Cómo reconocer paquetes AUR dañinos

11

¿Cómo reconozco si un paquete que se instala a través de yaourt en Arch Linux puede ser perjudicial para mi PC? Leí en la wiki que debería verificar cada instalación que hago con usted. Pero, ¿qué debo verificar exactamente y cómo reconozco los paquetes maliciosos?

arch-linux security yaourt lup3x
fuente
Debe usar paquetes oficiales sin AUR. No hay garantía porque cualquiera puede subir cualquier cosa a AUR, solo se necesita un registro. Compruebe los comentarios y votos de los paquetes AUR, tal vez sea un buen punto de partida.
uzsolt
La instrucción wiki es leer el PKGBUILD antes de proceder con la instalación ...
jasonwryan
3
@uzsolt Eso es un poco ridículo: hay muchos paquetes geniales en el AUR, algunos de los cuales se han eliminado de los repositorios oficiales. Usar paquetes AUR, en principio, está bien; lo importante es entender lo que está instalando.
jasonwryan
1
Sin duda, pero ¿cómo puede alguien saber que el aur-foopaquete es dañino o no? ¿Existe una regla general o algoritmo? Creo que no. Y la lectura de PKGBUILD no es suficiente: piense que instalará un programa C dañino. ¿Lees el código fuente completo antes de instalar? Creo que debería revisar los comentarios (sobre informes, advertencias) y los votos (si hay muchos votos, no parece tan malo). Estoy usando muchos paquetes de AUR y creo que la mayoría de estos son buenos. Pero ... el diablo nunca duerme :)
uzsolt 11/1113

Respuestas:

7

No puede, no realmente, sin hacer una auditoría exhaustiva del código y observarlo en acción "desde afuera", por ejemplo, utilizando una máquina virtual. No hay una forma a prueba de balas para encontrar paquetes maliciosos, y ciertamente no hay una forma automatizada que no se pueda evitar con relativa facilidad. Algunas cosas que puede hacer de manera realista , ninguna de las cuales son balas de plata:

  • Descargue el paquete, descomprímalo ( ¡no lo instale!) Y ejecute una comprobación de virus en los archivos desempaquetados. Esto puede encontrar algunos problemas conocidos, pero no hacks personalizados o personalizados.
  • Antes de usarlo, instálelo en una máquina virtual y verifique que no haga nada "sospechoso", como tocar archivos que no debería, comunicarse con servidores externos, iniciar procesos de daemon por sí mismo, etc. Por supuesto, podría estar haciendo cosas así de forma cronometrada, por ejemplo, después de correr durante X horas, y no hay forma de saberlo sin una inspección detallada del código. Los detectores de rootkits pueden automatizar algo de esto.
  • Instalar en un entorno restringido. SELinux, chroot jails, máquinas virtuales, máquinas desconectadas separadas y muchas otras cosas pueden contener diferentes tipos de software problemático, desde el más malo hasta el más malicioso.
  • Los datos valiosos (pero no secretos) se pueden colocar en servidores separados con acceso de solo lectura a la máquina no confiable.
  • Los datos secretos deben colocarse en una máquina a la que no se pueda acceder desde la máquina no confiable. Cualquier comunicación debe ser copias manuales a través de medios extraíbles.

Finalmente, el único software seguro es ningún software. ¿Está seguro de que necesita instalar un software en el que no confía? ¿No hay una alternativa conocida y confiable?

l0b0
fuente
Bueno, acabo de seguir las entradas de wiki para xflux y el sun JDK. ¿Es su guía para cada entrada de AUR o puedo confiar en los paquetes que tienen un extenso artículo de wiki.archlinux?
lup3x
44
Nadie puede decirte en quién confiar. Nadie sabe en quién confiar. Todo lo que puede hacer es emitir un juicio basado en su propia experiencia, el consejo de personas de su confianza, la popularidad del paquete o cualquier otra heurística que considere suficiente.
l0b0
Gracias, lo tendré en cuenta al instalar nuevos paquetes
lup3x
2
No estoy seguro de confiar en el consejo de @ l0b0.
Sparhawk
1
@Sparhawk Bueno, estamos en Internet, después de todo, y que a la confianza tiene que ser una decisión personal.
l0b0
3

Como se mencionó anteriormente, no puede estar seguro.

Una de las principales heurísticas que uso personalmente son:

Si intentara instalarlo manualmente, lo estaría descargando de spotify.com de todos modos, así que esto está bien en mis libros. Una breve lectura del resto del PKGBUILD y no parece estar haciendo nada obviamente inusual. Por supuesto, hay formas de ser astuto, pero creo que el objetivo principal de cualquier código malicioso en AUR serían las personas que usan yaourt, etc., que generalmente no leen el PKGBUILD antes de instalar el software y no detectarían el problema incluso si fuera obvio .

kellpossible
fuente