Ich habe in den Nachrichten über all die Malware gelesen, die das Android-Betriebssystem infiziert. Die Malware befindet sich im App Store von Google und wird unwissentlich heruntergeladen und installiert.
Soweit ich weiß, kann Ubuntus Haupt-Repository sicher von heruntergeladen werden (ich werde dadurch nicht mit Malware infiziert), da die Ingenieure von Canonical die Software überprüfen. Aber was ist mit anderen Repos, insbesondere dem Universum-Repository? Erhält das Universe Repo eine Überprüfung zum Schutz vor Malware? Ist es ratsam, das Universe Repo zu vermeiden, aus Angst, unwissentlich Malware von ihm herunterzuladen?
Ich habe gelesen, dass PPAs besonders gefährlich sind, weil sie nicht überprüft werden. Ich gehe jedoch davon aus, dass die Verwendung von Google Chrome PPA absolut sicher ist.
Wenn ich nur die Main & Universe-Repositorys und Google Chrome PPA verwende, werde ich dann davor geschützt, unwissentlich Malware herunterzuladen?
Wenn Ubuntu wie von Mark Shuttleworth prognostiziert Hunderte von Millionen von Nutzern gewinnt, werden Ubuntu-PPAs dann nicht das Malware-Problem für Ubuntu, wie es der App Store von Google heute für Android ist?
quelle
Antworten:
Alle offiziellen Ubuntu-Repositorys (einschließlich aller Elemente, die Sie finden können,
archive.ubuntu.com
oder ihrer Spiegel sowie einiger anderer) sind vollständig kuratiert. Dieses Mittelmain
,restricted
,universe
,multiverse
, sowie-updates
und-security
. Alle darin enthaltenen Pakete stammen entweder von Debian (und wurden daher von einem Debian-Entwickler hochgeladen) oder wurden von einem Ubuntu-Entwickler hochgeladen. In beiden Fällen wird das hochgeladene Paket durch die gpg-Signatur des Uploaders authentifiziert.Sie können daher darauf vertrauen, dass jedes Paket in den offiziellen Archiven von einem Debian- oder Ubuntu-Entwickler hochgeladen wurde. Darüber hinaus können die heruntergeladenen Pakete anhand der gpg-Signaturen in den Dateien im Repository überprüft werden, sodass Sie darauf vertrauen können, dass jedes heruntergeladene Paket in der Ubuntu-Build-Farm von der Quelle erstellt wurde, die von einem Ubuntu- oder Debian-Entwickler hochgeladen wurde¹.
Dies macht es unwahrscheinlich, dass es sich um eine Malware handelt, die sich in einer Vertrauensstellung befindet und die hochgeladen werden muss. Der Upload kann dann problemlos rückverfolgt werden.
Dies lässt die Frage der Schleichwerbung offen. Upstream-Entwickler könnten Hintertüren in ansonsten nützliche Software einfügen und diese in das Archiv schaffen - in
universe
odermultiverse
, abhängig von der Lizenz. Die Leute führen Sicherheitsüberprüfungen des Debian-Archivs durch. Wenn diese Software populär wird, ist es wahrscheinlich, dass die Hintertür entdeckt wird.Pakete in
main
haben einige zusätzliche Überprüfungen und erhalten mehr Liebe vom Ubuntu-Sicherheitsteam.PPAs haben fast nichts davon. Die Garantie, die Sie von einem PPA erhalten, besteht darin, dass die von Ihnen heruntergeladenen Pakete auf der Ubuntu-Build-Infrastruktur erstellt wurden und von jemandem hochgeladen wurden, der Zugriff auf einen der GPG-Schlüssel des Launchpad-Kontos des aufgelisteten Uploaders hat. Es gibt keine Garantie dafür, dass der Uploader derjenige ist, von dem er sagt, dass er er ist - jeder kann ein "Google Chrome PPA" erstellen. Sie müssen das Vertrauen für PPAs auf andere Weise ermitteln.
¹: Diese Vertrauenskette könnte durch einen umfassenden Eingriff in die Ubuntu-Infrastruktur unterbrochen werden, aber das gilt für jedes System. Der Kompromiss mit dem gpg-Schlüssel eines Entwicklers würde es auch einem Black Hat ermöglichen, Pakete in das Archiv hochzuladen. Da das Archiv dem Uploader jedes Pakets jedoch eine E-Mail sendet, sollte dies schnell bemerkt werden.
quelle
Alle Pakete in Ubuntu Repositories werden vor dem Hochladen von MOTUs (Masters of the Universe) geprüft und überprüft. MOTUs sind die mutigen Seelen, die die Universums- und Multiverse-Komponenten von Ubuntu in Form halten. Sie sind Community-Mitglieder, die ihre Zeit damit verbringen, die Software von Universe so gut wie möglich hinzuzufügen, zu warten und zu unterstützen. Daher besteht keine Chance, dass diese Pakete in Ihren Computer eindringen und Ihre Daten stehlen. Diese Pakete können jedoch Sicherheitslücken aufweisen, bei denen es sich um Fehler in der Software handelt. In Ubuntu gibt es auch einige sicherheitsrelevante Software (zum Beispiel Schlüsselprotokollierer), aber diese Pakete stehlen Ihre Daten nicht (es sei denn, jemand hat sie absichtlich auf Ihrem Computer installiert).
Hoffe das hilft. Weitere Informationen finden Sie auf der Ubuntu-Wiki-Seite MOTU .
quelle
Das Verbleiben in den Haupt- und Universums-Repositorys ist sehr sicher, und PPAs auch, wenn sie (meistens) besonders beliebt sind, oder wenn Sie wissen, dass sie sicher sind (wie das Google Chrome PPA. Ich bezweifle, dass Google dies tun würde Fügen Sie jede Art von Malware ein.) Wenn Sie Main, Universe und Ihr Google Chrome PPA verwenden, sind Sie auf der sicheren Seite.
Wenn Ubuntu eine Menge Benutzer gewinnt, wird es wahrscheinlich mehr Malware geben. Ich denke nicht, dass es genug gibt, um ein echtes Problem zu geben.
quelle