Hace poco hice una búsqueda en Bing de Putty y solo puedo adivinar qué distribución es "confiable", no contiene ningún malware o código de detección .
Si necesitaras descargar Putty para una instalación de Windows de alta seguridad, ¿de dónde obtendrías los binarios? ¿Lo compilarías de la fuente?
El sitio oficial es www.chiark.greenend.org.uk/~sgtatham/putty, puede encontrar la descarga en la sección de descarga . Si desea jugar de forma segura, puede verificar la firma de la descarga .
En mi opinión, compilarlo desde la fuente es tan seguro como descargar el binario y verificar la firma (asegúrese de verificar también la clave con al menos un firmante de confianza). A menos que revise el código fuente (incluidas todas las bibliotecas necesarias), no tiene sentido gastar el esfuerzo adicional de compilarlo usted mismo, ya que ambas partes, el código fuente y los binarios, están firmados con la misma clave.
La única ventaja que obtiene al compilarlo usted mismo es la oportunidad de revisar el código para mitigar el riesgo de que los autores de PuTTY puedan agregarle algunas puertas traseras o malware. Pero nuevamente, tendría que revisar el código y todas las bibliotecas necesarias para obtener ese beneficio.
Es casi imposible verificar que se obtiene una copia limpia de la masilla. Como se describe en este artículo limpio (no escrito por mí)
tldr del artículo es: No se puede confiar en los binarios de masilla, las firmas y los sitios de descarga porque ni siquiera utilizan SSL / Https. Sería muy fácil para un hombre en el ataque central poder modificar las firmas y los binarios, y darle una versión maliciosa de putty.exe y una firma / suma de comprobación que corresponde al ejecutable interceptado.
A partir de mayo de 2017 (!), el sitio web oficial de PuTTY está disponible a través de HTTPS.
Combinado con los enlaces de descarga HTTPS agregados un poco antes, esto finalmente proporciona la primera forma práctica de descargar una copia verificada de PuTTY.
Bienvenido al futuro.
Descargue la misma versión de los 10 mejores resultados para la "página de inicio de masilla" devuelta por su motor de búsqueda favorito y compárelos. Si no son todos completamente iguales, aborta la instalación. De lo contrario, instálelo (desde cualquiera de las copias descargadas idénticas en modo bit, por supuesto).
Si necesita más seguridad, interpole los resultados de diferentes motores de búsqueda y aumente el número de descargas.
Sencillo, efectivo y, por lo general, funciona bastante bien con tan poco esfuerzo.
Para estar más seguros, descargue el código fuente, haga que varios expertos en seguridad, criptógrafos y programadores de primera clase lo auditen todo (incluidas todas las bibliotecas y compiladores), y paguen el costo, y probablemente aún sufran el siguiente error. .
Otra buena opción es el sitio web oficial de winscp , la conexión está asegurada con TLS.
Si alguna vez tiene dudas sobre alguna descarga y no está configurado para verificar la descarga y probar la instalación, una alternativa bastante segura es obtener el programa de CNET. El sitio dice que se ha escaneado para garantizar que esté libre de virus y spyware. Putty está disponible en enlace .
Lea otras preguntas en las etiquetas network source-code patching software