Есть ли какая-либо гарантия того, что программное обеспечение от PPA Launchpad не содержит вирусов и внутренних угроз?
Поскольку Linux продолжает расти и развиваться, и чем больше мы используем Linux, тем больше угроза со стороны вирусов.
Мы также знаем, что вирус / угроза в Linux (если таковые имеются) будут испытывать трудности при запуске или распространении, когда он работает от имени обычного пользователя, но это другая история, если вирус / угроза работает от имени пользователя root.
Примером этой опасности может быть случай, если вирус скрыт внутри PPA (преднамеренно или непреднамеренно) или если приложение имеет преднамеренно засаженный бэкдор (например, pidgin может тайно отправлять пароли на определенный адрес). [ 112]
Если мы добавим программное обеспечение из PPA Launchpad, есть ли гарантия того, что программное обеспечение от свободных вирусов / бэкдор-угроз?
3 ответа
Создание (возможно, распределенного) механизма рейтингов доверия для PPA долгое время было включено в дорожную карту USC , но пока не реализовано.
Сценарий установки каждого пакета имеет root-доступ к вашей системе, поэтому простое добавление PPA или установка пакета из него является неявным заявлением о доверии со стороны владельца PPA.
Итак, что произойдет, если ваше доверие неуместно и владелец PPA хочет быть непослушным?
Для загрузки в PPA пакет должен быть подписан ключом GPG, уникальным для пользователя панели запуска ( действительно, тем же ключом они подписали кодекс поведения). Так что в случае известного злонамеренного PPA мы просто заблокируем учетную запись и закроем PPA (уязвимые системы все равно будут скомпрометированы, но в любом случае нет хорошего способа их исправить).
В некоторой степени социальные функции Launchpad могут использоваться в качестве превентивной меры для плохих пользователей - например, тот, кто имеет опыт участия в Ubuntu и некоторую известную карму в Launchpad, с меньшей вероятностью будет настраивать ловушка ППА.
Или что, если кто-то получит контроль над PPA, который не принадлежит им?
Ну, это немного сложнее сценария угрозы, но также менее вероятно, так как требует, чтобы злоумышленник получил как пользователей панели запуска файл закрытого ключа (как правило, только на своем компьютере), а также код разблокировки для него (как правило, надежный пароль не используется ни для чего другого). Однако, если это произойдет, то, как правило, кому-то достаточно просто определить, что его учетная запись была взломана (например, Launchpad отправит им электронное письмо о пакетах, которые они не загружают), и процедура очистки будет такой же.
Итак, в итоге, PPA - это возможный вектор для вредоносного программного обеспечения, но, вероятно, злоумышленники могут найти более простые способы, чтобы преследовать вас.
Нет никакой гарантии, но в среде, поддерживаемой сообществом, мы процветаем на «вере». Я добавил по крайней мере 20 PPA в мои источники и никогда не испытывал проблем до сих пор. Если по какой-либо причине, как вы упомянули, PPA установил угрозу / вирус / бэкдор в моей системе, я бы как-то узнал об этом, благодаря любезности сообщества, и просто удалил ее. И, кстати, перед добавлением PPA я всегда проверяю, какие пакеты перечислены в нем.
PS : Pidgin никогда не отправляет имена пользователей и пароли на серверы (и никогда третьей стороне!) «В тайне». Все сделано с согласия пользователя. Для обеспечения бесперебойной связи Pidgin не может пропинговать вас каждый раз, когда отправляет учетные данные для входа на серверы. Ожидается, что вы разрешили это сделать после того, как предоставили детали. Я бы лучше дважды подумал, прежде чем называть Пиджина "бэкдором". :)