Existe alguma garantia de que o software dos PPAs do Launchpad esteja livre de vírus e ameaças de backdoor?

Navegue suas respostas
46

Como o Linux continua crescendo e se desenvolvendo, e quanto mais usamos o Linux, maior a ameaça dos vírus.

Também sabemos que um vírus / ameaça no Linux (se houver algum) teria dificuldade em executar ou se espalhar quando estiver sendo executado como um usuário normal, mas é uma história diferente se o vírus / ameaça estiver sendo executado como usuário root.

Um exemplo desse perigo seria se um vírus estivesse dentro de um PPA (intencionalmente ou não) ou se um aplicativo tivesse um backdoor intencionalmente plantado (por exemplo, o pidgin poderia enviar secretamente senhas para um determinado endereço).

Se adicionarmos software de um PPA do Launchpad, existe alguma garantia de que o software é proveniente de vírus livres / ameaças de backdoor?

    
por squallbayu 16.10.2010 / 03:47

3 respostas

37

O script de instalação de cada pacote tem acesso root ao sistema, de modo que o simples ato de adicionar um PPA ou instalar um pacote de um deles é uma declaração implícita de confiança da sua parte do proprietário do PPA.

Então, o que acontece se a sua confiança estiver errada e o proprietário do PPA quiser ser impertinente?

Para fazer o upload para um PPA, um pacote deve ser assinado por uma chave GPG exclusiva do usuário da Barra de Lançamento (na verdade, a mesma chave com a qual eles assinaram o código de conduta). Assim, no caso de um PPA malicioso conhecido, simplesmente baniríamos a conta e encerraria o PPA (os sistemas afetados ainda seriam comprometidos, mas não há como consertá-los nesse ponto).

Até certo ponto, os recursos sociais do Launchpad podem ser usados como uma medida preventiva de usuários ruins - alguém que tem um histórico de contribuição para o Ubuntu e algum karma estabelecido do Launchpad, por exemplo, tem menos probabilidade de configurar um armadilha PPA.

Ou se alguém ganha o controle de um PPA que não é deles?

Bem, isso é um pouco mais difícil do que um cenário de ameaça, mas também é menos provável, pois exige que um invasor obtenha o arquivo de chave privada dos usuários da barra de lançamento (geralmente apenas em seu computador) eo código de desbloqueio (geralmente senha strong não usada para mais nada). Se isso acontecer, no entanto, normalmente é bastante simples para alguém descobrir que sua conta foi comprometida (o Launchpad, por exemplo, os enviará por e-mail sobre os pacotes que não estão sendo enviados) eo procedimento de limpeza será o mesmo.

Assim, em resumo, os PPAs são um possível vetor para softwares mal-intencionados, mas provavelmente existem métodos muito mais fáceis para invasores virem depois de você.

    
por Scott Ritchie 16.10.2010 / 04:29
8

O estabelecimento de um mecanismo (talvez distribuído) de classificação de confiança para os PPAs está no roteiro USC há algum tempo, mas não tem implementado ainda.

    
por mgunes 16.10.2010 / 05:12
6

Nunca há qualquer garantia, mas em um ambiente apoiado pela comunidade, nós prosperamos em "crença". Eu adicionei pelo menos 20 PPAs às minhas fontes e nunca tive um problema até agora. Se, por acaso e como você mencionou, uma ameaça / vírus / backdoor for plantada no meu sistema por um PPA, eu viria a conhecê-lo de alguma forma, cortesia da comunidade e simplesmente removê-lo. E BTW, antes de adicionar um PPA, sempre verifico quais pacotes estão listados nele.

PS : O Pidgin nunca envia nomes de usuário e senhas para os servidores (e nunca para terceiros!) "secretamente". Tudo é feito com o consentimento do usuário. Para manter você conectado perfeitamente, o Pidgin não pode efetuar ping toda vez que ele envia as credenciais de login para os servidores. Espera-se que você tenha autorizado a fazê-lo, depois de ter fornecido os detalhes. Eu prefiro pensar duas vezes antes de chamar o Pidgin de "backdoor". :)

    
por Srinivas G 16.10.2010 / 04:18

Tags

Qual foi sua experiência com suporte pago da Canonical? [fechadas] É seguro usar um laptop de segunda mão depois de reinstalar o Ubuntu nele