มีการรับประกันหรือไม่ว่าซอฟต์แวร์จาก Launchpad PPA นั้นปราศจากไวรัสและภัยคุกคามลับๆ?


48

เมื่อ Linux เติบโตและพัฒนาอย่างต่อเนื่องและยิ่งเราใช้งาน Linux มากเท่าไรภัยคุกคามจากไวรัสก็ยิ่งมากขึ้นเท่านั้น

เรารู้ด้วยว่าไวรัส / ภัยคุกคามในลีนุกซ์ (ถ้ามี) จะมีปัญหาในการรันหรือการแพร่กระจายเมื่อมันทำงานในฐานะผู้ใช้ปกติ แต่มันก็เป็นอีกเรื่องที่แตกต่างกันหากไวรัส / ภัยคุกคามนั้นทำงานในฐานะผู้ใช้รูท

ตัวอย่างของอันตรายนี้คือถ้ามีไวรัสอยู่ใน PPA (โดยเจตนาหรือไม่ตั้งใจ) หรือหากแอปพลิเคชันมีแบ็คดอร์ที่ปลูกโดยเจตนา (เช่น pidgin สามารถส่งรหัสผ่านไปยังที่อยู่ใด ๆ โดยเฉพาะ)

หากเราเพิ่มซอฟต์แวร์จาก Launchpad PPA มีการรับประกันว่าซอฟต์แวร์นั้นมาจากไวรัส / ภัยคุกคามลับๆหรือไม่

คำตอบ:


38

สคริปต์การติดตั้งของแพคเกจทั้งหมดมีการเข้าถึงรูทของระบบของคุณดังนั้นการกระทำเพียงแค่เพิ่ม PPA หรือการติดตั้งแพคเกจจากหนึ่งเป็นคำสั่งที่เชื่อถือได้โดยปริยายในส่วนของเจ้าของ PPA

ดังนั้นจะเกิดอะไรขึ้นถ้าความเชื่อมั่นของคุณถูกใส่ผิดที่และเจ้าของ PPA ต้องการที่จะซน?

ในการอัปโหลดไปยัง PPA แพคเกจจะต้องลงนามโดยคีย์ GPG ที่ไม่ซ้ำกันสำหรับผู้ใช้ launchpad (แน่นอนว่าเป็นคีย์เดียวกันกับที่พวกเขาลงนามในจรรยาบรรณทางธุรกิจด้วย) ดังนั้นในกรณีของ PPA ที่เป็นอันตรายที่รู้จักกันเราก็จะแบนบัญชีและปิด PPA (ระบบที่ได้รับผลกระทบจะยังคงถูกบุกรุก แต่ไม่มีวิธีที่ดีที่จะแก้ไขได้ในจุดนั้น)

ในระดับหนึ่งคุณสมบัติทางสังคมของ Launchpad สามารถใช้เป็นมาตรการป้องกันของผู้ใช้ที่ไม่ดี - บางคนที่มีประวัติของการมีส่วนร่วมกับ Ubuntu และกรรม Launchpad ที่จัดตั้งขึ้นเช่นมีโอกาสน้อยที่จะตั้งค่า PPA กับดัก

หรือถ้ามีใครควบคุม PPA ที่ไม่ใช่ของพวกเขาล่ะ?

นี่เป็นสถานการณ์ที่คุกคามเล็กน้อย แต่ก็มีโอกาสน้อยกว่าเนื่องจากผู้โจมตีต้องการทั้งไฟล์ไพรเวตคีย์ของผู้ใช้ Launchpad (โดยทั่วไปบนคอมพิวเตอร์) และรหัสปลดล็อค (โดยทั่วไปรหัสผ่านไม่ดี ใช้เพื่อสิ่งอื่น) หากเกิดเหตุการณ์เช่นนี้มักจะค่อนข้างง่ายสำหรับบางคนที่รู้ว่าบัญชีของพวกเขาถูกบุกรุก (Launchpad จะส่งอีเมลถึงพวกเขาเกี่ยวกับแพ็คเกจที่ไม่ได้อัปโหลด) และขั้นตอนการล้างข้อมูลจะเหมือนกัน

