Apakah program-program di Ubuntu Software Center bebas spyware?

35

Di pusat Perangkat Lunak Ubuntu ada bagian yang berbeda untuk program

  • Disediakan oleh Ubuntu
  • Mitra Canonical
  • Untuk membeli

Saya tahu semua ini adalah open-source; tetapi apakah ada proses validasi yang dilakukan oleh Canonical untuk memastikan bahwa mereka bebas dari spyware atau malware ?

Saya bertanya-tanya apakah ada yang punya waktu untuk melihat semua ini (2.355 program atau lebih seperti sekarang), kode perangkat lunak itu juga untuk setiap rilis !!

Saya khawatir karena saya secara rutin menginstal perangkat lunak yang agak tidak populer dari pusat perangkat lunak :)

software-installation software-center AIB
sumber
1
Perangkat lunak "Untuk Pembelian" bukan open source, jika tidak orang tidak perlu membelinya. Dan Perangkat Lunak Mitra tidak selalu open source, Skype tidak terbuka misalnya
Martin Ueding
8
@queueoverflow dimungkinkan untuk menagih perangkat lunak sumber terbuka.
dv3500ea
3
@queueoverflow: qtiplot akan menjadi salah satu contoh, biaya untuk binari dan kontrak dukungan, Anda dapat mengkompilasi sendiri secara gratis. :-)
Christoph
2
Yah saya tidak berpikir saat ini ada perangkat lunak open source di bagian For Purchase tetapi mungkin ada di masa depan.
dv3500ea
1
@ christoph: Saya berasumsi kebanyakan orang tidak tahu cara mengompilasinya, jadi masuk akal untuk menanganinya seperti itu.
Martin Ueding

Jawaban:

27

Apakah ada proses untuk memastikan tidak ada malware? Tidak. Tidak ada jaminan sama sekali.

Namun, ada beberapa mekanisme untuk mencoba dan mendeteksinya, tetapi sementara saya tidak ingin terlalu buruk, jika kita jujur, Anda mungkin tidak seaman yang Anda inginkan.

  1. Proyek pertama harus ditambahkan ke Ubuntu. Seperti yang dikatakan Rinzwind, pemeriksaan dilakukan pada tahap ini, tetapi itu hanyalah puncak gunung es yang merupakan umur paket di Ubuntu.

  2. Garis pertahanan nyata pertama untuk paket jangka panjang adalah pengelola proyek mereka. Orang-orang ini menjaga proyek mereka dan menerima tambalan untuk memperbaikinya. Mereka adalah manusia. Mereka membuat kesalahan dan kehilangan banyak hal. Dan beberapa mungkin malas.

    Ada kemungkinan bahwa orang jahat dapat menyelinap beberapa malware melewatinya dengan memasukkan perbaikan asli bersama dengan malware tersebut.

    Jika sesuatu yang buruk dimasukkan ke dalam proyek oleh pengelolanya, simpan audit yang berhasil, kemungkinan kode itu akan berakhir di mesin pengguna Ubuntu.

  3. Audit keamanan adalah langkah kedua. Ini sedang memeriksa kode dan menjalankannya melawan monitor untuk mendeteksi hal-hal buruk. Sejauh yang saya tahu, tidak ada tim Canonical resmi yang didedikasikan untuk keamanan tetapi ada dua tim komunitas (Ubuntu Security dan MOTU SWAT) yang menangani semua paket di antara mereka.

    Audit hanya benar-benar berfungsi jika setiap baris kode diperiksa dengan benar sebelum keluar ke pengguna. Ini tidak terlalu praktis untuk jumlah kode dan jumlah pembaruan yang sedang kita bicarakan. Dibutuhkan banyak waktu dan uang untuk melakukannya dengan cara ini.

    Ada asumsi di dunia open source bahwa hanya karena seseorang dapat melihat sumbernya, mereka memilikinya. Ini adalah etos yang sangat berbahaya untuk dipertahankan.

    Perbaikan keamanan sebagian besar bersifat reaksioner terhadap orang yang menemukan dan mengungkapkan lubang. Apa yang terjadi jika seseorang membuka lubang yang mereka temukan?

  4. Masalah pelaporan "pengguna akhir" lainnya adalah mekanisme pendeteksian akhir yang sebenarnya dan mari kita jujur, malware yang baik tidak akan membiarkan pengguna tahu ada masalah sampai terlambat untuk membuat perbedaan. Malware yang ditulis dengan baik tidak akan membalik layar Anda atau mencuri semua bandwidth Anda, itu akan duduk di sana di latar belakang, mencatat semua detail perbankan Anda sebelum mempostingnya semua ke tempat pembuangan anonim di suatu tempat.

Seluruh proses tergantung pada proyek-proyek hulu untuk mempertahankan tingkat keamanan mereka sendiri. Jika seseorang menyelipkan sesuatu melewati pengelola kalkulator Gnome, kemungkinan itu akan terlewatkan oleh orang lain di telepon. Tim keamanan tidak akan pernah curiga.

