Как распознать вредоносные пакеты AUR

11

Как узнать, может ли пакет, установленный через yaourt на arch linux, быть вредным для моего компьютера? Я прочитал в вики, что я должен проверять каждую установку, которую я делаю с тобой. Но что именно я должен проверить и как распознать вредоносные пакеты?

arch-linux security yaourt lup3x
источник
Вы должны использовать официальные пакеты без AUR. Нет гарантии, потому что любой может загрузить что угодно в AUR, нужна только регистрация. Проверьте комментарии и голоса AUR-пакетов, может быть, это хорошая отправная точка.
uzsolt
Вики-инструкция состоит в том, чтобы прочитать PKGBUILD перед установкой ...
jasonwryan
3
@uzsolt Это немного смешно: в AUR есть много отличных пакетов, некоторые из которых были удалены из официальных репозиториев. Использование пакетов AUR в принципе хорошо; важно понимать, что вы устанавливаете.
Джейсонвриан
1
Несомненно, но как кто-нибудь может знать, что aur-fooупаковка вредна или нет. Существует ли общее правило или алгоритм? Я думаю, что нет. И чтения PKGBUILD недостаточно - думаю, установит вредоносную C-программу. Вы читаете полный исходный код перед установкой? Я думаю, что следует проверить комментарии (об отчетах, предупреждениях) и голоса (если есть много-много голосов, это кажется не так уж плохо). Я использую много пакетов AUR, и я думаю, что большинство из них хороши. Но ... дьявол никогда не спит :)
uzsolt

Ответы:

7

Вы не можете, на самом деле, не проводить обширный аудит кода и наблюдать его в действии «извне», например, с помощью виртуальной машины. Не существует пуленепробиваемого способа поиска вредоносных пакетов и, конечно, нет автоматического способа, который не может быть обойден относительно легко. Некоторые вещи, которые вы можете реально сделать, ни одна из которых не является серебряной пулей:

  • Загрузите пакет, распакуйте его ( не устанавливайте!) И запустите проверку на распакованные файлы на наличие вирусов. Это может найти некоторые известные проблемы, но не целевые или пользовательские хаки.
  • Прежде чем использовать его, установите его на виртуальной машине и убедитесь, что он не делает ничего «подозрительного», такого как касание файлов, которые он не должен делать, общение с внешними серверами, запуск собственных процессов демона и т. Д. Конечно, он может делать такие вещи на временной основе, например, после запуска в течение X часов, и вы не сможете узнать об этом без детальной проверки кода. Детекторы руткитов могут автоматизировать некоторые из них.
  • Установите в ограниченном окружении. SELinux, chroot-тюрьмы, виртуальные машины, отдельные отключенные машины и многое другое могут содержать различные типы проблемного программного обеспечения, от простого плохого до активно вредоносного.
  • Ценные (но не секретные) данные могут быть размещены на отдельных серверах с доступом только для чтения к ненадежному компьютеру.
  • Секретные данные должны быть размещены на машине, которая недоступна с ненадежной машины. Любое общение должно быть ручным копированием через сменный носитель.

Наконец, единственное безопасное программное обеспечение - это не программное обеспечение. Вы уверены, что вам нужно установить программное обеспечение, которому вы не доверяете? Нет ли известной, надежной альтернативы?

l0b0
источник
Хорошо, я только следовал за записями вики для xflux и sun JDK. Является ли ваше руководство для каждой записи AUR или я могу доверять пакетам, которые имеют обширную статью wiki.archlinux?
lup3x
4
Никто не может сказать вам, кому доверять. Никто не знает кому доверять. Все, что вы можете сделать, это сделать суждение, основанное на вашем собственном опыте, советах людей, которым вы доверяете, популярности пакета или любой другой эвристике, которую вы считаете достаточной.
10
Спасибо, я буду иметь это в виду при установке новых пакетов
lup3x
2
Я не уверен, стоит ли доверять совету @ l0b0.
Sparhawk
1
@ Sparhawk Хорошо, в конце концов, мы в Интернете, и кому доверять , должно быть личным решением.
10
3

Как упоминалось ранее, вы не можете знать наверняка.

Одна из основных эвристик, которые я лично использую:

Если бы я попытался установить это вручную, я бы в любом случае загрузил его с spotify.com, так что это нормально в моих книгах. Краткое прочтение остальной части PKGBUILD, и кажется, что оно не делает ничего необычного. Конечно, есть способы быть хитрыми, но я думаю, что основной целью любого вредоносного кода на AUR будут люди, использующие yaourt и т. Д., Которые обычно не читают PKGBUILD перед установкой программного обеспечения и не обнаружат проблему, даже если она очевидна ,

kellpossible
источник