Por que não é um risco de segurança adicionar a sources.list?

4

Para instalar o Sublime, ele quer que eu adicione uma chave GPG e uma entrada sources.list para que o apt-get possa encontrá-la. Alguns outros programas pediram o mesmo. Por que não é um risco de segurança adicionar mais domínios a sources.list?

Isto é: suponhamos que o pacote A venha do host B. Eu adiciono o host C em uma nova sources.list. O host C é subvertido, um invasor hospeda um pacote malicioso e o chama A. Na próxima vez que eu tentar atualizar A, o apt-get verifica as fontes e decide baixá-lo de C em vez de B, e eu recebo a versão maliciosa. p>     

por Sam Jaques 04.08.2018 / 18:57

1 resposta

14

A resposta: é .

É sempre um risco introduzir fontes adicionais para pacotes, independente de qual distro / SO você está usando. O uso de chaves GPG, em teoria, ajuda a mitigar os riscos, uma vez que, em teoria, alguém teria que:

  1. acesse o servidor no qual os binários estão sendo veiculados
  2. acesse a chave GPG privada usada para assinar os binários
  3. empacotar novas versões de binários comprometidos, assiná-los e, em seguida, colocar no servidor

Neste cenário, alguém teria que passar por várias camadas para fazer algo nefasto. Como sempre acontece com segurança. É tudo sobre camadas! Para que uma comunidade possa prosperar e se colocar sobre os ombros dos outros, você tem que estar disposto a abrir mão do isolamento e colocar sua confiança nos outros.

E lembre-se de que os servidores que veiculam arquivos foram comprometidos antes em graus variados, mas geralmente são capturados imediatamente e podem ser solucionados em pouco tempo.

Ataques anteriores

Dicas

  • Sempre examine as URLs e verifique se elas são legítimas
  • Não adicione reposições a menos que você realmente precise de um pacote delas
  • Examine periodicamente seu sources.list
  • Periodicamente, examine as chaves GPG usadas pelos sites para assinar pacotes
  • Seja diligente em manter-se atualizado sobre os pacotes
por 04.08.2018 / 19:14