Quais repositórios do Ubuntu são totalmente seguros e livres de malware?

12

Eu li nas notícias sobre todo o malware que está infectando o sistema operacional Android. O malware está na App Store do Google e as pessoas estão, sem saber, fazendo o download e instalando-o.

Pelo que entendi, é seguro baixar o repositório principal do Ubuntu (não serei infectado por malware) porque os engenheiros da Canonical revisam o software. Mas e os outros repos, mais notavelmente o repositório Universe? O repositório da Universe recebe algum tipo de revisão para proteger contra malware? É aconselhável evitar o repositório da Universe por medo de, inconscientemente, baixar malware dele?

Li que os PPAs são particularmente perigosos porque não são revisados. Estou assumindo que é perfeitamente seguro usar o PPA do Google Chrome no entanto.

Então, se eu não usar nada além do Main & amp; Repositórios do Universe e Google Chrome PPA, serei protegido contra o mal-intencionado download de malware?

Se o Ubuntu ganhar centenas de milhões de usuários, como prevê Mark Shuttleworth, os PPAs do Ubuntu não se tornarão o problema de malware para o Ubuntu, como a App Store do Google é hoje para o Android?

    
por Nick 12.07.2011 / 23:46

3 respostas

17

Todos os repositórios oficiais do Ubuntu (abrangendo tudo o que você pode encontrar em archive.ubuntu.com ou seus espelhos, bem como outros) são inteiramente selecionados. Isso significa main , restricted , universe , multiverse , bem como -updates e -security . Todos os pacotes lá vieram do Debian (e foram carregados por um desenvolvedor Debian) ou foram enviados por um desenvolvedor do Ubuntu; Em ambos os casos, o pacote enviado é autenticado pela assinatura gpg do usuário que fez o envio.

Você pode, portanto, confiar que todos os pacotes nos arquivos oficiais foram enviados por um desenvolvedor Debian ou Ubuntu. Além disso, os pacotes que você baixar podem ser verificados pelas assinaturas gpg nos arquivos do repositório, então você pode confiar que cada pacote que você baixou foi construído no farm de compilação do Ubuntu a partir da fonte que foi carregada por um desenvolvedor Ubuntu ou Debian¹.

Isso torna improvável o malware imediato - alguém em uma posição de confiança precisaria fazer o upload, e o upload seria facilmente rastreável para eles.

Isso deixa a questão da nefastia mais sub-reptícia. Desenvolvedores de upstream poderiam colocar backdoors em softwares úteis, e estes poderiam chegar ao repositório - em universe ou multiverse , dependendo da licença. As pessoas executam auditorias de segurança do repositório Debian, então se este software se tornar popular, é provável que o backdoor seja descoberto.

Pacotes em main têm alguma verificação extra e ganham mais amor da equipe de segurança do Ubuntu.

Os PPAs não têm quase nada disso. A garantia que você obtém de um PPA é que os pacotes que você baixou foram construídos na infraestrutura de construção do Ubuntu e foram carregados por alguém com acesso a uma das chaves GPG da conta do Launchpad do uploader listado. Não há garantia de que o remetente é quem eles dizem que são - qualquer um poderia fazer um "Google Chrome PPA". Você precisa determinar a confiança de alguma outra maneira para os PPAs.

¹: Essa cadeia de confiança pode ser quebrada por uma intrusão na infra-estrutura do Ubuntu, mas isso é verdade em qualquer sistema. O comprometimento da chave gpg de um desenvolvedor também permitiria que um black-hat enviasse pacotes para o arquivo, mas como o arquivo envia um e-mail para o remetente de cada pacote, isso deve ser notado rapidamente.

    
por RAOF 13.07.2011 / 06:36
8

Todos os pacotes nos Repositórios do Ubuntu antes de serem carregados são verificados e revisados por MOTUs (Masters of the Universe). Os MOTUs são as almas corajosas que mantêm os componentes do Universo e Multiverso do Ubuntu em forma. Eles são membros da comunidade que gastam seu tempo adicionando, mantendo e apoiando tanto quanto possível o software encontrado no Universo. Portanto, não há chances de esses pacotes invadirem seu computador e roubarem seus dados. No entanto, esses pacotes podem ter bugs de segurança, que são falhas encontradas no software. Além disso, alguns softwares de segurança estão disponíveis no Ubuntu (por exemplo, key loggers), mas esses pacotes não roubam seus dados (a menos que alguém o tenha instalado intencionalmente em seu computador).

Espero que isso ajude. Veja a página wiki do Ubuntu MOTU para mais informações.

    
por Vibhav Pant 08.03.2012 / 12:57
2

Permanecer com os repositórios Principal e Universe é muito seguro, assim como os PPAs se eles são especialmente populares (na maioria das vezes), ou se você sabe que eles estarão seguros (como o Google Chrome PPA. duvido que o Google coloque qualquer tipo de malware nele.) Se você usa o Main, o Universe e o PPA do Google Chrome, você estará seguro.

Se o Ubuntu ganhar uma tonelada de usuários, então sim, provavelmente haverá mais malware. Eu não acho que haveria o suficiente para ser um problema real.

    
por Thomas Boxley 13.07.2011 / 00:03