você poderia instalar um programa malicioso usando o apt-get? [duplicado]

8

Durante a instalação de vários programas, sou solicitado a baixar alguns pacotes necessários para que ele funcione. Alguns deles são aplicativos conhecidos, nos quais o documento leia-me é confiável, enquanto outros programas menos conhecidos são aqueles em que eu acho que preciso ser cuidadoso.

Então, estou tentando instalar um jogo conhecido como Tennis Elbow, onde o read me doc diz:

  

No Ubuntu 14.10 64 bits, as seguintes instruções foram relatadas para trabalhar:

sudo apt-get install libcurl3:i386
sudo apt-get install libvorbisfile3:i386

Então, como podemos saber se os arquivos que baixei são seguros ou não?

Eu sei que isso parece mais do que uma pergunta, mas eu basicamente preciso que esse jogo funcione, então eu só preciso saber se é seguro instalar os pacotes mencionados ou não.

    
por Harsha 17.12.2015 / 11:52

1 resposta

12

É possível instalar um programa malicioso usando o apt-get? Claro, mas isso requer que haja software malicioso nos repositórios listados no seu computador. Isso pode acontecer:

  • Se você adicionou um repositório malicioso, ele pode fornecer pacotes mal-intencionados. PPAs, por exemplo, podem conter códigos maliciosos. Eles também podem fornecer qualquer pacote (eles poderiam fornecer uma substituição de ubuntu-minimal que infectaria todos .

  • Mas não apenas os PPAs. O software nos repositórios principais pode ser infectado, seja porque o mantenedor do Ubuntu é hackeado ou insatisfeito, ou porque o mantenedor do Debian é hackeado ou insatisfeito, ou que o desenvolvedor original é hackeado ou insatisfeito e que o código ruim é filtrado.

  • Alguém conseguiu de alguma forma interceptar o tráfego da sua rede e também conseguiu de alguma forma assinar um manifesto de pacotes ou alterar um pacote binário sem alterar a soma de verificação do pacote.

    Ambos são incrivelmente improváveis, a menos que você tenha adicionado chaves aleatórias, mas mesmo assim é difícil fazê-lo sem estar parcialmente no local. É um truque bem complicado de se fazer.

Mas isso é provável aqui? Está lhe dizendo para instalar software malicioso?

Não. Ele está apenas pedindo para você instalar versões de 32 bits dessas bibliotecas, porque elas as utilizam, mas foram compiladas contra suas versões de 32 bits.

Mas o que são eles? libcurl3 é usado para fazer o download de coisas dentro de um aplicativo e libvorbisfile3 é para decodificar áudio codificado por Vorbis .

O :i386 no final do nome do pacote significa. Está especificando a arquitetura. No caso do Ubuntu, usamos i386 para significar 32 bits, na verdade é compilado com instruções do processador i686.

Se você vai ser paranóico sobre qualquer coisa, baixar e executar um código-fonte fechado de um site aleatório é o perigo real aqui.

    
por Oli 17.12.2015 / 12:46