C'è qualche garanzia che il software di Launchpad PPAs sia privo di virus e minacce backdoor?


48

Man mano che Linux continua a crescere e svilupparsi, e più usiamo Linux, maggiore è la minaccia dei virus.

Sappiamo anche che un virus / minaccia in Linux (se presente) avrebbe difficoltà a essere eseguito o diffuso quando è in esecuzione come un normale utente, ma è una storia diversa se il virus / minaccia è in esecuzione come utente root.

Un esempio di questo pericolo sarebbe se un virus fosse nascosto all'interno di un PPA (intenzionalmente o non intenzionalmente) o se un'applicazione avesse una backdoor intenzionalmente piantata (ad esempio, pidgin potrebbe inviare segretamente password a un determinato indirizzo).

Se aggiungiamo software da un Launchpad PPA, c'è qualche garanzia che il software provenga da virus gratuiti / minacce backdoor?

Risposte:


38

Lo script di installazione di ogni pacchetto ha accesso root al tuo sistema, quindi il semplice atto di aggiungere un PPA o installare un pacchetto da uno è una dichiarazione di fiducia implicita da parte del proprietario del PPA.

Quindi, cosa succede se la tua fiducia è fuori posto e un proprietario di PPA vuole essere cattivo?

Per caricare su un PPA, un pacchetto deve essere firmato da una chiave GPG univoca per l'utente del launchpad (in effetti, la stessa chiave con cui hanno firmato il codice di condotta). Quindi, nel caso di un noto PPA dannoso, dovremmo semplicemente vietare l'account e chiudere il PPA (i sistemi interessati sarebbero comunque compromessi, ma non c'è comunque alcun modo di risolverli a quel punto).

In una certa misura, le funzioni social di Launchpad possono essere utilizzate come misura preventiva per i cattivi utenti: qualcuno che ha una storia di contribuzione a Ubuntu e un certo karma di Launchpad, ad esempio, ha meno probabilità di creare una PPA trappola.

O cosa succede se qualcuno ottiene il controllo di un PPA che non è suo?

Bene, questo è un po 'più difficile di uno scenario di minaccia, ma anche meno probabile poiché richiede a un utente malintenzionato di ottenere sia il file della chiave privata degli utenti del launchpad (generalmente solo sul loro computer) sia il codice di sblocco per esso (generalmente una password complessa non usato per qualsiasi altra cosa). Se ciò accade, tuttavia, di solito è abbastanza semplice per qualcuno capire che il loro account è stato compromesso (ad esempio Launchpad invierà loro un'email sui pacchetti che non stanno caricando) e la procedura di pulizia sarebbe la stessa.

Quindi, in breve, i PPA sono un possibile vettore per software dannoso, ma probabilmente ci sono metodi molto più semplici per gli attaccanti che ti inseguono.


6
Personalmente seguo un "è la persona / squadra un dev?" regola. Cioè, sono l'autore originale a monte o uno sviluppatore Ubuntu? Se la risposta ad entrambi fosse "no" non darei molta fiducia se non conoscessi la persona (per esempio, se li stessi guidando per diventare uno sviluppatore).
maco,

8

L'istituzione di un meccanismo (forse distribuito) di rating di fiducia per i PPA è stato nella tabella di marcia USC per un po ', ma non è stato ancora implementato.


4
"USC" è "Ubuntu Software Center" se qualcun altro non è a conoscenza di questo (supponendo che tu non segua il link tu stesso).
Belacqua,

6

Non c'è mai alcuna garanzia, ma in un ambiente sostenuto dalla comunità, prosperiamo sulla "convinzione". Ho aggiunto almeno 20 PPA alle mie fonti e finora non ho mai avuto problemi. Se, per caso e come hai detto, una minaccia / virus / backdoor è stata installata sul mio sistema da un PPA, ne verrei a conoscenza in qualche modo, per gentile concessione della comunità e semplicemente rimuoverlo. E a proposito, prima di aggiungere un PPA, controllo sempre quali pacchetti sono elencati in esso.

PS : Pidgin non invia mai nomi utente e password ai server (e mai a terze parti!) "Segretamente". Tutto è fatto con il consenso dell'utente. Per mantenerti connesso senza problemi, Pidgin non può eseguire il ping ogni volta che invia le credenziali di accesso ai server. Si prevede che tu lo abbia autorizzato a farlo, una volta forniti i dettagli. Preferirei pensarci due volte prima di definire Pidgin una "backdoor". :)


1
Pidgin salva le password in testo semplice, tuttavia.
Gödel,

1
Anche google-chrome ha salvato password in chiaro che erano banalmente esposte da una query SQL (come sottolineato da Jamie Strandboge ).
Belacqua,

Per quanto riguarda il tuo secondo paragrafo, penso che tu abbia frainteso le intenzioni del PO. Non stava suggerendo che Pidgin avesse una backdoor. Lo ha usato come esempio ipotetico per illustrare la sua domanda.
Jon Bentley,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.