Quais repositórios Ubuntu são totalmente seguros e livres de malware?

13

Eu li nas notícias sobre todo o malware que está infectando o sistema operacional Android. O malware está na App Store do Google e as pessoas estão baixando e instalando sem saber.

Pelo que entendi, o repositório principal do Ubuntu é seguro para download (não vou ser infectado por malware), porque os engenheiros da Canonical revisam o software. Mas e quanto a outros repositórios, principalmente o repositório Universe? O repositório Universe recebe algum tipo de revisão para proteger contra malware? É aconselhável evitar o repositório do Universe por medo de baixar malware sem saber dele?

Eu li que os PPAs são particularmente perigosos porque não são revisados. No entanto, suponho que seja perfeitamente seguro usar o PPA do Google Chrome.

Portanto, se eu não usar nada além dos repositórios Main & Universe e do Google Chrome PPA, estarei protegido contra downloads de malware sem saber?

Se o Ubuntu ganhar centenas de milhões de usuários, como prevê Mark Shuttleworth, os PPAs do Ubuntu não se tornarão o problema de malware para o Ubuntu, como a App Store do Google é hoje para o Android?

repository usuario
fonte
4
Você parece fazer várias perguntas. Este site funciona melhor com uma pergunta de cada vez. Você pode reescrever sua pergunta em uma única pergunta ou dividi-la em várias.
NN
Bem, antes de tudo, o Android = / = Ubuntu e, em seguida, se você estiver adicionando um PPA, você sabe o motivo pelo qual está fazendo isso; portanto, você sabe o que há nele, portanto o sistema operacional é tão seguro enquanto você sabe o que está instalando.
Uri Herrera
Você pode confiar em todos os pacotes que eles não invadirão ou danificarão seu computador.
Alvar

Respostas:

19

Todos os repositórios oficiais do Ubuntu (incluindo tudo o que você pode encontrar archive.ubuntu.comou seus espelhos, além de outros) são totalmente selecionados. Isto significa main, restricted, universe, multiverse, bem como -updatese -security. Todos os pacotes lá vieram do Debian (e, portanto, foram carregados por um desenvolvedor Debian) ou foram carregados por um desenvolvedor Ubuntu; nos dois casos, o pacote enviado é autenticado pela assinatura gpg do remetente.

Portanto, você pode confiar que todos os pacotes nos arquivos oficiais foram carregados por um desenvolvedor Debian ou Ubuntu. Além disso, os pacotes que você baixa podem ser verificados pelas assinaturas gpg nos arquivos no repositório, para que você possa confiar que cada pacote baixado foi criado no farm de desenvolvimento do Ubuntu a partir da fonte que foi carregada por um desenvolvedor do Ubuntu ou Debian¹.

Isso torna improvável o malware definitivo - alguém em uma posição de confiança precisaria carregá-lo e o carregamento seria facilmente rastreável a eles.

Isso deixa a questão de mais nefasta clandestinidade. Os desenvolvedores upstream poderiam colocar backdoors em softwares úteis que poderiam ser incluídos no arquivo - dentro universeou multiverse, dependendo da licença. As pessoas executam auditorias de segurança do arquivo Debian, portanto, se esse software se tornar popular, é provável que o backdoor seja descoberto.

Os pacotes maintêm uma verificação extra e recebem mais amor da equipe de segurança do Ubuntu.

Os CAE não têm quase nada disso. A garantia que você obtém de um PPA é que os pacotes baixados foram criados na infraestrutura de compilação do Ubuntu e foram carregados por alguém com acesso a uma das chaves GPG da conta do Launchpad do remetente listado. Não há garantia de que o remetente seja quem eles dizem ser - qualquer um poderia fazer um "Google Chrome PPA". Você precisa determinar a confiança de outra maneira para os PPAs.

Nota: Essa cadeia de confiança pode ser interrompida por uma extensa intrusão na infraestrutura do Ubuntu, mas isso é verdade para qualquer sistema. O comprometimento da chave gpg de um desenvolvedor também permitiria que um chapéu preto enviasse pacotes para o arquivo morto, mas como o arquivo é enviado por e-mail ao remetente de cada pacote, isso deve ser percebido rapidamente.

RAOF
fonte
Note-se que o Google mantém um repo do Google Chrome, e o Google é uma empresa bastante confiável.
precisa
@ThomasBoxley XD
Solo
@ Sololo Ima Retiro em retrospecto.
Thomas Boxley
8

Todos os pacotes nos repositórios do Ubuntu antes de serem enviados são verificados e revisados ​​pelo MOTUs (Masters of the Universe). MOTUs são as almas corajosas que mantêm os componentes Universo e Multiverso do Ubuntu em forma. Eles são membros da comunidade que gastam seu tempo adicionando, mantendo e suportando o máximo possível o software encontrado no Universe. Portanto, não há chances desses pacotes invadirem seu computador e roubarem seus dados. No entanto, esses pacotes podem ter bugs de segurança que são falhas encontradas no software. Além disso, alguns softwares de segurança estão disponíveis no Ubuntu (por exemplo, key loggers), mas esses pacotes não roubam seus dados (a menos que alguém os tenha intencionalmente instalado no seu computador).

Espero que isto ajude. Veja a página wiki do Ubuntu MOTU para mais informações.

Vibhav Pant
fonte
2

Permanecer nos repositórios Principal e do Universo é muito seguro, assim como os PPAs, se forem especialmente populares (na maioria das vezes), ou você sabe que eles serão seguros (como o PPA do Google Chrome. Duvido que o Google o faria coloque qualquer tipo de malware nele.) Se você usa Main, Universe e seu Google Chrome PPA, estará seguro.

Se o Ubuntu ganhar muitos usuários, então sim, provavelmente haverá mais malware. Eu não acho que seria o suficiente para haver um problema real.

Thomas Boxley
fonte