Есть ли какая-либо гарантия, что программное обеспечение от PPA Launchpad не содержит вирусов и бэкдор-угроз?

48

Поскольку Linux продолжает расти и развиваться, и чем больше мы используем Linux, тем больше угроза со стороны вирусов.

Мы также знаем, что вирус / угроза в Linux (если таковые имеются) будут испытывать трудности при запуске или распространении, когда он работает от имени обычного пользователя, но это другая история, если вирус / угроза работает от имени пользователя root.

Примером такой опасности может быть случай, если вирус скрыт внутри PPA (преднамеренно или непреднамеренно) или если у приложения есть преднамеренно засаженный бэкдор (например, pidgin может тайно отправлять пароли на определенный адрес).

Если мы добавим программное обеспечение с Launchpad PPA, есть ли гарантия, что программное обеспечение от свободных вирусов / бэкдор-угроз?

squallbayu
источник

Ответы:

38

Сценарий установки каждого пакета имеет root-доступ к вашей системе, поэтому простое добавление PPA или установка пакета из него является неявным заявлением о доверии со стороны владельца PPA.

Итак, что произойдет, если ваше доверие неуместно и владелец PPA хочет быть непослушным?

Для загрузки в PPA пакет должен быть подписан ключом GPG, уникальным для пользователя панели запуска (действительно, тем же ключом, с которым он подписал кодекс поведения). Таким образом, в случае известного вредоносного PPA мы просто заблокируем учетную запись и закроем PPA (уязвимые системы все равно будут скомпрометированы, но в любом случае нет никакого способа исправить их).

В некоторой степени социальные функции Launchpad могут использоваться в качестве превентивной меры для плохих пользователей - например, тот, кто имеет опыт участия в Ubuntu и некоторую известную карму в Launchpad, с меньшей вероятностью будет устанавливать ловушку PPA.

Или что, если кто-то получит контроль над PPA, который не принадлежит им?

Ну, это немного сложнее сценария угрозы, но также менее вероятно, так как требует, чтобы злоумышленник получил как файл закрытого ключа пользователей панели запуска (как правило, только на своем компьютере), так и код разблокировки для него (как правило, надежный пароль не используется для всего остального). Однако, если это происходит, то обычно достаточно просто выяснить, что его учетная запись была взломана (например, Launchpad сообщит им по электронной почте о пакетах, которые они не загружают), и процедура очистки будет такой же.

Итак, в целом, PPA - это возможный вектор для вредоносного программного обеспечения, но, вероятно, злоумышленники могут найти более простые способы, чтобы преследовать вас.

Скотт Ричи
источник
6
Я лично следую за "человек / команда разработчик?" править. То есть они являются либо оригинальным автором апстрима, либо разработчиком Ubuntu? Если бы ответом на оба вопроса было «нет», я бы не стал доверять ему, если бы не знал этого человека (например, если бы я наставлял их к тому, чтобы стать разработчиком).
Мак
8

Создание (возможно, распределенного) механизма рейтингов доверия для PPA уже давно включено в план действий ОСК , но пока не реализовано.

mgunes
источник
4
«USC» - это «Ubuntu Software Center», если кто-то еще не знает об этом (если вы сами не переходите по ссылке).
Белаква
6

Нет никакой гарантии, но в среде, поддерживаемой сообществом, мы процветаем на «вере». Я добавил по крайней мере 20 PPA в мои источники и никогда не испытывал проблем до сих пор. Если по какой-либо причине, как вы упомянули, PPA установил угрозу / вирус / бэкдор в моей системе, я бы как-то узнал об этом, любезно предоставив сообщество, и просто удалил его. И кстати, прежде чем добавить PPA, я всегда проверяю, какие пакеты перечислены в нем.

PS : Pidgin никогда не отправляет имена пользователей и пароли на серверы (и никогда третьим лицам!) «Тайно». Все сделано с согласия пользователя. Для обеспечения бесперебойной связи Pidgin не может пропинговать вас каждый раз, когда отправляет учетные данные для входа на серверы. Ожидается, что вы разрешили это сделать после того, как предоставили детали. Я бы лучше дважды подумал, прежде чем называть Пиджина "бэкдором". :)

Сринивас Г
источник
1
Однако Pidgin сохраняет пароли в виде обычного текста.
Гёдель
1
Даже Google-Chrome сохранил пароли в виде открытого текста, которые можно было легко обнажить с помощью SQL-запроса (как отметил Джейми Стрэндбодж ).
Белаква
Что касается вашего второго абзаца, я думаю, вы неправильно поняли намерения ОП. Он не предполагал, что у Пиджина есть черный ход. Он использовал это как гипотетический пример, чтобы проиллюстрировать свой вопрос.
Джон Бентли