Các chương trình trong phần mềm gián điệp Ubuntu có miễn phí không?

Trong trung tâm phần mềm Ubuntu có các phần khác nhau cho các chương trình

• Được cung cấp bởi Ubuntu
• Đối tác Canonical
• Để mua hàng

Tôi biết tất cả những thứ này là nguồn mở; nhưng có bất kỳ quy trình xác nhận nào được thực hiện bởi Canonical để đảm bảo rằng chúng không có phần mềm gián điệp hoặc phần mềm độc hại nào không?

Tôi tự hỏi liệu có ai có thời gian để xem tất cả những thứ này không (2355 chương trình hay như vậy), mã phần mềm cũng vậy cho mỗi bản phát hành !!

Tôi lo lắng vì tôi thường xuyên cài đặt phần mềm không phổ biến từ trung tâm phần mềm :)

Có một quy trình để đảm bảo không có phần mềm độc hại? Số Có gì đảm bảo cả.

Tuy nhiên, có một số cơ chế để thử và phát hiện ra nó nhưng trong khi tôi không muốn quá buồn và ảm đạm, nếu chúng ta thành thật, có lẽ bạn không an toàn như bạn muốn.

1. Một dự án trước tiên phải được thêm vào Ubuntu. Như Rinzwind nói, kiểm tra được thực hiện ở giai đoạn này nhưng đó thực sự chỉ là phần nổi của tảng băng trôi đó là vòng đời của một gói trong Ubuntu.

2. Tuyến phòng thủ thực sự đầu tiên cho các gói dài hạn là những người duy trì dự án của họ. Những người này chăm sóc các dự án của họ và chấp nhận các bản vá để cải thiện chúng. Họ là con người. Họ mắc sai lầm và bỏ lỡ mọi thứ. Và một số có thể lười biếng.

   Có thể một người xấu có thể lén lút một số phần mềm độc hại qua chúng bằng cách bao gồm các cải tiến thực sự cùng với phần mềm độc hại.

   Nếu một cái gì đó xấu được chấp nhận vào một dự án bởi người bảo trì của nó, hãy lưu một cuộc kiểm toán thành công, rất có thể mã đó sẽ kết thúc trên máy của người dùng Ubuntu.

3. Kiểm toán an ninh là bước thứ hai. Điều này đang kiểm tra mã và chạy nó với màn hình để phát hiện những điều xấu. Theo tôi biết, không có một nhóm Canonical chính thức dành riêng cho bảo mật nhưng có hai nhóm cộng đồng (Ubuntu Security và MOTU SWAT) xử lý tất cả các gói giữa chúng.

   Kiểm toán chỉ thực sự hoạt động nếu mọi dòng mã được kiểm tra đúng trước khi đưa ra cho người dùng. Điều này không thực sự thiết thực đối với số lượng mã và số lượng cập nhật mà chúng ta đang nói đến. Sẽ mất một lượng lớn thời gian và tiền bạc để làm theo cách này.

   Có một giả định trong thế giới nguồn mở rằng chỉ vì ai đó có thể xem nguồn, họ có. Đây là một ethos rất nguy hiểm để duy trì.

   Sửa lỗi bảo mật phần lớn là phản động đối với những người tìm và tiết lộ lỗ hổng. Điều gì xảy ra nếu ai đó tiết lộ một lỗ hổng mà họ tìm thấy?

4. Các vấn đề báo cáo "người dùng cuối" khác là cơ chế phát hiện thực cuối cùng và hãy trung thực, phần mềm độc hại tốt sẽ không cho người dùng biết có vấn đề cho đến khi quá muộn để tạo ra sự khác biệt. Phần mềm độc hại được viết tốt sẽ không lật màn hình hoặc đánh cắp tất cả băng thông của bạn, nó sẽ ngồi ở đó trong nền, ghi lại tất cả các chi tiết ngân hàng của bạn trước khi gửi tất cả chúng vào một bãi rác ẩn danh nào đó.

Toàn bộ quá trình phụ thuộc vào các dự án thượng nguồn để duy trì mức độ bảo mật của riêng họ. Nếu ai đó trượt thứ gì đó qua bộ bảo trì của máy tính Gnome, rất có thể nó sẽ bị mọi người khác bỏ qua. Một đội an ninh cũng sẽ không bao giờ nghi ngờ điều đó.

