Чи безкоштовні шпигунські програми програмного забезпечення Ubuntu Software Center?

У центрі програмного забезпечення Ubuntu є різні розділи для програм

• Надано Ubuntu
• Канонічні партнери
• Для покупки

Я знаю, що все це з відкритим кодом; але чи є якийсь процес перевірки, здійснений компанією Canonical, щоб гарантувати, що вони не містять шпигунських програм чи зловмисних програм ?

Цікаво, що хтось отримає час переглянути всі ці (2355 програм або близько цього часу) програмний код, який теж на кожен реліз !!

Я хвилююся, тому що звичайно встановлюю досить непопулярне програмне забезпечення з програмного центру :)

Чи є процес, щоб переконатися у відсутності зловмисного програмного забезпечення? Ні. Гарантій взагалі немає.

Однак є кілька механізмів, щоб спробувати його виявити, але, хоча я не хочу надто приреченість і похмурість, якщо ми чесні, ти, мабуть, не такий безпечний, як ти хотів би бути.

1. Спершу проект повинен бути доданий до Ubuntu. Як каже Рінцвінд, на цій стадії проводяться перевірки, але це справді лише верхівка айсберга, яка є життя пакету в Ubuntu.

2. Першою реальною лінією захисту для довгострокових пакетів є підтримка їх проектів. Ці люди доглядають за своїми проектами та приймають виправлення, щоб покращити їх. Вони люди. Вони роблять помилки і пропускають речі. А деякі можуть бути ледачими.

   Цілком можливо, що погана людина може проникнути деяку кількість шкідливих програм повз них, включивши справжні вдосконалення разом із шкідливим програмним забезпеченням.

   Якщо щось недобре допущено в проект його технічним обслуговувачем, збережіть успішний аудит, ймовірно, що код виявиться на машинах користувачів Ubuntu.

3. Аудит безпеки - другий крок. Це вивчає код і запускає його проти моніторів, щоб виявити погані речі. Наскільки я знаю, немає офіційної команди Canonical, присвяченої безпеці, але є дві команди громади (Ubuntu Security та MOTU SWAT), які обробляють усі пакети між ними.

   Аудит справді працює лише в тому випадку, якщо кожен рядок коду перевіряється належним чином, перш ніж він виходить для користувачів. Це насправді не практично за кількістю коду та кількістю оновлень, про які ми говоримо. Це знадобило б величезну кількість часу і грошей, щоб зробити це таким чином.

   У світі з відкритим кодом існує припущення, що тільки тому, що хтось може переглядати джерело, він має. Це дуже небезпечний етос для підтримки.

   Виправлення безпеки в основному реагують на людей, які знаходять і розкривають дірки. Що станеться, якщо хтось розкриє дірку, яку вони знайшли?

4. Інші проблеми з повідомленнями "кінцевих користувачів" - це остаточний реальний механізм виявлення, і будьмо чесними, хороші зловмисні програми не дадуть користувачеві знати, що існує проблема, поки не буде занадто пізно, щоб змінити значення. Добре написане зловмисне програмне забезпечення не переверне ваш екран або не вкраде всю вашу пропускну здатність, воно буде сидіти там на задньому плані, записуючи всі ваші банківські реквізити, перш ніж він десь розмістить їх на якомусь анонімному смітнику.

Весь процес залежить від вищезазначених проектів для підтримки власного рівня безпеки. Якщо хтось пропустив щось повз технічне обслуговування калькулятора Gnome, швидше за все, всі його пропустять за лінією. Команда з безпеки також ніколи не підозрює про це.

На щастя, більшість технічних працівників хороші в тому, що роблять. Вони знають свою кодову базу, і якщо вони не розуміють патчі, вони відхилять їх, виходячи з того, що вони недостатньо зрозумілі.

Щодо оцінки ризику, використовуючи щось, що менш популярне, ймовірно менше очей перевіряє код. Але так само, мабуть, менше зобов’язань, тому доки обслуговуючий персонал не лінивий (або злий), у них може бути більше часу для вирішення кожного зобов'язання. Важко точно сказати, на скільки ти ризикуєш. Захист програмного забезпечення з відкритим кодом залежить від спроможних людей, які дивляться на код.

І навпаки, товари із закритим вихідним кодом (у репортажі партнера та купівлі) повністю не піддаються аудиту. Canonical може мати деякий доступ до джерела, але, чесно кажучи, я сумніваюся, що у них є ресурси для ретельного аудиту, навіть якщо вони мали доступ до джерела та хотіли.

Аналогічно з PPA, ви отримуєте дуже невеликий захист, якщо не хочете зануритися в джерело самостійно. Користувачі можуть додавати до вихідного коду все, що їм заманеться, і якщо ви не збираєтеся перевірити це самостійно (і ви здатні виявляти зловмисне програмне забезпечення), ви вівці, оточені вовками. Люди можуть повідомити про погані договори про ЗР, але щось відбувається залежно від того, щоб інші люди перевірили та підтвердили проблему. Якщо на великому сайті (наприклад, OMGUbuntu) рекомендовано PPA (як це часто робиться), у багатьох користувачів можуть виникнути проблеми внизу.

