Kann ich mit "sudo apt-get install" einen Virus bekommen?

74

Ich möchte sicherstellen, dass das Herunterladen von Software mit sicher ist sudo apt-get install. Werden die Pakete irgendwo gescannt? Sind alle mit diesem Befehl heruntergeladenen Pakete virenfrei?

Wenn es keine Garantie dafür gibt, dass sie nicht virenfrei sind, kann der Angreifer nach der Installation eines Pakets, das Viren enthält, meinen Computer vollständig kontrollieren? Kann ich auf irgendeine Weise alle Pakete überprüfen, die von mir auf meinem Computer installiert wurden? (Nicht automatisch vom System. Ich möchte sie filtern, um alle Pakete anzuzeigen, die von mir manuell und nicht vom System installiert wurden.)

apt software-installation security Tomas
quelle
8
Die Frage ist gültig, enthält aber Missverständnisse über Viren. Eine schwarze Liste als einziges Mittel zur Vermeidung von Infektionen ist eine sehr schlechte Methode , obwohl sie dank des umgekehrten Sicherheitsmodells von Windows allgegenwärtig ist. Das "Scannen" eines Softwarepakets ist ein schrecklicher Weg, um böswillige Handlungen zu verhindern.
Wildcard
2
Tomas, Ihr Kommentar wurde von einem Moderator entfernt. Bitte nicht immer wieder posten.
jokerdino

Antworten:

108

aptAuf einem Standard-Ubuntu-System ist es sehr unwahrscheinlich, dass Viren auftreten. Dies bedeutet jedoch nicht, dass dies nicht möglich ist:

  • Bösartiges PPA
    Eine der Funktionen von APT besteht darin, dass Administratoren dem APT-Cache Personal Package Archives (PPAs) oder andere Softwarequellen hinzufügen können. Diese APT-Quellen von Drittanbietern sind nicht unbedingt vertrauenswürdig und können Viren enthalten. Es würde jedoch eine absichtliche Handlung des Administrators des Computers erfordern, um eine dieser infizierten Quellen hinzuzufügen, was es für einen ziemlich schwierig macht, sich selbst hinzuzufügen.
  • Gehacktes Repository
    Theoretisch kann ein Software-Repository von einer böswilligen Partei gehackt werden, wodurch heruntergeladene .debDateien möglicherweise schädliche Nutzdaten enthalten. Offizielle Software-Repositorys werden jedoch sehr sorgfältig überwacht, und die Sicherheit für diese Repositorys ist ziemlich streng. Ein Hacker würde es schwer haben, eine der offiziellen Ubuntu-Softwarequellen auszuschalten, aber Softwarequellen von Drittanbietern (siehe oben) könnten viel einfacher kompromittiert werden.
  • Aktive MITM- / Netzwerk-Angriffe
    Wenn ein Netzwerk weiter oben (beispielsweise von Ihrem ISP) kompromittiert wird, besteht die Möglichkeit, dass von offiziellen Software-Quellen ein Virus stammt. Ein Angriff dieses Kalibers würde jedoch einen extremen Aufwand und die Fähigkeit erfordern, viele Sites, einschließlich der GPG-Schlüsselverteilungsserver und der offiziellen Repos, in der Mitte zu managen.

  • Sicherheitsanfälligkeiten in Open Source, Peer-Review und verwaltetem Code bestehen, wenn Code schlecht geschrieben oder böswillig ist . Obwohl diese Dinge per Definition technisch gesehen nicht als "Viren" eingestuft werden, können bestimmte im Code verborgene oder nie aufgedeckte Exploits es einem böswilligen Angreifer ermöglichen, ein Virus auf Ihr System zu übertragen oder es zu infizieren. Ein Beispiel für diese Art von Problem wäre Heartbleed von OpenSSL oder die viel jüngere Dirty CoW. Beachten Sie, dass Programme von den universeoder multiverseRepos potenzielle Bedrohungen dieses Kalibers sind, wie hier erläutert .

apt(aufgrund seiner Bedeutung auf Linux-Systemen) ist ziemlich stark gegen fast alle diese Arten von Angriffen sowohl auf Client- als auch auf Serverseite geschützt. Solange dies möglich ist, kann ein Administrator, der weiß, was er tut und wie er Fehlerprotokolle liest, verhindern, dass diese Angriffe stattfinden.

