Question Puis-je obtenir un virus en utilisant «sudo apt-get install»?


Je voudrais m'assurer que le téléchargement du logiciel est sûr sudo apt-get install. Les paquets sont-ils analysés quelque part? Tous les paquets téléchargés à l'aide de cette commande sont-ils exempts de virus?

Si rien ne garantit qu’ils ne sont pas exempts de virus, après avoir installé un paquet contenant des virus, l’attaquant serait-il en mesure de contrôler entièrement ma machine? Y a-t-il un moyen de vérifier tous les paquets installés sur mon ordinateur? (pas par le système automatiquement. Je voudrais les filtrer pour voir tous les paquets que j'ai installés manuellement, pas par le système.)


72
2017-08-28 23:27


origine


La question est valide, mais contient des idées fausses sur les virus. Une liste noire comme seul moyen d’éviter l’infection est une très mauvaise méthode, malgré son omniprésence grâce à Modèle de sécurité inversé de Windows.  "Analyser" un logiciel est un moyen horrible de prévenir les actions malveillantes. - Wildcard
Tomas, votre commentaire a été supprimé par un modérateur. S'il vous plaît ne pas poster encore et encore. - jokerdino♦


Réponses:


apt sur un système Ubuntu par défaut, il est très improbable d’avoir des virus. Cependant, cela ne signifie pas que ce n'est pas possible:

  • PPA malveillant
    L'une des fonctionnalités d'APT est la possibilité pour les administrateurs d'ajouter des archives de packages personnels (PPA) ou d'autres sources logicielles au cache APT. Ces sources APT tierces ne sont pas nécessairement fiables et peuvent contenir des virus. Cependant, il faudrait une action intentionnelle de l'administrateur de la machine pour ajouter une de ces sources infectées, ce qui complique la tâche de l'addition.
  • Référentiel piraté
    En théorie, un référentiel de logiciels peut être piraté par une partie malveillante, entraînant le téléchargement .deb fichiers pour potentiellement porter des charges utiles malveillantes. Cependant, les référentiels de logiciels officiels sont surveillés de très près et la sécurité de ces référentiels est très stricte. Un pirate aurait du mal à éliminer l'une des sources logicielles officielles d'Ubuntu, mais les sources logicielles tierces (voir ci-dessus) pourraient être beaucoup plus facilement compromises.
  • Attaques réseau / MITM actives
    Si un réseau est compromis plus haut (par exemple, par votre FAI), il est possible d’obtenir un virus à partir de sources logicielles officielles. Cependant, une attaque de ce calibre nécessiterait un effort considérable et la capacité de gérer de nombreux sites, y compris les serveurs de distribution de clés GPG et les dépôts officiels.
  • Code mal écrit / malicieux
    Des vulnérabilités existent dans le code open source, révisé par des pairs et maintenu. Bien que ces choses ne soient pas techniquement considérées comme des "virus" par définition, certains exploits cachés ou jamais révélés dans le code pourraient permettre à un attaquant malveillant de placer un virus sur votre système. Un exemple de ce type de problème serait Heartbleed d'OpenSSL, ou le Dirty CoW beaucoup plus récent. Notez que les programmes du universe ou multiverse les pensions sont des menaces potentielles de ce calibre, comme expliqué ici.

apt (en raison de son importance sur les systèmes Linux) est très bien protégé contre presque tous ces types d’attaques côté client et serveur. Bien qu'ils soient possibles, les administrateurs qui savent ce qu'ils font et savent comment lire les journaux d'erreurs seront en mesure d'empêcher ces attaques.

Aditionellement, apt applique également la vérification des signatures pour s’assurer que les fichiers téléchargés sont légitimes (et téléchargés) correctement), ce qui rend encore plus difficile la diffusion de logiciels malveillants apt, car ces signatures numériques ne peuvent pas être falsifiées.


En ce qui concerne la réponse à un incident d’infection par logiciel malveillant, le chemin le plus simple consiste à graver le système sur le sol et à recommencer à partir d’une sauvegarde récente (et connue). En raison de la nature de Linux, il peut être très facile pour un logiciel malveillant de se manifester si profondément dans le système qu’il ne puisse jamais être trouvé ou extrait. Cependant, les paquets comme clamav et rkhunter peut être utilisé pour scanner un système pour les infections.


