Có đảm bảo rằng phần mềm từ Launchpad PPAs không có vi-rút và các mối đe dọa cửa sau không?

Khi Linux tiếp tục phát triển và phát triển, và chúng ta càng sử dụng Linux, mối đe dọa từ virus càng lớn.

Chúng tôi cũng biết rằng virus / mối đe dọa trong Linux (nếu có) sẽ gặp khó khăn khi chạy hoặc lây lan khi nó chạy như một người dùng bình thường, nhưng sẽ là một câu chuyện khác nếu virus / mối đe dọa đang chạy như người dùng root.

Một ví dụ về mối nguy hiểm này là nếu một vi-rút được giấu trong PPA (cố ý hoặc vô ý) hoặc nếu một ứng dụng có cửa hậu được trồng có chủ ý (ví dụ: pidgin có thể bí mật gửi mật khẩu đến một địa chỉ cụ thể).

Nếu chúng tôi thêm phần mềm từ Launchpad PPA, có đảm bảo rằng phần mềm đó là từ các mối đe dọa virus / backlink miễn phí không?

Tập lệnh cài đặt của mọi gói đều có quyền truy cập root vào hệ thống của bạn, vì vậy hành động đơn thuần là thêm PPA hoặc cài đặt gói từ một gói là một tuyên bố tin cậy ngầm đối với chủ sở hữu PPA của bạn.

Vì vậy, điều gì xảy ra nếu lòng tin của bạn bị đặt sai chỗ và chủ sở hữu PPA muốn nghịch ngợm?

Để tải lên PPA, gói phải được ký bằng khóa GPG duy nhất cho người dùng launchpad (thực tế, chính khóa họ đã ký quy tắc ứng xử). Vì vậy, trong trường hợp PPA độc hại đã biết, chúng tôi chỉ cần cấm tài khoản và tắt PPA (các hệ thống bị ảnh hưởng vẫn sẽ bị xâm phạm, nhưng dù sao cũng không có cách nào khắc phục chúng vào thời điểm đó).

Ở một mức độ nào đó, các tính năng xã hội của Launchpad có thể được sử dụng như một biện pháp phòng ngừa người dùng xấu - ví dụ, người có lịch sử đóng góp cho Ubuntu và một số nghiệp Launchpad đã thành lập, ít có khả năng thiết lập PPA bẫy.

Hoặc nếu ai đó giành quyền kiểm soát PPA không phải là của họ thì sao?

Chà, đây là một tình huống khó khăn hơn một chút, nhưng cũng ít xảy ra hơn vì nó yêu cầu kẻ tấn công lấy cả tệp khóa riêng của người dùng launchpad (nói chung chỉ trên máy tính của họ) cũng như mã mở khóa cho nó (nói chung là mật khẩu mạnh dùng cho bất cứ thứ gì khác). Tuy nhiên, nếu điều này xảy ra, thông thường khá đơn giản để ai đó phát hiện ra tài khoản của họ đã bị xâm phạm (ví dụ Launchpad sẽ gửi email cho họ về các gói họ không tải lên) và quy trình dọn dẹp sẽ giống nhau.

Vì vậy, tóm lại, PPA là một vectơ khả dĩ cho phần mềm độc hại, nhưng có lẽ có nhiều phương pháp dễ dàng hơn cho những kẻ tấn công đến sau bạn.

Việc thiết lập một cơ chế (có thể được phân phối) về xếp hạng tín nhiệm cho PPA đã có trong lộ trình của USC trong một thời gian, nhưng nó vẫn chưa được thực hiện.

Không bao giờ có bất kỳ sự đảm bảo nào nhưng trong một môi trường được cộng đồng ủng hộ, chúng tôi phát triển dựa trên "niềm tin". Tôi đã thêm ít nhất 20 PPA vào nguồn của mình và chưa bao giờ gặp sự cố cho đến bây giờ. Nếu, trong bất kỳ trường hợp nào và như bạn đã đề cập, một mối đe dọa / vi rút / cửa sau được PPA cài đặt trên hệ thống của tôi, tôi sẽ biết về nó bằng cách nào đó, nhờ sự giúp đỡ của cộng đồng và chỉ cần loại bỏ nó. Và BTW, trước khi thêm PPA, tôi luôn kiểm tra các gói được liệt kê trong đó.

PS : Pidgin không bao giờ gửi tên người dùng và mật khẩu đến máy chủ (và không bao giờ gửi cho bên thứ ba!) "Bí mật". Mọi thứ đều được thực hiện với sự đồng ý của người dùng. Để giữ cho bạn được kết nối liên tục, Pidgin không thể ping bạn mỗi khi nó gửi thông tin đăng nhập đến máy chủ. Dự kiến ​​bạn đã cho phép nó làm như vậy, một khi bạn đã cung cấp cho nó các chi tiết. Tôi thà nghĩ hai lần trước khi gọi Pidgin là "cửa hậu". :)