it-swarm-ja.com

Launchpad PPAのソフトウェアにウイルスやバックドアの脅威がないという保証はありますか?

Linuxが成長および開発を続けており、Linuxを使用すればするほど、ウイルスによる脅威は大きくなります。

Linuxのウイルス/脅威(存在する場合)が通常のユーザーとして実行されている場合、実行または拡散が困難であることもわかっていますが、ウイルス/脅威がrootユーザーとして実行されている場合は別の話です。

この危険性の例は、PPA内にウイルスが隠れている場合(意図的または意図せず)、またはアプリケーションに意図的にバックドアが埋め込まれている場合(たとえば、Pidginが特定のアドレスにパスワードを密かに送信できる場合)です。

Launchpad PPAからソフトウェアを追加する場合、ソフトウェアが無料のウイルス/バックドア脅威からのものであるという保証はありますか?

47
squallbayu

すべてのパッケージのインストールスクリプトにはシステムへのルートアクセス権があるため、PPAを追加したり、PPAからパッケージをインストールしたりするだけの行為は、PPA所有者側の暗黙の信頼宣言です。

それで、あなたの信頼が誤って置かれ、PPAの所有者がいたずらになりたい場合はどうなりますか?

PPAにアップロードするには、ランチパッドユーザーに固有のGPGキー(実際、行動規範に署名したのと同じキー)でパッケージに署名する必要があります。したがって、既知の悪意のあるPPAの場合、アカウントを単に禁止し、PPAをシャットダウンします(影響を受けるシステムは依然として侵害されますが、とにかくそれらを修正する良い方法はありません)。

ある程度、Launchpadのソーシャル機能は、悪意のあるユーザーの少しの予防手段として使用できます。たとえば、Ubuntuに貢献した歴史があり、Launchpad karmaを確立した人は、トラップPPAを設定する可能性が低くなります。

または、誰かが自分のものではないPPAの制御を取得したらどうなりますか?

まあ、これは脅威シナリオでは少し難しいですが、攻撃者がランチパッドユーザーの秘密キーファイル(通常はコンピューター上のみ)とロック解除コード(通常は強力なパスワードではない)の両方を取得する必要があるため、その他に使用されます)。ただし、これが発生した場合、通常、誰かが自分のアカウントが侵害されていることを把握するのはかなり簡単です(たとえば、Launchpadはアップロードしていないパッケージについて電子メールを送信します)。クリーンアップ手順は同じです。

したがって、要するに、PPAは悪意のあるソフトウェアの媒介となる可能性がありますが、おそらく攻撃者があなたの後に来るより簡単な方法があるでしょう。

37
Scott Ritchie

PPAの信頼評価(おそらく分散)メカニズムの確立は USC ロードマップにしばらくありましたが、まだ実装されていません。

8
mgunes

保証はありませんが、コミュニティに支えられた環境では、「信念」に基づいて繁栄します。少なくとも20のPPAをソースに追加しましたが、これまで問題は発生しませんでした。万が一、おっしゃったように、PPAによって私のシステムに脅威/ウイルス/バックドアが仕掛けられた場合、コミュニティの厚意により、どうにかしてそれを知り、簡単に削除します。 ところで、PPAを追加する前に、どのパッケージがリストされているかを常に確認しています。

PS:Pidginは、ユーザー名とパスワードをサーバーに送信しません(サードパーティにも送信しません)。すべてはユーザーの同意を得て行われます。接続をシームレスに保つために、Pidginはログイン資格情報をサーバーに送信するたびにpingを実行できません。詳細を提供したら、許可することが期待されます。 Pidginを「バックドア」と呼ぶ前に、考え直したいと思います。 :)

6
Srinivas G