I programmi in Ubuntu Software Center sono spyware gratis?

Nel centro software Ubuntu ci sono diverse sezioni per i programmi

• Fornito da Ubuntu
• Partner canonici
• Per l'acquisto

So che tutti questi sono open-source; ma esiste un processo di convalida eseguito da Canonical per garantire che siano privi di spyware o malware ?

Mi chiedo che qualcuno avrà il tempo di guardare tutti questi (2355 programmi o giù di lì), anche questo codice software per ogni versione !!

Sono preoccupato perché installo regolarmente software piuttosto impopolare dal centro software :)

Esiste un processo per garantire l'assenza di malware? No. Non ci sono garanzie.

Esistono, tuttavia, diversi meccanismi per provare a rilevarlo, ma anche se non voglio diventare troppo cupo, se siamo onesti, probabilmente non sei sicuro come vorresti essere.

1. Un progetto deve prima essere aggiunto a Ubuntu. Come dice Rinzwind, i controlli vengono effettuati in questa fase, ma in realtà è solo la punta dell'iceberg che è la vita di un pacchetto in Ubuntu.

2. La prima vera linea di difesa per i pacchetti a lungo termine sono i manutentori del progetto. Queste persone si occupano dei loro progetti e accettano patch per migliorarli. Sono umani. Commettono errori e mancano le cose. E alcuni potrebbero essere pigri.

   È possibile che una persona cattiva possa sorvegliare un po 'di malware, includendo autentici miglioramenti insieme al malware.

   Se qualcosa di brutto viene ammesso in un progetto dal suo manutentore, salva un controllo riuscito, è probabile che il codice finisca sui computer degli utenti Ubuntu.

3. I controlli di sicurezza sono il secondo passo. Questo sta esaminando il codice ed eseguendolo contro i monitor per rilevare cose cattive. Per quanto ne so, non esiste un team canonico ufficiale dedicato alla sicurezza, ma ci sono due team di comunità (Ubuntu Security e MOTU SWAT) che gestiscono tutti i pacchetti tra di loro.

   Il controllo funziona davvero solo se ogni riga di codice viene controllata correttamente prima di essere distribuita agli utenti. Questo non è davvero pratico per la quantità di codice e il numero di aggiornamenti di cui stiamo parlando. Ci vorrebbe un sacco di tempo e denaro per farlo in questo modo.

   C'è un'ipotesi nel mondo open source che solo perché qualcuno può vedere la fonte, hanno. Questo è un ethos molto pericoloso da mantenere.

   Le correzioni di sicurezza sono in gran parte reazionarie alla ricerca e alla divulgazione di buchi da parte delle persone. Cosa succede se qualcuno rivela un buco che trova?

4. Altri problemi di segnalazione degli "utenti finali" sono il vero meccanismo finale di rilevazione e siamo onesti, un buon malware non farà sapere all'utente che c'è un problema fino a quando è troppo tardi per fare la differenza. Un malware ben scritto non capovolge lo schermo o ruba tutta la larghezza di banda, siederà lì in background, registrando tutti i dettagli bancari prima di inviarli in una discarica anonima da qualche parte.

L'intero processo dipende da progetti a monte per mantenere i propri livelli di sicurezza. Se qualcuno ha fatto scivolare qualcosa oltre il manutentore del calcolatore di Gnome, è probabile che mancherà a tutti gli altri. Un team di sicurezza non sospetterà mai neanche questo.

Per fortuna, molti manutentori sono bravi in ​​quello che fanno. Conoscono la loro base di codice e se non capiscono le patch, li respingeranno sulla base del fatto che non sono abbastanza chiari.

In termini di valutazione del rischio, usando qualcosa che è molto meno popolare, ci sono probabilmente meno occhi che controllano il codice. Allo stesso modo, ci sono probabilmente meno commit, quindi finché il manutentore non è pigro (o malvagio), potrebbe avere più tempo per gestire ogni commit. È difficile dire esattamente a che rischio sei. La sicurezza del software open source dipende da persone capaci che osservano il codice.

Al contrario, gli articoli di origine chiusa (nei partner e nei repository degli acquisti) sono completamente non certificati dalla community. Canonical può avere un po 'di accesso alla fonte, ma francamente dubito che abbiano le risorse per fare audit approfonditi anche se avevano accesso alla fonte e volevano.

Allo stesso modo con i PPA, ottieni pochissima protezione a meno che tu non voglia immergerti nella fonte da solo. Gli utenti possono aggiungere ciò che vogliono al codice sorgente e, a meno che tu non lo controlli (e non sei in grado di rilevare malware), sei una pecora circondata da lupi. Le persone possono segnalare cattivi PPA ma qualcosa accade dipende dal fatto che altre persone controllino e confermino il problema. Se un grande sito (ad esempio OMGUbuntu) raccomandava un PPA (come spesso accade), molti utenti potrebbero avere problemi in linea.

