¿Existe alguna garantía de que el software de los PPA de Launchpad esté libre de virus y amenazas de puerta trasera?

48

A medida que Linux continúa creciendo y desarrollándose, y cuanto más usamos Linux, mayor es la amenaza de los virus.

También sabemos que un virus / amenaza en Linux (si lo hubiera) tendría dificultades para ejecutarse o propagarse cuando se ejecuta como usuario normal, pero es una historia diferente si el virus / amenaza se ejecuta como usuario root.

Un ejemplo de este peligro sería si un virus está escondido dentro de un PPA (intencionalmente o no) o si una aplicación tiene una puerta trasera plantada intencionalmente (por ejemplo, pidgin podría enviar contraseñas secretamente a una dirección en particular).

Si agregamos software desde un PPA de Launchpad, ¿hay alguna garantía de que el software provenga de virus libres / amenazas de puerta trasera?

squallbayu
fuente

Respuestas:

38

La secuencia de comandos de instalación de cada paquete tiene acceso raíz a su sistema, por lo que el simple acto de agregar un PPA o instalar un paquete desde uno es una declaración implícita de confianza de su parte del propietario del PPA.

Entonces, ¿qué sucede si su confianza está fuera de lugar y el propietario de un PPA quiere ser travieso?

Para cargar a un PPA, un paquete debe estar firmado por una clave GPG exclusiva del usuario de la plataforma de lanzamiento (de hecho, la misma clave con la que firmaron el código de conducta). Entonces, en el caso de un PPA malicioso conocido, simplemente prohibiríamos la cuenta y cerraríamos el PPA (los sistemas afectados aún estarían comprometidos, pero de todos modos no hay una buena manera de solucionarlos).

Hasta cierto punto, las características sociales de Launchpad se pueden usar como una medida preventiva de malos usuarios: alguien que tiene un historial de contribución a Ubuntu y algún karma establecido de Launchpad, por ejemplo, es menos probable que establezca un PPA trampa.

¿O qué pasa si alguien obtiene el control de un PPA que no es suyo?

Bueno, este es un escenario de amenaza un poco más difícil, pero también menos probable ya que requiere que un atacante obtenga tanto el archivo de clave privada de los usuarios de la plataforma de lanzamiento (generalmente solo en su computadora) como el código de desbloqueo (generalmente una contraseña segura no usado para cualquier otra cosa). Sin embargo, si esto sucede, generalmente es bastante simple para alguien darse cuenta de que su cuenta se ha visto comprometida (Launchpad, por ejemplo, les enviará un correo electrónico sobre los paquetes que no están cargando), y el procedimiento de limpieza sería el mismo.

Entonces, en resumen, los PPA son un posible vector para software malicioso, pero probablemente hay métodos mucho más fáciles para que los atacantes te persigan.

Scott Ritchie
fuente
66
Yo personalmente sigo un "¿la persona / equipo es un desarrollador?" regla. Es decir, ¿son el autor original original o un desarrollador de Ubuntu? Si la respuesta a ambas preguntas es "no", no le daría mucha confianza a menos que conociera a la persona (por ejemplo, si la estuviera asesorando para que se convirtiera en un desarrollador).
maco
8

El establecimiento de un mecanismo (quizás distribuido) de calificaciones de confianza para PPA ha estado en la hoja de ruta de la USC por un tiempo, pero aún no se ha implementado.

mgunes
fuente
44
"USC" es "Centro de software de Ubuntu" si alguien más no se da cuenta de esto (suponiendo que usted mismo no siga el enlace).
belacqua
6

Nunca hay ninguna garantía, pero en un entorno respaldado por la comunidad, prosperamos en la "creencia". Agregué al menos 20 PPA a mis fuentes y nunca tuve un problema hasta ahora. Si, por casualidad y como usted mencionó, un PPA planta una amenaza / virus / puerta trasera en mi sistema, lo sabré de alguna manera, por cortesía de la comunidad y simplemente lo eliminaré. Y, por cierto, antes de agregar un PPA, siempre verifico qué paquetes figuran en él.

PD : Pidgin nunca envía nombres de usuario y contraseñas a los servidores (¡y nunca a un tercero!) "En secreto". Todo se hace con el consentimiento del usuario. Para mantenerlo conectado sin problemas, Pidgin no puede enviarle un ping cada vez que envía las credenciales de inicio de sesión a los servidores. Se espera que lo haya autorizado para hacerlo, una vez que lo haya proporcionado los detalles. Prefiero pensarlo dos veces antes de llamar a Pidgin una "puerta trasera". :)

Srinivas G
fuente
1
Sin embargo, Pidgin guarda las contraseñas en texto plano.
Gödel
1
Incluso google-chrome guardó contraseñas de texto sin formato que fueron trivialmente expuestas por una consulta SQL (como señaló Jamie Strandboge ).
belacqua
Con respecto a su segundo párrafo, creo que entendió mal las intenciones del OP. No estaba sugiriendo que Pidgin tiene una puerta trasera. Lo usó como un ejemplo hipotético para ilustrar su pregunta.
Jon Bentley