Jak rozpoznać szkodliwe pakiety AUR

Jak rozpoznać, czy pakiet instalowany przez yaourt na Arch Linuxie może być szkodliwy dla mojego komputera? Przeczytałem na wiki, że powinienem sprawdzać każdą instalację, którą zrobię z tobą. Ale co dokładnie muszę sprawdzić i jak rozpoznać złośliwe pakiety?

Nie można tak naprawdę nie przeprowadzić obszernego audytu kodu i obserwować go w akcji „z zewnątrz”, na przykład za pomocą maszyny wirtualnej. Nie ma kuloodpornego sposobu na znalezienie szkodliwych pakietów, a na pewno nie ma zautomatyzowanego sposobu, którego nie można by stosunkowo łatwo obejść. Niektóre rzeczy, które możesz realistycznie zrobić, z których żadna nie jest srebrnymi kulami:

• Pobierz pakiet, rozpakuj go ( nie instaluj!) I uruchom sprawdzanie wirusów na rozpakowanych plikach. Może to znaleźć pewne znane problemy, ale nie ukierunkowane lub niestandardowe włamania.
• Przed użyciem należy zainstalować go na maszynie wirtualnej i sprawdzić, czy nie robi niczego „podejrzanego”, takiego jak dotykanie plików, których nie powinien, komunikowanie się z serwerami zewnętrznymi, samodzielne uruchamianie procesów demona itp. Oczywiście, może robić takie rzeczy w określonym czasie, na przykład po uruchomieniu przez X godzin i nie ma możliwości, abyś wiedział bez szczegółowej kontroli kodu. Detektory rootkitów mogą zautomatyzować niektóre z nich.
• Zainstaluj w ograniczonym środowisku. SELinux, więzienia chroot, maszyny wirtualne, osobne odłączone maszyny i wiele innych rzeczy może zawierać różne rodzaje problematycznego oprogramowania, od zwykłego złego do aktywnie złośliwego.
• Wartościowe (ale nie tajne) dane można umieszczać na osobnych serwerach z dostępem tylko do odczytu dla niezaufanego komputera.
• Tajne dane powinny zostać umieszczone na maszynie, która jest nieosiągalna z niezaufanego komputera. Każda komunikacja powinna być ręcznym kopiowaniem za pomocą nośników wymiennych.

Wreszcie jedynym bezpiecznym oprogramowaniem nie jest oprogramowanie. Czy na pewno musisz zainstalować oprogramowanie, któremu nie ufasz? Czy nie ma dobrze znanej, zaufanej alternatywy?

Jak wspomniano wcześniej, nie możesz być tego pewien.

Jedną z głównych heurystyk, z których osobiście korzystam, są:

• przeczytaj PKGBUILD i dowiedz się, z jakich stron internetowych pobiera oprogramowanie. Czy to tam, gdzie się spodziewałeś? Czy pochodzi z zaufanego źródła? Weźmy na przykład spotify, jego źródłem jest „ http://repository.spotify.com/pool/non-free/s/spotify-client/spotify-client_1.0.15.137.gbdf68615_amd64.deb ”

Gdybym miał zamiar zainstalować to ręcznie, i tak pobrałbym go z spotify.com, więc w moich książkach jest to w porządku. Krótkie przeglądanie reszty PKGBUILD i wydaje się, że nie robi to nic oczywistego. Oczywiście są sposoby, aby być podstępnym, ale myślę, że głównym celem każdego złośliwego kodu w AUR będą ludzie używający twojego itp., Którzy zwykle nie czytają PKGBUILD przed zainstalowaniem oprogramowania i nie zauważyliby problemu, nawet gdyby było to oczywiste .