¿Puedo contraer un virus usando "sudo apt-get install"?

74

Me gustaría asegurarme de que es seguro descargar software usando sudo apt-get install. ¿Se escanean los paquetes en alguna parte? ¿Todos los paquetes descargados con este comando están libres de virus?

Si no hay garantía de que no estén libres de virus, después de instalar un paquete que contiene virus, ¿podría el atacante controlar completamente mi máquina? ¿Hay alguna forma de verificar todos los paquetes que instalé en mi computadora? (no por el sistema automáticamente. Me gustaría filtrarlos para ver todos los paquetes que instalé manualmente, no el sistema).

Tomás
fuente
8
La pregunta es válida, pero contiene conceptos erróneos sobre los virus. Una lista negra como el único medio para evitar la infección es un método muy malo , a pesar de su ubicuidad gracias al modelo de seguridad invertido de Windows. "Escanear" un paquete de software es una forma horrible de evitar acciones maliciosas.
Comodín el
2
Tomás, tu comentario fue eliminado por un moderador. NO lo publique una y otra vez.
jokerdino

Respuestas:

108

apten un sistema Ubuntu predeterminado, es muy poco probable que obtenga virus. Sin embargo, no significa que no sea posible:

  • PPA malicioso
    Una de las características de APT es la capacidad de los administradores de agregar archivos de paquetes personales (PPA) u otras fuentes de software al caché de APT. Estas fuentes de APT de terceros no son necesariamente confiables y pueden contener virus. Sin embargo, se necesitaría una acción intencional del administrador de la máquina para agregar una de estas fuentes infectadas, lo que hace que sea bastante difícil agregarse.
  • Repositorio
    pirateado En teoría, un repositorio de software puede ser pirateado por una parte maliciosa, lo que hace que los .debarchivos descargados lleven potencialmente cargas útiles maliciosas. Sin embargo, los repositorios de software oficiales se vigilan con mucho cuidado y la seguridad de estos repositorios es bastante estricta. Un pirata informático se vería en apuros para eliminar una de las fuentes oficiales de software de Ubuntu, pero las fuentes de software de terceros (ver arriba) pueden verse comprometidas mucho más fácilmente.
  • Ataques activos de red / MITM
    Si una red se ve comprometida más arriba (por, por ejemplo, su ISP), es posible obtener un virus de fuentes de software oficiales. Sin embargo, un ataque de este calibre requeriría un esfuerzo extremo y la capacidad de Man-In-The-Middle en muchos sitios, incluidos los servidores de distribución de claves GPG y los repositorios oficiales.

  • Existen vulnerabilidades de código mal escrito / malicioso en código abierto, revisado por pares y mantenido. Si bien estas cosas no se consideran técnicamente "virus" por definición, ciertas vulnerabilidades ocultas o nunca reveladas en el código podrían permitir que un atacante malintencionado coloque un virus o destruya su sistema. Un ejemplo de este tipo de problema sería Heartbleed de OpenSSL, o el Dirty CoW mucho más reciente. Tenga en cuenta que los programas de universeo multiverserepos son amenazas potenciales de este calibre, como se explica aquí .

apt(debido a su importancia en los sistemas Linux) está bastante protegido contra casi todos estos tipos de ataques tanto en el lado del cliente como del servidor. Si bien son posibles, un administrador que sepa lo que está haciendo y sepa cómo leer los registros de errores podrá evitar que ocurra cualquiera de estos ataques.

Además, apttambién impone la verificación de firmas para garantizar que los archivos descargados sean legítimos (y se descarguen correctamente ), lo que dificulta aún más la entrada de malware apt, ya que estas firmas digitales no pueden falsificarse.


En cuanto a responder a un incidente de infección de malware, la ruta más fácil es grabar el sistema en el suelo y comenzar de nuevo desde una copia de seguridad reciente (y conocida). Debido a la naturaleza de Linux, puede ser muy fácil para el malware manifestarse tan profundamente en el sistema que nunca se puede encontrar o extraer. Sin embargo, los paquetes tienen gusto clamavy rkhunterse pueden utilizar para escanear un sistema en busca de infecciones.

