Vertrauen ist gut, Kontrolle ist besser
Wer heutzutage ein Programm sucht, lädt sich dieses selbstverständlich aus den Weiten des Internet herunter. Dabei verschwenden jedoch die Wenigsten einen Gedanken daran, ob die heruntergeladene Datei auch wirklich die ist, für die sie sich ausgibt.
Viele Programme findet man im Internet nicht nur auf der Webseite des Entwicklers, sondern auch an diversen anderen Stellen zum Download angeboten. Dies ist nicht weiter verwunderlich, gibt es doch zahlreiche legitime Gründe dazu: Kleine Entwicklerbudgets sind für die Bereitstellung ihrer Daten auf Fremddienste angewiesen, grosse Download- und Zeitschriften-Portale erhöhen damit ihre Kundenbindungen oder grosse Datendownloads werden der Geschwindigkeit zuliebe über den ganzen Globus verteilt.
Naives Vertrauen
Vor allem populäre Programme sind jedoch immer wieder auch beliebte Ziele für unfreiwillige Zusatz- und Schadprogramme, wenn sie von zwielichtigen Webseiten bezogen werden. Nicht immer sind die unredlichen Absichten des Download-Anbieters jedoch so einfach als solche zu erkennen oder gar beabsichtigt. Es könnte ja zum Beispiel auch ein Sicherheitsloch benutzt worden sein, um dem sauberen Link eine unsaubere Datei unterzuschieben. Oder man benötigt eine ganz spezielle Version eines Programmes, welches nur noch auf einer solchen Seite zu finden ist. Im Allgemeinen gilt: Nur weil der Name einen hohen Bekanntheitsgrad besitzt, ist das Programm noch keinesfalls sicher.
Wie schütze ich mich?
Oft gibt es eine einfach Methode um festzustellen, ob das Programm auch wirklich das ist, welches der Entwickler zum Download freigegeben hat: die kryptographische Hashfunktion. Der Hash ist das Resultat einer Einweg-Funktion, die von einem Programm einen digitalen Fingerabdruck berechnet. Wird auch nur ein Bit an diesem Programm verändert, ergibt sich ein neuer Fingerabdruck und die Hashes stimmen nicht mehr überein. Viele Entwickler veröffentlichen deshalb zu jeder freigegebenen Programm-Version auch einen MD5- oder SHA-Hash (siehe Addendum). Mit diesem und einem Hash-Programm, lässt sich somit nicht nur feststellen, dass sich keine Übertragungsfehler eingeschlichen haben, sondern auch, dass diese Datei wirklich die angegebene Datei ist. Der Hash sollte daher aus naheliegenden Gründen aus einer vertrauenswürdigen Quelle und nicht aus der gleichen, unbekannten Quelle stammt.
Mit dem Aufkommen der diversen App- und Software-Stores übernehmen immer mehr die einzelnen Betriebssystem-Hersteller eine gewisse Wächterfunktion und man darf annehmen, dass der Download daraus legitim ist. Dasselbe Programm kann zwar auch ausserhalb der Stores angeboten werden, dann ist jedoch zumindest bei dieser Version erhöhte Vorsicht geboten.
Addendum
- MD5 (dito SHA-1) gilt offiziell als unsicher, wird aber dennoch oft verwendet
- SHA-2 wird als neuer Standard empfohlen
verwandter Artikel: Der Checksummen-Checker