106
2017-08-29 01:46



"Graver le système sur le sol" - pour un virus bien écrit, ceci est presque littéralement vrai. La destruction physique du matériel va être sûre. rien de moins va être difficile (par exemple, si le firmware du disque dur a été enraciné). - Martin Bonner
Il convient de noter que ces trois exemples ne s’excluent pas mutuellement. Vous pouvez ajouter des PPA tiers qui ont été piratés au moyen de MITM. - el.pescado
Comment est (3) même possible? Les packages sont signés, et la clé publique pour les dépôts officiels d'Ubuntu provient du support d'installation d'Ubuntu. Je ne pense pas que vous pouvez être infecté à moins de commencer par un support d'installation faux. - Federico Poloni
Vous devez ajouter l'option numéro 4: Code sournois dans un package officiel. Des bugs comme Heartbleed montrent que des bogues graves peuvent exister pendant des années, même ouvertement dans des logiciels open source très bien entretenus. Il est donc toujours possible pour un attaquant d’injecter du code malveillant dans un référentiel d’une manière qui pourrait survivre à un examen par des pairs. Dans ce cas, il vous suffit de télécharger la porte dérobée en tant que package entièrement signé du serveur d'origine. - Falco
Notez que la situation n'est certainement pas meilleure que celle sur les systèmes non Linux. Bien au contraire, vraiment. Le moyen standard d’obtenir un logiciel sous Windows est de le télécharger littéralement depuis un site quelconque et espère que rien de mal n’est arrivé. Ce que vous décrivez est le meilleur que vous pouvez faire en termes d'installation de logiciels en toute sécurité. (Je pense que cela vaut la peine de mentionner explicitement dans la réponse, car quelqu'un qui pose cette question est au niveau novice et peut ne pas s'en rendre compte.) - jpmc26


apt-get ne sera installé qu'à partir des référentiels officiels Ubuntu vérifiés ou des référentiels que vous avez ajoutés à vos sources. Si vous ajoutez tous les référentiels que vous rencontrez, vous pourriez finir par installer quelque chose de méchant. Ne fais pas ça.


16
2017-08-29 00:19



Il y a des cas où vous devez installer * .deb à partir d'autres sites Web, mais ils ont aussi des sommes de chèques ou des sommes de hachage. Il est parfois nécessaire d'ajouter un ppa à télécharger depuis d'autres référentiels, mais la commande apt-get est toujours utilisée. Ce serait bien de vérifier les ppa contre une liste de "mauvais sites" connus, si cela était possible ... - WinEunuuchs2Unix
Une somme de contrôle protège contre la corruption accidentelle, mais pas contre la falsification intentionnelle - ce sont les signatures OpenPGP qui protègent contre la falsification. - Charles Duffy
En supposant que vous ayez confiance en la personne qui a signé le colis et que vous pouvez vérifier la clé de manière fiable. Honnêtement, chaque personne télécharge parfois des logiciels sur le Web. Les dépôts sont gros mais pas infinis. Une sécurité et une confiance parfaites sont un peu un rêve. - Andrea Lazzarotto
Mais ne pouvez-vous pas ajouter des référentiels supplémentaires? - Jeremy
"Si vous ajoutez tous les référentiels que vous rencontrez, vous pourriez finir par installer quelque chose de méchant. Ne le faites pas." - Marc


Les fichiers téléchargés par sudo apt-get sont comparés à une somme de somme / somme de hachage pour ce fichier afin de s'assurer qu'il n'a pas été falsifié et qu'il ne contient pas de virus.

En effet, les problèmes rencontrés par les utilisateurs de Google "sudo apt get hash sum" sont une trop grande sécurité contre les virus.

Linux n'est pas complètement exempt de virus, mais les incidents sont probablement 1000 fois moins importants que Windows.

Puis, à en juger par mon nom d’écran, je pourrais être partial :)

Le commentaire du 28 novembre 2017 mentionne comment Windows dispose de 1 000 stations de travail de plus que Linux, alors pourquoi déranger Linux? Cela amène le fait que Linux fonctionne maintenant sur les 500 super-ordinateurs les plus rapides et que la plupart des serveurs Web utilisent Linux, ce qui en fait le meilleur moyen de pirater toutes les stations de travail Windows qui se connectent à Internet.

Google Chrome, Android et Windows 10 offrent aux utilisateurs d’importantes possibilités d’offrir leur vie privée et probablement une certaine sécurité en même temps.


5
2017-08-29 00:12



Hein? Les problèmes de somme de contrôle ne concernent pas seulement la modification intentionnelle comme la corruption accidentelle - à moins qu’il n’y ait une signature (et oui, les paquets Debian le font). aussi ont des signatures OpenPGP), une somme de contrôle peut être modifiée tout autant que les données brutes elles-mêmes peuvent l'être. Si une somme de contrôle sur un paquet ne correspond pas à ce qui était présent au moment de la construction, il n'est pas raisonnable de s'attendre à ce que ce paquet soit extrait pour obtenir le contenu original souhaité. - Charles Duffy
@ Jérémie Pourtant, Linux exécute les 500 meilleurs super-ordinateurs et la plupart des serveurs Web, ce qui est un excellent moyen de pirater tous les clients Windows connectés. - WinEunuuchs2Unix


Bien qu'apt-get s'installe uniquement à partir des dépôts officiels d'Ubuntu, il ne garantit pas 100% que le pack que vous avez obtenu est propre.

