תורידו שני קבצים מדף זה (עניין מפוקפק ביותר) ותוודאו את האותנטיות של הקבצים האלה בעזרת תוכנת md5sum:

תוכנת md5sum היא חלק מחבילת coreutils. אפשר להתקין את החבילה דרך MacPort:

sudo port install coreutils

שימו לב שהתוכנה מותקנת כ־gmd5sum ולא כ־md5sum.

הורידו את שלושת הקבצים האלו למכתבה:

1. goodfile - קובץ שהכנתי ויצרתי ממנו חתימה דיגיטלית בעזרת md5sum

2. badfile - קובץ ששונה על ידי משתמש מרושע ומכיל קוד זדוני

3. http://nirs.freeshell.org/SafeUse/md5sum - קובץ שמכיל טביעת אצבע דיגיטליות לשני הקבצים הקודמים

זהירות: הקבצים שהורדתם עכשיו הם לא בטוחים לשימוש. כל אחד יכול להכנס למקמק ולהחליף את הקבצים האלו במשהו זדוני. אבל אם אתם בודקים אותם מול קובץ טביעות האצבע שנמצא באתר שלי, אתם יכולים להיות בטוחים בתוכן הקבצים.

פתחו טרמינל ובצעו את הפעולות הבאות:

cd Desktop
gmd5sum -c md5sum

אתם אמורים לקבל את הפלט הבא:

$ gmd5sum -c md5sum.txt 
goodfile: OK
badfile: FAILED
gmd5sum: WARNING: 1 of 2 computed checksums did NOT match

עכשיו אתם יודעים שהקובץ goodfile בטוח לשימוש והקובץ badfile לא.

• זהירות: אם פורץ מרושע חדר לאתר שלי ושינה את הקובץ md5sum - יתכן שהקובץ הזדוני יראה כקובץ תקין.

אתם יכולים לפתוח את הקובץ md5sum בכל עורך מלל, למשל TextEdit כדי לראות איך נראות טביעות האצבע הדיגיטליות. למידע נוסף על gmd5sum נסו להקליד בטרמינל man gmd5sum.

דיון

---

דפים קשורים

תרמו לדף זה

ניר סופר ואחרים

קטגוריה

קטגוריה:

קישור חיצוני

http://mac.plonter.co.il/plonwiki/SafeUse