Leí en las noticias sobre todo el malware que está infectando el sistema operativo Android. El malware está en la App Store de Google y la gente lo descarga e instala sin saberlo.
Según tengo entendido, es seguro descargar el repositorio principal de Ubuntu (no me infectaré con malware al hacerlo) porque los ingenieros de Canonical revisan el software. Pero ¿qué pasa con otros repositorios, en particular el repositorio Universe? ¿El repositorio Universe recibe algún tipo de revisión para protegerlo del malware? ¿Es aconsejable evitar el repositorio Universe por temor a descargar malware desde él sin saberlo?
He leído que los PPA son particularmente peligrosos porque no se revisan. Sin embargo, supongo que es perfectamente seguro utilizar el PPA de Google Chrome.
Entonces, si no uso nada más que los repositorios Main & Universe y el PPA de Google Chrome, ¿estaré protegido contra la descarga de malware sin saberlo?
Si Ubuntu gana cientos de millones de usuarios como predice Mark Shuttleworth, ¿no se convertirán los PPA de Ubuntu en un problema de malware para Ubuntu como lo es hoy la App Store de Google para Android?
Respuesta1
Todos los repositorios oficiales de Ubuntu (que incluyen todo lo que pueda encontrar en archive.ubuntu.comsus espejos, así como algunos otros) están completamente seleccionados. Esto significa main, restricted, universe, multiverse, así como -updatesy -security. Todos los paquetes allí provienen de Debian (y por lo tanto han sido cargados por un desarrollador de Debian) o han sido cargados por un desarrollador de Ubuntu; en ambos casos el paquete que se carga está autenticado por la firma gpg de quien lo subió.
Por lo tanto, puede confiar en que todos los paquetes de los archivos oficiales han sido cargados por un desarrollador de Debian o Ubuntu. Además, los paquetes que descarga se pueden verificar mediante las firmas gpg en los archivos del repositorio, por lo que puede confiar en que cada paquete que descargue se ha creado en la granja de compilación de Ubuntu a partir de la fuente cargada por un desarrollador de Ubuntu o Debian¹.
Esto hace que el malware sea improbable: alguien en una posición de confianza tendría que cargarlo, y la carga sería fácilmente rastreable hasta esa persona.
Esto deja la cuestión de una maldad más subrepticia. Los desarrolladores upstream podrían poner puertas traseras en software que de otro modo sería útil y estas podrían incluirse en el archivo, en universeo multiverse, dependiendo de la licencia. La gente realiza auditorías de seguridad del archivo de Debian, por lo que si este software se vuelve popular es probable que se descubra la puerta trasera.
Los paquetes maintienen algunas comprobaciones adicionales y reciben más atención por parte del equipo de seguridad de Ubuntu.
Los PPA casi no tienen nada de esto. La garantía que obtiene de un PPA es que los paquetes que descarga se crearon en la infraestructura de compilación de Ubuntu y fueron cargados por alguien con acceso a una de las claves GPG de la cuenta Launchpad del cargador incluido. No hay garantía de que quien sube el contenido sea quien dice ser: cualquiera puede crear un "PPA de Google Chrome". Debe determinar la confianza de alguna otra manera para los PPA.
¹: Esta cadena de confianza podría romperse mediante una intrusión extensa en la infraestructura de Ubuntu, pero eso es cierto para cualquier sistema. El compromiso de la clave gpg de un desarrollador también permitiría a un black-hat cargar paquetes en el archivo, pero dado que el archivo envía un correo electrónico a quien subió cada paquete, esto debería notarse rápidamente.
Respuesta2
Todos los paquetes en los repositorios de Ubuntu antes de ser cargados son verificados y revisados por MOTU (Masters of the Universe). Los MOTU son las almas valientes que mantienen en forma los componentes del Universo y Multiverso de Ubuntu. Son miembros de la comunidad que dedican su tiempo a agregar, mantener y respaldar tanto como sea posible el software que se encuentra en Universe. Por lo tanto, no hay posibilidades de que estos paquetes entren en su computadora y roben sus datos. Sin embargo, estos paquetes pueden tener errores de seguridad que son fallas encontradas en el software. También hay algunos programas de seguridad disponibles en Ubuntu (por ejemplo, registradores de claves), pero estos paquetes no robarán sus datos (a menos que alguien los haya instalado intencionalmente en su computadora).
Espero que esto ayude. Ver la página wiki de UbuntuMOTUpara más información.
Respuesta3
Permanecer en los repositorios Main y Universe es muy seguro, al igual que los PPA si son especialmente populares (la mayor parte del tiempo), o si sabes que van a ser seguros (como el PPA de Google Chrome. Dudo que Google lo haga). coloque cualquier tipo de malware en él). Si usa Main, Universe y su PPA de Google Chrome, estará a salvo.
Si Ubuntu gana una gran cantidad de usuarios, entonces sí, probablemente habrá más malware. Sin embargo, no creo que haya suficiente para ser un problema real.