¿Vale la pena verificar los ISO descargados del sitio web oficial?

Descargué el ISO de https://www.ubuntu.com/download , seleccionando la opción predeterminada "Ubuntu Desktop".

El sitio web enlaza la página https://tutorials.ubuntu.com/tutorial/tutorial-how-to-verify-ubuntu que da instrucciones sobre cómo verificar ubuntu.

Esto parece bastante tedioso, y me pregunto qué tan realista es que haya un problema con ISO descargado del sitio web oficial. Observo que el proceso de verificación en sí mismo requiere que descargue un software nuevo para mí, por lo tanto, introduzco otro vector de ataque incluso cuando estoy cerrando otro.

Por lo que vale, estoy planeando usar Live USB solo y no instalar completamente Ubuntu. Eso hace una diferencia?

Sí, vale la pena.

Solo lleva unos segundos obtener md5sum / etc un ISO descargado, y proporciona la seguridad de que MITM no lo atacó, etc. persiguiendo errores que nadie más obtiene debido a su descarga (por ejemplo, tiene problemas de red y, por lo tanto, intente depurar; pero la red está llena porque eso es lo que eran los pocos bits incorrectos ...) Piense en las comprobaciones de verificación como un seguro muy barato.

El software necesario para md5sum algo será generalmente de otra fuente (una versión anterior, incluso en ocasiones con un sistema operativo / distribución diferente), es muy pequeño y ya está presente para muchos / la mayoría de nosotros.

Además, me permite descargar desde un espejo local, pero porque tomo el md5sum de la fuente canónica; Tengo seguro de que el espejo no jugó con él. De nuevo, un seguro muy barato que me cuesta ~ 3 segundos de tiempo.

Sí, es MUY RECOMENDABLE que verifique la imagen que descargó, aquí hay algunas razones:

• Solo toma unos segundos y puedo decirle si la integridad del archivo es correcta, es decir, el archivo no está dañado. (Una causa común de corrupción es un error de transferencia debido a razones técnicas, como una conexión a Internet débil debido al comentario de @sudodus).
• Si el archivo está dañado y graba esta imagen ISO en una unidad de CD / USB, y no funciona, o durante una instalación podría fallar, esto resulta en una pérdida de tiempo y CD.
• Está seguro de que está utilizando la versión oficial CLEAN de cualquier tipo de imagen ISO o software y no una versión modificada (tal vez por atacantes), vea este informe: piratas de Watch Dogs golpeados por el escorbuto malware de minería Bitcoin

Si ya tiene una distribución GNU Linux, puede usar md5sum , si está en Windows puede usar: WinMD5Free .

Espero eso ayude.

Sí, lo es, pero Ubuntu parece hacerlo más difícil de lo que debería ser.

En el mejor de los casos, debe descargar foo.iso y foo.iso.sig y hacer clic en el archivo .sig (o usar gpg en el shell del archivo .sig) después de importar la clave una vez. Esto cuesta unos segundos.

Ubuntu parece complicarlo más al obligarlo a verificar las sumas sha256 de un archivo mientras solo el archivo está firmado. Eso es conveniente para ellos, pero más trabajo para sus usuarios.

Por otro lado, cuando el archivo fue generado solo por sha256sum * >SHA256SUMS, puede verificarlo usando sha256 -cy obtener OK/Bad/Not-Foundcomo salida.

Revisar su /proc/net/dev y vea cuántas tramas TCP incorrectas ha recibido hasta ahora. Si ve un valor de un solo dígito (con suerte un cero), siga leyendo. Si tiene lotes o errores de red, entonces utilice MD5 para verificar sus descargas (aunque preferiría investigar la causa raíz, ya que una red poco confiable significa que no puede confiar en nada que reciba a través de HTTP).

