Existe-t-il un processus pour s’assurer qu’il n’existe pas de logiciel malveillant? Non. Il n'y a aucune garantie du tout.
Il existe cependant plusieurs mécanismes pour essayer de le détecter, mais si je ne veux pas être trop sombre, si nous sommes honnêtes, vous n'êtes probablement pas aussi en sécurité que vous le souhaitez. être.
-
Un projet doit d'abord être ajouté à Ubuntu. Comme le dit Rinzwind, des vérifications sont effectuées à ce stade, mais ce n’est vraiment que la pointe de l’iceberg qui constitue la vie d’un paquet dans Ubuntu.
-
La première vraie ligne de défense pour les packages à long terme sont leurs responsables de projets. Ces personnes s'occupent de leurs projets et acceptent les correctifs pour les améliorer. Ils sont humains. Ils font des erreurs et manquent des choses. Et certains pourraient être paresseux.
Il est possible qu'une personne malveillante puisse transmettre des logiciels malveillants en leur apportant de véritables améliorations avec le logiciel malveillant.
Si quelque chose de mauvais est admis dans un projet par son responsable, enregistrez un audit réussi, il y a de fortes chances que le code se retrouve sur les machines des utilisateurs Ubuntu.
-
Les audits de sécurité sont la deuxième étape. Cela consiste à examiner le code et à l'exécuter contre les moniteurs pour détecter les problèmes. Pour autant que je sache, il n’existe pas d’équipe officielle Canonical dédiée à la sécurité, mais des équipes communautaires (Ubuntu Security et MOTU SWAT) qui gèrent tous les paquets entre eux.
L'audit ne fonctionne vraiment que si chaque ligne de code est correctement vérifiée avant d'être envoyée aux utilisateurs. Ce n'est pas vraiment pratique pour la quantité de code et le nombre de mises à jour dont nous parlons. Cela prendrait énormément de temps et d’argent pour le faire de cette façon.
Il existe une hypothèse dans le monde de l’open source selon laquelle, simplement parce que quelqu'un peut voir la source, il en a. C'est un ethos très dangereux à maintenir.
Les correctifs de sécurité sont en grande partie réactionnaires pour les personnes qui trouvent et divulguent des trous. Que se passe-t-il si quelqu'un découvre un trou trouvé?
-
Les autres problèmes de rapport des "utilisateurs finaux" constituent le véritable mécanisme de détection et permettent d’être honnête, les bons logiciels malveillants ne permettront pas à l’utilisateur de savoir qu’il ya trop de temps pour faire la différence. Un malware bien écrit ne va pas retourner votre écran ou voler toute votre bande passante, il va rester là en arrière-plan, enregistrer tous vos détails bancaires avant qu’il ne les publie tous quelque part dans un vidage anonyme.
L'ensemble du processus dépend des projets en amont pour maintenir leurs propres niveaux de sécurité. Si quelqu'un a dépassé le responsable du calculateur Gnome, il y a des chances que tout le monde l'ignore. Une équipe de sécurité ne le soupçonnera jamais non plus.
Heureusement, la plupart des responsables sont bons dans ce qu’ils font. Ils connaissent leur base de code et s'ils ne comprennent pas les correctifs, ils les rejetteront parce qu'ils ne sont pas assez clairs.
En termes d’évaluation des risques, en utilisant quelque chose de beaucoup moins populaire, il y a probablement moins d’œil qui vérifient le code. Mais de même, il y a probablement moins de commits, aussi longtemps que le mainteneur n'est pas paresseux (ou maléfique), il peut avoir plus de temps pour gérer chaque commit. Il est difficile de dire exactement combien de risques vous êtes. La sécurité des logiciels open source dépend de la capacité des utilisateurs à regarder le code.
Inversement, les éléments source fermés (dans le partenaire et les achats) sont complètement non audités par la communauté. Canonical peut avoir un accès à certaines sources, mais franchement, je doute qu'ils aient les ressources nécessaires pour effectuer des vérifications approfondies même s'ils avaient un accès à la source et le souhaitaient.
De même, avec les PPA, vous bénéficiez d’une protection très réduite, à moins que vous ne souhaitiez vous plonger vous-même dans la source. Les utilisateurs peuvent ajouter ce qu'ils veulent au code source et à moins que vous ne le trouviez vous-même (et que vous êtes capable de détecter les logiciels malveillants), vous êtes un mouton entouré de loups. Les gens peuvent signaler de mauvais PPA, mais il faut que d'autres personnes vérifient et confirment le problème. Si un grand site (par exemple, OMGUbuntu) recommandait un PPA (comme c'est souvent le cas), de nombreux utilisateurs pourraient avoir des problèmes.
Pour aggraver le problème, la faible part de marché des utilisateurs de Linux signifie que nous disposons de moins de logiciels pour traquer les codes erronés. Je déteste le dire, mais au moins avec Windows, vous avez des dizaines de sociétés qui passent chaque journée de travail à découvrir comment fonctionnent les logiciels, comment les détecter et comment les supprimer. C’est un marché né de la nécessité et, bien que je déteste dire cela aussi, les choses vont probablement empirer ici avant qu’elles ne s’améliorent.
Pour les paranoïaques de sécurité, j’ai écrit un petit article il ya quelque temps: Linux n’est pas invulnérable. Ne le dites pas. . L'intrusion dans le référentiel ne va probablement pas être le principal vecteur d'attaque des systèmes de distribution de logiciels malveillants.Il est beaucoup plus probable (OMI) qu’ils jouent sur la cupidité et la stupidité des utilisateurs pour les amener à installer des fichiers .debs infectés.