Kaz Wolfe
fuente
66
"quemar el sistema en el suelo": para un virus realmente bien escrito, esto es casi literalmente cierto. La destrucción física del hardware será segura; cualquier cosa menos va a ser un trabajo duro (por ejemplo, si el firmware del disco duro ha sido rooteado).
Martin Bonner
2
Vale la pena señalar que esos tres ejemplos no son mutuamente excluyentes. Puede agregar PPA de terceros que ha sido pirateado por medio de MITM.
el.pescado
11
¿Cómo es posible (3)? Los paquetes están firmados y la clave pública para los repositorios oficiales de Ubuntu proviene de los medios de instalación de Ubuntu. No creo que pueda infectarse a menos que comience desde un medio de instalación falso.
Federico Poloni
66
Debe agregar la opción número 4: Código oculto en un paquete oficial. Los errores como heartbleed muestran que pueden existir errores graves durante años, incluso abiertamente en un software de código abierto muy bien mantenido. Por lo tanto, siempre existe la posibilidad de que un atacante inyecte código malicioso en un repositorio de una manera que pueda sobrevivir a la revisión por pares. En este caso, simplemente descargaría la puerta trasera como un paquete totalmente firmado desde el servidor original.
Falco
22
Tenga en cuenta que la situación ciertamente no es mejor que esto en sistemas que no son Linux. Todo lo contrario, de verdad. La forma estándar de obtener software en Windows es, literalmente, descargarlo de un sitio aleatorio y espero que no haya pasado nada malo. Lo que describe es lo mejor que puede hacer en términos de instalación segura de software. (Creo que vale la pena mencionarlo explícitamente en la respuesta, ya que alguien que hace esta pregunta está en el nivel de principiante y puede no darse cuenta de eso.)
jpmc26
16

apt-getsolo se instalará desde los repositorios oficiales de Ubuntu que estén marcados o desde los repositorios que haya agregado a sus fuentes. Si agrega todos los repositorios que encuentre, podría terminar instalando algo desagradable. No hagas eso.

Bagazo
fuente
1
Hay casos en los que necesita instalar * .deb desde otros sitios web, pero también tienen sumas de verificación / sumas hash, creo. Hay veces que necesita agregar un ppa para descargar desde otros repositorios, pero todavía se usa el comando apt-get. Sería bueno verificar los ppa contra una lista de "sitios web malos" conocidos si eso fuera posible ...
WinEunuuchs2Unix
8
Una suma de control protege contra la corrupción accidental, pero no la manipulación intencional: son las firmas de OpenPGP las que protegen contra la manipulación.
Charles Duffy
1
Suponiendo que confía en la persona que firmó el paquete y puede verificar la clave de manera confiable. Honestamente, sin embargo, cada persona a veces descarga software de la web. Los repositorios son grandes pero no infinitos. La perfecta seguridad y confianza es un sueño.
Andrea Lazzarotto
¿Pero no puedes agregar repositorios adicionales?
Jeremy
"Si agrega todos los repositorios que encuentre, podría terminar instalando algo desagradable. No haga eso".
Marc
5

Los archivos descargados por sudo apt-getse comparan con una suma de verificación / suma hash para ese archivo para garantizar que no haya sido manipulado y esté libre de virus.

De hecho, los problemas que la gente ha encontrado cuando buscas en Google "sudo apt get hash sum" es demasiada seguridad contra virus.

Linux no está completamente libre de virus de ninguna manera, sin embargo, los incidentes son probablemente 1000 veces menos que Windows.

Luego, a juzgar por mi nombre de pantalla, podría estar sesgado :)

El comentario del 28 de noviembre de 2017 menciona cómo Windows tiene 1,000 estaciones de trabajo más que Linux, entonces, ¿por qué molestarse en hackear Linux? Trae a colación el hecho de que Linux se está ejecutando en las 500 Supercomputadoras más rápidas ahora y la mayoría de los servidores web ejecutan Linux, lo que la convierte en la mejor manera de hackear todas las estaciones de trabajo de Windows que se conectan a Internet.

Google Chrome, Android y Windows 10 brindan a los usuarios una gran oportunidad para regalar su privacidad y probablemente algo de seguridad al mismo tiempo.

WinEunuuchs2Unix
fuente
44
Eh? Los problemas de la suma de verificación no se tratan tanto de evitar la modificación intencional como de la corrupción accidental, a menos que haya una firma (y sí, los paquetes de Debian también tienen firmas de OpenPGP), una suma de verificación se puede modificar tanto como los datos sin procesar en sí. . Si una suma de verificación en un paquete no coincide con lo que estaba presente en el momento de la compilación, no hay expectativas razonables de que ese paquete pueda extraerse para obtener el contenido original deseado.
Charles Duffy el
@Jeremy Sin embargo, Linux ejecuta las 500 supercomputadoras principales y la mayoría de los servidores web, lo cual es una excelente manera de hackear todos los clientes de Windows conectados.
WinEunuuchs2Unix
3

Aunque apt-get solo se instalará desde los repositorios oficiales de Ubuntu, no garantiza que el 100% del paquete que tienes esté limpio.

