Vraag Kan ik een virus krijgen door "sudo apt-get install" te gebruiken?


Ik zou ervoor willen zorgen dat het veilig is om software te downloaden via sudo apt-get install. Worden de pakketten ergens gescand? Zijn alle pakketten gedownload met behulp van deze opdracht virusvrij?

Als er geen garantie is dat ze niet virusvrij zijn, zou de aanvaller na het installeren van een pakket dat een virus bevat, volledig in staat zijn om mijn machine te bedienen? Kan ik op een of andere manier alle pakketten controleren die door mij op mijn computer zijn geïnstalleerd? (niet automatisch door het systeem. Ik wil ze filteren om alle pakketten te zien die door mij handmatig zijn geïnstalleerd, niet door het systeem.)


72
2017-08-28 23:27


oorsprong


De vraag is geldig, maar bevat misvattingen over virussen. Een zwarte lijst als enige manier om infectie te voorkomen is een zeer slechte methode, ondanks zijn alomtegenwoordigheid dankzij Geïnverteerd beveiligingsmodel van Windows.  "Scannen" van een softwarepakket is een vreselijke manier om schadelijke acties te voorkomen. - Wildcard
Tomas, je reactie is verwijderd door een moderator. Plaats het NIET steeds opnieuw. - jokerdino♦


antwoorden:


apt op een standaard Ubuntu-systeem is het zeer onwaarschijnlijk dat het virussen ontvangt. Dit betekent echter niet dat het niet mogelijk is:

  • Schadelijke PPA
    Een van de kenmerken van APT is de mogelijkheid voor beheerders om Personal Package Archives (PPA's) of andere softwarebronnen aan de APT-cache toe te voegen. Deze APT-bronnen van derden zijn niet noodzakelijk vertrouwd en bevatten mogelijk virussen. Het zou echter een opzettelijke actie van de beheerder van de machine vereisen om een ​​van deze geïnfecteerde bronnen toe te voegen, waardoor het vrij moeilijk is om zichzelf toe te voegen.
  • Hacked Repository
    In theorie kan een softwarerepository worden gehackt door een kwaadwillende partij, waardoor deze wordt gedownload .deb bestanden om potentieel schadelijke ladingen te vervoeren. Officiële software-repositories worden echter zeer zorgvuldig in de gaten gehouden en de beveiliging van deze opslagplaatsen is redelijk krap. Een hacker zou het moeilijk hebben om een ​​van de officiële Ubuntu-softwarebronnen te verwijderen, maar softwarebronnen van derden (zie hierboven) kunnen een stuk eenvoudiger worden gecompromitteerd.
  • Actieve MITM / netwerkaanvallen
    Als een netwerk hogerop wordt aangetast (door bijvoorbeeld uw ISP), is het mogelijk om een ​​virus te krijgen van officiële softwarebronnen. Een aanval van dit kaliber vereist echter een extreme hoeveelheid inspanning en de mogelijkheid om Man-In-The-Middle veel sites te laten gebruiken, inclusief GPG-sleuteldistributieservers en de officiële repo's.
  • Slecht geschreven / kwaadaardige code
    Kwetsbaarheden bestaan ​​in open source, peer-reviewed en onderhouden code. Hoewel deze dingen per definitie technisch gezien niet als "virussen" worden beschouwd, kunnen bepaalde exploits die in de code zijn verborgen of nooit worden onthuld een kwaadwillende aanvaller in staat stellen een virus op uw systeem te plaatsen of te plaatsen. Een voorbeeld van dit type probleem is Heartbleed van OpenSSL, of de veel meer recente Dirty CoW. Merk op dat programma's van de universe of multiverse repos zijn potentiële bedreigingen van dit kaliber, zoals uitgelegd hier.

apt (vanwege het belang ervan op Linux-systemen) wordt behoorlijk zwaar bewaakt tegen bijna al deze soorten aanvallen op zowel de client- als de serverzijde. Hoewel ze mogelijk zijn, kan een beheerder die weet wat hij doet en foutenlogboeken kunnen lezen, voorkomen dat deze aanvallen plaatsvinden.

Bovendien, apt dwingt ook handtekeningverificatie af om ervoor te zorgen dat de gedownloade bestanden legitiem zijn (en worden gedownload correct), waardoor het nog moeilijker wordt om malware door te sluipen apt, omdat deze digitale handtekeningen niet kunnen worden gefingeerd.


Wat betreft het reageren op een incident met malware-infecties, is het absoluut gemakkelijkste pad om het systeem op de grond te branden en opnieuw te beginnen met een recente (en bekende schone) back-up. Vanwege de aard van Linux kan het erg gemakkelijk zijn voor malware om zich zo diep in het systeem te manifesteren dat het nooit kan worden gevonden of geëxtraheerd. Pakketten zoals clamav en rkhunter kan worden gebruikt om een ​​systeem te scannen op infecties.


