Ubuntu Software Centerのスパイウェアは無料ですか?

35

Ubuntuソフトウェアセンターには、プログラム用のさまざまなセクションがあります

  • Ubuntuが提供
  • 正規パートナー
  • 買うために

これらはすべてオープンソースです。しかし、スパイウェアマルウェアがないことを確認するためにCanonicalが行った検証プロセスはありますか?

誰もがこれらすべて(今のところ2355個のプログラムなど)を見る時間を得られるのだろうか、ソフトウェアコードもリリースごとにそうだ!

ソフトウェアセンターからかなり人気のないソフトウェアを定期的にインストールしているので心配です。

software-installation  software-center 
AIB
ソース
1
「For Purchase」ソフトウェアはオープンソースではありません。そうでなければ、人々はそれを購入する必要はありません。そして、パートナーのソフトウェアは、Skypeがオープンなどではない、常にオープンソースではありません
マーティンUeding
8
@queueoverflowでは、オープンソースソフトウェアに課金できます。
dv3500ea
3
@queueoverflow:qtiplotは一例で、バイナリとサポート契約の料金です。無料でコンパイルしてください。:-)
クリストフ
2
現在、For Purchaseセクションにオープンソースソフトウェアは存在しないと思いますが、将来的には存在する可能性があります。
dv3500ea
1
@christoph:ほとんどの人はそれをコンパイルする方法を知らないと思うので、そのように扱うのは理にかなっています。
マーティンUeding

回答:

27

マルウェアがないことを確認するプロセスはありますか?いいえ。保証は一切ありません。

しかし、それを試して検出するためのメカニズムがいくつかありますが、私があまりにも破滅的ではありませんが、正直なところ、あなたはおそらくあなたが望むほど安全ではありません。

  1. プロジェクトを最初にUbuntuに追加する必要があります。Rinzwindが言うように、チェックはこの段階で行われますが、それは実際にはUbuntuのパッケージの寿命である氷山の一角にすぎません。

  2. 長期パッケージの最初の真の防衛線は、プロジェクトメンテナーです。これらの人々はプロジェクトの面倒を見て、パッチを受け入れて改善します。彼らは人間です。彼らは間違いを犯し、物を逃します。そして、いくつかは怠zyかもしれません。

    悪意のある人が、マルウェアと一緒に真の改善を含めることで、マルウェアをすり抜ける可能性があります。

    メンテナーがプロジェクトに何か悪いものを認めた場合、監査を成功させない限り、Ubuntuユーザーのマシンでコードが終了する可能性があります。

  3. セキュリティ監査は2番目のステップです。これは、コードを調べてモニターに対して実行し、悪いことを検出しています。私の知る限り、セキュリティ専用の正規の正規チームはありませんが、2つのコミュニティチーム(Ubuntu SecurityとMOTU SWAT)がそれらの間のすべてのパッケージを処理します。

    監査は、すべてのコード行がユーザーに公開される前に適切にチェックされた場合にのみ実際に機能します。これは、私たちが話しているコードの量と更新の数にとって実際的ではありません。この方法で行うには、膨大な時間とお金がかかります。

    オープンソースの世界には、誰かソース見ることができるという理由だけで彼らが持っているという仮定があります。これは維持すべき非常に危険な精神です。

    セキュリティの修正は、穴を見つけて開示する人々に大きく反発します。誰かが見つけた穴を公開したらどうなりますか?