Si le référentiel est piraté, le pirate informatique peut injecter du code de dommage dans des packages. Le serveur Linux Mint, par exemple, a été piraté et les pirates informatiques ont injecté des logiciels malveillants dans leurs fichiers ISO. http://www.theregister.co.uk/2016/02/21/linux_mint_hacked_malwareinfected_isos_linked_from_official_site/


3
2017-08-29 00:54



Même les échanges NSA, DNC et Bitcoin ont été piratés récemment. Je pense qu'il est sûr de dire que les dépôts Ubuntu sont exempts de virus à 99,99999%, ce qui est l'esprit de la question et de nos réponses. En effet, personne n'a en fait présenté de virus Ubuntu dans cette Q & A. Il y a le virus / programme malveillant Linux de longue date que KASLR corrige que la plupart des gens ne connaissent même pas et que je ne lis que sur un site Web alternatif autre que MSM basé sur Linux et uniquement basé sur les nouvelles. Je voudrais dire que Linux a beaucoup moins de virus que Windows et que Ubuntu Update est sécurisé. Cependant, faites toujours attention aux sites Web. - WinEunuuchs2Unix
Il y a une grande différence entre injecter du code malveillant dans une ISO et dans les serveurs apt. Les ISO ne sont pas entièrement signées - des outils modernes sont disponibles pour cette signature (signature EFI pour protéger le chargeur de démarrage, validation GRUB OpenPGP pour protéger le noyau et initrd, dm-verity pour protéger le système de fichiers racine), mais dm -verity n'est pas encore largement utilisé en dehors de ChromeOS. Le contenu des serveurs apt, par contre, possède tous des signatures OpenPGP: vous devez pénétrer dans le poste de travail de l’un des développeurs de confiance pour les falsifier. - Charles Duffy
Injecter des ISO et servir des paquets apt infectés sont complètement différents. Un serveur peut être piraté et une iso infectée peut être servie, mais apt ne peut pas être distribué de cette manière. il y a des signatures qui l'empêcheront - Anwar


dépend de vos autorisations sudo. accès root? tous les paris sont désactivés - vous placez ipso facto votre confiance dans l'écosystème apt-get qui peut être ou ne pas être sécurisé. Je pense que c'est une idée terrible mais je le fais tout le temps parce que c'est le seul choix. Si vous exécutez une installation sensible où la sécurité est primordiale, il est probablement fou de lancer sudo sur un élément que vous ne contrôlez pas entièrement. Si vous êtes juste un schmoe ordinaire, alors vous êtes probablement d'accord.


-4
2017-08-30 20:25



La question ici est de savoir si et dans quelle mesure l’écosystème apt-get est en fait sécurisé, ce dont je ne suis pas sûr que cette réponse traite directement. En ce qui concerne "idée terrible" - au-delà de la distribution des clés OpenPGP appartenant à des développeurs de confiance avec le système d'exploitation (comme cela a déjà été fait), nécessitant une action utilisateur explicite pour activer des clés supplémentaires vous ajoutez si vous construisiez votre propre système de distribution de logiciels? - Charles Duffy
non, la question est très explicite. il suffit de lire l'op. "Puis-je avoir un virus?" oui, sans équivoque. construire votre propre système de distribution de logiciels est une question complètement différente. - mobileink
ps. J'ai dit "je pense" c'est une idée terrible, qui ne peut être contestée. En fait, c’est une idée terrible que les systèmes de distribution de logiciels exigent sudo. - mobileink
Je dirais que c'est un encore plus idée terrible de permettre à un utilisateur non privilégié d'installer un logiciel dans des emplacements où il se trouve dans le PATH par défaut pour les autres utilisateurs non privilégiés. Homebrew est un délinquant sévère ici - dès qu’il a effectué sa configuration, tout processus compromis exécuté sous l’ID utilisateur approprié peut installer le logiciel sous /usr/local/bin sans exiger de l'utilisateur qu'il affirme avoir l'intention de permettre une activité administrative. - Charles Duffy
Théoriquement possible, mais beaucoup moins probable. Et ce n'est pas la sécurité SE où nous sommes dans le domaine de la théorie - c'est Ask Ubuntu, axé sur les utilisateurs finaux avec des questions fondées sur la pratique. - Charles Duffy