Per aggravare il problema, la minore quota di mercato degli utenti Linux significa che c'è solo meno software disponibile per noi a caccia di codici errati. Odio dirlo, ma almeno con Windows, hai dozzine di aziende che trascorrono ogni giorno lavorativo, scoprendo come funziona il software cattivo, come rilevarlo e come rimuoverlo. Era un mercato nato dalla necessità e anche se odio dirlo, le cose probabilmente peggioreranno qui prima di migliorare.

Per i paranoici della sicurezza, qualche tempo fa ho scritto un breve articolo: Linux non è invulnerabile. Non dirlo. . Intrufolarsi nel repository probabilmente non sarà il vettore di attacco principale per gli asshat che distribuiscono malware. È molto più probabile (IMO) che giochino l'avidità e la stupidità degli utenti per far loro installare .debs infetti.

Sì. I pacchetti vengono controllati dalla community (quindi 1 potrebbe installare del malware ma le notizie si diffonderanno rapidamente tra tutti gli utenti).

Le app devono attenersi a regole molto rigide delineate nelle licenze .

La pagina wiki per i nuovi pacchetti contiene alcune informazioni in più:

Passando attraverso MOTU

I pacchetti che non si trovano ancora in Ubuntu, richiedono un controllo aggiuntivo e passano attraverso uno speciale processo di revisione, prima di essere caricati e ottenere una revisione finale dagli amministratori dell'archivio . Maggiori informazioni sul processo di revisione, inclusi i criteri che verranno applicati, sono disponibili nella pagina Revisori di codice . Gli sviluppatori sono incoraggiati a esaminare i propri pacchetti utilizzando queste linee guida prima di inviarle per la revisione.

Per ricevere segnalazioni di bug di qualità superiore scrivi un gancio apport per il tuo pacchetto.

Detto questo: l'idea generale è. Se trovi qualcosa di sospetto, segnalalo su launchpad, askubuntu, ubuntuforums e qualcuno lo raccoglierà.

Ciò che potrebbe accadere è che un creatore di malware crea un pacchetto valido, lo accetta e quindi aggiorna il malware. Almeno uno dei tanti lo cattura sempre e lo segnalerà da qualche parte. Non accederà a molte macchine in questo modo. (lo sforzo di metterlo sulle nostre macchine è troppo per la potenziale ricompensa: il targeting per macchine Windows è molto più semplice).

Esempio di cose che vanno terribilmente storto con il calabrone . Qualcuno ha perso uno spazio e / usr è stato cancellato ... alcune persone sono state colpite, 1 pubblica un avviso con bandiere rosse e ora lo sappiamo tutti. Creator lo risolve (più veloce della velocità della luce) ma il danno è stato fatto a diversi sistemi. E questo è stato un errore e non intenzionale, quindi può accadere;)

Presumo che nessuno te lo possa assicurare. Dovresti controllare cosa deve succedere per un pacchetto da aggiungere all'indice del pacchetto Debian, ma penso che dovresti essere in grado di far scivolare qualcosa di malvagio lì dentro.

Puoi configurare una macchina virtuale e provare il software lì, quindi puoi guardare il traffico di rete con qualcosa di simile iftopper vedere se queste applicazioni parlano a casa. È probabile che non vedrai mai nulla perché è nascosto troppo bene.

Open Source non significa sicurezza, solo perché puoi guardare il codice non significa che qualcuno l'abbia fatto.

Per pubblicare il codice in un PPA sul launchpad è necessario impostare openPGP e creare una chiave allegata a un indirizzo e-mail. Per firmare un pacchetto è necessaria una copia della chiave privata sul computer locale e la password (che non è memorizzata da nessuna parte). Se un pacchetto presenta problemi di sicurezza, dovrebbe essere relativamente facile rintracciare l'autore. Suppongo che i principali repository per Ubuntu e Debian siano almeno così sicuri.

La maggior parte dei progetti open source ha un repository centrale con protezione di livello almeno ssh (password e / o coppia di chiavi pubblica / privata). Ottenere un accesso non autorizzato qui è un po 'più semplice del ppa ma non banale. I sistemi di controllo delle versioni in genere registrano l'utente che esegue ogni commit e rendono abbastanza facile capire esattamente cosa fa un commit.

Si potrebbe sempre provare a infilare qualcosa in una patch ma questa è una proposta rischiosa. La maggior parte dei programmatori non accetta una patch troppo grande per essere facilmente leggibile. Se vieni catturato, allora è praticamente tutto.

C'è ancora una certa quantità di cui fidarsi, quindi è possibile che qualcuno possa inserire spyware in Ubuntu. Forse è qualcosa di cui dovremo preoccuparci se la quota di mercato di Ubuntu cresce in modo significativo.