  4. 問題を報告する他の「エンドユーザー」は最終的な実際の検出メカニズムであり、正直に言って、良いマルウェアは、問題を解決するには手遅れになるまでユーザーに問題を知らせません。よく書かれたマルウェアは、画面を反転したり帯域幅をすべて盗んだりすることはありません。バックグラウンドでそこに座り、どこかの匿名のダンプにすべての銀行口座の詳細を投稿する前にすべての銀行口座の詳細を記録します。

全体のプロセスは、独自のセキュリティレベルを維持するために、上流のプロジェクトに依存しています。誰かがGnome計算機のメンテナーをすり抜けた場合、他のすべての人が見逃す可能性があります。セキュリティチームもそれを疑うことはありません。

ありがたいことに、ほとんどのメンテナーは彼らの仕事に長けています。彼らは自分のコードベースを知っており、パッチを理解していなければ、十分に明確でないという理由でそれらを拒否します。

リスク評価に関しては、あまり人気のないものを使用することで、コードをチェックする目が少なくなる可能性があります。しかし、同様におそらくコミットが少ないので、メンテナーが怠zy(または悪)でない限り、各コミットを処理する時間は長くなります。リスクの大きさを正確に言うのは難しいです。オープンソースソフトウェアのセキュリティは、コードを見ている有能な人々に依存しています。

逆に、クローズドソースアイテム(パートナーおよび購入リポジトリ内)は、コミュニティによって完全に監査されません。Canonicalにはソースアクセスがあるかもしれませんが、率直に言って、ソースアクセスがあり、望んでいたとしても、徹底的な監査を行うためのリソースがあるとは思いません。

同様に、PPAを使用する場合、ソースに自分で飛び込みたい場合を除き、保護はほとんどありません。ユーザーはソースコードに好きなものを追加できます。自分でチェックアウトしない限り(マルウェアを検出できる場合を除き)、オオカミに囲まれた羊です。人々は悪いPPAを報告できますが、何かが起こるのは、問題をチェックして確認する他の人々に依存します。大きなサイト(OMGUbuntuなど)がPPAを推奨している場合(多くの場合そうです)、多くのユーザーが将来問題を抱えることがあります。

問題をさらに悪化させるのは、Linuxユーザーの市場シェアが低いということは、利用可能なソフトウェアが少なくなり、不正なコードを追い詰めることができるということです。言いたくはありませんが、少なくともWindowsでは、毎日何十もの企業が働いて、悪いソフトウェアがどのように機能するか、それを検出する方法、それを削除する方法を見つけています。それは必然性から生まれた市場であり、私もこれを言いたくありませんが、状況はおそらく良くなる前にここで悪化するでしょう。

セキュリティの妄想のために、少し前に短い記事を書きました。Linuxは不死身ではありません。そうだと言わないでください。。リポジトリに物を忍び込ませることは、おそらくマルウェアを配布する攻撃の主な攻撃ベクトルにはなりません。感染した.debsをインストールさせるために、ユーザーの欲望と愚かさを彼らが演じる可能性がはるかに高い(IMO)。

オリ
ソース
3
吟味されたリポジトリの良いところは、exeから何かをインストールするような、非リポジトリモデルでのソフトウェアのインストールよりも一般的に桁違いに安全であることです。だから、ええ、あなたは決して安全ではありません。しかし、一般的にあなたはおそらく安全です。
クズカイ
あなたが書くこともしかして誰かが、彼らが見つけ穴が開示されている場合はどうなりますか
-tshepang
25

はい。パッケージはコミュニティによってチェックされます(したがって、1はマルウェアをインストールする可能性がありますが、そのニュースはすべてのユーザーにすぐに広まります)。

アプリは、ライセンスで説明されている非常に厳格なルールに従う必要があります。

新しいパッケージのwikiページにはもう少し情報があります:

MOTUを通過する

まだUbuntuに含まれていないパッケージは、アーカイブ管理者がアップロードして最終レビューを取得する前に、特別な審査プロセスを経て特別な審査プロセスが必要です。適用される基準など、レビュープロセスの詳細については、「コードレビュー担当者」ページを参照してください。開発者は、レビューのために提出する前に、これらのガイドラインを使用して独自のパッケージを調べることをお勧めします。

より質の高いバグレポートを受け取るには、パッケージのapportフックを作成します。

それは言った:一般的なアイデアです。疑わしいものを見つけた場合は、launchpad、askubuntu、ubuntuforumsで報告し、誰かがそれを拾います。

