Wie man schädliche AUR-Pakete erkennt

11

Woran erkenne ich, ob ein Paket, das über yaourt unter Arch Linux installiert wird, für meinen PC schädlich sein kann? Ich habe im Wiki gelesen, dass ich jede Installation überprüfen soll, die ich mit yourt mache. Aber was genau muss ich überprüfen und wie erkenne ich schädliche Pakete?

arch-linux security yaourt lup3x
quelle
Sie sollten offizielle Pakete ohne AUR verwenden. Es gibt keine Garantie, da jeder etwas auf AUR hochladen kann, nur eine Registrierung erforderlich. Überprüfen Sie die Kommentare und Stimmen von AUR-Paketen, vielleicht ist es ein guter Ausgangspunkt.
Uzsolt
Die Wiki-Anweisung lautet, das PKGBUILD zu lesen, bevor Sie mit der Installation
fortfahren
3
@uzsolt Das ist ein bisschen lächerlich: Es gibt viele großartige Pakete in der AUR, von denen einige aus den offiziellen Repos entfernt wurden. Die Verwendung von AUR-Paketen ist im Prinzip in Ordnung. Wichtig ist , dass Sie verstehen, was Sie installieren.
Jasonwryan
1
Es ist zweifellos, aber wie kann jemand wissen, dass das aur-fooPaket schädlich ist oder nicht. Gibt es eine allgemeine Regel oder einen Algorithmus? Ich denke nicht. Und das Lesen von PKGBUILD reicht nicht aus - denken Sie, es wird ein schädliches C-Programm installiert. Lesen Sie den vollständigen Quellcode vor der Installation? Ich denke, ich sollte die Kommentare (über Berichte, Warnungen) und die Stimmen überprüfen (wenn es viele, viele Stimmen gibt, scheint es nicht so schlecht zu sein). Ich verwende viele AUR-Pakete und finde die meisten davon gut. Aber ... der Teufel schläft nie :)
uzsolt

Antworten:

7

Sie können nicht wirklich, ohne eine umfassende Prüfung des Codes durchzuführen und ihn "von außen" in Aktion zu beobachten, beispielsweise mithilfe einer virtuellen Maschine. Es gibt keinen kugelsicheren Weg, um schädliche Pakete zu finden, und sicherlich keinen automatisierten Weg, der relativ einfach nicht umgangen werden kann. Einige Dinge, die Sie realistisch tun können, von denen keine Silberkugeln sind:

  • Laden Sie das Paket herunter, entpacken Sie es ( installieren Sie es nicht !) Und führen Sie eine Virenprüfung für die entpackten Dateien durch. Dies kann zu einigen bekannten Problemen führen, jedoch nicht zu gezielten oder benutzerdefinierten Hacks.
  • Installieren Sie es vor der Verwendung auf einer virtuellen Maschine und überprüfen Sie, ob es "verdächtig" ist, z. B. das Berühren von Dateien, die Kommunikation mit externen Servern, das Starten von Daemon-Prozessen selbst usw. Natürlich. Es könnte sein, dass solche Dinge zeitgesteuert ausgeführt werden, beispielsweise nach einer Laufzeit von X Stunden, und ohne eine detaillierte Überprüfung des Codes gibt es keine Möglichkeit, die Sie kennen. Rootkit-Detektoren können einige davon automatisieren.
  • In einer eingeschränkten Umgebung installieren. SELinux, Chroot-Gefängnisse, virtuelle Maschinen, separate getrennte Maschinen und viele andere Dinge können verschiedene Arten problematischer Software enthalten, von einfach schlecht bis aktiv bösartig.
  • Wertvolle (aber nicht geheime) Daten können auf separaten Servern abgelegt werden, wobei der nicht vertrauenswürdige Computer schreibgeschützt ist.
  • Geheime Daten sollten auf einem Computer abgelegt werden, der vom nicht vertrauenswürdigen Computer nicht erreichbar ist. Jede Kommunikation sollte manuell über Wechselmedien kopiert werden.

Schließlich ist die einzige sichere Software keine Software. Sind Sie sicher, dass Sie Software installieren müssen, der Sie nicht vertrauen? Gibt es keine bekannte, vertrauenswürdige Alternative?

l0b0
quelle
Nun, ich bin gerade den Wiki-Einträgen für xflux und das Sun JDK gefolgt. Ist Ihr Leitfaden für jeden Eintrag der AUR oder kann ich den Paketen vertrauen, die einen umfangreichen wiki.archlinux-Artikel enthalten?
lup3x
4
Niemand kann Ihnen sagen, wem Sie vertrauen sollen. Niemand weiß, wem er vertrauen soll. Alles, was Sie tun können, ist ein Urteil zu fällen, das auf Ihrer eigenen Erfahrung, dem Rat von Personen, denen Sie vertrauen, der Popularität des Pakets oder einer anderen Heuristik basiert, die Sie für ausreichend halten.
10.
Vielen Dank, ich werde das bei der Installation neuer Pakete berücksichtigen
lup3x
2
Ich bin mir nicht sicher, ob ich dem Rat von @ l0b0 vertrauen soll.
Sparhawk
1
@Sparhawk Gut, wir sind doch im Internet, und wem man vertrauen kann , muss eine persönliche Entscheidung sein.
10b0
3

Wie bereits erwähnt, können Sie nicht sicher wissen.

Eine der wichtigsten Heuristiken, die ich persönlich verwende, sind:

Wenn ich versuchen würde, dies manuell zu installieren, würde ich es trotzdem von spotify.com herunterladen, also ist dies in meinen Büchern in Ordnung. Ein kurzer Blick über den Rest des PKGBUILD und es scheint nichts offensichtlich Ungewöhnliches zu tun. Natürlich gibt es Möglichkeiten, hinterhältig zu sein, aber ich denke, das Hauptziel für jeden schädlichen Code auf AUR wären Leute, die yaourt usw. verwenden, die PKGBUILD normalerweise nicht lesen, bevor sie Software installieren, und das Problem nicht erkennen würden, selbst wenn es offensichtlich wäre .

kellpossible
quelle