Puis-je contracter un virus en utilisant «sudo apt-get install»?

74

Je voudrais m'assurer que le téléchargement de logiciels à l'aide de est sécurisé sudo apt-get install. Les colis sont-ils numérisés quelque part? Tous les packages téléchargés à l'aide de cette commande sont-ils exempts de virus?

S'il n'y a aucune garantie qu'ils ne sont pas exempts de virus, après avoir installé un package contenant des virus, l'attaquant serait-il pleinement en mesure de contrôler mon ordinateur? Est-il possible de vérifier tous les paquets que j'ai installés sur mon ordinateur? (pas par le système automatiquement. Je voudrais les filtrer pour voir tous les paquetages que j'ai installés manuellement, pas par le système.)

apt software-installation security

— Tomas
source

8

La question est valide, mais contient des idées fausses sur les virus. Une liste noire en tant que seul moyen d'éviter l'infection est une très mauvaise méthode , malgré son omniprésence grâce au modèle de sécurité inversé de Windows. "Analyser" un progiciel est un moyen horrible d'empêcher des actions malveillantes.

— Wildcard

2

Tomas, votre commentaire a été supprimé par un modérateur. S'il vous plaît, ne le postez PAS encore et encore.

— jokerdino

108

aptsur un système Ubuntu par défaut, il est très peu probable que le virus soit infecté. Cependant, cela ne signifie pas que ce n'est pas possible:

PPA malveillant
L'une des fonctionnalités d'APT est la possibilité, pour les administrateurs, d'ajouter des archives de paquet personnel (PPA) ou d'autres sources logicielles au cache APT. Ces sources APT tierces ne sont pas nécessairement fiables et peuvent être porteuses de virus. Cependant, il faudrait une action intentionnelle de la part de l’administrateur de la machine pour ajouter l’une de ces sources infectées, ce qui compliquerait considérablement l’ajout de cette source.
Référentiel
piraté En théorie, un référentiel logiciel peut être piraté par une partie malveillante, ce qui entraîne .debpotentiellement le portage par des fichiers téléchargés de charges utiles malveillantes. Cependant, les référentiels de logiciels officiels sont surveillés de très près et la sécurité de ces référentiels est assez stricte. Un pirate informatique aurait bien du mal à supprimer l'une des sources officielles du logiciel Ubuntu, mais les sources de logiciels tiers (voir ci-dessus) pourraient être beaucoup plus facilement compromises.
MITM actifs / Attaques réseau
Si un réseau est compromis plus haut (par exemple, par votre FAI), il est possible de contracter un virus à partir de sources logicielles officielles. Cependant, une attaque de ce calibre nécessiterait des efforts extrêmes et la capacité de gérer de nombreux sites, dont des serveurs de distribution de clés GPG et les comptes de repos officiels.
Code mal écrit / malveillant Des
vulnérabilités existent dans les codes open source, révisés par les pairs et maintenus. Bien que ces éléments ne soient pas considérés techniquement comme des "virus" par définition, certains exploits cachés ou jamais révélés dans le code pourraient permettre à un attaquant malveillant de placer un virus sur ou sur votre système. Heartbleed d’OpenSSL ou Dirty CoW, beaucoup plus récent, est un exemple de ce type de problème. Notez que les programmes du universeou multiverserepos sont des menaces potentielles de ce calibre, comme expliqué ici .

apt(en raison de son importance sur les systèmes Linux) est assez fortement protégé contre presque tous ces types d’attaques à la fois du côté client et du côté serveur. Tant qu’elles sont possibles, un administrateur qui sait ce qu’il fait et sait comment lire les journaux d’erreurs pourra empêcher l’une quelconque de ces attaques de se produire.

De plus, la aptvérification de la signature est également appliquée pour garantir que les fichiers téléchargés sont légitimes (et correctement téléchargés ), ce qui rend encore plus difficile l'insertion de programmes malveillants apt, car ces signatures numériques ne peuvent être falsifiées.

En ce qui concerne la réponse à un incident d’infection par logiciel malveillant, le moyen le plus simple consiste à graver le système au sol et à redémarrer à partir d’une sauvegarde récente (et réputée avoir été nettoyée). En raison de la nature de Linux, il peut être très facile pour un logiciel malveillant de se manifester si profondément dans le système qu’il ne puisse jamais être trouvé ou extrait. Cependant, des packages tels que clamavet rkhunterpeuvent être utilisés pour analyser un système pour détecter des infections.

— Kaz Wolfe
source

6

"Brûlez le système au sol" - pour un virus vraiment bien écrit, c'est presque littéralement vrai. La destruction physique du matériel va être sécurisée; rien de moins va être difficile (par exemple, si le micrologiciel du disque dur a été enraciné).

— Martin Bonner

2

Il convient de noter que ces trois exemples ne s’excluent pas mutuellement. Vous pouvez ajouter un PPA tiers qui a été piraté au moyen de MITM.

— el.pescado

11

Comment est (3) même possible? Les packages sont signés et la clé publique du dépôt officiel Ubuntu provient du support d'installation Ubuntu. Je ne pense pas que vous puissiez être infecté à moins de démarrer avec un faux support d'installation.

— Federico Poloni

6

Vous devez ajouter l’option numéro 4: code de code dans un package officiel. Des bogues tels que heartbleed montrent que des bogues graves peuvent exister pendant des années, même ouvertement, dans des logiciels open source maintenus à fond. Il est donc toujours possible pour un attaquant d'injecter du code malveillant dans un référentiel de manière à survivre à l'examen par les pairs. Dans ce cas, il vous suffirait de télécharger la porte dérobée sous forme de package entièrement signé à partir du serveur d'origine.

