Я читал в новостях о вредоносном ПО, которое заражает ОС Android. Вредоносное ПО находится в App Store Google, и люди неосознанно скачивают и устанавливают его.
Насколько я понимаю, главный репозиторий Ubuntu безопасен для загрузки (я не буду заражен вредоносным ПО, делая это), поскольку инженеры Canonical проверяют программное обеспечение. Но как насчет других репозиториев, в частности, репозитория Universe? Проходит ли репозиторий Universe какую-либо проверку для защиты от вредоносного ПО? Стоит ли избегать репозитория Universe из-за страха неосознанно загрузить из него вредоносное ПО?
Я читал, что PPA особенно опасны, потому что они не проверяются. Я предполагаю, что использовать Google Chrome PPA совершенно безопасно.
Итак, если я буду использовать только репозитории Main и Universe, а также Google Chrome PPA, буду ли я защищен от непреднамеренной загрузки вредоносного ПО?
Если Ubuntu действительно наберет сотни миллионов пользователей, как предсказывает Марк Шаттлворт, не станут ли Ubuntu PPA проблемой вредоносного ПО для Ubuntu, как сегодня App Store от Google для Android?
решение1
Все официальные репозитории Ubuntu (включая все, что вы можете найти на archive.ubuntu.comили его зеркалах, а также некоторые другие) полностью курируются. Это означает main, restricted, universe, multiverse, а также -updatesи -security. Все пакеты в них либо пришли из Debian (и поэтому были загружены разработчиком Debian), либо были загружены разработчиком Ubuntu; в обоих случаях загружаемый пакет аутентифицируется подписью gpg загрузчика.
Поэтому вы можете быть уверены, что каждый пакет в официальных архивах был загружен разработчиком Debian или Ubuntu. Кроме того, загружаемые вами пакеты могут быть проверены подписями gpg на файлах в репозитории, поэтому вы можете быть уверены, что каждый загружаемый вами пакет был собран на ферме сборки Ubuntu из источника, загруженного разработчиком Ubuntu или Debian¹.
Это делает маловероятным появление вредоносного ПО — загрузить его мог бы кто-то, занимающий доверенное положение, и его можно было бы легко отследить.
Это оставляет вопрос о более скрытой подлости. Разработчики апстрима могли бы вставлять бэкдоры в в остальном полезное ПО, и они могли бы попасть в архив — в universeили multiverse, в зависимости от лицензии. Люди проводят аудит безопасности архива Debian, поэтому если бы это ПО стало популярным, то, скорее всего, бэкдор был бы обнаружен.
Пакеты mainпроходят дополнительную проверку и получают больше внимания от команды безопасности Ubuntu.
В PPA этого почти нет. Гарантия, которую вы получаете от PPA, заключается в том, что загружаемые вами пакеты были созданы на инфраструктуре сборки Ubuntu и были загружены кем-то, имеющим доступ к одному из ключей GPG учетной записи Launchpad указанного загрузчика. Нет никакой гарантии, что загрузчик тот, за кого себя выдает — любой может создать «Google Chrome PPA». Вам нужно определить доверие к PPA каким-то другим способом.
¹: Эта цепочка доверия может быть нарушена обширным вторжением в инфраструктуру Ubuntu, но это справедливо для любой системы. Компрометация ключа gpg разработчика также позволит черному хакеру загружать пакеты в архив, но поскольку архив отправляет электронное письмо загрузчику каждого пакета, это должно быть быстро замечено.
решение2
Все пакеты в репозиториях Ubuntu перед загрузкой проверяются и рассматриваются MOTU (Мастерами Вселенной). MOTU — это храбрецы, которые поддерживают компоненты Ubuntu Universe и Multiverse в форме. Они являются членами сообщества, которые тратят свое время на добавление, обслуживание и поддержку как можно большего количества программного обеспечения, найденного в Universe. Поэтому нет никаких шансов, что эти пакеты проникнут в ваш компьютер и украдут ваши данные. Однако эти пакеты могут иметь ошибки безопасности, которые являются недостатками, обнаруженными в программном обеспечении. Также в Ubuntu доступно некоторое программное обеспечение, обеспечивающее безопасность (например, кейлоггеры), но эти пакеты не будут красть ваши данные (если только кто-то намеренно не установил их на ваш компьютер).
Надеюсь, это поможет. Смотрите страницу Ubuntu wikiМОТУЧтобы получить больше информации.
решение3
Использование репозиториев Main и Universe очень безопасно, как и PPA, если они особенно популярны (большую часть времени) или вы знаете, что они будут безопасными (например, Google Chrome PPA. Я сомневаюсь, что Google поместит туда какое-либо вредоносное ПО). Если вы используете Main, Universe и Google Chrome PPA, вы будете в безопасности.
Если Ubuntu наберет массу пользователей, то да, вероятно, будет больше вредоносного ПО. Я не думаю, что их будет достаточно, чтобы стать реальной проблемой.