Rất may hầu hết những người bảo trì đều giỏi trong những gì họ làm. Họ biết cơ sở mã của họ và nếu họ không hiểu các bản vá, họ sẽ từ chối chúng trên cơ sở rằng chúng không đủ rõ ràng.

Về mặt đánh giá rủi ro, bằng cách sử dụng một cái gì đó ít phổ biến hơn, có khả năng ít mắt kiểm tra mã hơn. Nhưng tương tự như vậy có lẽ có ít cam kết hơn, miễn là người bảo trì không lười biếng (hoặc xấu xa), họ có thể có nhiều thời gian hơn để xử lý mỗi cam kết. Thật khó để nói chính xác mức độ rủi ro của bạn. Bảo mật của phần mềm nguồn mở phụ thuộc vào những người có khả năng nhìn vào mã.

Ngược lại, các mục nguồn đóng (trong đối tác và repos mua hàng) hoàn toàn không được cộng đồng kiểm tra. Canonical có thể có một số quyền truy cập nguồn, nhưng thật lòng tôi nghi ngờ họ có tài nguyên để cung cấp cho mọi thứ kiểm toán kỹ lưỡng ngay cả khi họ có quyền truy cập nguồn và muốn.

Tương tự như vậy với PPA, bạn nhận được rất ít sự bảo vệ trừ khi bạn muốn tự mình đi sâu vào nguồn. Người dùng có thể thêm bất cứ thứ gì họ thích vào mã nguồn và trừ khi bạn tự kiểm tra nó (và bạn có khả năng phát hiện phần mềm độc hại), bạn là một con cừu bị sói bao vây. Mọi người có thể báo cáo PPA xấu nhưng điều gì đó xảy ra phụ thuộc vào người khác kiểm tra và xác nhận vấn đề. Nếu một trang web lớn (ví dụ OMGUbfox) đề xuất PPA (như họ thường làm), rất nhiều người dùng có thể gặp sự cố.

Để giải quyết vấn đề, thị phần thấp hơn của người dùng Linux có nghĩa là chỉ có ít phần mềm có sẵn để chúng tôi săn lùng mã xấu. Tôi ghét phải nói điều đó nhưng ít nhất là với Windows, bạn có hàng tá công ty chi tiêu mỗi ngày làm việc, tìm hiểu xem phần mềm hoạt động tồi tệ như thế nào, làm thế nào để phát hiện ra nó và làm thế nào để loại bỏ nó. Đó là một thị trường sinh ra từ sự cần thiết và trong khi tôi ghét phải nói điều này quá, mọi thứ có lẽ sẽ trở nên tồi tệ hơn ở đây trước khi chúng trở nên tốt hơn.

Đối với sự hoang tưởng bảo mật, tôi đã viết một bài viết ngắn cách đây một thời gian: Linux không thể xâm phạm. Đừng nói là như vậy. . Lén lút mọi thứ vào kho lưu trữ có lẽ sẽ không phải là vectơ tấn công chính cho những kẻ lừa đảo phát tán phần mềm độc hại. Nhiều khả năng (IMO) rằng họ sẽ chơi trên sự tham lam và ngu ngốc của người dùng để khiến họ cài đặt các .deb bị nhiễm.

Vâng. Các gói được cộng đồng kiểm tra (vì vậy 1 có thể cài đặt một số phần mềm độc hại nhưng tin tức đó sẽ lan truyền nhanh chóng trong số tất cả người dùng).

Các ứng dụng cần tuân thủ các quy tắc rất nghiêm ngặt được nêu trong cấp phép .

Trang wiki cho các gói mới có thêm một chút thông tin:

Đi qua MOTU

Các gói chưa có trong Ubuntu, đòi hỏi sự xem xét kỹ lưỡng và trải qua quá trình đánh giá đặc biệt, trước khi chúng được tải lên và nhận được đánh giá cuối cùng bởi các quản trị viên lưu trữ . Thông tin thêm về quy trình xem xét, bao gồm các tiêu chí sẽ được áp dụng, có thể được tìm thấy trên trang Người đánh giá mã . Các nhà phát triển được khuyến khích kiểm tra các gói riêng của họ bằng cách sử dụng các hướng dẫn này trước khi gửi chúng để xem xét.