Erzwingt aptaußerdem die Signaturüberprüfung, um sicherzustellen, dass die heruntergeladenen Dateien legitim (und korrekt heruntergeladen ) sind, was das Durchschleichen von Malware noch schwieriger macht apt, da diese digitalen Signaturen nicht gefälscht werden können.

Der einfachste Weg, um auf einen Malware-Infektionsvorfall zu reagieren, besteht darin, das System bis auf den Grund zu verbrennen und erneut von einem kürzlich erstellten (und als sauber bekannten) Backup auszugehen. Aufgrund der Natur von Linux kann es für Malware sehr einfach sein, sich so tief im System zu manifestieren, dass sie niemals gefunden oder extrahiert werden kann. Pakete wie clamavund rkhunterkönnen jedoch verwendet werden, um ein System auf Infektionen zu scannen.

Kaz Wolfe
quelle
6
"Brennen Sie das System zu Boden" - für einen wirklich gut geschriebenen Virus ist dies fast wörtlich wahr. Die physische Zerstörung der Hardware ist sicher. Alles andere wird harte Arbeit sein (z. B. wenn die Festplattenfirmware gerootet wurde).
Martin Bonner
2
Es ist erwähnenswert, dass sich diese drei Beispiele nicht gegenseitig ausschließen. Sie können PPA von Drittanbietern hinzufügen, die mit MITM gehackt wurden.
el.pescado
11
Wie ist (3) überhaupt möglich? Die Pakete sind signiert und der öffentliche Schlüssel für die offiziellen Ubuntu-Repos stammt von den Ubuntu-Installationsmedien. Ich glaube nicht, dass Sie infiziert werden können, wenn Sie nicht von einem gefälschten Installationsmedium ausgehen.
Federico Poloni
6
Sie sollten Option 4: Underhanded Code in einem offiziellen Paket hinzufügen. Bugs wie Heartbleed zeigen, dass es in stark gepflegten Open-Source-Software über Jahre hinweg schwerwiegende Bugs geben kann. Daher besteht für einen Angreifer immer die Möglichkeit, bösartigen Code in ein Repository einzufügen, der das Peer-Review-Verfahren überlebt. In diesem Fall laden Sie die Backdoor einfach als vollständig signiertes Paket vom ursprünglichen Server herunter.
Falco
22
Beachten Sie, dass die Situation auf Nicht-Linux-Systemen mit Sicherheit nicht besser ist. Ganz im Gegenteil. Die Standardmethode, um Software unter Windows zu installieren, ist das Herunterladen von einer zufälligen Website. Wir hoffen, dass nichts Schlimmes passiert ist. Was Sie beschreiben, ist ungefähr das Beste, was Sie in Bezug auf die sichere Installation von Software tun können. (Ich denke, das ist es wert, in der Antwort ausdrücklich erwähnt zu werden, da sich jemand, der diese Frage stellt, auf Anfängerniveau befindet und dies möglicherweise nicht erkennt.)
jpmc26
16

apt-getwird nur von den offiziellen Ubuntu-Repositorys installiert, die überprüft wurden, oder von Repositorys, die Sie Ihren Quellen hinzugefügt haben. Wenn Sie jedes Repository hinzufügen, auf das Sie stoßen, wird möglicherweise etwas Böses installiert. Tu das nicht.

Marc
quelle
1
Es gibt Fälle, in denen Sie * .deb von anderen Websites installieren müssen, aber ich glaube, sie haben auch Prüfsummen / Hashsummen. Es gibt Zeiten, in denen Sie ein ppa hinzufügen müssen, um es aus anderen Repositorys herunterzuladen, aber der Befehl apt-get wird weiterhin verwendet. Es wäre schön, ppa's gegen eine Liste von bekannten "schlechten Websites" zu überprüfen, wenn das möglich wäre ...
WinEunuuchs2Unix
8
Eine Prüfsumme schützt vor versehentlicher Beschädigung, aber nicht vorsätzlicher Manipulation - es sind die OpenPGP-Signaturen, die vor Manipulationen schützen.
Charles Duffy
1
Vorausgesetzt, Sie vertrauen der Person, die das Paket signiert hat, und Sie können den Schlüssel auf vertrauenswürdige Weise überprüfen. Ehrlich gesagt, lädt jede Person manchmal Software aus dem Internet herunter. Die Repositories sind groß, aber nicht unendlich. Perfekte Sicherheit und Vertrauen sind ein Traum.
Andrea Lazzarotto
Aber können Sie keine zusätzlichen Repositorys hinzufügen?
Jeremy
"Wenn Sie jedes Repository hinzufügen, auf das Sie stoßen, werden Sie möglicherweise etwas Böses installieren. Tun Sie das nicht."
Marc
5

