Cara mengenali paket AUR yang berbahaya

11

Bagaimana saya mengenali jika suatu paket yang diinstal melalui yaourt di linux arch bisa berbahaya bagi pc saya? Saya membaca di wiki bahwa saya harus memeriksa setiap instalasi yang saya buat dengan yourt. Tapi apa sebenarnya yang harus saya periksa dan bagaimana saya mengenali paket berbahaya?

arch-linux security yaourt lup3x
sumber
Anda harus menggunakan paket resmi tanpa AUR. Tidak ada jaminan karena siapa pun dapat mengunggah apa pun ke AUR, hanya diperlukan pendaftaran. Periksa komentar dan suara dari paket-paket AUR mungkin itu adalah titik awal yang baik.
uzsolt
Instruksi wiki adalah membaca PKGBUILD sebelum melanjutkan dengan instalasi ...
jasonwryan
3
@uzsolt Itu agak konyol: ada banyak paket hebat di AUR, beberapa di antaranya telah dipindahkan dari repo resmi. Menggunakan paket AUR, pada prinsipnya, baik-baik saja; yang penting adalah memahami apa yang Anda pasang.
jasonwryan
1
Tidak diragukan lagi, tetapi bagaimana orang bisa tahu bahwa aur-foopaket itu berbahaya atau tidak. Apakah ada aturan atau algoritma umum? Saya pikir, tidak. Dan membaca PKGBUILD tidak cukup - pikir akan menginstal program C yang berbahaya. Apakah Anda membaca kode sumber lengkap sebelum menginstal? Saya pikir harus memeriksa komentar (tentang laporan, peringatan) dan suara (jika ada banyak-banyak suara sepertinya tidak terlalu buruk). Saya menggunakan banyak paket AUR dan saya pikir sebagian besar bagus. Tapi ... iblis tidak pernah tidur :)
uzsolt

Jawaban:

7

Anda tidak dapat, tidak benar-benar, tanpa melakukan audit kode yang luas dan mengamatinya dalam tindakan "dari luar", misalnya menggunakan mesin virtual. Tidak ada cara antipeluru untuk menemukan paket berbahaya, dan tentu saja tidak ada cara otomatis yang tidak dapat dielakkan dengan mudah. Beberapa hal yang secara realistis dapat Anda lakukan, tidak ada yang merupakan peluru perak:

  • Unduh paketnya, buka paketnya ( jangan pasang!) Dan jalankan pemeriksaan virus pada file yang belum dibuka. Ini dapat menemukan beberapa masalah terkenal, tetapi bukan hack yang ditargetkan atau kustom.
  • Sebelum menggunakannya, instal pada mesin virtual dan periksa apakah ia tidak melakukan sesuatu yang "mencurigakan", seperti menyentuh file yang seharusnya tidak ada, berkomunikasi dengan server luar, memulai proses daemon sendiri, dll. Tentu saja, itu bisa melakukan hal-hal seperti itu berdasarkan waktu, misalnya setelah berjalan selama X jam, dan tidak mungkin Anda akan tahu tanpa pemeriksaan rinci kode. Detektor rootkit dapat mengotomatisasi beberapa hal ini.
  • Instal di lingkungan terbatas. SELinux, chroot jail, mesin virtual, mesin terputus yang terpisah, dan banyak hal lainnya dapat berisi berbagai jenis perangkat lunak bermasalah, dari yang paling buruk hingga yang berbahaya secara aktif.
  • Data yang berharga (tetapi bukan rahasia) dapat ditempatkan pada server terpisah dengan akses hanya baca yang diberikan ke mesin yang tidak dipercaya.
  • Data rahasia harus ditempatkan pada mesin yang tidak terjangkau dari mesin yang tidak dipercaya. Komunikasi apa pun harus berupa salinan manual melalui media yang dapat dipindahkan.

Akhirnya, satu-satunya perangkat lunak yang aman bukanlah perangkat lunak. Apakah Anda yakin harus menginstal perangkat lunak yang tidak Anda percayai? Apakah tidak ada alternatif yang terkenal dan tepercaya?

l0b0
sumber
Yah saya hanya mengikuti entri wiki untuk xflux dan JDK matahari. Apakah panduan Anda untuk setiap entri AUR atau dapatkah saya mempercayai paket yang memiliki artikel wiki.archlinux yang luas?
lup3x
4
Tidak ada yang bisa memberi tahu Anda siapa yang harus dipercaya. Tidak ada yang tahu siapa yang harus dipercaya. Yang dapat Anda lakukan adalah membuat panggilan penilaian berdasarkan pengalaman Anda sendiri, saran orang yang Anda percayai, popularitas paket, atau heuristik lain yang Anda anggap mencukupi.
l0b0
Terima kasih saya akan mengingatnya ketika menginstal paket baru
lup3x
2
Saya tidak yakin apakah harus mempercayai saran @ l0b0.
Sparhawk
1
@Sparhawk Bagus, kita semua ada di Internet, dan siapa yang harus dipercaya harus menjadi keputusan pribadi.
l0b0
3

Seperti yang disebutkan sebelumnya, Anda tidak tahu pasti.

Salah satu heuristik utama yang saya gunakan secara pribadi adalah:

Jika saya akan mencoba dan menginstal ini secara manual saya akan mengunduhnya dari spotify.com, jadi ini tidak apa-apa di buku saya. Bacaan skim singkat tentang sisa PKGBUILD dan sepertinya tidak melakukan sesuatu yang jelas tidak biasa. Tentu saja ada cara untuk menjadi licik tetapi saya pikir target utama untuk setiap kode berbahaya pada AUR adalah orang-orang yang menggunakan yaourt dll yang biasanya tidak membaca PKGBUILD sebelum mereka menginstal perangkat lunak dan tidak akan menemukan masalah meskipun sudah jelas .

kellpossible
sumber