106
2017-08-29 01:46



"verbrand het systeem plat" - voor een echt goed geschreven virus is dit bijna letterlijk waar. Fysieke vernietiging van de hardware zal veilig zijn; iets minder zal hard werken zijn (bijvoorbeeld als de firmware van de harde schijf geroot is). - Martin Bonner
Het is vermeldenswaard dat deze drie voorbeelden elkaar niet uitsluiten. U kunt PPA van derden toevoegen die is gehackt door middel van MITM. - el.pescado
Hoe is (3) zelfs mogelijk? De pakketten zijn ondertekend en de openbare sleutel voor de officiële repo's van Ubuntu komt van de installatiemedia van Ubuntu. Ik denk niet dat je geïnfecteerd kunt raken, tenzij je begint met nep-installatiemedia. - Federico Poloni
U moet optienummer 4: Underhanded Code toevoegen in een officieel pakket. Bugs zoals heartbleed laten zien dat ernstige bugs jarenlang zelfs openlijk kunnen voorkomen in zwaar beheerde open source software. Er is dus altijd een mogelijkheid voor een aanvaller om kwaadaardige code in een repository te injecteren op een manier die peerreviewing mogelijk overleeft. In dit geval zou u de backdoor gewoon downloaden als een volledig ondertekend pakket van de oorspronkelijke server. - Falco
Merk op dat de situatie zeker niet beter is dan dit op niet-Linux-systemen. Integendeel, eigenlijk. De standaard manier om software op Windows te krijgen is het vrij letterlijk downloaden van een willekeurige site en hopen dat er niets slechts is gebeurd. Wat u beschrijft, gaat over het beste wat u kunt doen als het gaat om het veilig installeren van software. (Ik denk dat dit de moeite waard is expliciet te vermelden in het antwoord, omdat iemand die deze vraag stelt op het nieuwe niveau is en zich dat misschien niet realiseert.) - jpmc26


apt-get zal alleen installeren vanuit de officiële Ubuntu-repository's die zijn gecontroleerd of van opslagplaatsen die u aan uw bronnen hebt toegevoegd. Als je elke repository toevoegt die je tegenkomt, zou je uiteindelijk iets smerigs kunnen installeren. Doe dat niet.


16
2017-08-29 00:19



Er zijn gevallen waarin u * .deb van andere websites moet installeren, maar ze hebben ook chequesommen / hash-bedragen die ik geloof. Er zijn tijden dat je een ppa moet toevoegen om te downloaden van andere repositories maar apt-get commando wordt nog steeds gebruikt. Het zou leuk zijn om ppa's te controleren tegen een lijst van bekende "slechte websites" als dat mogelijk was ... - WinEunuuchs2Unix
Een controlesom beschermt tegen onopzettelijke corruptie, maar niet opzettelijke manipulatie - het zijn de OpenPGP-handtekeningen die beschermen tegen manipulatie. - Charles Duffy
Ervan uitgaande dat u de persoon die het pakket heeft ondertekend, vertrouwt en dat u de sleutel op een betrouwbare manier kunt controleren. Eerlijk gezegd downloadt elke persoon soms software van het web. De repositories zijn groot maar niet oneindig. Perfecte veiligheid en vertrouwen is een beetje een droom. - Andrea Lazzarotto
Maar kun je geen extra repositories toevoegen? - Jeremy
"Als je elke repository toevoegt die je tegenkomt, zou je uiteindelijk iets smerigs kunnen installeren. Doe dat niet." - Marc


Bestanden gedownload door sudo apt-get worden vergeleken met een controlesom / hash-som voor dat bestand om er zeker van te zijn dat er niet mee is geknoeid en dat het virusvrij is.

Inderdaad, de problemen die mensen tegenkomen als je google "sudo apt has hash sum" is te veel beveiliging tegen virussen.

Linux is op geen enkele manier volledig virusvrij, maar incidenten zijn waarschijnlijk 1000 keer minder dan Windows.

Dan opnieuw te oordelen naar mijn schermnaam zou ik misschien bevooroordeeld zijn :)

Comment op 28 november 2017 vermeldt hoe Windows 1000 extra werkstations heeft dan Linux, dus waarom zou je Linux hacken? Het laat zien dat Linux nu draait op alle 500 van de snellere Super-Computers en de meeste Webservers draaien op Linux, wat het de beste manier maakt om alle Windows-werkstations die verbonden zijn met internet te hacken.

Google Chrome, Android en Windows 10 geven gebruikers ruimschoots de gelegenheid om hun privacy en waarschijnlijk wat beveiliging op hetzelfde moment weg te geven.


5
2017-08-29 00:12



Eh? Checksum-problemen gaan niet zozeer over het vermijden van opzettelijke wijziging als onbedoelde corruptie - tenzij er een handtekening op staat (en ja, Debian-pakketten ook hebben OpenPGP-handtekeningen), een controlesom kan net zo worden gewijzigd als de onbewerkte gegevens zelf kunnen zijn. Als een controlesom van een pakket niet overeenkomt met wat er tijdens de buildtijd aanwezig was, is er geen redelijke verwachting dat dat pakket kan worden geëxtraheerd om de gewenste originele inhoud te krijgen. - Charles Duffy
@Jeremy Yet Linux draait de top 500 super-computers en de meeste webservers, wat een geweldige manier is om alle aangesloten Windows-clients te hacken. - WinEunuuchs2Unix


Hoewel apt-get alleen zal installeren vanuit de officiële Ubuntu-opslagplaatsen, garandeert dit niet 100% dat de verpakte pakketten schoon zijn.