Cuando está descargando a través de TCP, que suma sumas de verificación de todos los datos transmitidos, hay muy pocas posibilidades de tener una descarga corrupta con exactamente el mismo tamaño. Si está seguro de que está descargando desde el sitio oficial (normalmente lo está haciendo si está usando HTTPS y la verificación del certificado se aprueba), verificar que su descarga esté completa normalmente es suficiente. Los navegadores web decentes generalmente hacen la verificación por usted de todos modos, diciendo algo similar a "error de descarga" si no obtienen la cantidad de datos que esperan, aunque he visto navegadores que simplemente deciden mantener el archivo incompleto sin decir nada para el usuario, en cuyo caso puede verificar el tamaño del archivo manualmente.

Por supuesto, verificar una suma de verificación aún tiene su valor, cubriéndolo en los casos en que el archivo que está descargando está dañado en el servidor, pero eso no sucede con demasiada frecuencia. Aún así, si vas a usar tu descarga para algo importante, vale la pena dar un paso.

Como @sudodus dijo en los comentarios, usar Bittorrent en lugar de HTTPS es otra opción, ya que los clientes de torrent hacen un trabajo mucho mejor al tratar con datos incompletos / corruptos como lo hacen los navegadores web.

Tenga en cuenta que las sumas de verificación realmente no evitan que sea atacado, para eso es HTTPS.

Descubrí el camino difícil sobre no verificar el resumen. Grabaría un CD con un ISO que se corrompió durante una descarga, y no pude arrancarlo o tenía errores al ejecutarlo.

Como dijeron los demás, lleva poco tiempo.

Lo está viendo con un solo caso de uso, en una configuración con automatización masiva, ayuda a verificarlo; scripts que ejecutan la verificación, antes de continuar con lo que sea que necesitemos hacer con la imagen

Los otros me dieron respuestas con detalles técnicos que olvidé aunque soy un programador (mi trabajo no involucra la comunicación a través de redes), así que solo voy a contarles una experiencia personal.

Hace mucho tiempo, cuando solía grabar CD con frecuencia, una vez se me ocurrió haber descargado este ISO de distribución de Linux que parecía haberse descargado correctamente. El CD me falló, así que verifiqué el archivo descargado y no coincidía. Entonces, descargué nuevamente y funcionó. Entonces, esto solo sucedió una vez en 15 años desde que era un usuario avanzado de computadoras y programación (he estado usando computadoras desde la edad de 11 años, hace 19 años, y he quemado más de mil discos). Pero es una prueba de que puede suceder.

También me sucedió a través de BitTorrent una o dos veces, por lo que tampoco es a prueba de fallas. Al forzar la revisión del archivo descargado, identificó la pieza corrupta.

Mi conclusión es que HTTP (confiar en TCP) puede ser tan seguro como sea posible, pero Internet significa que hay nodos intermedios entre su dispositivo y el servidor, y no se sabe qué puede suceder en el camino (los paquetes incluso se pierden todos tiempo), y a veces las computadoras no pueden decir que los datos están mal, supongo.

Nadie puede responder si valdría la pena para usted: depende del contexto y estoy seguro de que puede juzgarlo usted mismo. Para mí, no vale la pena la mayor parte del tiempo. Sin embargo, si iba a instalar un sistema operativo, verificaría la imagen descargada antes.

Nota: el hecho de que solo una o dos veces noté una descarga corrupta no significa que solo sucedió en ese momento. Tal vez otras veces no se interponga en el camino para que no te des cuenta.

EDITAR: Incluso hice que otros programadores más experimentados en el trabajo argumentaran (incluso con bastante indignación) que estos hashes de verificación de integridad de datos hacen posible saber si un archivo es un poco idéntico al original, pero sé (he leído) que El hecho de que dos archivos den como resultado el mismo hash no significa que sean idénticos, solo significa que es extremadamente improbable que sean diferentes. La forma en que son útiles es que cuando los archivos no son idénticos, y especialmente cuando son muy diferentes, sus códigos hash resultantes prácticamente nunca serán los mismos (es incluso menos probable que esta prueba falle). En menos palabras: si los códigos hash son diferentes, sabrá que los archivos son diferentes.