Quali repository Ubuntu sono totalmente sicuri e privi di malware?

13

Ho letto nelle notizie su tutto il malware che sta infettando il sistema operativo Android. Il malware si trova nell'App Store di Google e le persone lo stanno scaricando e installando inconsapevolmente.

Da quanto ho capito, il repository principale di Ubuntu è sicuro da cui posso scaricare (non mi infetterò con il malware dal farlo) perché gli ingegneri Canonical riesaminano il software. Ma che dire degli altri repository, in particolare il repository Universe? Il repository Universe riceve qualche tipo di revisione per proteggerlo dal malware? È consigliabile evitare il repository Universe per paura di scaricare inconsapevolmente malware da esso?

Ho letto che gli PPA sono particolarmente pericolosi perché non vengono esaminati. Suppongo che sia perfettamente sicuro utilizzare Google Chrome PPA comunque.

Quindi se non uso altro che i repository Main & Universe e Google Chrome PPA, sarò protetto dal download inconsapevole di malware?

Se Ubuntu guadagna centinaia di milioni di utenti come prevede Mark Shuttleworth, i PPA di Ubuntu non diventeranno il problema del malware per Ubuntu come l'App Store di Google è oggi per Android?

repository 
tacca
fonte
4
Sembra che tu faccia diverse domande. Questo sito funziona meglio con una domanda alla volta. Potresti voler riscrivere la tua domanda in una singola domanda o dividerla in più domande.
NN,
Bene, prima di tutto Android = / = Ubuntu, quindi se stai aggiungendo un PPA conosci il motivo per cui lo stai facendo, quindi sai cosa c'è dentro così il sistema operativo è sicuro finché sai cosa stai installando.
Uri Herrera,
puoi fidarti di tutti i pacchetti che non intaccheranno il tuo computer o danneggiarlo.
Alvar

Risposte:

19

Tutti i repository ufficiali di Ubuntu (che comprendono tutto ciò che è possibile trovare archive.ubuntu.como i suoi mirror, così come alcuni altri) sono interamente curati. Questo mezzo main, restricted, universe, multiverse, così come -updatese -security. Tutti i pacchetti in esso contenuti provengono da Debian (e quindi sono stati caricati da uno sviluppatore Debian) o sono stati caricati da uno sviluppatore Ubuntu; in entrambi i casi il pacchetto che viene caricato è autenticato dalla firma gpg dell'autore del caricamento.

Puoi quindi fidarti che ogni pacchetto negli archivi ufficiali è stato caricato da uno sviluppatore Debian o Ubuntu. Inoltre, i pacchetti scaricati possono essere verificati dalle firme gpg sui file nel repository, quindi puoi fidarti che ogni pacchetto scaricato è stato creato nella farm di compilazione Ubuntu dal sorgente che è stato caricato da uno sviluppatore Ubuntu o Debian¹.

Ciò rende improbabile il malware definitivo: qualcuno in una posizione di fiducia dovrebbe caricarlo e il caricamento sarebbe facilmente rintracciabile per loro.

Questo lascia la questione della nefarietà più surrettizia. Gli sviluppatori a monte potrebbero inserire backdoor in software altrimenti utili e questi potrebbero entrare nell'archivio - in universeo multiverse, a seconda della licenza. Le persone eseguono controlli di sicurezza dell'archivio Debian, quindi se questo software è diventato popolare è probabile che venga scoperto il backdoor.

I pacchetti mainhanno qualche controllo extra e ottengono più amore dal team di sicurezza di Ubuntu.

I PPA non hanno quasi nulla di tutto ciò. La garanzia che si ottiene da un PPA è che i pacchetti scaricati sono stati creati sull'infrastruttura di build di Ubuntu e sono stati caricati da qualcuno con accesso a una delle chiavi GPG dell'account Launchpad dell'autore del caricamento elencato. Non vi è alcuna garanzia che l'autore del caricamento sia chi afferma di essere: chiunque potrebbe creare un "Google Chrome PPA". È necessario determinare la fiducia in qualche altro modo per i PPA.

¹: Questa catena di fiducia potrebbe essere interrotta da una vasta intrusione nell'infrastruttura di Ubuntu, ma questo vale per qualsiasi sistema. Il compromesso della chiave gpg di uno sviluppatore consentirebbe anche a un black hat di caricare pacchetti nell'archivio, ma poiché l'archivio invia per e-mail l'autore del caricamento di ciascun pacchetto, questo dovrebbe essere notato rapidamente.

Raof
fonte
Va notato che Google mantiene comunque un repository di Google Chrome e Google è un'azienda abbastanza affidabile.
Thomas Boxley,
@ThomasBoxley XD
Solo l'
@Solo lmao Lo riprendo a posteriori.
Thomas Boxley,
8

Tutti i pacchetti nei repository Ubuntu prima di essere caricati sono controllati e revisionati dai MOTU (Masters of the Universe). I MOTU sono le anime coraggiose che mantengono in forma i componenti dell'Universo e del Multiverso di Ubuntu. Sono membri della comunità che impiegano il loro tempo ad aggiungere, mantenere e supportare il più possibile il software trovato nell'Universo. Pertanto non ci sono possibilità che questi pacchetti penetrino nel tuo computer e rubino i tuoi dati. Tuttavia, questi pacchetti potrebbero contenere bug di sicurezza che sono difetti riscontrati nel software. Anche alcuni software che comprendono la sicurezza sono disponibili in Ubuntu (ad esempio i keylogger) ma questi pacchetti non rubano i tuoi dati (a meno che qualcuno non li abbia installati intenzionalmente sul tuo computer).

Spero che sia di aiuto. Vedi la pagina wiki di Ubuntu MOTU per maggiori informazioni.

Vibhav Pant
fonte
2

Stare con i repository Main e Universe è molto sicuro, e lo sono anche i PPA se sono particolarmente popolari (la maggior parte delle volte) o sai che saranno al sicuro (come il PPA di Google Chrome. Dubito che Google lo farebbe inserirvi qualsiasi tipo di malware.) Se utilizzate Main, Universe e il vostro PPA di Google Chrome, sarete al sicuro.

Se Ubuntu guadagna un sacco di utenti, allora sì, probabilmente ci sarà più malware. Non penso che ci sarebbe abbastanza per essere un vero problema.

Thomas Boxley
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.