Untungnya, sebagian besar pemelihara bagus dalam hal apa yang mereka lakukan. Mereka tahu basis kode mereka dan jika mereka tidak memahami tambalan, mereka akan menolaknya atas dasar bahwa mereka tidak cukup jelas.

Dalam hal penilaian risiko, dengan menggunakan sesuatu yang jauh kurang populer, ada kemungkinan lebih sedikit mata yang memeriksa kode. Namun demikian, kemungkinan ada lebih sedikit komitmen, sehingga selama pengelola tidak malas (atau jahat), mereka mungkin memiliki lebih banyak waktu untuk berurusan dengan setiap komitmen. Sulit untuk mengatakan dengan tepat seberapa besar risiko yang Anda hadapi. Keamanan perangkat lunak sumber terbuka bergantung pada orang yang mampu melihat kode.

Sebaliknya, item sumber tertutup (dalam mitra dan repo pembelian) sepenuhnya tidak diaudit oleh komunitas. Canonical mungkin memiliki beberapa akses sumber, tetapi terus terang saya ragu mereka memiliki sumber daya untuk memberikan hal-hal audit yang menyeluruh bahkan jika mereka memiliki akses sumber dan ingin.

Demikian pula dengan PPA, Anda mendapatkan perlindungan yang sangat sedikit kecuali jika Anda ingin menyelami sumbernya sendiri. Pengguna dapat menambahkan apa pun yang mereka suka ke kode sumber dan kecuali Anda akan memeriksanya sendiri (dan Anda mampu mendeteksi malware), Anda adalah domba yang dikelilingi oleh serigala. Orang-orang dapat melaporkan PPA yang buruk tetapi sesuatu terjadi tergantung pada orang lain yang memeriksa dan mengkonfirmasi masalah tersebut. Jika situs besar (mis. OMGUbuntu) merekomendasikan PPA (seperti yang sering mereka lakukan), banyak pengguna mungkin memiliki masalah di telepon.

Untuk memperparah masalah, pangsa pasar yang lebih rendah dari pengguna Linux berarti hanya ada sedikit perangkat lunak yang tersedia untuk kita memburu kode buruk. Saya benci mengatakannya, tetapi setidaknya dengan Windows, Anda memiliki lusinan perusahaan yang menghabiskan setiap hari kerja, mencari tahu seberapa buruk perangkat lunak bekerja, cara mendeteksi dan cara menghapusnya. Itu adalah pasar yang lahir dari kebutuhan dan sementara saya benci mengatakan ini juga, hal-hal mungkin akan menjadi lebih buruk di sini sebelum mereka menjadi lebih baik.

Untuk paranoid keamanan, saya menulis artikel singkat beberapa waktu yang lalu: Linux tidak kebal. Jangan katakan itu. . Menyelinap hal-hal ke dalam repositori mungkin tidak akan menjadi vektor serangan utama untuk para pembunuh yang mendistribusikan malware. Ini jauh lebih mungkin (IMO) bahwa mereka akan bermain pada keserakahan dan kebodohan pengguna untuk membuat mereka menginstal. Deb yang terinfeksi.

Oli
sumber
3
Hal yang baik tentang repositori yang diperiksa adalah bahwa mereka umumnya pesanan yang besarnya lebih aman daripada instalasi perangkat lunak dalam model non-repositori, seperti menginstal apa pun dari exe. Jadi, ya, Anda tidak pernah aman. Tetapi umumnya Anda mungkin aman.
Kzqai
Apakah Anda bermaksud menulis Apa yang terjadi jika seseorang mengungkapkan lubang yang mereka temukan ?
tshepang
25

Iya nih. Paket diperiksa oleh komunitas (jadi saya mungkin menginstal beberapa malware tetapi berita itu akan menyebar dengan cepat di antara semua pengguna).

Aplikasi harus mematuhi aturan yang sangat ketat yang diuraikan dalam lisensi .

Halaman wiki untuk paket baru memiliki sedikit informasi lebih lanjut:

Melalui MOTU

Paket-paket yang belum ada di Ubuntu, memerlukan pemeriksaan ekstra dan melalui proses peninjauan khusus, sebelum diunggah dan mendapatkan ulasan akhir oleh admin arsip . Informasi lebih lanjut tentang proses peninjauan, termasuk kriteria yang akan diterapkan, dapat ditemukan di halaman Peninjau Kode . Pengembang didorong untuk memeriksa paket mereka sendiri menggunakan pedoman ini sebelum mengirimkannya untuk ditinjau.

Untuk menerima laporan bug yang berkualitas lebih tinggi, tulislah kail yang sesuai untuk paket Anda.

