Ich habe in den Nachrichten von der ganzen Malware gelesen, die das Android-Betriebssystem infiziert. Die Malware befindet sich im App Store von Google und die Leute laden sie unwissentlich herunter und installieren sie.
So wie ich das verstehe, kann ich sicher aus dem Main-Repository von Ubuntu herunterladen (ich werde dabei nicht mit Malware infiziert), da die Software von den Ingenieuren von Canonical geprüft wird. Aber was ist mit anderen Repos, insbesondere dem Universe-Repository? Wird das Universe-Repo in irgendeiner Form geprüft, um es vor Malware zu schützen? Ist es ratsam, das Universe-Repo zu meiden, aus Angst, unwissentlich Malware daraus herunterzuladen?
Ich habe gelesen, dass PPAs besonders gefährlich sind, weil sie nicht überprüft werden. Ich gehe jedoch davon aus, dass die Verwendung des Google Chrome PPA vollkommen sicher ist.
Bin ich also vor dem unwissentlichen Herunterladen von Malware geschützt, wenn ich nur die Main- und Universe-Repositorys und Google Chrome PPA verwende?
Wenn Ubuntu tatsächlich Hunderte Millionen Benutzer gewinnt, wie Mark Shuttleworth vorhersagt, werden dann die Ubuntu-PPAs nicht zu einem Malware-Problem für Ubuntu, so wie es heute der App Store von Google für Android ist?
Antwort1
Alle offiziellen Ubuntu-Repositories (einschließlich allem, was Sie auf archive.ubuntu.comoder dessen Spiegeln sowie einigen anderen finden können) werden vollständig kuratiert. Dies bedeutet main, restricted, universe, multiverse, sowie -updatesund -security. Alle Pakete darin stammen entweder von Debian (und wurden daher von einem Debian-Entwickler hochgeladen) oder wurden von einem Ubuntu-Entwickler hochgeladen; in beiden Fällen wird das hochgeladene Paket durch die GPG-Signatur des Uploaders authentifiziert.
Sie können daher darauf vertrauen, dass jedes Paket in den offiziellen Archiven entweder von einem Debian- oder Ubuntu-Entwickler hochgeladen wurde. Darüber hinaus können die heruntergeladenen Pakete anhand der GPG-Signaturen der Dateien im Repository verifiziert werden. Sie können also darauf vertrauen, dass jedes heruntergeladene Paket auf der Ubuntu-Build-Farm aus der Quelle erstellt wurde, die von einem Ubuntu- oder Debian-Entwickler hochgeladen wurde¹.
Dies macht es unwahrscheinlich, dass es sich direkt um Schadsoftware handelt. Sie müsste von einer vertrauenswürdigen Person hochgeladen werden, und der Upload wäre leicht zu dieser Person zurückzuführen.
Bleibt die Frage nach heimlicheren Machenschaften. Upstream-Entwickler könnten Hintertüren in ansonsten nützliche Software einbauen und diese könnten ins Archiv gelangen – in universeoder multiverse, je nach Lizenz. Es werden Sicherheitsüberprüfungen des Debian-Archivs durchgeführt, wenn diese Software also populär würde, wäre es wahrscheinlich, dass die Hintertür entdeckt würde.
Die enthaltenen Pakete mainwerden zusätzlichen Überprüfungen unterzogen und erhalten mehr Aufmerksamkeit vom Ubuntu-Sicherheitsteam.
PPAs haben fast nichts davon. Die Garantie, die Sie von einem PPA erhalten, ist, dass die Pakete, die Sie herunterladen, auf der Ubuntu-Build-Infrastruktur erstellt und von jemandem hochgeladen wurden, der Zugriff auf einen der GPG-Schlüssel des Launchpad-Kontos des aufgeführten Uploaders hat. Es gibt keine Garantie, dass der Uploader derjenige ist, für den er sich ausgibt – jeder könnte ein „Google Chrome PPA“ erstellen. Sie müssen das Vertrauen für PPAs auf andere Weise bestimmen.
¹: Diese Vertrauenskette könnte durch einen umfangreichen Eingriff in die Ubuntu-Infrastruktur unterbrochen werden, aber das gilt für jedes System. Der Kompromiss des GPG-Schlüssels eines Entwicklers würde es einem Black-Hat auch ermöglichen, Pakete in das Archiv hochzuladen, aber da das Archiv dem Uploader jedes Pakets eine E-Mail sendet, sollte dies schnell bemerkt werden.
Antwort2
Alle Pakete in Ubuntu-Repositories werden vor dem Hochladen von MOTUs (Masters of the Universe) geprüft und überprüft. MOTUs sind die tapferen Seelen, die die Universe- und Multiverse-Komponenten von Ubuntu in Schuss halten. Sie sind Community-Mitglieder, die ihre Zeit damit verbringen, die in Universe enthaltene Software so weit wie möglich hinzuzufügen, zu pflegen und zu unterstützen. Daher besteht keine Gefahr, dass diese Pakete in Ihren Computer eindringen und Ihre Daten stehlen. Diese Pakete können jedoch Sicherheitslücken aufweisen, also Fehler, die in der Software gefunden wurden. In Ubuntu ist auch einige sicherheitsgefährdende Software verfügbar (z. B. Keylogger), aber diese Pakete stehlen Ihre Daten nicht (es sei denn, jemand hat sie absichtlich auf Ihrem Computer installiert).
Hoffe, das hilft. Siehe die Ubuntu-Wiki-SeiteMOTUfür mehr Informationen.
Antwort3
Es ist sehr sicher, bei den Main- und Universe-Repositories zu bleiben. Das Gleiche gilt für PPAs, wenn diese besonders beliebt sind (meistens) oder Sie wissen, dass sie sicher sind (wie das Google Chrome PPA. Ich bezweifle, dass Google dort Malware installieren würde.) Wenn Sie Main, Universe und Ihr Google Chrome PPA verwenden, sind Sie sicher.
Wenn Ubuntu massenhaft neue Benutzer hat, wird es wahrscheinlich mehr Malware geben. Ich glaube allerdings nicht, dass es genug sein wird, um ein echtes Problem darzustellen.