Si se piratea el repositorio, el pirata informático puede inyectar código dañino en los paquetes. El servidor Linux Mint como ejemplo fue pirateado, y el pirata informático inyectó malware en sus archivos ISO. http://www.theregister.co.uk/2016/02/21/linux_mint_hacked_malwareinfected_isos_linked_from_official_site/

PT Huynh
fuente
3
Incluso los intercambios de NSA, DNC y bitcoin han sido pirateados recientemente. Creo que es seguro decir que los repositorios de Ubuntu están 99.99999% libres de virus, que es el espíritu de la pregunta y nuestras respuestas. De hecho, nadie ha presentado un virus Ubuntu en estas preguntas y respuestas. Existe el virus / malware Linux de larga data que KASLR corrige que la mayoría de las personas ni siquiera conocen y que solo leo en un sitio web alternativo que no es MSM y que no está basado en Linux y solo en noticias globales. Me gustaría decir que Linux tiene muchos menos virus que Windows y Ubuntu Update es seguro. Sin embargo, como siempre, tenga cuidado con los sitios web.
WinEunuuchs2Unix
2
Hay una gran diferencia entre inyectar código malicioso en un ISO y en los servidores apt. Los ISO no están completamente firmados: hay herramientas modernas disponibles que podrían usarse para dicha firma (firma EFI para proteger el gestor de arranque, validación GRUB OpenPGP para proteger el núcleo e initrd, dm-verity para proteger el sistema de archivos raíz), pero dm -verity aún no se usa ampliamente fuera de ChromeOS. El contenido de los servidores apt, por otro lado, todos tienen firmas OpenPGP: necesitaría ingresar a la estación de trabajo de uno de los desarrolladores de confianza para falsificarlos.
Charles Duffy
1
Inyectar ISO y servir paquetes apt infectados son completamente diferentes. Se puede hackear un servidor y se puede servir iso infectado, pero apt no se puede distribuir de esta manera. hay firmas que lo evitarán
Anwar
-4

depende de cuáles son sus permisos de sudo. ¿acceso raíz? todas las apuestas están apagadas: usted es ipso facto depositando su confianza en el ecosistema apt-get que puede o no ser seguro. Creo que es una idea terrible, pero lo hago todo el tiempo porque es la única opción. Si está ejecutando una instalación sensible en la que la seguridad es muy importante, entonces ejecutar sudo en anthing que no controla por completo probablemente sea una locura. si solo eres un schmoe normal, entonces probablemente estés bien.

enlace móvil
fuente
La pregunta aquí es si y en qué medida el ecosistema apt-get es de hecho seguro, lo cual no estoy seguro de que esta respuesta aborde de frente. En cuanto a la "idea terrible": más allá de distribuir claves OpenPGP propiedad de desarrolladores confiables con el sistema operativo (como ya se hizo), y requerir una acción explícita del usuario para habilitar claves adicionales (como al agregar un PPA), qué medidas adicionales podrían o podrían agregaría si estuviera construyendo su propio sistema de distribución de software?
Charles Duffy
no, la pregunta es muy explícita. Acabo de leer el op. "¿Puedo contraer un virus?" Sí, inequívocamente. construir su propio sistema de distribución de software es una pregunta completamente diferente.
mobileink
PD. Dije "Creo" que es una idea terrible, que no puede ser cuestionada. De hecho, es una idea terrible que los sistemas de distribución de software requieran sudo.
mobileink
66
Yo diría que es una idea aún más terrible permitir que un usuario sin privilegios instale software en ubicaciones donde está en la RUTA predeterminada para otros usuarios sin privilegios. Homebrew es un delincuente grave aquí: tan pronto como se realiza su configuración, cualquier proceso comprometido que se ejecute bajo el uid relevante puede instalar el software /usr/local/binsin requerir que el usuario afirme que tiene la intención de permitir la actividad administrativa.
Charles Duffy
3
Teóricamente posible, pero mucho menos probable. Y esto no es Security SE donde estamos en el negocio de lo teórico: es Ask Ubuntu, enfocado en usuarios finales con preguntas basadas en la práctica.
Charles Duffy