Yang mengatakan: ide umumnya adalah. Jika Anda menemukan sesuatu yang mencurigakan, Anda melaporkannya di launchpad, askubuntu, ubuntuforums, dan seseorang akan mengambilnya.

Apa yang bisa terjadi adalah pencipta malware membuat paket yang valid, menerimanya, lalu membuat pembaruan yang menambahkan malware. Setidaknya satu dari banyak yang selalu menangkap ini dan dia akan melaporkannya di suatu tempat. Ini tidak akan masuk ke banyak mesin dengan cara ini. (Upaya memasukkannya ke mesin kami terlalu banyak untuk hadiah potensial: menargetkan mesin windows jauh lebih mudah).

Contoh hal-hal yang sangat salah dengan lebah . Seseorang melewatkan ruang dan / usr terhapus ... beberapa orang terpengaruh, 1 memposting peringatan dengan bendera merah dan sekarang kita semua tahu. Creator memperbaikinya (lebih cepat dari kecepatan cahaya) tetapi kerusakan dilakukan pada beberapa sistem. Dan ini adalah kesalahan dan tidak disengaja sehingga bisa terjadi;)

Rinzwind
sumber
4
Perlu dicatat bahwa ada beberapa risiko yang terlibat dengan sumber lain yang berintegrasi ke Ubuntu Software Center, seperti Getdeb atau berbagai PPA. Namun jika Anda tidak menggunakan ini, Anda harus aman.
jnv
@jnv panggilan bagus :) Saya mengubah baris 1 dan ini sekarang termasuk ppas juga;)
Rinzwind
Contoh Anda tidak valid. lebah tidak ada dalam repo.
Lincity
Saya tidak setuju. Apa pun yang diinstal akan dievaluasi secara merata: pengguna melakukan pengecekan sehingga ini adalah contoh yang valid dari kesalahan (!) Yang salah. Jadi melakukannya dengan sengaja juga dimungkinkan, tetapi hal yang menjadi fokus adalah para pengguna memberi tahu orang lain bahwa ia memiliki kekurangan. Bukan cacat itu sendiri;)
Rinzwind
pertanyaannya adalah tentang pusat perangkat lunak.
Lincity
5

Saya berasumsi bahwa tidak ada yang dapat meyakinkan Anda bahwa. Anda harus memeriksa apa yang harus terjadi untuk paket yang akan ditambahkan ke indeks paket Debian, tetapi saya pikir Anda harus dapat memasukkan sesuatu yang jahat ke sana.

Anda dapat mengatur mesin virtual dan mencoba perangkat lunak di sana, Anda kemudian dapat melihat lalu lintas jaringan dengan sesuatu seperti iftopuntuk melihat apakah aplikasi ini berbicara ke rumah. Kemungkinannya adalah Anda tidak akan pernah melihat apa pun karena tersembunyi terlalu baik.

Open Source tidak berarti keamanan, hanya karena Anda dapat melihat kode tidak berarti seseorang melakukannya.

Martin Ueding
sumber
2

Untuk mempublikasikan kode dalam PPA di launchpad, Anda perlu mengatur openPGP dan membuat kunci yang dilampirkan ke alamat email. Untuk menandatangani paket, Anda memerlukan salinan kunci pribadi pada mesin lokal dan kata sandi (yang tidak disimpan di mana pun). Jika suatu paket memiliki masalah keamanan, relatif mudah melacak penulisnya. Saya berasumsi bahwa repositori utama untuk Ubuntu dan Debian setidaknya yang aman.

Sebagian besar proyek open source memiliki repositori pusat dengan setidaknya perlindungan tingkat ssh (kata sandi dan / atau pasangan kunci publik / pribadi). Mendapatkan akses tidak sah di sini sedikit lebih mudah daripada ppa tetapi tidak sepele. Sistem versi biasanya merekam pengguna yang membuat setiap komit dan membuatnya cukup mudah untuk mengetahui apa yang komit lakukan.

Orang selalu bisa mencoba memasukkan sesuatu ke dalam tambalan tetapi ini adalah proposisi yang berisiko. Kebanyakan coders tidak akan menerima patch yang terlalu besar untuk dibaca dengan mudah. Jika Anda tertangkap maka itu cukup banyak.

Masih ada sejumlah tertentu yang tersisa untuk dipercaya sehingga ada kemungkinan seseorang bisa mendapatkan spyware ke dalam Ubuntu. Mungkin itu adalah sesuatu yang harus kita khawatirkan jika pangsa pasar Ubuntu tumbuh secara signifikan.

pengguna20304
sumber
Kunci GPG dapat dibuat oleh siapa saja. Saya bisa membuat mesin virtual, menghasilkan kunci dengan nama palsu dan tidak ada yang lebih bijak. Anda harus mencari jaringan kepercayaan untuk benar-benar menilai GPG, dan bahkan itu bukan kanonik.
Martin Ueding