web-dev-qa-db-fra.com

Est-il garanti que les logiciels des PPA Launchpad sont exempts de virus et de menaces de porte dérobée?

Au fur et à mesure que Linux grandit et se développe, et plus nous utilisons Linux, plus la menace virale est grande.

Nous savons également qu’un virus/une menace sous Linux (le cas échéant) aurait des difficultés à s’exécuter ou à se propager s’exécutant en tant qu’utilisateur normal, mais il en va différemment si le virus/la menace s’exécute en tant qu’utilisateur root.

Un exemple de ce danger serait si un virus est caché dans un PPA (intentionnellement ou non) ou si une application a une backdoor plantée intentionnellement (par exemple, Pidgin pourrait secrètement envoyer des mots de passe à une adresse particulière).

Si nous ajoutons un logiciel à partir d'un PPA Launchpad, est-il garanti que le logiciel provient de virus/menaces de porte dérobée gratuits?

47
squallbayu

Chaque script d'installation de paquet a un accès root sur votre système. Le simple fait d'ajouter un PPA ou d'en installer un à partir d'un paquet est donc une déclaration de confiance implicite de la part du propriétaire du PPA.

Alors, que se passe-t-il si votre confiance est mal placée et qu'un propriétaire d'APP veut être méchant?

Pour pouvoir télécharger vers un PPA, un package doit être signé par une clé GPG unique pour l'utilisateur du tableau de bord (en fait, la même clé avec laquelle ils ont signé le code de conduite). Donc, dans le cas d'un PPA malveillant connu, nous interdirions simplement le compte et fermerions le PPA (les systèmes affectés seraient toujours compromis, mais il n'y a pas de bonne façon de les réparer à ce stade).

Dans une certaine mesure, les fonctionnalités sociales de Launchpad peuvent être utilisées comme une mesure préventive des mauvais utilisateurs - une personne ayant déjà contribué à Ubuntu et un certain karma de Launchpad établi, par exemple, sont moins susceptibles de créer un PPA de piège.

Ou que se passe-t-il si quelqu'un acquiert le contrôle d'un APP qui ne lui appartient pas?

C’est un scénario de menace un peu plus dur, mais aussi moins probable, car il faut un attaquant qui récupère le fichier de clé privée des utilisateurs du tableau de bord (généralement uniquement sur leur ordinateur) ainsi que le code de déverrouillage correspondant (généralement un mot de passe fort utilisé pour autre chose). Cependant, si cela se produit, il est généralement assez simple pour quelqu'un de comprendre que son compte a été compromis (Launchpad l'enverra par exemple lui envoyer un courrier électronique au sujet des paquets qu'il n'a pas mis en ligne) et la procédure de nettoyage sera la même.

En résumé, les PPA sont un vecteur possible pour les logiciels malveillants, mais il existe probablement des méthodes beaucoup plus simples pour les attaquants.

37
Scott Ritchie

L’établissement d’un mécanisme (peut-être distribué) d’évaluation de la confiance des PPA figure depuis quelque temps sur la USC , mais il n’a pas encore été mis en œuvre.

8
mgunes

Il n'y a jamais aucune garantie, mais dans un environnement soutenu par la communauté, nous prospérons sur la "croyance". J'ai ajouté au moins 20 PPA à mes sources et je n'ai jamais rencontré de problème jusqu'à présent. Si, par hasard et comme vous l'avez mentionné, un PPA a semé une menace/un virus/une porte dérobée sur mon système, je le saurais d'une certaine manière grâce à la communauté et le supprimerais tout simplement. Et BTW, avant d’ajouter un PPA, je vérifie toujours quels paquets y sont listés.

PS: Pidgin n'envoie jamais les noms d'utilisateur et les mots de passe aux serveurs (et jamais à des tiers!) "en secret". Tout est fait avec le consentement de l'utilisateur. Afin de vous garder connecté en toute transparence, Pidgin ne peut pas vous envoyer de ping à chaque fois qu'il envoie les informations de connexion aux serveurs. Il est attendu que vous l'ayez autorisé à le faire, une fois que vous avez fourni les détails. Je préférerais réfléchir à deux fois avant d'appeler Pidgin une "porte dérobée". :)

6
Srinivas G