Jak rozpoznać szkodliwe pakiety AUR

11

Jak rozpoznać, czy pakiet instalowany przez yaourt na Arch Linuxie może być szkodliwy dla mojego komputera? Przeczytałem na wiki, że powinienem sprawdzać każdą instalację, którą zrobię z tobą. Ale co dokładnie muszę sprawdzić i jak rozpoznać złośliwe pakiety?

arch-linux security yaourt lup3x
źródło
Powinieneś używać oficjalnych pakietów bez AUR. Nie ma gwarancji, ponieważ każdy może przesłać cokolwiek do AUR, wymagana jest tylko rejestracja. Sprawdź komentarze i głosy pakietów AUR, może to dobry punkt wyjścia.
uzsolt
Instrukcja wiki polega na przeczytaniu PKGBUILD przed kontynuowaniem instalacji ...
jasonwryan 11.11.2013
3
@uzsolt To trochę śmieszne: w AUR znajduje się wiele świetnych pakietów, z których niektóre zostały przeniesione z oficjalnych repozytoriów. Korzystanie z pakietów AUR w zasadzie jest w porządku; ważne jest zrozumienie tego, co instalujesz.
jasonwryan
1
Jest to bez wątpienia, ale skąd ktokolwiek może wiedzieć, że aur-fooopakowanie jest szkodliwe, czy nie. Czy istnieje ogólna reguła lub algorytm? Myślę, że nie. A czytanie PKGBUILD nie wystarczy - pomyśl, że zainstaluje szkodliwy program C. Czy czytasz pełny kod źródłowy przed instalacją? Myślę, że powinien sprawdzić komentarze (dotyczące raportów, ostrzeżeń) i głosów (jeśli jest wiele głosów, nie wydaje się to takie złe). Używam wielu pakietów AUR i myślę, że większość z nich jest dobra. Ale ... diabeł nigdy nie śpi :)
uzsolt

Odpowiedzi:

7

Nie można tak naprawdę nie przeprowadzić obszernego audytu kodu i obserwować go w akcji „z zewnątrz”, na przykład za pomocą maszyny wirtualnej. Nie ma kuloodpornego sposobu na znalezienie szkodliwych pakietów, a na pewno nie ma zautomatyzowanego sposobu, którego nie można by stosunkowo łatwo obejść. Niektóre rzeczy, które możesz realistycznie zrobić, z których żadna nie jest srebrnymi kulami:

  • Pobierz pakiet, rozpakuj go ( nie instaluj!) I uruchom sprawdzanie wirusów na rozpakowanych plikach. Może to znaleźć pewne znane problemy, ale nie ukierunkowane lub niestandardowe włamania.
  • Przed użyciem należy zainstalować go na maszynie wirtualnej i sprawdzić, czy nie robi niczego „podejrzanego”, takiego jak dotykanie plików, których nie powinien, komunikowanie się z serwerami zewnętrznymi, samodzielne uruchamianie procesów demona itp. Oczywiście, może robić takie rzeczy w określonym czasie, na przykład po uruchomieniu przez X godzin i nie ma możliwości, abyś wiedział bez szczegółowej kontroli kodu. Detektory rootkitów mogą zautomatyzować niektóre z nich.
  • Zainstaluj w ograniczonym środowisku. SELinux, więzienia chroot, maszyny wirtualne, osobne odłączone maszyny i wiele innych rzeczy może zawierać różne rodzaje problematycznego oprogramowania, od zwykłego złego do aktywnie złośliwego.
  • Wartościowe (ale nie tajne) dane można umieszczać na osobnych serwerach z dostępem tylko do odczytu dla niezaufanego komputera.
  • Tajne dane powinny zostać umieszczone na maszynie, która jest nieosiągalna z niezaufanego komputera. Każda komunikacja powinna być ręcznym kopiowaniem za pomocą nośników wymiennych.

Wreszcie jedynym bezpiecznym oprogramowaniem nie jest oprogramowanie. Czy na pewno musisz zainstalować oprogramowanie, któremu nie ufasz? Czy nie ma dobrze znanej, zaufanej alternatywy?

l0b0
źródło
Cóż, po prostu śledziłem wpisy wiki dla Xflux i Sun JDK. Czy jest twój przewodnik dla każdego wpisu AUR, czy mogę ufać pakietom, które zawierają obszerny artykuł wiki.archlinux?
lup3x
4
Nikt nie może powiedzieć, komu zaufać. Nikt nie wie komu zaufać. Wszystko, co możesz zrobić, to zadzwonić na podstawie własnego doświadczenia, porady osób, którym ufasz, popularności pakietu lub innej heurystyki, którą uważasz za wystarczającą.
l0b0
Dzięki, będę o tym pamiętać podczas instalowania nowych pakietów
lup3x
2
Nie jestem pewien, czy mam ufać radom @ l0b0.
Sparhawk
1
@Sparhawk Dobrze, przecież jesteśmy w Internecie, a komu zaufać musi być osobista decyzja.
l0b0
3

Jak wspomniano wcześniej, nie możesz być tego pewien.

Jedną z głównych heurystyk, z których osobiście korzystam, są:

Gdybym miał zamiar zainstalować to ręcznie, i tak pobrałbym go z spotify.com, więc w moich książkach jest to w porządku. Krótkie przeglądanie reszty PKGBUILD i wydaje się, że nie robi to nic oczywistego. Oczywiście są sposoby, aby być podstępnym, ale myślę, że głównym celem każdego złośliwego kodu w AUR będą ludzie używający twojego itp., Którzy zwykle nie czytają PKGBUILD przed zainstalowaniem oprogramowania i nie zauważyliby problemu, nawet gdyby było to oczywiste .

kellpossible
źródło