Czy jest jakakolwiek gwarancja, że ​​oprogramowanie z PPA Launchpad jest wolne od wirusów i zagrożeń backdoor?

W miarę wzrostu i rozwoju systemu Linux, a im częściej korzystamy z systemu Linux, tym większe zagrożenie ze strony wirusów.

Wiemy również, że wirus / zagrożenie w Linuksie (jeśli w ogóle) miałoby problemy z uruchomieniem lub rozprzestrzenianiem się, gdy działa jako zwykły użytkownik, ale to inna historia, jeśli wirus / zagrożenie działa jako użytkownik root.

Przykładem takiego niebezpieczeństwa może być umieszczenie wirusa w PPA (umyślnie lub nieumyślnie) lub jeśli aplikacja ma celowo zasadzone backdoor (np. Pidgin może potajemnie wysyłać hasła na określony adres).

Jeśli dodamy oprogramowanie z PPA Launchpad, czy istnieje jakakolwiek gwarancja, że ​​oprogramowanie pochodzi z bezpłatnych wirusów / zagrożeń typu backdoor?

Skrypt instalacyjny każdego pakietu ma dostęp root do twojego systemu, więc samo dodanie PPA lub zainstalowanie pakietu z jednego jest niejawną deklaracją zaufania ze strony właściciela PPA.

Co się stanie, jeśli twoje zaufanie zostanie utracone, a właściciel umowy PPA chce być niegrzeczny?

Aby przesłać do PPA, pakiet musi być podpisany przez klucz GPG unikalny dla użytkownika startera (w rzeczywistości ten sam klucz, którym podpisali kodeks postępowania). W przypadku znanego złośliwego PPA po prostu zbanowalibyśmy konto i zamknęli PPA (zagrożone systemy byłyby nadal zagrożone, ale i tak nie ma w tym momencie żadnego dobrego sposobu).

Do pewnego stopnia funkcje społecznościowe Launchpada mogą być stosowane jako środek zapobiegawczy złych użytkowników - na przykład ktoś, kto miał już swój wkład w Ubuntu i pewną ustaloną karmę Launchpad, ma mniejsze szanse na ustanowienie pułapki PPA.

A jeśli ktoś przejmie kontrolę nad umową PPA, która nie jest ich własnością?

Cóż, jest to nieco trudniejszy scenariusz zagrożenia, ale również mniej prawdopodobny, ponieważ wymaga od atakującego pobrania zarówno pliku klucza prywatnego użytkowników startera (zazwyczaj tylko na ich komputerze), jak i kodu odblokowującego (ogólnie silne hasło nie używane do czegokolwiek innego). Jeśli tak się jednak stanie, zwykle dość łatwo jest odkryć, że ktoś złamał konto (Launchpad na przykład wyśle ​​mu e-maila o pakietach, których nie przesyła), a procedura czyszczenia będzie taka sama.

Podsumowując, umowy PPA są możliwym wektorem złośliwego oprogramowania, ale prawdopodobnie istnieje wiele łatwiejszych metod dla atakujących.

Ustanowienie (być może rozproszonego) mechanizmu oceny zaufania dla umów PPA było już od dawna planem USC , ale nie zostało jeszcze wdrożone.

Nigdy nie ma żadnej gwarancji, ale w środowisku wspieranym przez społeczność, żyjemy na „wierze”. Dodałem co najmniej 20 umów PPA do moich źródeł i do tej pory nie spotkałem się z żadnym problemem. Jeśli przez przypadek i jak wspomniałeś, zagrożenie / wirus / backdoor zostanie umieszczone w moim systemie przez PPA, dowiem się o tym, dzięki uprzejmości społeczności i po prostu je usunę. I BTW, przed dodaniem PPA, zawsze sprawdzam, które pakiety są w nim wymienione.

PS : Pidgin nigdy nie wysyła nazw użytkowników i haseł do serwerów (i nigdy do osób trzecich!) „Potajemnie”. Wszystko odbywa się za zgodą użytkownika. Aby zapewnić ci bezproblemowe połączenie, Pidgin nie może pingować Cię za każdym razem, gdy wysyła poświadczenia logowania do serwerów. Oczekuje się, że upoważniłeś go do tego po podaniu szczegółowych informacji. Wolę pomyśleć dwa razy, zanim nazwiemy Pidgina „backdoor”. :)