Gibt es eine Garantie dafür, dass Software von Launchpad PPAs frei von Viren und Backdoor-Bedrohungen ist?

48

Je weiter Linux wächst und sich entwickelt und je mehr wir Linux einsetzen, desto größer ist die Bedrohung durch Viren.

Wir wissen auch, dass ein Virus / eine Bedrohung unter Linux (falls vorhanden) Schwierigkeiten haben würde, als normaler Benutzer ausgeführt zu werden oder sich zu verbreiten, aber es ist eine andere Geschichte, wenn der Virus / die Bedrohung als Root-Benutzer ausgeführt wird.

Ein Beispiel für diese Gefahr wäre, wenn sich ein Virus (absichtlich oder unbeabsichtigt) in einem PPA befindet oder wenn eine Anwendung eine absichtlich eingerichtete Hintertür hat (z. B. könnte pidgin heimlich Passwörter an eine bestimmte Adresse senden).

Wenn wir Software von einem Launchpad-PPA hinzufügen, gibt es eine Garantie dafür, dass Software vor kostenlosen Viren / Backdoor-Bedrohungen geschützt ist?

squallbayu
quelle

Antworten:

38

Das Installationsskript jedes Pakets hat Root-Zugriff auf Ihr System. Das Hinzufügen eines PPA oder das Installieren eines Pakets von einem PPA aus ist also eine implizite Vertrauenserklärung Ihres PPA-Besitzers.

Was passiert also, wenn Ihr Vertrauen verloren geht und ein PPA-Besitzer ungezogen sein möchte?

Zum Hochladen auf eine PPA muss ein Paket mit einem für den Launchpad-Benutzer eindeutigen GPG-Schlüssel signiert sein (in der Tat mit demselben Schlüssel, mit dem sie den Verhaltenskodex signiert haben). Im Falle einer bekannten böswilligen PPA würden wir einfach das Konto sperren und die PPA herunterfahren (betroffene Systeme wären immer noch kompromittiert, aber es gibt ohnehin keine gute Möglichkeit, sie zu beheben).

In gewissem Maße können die sozialen Funktionen von Launchpad als vorbeugende Maßnahme gegen schlechte Benutzer verwendet werden - jemand, der in der Vergangenheit zu Ubuntu beigetragen hat und zum Beispiel ein etabliertes Launchpad-Karma hat, ist weniger geneigt, eine Trap-PPA einzurichten.

Oder was ist, wenn jemand die Kontrolle über eine PPA erlangt, die ihm nicht gehört?

Nun, dies ist ein bisschen schwieriger als ein Bedrohungsszenario, aber auch weniger wahrscheinlich, da ein Angreifer sowohl die private Schlüsseldatei des Launchpad-Benutzers (normalerweise nur auf seinem Computer) als auch den Freischaltcode dafür erhalten muss (normalerweise kein sicheres Kennwort) für alles andere verwendet). In diesem Fall ist es jedoch in der Regel recht einfach, herauszufinden, dass das Konto des Benutzers kompromittiert wurde (Launchpad sendet beispielsweise eine E-Mail mit Informationen zu den Paketen, die nicht hochgeladen werden), und die Bereinigungsprozedur ist dieselbe.

In der Summe sind PPAs ein möglicher Vektor für bösartige Software, aber es gibt wahrscheinlich viel einfachere Methoden, mit denen Angreifer Sie verfolgen können.

Scott Ritchie
quelle
6
Ich persönlich folge einem "Ist die Person / das Team ein Entwickler?" Regel. Das heißt, sind sie entweder der Originalautor oder ein Ubuntu-Entwickler? Wenn die Antwort auf beides "nein" ist, würde ich dem nicht viel Vertrauen schenken, wenn ich die Person nicht kenne (zum Beispiel, wenn ich sie als Mentor für die Entwicklung eines Entwicklers unterstützen würde).
Maco
8

Die Einrichtung eines (möglicherweise verteilten) Mechanismus für Vertrauensbewertungen für PPAs ist seit einiger Zeit in der USC- Roadmap vorgesehen, wurde jedoch noch nicht implementiert.

mgunes
quelle
4
"USC" ist "Ubuntu Software Center", wenn dies nicht bekannt ist (vorausgesetzt, Sie folgen dem Link nicht selbst).
Belacqua
6

Es gibt keine Garantie, aber in einer von der Community unterstützten Umgebung leben wir vom "Glauben". Ich habe meinen Quellen mindestens 20 PPAs hinzugefügt und bis jetzt noch nie ein Problem festgestellt. Wenn zufällig und wie Sie bereits erwähnt haben, eine Bedrohung, ein Virus oder eine Hintertür von einem PPA auf meinem System installiert wird, würde ich dies irgendwie erfahren, mit freundlicher Genehmigung der Community, und es einfach entfernen. Und übrigens, bevor ich eine PPA hinzufüge, überprüfe ich immer, welche Pakete darin aufgelistet sind.

PS : Pidgin sendet niemals "heimlich" Benutzernamen und Passwörter an die Server (und niemals an Dritte!). Alles wird mit Zustimmung des Benutzers durchgeführt. Pidgin kann Sie nicht jedes Mal anpingen, wenn die Anmeldeinformationen an die Server gesendet werden, um eine nahtlose Verbindung zu gewährleisten. Es wird erwartet, dass Sie dazu autorisiert sind, sobald Sie die Details angegeben haben. Ich würde lieber zweimal überlegen, bevor ich Pidgin eine "Hintertür" nenne. :)

Srinivas G
quelle
1
Pidgin speichert Passwörter jedoch im Klartext.
Gödel
1
Sogar Google-Chrome speicherte Klartext-Passwörter, die durch eine SQL-Abfrage trivial verfügbar gemacht werden konnten (wie Jamie Strandboge betonte).
Belacqua
In Bezug auf Ihren zweiten Absatz haben Sie meines Erachtens die Absichten des OP missverstanden. Er meinte nicht, Pidgin hätte eine Hintertür. Er benutzte es als hypothetisches Beispiel, um seine Frage zu veranschaulichen.
Jon Bentley