Como reconhecer pacotes AUR prejudiciais

11

Como reconheço se um pacote instalado via yaourt no arch linux pode ser prejudicial ao meu pc? Eu li no wiki que devo verificar todas as instalações que faço com você. Mas o que exatamente eu tenho que verificar e como reconheço pacotes maliciosos?

arch-linux security yaourt lup3x
fonte
Você deve usar pacotes oficiais sem o AUR. Não há garantia, pois qualquer pessoa pode enviar algo para o AUR, apenas um registro necessário. Verifique os comentários e votos dos pacotes AUR, talvez seja um bom ponto de partida.
uzsolt
A instrução wiki é ler o PKGBUILD antes de prosseguir com a instalação ...
jasonwryan
3
@uzsolt Isso é um pouco ridículo: existem muitos pacotes excelentes no AUR, alguns dos quais foram transferidos dos repositórios oficiais. Usar pacotes AUR, em princípio, é bom; o importante é entender o que você está instalando.
jasonwryan
1
É sem dúvida, mas como alguém pode saber que o aur-foopacote é prejudicial ou não. Existe uma regra geral ou algoritmo? Eu acho que não. E a leitura de PKGBUILD não é suficiente - pense que instalará um programa C prejudicial. Você leu o código fonte completo antes da instalação? Eu acho que deveria checar os comentários (sobre relatórios, avisos) e os votos (se houver muitos votos, não parece tão ruim). Estou usando muitos pacotes AUR e acho que a maioria deles é boa. Mas ... o diabo nunca dorme :)
uzsolt

Respostas:

7

Você não pode, na verdade, sem fazer uma extensa auditoria do código e observá-lo em ação "de fora", por exemplo, usando uma máquina virtual. Não existe uma maneira à prova de balas para encontrar pacotes maliciosos, e certamente nenhuma maneira automatizada que não possa ser contornada com relativa facilidade. Algumas coisas que você pode fazer realisticamente , nenhuma das quais são balas de prata:

  • Baixe o pacote, descompacte-o ( não o instale!) E execute uma verificação de vírus nos arquivos descompactados. Isso pode encontrar alguns problemas conhecidos, mas não hacks direcionados ou personalizados.
  • Antes de usá-lo, instale-o em uma máquina virtual e verifique se não faz nada "suspeito", como tocar em arquivos que não deveriam, comunicar-se com servidores externos, iniciar processos daemon por conta própria, etc. É claro, poderia estar fazendo coisas assim em uma base cronometrada, por exemplo, depois de executar X horas, e não há como você saber sem uma inspeção detalhada do código. Os detectores de rootkit podem automatizar parte disso.
  • Instale em um ambiente restrito. O SELinux, cadeias de chroot, máquinas virtuais, máquinas desconectadas separadas e muitas outras coisas podem conter diferentes tipos de software problemático, do mal simples ao mal-intencionado.
  • Dados valiosos (mas não secretos) podem ser colocados em servidores separados com acesso somente leitura concedido à máquina não confiável.
  • Dados secretos devem ser colocados em uma máquina inacessível da máquina não confiável. Qualquer comunicação deve ser cópias manuais via mídia removível.

Finalmente, o único software seguro não é software. Tem certeza de que precisa instalar um software em que não confia? Não existe uma alternativa conhecida e confiável?

l0b0
fonte
Bem, eu apenas segui as entradas do wiki para o xflux e o sun JDK. É o seu guia para todas as entradas do AUR ou posso confiar nos pacotes que possuem um extenso artigo wiki.archlinux?
Lup3x
4
Ninguém pode lhe dizer em quem confiar. Ninguém sabe em quem confiar. Tudo o que você pode fazer é fazer um julgamento com base em sua própria experiência, nos conselhos de pessoas em quem confia, na popularidade do pacote ou em qualquer outra heurística que você julgue suficiente.
l0b0
Obrigado, vou ter isso em mente ao instalar novos pacotes
lup3x 11/11/13
2
Não tenho certeza se confio no conselho de @ l0b0.
Sparhawk 03/02
1
@ Sparhawk Bom, estamos na Internet, afinal, e em quem confiar deve ser uma decisão pessoal.
L0b0 03/02
3

Como mencionado anteriormente, você não pode ter certeza.

Uma das principais heurísticas que eu pessoalmente uso são:

Se eu tentasse instalar isso manualmente, estaria baixando-o do spotify.com de qualquer maneira, então está tudo bem nos meus livros. Uma breve leitura do resto do PKGBUILD e não parece estar fazendo nada obviamente incomum. É claro que existem maneiras de ser sorrateiras, mas acho que o principal alvo de qualquer código malicioso no AUR seria as pessoas que usam yaourt, etc. .

kellpossible
fonte