Để nhận được báo cáo lỗi chất lượng cao hơn, hãy viết hook apport cho gói của bạn.

Điều đó nói rằng: ý tưởng chung là. Nếu bạn tìm thấy điều gì đó đáng ngờ, bạn báo cáo nó trên launchpad, hãy hỏi Ubuntu, ubuntuforums và ai đó sẽ nhận nó.

Điều có thể xảy ra là người tạo phần mềm độc hại tạo ra một gói hợp lệ, được chấp nhận và sau đó thực hiện cập nhật thêm phần mềm độc hại. Ít nhất một trong số nhiều người luôn nắm bắt được điều này và anh ấy / cô ấy sẽ báo cáo điều này ở đâu đó. Nó sẽ không đi vào nhiều máy theo cách này. (nỗ lực đưa nó vào máy của chúng tôi là quá nhiều so với phần thưởng tiềm năng: nhắm mục tiêu vào các máy windows dễ dàng hơn nhiều).

Ví dụ về những điều sẽ đi sai lầm khủng khiếp với ong nghệ . Ai đó đã bỏ lỡ một khoảng trắng và / usr đã bị xóa ... một số người bị ảnh hưởng, 1 bài đăng cảnh báo với cờ đỏ và bây giờ chúng ta đều biết. Creator đã sửa nó (nhanh hơn tốc độ ánh sáng) nhưng thiệt hại đã gây ra cho một số hệ thống. Và đây là một sai lầm và không cố ý để nó có thể xảy ra;)

Tôi cho rằng không ai có thể đảm bảo với bạn điều đó. Bạn sẽ phải kiểm tra xem điều gì sẽ xảy ra đối với một gói được thêm vào chỉ mục gói Debian, nhưng tôi nghĩ rằng bạn sẽ có thể đưa thứ gì đó xấu xa vào đó.

Bạn có thể thiết lập một máy ảo và thử phần mềm ở đó, sau đó bạn có thể xem qua lưu lượng mạng với một cái gì đó giống như iftopđể xem liệu ứng dụng này có nói chuyện với nhà hay không. Rất có thể là bạn sẽ không bao giờ nhìn thấy bất cứ điều gì vì nó được ẩn quá tốt.

Nguồn mở không có nghĩa là bảo mật, chỉ vì bạn có thể xem mã không có nghĩa là ai đó đã làm.

Để xuất bản mã trong PPA trên bảng khởi chạy, bạn cần thiết lập openPGP và tạo khóa được đính kèm vào địa chỉ email. Để ký một gói, bạn cần một bản sao của khóa riêng trên máy cục bộ và mật khẩu (không được lưu trữ ở bất cứ đâu). Nếu một gói có vấn đề bảo mật, nó sẽ tương đối dễ dàng để theo dõi tác giả. Tôi giả định rằng các kho lưu trữ chính cho Ubuntu và Debian ít nhất là an toàn.

Hầu hết các dự án nguồn mở đều có một kho lưu trữ trung tâm với ít nhất mức bảo vệ mức ssh (mật khẩu và / hoặc cặp khóa công khai / riêng tư). Truy cập trái phép ở đây dễ dàng hơn một chút so với ppa nhưng không tầm thường. Các hệ thống phiên bản thường ghi lại người dùng thực hiện từng cam kết và làm cho nó khá dễ dàng để tìm ra những gì một cam kết thực hiện.

Người ta luôn có thể cố gắng để trượt một cái gì đó vào một bản vá nhưng đây là một đề xuất rủi ro. Hầu hết các lập trình viên sẽ không chấp nhận một bản vá quá lớn để dễ đọc. Nếu bạn bị bắt thì đó là khá nhiều đó.

Vẫn còn một số tiền nhất định còn lại để tin tưởng nên có khả năng ai đó có thể tải phần mềm gián điệp vào Ubuntu. Có lẽ đó là điều chúng tôi sẽ phải lo lắng nếu thị phần của Ubuntu tăng trưởng đáng kể.