Y a-t-il une garantie que le logiciel des PPAs de Launchpad est exempt de virus et de menaces de porte dérobée?

46

Au fur et à mesure de la croissance et du développement de Linux, et plus nous utilisons Linux, plus la menace des virus augmente.

Nous savons également qu'un virus / menace sous Linux (le cas échéant) aurait des difficultés à s'exécuter ou à se propager lorsqu'il s'exécute en tant qu'utilisateur normal, mais il en va autrement si le virus / la menace est exécuté en tant qu'utilisateur root.

Un exemple de ce danger serait si un virus est caché dans une PPA (intentionnellement ou non) ou si une application a une porte dérobée intentionnellement (par exemple, pidgin pourrait envoyer secrètement des mots de passe à une adresse particulière).

Si nous ajoutons des logiciels à partir d'un PPA Launchpad, y a-t-il une garantie que le logiciel provienne de virus / menaces de porte dérobée gratuites?

    
posée squallbayu 16.10.2010 - 03:47
la source

3 réponses

37

Le script d’installation de chaque paquet a un accès root à votre système, donc le simple fait d’ajouter un PPA ou d’installer un package à partir de celui-ci est une déclaration de confiance implicite de la part du propriétaire du PPA.

Alors, que se passe-t-il si votre confiance est mal placée et qu'un propriétaire de PPA veut être méchant?

Pour pouvoir télécharger dans un PPA, un package doit être signé par une clé GPG unique pour l'utilisateur du tableau de bord (en fait, la même clé que celle avec laquelle ils ont signé le code de conduite). Donc, dans le cas d’un PPA malveillant connu, nous nous contenterions d’interdire le compte et d’arrêter le PPA (les systèmes affectés seraient toujours compromis, mais de toute façon, ils ne seraient pas réparables).

Dans une certaine mesure, les fonctionnalités sociales de Launchpad peuvent servir de mesure préventive contre les utilisateurs malveillants - par exemple, une personne ayant déjà contribué à Ubuntu et à un karma Launchpad bien établi risque moins de piège PPA.

Ou si quelqu'un prend le contrôle d'un PPA qui n'est pas le leur?

Bien que ce soit un scénario de menace un peu plus difficile, mais aussi moins probable, car un attaquant doit obtenir à la fois le fichier de clé privée des utilisateurs du tableau de bord (généralement sur leur ordinateur) et son code de déverrouillage (généralement mot de passe fort non utilisé pour autre chose). Si cela se produit, cependant, il est généralement assez simple pour quelqu'un de comprendre que son compte a été compromis (Launchpad les enverra par exemple au sujet des paquets qu'ils ne téléchargent pas), et la procédure de nettoyage sera la même.

En résumé, les PPA sont un vecteur possible pour les logiciels malveillants, mais il existe probablement des méthodes beaucoup plus faciles pour que les attaquants vous poursuivent.

    
réponse donnée Scott Ritchie 16.10.2010 - 04:29
la source
8

La mise en place d’un mécanisme (peut-être distribué) de classifications de confiance pour les PPA figure depuis un certain temps sur la feuille de route USC , mais elle n’a n'a pas encore été implémenté.

    
réponse donnée mgunes 16.10.2010 - 05:12
la source
6

Il n’ya jamais de garantie, mais dans un environnement soutenu par la communauté, nous prospérons grâce à la "croyance". J'ai ajouté au moins 20 PPA à mes sources et je n'ai jamais eu de problème jusqu'à présent. Si, par hasard, et comme vous l'avez mentionné, un PPA a installé une menace / un virus / une porte dérobée sur mon système, je le saurais d'une manière ou d'une autre, grâce à la communauté et en la supprimant simplement. Et BTW, avant d'ajouter un PPA, je vérifie toujours quels paquets y figurent.

PS : Pidgin n'envoie jamais les noms d'utilisateur et les mots de passe aux serveurs (et jamais à un tiers!) "en secret". Tout est fait avec le consentement de l'utilisateur. Afin de rester connecté en toute transparence, Pidgin ne peut pas vous envoyer un ping à chaque fois qu'il envoie les identifiants de connexion aux serveurs. Il est prévu que vous l'ayez autorisé à le faire, une fois que vous lui avez fourni les détails. Je préfère penser à deux fois avant d'appeler Pidgin une "porte dérobée". :)

    
réponse donnée Srinivas G 16.10.2010 - 04:18
la source

Lire d'autres questions sur les étiquettes