Von heruntergeladene Dateien sudo apt-getwerden mit einer Prüfsumme / Hash-Summe für diese Datei verglichen, um sicherzustellen, dass sie nicht manipuliert wurden und virenfrei sind.

In der Tat sind die Probleme, auf die die Leute gestoßen sind, wenn Sie "sudo apt get hash sum" googeln, zu viel Sicherheit gegen Viren.

Linux ist keineswegs völlig virenfrei, jedoch sind Vorfälle wahrscheinlich 1000-mal seltener als Windows.

Dann wieder nach meinem Bildschirmnamen zu urteilen, könnte ich voreingenommen sein :)

In einem Kommentar zum 28. November 2017 wird erwähnt, dass Windows über 1.000 Workstations mehr verfügt als Linux. Warum also sollte man sich die Mühe machen, Linux zu hacken? Es wird darauf hingewiesen, dass Linux derzeit auf allen 500 schnelleren Super-Computern ausgeführt wird und die meisten Webserver Linux ausführen. Dies ist der beste Weg, um alle Windows-Workstations zu hacken, die mit dem Internet verbunden sind.

Mit Google Chrome, Android und Windows 10 haben Benutzer die Möglichkeit, gleichzeitig ihre Privatsphäre und wahrscheinlich auch Sicherheit zu verschenken.

WinEunuuchs2Unix
quelle
4
Wie? Bei Prüfsummenproblemen geht es nicht so sehr darum, absichtliche Änderungen zu vermeiden, sondern um versehentliche Beschädigungen. Solange keine Signatur darauf ist (und ja, Debian-Pakete haben auch OpenPGP-Signaturen), kann eine Prüfsumme genauso geändert werden wie die Rohdaten selbst . Wenn eine Prüfsumme für ein Paket nicht mit der zum Zeitpunkt der Erstellung vorhandenen übereinstimmt, besteht keine vernünftige Erwartung, dass dieses Paket extrahiert werden kann, um den gewünschten ursprünglichen Inhalt zu erhalten.
Charles Duffy
@Jeremy Trotzdem werden unter Linux die 500 besten Supercomputer und die meisten Webserver ausgeführt. Dies ist eine großartige Möglichkeit, alle angeschlossenen Windows-Clients zu hacken.
WinEunuuchs2Unix
3

Obwohl apt-get nur von den offiziellen Ubuntu-Repositories installiert wird, garantiert es nicht, dass das Paket, das Sie erhalten haben, zu 100% sauber ist.

Wenn das Repository gehackt wird, fügt der Hacker möglicherweise Schadenscode in Pakete ein. Als Beispiel wurde der Linux Mint-Server gehackt und der Hacker hat Malware in seine ISO-Dateien injiziert. http://www.theregister.co.uk/2016/02/21/linux_mint_hacked_malwareinfected_isos_linked_from_official_site/

