Bezpečnosť inštalácie .deb balíčkov na Ubuntu Linux

Sekcia: Aplikácie & Desktop 26.10.2009 | 12:10
Avatar dodoedo Fedora Linux  Používateľ
Ahojte.

Pri napísaní tejto správičky o Wine som narazil na názor, ktorý opisuje spôsob možného podvrhnutia shell skriptu (malware typu *.sh súboru) vo forme inštalačného .deb balíčka pre Ubuntu, ktoré je jedno z najrozšírenejších Linuxov vo svete.
Poprosím o Vaše názory, doporučenia, kritiku, polemiku etc., ohľadom tohoto zneužitia inštalačných .deb Ubuntu balíčkov.
G. Orwell: "Čím více se společnost vzdaluje od pravdy, tím více bude nenávidět ty, kteří ji říkají."
    • Re: Bezpečnosť inštalácie .deb balíčkov na Ubuntu Linux 26.10.2009 | 14:48
      Avatar Stanislav Hoferek Greenie, Manjaro, Q4OS, Lubuntu  Používateľ
      instalovat z oficialnych repozitarov. inak skript sh moze byt aj v RPM baliku ci v comkolvek dalsom.

      file-roller (gnome archivator) moze prezriet deb balik pred instalovanim. taktiez mozno cez grep potom vyhladat daky ten retazec s nie moc peknym kodom.
      • Re: Bezpečnosť inštalácie .deb balíčkov na Ubuntu Linux 26.10.2009 | 18:46
        prv1   Návštevník
        pokial viem prave ty pouzivas baliky zo servrov ako getdeb.net do greenie... a z inych neoficialnych repozitarov:)
        • Re: Bezpečnosť inštalácie .deb balíčkov na Ubuntu Linux 26.10.2009 | 20:26
          Avatar Stanislav Hoferek Greenie, Manjaro, Q4OS, Lubuntu  Používateľ
          aktualne je tam len midori, inak uz nie je nic.
      • Re: Bezpečnosť inštalácie .deb balíčkov na Ubuntu Linux 26.10.2009 | 21:44
        Avatar bum ubuntu 9.04  Používateľ
        A co ked niekto nevie co je nie moc pekny kod? Co ked netusim nic o programovani a k svojej praci a existencii to ani nepotrebujem? :) Jasne pouzivat oficialne zdroje.
        Nikdo není bez chyby, i hovno má své mouchy.
      • Re: Bezpečnosť Greenie 29.10.2009 | 14:47
        Avatar dodoedo Fedora Linux  Používateľ
        Keď už sme pri tom Greenie.
        Kde sa dá nájsť zoznam balíčkov ktoré obsahuje posledná verzia Greenie ?
        G. Orwell: "Čím více se společnost vzdaluje od pravdy, tím více bude nenávidět ty, kteří ji říkají."
        • Re: Bezpečnosť Greenie 29.10.2009 | 15:59
          Avatar Stanislav Hoferek Greenie, Manjaro, Q4OS, Lubuntu  Používateľ
          v baliku greenie-apps. je to metabalik programov, ktore sa pridavaju k ubuntu. nie je tam spominane midori
          • Re: Bezpečnosť Greenie 29.10.2009 | 16:19
            Avatar dodoedo Fedora Linux  Používateľ
            Ako si otvorím spomínaný balík ?
            G. Orwell: "Čím více se společnost vzdaluje od pravdy, tím více bude nenávidět ty, kteří ji říkají."
          • Re: Bezpečnosť Greenie 29.10.2009 | 23:30
            prv1   Návštevník
            kde si ten balik mozem oficialne stiahnut? http://packages.greeenie.sk/ nefunguje a na greenie.sk to najst neviem.
    • Re: Bezpečnosť inštalácie .deb balíčkov na Ubuntu Linux 26.10.2009 | 22:17
      WlaSaTy   Návštevník
      Ahoj,
      opisujes PEBKAC do ktoreho patri aj stary Irsky virus:
      Ahoj, ja som irsky virus. Pretoze moj autor Arthur O'Brian dokazal prepit aj pocitac, tak mal obmedzene moznosti. Vymaz si prosim ta nejaky subor na disku a posli ma cez email nejakym tvojim kamaratom.

      Ludska blbost je nekonecna a postupom casu sa rozne tieto techniky dostanu aj do Linuxu. Povedzme si to na rovinu, v com nas ochrani nemodifikovatelneho LiveCD ci pouzivanie profesionalne spravovaneho Cloud Computingu ak sa presypacie porno servre dopatraju presneho vkusu a opytaju sa na cislo kreditky hoci len za ucelom overenia veku?

      Ako z toho von, tak toje na dlho. Problem je ze vecsina rieseni je kontraproduktivna. Ci uz sa jedna o podpisovanie internetu (ktore je IMHO tiez zneuzitelne a moze vyustit do cenzury, pametnici to slovo poznaju v plnom rozsahu) alebo o skolenie bezpecnosti uzivatelov (ktory nemaju problem otvorit hocikomu co sa predstavi ako inkasak preplatkov ci roznasac reklamnych letakov).

      Tento problem tu bude vzdy, otazkou je ake velke bude riziko a kto bude zabezpecovat riesenie poistnej udalosti.

