Cómo reconocer paquetes AUR dañinos

¿Cómo reconozco si un paquete que se instala a través de yaourt en Arch Linux puede ser perjudicial para mi PC? Leí en la wiki que debería verificar cada instalación que hago con usted. Pero, ¿qué debo verificar exactamente y cómo reconozco los paquetes maliciosos?

arch-linux security yaourt

— lup3x
fuente

Debe usar paquetes oficiales sin AUR. No hay garantía porque cualquiera puede subir cualquier cosa a AUR, solo se necesita un registro. Compruebe los comentarios y votos de los paquetes AUR, tal vez sea un buen punto de partida.

— uzsolt

La instrucción wiki es leer el PKGBUILD antes de proceder con la instalación ...

— jasonwryan

@uzsolt Eso es un poco ridículo: hay muchos paquetes geniales en el AUR, algunos de los cuales se han eliminado de los repositorios oficiales. Usar paquetes AUR, en principio, está bien; lo importante es entender lo que está instalando.

— jasonwryan

Sin duda, pero ¿cómo puede alguien saber que el aur-foopaquete es dañino o no? ¿Existe una regla general o algoritmo? Creo que no. Y la lectura de PKGBUILD no es suficiente: piense que instalará un programa C dañino. ¿Lees el código fuente completo antes de instalar? Creo que debería revisar los comentarios (sobre informes, advertencias) y los votos (si hay muchos votos, no parece tan malo). Estoy usando muchos paquetes de AUR y creo que la mayoría de estos son buenos. Pero ... el diablo nunca duerme :)

— uzsolt 11/1113

Respuestas:

No puede, no realmente, sin hacer una auditoría exhaustiva del código y observarlo en acción "desde afuera", por ejemplo, utilizando una máquina virtual. No hay una forma a prueba de balas para encontrar paquetes maliciosos, y ciertamente no hay una forma automatizada que no se pueda evitar con relativa facilidad. Algunas cosas que puede hacer de manera realista , ninguna de las cuales son balas de plata:

Descargue el paquete, descomprímalo ( ¡no lo instale!) Y ejecute una comprobación de virus en los archivos desempaquetados. Esto puede encontrar algunos problemas conocidos, pero no hacks personalizados o personalizados.
Antes de usarlo, instálelo en una máquina virtual y verifique que no haga nada "sospechoso", como tocar archivos que no debería, comunicarse con servidores externos, iniciar procesos de daemon por sí mismo, etc. Por supuesto, podría estar haciendo cosas así de forma cronometrada, por ejemplo, después de correr durante X horas, y no hay forma de saberlo sin una inspección detallada del código. Los detectores de rootkits pueden automatizar algo de esto.
Instalar en un entorno restringido. SELinux, chroot jails, máquinas virtuales, máquinas desconectadas separadas y muchas otras cosas pueden contener diferentes tipos de software problemático, desde el más malo hasta el más malicioso.
Los datos valiosos (pero no secretos) se pueden colocar en servidores separados con acceso de solo lectura a la máquina no confiable.
Los datos secretos deben colocarse en una máquina a la que no se pueda acceder desde la máquina no confiable. Cualquier comunicación debe ser copias manuales a través de medios extraíbles.

Finalmente, el único software seguro es ningún software. ¿Está seguro de que necesita instalar un software en el que no confía? ¿No hay una alternativa conocida y confiable?

— l0b0
fuente

Bueno, acabo de seguir las entradas de wiki para xflux y el sun JDK. ¿Es su guía para cada entrada de AUR o puedo confiar en los paquetes que tienen un extenso artículo de wiki.archlinux?

— lup3x

Nadie puede decirte en quién confiar. Nadie sabe en quién confiar. Todo lo que puede hacer es emitir un juicio basado en su propia experiencia, el consejo de personas de su confianza, la popularidad del paquete o cualquier otra heurística que considere suficiente.

— l0b0

Gracias, lo tendré en cuenta al instalar nuevos paquetes

— lup3x

No estoy seguro de confiar en el consejo de @ l0b0.

— Sparhawk

@Sparhawk Bueno, estamos en Internet, después de todo, y que a la confianza tiene que ser una decisión personal.

— l0b0

Como se mencionó anteriormente, no puede estar seguro.

Una de las principales heurísticas que uso personalmente son:

lea el PKGBUILD y descubra desde qué sitios web está descargando el software. ¿Es donde esperabas? ¿Es de una fuente confiable? Tomemos spotify por ejemplo, su fuente es ' http://repository.spotify.com/pool/non-free/s/spotify-client/spotify-client_1.0.15.137.gbdf68615_amd64.deb '

Si intentara instalarlo manualmente, lo estaría descargando de spotify.com de todos modos, así que esto está bien en mis libros. Una breve lectura del resto del PKGBUILD y no parece estar haciendo nada obviamente inusual. Por supuesto, hay formas de ser astuto, pero creo que el objetivo principal de cualquier código malicioso en AUR serían las personas que usan yaourt, etc., que generalmente no leen el PKGBUILD antes de instalar el software y no detectarían el problema incluso si fuera obvio .

— kellpossible
fuente