Есть ли какая-либо гарантия, что программное обеспечение от PPA Launchpad не содержит вирусов и бэкдор-угроз?
Поскольку Linux продолжает расти и развиваться, и чем больше мы используем Linux, тем больше угроза со стороны вирусов.
Мы также знаем, что вирус / угроза в Linux (если таковые имеются) будут испытывать трудности при запуске или распространении, когда он работает от имени обычного пользователя, но это другая история, если вирус / угроза работает от имени пользователя root.
Примером такой опасности может быть случай, если вирус скрыт внутри PPA (преднамеренно или непреднамеренно) или если у приложения есть преднамеренно засаженный бэкдор (например, pidgin может тайно отправлять пароли на определенный адрес).
Если мы добавим программное обеспечение с Launchpad PPA, есть ли гарантия, что программное обеспечение от свободных вирусов / бэкдор-угроз?
3 ответа
Сценарий установки каждого пакета имеет root-доступ к вашей системе, поэтому простое добавление PPA или установка пакета из него является неявным заявлением о доверии со стороны владельца PPA.
Итак, что произойдет, если ваше доверие неуместно и владелец PPA хочет быть непослушным?
Для загрузки в PPA пакет должен быть подписан ключом GPG, уникальным для пользователя панели запуска (действительно, тем же ключом, с которым он подписал кодекс поведения). Таким образом, в случае известного злонамеренного PPA мы просто заблокируем учетную запись и закроем PPA (уязвимые системы все равно будут скомпрометированы, но в любом случае их не удастся исправить).
В некоторой степени социальные функции Launchpad могут использоваться в качестве превентивной меры для плохих пользователей - например, тот, кто имеет опыт участия в Ubuntu и некоторую известную карму в Launchpad, с меньшей вероятностью будет устанавливать ловушку PPA.
Или что, если кто-то получит контроль над PPA, который не принадлежит им?
Well, this is a bit tougher of a threat scenario, but also less likely since it requires an attacker getting both the launchpad users's private key file (generally only on their computer) as well as the unlock code for it (generally a strong password not used for anything else). If this happens, though, it's usually fairly simple for someone to figure out their account has been compromised (Launchpad will for instance email them about the packages they're not uploading), and the cleanup procedure would be the same.
So, in sum, PPAs are a possible vector for malicious software, but there are probably much easier methods for attackers to come after you.
Создание (возможно, распределенного) механизма рейтингов доверия для PPA уже давно включено в план действий ОСК, но пока не реализовано.
Нет никакой гарантии, но в среде, поддерживаемой сообществом, мы процветаем на "вере". Я добавил по крайней мере 20 PPA в мои источники и никогда не испытывал проблем до сих пор. Если по какой-либо причине, как вы упомянули, PPA установил угрозу / вирус / бэкдор в моей системе, я бы как-то узнал об этом, любезно предоставив сообщество, и просто удалил его. И кстати, прежде чем добавить PPA, я всегда проверяю, какие пакеты перечислены в нем.
PS: Pidgin никогда не отправляет имена пользователей и пароли на серверы (и никогда третьим лицам!) "Тайно". Все сделано с согласия пользователя. Для обеспечения бесперебойной связи Pidgin не может пропинговать вас каждый раз, когда отправляет учетные данные для входа на серверы. Ожидается, что вы разрешили это сделать после того, как предоставили детали. Я бы лучше дважды подумал, прежде чем называть Пиджина "бэкдором".:)