      PS.: Ta kontrola veku pomocou kreditky vo mne vzbudila dost slusny zachvat rehotu, bolo to vtedy ked prva banka na Slovensku zacala ponukat studentske kartove ucty ktore boli aj pre maloletych. A prikladov na rybacku by sa naslo na niekolko hodin.
      • Re: Bezpečnosť inštalácie .deb balíčkov na Ubuntu Linux 28.10.2009 | 13:08
        Avatar dodoedo Fedora Linux  Používateľ
        Ahoj.

        PEBKAC, non-PEBKAC, ...

        ... stále platí hypotéza, že najväčší malware sa vo svete nachádza niekde medzi klávesnicou PC a stoličkou pri PC. KAŽDÝ malware (resp. vírus) vyžaduje apoň minimálnu interakciu usera (nedajboh admina). Aj keď sa vyžaduje napríklad interakcia zadania root-hesla, hoci aj keď (staro-nový) špecifický variant ".desktop files" môže ničiť všetko v úrovni user-práv automaticky, pri štarte desktopu. Pri takýchto možnostiach "interakcie" je vlastne ešte štastím, že tu máme diverzifikovaný linuxový ekosystém (populárne povedané). Desktop GNU/Llinux sa snaží spohodlňovať userovi život po vzore Windows, no je to dobré (bezpečné)?
        G. Orwell: "Čím více se společnost vzdaluje od pravdy, tím více bude nenávidět ty, kteří ji říkají."
        • Re: Bezpečnosť inštalácie .deb balíčkov na Ubuntu Linux 29.10.2009 | 01:21
          WlaSaTy   Návštevník
          Neviem, ale na druhu stranu ma to ani nezaujima.
    • Re: Bezpečnosť inštalácie .deb balíčkov na Ubuntu Linux 31.10.2009 | 01:47
      Avatar Michal Nánási Ubuntu 11.04  Používateľ
      Neda sa takto zneuzit v podstate lubovolny balicek? Nie len ubunti .deb (ktory je mimochodom denbianovsky), ale aj napriklad .rmp a ine? :-)

      Ale riesenie je jednoduche. Nedovolit uzivatelovi ziskat prava roota nijakym sposobom (ani su, sudo a ine, najlepsie nech nic nema suid flag). Potom nech ten malware robi cokolvek, nebude sa vediet nainstalovat, maximalne tak v uzivatelovom /home. Ale ked tak teraz rozmyslam,
      tak vlastne celkom nechapem, naco je takemu beznemu malwaru root, posielat spam, kradnut udaje vie uzivatelovi aj bez toho :-)
      Hi! I'm a .signature virus! Copy me into your ~/.signature to help me spread!
      • Re: Bezpečnosť inštalácie .deb balíčkov na Ubuntu Linux 31.10.2009 | 14:21
        WlaSaTy   Návštevník
        Samozrejme ze sa na to da zneuzit akykolvek balicek ak je jeho instalacia ako jedinou (i ked nespravnou) akciou po jeho odkliknuti.

        Ale presne toto riesi balickovaci system ktory vynada uzivatelovi ze co to robi (balicek mimo repozitarov, balicek bez doveryhodneho podpisu). A ak je uzivatel dostatocne sprosty aby pokracoval v instalacii aj po tvrdom varovani, tak si to zasluzi.
      • Re: Bezpečnosť inštalácie .deb balíčkov na Ubuntu Linux 31.10.2009 | 15:21
        l_barbarossa   Návštevník
        - balicky, ktore su akoze bezpecne, byvaju podpisovane signaturami. zavisi na tebe, ci doverujes signatarovi.
        - co sa tyla tych obmedzeni uzivatela, tak ty si si zakazal sudo a su? ci tvoje ubuntu ma nejaku specialnu auru?
        - root ucet je dobry napr. na presmerovanie komunikacie, zmeny v routovacich tabulkach, dns zaznamoch, instalaciu dalsieho malware, pristup do dalsich uctov, zmazanie disku atd.
        • Re: Bezpečnosť inštalácie .deb balíčkov na Ubuntu Linux 31.10.2009 | 16:07
          Avatar Michal Nánási Ubuntu 11.04  Používateľ
          Nie, nema ziadnu specialnu auru ani nic ine, a tu chybu tam mam a ignorujem to, jednak v praxi sa taketo utoky zatial nevyskytuju, dvak nespustam a neinstalujem vsetko, co vidim:-)

          A co sa tyka root uctu: ak zoberies priemerneho BFU uzivatela (napriklad ubuntu), tak ma na svojom konte jeden ucet, pod ktorym funguje/pod ktorym funguje cela rodina. Co sa tyka zmaania disku, naco by to malware ci ina pliaga robila? Jej cielom je sa sirit dalej, nie znicit pocitac (potom sa uz z neho nevie sirit). Presmerovat uzivatelovu komunikaciu vies aj bez root uctu a podobne. Ano, ako root ucet je vyhoda, ale malware ho nepotrebuje na to, aby robil to, co bezne robi (tymto chcem len povedat, ze vie narobit vela skody aj bez root uctu :-).
          Hi! I'm a .signature virus! Copy me into your ~/.signature to help me spread!
    • Re: Bezpečnosť inštalácie .deb balíčkov na Ubuntu Linux 09.11.2009 | 14:37
      Avatar dodoedo Fedora Linux  Používateľ
      Neviem, za čo napríklad považovať taký Aptlinex add-on. Je to prínos ku inštalácii, alebo zníženie bezpečnosti systému.
      G. Orwell: "Čím více se společnost vzdaluje od pravdy, tím více bude nenávidět ty, kteří ji říkají."