Als de repository is gehackt, kan de hacker schadelijke code in pakketten invoegen. Linux Mint-server is als voorbeeld gehackt en hacker heeft malware in zijn ISO-bestanden geïnjecteerd. http://www.theregister.co.uk/2016/02/21/linux_mint_hacked_malwareinfected_isos_linked_from_official_site/


3
2017-08-29 00:54



Zelfs de NSA-, DNC- en bitcoin-uitwisselingen zijn onlangs gehackt. Ik denk dat het veilig is om te zeggen dat Ubuntu-repositories 99,999999% virusvrij zijn, wat de kern van de vraag en onze antwoorden is. Er is inderdaad nog nooit een Ubuntu-virus in deze Q & A naar voren gekomen. Er is het langdurige Linux-virus / malware dat KASLR repareert dat de meeste mensen niet eens weten en ik lees alleen over op een niet-MSM alternatieve website die niet op Linux is gebaseerd en uitsluitend op wereldnieuws gebaseerd is. Ik zou willen zeggen dat Linux veel minder virussen heeft dan Windows en dat Ubuntu Update veilig is. Wees echter altijd voorzichtig met websites. - WinEunuuchs2Unix
Er is een groot verschil tussen het injecteren van kwaadaardige code in een ISO en in de apt-servers. De ISO's zijn niet volledig ondertekend - er is moderne tooling beschikbaar die kan worden gebruikt voor dergelijke ondertekening (EFI-ondertekening om de bootloader te beschermen, GRUB OpenPGP-validatie om de kernel en initrd te beschermen, dm-verity om het rootbestandssysteem te beschermen), maar dm -verity wordt nog niet veel gebruikt buiten ChromeOS. De inhoud van de apt-servers aan de andere kant heeft allemaal OpenPGP-handtekeningen - u moet inbraak nemen in het werkstation van een van de vertrouwde ontwikkelaars om ze te vervalsen. - Charles Duffy
Het injecteren van ISO en het bedienen van geïnfecteerde apt-pakketten zijn compleet anders. Een server kan worden gehackt en geïnfecteerd kan worden gebruikt, maar apt kan niet op deze manier worden gedistribueerd. er zijn handtekeningen die dit voorkomen - Anwar


hangt af van wat uw sudo-toestemmingen zijn. root-toegang? alle weddenschappen zijn uitgeschakeld - u bent ipso facto vertrouwd met het apt-get ecosysteem dat al dan niet veilig is. Ik vind het een vreselijk idee, maar ik doe het de hele tijd omdat het de enige keuze is. Als je een gevoelige installatie draait waar veiligheid een goede zaak is, dan is het waarschijnlijk waanzinnig als je sudo op anthing draait. als je gewoon een gewone schmoe bent, dan ben je waarschijnlijk ok.


-4
2017-08-30 20:25



De vraag hier is of en in hoeverre het apt-get ecosysteem in feite veilig is, waarvan ik niet zeker weet of dit antwoord het meteen aanhaalt. Wat betreft 'vreselijk idee' - behalve het verspreiden van OpenPGP-sleutels die eigendom zijn van vertrouwde ontwikkelaars met het besturingssysteem (zoals al gedaan is) en expliciete actie van de gebruiker vereisen om extra sleutels in te schakelen (zoals bij het toevoegen van een PPA), welke aanvullende maatregelen zouden of zouden mogelijk zijn voeg je toe als je je eigen softwaredistributiesysteem bouwde? - Charles Duffy
nee, de vraag is heel expliciet. lees gewoon de op. "Kan ik een virus krijgen?" ja, ondubbelzinnig. het bouwen van een eigen softwaredistributiesysteem is een heel andere vraag. - mobileink
ps. Ik zei: "Ik denk" het is een vreselijk idee, dat niet kan worden aangevochten. Ik vind het eigenlijk een vreselijk idee dat softwaredistributiesystemen sudo vereisen. - mobileink
Ik zou zeggen dat het een is nog meer Een vreselijk idee om een ​​niet-bevoorrechte gebruiker toe te staan ​​software te installeren op locaties waar dit in de standaard PATH staat voor andere onbevoegde gebruikers. Homebrew is hier een ernstige dader. Zodra het zijn installatie heeft uitgevoerd, kan elk gecompromitteerd proces dat wordt uitgevoerd onder de relevante uid software installeren onder /usr/local/bin zonder dat de gebruiker hoeft te bevestigen dat hij van plan is om administratieve activiteiten toe te staan. - Charles Duffy
Theoretisch mogelijk, maar veel minder waarschijnlijk. En dit is geen Security SE waar we theoretisch bezig zijn - het is Ask Ubuntu, gericht op eindgebruikers met vragen die in de praktijk zijn gegrond. - Charles Duffy