Есть ли гарантия того, что программное обеспечение от Launchpad PPA не содержит вирусов и бэкдор-угроз?

46

Поскольку Linux продолжает расти и развиваться, и чем больше мы используем Linux, тем больше угроза от вирусов.

Мы также знаем, что вирус / угроза в Linux (если таковой имеется) будет иметь проблемы с запуском или распространением, когда он работает как обычный пользователь, но это другая история, если вирус / угроза работает как пользователь root.

Примером такой опасности может быть, если вирус заправлен внутри PPA (намеренно или непреднамеренно) или если приложение имеет намеренно установленный бэкдор (например, pidgin может тайно отправлять пароли на определенный адрес).

Если мы добавим программное обеспечение из Launchpad PPA, есть ли какая-либо гарантия того, что программное обеспечение является бесплатным вирусом / бэкдор-угрозами?

    
задан squallbayu 16.10.2010 в 03:47
источник

3 ответа

37

Скрипт установки каждого пакета имеет корневой доступ к вашей системе, поэтому простой акт добавления PPA или установки пакета из него - это неявное утверждение доверия вашей стороны владельца PPA.

Итак, что произойдет, если ваше доверие будет неуместным, а владелец PPA хочет быть озорным?

Чтобы загрузить в PPA, пакет должен быть подписан ключом GPG, уникальным для пользователя панели запуска (действительно, тот же ключ, с которым они подписали код поведения). Поэтому в случае известного вредоносного PPA мы просто запретим учетную запись и закрываем PPA (затронутые системы все равно будут скомпрометированы, но в любом случае не удастся их исправить).

В какой-то степени социальные функции Launchpad можно использовать как часть предупредительной меры для плохих пользователей - например, кто-то, кто имеет историю вносить вклад в Ubuntu, а некоторые из созданных карманов Launchpad, скорее всего, будут создавать ловушка PPA.

Или что, если кто-то получит контроль над PPA, который не принадлежит им?

Ну, это немного сложнее сценария угроз, но также менее вероятно, так как он требует, чтобы злоумышленник получал как файл закрытого ключа пользователей стартовой панели (как правило, только на своем компьютере), так и код разблокировки для него (как правило, strong пароль не используется ни для чего другого). Однако, если это происходит, для кого-то обычно довольно сложно понять, что их учетная запись была скомпрометирована (Launchpad, например, отправит их по электронной почте о пакетах, которые они не загружают), а процедура очистки будет одинаковой.

Итак, в целом, PPA - это возможный вектор для вредоносного программного обеспечения, но, вероятно, гораздо более легкие методы для злоумышленников после вас.

    
ответ дан Scott Ritchie 16.10.2010 в 04:29
источник
8

Установление (возможно, распределенного) механизма рейтингов доверия для PPA уже некоторое время находится в USC , но оно hasn еще не реализовано.

    
ответ дан mgunes 16.10.2010 в 05:12
6

Нет никакой гарантии, но в среде, поддерживаемой сообществом, мы преуспеваем в «вере». Я добавил по крайней мере 20 PPA к моим источникам и до сих пор не испытывал проблем. Если по какой-либо причине и, как вы упомянули, в моей системе будет установлена ​​угроза / вирус / бэкдор с помощью PPA, я бы узнал об этом как-то, любезно предоставил сообщество и просто удалю его. И BTW, перед добавлением PPA, я всегда проверяю, какие пакеты указаны в нем.

PS : Pidgin никогда не отправляет имена пользователей и пароли серверам (и никогда не третья сторона!) «тайно». Все делается с согласия пользователя. Чтобы поддерживать связь без проблем, Pidgin не может проверять вас каждый раз, когда он отправляет учетные данные для входа на серверы. Ожидается, что вы уполномочили его сделать это, как только вы предоставили ему подробную информацию. Я бы предпочел подумать дважды, прежде чем называть Пидгина «бэкдором». :)     

ответ дан Srinivas G 16.10.2010 в 04:18