PT Huynh
quelle
3
Sogar NSA-, DNC- und Bitcoin-Börsen wurden kürzlich gehackt. Ich denke, es ist sicher zu sagen, dass Ubuntu-Repositorys zu 99,99999% virenfrei sind, was der Kern der Frage und unserer Antworten ist. In der Tat ist in dieser Frage und Antwort niemand mit einem Ubuntu-Virus aufgetaucht. Es gibt den langjährigen Linux-Virus / die Malware, die KASLR behebt und von denen die meisten Menschen nicht einmal wissen, und ich lese nur auf einer alternativen Nicht-MSM-Website, die nicht auf Linux basiert und ausschließlich auf globalen Nachrichten basiert. Ich möchte sagen, dass Linux weit weniger Viren als Windows enthält und Ubuntu Update sicher ist. Seien Sie jedoch wie immer vorsichtig mit Websites.
WinEunuuchs2Unix
2
Es gibt einen großen Unterschied zwischen dem Injizieren von Schadcode in eine ISO und in die apt-Server. Die ISOs sind nicht vollständig signiert - es stehen moderne Tools zur Verfügung, die für eine solche Signierung verwendet werden können (EFI-Signierung zum Schutz des Bootloaders, GRUB OpenPGP-Validierung zum Schutz des Kernels und von initrd, dm-Verity zum Schutz des Root-Dateisystems), aber dm -verity ist außerhalb von ChromeOS noch nicht weit verbreitet. Die Inhalte der apt-Server haben dagegen alle OpenPGP-Signaturen - Sie müssen in die Workstation eines der vertrauenswürdigen Entwickler einbrechen, um sie zu fälschen.
Charles Duffy
1
Das Injizieren von ISO und das Bereitstellen infizierter apt-Pakete sind völlig anders. Ein Server kann gehackt und infiziertes ISO bedient werden, aber apt kann nicht auf diese Weise verteilt werden. Es gibt Unterschriften, die es verhindern
Anwar
-4

hängt davon ab, welche sudo-Berechtigungen Sie haben. Root-Zugriff? Alle Wetten sind ungültig - Sie vertrauen ipso facto auf das Ökosystem von apt-get, das sicher sein kann oder nicht. Ich denke, es ist eine schreckliche Idee, aber ich mache es die ganze Zeit, weil es die einzige Wahl ist. Wenn Sie eine vertrauliche Installation ausführen, bei der die Sicherheit an erster Stelle steht, ist es wahrscheinlich verrückt, sudo auf etwas auszuführen, das Sie nicht vollständig kontrollieren. Wenn Sie nur eine normale Schmoe sind, dann sind Sie wahrscheinlich in Ordnung.

mobileink
quelle
Hier stellt sich die Frage, ob und inwieweit das apt-get-Ökosystem tatsächlich sicher ist. Ich bin mir nicht sicher, ob diese Antwort direkt zutrifft. Was die "schreckliche Idee" betrifft - über das Verteilen von OpenPGP-Schlüsseln von vertrauenswürdigen Entwicklern mit dem Betriebssystem hinaus (wie bereits geschehen) und das Erfordern einer expliziten Benutzeraktion, um zusätzliche Schlüssel zu aktivieren (wie beim Hinzufügen eines PPA), welche zusätzlichen Maßnahmen würden oder könnten Sie fügen hinzu, wenn Sie Ihr eigenes Softwareverteilungssystem aufbauen würden?
Charles Duffy
nein, die frage ist sehr explizit. lies einfach die op. "Kann ich einen Virus bekommen?" ja, eindeutig. Das Erstellen eines eigenen Softwareverteilungssystems ist eine ganz andere Frage.
Mobileink
ps. Ich sagte "Ich denke", es ist eine schreckliche Idee, die nicht in Frage gestellt werden kann. Tatsächlich ist es für Softwareverteilungssysteme eine schreckliche Idee, sudo zu benötigen.
Mobileink
6
Ich würde argumentieren, dass es eine noch schrecklichere Idee ist, einem nichtprivilegierten Benutzer zu erlauben, Software an Orten zu installieren, an denen sie sich für andere nichtprivilegierte Benutzer im Standardpfad befindet. Homebrew ist hier ein schwerer Straftäter - sobald es eingerichtet ist, kann jeder unter der entsprechenden Benutzer-ID ausgeführte gefährdete Prozess Software unter installieren, /usr/local/binohne dass der Benutzer bestätigen muss, dass er administrative Aktivitäten zulassen möchte .
Charles Duffy
3
Theoretisch möglich, aber viel weniger wahrscheinlich. Und dies ist nicht die Security SE, in der wir uns auf theoretische Fragen konzentrieren - es ist Ask Ubuntu, das sich an Endbenutzer mit praxisbezogenen Fragen richtet.
Charles Duffy