Les programmes du centre logiciel Ubuntu sont-ils gratuits?

Existe-t-il un processus pour s’assurer qu’il n’existe pas de logiciel malveillant? Non. Il n'y a aucune garantie du tout.

Il existe cependant plusieurs mécanismes pour essayer de le détecter, mais si je ne veux pas être trop sombre, si nous sommes honnêtes, vous n'êtes probablement pas aussi en sécurité que vous le souhaitez. être.

1. Un projet doit d'abord être ajouté à Ubuntu. Comme le dit Rinzwind, des vérifications sont effectuées à ce stade, mais ce n’est vraiment que la pointe de l’iceberg qui constitue la vie d’un paquet dans Ubuntu.

2. La première vraie ligne de défense pour les packages à long terme sont leurs responsables de projets. Ces personnes s'occupent de leurs projets et acceptent les correctifs pour les améliorer. Ils sont humains. Ils font des erreurs et manquent des choses. Et certains pourraient être paresseux.

   Il est possible qu'une personne malveillante puisse transmettre des logiciels malveillants en leur apportant de véritables améliorations avec le logiciel malveillant.

   Si quelque chose de mauvais est admis dans un projet par son responsable, enregistrez un audit réussi, il y a de fortes chances que le code se retrouve sur les machines des utilisateurs Ubuntu.

3. Les audits de sécurité sont la deuxième étape. Cela consiste à examiner le code et à l'exécuter contre les moniteurs pour détecter les problèmes. Pour autant que je sache, il n’existe pas d’équipe officielle Canonical dédiée à la sécurité, mais des équipes communautaires (Ubuntu Security et MOTU SWAT) qui gèrent tous les paquets entre eux.

   L'audit ne fonctionne vraiment que si chaque ligne de code est correctement vérifiée avant d'être envoyée aux utilisateurs. Ce n'est pas vraiment pratique pour la quantité de code et le nombre de mises à jour dont nous parlons. Cela prendrait énormément de temps et d’argent pour le faire de cette façon.

   Il existe une hypothèse dans le monde de l’open source selon laquelle, simplement parce que quelqu'un peut voir la source, il en a. C'est un ethos très dangereux à maintenir.

   Les correctifs de sécurité sont en grande partie réactionnaires pour les personnes qui trouvent et divulguent des trous. Que se passe-t-il si quelqu'un découvre un trou trouvé?

4. Les autres problèmes de rapport des "utilisateurs finaux" constituent le véritable mécanisme de détection et permettent d’être honnête, les bons logiciels malveillants ne permettront pas à l’utilisateur de savoir qu’il ya trop de temps pour faire la différence. Un malware bien écrit ne va pas retourner votre écran ou voler toute votre bande passante, il va rester là en arrière-plan, enregistrer tous vos détails bancaires avant qu’il ne les publie tous quelque part dans un vidage anonyme.

L'ensemble du processus dépend des projets en amont pour maintenir leurs propres niveaux de sécurité. Si quelqu'un a dépassé le responsable du calculateur Gnome, il y a des chances que tout le monde l'ignore. Une équipe de sécurité ne le soupçonnera jamais non plus.

Heureusement, la plupart des responsables sont bons dans ce qu’ils font. Ils connaissent leur base de code et s'ils ne comprennent pas les correctifs, ils les rejetteront parce qu'ils ne sont pas assez clairs.

En termes d’évaluation des risques, en utilisant quelque chose de beaucoup moins populaire, il y a probablement moins d’œil qui vérifient le code. Mais de même, il y a probablement moins de commits, aussi longtemps que le mainteneur n'est pas paresseux (ou maléfique), il peut avoir plus de temps pour gérer chaque commit. Il est difficile de dire exactement combien de risques vous êtes. La sécurité des logiciels open source dépend de la capacité des utilisateurs à regarder le code.

Inversement, les éléments source fermés (dans le partenaire et les achats) sont complètement non audités par la communauté. Canonical peut avoir un accès à certaines sources, mais franchement, je doute qu'ils aient les ressources nécessaires pour effectuer des vérifications approfondies même s'ils avaient un accès à la source et le souhaitaient.

De même, avec les PPA, vous bénéficiez d’une protection très réduite, à moins que vous ne souhaitiez vous plonger vous-même dans la source. Les utilisateurs peuvent ajouter ce qu'ils veulent au code source et à moins que vous ne le trouviez vous-même (et que vous êtes capable de détecter les logiciels malveillants), vous êtes un mouton entouré de loups. Les gens peuvent signaler de mauvais PPA, mais il faut que d'autres personnes vérifient et confirment le problème. Si un grand site (par exemple, OMGUbuntu) recommandait un PPA (comme c'est souvent le cas), de nombreux utilisateurs pourraient avoir des problèmes.