起こりうることは、マルウェアの作成者が有効なパッケージを作成し、受け入れてから、マルウェアを追加する更新を行うことです。多くの多くの人のうち少なくとも1人が常にこれをキャッチし、彼/彼女はどこかにこれを報告します。この方法では、多くのマシンにアクセスすることはできません。(私たちのマシンにそれを載せる努力は、潜在的な報酬には大きすぎます:Windowsマシンをターゲットにするのははるかに簡単です)。

マルハナバチで物事がひどく間違っている例。誰かがスペースを逃し、/ usrが削除されました...一部の人々が影響を受け、1は赤い旗で警告を投稿しました。作成者はそれを修正します(光の速度よりも速くなります)が、損傷はいくつかのシステムに行われました。そして、これは間違いであり、意図的なものではないため、発生する可能性があります;)

リンツウィンド
ソース
4
GetdebやさまざまなPPAなど、Ubuntu Software Centerに統合する他のソースに関連するリスクがあることに注意してください。ただし、これらを使用しない場合は、安全でなければなりません。
-jnv
@jnv良い電話:)私は最初の行を変更し、これには現在ppasも含まれています;)
Rinzwind
あなたの例は無効です。マルハナバチはリポジトリに存在しません。
リンシティ
同意しません。インストールされたものはすべて同等に評価されます。ユーザーがチェックを行うので、何かが誤って(!)失敗する有効な例です。そのため、意図的にそれを行うことも可能ですが、焦点を当てることは、ユーザーに欠陥があると伝えることです。欠陥そのものではありません;)
リンツウィンド
問題はソフトウェアセンターについてでした。
リンシティ
5

誰もあなたにそれを保証できないと思います。Debianパッケージインデックスにパッケージを追加するために何が起こらなければならないかを確認する必要がありますが、そこに何か悪いものを入れることができるはずだと思います。

仮想マシンをセットアップし、そこでソフトウェアを試すことができます。その後、ネットワークトラフィックを調べて、iftopこのアプリケーションが自宅と通信するかどうかを確認できます。隠されているため、何も表示されない可能性があります。

コードを見ることができるからといって、誰かがやったことを意味するわけではありません。

マーティン・ウエディング
ソース
2

ランチパッド上のPPAでコードを公開するには、openPGPをセットアップし、メールアドレスに添付されたキーを作成する必要があります。パッケージに署名するには、ローカルマシンの秘密キーのコピーとパスワード(どこにも保存されていない)が必要です。パッケージにセキュリティ上の問題がある場合、作成者を比較的簡単に追跡できるはずです。UbuntuとDebianの主要なリポジトリは、少なくともこれほど安全であると思います。

ほとんどのオープンソースプロジェクトには、少なくともsshレベルの保護(パスワードおよび/または公開/秘密キーのペア)を備えた中央リポジトリがあります。ここで不正アクセスを取得することは、PPAよりも少し簡単ですが、簡単ではありません。バージョン管理システムは通常、各コミットを行うユーザーを記録し、コミットが何をするのかを簡単に把握できるようにします。

パッチに何かを滑り込ませようとすることは常に可能ですが、これは危険な命題です。ほとんどのコーダーは、大きすぎて読みにくいパッチを受け入れません。あなたが捕まるなら、それはほとんどそれです。

信頼できる量がまだ残っているため、誰かがスパイウェアをUbuntuに持ち込む可能性があります。Ubuntuの市場シェアが大幅に拡大した場合、それは私たちが心配しなければならないことかもしれません。

user20304
ソース
GPGキーは誰でも作成できます。仮想マシンをセットアップし、偽の名前でキーを生成できたので、誰も賢明ではありませんでした。GPGを実際に判断するには、信頼の網を探す必要がありますが、それでも規範的ではありません。
マーティンUeding
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.