Щоб вирішити цю проблему, нижча частка ринку користувачів Linux означає, що для нас є лише менше програмного забезпечення для пошуку поганого коду. Я ненавиджу це говорити, але, принаймні, з Windows, у вас є десятки компаній, які проводять кожен робочий день, з'ясовуючи, наскільки погано працює програмне забезпечення, як його виявити та як його видалити. Це був ринок, який народився з необхідності, і, хоча я теж ненавиджу це говорити, речі, ймовірно, погіршаться тут, перш ніж вони стануть кращими.

Щодо параноїків із безпеки, я недавно написав коротку статтю: Linux не є вразливим. Не кажіть, що це так. . Пробирання речей у сховище, ймовірно, не буде основним вектором атаки для ашатів, які поширюють зловмисне програмне забезпечення. Набагато ймовірніше (IMO), що вони зіграють на жадібність і дурість користувачів, щоб змусити їх встановлювати заражені .debs.

Так. Пакети перевіряються спільнотою (тому 1 може встановити деяку шкідливу програму, але ця новина швидко пошириться серед усіх користувачів).

Програми повинні дотримуватися дуже суворих правил, викладених у ліцензуванні .

На сторінці вікі для нових пакунків є трохи більше інформації:

Проходить через MOTU

Пакети, яких ще немає в Ubuntu, потребують додаткової перевірки та проходження спеціального огляду, перш ніж вони завантажуються та отримують остаточний огляд адміністратора архіву . Більше інформації про процес перегляду, включаючи критерії, які будуть застосовані, можна знайти на сторінці рецензентів кодів . Розробникам рекомендується вивчити власні пакети, використовуючи ці вказівки, перш ніж надсилати їх на розгляд.

Щоб отримувати звіти про помилки більш високої якості, напишіть гачок для вашого пакета.

Це сказало: загальна ідея така. Якщо ви виявите щось підозріле, повідомте про це на панелі запуску, askubuntu, ubuntuforums і хтось підбере це.

Що може статися, це те, що творець шкідливих програм робить дійсний пакет, приймає його, а потім робить оновлення, яке додає зловмисне програмне забезпечення. Принаймні один з багатьох багатьох завжди це сприймає, і він / вона повідомить про це десь. Це не збирається потрапляти на багато машин таким чином. (зусилля, щоб потрапити на наші машини, занадто багато для потенційної винагороди: орієнтуватись на машини Windows набагато простіше).

Приклад того, що з джмелем відбувається жахливо не так . Хтось пропустив пробіл і / usr видалили ... хтось постраждав, 1 повідомлення попереджає червоними прапорами, і тепер ми всі знаємо. Творець виправляє це (швидше, ніж швидкість світла), але шкоду було завдано декільком системам. І це була помилка, а не навмисна, щоб це могло статися;)

Я припускаю, що ніхто не може вас запевнити. Вам доведеться перевірити, що має статися, щоб пакет, який потрібно додати до індексу пакунків Debian, але я думаю, що ви повинні мати можливість пронести щось зло.

Ви можете налаштувати віртуальну машину та спробувати там програмне забезпечення, а потім переглядати мережевий трафік із чимось на кшталт того, iftopщоб побачити, чи спілкуються ці додатки з дому. Цілком ймовірно, що ви ніколи нічого не побачите, бо це приховано занадто добре.

Open Source не означає безпеку, тільки те, що ви можете подивитися на код, не означає, що хтось це зробив.

Для того, щоб опублікувати код у PPA на панелі запуску, вам потрібно встановити openPGP та створити ключ, приєднаний до адреси електронної пошти. Для підписання пакета вам потрібна копія приватного ключа на локальній машині та пароль (який ніде не зберігається). Якщо в пакеті є проблеми із безпекою, слід знайти автора досить відносно. Я припускаю, що основні сховища для Ubuntu та Debian є принаймні такими безпечними.

Більшість проектів з відкритим кодом мають центральне сховище з захистом принаймні ssh (пароль та / або пара відкритих / приватних ключів). Отримати несанкціонований доступ тут трохи простіше, ніж ppa, але не банально. Системи версій, як правило, записують користувача, який робить кожну фіксацію, і робить її досить легко зрозуміти, що робить комісія.

Завжди можна спробувати щось засунути в пластир, але це ризикована пропозиція. Більшість кодерів не прийме патч, який є занадто великим, щоб легко читати. Якщо вас спіймають, то це майже все.

Залишається довіряти певна сума, тому можливо, що хтось може отримати шпигунське програмне забезпечення в Ubuntu. Можливо, про це нам доведеться турбуватися, якщо частка ринку Ubuntu значно зросте.