Quando scarichi software da qualche sito su Internet, devi vedere su quali criteri, se esistono, puoi stabilire la fiducia e quindi determinare se la base per stabilire la fiducia è valida.
Per prima cosa, considera se ti fidi dello sviluppatore. Lo sviluppatore è una persona anonima, o è una società o una persona con un nome reale, informazioni di contatto reali, ecc. È meno probabile che qualcuno crei di proposito software dannosi se stanno lasciando una traccia a se stesso; ovviamente il sito potrebbe rubare l'identità di qualcuno. L'autore ha una reputazione, fornisce fonti, pubblica note di rilascio, fornisce aggiornamenti, ammette quando sono stati rilevati problemi di sicurezza in passato?
Successivamente, puoi guardare la fonte del download. È dal sito dell'autore / editore, o è un sito Web di terzi (come download.com) un torrent, ecc. Una terza parte può modificare il programma o comprarlo con spyware o altra spazzatura. Il sito è sicuro, ci sono garanzie ragionevoli che il file abbia integrità rispetto a ciò che l'autore ha compilato e / o caricato?
Sul singolo file stesso, l'autore pubblica spesso un hash md5 / sha1, che è possibile utilizzare per confrontare il file scaricato per assicurarsi che sia valido. Questo è meno robusto di solito pubblicizzato, perché un sito potrebbe essere violato. Più affidabile sarebbe se l'autore firma crittograficamente il file eseguibile o zip, ciò fornisce una ragionevole garanzia di integrità e autenticità. A differenza della pubblicazione dell'hash in alcuni siti Web, i dati per l'autenticità fanno parte del file che stai scaricando.
Se si vuole fare attenzione, è sempre possibile eseguire il file in un sanbox o una macchina virtuale per isolarlo dal resto del sistema e dei dati. Questo ti dà la possibilità di usarlo per un po ', vedere quali tipi di richieste di rete vengono fatte, eseguire anti-virus su di esso. Dopo aver valutato separatamente, puoi caricarlo nel tuo sistema principale se questo fornisce un vantaggio tangibile.
Puoi sollecitare recensioni o consigli da altri usi o persone su Internet, ma questo spesso fornisce false garanzie: a meno che non siano esperti di sicurezza e software, possono solo fornire un feedback aneddotico dalla loro esperienza, limitato dalle loro capacità di eseguire tali una valutazione, sono sicuro che conosci qualcuno che gestisce un computer carico di malware, ma sembra che non ci sia un problema o qualcosa di sbagliato.
In definitiva, non si può mai essere sicuri, e nuove vulnerabilità potrebbero essere trovate in futuro. Spesso la "sicurezza" può essere considerata un processo di gestione del rischio. In generale, devi stabilire un certo livello o fiducia e quindi determinare quali passi aggiuntivi puoi fare per ridurre la probabilità di attacco / compromesso nel caso in cui il tuo trust sia stato stabilito in modo improprio o ci siano stati criteri che non hai o non erano abbastanza tecnici da considerare .