Pour aggraver le problème, la faible part de marché des utilisateurs de Linux signifie que nous disposons de moins de logiciels pour traquer les codes erronés. Je déteste le dire, mais au moins avec Windows, vous avez des dizaines de sociétés qui passent chaque journée de travail à découvrir comment fonctionnent les logiciels, comment les détecter et comment les supprimer. C’est un marché né de la nécessité et, bien que je déteste dire cela aussi, les choses vont probablement empirer ici avant qu’elles ne s’améliorent.

Pour les paranoïaques de sécurité, j’ai écrit un petit article il ya quelque temps: Linux n’est pas invulnérable. Ne le dites pas. . L'intrusion dans le référentiel ne va probablement pas être le principal vecteur d'attaque des systèmes de distribution de logiciels malveillants.Il est beaucoup plus probable (OMI) qu’ils jouent sur la cupidité et la stupidité des utilisateurs pour les amener à installer des fichiers .debs infectés.

Oui. Les paquets sont vérifiés par la communauté (donc, il est possible que certains logiciels malveillants soient installés, mais les nouvelles seront diffusées rapidement parmi tous les utilisateurs).

Les applications doivent respecter des règles très strictes décrites dans licences .

La page du wiki pour les nouveaux paquets contient un peu plus d'informations:

  

Passer par MOTU

     

Les paquets qui ne sont pas encore dans Ubuntu nécessitent un examen plus approfondi et passent par un processus de révision spécial avant d’être téléchargés et d’obtenir une révision finale par admins d'archive . Vous trouverez plus d'informations sur le processus de révision, y compris les critères qui seront appliqués, sur la page Réviseurs de code . Les développeurs sont invités à examiner leurs propres packages en utilisant ces directives avant de les soumettre pour examen.

     

Pour recevoir des rapports de bogues de qualité supérieure, écrivez un crochet de répartition pour votre paquet.

Cela dit: l'idée générale est. Si vous trouvez quelque chose de suspect, signalez-le sur le tableau de bord, askubuntu, ubuntuforums et quelqu'un le récupérera.

Ce qui peut arriver, c’est qu’un créateur de logiciel malveillant crée un paquet valide, l’accepte et effectue une mise à jour qui ajoute le logiciel malveillant. Au moins l'un des nombreux nombreux attrape toujours cela et il / elle le rapportera quelque part. Cela ne va pas sur beaucoup de machines de cette façon. (L'effort pour le faire entrer sur nos machines est trop pour la récompense potentielle: cibler des machines Windows est beaucoup plus facile).

Exemple de problème avec bourdon . Quelqu'un a raté un espace et / usr a été supprimé ... certaines personnes ont été affectées, 1 a publié un avertissement avec des drapeaux rouges et maintenant nous le savons tous. Le créateur le répare (plus vite que la vitesse de la lumière) mais le dommage a été causé à plusieurs systèmes. Et c'était une erreur et ne pas délibérer pour que cela puisse arriver;)

Je suppose que personne ne peut vous assurer cela. Vous devriez vérifier ce qui doit se passer pour qu'un paquet soit ajouté à l'index du paquet Debian, mais je pense que vous devriez pouvoir y glisser quelque chose de mal.

Vous pouvez configurer une machine virtuelle et essayer le logiciel là-bas, vous pouvez ensuite regarder le trafic réseau avec quelque chose comme iftop pour voir si cette application parle à la maison. Les chances sont que vous ne verrez jamais rien car il est trop bien caché.

Open Source ne signifie pas sécurité, le simple fait que vous puissiez regarder le code ne signifie pas que quelqu'un l'a fait.

Pour publier du code dans un PPA sur le tableau de bord, vous devez configurer openPGP et créer une clé associée à une adresse électronique. Pour signer un package, vous avez besoin d'une copie de la clé privée sur l'ordinateur local et du mot de passe (qui n'est stocké nulle part). Si un paquet comporte des problèmes de sécurité, il devrait être relativement facile de retrouver l'auteur. Je suppose que les dépôts principaux pour Ubuntu et Debian sont au moins aussi sécurisés.

La plupart des projets open source ont un référentiel central avec au moins une protection au niveau ssh (mot de passe et / ou paire de clés publique / privée). Obtenir un accès non autorisé ici est un peu plus facile que le ppa mais pas trivial. Les systèmes de contrôle de version enregistrent généralement l'utilisateur qui effectue chaque validation et facilitent la compréhension de la procédure de validation.

On pourrait toujours essayer de glisser quelque chose dans un patch mais c'est une proposition risquée. La plupart des codeurs n'accepteront pas un patch trop gros pour être lu facilement. Si vous êtes pris, c'est à peu près tout.

Il reste encore une certaine quantité de confiance, il est donc possible que quelqu'un reçoive des logiciels espions dans Ubuntu. Peut-être devrons-nous nous inquiéter de la croissance de la part de marché d'Ubuntu.