¿Qué repositorios de Ubuntu son totalmente seguros y libres de malware?

13

Leí en las noticias sobre todo el malware que está infectando el sistema operativo Android. El malware está en la tienda de aplicaciones de Google y la gente lo descarga e instala sin saberlo.

Según tengo entendido, el repositorio principal de Ubuntu es seguro para que pueda descargarlo (no me infectaré con malware al hacerlo) porque los ingenieros de Canonical revisan el software. Pero, ¿qué pasa con otros repositorios, sobre todo el repositorio del Universo? ¿El repositorio de Universe recibe algún tipo de revisión para protegerse del malware? ¿Es aconsejable evitar el repositorio del Universo por temor a descargar malware sin saberlo?

He leído que los PPA son particularmente peligrosos porque no se revisan. Sin embargo, supongo que es perfectamente seguro usar el PPA de Google Chrome.

Entonces, si no uso nada más que los repositorios Main & Universe y Google Chrome PPA, ¿estaré protegido contra la descarga de malware sin saberlo?

Si Ubuntu gana cientos de millones de usuarios, como predice Mark Shuttleworth, ¿los PPA de Ubuntu no se convertirán en el problema de malware para Ubuntu como lo es hoy la App Store de Google para Android?

Mella
fuente
44
Parece que haces varias preguntas. Este sitio funciona mejor con una pregunta a la vez. Es posible que desee volver a escribir su pregunta en una sola pregunta o dividirla en varias preguntas.
NN
Bueno, en primer lugar, Android = / = Ubuntu, luego, si está agregando un PPA, sabe la razón por la que lo está haciendo, por lo tanto, sabe lo que hay en él para que el sistema operativo sea tan seguro siempre que sepa qué está instalando.
Uri Herrera
puede confiar en todos los paquetes que no piratearán su computadora o dañarla.
Alvar

Respuestas:

19

Todos los repositorios oficiales de Ubuntu (que abarcan todo lo que puede encontrar en archive.ubuntu.comsus espejos, así como algunos otros) están completamente curados. Este medio main, restricted, universe, multiverse,, así como -updatesy -security. Todos los paquetes allí provienen de Debian (y han sido cargados por un desarrollador de Debian) o han sido cargados por un desarrollador de Ubuntu; en ambos casos, el paquete que se carga se autentica mediante la firma gpg del cargador.

Por lo tanto, puede confiar en que cada paquete en los archivos oficiales ha sido cargado por un desarrollador de Debian o Ubuntu. Además, los paquetes que descargue pueden verificarse mediante las firmas gpg en los archivos del repositorio, por lo que puede confiar en que cada paquete que descargue se haya creado en la granja de compilación de Ubuntu desde la fuente que fue cargada por un desarrollador de Ubuntu o Debianian.

Esto hace improbable el malware directo: alguien en una posición de confianza necesitaría cargarlo y la carga sería fácilmente rastreable para ellos.

Esto deja la cuestión de la necedad más subrepticia. Los desarrolladores ascendentes podrían poner puertas traseras en software que de otro modo sería útil y estos podrían ingresar al archivo, universeo multiversesegún la licencia. Las personas realizan auditorías de seguridad del archivo de Debian, por lo que si este software se hizo popular, es probable que se descubriera la puerta trasera.

Los paquetes maintienen algunas comprobaciones adicionales y reciben más amor del equipo de seguridad de Ubuntu.

Las PPA casi no tienen nada de esto. La garantía que obtiene de un PPA es que los paquetes que descargó se crearon en la infraestructura de compilación de Ubuntu y fueron cargados por alguien con acceso a una de las claves GPG de la cuenta Launchpad del cargador listado. No hay garantía de que el cargador sea quien dice ser: cualquiera podría hacer un "Google Chrome PPA". Debe determinar la confianza de alguna otra manera para los PPA.

¹: Esta cadena de confianza podría romperse por una intrusión extensa en la infraestructura de Ubuntu, pero eso es cierto para cualquier sistema. El compromiso de la clave gpg de un desarrollador también permitiría que un black-hat cargue paquetes en el archivo, pero como el archivo envía correos electrónicos al cargador de cada paquete, esto debería notarse rápidamente.

RAOF
fuente
Sin embargo, debe tenerse en cuenta que Google mantiene un repositorio de Google Chrome, y Google es una compañía bastante confiable.
Thomas Boxley
@ThomasBoxley XD
Solo
@Solo lmao Lo retiro en retrospectiva.
Thomas Boxley
8

MOTU (Masters of the Universe) verifica y revisa todos los paquetes en los repositorios de Ubuntu antes de cargarlos. Las MOTU son las almas valientes que mantienen en forma los componentes Universe y Multiverse de Ubuntu. Son miembros de la comunidad que pasan su tiempo agregando, manteniendo y apoyando tanto como sea posible el software que se encuentra en Universe. Por lo tanto, no hay posibilidades de que estos paquetes entren en su computadora y roben sus datos. Sin embargo, estos paquetes pueden tener errores de seguridad que son defectos encontrados en el software. También algunos programas que comprenden seguridad están disponibles en Ubuntu (por ejemplo, registradores de teclas) pero estos paquetes no robarán sus datos (a menos que alguien los haya instalado intencionalmente en su computadora).

Espero que esto ayude. Consulte la página wiki de Ubuntu MOTU para obtener más información.

Vibhav Pant
fuente
2

Mantenerse con los repositorios principal y del universo es muy seguro, y también lo son los PPA si son especialmente populares (la mayoría de las veces), o si sabe que van a ser seguros (como el PPA de Google Chrome. Dudo que Google lo haga). coloque cualquier tipo de malware en él.) Si usa Main, Universe y su Google Chrome PPA, estará a salvo.

Si Ubuntu gana una tonelada de usuarios, entonces sí, probablemente habrá más malware. Sin embargo, no creo que haya suficiente para ser un problema real.

Thomas Boxley
fuente