Cómo asegurarse de que el ejecutable que descargué coincide con el código fuente

Es difícil estar seguro de esto sin algún tipo de firma de Código.

Hay varios puntos en los que el malware podría ocultarse en una aplicación de código abierto.

De alguna manera colarse en la fuente.
Alterar los ejecutables después de que se construyen.
Algún tipo de ataque MITM donde el binario se modifica en tránsito, o su solicitud se cambia de forma transparente para devolver un archivo infectado.

Puede auditar el código usted mismo para asegurarse de que (1) no haya sucedido.

Muchos proyectos de OSS proporcionarán algún tipo de firma o suma de verificación que le permite verificar que (2) no ha sucedido. Esto también proporciona cierta protección contra (3), aunque debe confiar en que la firma es auténtica y no ha sido alterada.

Para poder compilar una versión binaria idéntica del ejecutable sospechoso, tendrá que replicar la configuración de compilación exactamente (mismo compilador, versión y opciones). Luego podría descompilar e investigar si nota alguna diferencia.

¿Qué harán los hackers?

¿Cuáles son los posibles ataques en dispositivos 6LoWPAN?

¿Cómo te proteges de los hackers?

¿Sabes qué es la botnet?

¿Qué se puede hacer con respecto a la creciente frecuencia y gravedad de los ciberataques corporativos y las brechas de seguridad?

¿Qué estructura de datos utiliza Google para implementar la función ‘¿Quiso decir?’

La mayoría de los proyectos de código abierto proporcionarán firmas de archivos binarios que puede verificar su descarga contra estos archivos de firma.

La página de descarga de PuTTY es un buen ejemplo:
EXE: http://the.earth.li/~sgtatham/putty/latest/x86/putty.exe
FIRMA: http://the.earth.li/~sgtatham/putty/latest/x86/putty.exe.RSA

También verifique, PuTTY Descargar claves y firmas.
Este es solo un ejemplo, para otro software la verificación puede diferir (depende del algoritmo clave), pero la idea general es la misma.

Oliver Brennan

Siempre puede intentar compilarlo en las mismas condiciones que lo hizo el editor. Esto incluye SO, variables de entorno, obviamente compilador, bibliotecas y un largo etcétera. Si el resultado producido no es el mismo que el binario que descargó, hay algo sospechoso al respecto.

Por lo general, esto no se puede lograr ya que el entorno de compilación original es desconocido o no es factible reproducirlo.

Incluso si no le gusta escucharlo, simplemente no ejecute binarios no confiables y compile desde la fuente si es posible.

Aaron Shbeeb

Compile el código con exactamente el mismo compilador y exactamente las mismas opciones de compilador mientras está exactamente en el mismo tipo de procesador y hardware, entonces el resultado debe coincidir con el binario que descargó. ¿Suena inconveniente? Es. Es por eso que algunos lugares proporcionan hashes del binario que descargas para que puedas estar razonablemente seguro de que tienes el correcto, pero debes confiar en que el hash no fue alterado.

Aaron Shbeeb

More Interesting

¿Es Kaspersky Endpoint Security un producto diferente de Kaspersky Internet Security?

¿Qué antivirus deberías elegir?

Cómo evitar que mis dispositivos sean pirateados

Mi teléfono celular y mi MacBook han sido pirateados. ¿Qué debo hacer?

¿Las contraseñas binarias son difíciles de hackear?

¿Cómo es 2FA vulnerable a los piratas informáticos?

¿Qué se entiende por seguridad de 128 o 256 bits?

Cómo saber si su teléfono ha sido pirateado y sus llamadas están siendo desviadas

¿Qué debe hacer si alguien le está chantajeando por dinero en Skype? ¿Pueden realmente hacer algo para dañar tu reputación?

¿Los datos de Google extraen sus datos en aplicaciones de Fotos, Chrome, Drive y Gmail? Si es así, ¿para qué usan los datos y qué tan seguros están sus datos almacenados?