โดยรวมแล้ว PPAs เป็นเวกเตอร์ที่เป็นไปได้สำหรับซอฟต์แวร์ที่เป็นอันตราย แต่อาจมีวิธีที่ง่ายกว่าสำหรับผู้โจมตีที่จะมาตามคุณ


6
ฉันติดตามโดยบุคคล "เป็นบุคคล / ทีม dev หรือไม่" กฎ. นั่นคือพวกเขาเป็นทั้งผู้เขียนต้นฉบับหรือนักพัฒนา Ubuntu หรือไม่? หากคำตอบของทั้งคู่คือ "ไม่" ฉันจะไม่ให้ความไว้วางใจมากนักถ้าฉันไม่รู้จักบุคคลนั้น (ตัวอย่างเช่นถ้าฉันให้คำปรึกษาพวกเขาต่อการเป็นผู้พัฒนา)
maco

8

การสร้างกลไก (อาจกระจาย) ของการจัดอันดับความน่าเชื่อถือสำหรับ PPA นั้นอยู่ในแผนงานของUSCมาระยะหนึ่งแล้ว แต่ยังไม่ได้ดำเนินการ


4
"USC" คือ "Ubuntu Software Center" หากใครไม่รู้จักสิ่งนี้ (สมมติว่าคุณไม่ได้ตามลิงก์ตัวเอง)
belacqua

6

ไม่มีการรับประกันใด ๆ แต่ในสภาพแวดล้อมที่ได้รับการสนับสนุนจากชุมชนเราเจริญเติบโตบน "ความเชื่อ" ฉันได้เพิ่ม PPA อย่างน้อย 20 รายการลงในแหล่งข้อมูลของฉันและไม่เคยประสบปัญหามาก่อนจนถึงตอนนี้ หากมีโอกาสและตามที่คุณพูดถึงภัยคุกคาม / ไวรัส / แบ็คดอร์จะถูกวางลงในระบบของฉันโดย PPA ฉันจะได้รับรู้เกี่ยวกับเรื่องนี้ความอนุเคราะห์จากชุมชนและลบออก และ BTW ก่อนที่จะเพิ่ม PPA ฉันจะตรวจสอบแพ็คเกจที่มีอยู่ในนั้นเสมอ

PS : พิดจิ้นจะไม่ส่งชื่อผู้ใช้และรหัสผ่านไปยังเซิร์ฟเวอร์ (และไม่ให้บุคคลที่สาม!) "แอบ" ทุกอย่างเสร็จสิ้นด้วยความยินยอมของผู้ใช้ เพื่อให้คุณสามารถเชื่อมต่อได้อย่างราบรื่น Pidgin ไม่สามารถ ping คุณทุกครั้งที่ส่งข้อมูลการเข้าสู่ระบบไปยังเซิร์ฟเวอร์ คาดว่าคุณจะได้รับอนุญาตให้ทำเช่นนั้นเมื่อคุณให้รายละเอียดแล้ว ฉันควรคิดสองครั้งก่อนที่จะเรียก Pidgin เป็น "แบ็คดอร์" :)


1
Pidgin บันทึกรหัสผ่านเป็นข้อความธรรมดาอย่างไรก็ตาม
Gödel

1
แม้แต่ google-chrome ยังบันทึกรหัสผ่านที่เป็นข้อความธรรมดาซึ่งสามารถค้นพบได้โดยแบบสอบถาม SQL (อย่างที่Jamie Strandbogeชี้)
belacqua

เกี่ยวกับย่อหน้าที่สองของคุณฉันคิดว่าคุณเข้าใจผิดความตั้งใจของ OP เขาไม่ได้แนะนำให้ Pidgin มีแบ็คดอร์ เขาใช้มันเป็นตัวอย่างในการสมมุติเพื่อแสดงคำถามของเขา
Jon Bentley
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.