Launchpad PPA'larından gelen yazılımın virüs ve arka kapı tehditleri içermediğine dair herhangi bir garanti var mı?


48

Linux büyümeye ve gelişmeye devam ettikçe ve Linux'u ne kadar çok kullanırsak, virüslerden kaynaklanan tehdit de o kadar artar.

Ayrıca Linux'taki (eğer varsa) bir virüsün / tehdidin normal bir kullanıcı olarak çalışırken kaçmak veya yayılmakta zorlanacağını biliyoruz, ancak virüs / tehdit kök kullanıcı olarak çalışıyorsa farklı bir hikaye.

Bu tehlikenin bir örneği, bir virüsün PPA'nın içine (kasıtlı olarak veya kasıtsız olarak) sıkışmış olması veya bir uygulamanın kasıtlı olarak ekilmiş bir arka kapıya sahip olması (örneğin, pidgin gizli bir şekilde şifreleri belirli bir adrese gönderebilir) olabilir.

Bir Launchpad PPA'sına yazılım eklersek, yazılımın ücretsiz virüslerden / arka kapı tehditlerinden geldiğine dair herhangi bir garanti var mı?

Yanıtlar:


38

Her paketin kurulum betiği sisteminize kök erişimine sahiptir, bu nedenle sadece bir PPA ekleme veya bir paketi bir paketten yükleme eylemi, PPA sahibinin kendi parçası için gizli bir güven beyanıdır.

Peki, güveniniz yanlış yere yerleştirilmişse ve bir PPA sahibi yaramaz olmak isterse ne olur?

Bir PPA'ya yükleme yapmak için bir paket, başlatıcı kullanıcısı için benzersiz olan bir GPG anahtarıyla imzalanmalıdır (aslında, davranış kodunu imzaladıkları aynı anahtarla). Bu nedenle, bilinen kötü niyetli bir PPA olması durumunda, hesabı yasaklar ve PPA'yı kapatırdık (etkilenen sistemler hala tehlikeye girer, ancak bu noktada onları düzeltmenin iyi bir yolu yoktur).

Bir dereceye kadar Launchpad'in sosyal özellikleri, önleyici kötü kullanıcıların bir ölçüsü olarak kullanılabilir - Ubuntu'ya katkıda bulunan bir geçmişi olan ve bazı kurulmuş Launchpad karma'larının, örneğin, bir tuzak PPA'sı kurma olasılığı daha düşüktür.

Ya da birisi kendi olmayan bir PPA'nın kontrolünü ele geçirirse?

Peki, bu bir tehdit senaryosundan biraz daha zor, ancak aynı zamanda daha düşük bir saldırganın hem launchpad kullanıcılarının özel anahtar dosyasını (genellikle sadece bilgisayarlarında) hem de kilit açma kodunu (genellikle güçlü bir parola değil) almasını gerektiriyor başka bir şey için kullanılır). Ancak bu gerçekleşirse, birinin hesaplarının tehlikeye atıldığını anlaması genellikle oldukça basittir (Launchpad örneğin, yüklemedikleri paketler hakkında onlara e-posta gönderir) ve temizleme prosedürü aynı olacaktır.

Bu nedenle, genel olarak, PPA'lar kötü amaçlı yazılımlar için olası bir vektördür, ancak saldırganların sizden sonra gelmesi için çok daha kolay yöntemler vardır.


6
Şahsen ben takip ediyorum "kişi / ekip dev mi?" kural. Yani, bunlar orjinal tersine yazar mı yoksa bir Ubuntu Geliştirici mi? İkisinin de cevabı "hayır" ise, kişiyi tanımadığım sürece (örneğin, onları dev olma yolunda mentorluk yapıyor olsaydım) çok fazla güven vermem.
maco

8

PPA'lar için (belki de dağıtılmış) bir güven derecelendirme mekanizması oluşturulması, bir süredir USC yol haritasına girmiştir , ancak henüz uygulanmamıştır.


4
"USC", bir başkasının haberi yoksa (bağlantıyı kendiniz takip etmediğinizi varsayarak) "Ubuntu Yazılım Merkezi" dir.
belacqua

6

Hiçbir zaman hiçbir garanti yoktur ancak toplum destekli bir ortamda, "inanç" üzerine gelişiriz. Kaynaklarıma en az 20 PPA ekledim ve şimdiye kadar hiç bir sorun yaşamadım. Herhangi bir şans eseri ve sizin de bahsettiğiniz gibi, bir PPA tarafından sistemime bir tehdit / virüs / arka kapı yerleştirilirse, bir şekilde bunu öğrenmeye geldim, topluluğun izniyle. Ve BTW, bir PPA eklemeden önce, içinde hangi paketlerin bulunduğunu kontrol ederim.

Not : Pidgin, kullanıcı adlarını ve şifrelerini asla sunuculara (ve asla üçüncü bir tarafa asla!) "Gizlice" göndermez. Her şey kullanıcının rızasıyla yapılır. Sorunsuz bir şekilde bağlantıda kalmanız için Pidgin, giriş bilgilerini kimlik bilgilerini sunuculara her gönderdiğinde size ping yapamaz. Ayrıntıları verdikten sonra, bunu yapmaya yetkili olmanız beklenir. Pidgin'e "arka kapı" demeden önce iki kere düşünmeyi tercih ederim. :)


1
Ancak Pidgin, şifreleri düz metin olarak kaydeder.
Gödel

1
Hatta google-chrome bile bir SQL sorgusu tarafından önemsiz şekilde açıklanabilen açık metin şifreleri kaydetti ( Jamie Strandboge'nin belirttiği gibi ).
belacqua

İkinci paragrafınızla ilgili olarak, OP'nin amaçlarını yanlış anladığınızı düşünüyorum. Pidgin'in arka kapısı olduğunu öne sürmüyordu. Sorusunu göstermek için varsayımsal bir örnek olarak kullandı.
Jon Bentley
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.