Heruntergeladene Software prüfen

[Affen2019]

Guten Abend,

ich würde gerne prüfen, ob heruntergeladene Installer (.pkg) "sauber" bzw. unverändert sind. Webseiten können ja durchaus mal für ein gewisses Zeitfenster gehackt oder umgeleitet und mit Malware verseucht werden, aber das Entwickler-Zertifikat liegt vermutlich so selten auf dem gleichen Webserver, dass hoffentlich kaum jemand spontan versuchen würde damit die Manipulation zu signieren.

Bislang habe ich im Installer (Mojave) immer auf das Schloss geklickt und auf grüne Häkchen sowie plausible Bezeichnungen bei den allgemeinen Namen der Baumstruktur geachtet. Bei einem meiner Installer geht es z.B. los mit "Apple Root CA", danach folgt "Developer ID Certification Authority" und danach "Developer ID Installer: Microsoft Corporation (UBF8T346G9)". Für mich klingt das erstmal das plausibel: das Root CA vertraut dem Developer ID CA und das wiederum dem speziellen Developer ID Installer, der augenscheinlich von Microsoft stammt.

Ist das überhaupt notwendig? Ich hatte noch nie ein Problem mit den Zertifikaten und weiß daher nicht, was passiert, wenn ich einen Installer mit ungültigem Zertifikat öffne.

Ist es schon mal vorgekommen, dass jemand manipulierte Software mit einem fremden, gültigen Zertifikat verbreitet hat?

Sollte man den SHA-256 Fingerprint kontrollieren, so wie es Apple für manuell heruntergeladene Betriebssystem-Updates empfiehlt?

Viele Grüße
Affe

 

[pc-bastler]

Also ich beschränke mich auf den Fingerprint. Denn der ändert sich schon dann, wenn jemand das pkg neu signiert hat.

 

[noodyn]

Aus meiner Sicht ist das nicht notwendigt, WENN man die Software immer von vertrauenswürdigen (nicht xyzwarez oder chip oder sonstwas) Quellen, am Besten vom Hersteller selbst, lädt und bei der Installation einfach den Kopf einschaltet und nicht jede Nachfrage mit "Ja gerne, kommen sie herein" beantwortet.

 

[pc-bastler]

Aus meiner Sicht ist das nicht notwendigt, WENN man die Software immer von vertrauenswürdigen (nicht xyzwarez oder chip oder sonstwas) Quellen, am Besten vom Hersteller selbst, lädt und bei der Installation einfach den Kopf einschaltet und nicht jede Nachfrage mit "Ja gerne, kommen sie herein" beantwortet.

Dem widerspreche ich. Selbst von Microsoft habe ich die Empfehlung bekommen, den Fingerprint zu überprüfen, auch wenn ich etwas von deren Portalen herunterlade. Es kommt auch immer darauf an, an welcher Stelle du die Software einsetzt. Zum Teil wird eine Überprüfung (unabhängig der Bezugsquelle) und eine Dokumentation derselben gefordert.

 

[noodyn]

Dem widerspreche ich.

Ich sagte "Aus meiner Sicht"... da kannst du widersprechen, so lange du willst.
Die Firmen geben diese "Empfehlung" nur aus, um nicht für daraus folgende Schäden haftbar zu sein. Aus meiner Sicht ist es viel sinnvoller den Kopf zu benutzen als Fingerprints zu prüfen.

 

[ruerueka]

Zum Teil wird eine Überprüfung (unabhängig der Bezugsquelle) und eine Dokumentation derselben gefordert.

Wenn du so einem Prozess unterliegst, weil du (oder dein Arbeitgeber) entsprechende Verträge unterschrieben hast, ist die Sinnfrage ja nicht relevant. Mach es und dokumentier es, damit dir niemand einen Strick daraus dreht.

 

[lisanet]

Wenn du Gatekeeper aktiviert gelassen hast, dann hast du darüber erst mal die automatische Prüfung auf eine gültige Signatur und künftig durch die Prüfung der Notarisation auch dass wesentliche Systemaufrufe und -Vorgaben eingehalten werden und auch nachgeladene Komponenten entsprechend signiert und notarisiert sind.

Die manuelle Prüfung von Zertifikaten oder fingerprinting bringt dir da weniger und ist mit der lediglichen Signaturprüfung vergleichbar.

Wenn du natürlich unsignierte und damit künftig auch nicht notarisierte Apps verwendest, musst du mit fingerprinting zumindest dieses Level prüfen. Den Rest, den Notarisation übernimmt musst du halt vertrauen.

Bei z.B. Transmission gab es schon mal eine korrekt signierte Version, die dennoch Malware enthielt. Sowas kriegst du leider nur durch Notarisation und ähnliches einigermaßen in den Griff.