Welche Tests werden durchgeführt, um sicherzustellen, dass keine Pakete in den Repos Malware enthalten?

11

Wie wird sichergestellt, dass ein vertrauenswürdiger Benutzer ein Paket nicht mit Malware kompilieren und im Universums-Repo ablegen kann?

security repository malware official-repositories Benutzer
quelle
4
Die traurige Wahrheit, denke ich, ist, dass es ziemlich einfach ist, Dinge hineinzuziehen. Es gibt einfach nicht genug Arbeitskräfte, um jedes Paket gründlich zu überprüfen. Das heißt, wenn ein Paket nachweislich Malware enthält und eine solche Bösartigkeit aufweist, kann es gemeldet und schnell zerstört werden. Ich habe keine wirklichen Beispiele dafür, weil es entweder so selten oder nie passiert ist, also gibt es nicht viel Vorrang. (Keine Antwort, da das meiste davon Spekulationen ohne harte Fakten sind)
Thomas Ward
1
Die jüngsten Fragen und Antworten von InformationSecurity sind sehr verwandt: Wurde jemals Malware in einem Paket einer großen Linux-Distribution gefunden und was wird unternommen, um dies zu verhindern?
JonasCz
3
Mögliches Duplikat von Werden die Sicherheit
Sergiy Kolodyazhnyy

Antworten:

9

HINWEIS : Dies wird von einem Mitglied des Ubuntu-Sicherheitsteams in dieser Antwort ausführlicher beantwortet . Meine Antwort unten wurde zwei Jahre vor der verknüpften Antwort geschrieben.

Canonical verfügt über das Ubuntu Security Team , eine kostenpflichtige Gruppe, die professionell an Ubuntu-Archive gesendete Software überprüft und unterstützt sowie Korrekturen (auch bekannt als Sicherheitsupdates) veröffentlicht.

Aus dem Ubuntu-Wiki:

Das Ubuntu-Sicherheitsteam führt häufig Audits für Software durch, bevor diese offiziell unterstützt werden soll. Sobald Sicherheitslücken gefunden wurden, verwendet das Sicherheitsteam eine verantwortungsvolle Offenlegung, um andere über das Problem zu informieren.

Das Ubuntu-Sicherheitsteam arbeitet nicht nur an den Paketen, sondern arbeitet auch mit anderen, insbesondere dem Debian-Sicherheitsteam, und Schwachstellen-Trackern wie der MITRE CVE-Datenbank zusammen und verwaltet einen eigenen CVE-Tracker.

Auf derselben Wiki-Seite wird auch aufgeführt, dass sie aktiv an der Entwicklung von Tools zum Schutz vor neuen Sicherheitslücken beteiligt sind. Die Tools sind unter anderem AppArmor, CompilerFlags usw.

In den häufig gestellten Fragen zum Sicherheitsteam heißt es insbesondere:

Mit Ubuntu gelieferte Softwareinstallationstools wie Ubuntu Software Center und Update Manager überprüfen Pakete bei der Installation, um sicherzustellen, dass sie sicher sind und während des Downloads nicht manipuliert oder trojanisiert wurden. Außerdem wird eine große Teilmenge der Pakete im Archiv vom Ubuntu-Sicherheitsteam offiziell unterstützt und erhält zeitnahe Updates für möglicherweise auftretende Sicherheitsprobleme

Mit anderen Worten, von thomasrutter ausgedrückt , werden die Pakete kryptografisch signiert, um ihre Validierung sicherzustellen.

Die spezifischen Repositorys, die das Sicherheitsteam überwacht, sind ebenfalls in den FAQ aufgeführt:

Alle Binärpakete in Main und Restricted werden vom Ubuntu Security-Team für die Dauer einer Ubuntu-Version unterstützt, während Binärpakete in Universum und Multiversum von der Ubuntu-Community unterstützt werden.

Natürlich läuft Software heutzutage in Millionen und Abermillionen von Codezeilen in verschiedenen Sprachen, so wie unser geschätzter Moderator ThomasW. Richtig bemerkt, sind die Sicherheitsteams auch Menschen, und sie können unmöglich alles im Auge behalten. Ja, einige Schwachstellen und Fehler können auftreten, insbesondere in Universums- und Multiversum-Repositorys. Es sind jedoch Personen und Mechanismen vorhanden, um sicherzustellen, dass diese Schwachstellen und Fehler nicht weit verbreitet sind.

Sergiy Kolodyazhnyy
quelle
1
@user Obwohl es dazu keine offizielle Erklärung gibt, würde ich ja sagen - Sie möchten Repositorys verwenden, die aktiv unterstützt werden, während Universumspakete möglicherweise für lange Zeit nicht gepflegt werden. Die Serversicherheit ist ein sehr weit gefasstes Thema, es gibt jedoch keine einheitliche Lösung.
Sergiy Kolodyazhnyy
1
Nebenbei wird empfohlen, X11- und GUI-Apps für Server zu vermeiden: askubuntu.com/a/159607/295286 Vermeiden Sie auch die Vermeidung von PPAs askubuntu.com/a/7667/295286
Sergiy Kolodyazhnyy
1
@user Das Konzept des Vorbehalts gilt für jede Installation von Software. Es gibt eine Menge Software im Universum, die sehr gut ist und keine Malware. Im Vergleich dazu gibt es nach meinen Beobachtungen nur sehr wenig beobachtete Malware in den Repositories. Wenn Sie sich blind auf main beschränken, werden viele nützliche Software blockiert. Allerdings sollten Server GUIs vermeiden. PPAs, die von der Community nicht umfassend überprüft werden, sollten ebenfalls vermieden werden (bei PPAs gilt der Vorbehalt wirklich). Ich persönlich rate, nicht nur "Repository-Taschen blind zu blockieren" ...
Thomas Ward
1
... aber das ist nur meine Meinung als Serveradministrator, nicht als Moderator auf der Site. (Ich installiere nur von vertrauenswürdigen Quellen, und ich installiere Software nicht blind, ohne ein bisschen nachzuforschen)
Thomas Ward
1
@waltinator gut, ja, das kann man machen, aber OP interessiert sich hauptsächlich dafür, wie Canonical sich am Ende um die Sicherheit kümmert. Welches ist, was meine Antwort etwas angesprochen hat
Sergiy Kolodyazhnyy