— Falco

22

Notez que la situation n’est certainement pas meilleure que celle-ci sur des systèmes non Linux. Bien au contraire, vraiment. Le moyen le plus classique d’obtenir un logiciel sous Windows consiste à le télécharger littéralement à partir d’un site quelconque et à espérer que rien de grave ne s’est produit. Ce que vous décrivez est ce que vous pouvez faire de mieux en termes d’installation sécurisée de logiciels. (Je pense que cela vaut la peine de le mentionner explicitement dans la réponse, car quelqu'un qui pose cette question est novice et ne s'en rend peut-être pas compte.)

— jpmc26

16

apt-gets’installe uniquement à partir des dépôts officiels Ubuntu vérifiés ou des dépôts que vous avez ajoutés à vos sources. Si vous ajoutez tous les référentiels que vous rencontrez, vous pourriez installer quelque chose de méchant. Ne fais pas ça.

— Marc
source

1

Il existe des cas où vous devez installer * .deb à partir d'autres sites Web, mais ils ont également des sommes de contrôle / sommes de hachage, je crois. Il est parfois nécessaire d'ajouter un ppa à télécharger depuis d'autres référentiels, mais la commande apt-get est toujours utilisée. Il serait bien de vérifier ppa avec une liste de "mauvais sites Web" connus si cela était possible ...

— WinEunuuchs2Unix

8

Une somme de contrôle protège contre la corruption accidentelle, mais pas contre la falsification intentionnelle - ce sont les signatures OpenPGP qui protègent contre la falsification.

— Charles Duffy

1

En supposant que vous ayez confiance en la personne qui a signé le colis et que vous puissiez vérifier la clé de manière digne de confiance. Honnêtement, chaque personne télécharge parfois des logiciels à partir du Web. Les dépôts sont grands mais pas infinis. La sécurité et la confiance parfaites sont un peu un rêve.

— Andrea Lazzarotto

Mais ne pouvez-vous pas ajouter de référentiels supplémentaires?

— Jeremy

"Si vous ajoutez tous les référentiels que vous rencontrez, vous pourriez installer quelque chose de méchant. Ne le faites pas."

— Marc

5

Les fichiers téléchargés par sudo apt-getsont comparés à une somme de contrôle / somme de hachage pour ce fichier afin de s'assurer qu'il n'a pas été falsifié et qu'il est exempt de virus.

En effet, les problèmes que les gens ont rencontrés lorsque vous Google "Sudo apt get has has sum" sont trop de sécurité contre les virus.

Linux n’est certes pas totalement dépourvu de virus, mais les incidents sont probablement 1000 fois moins importants que Windows.

Là encore, à en juger par mon nom d’écran, je pourrais être biaisé :)

Le commentaire du 28 novembre 2017 indique que Windows compte 1 000 postes de travail de plus que Linux, alors pourquoi se donner la peine de pirater Linux. Cela montre que Linux fonctionne actuellement sur les 500 super-ordinateurs les plus rapides et que la plupart des serveurs Web fonctionnent sous Linux, ce qui en fait le meilleur moyen de pirater tous les postes de travail Windows connectés à Internet.

Google Chrome, Android et Windows 10 offrent aux utilisateurs de nombreuses possibilités de divulguer leur vie privée et probablement une certaine sécurité en même temps.

— WinEunuuchs2Unix
source

4

Hein? Les problèmes de somme de contrôle ne concernent pas tant la modification intentionnelle que la corruption involontaire - à moins d’une signature (et oui, les paquets Debian possèdent également des signatures OpenPGP), une somme de contrôle peut être modifiée au même titre que les données brutes elles-mêmes. . Si une somme de contrôle sur un package ne correspond pas à ce qui était présent au moment de la construction, il n'y a aucune attente raisonnable que ce package puisse être extrait pour obtenir le contenu d'origine souhaité.

— Charles Duffy

@Jeremy Pourtant, Linux gère les 500 plus gros super-ordinateurs et la plupart des serveurs Web, ce qui est un excellent moyen de pirater tous les clients Windows connectés.

— WinEunuuchs2Unix

3

Bien qu'apt-get n'installe que depuis les dépôts officiels d'Ubuntu, cela ne garantit pas à 100% que le paquet que vous avez est propre.

Si le référentiel est piraté, un pirate informatique peut injecter du code nuisible dans des paquets. Le serveur Linux Mint, par exemple, a été piraté et un pirate informatique a injecté un logiciel malveillant dans ses fichiers ISO. http://www.theregister.co.uk/2016/02/21/linux_mint_hacked_malwareinfected_isos_linked_from_official_site/

— PT Huynh
source

3

Même les échanges entre NSA, DNC et Bitcoin ont été piratés récemment. Je pense qu'il est prudent de dire que les dépôts Ubuntu sont à 99,99999% sans virus, ce qui est l'esprit de la question et de nos réponses. En effet, personne n’a réellement présenté un virus Ubuntu dans ce Q & A. Il existe un virus / programme malveillant de longue date que KASLR corrige que la plupart des gens ne connaissent même pas et que je ne lis que sur un site Web alternatif non-MSM qui n'est pas basé sur Linux et est exclusivement basé sur des informations mondiales. Je voudrais dire que Linux a beaucoup moins de virus que Windows et Ubuntu Update est sécurisé. Cependant, comme toujours, faites attention aux sites Web.

— WinEunuuchs2Unix

2

Il y a une grande différence entre injecter du code malveillant dans une image ISO et dans les serveurs apt. Les ISO ne sont pas entièrement signés - il existe des outils modernes disponibles pour cette signature (signature EFI pour protéger le chargeur de démarrage, validation GRUB OpenPGP pour protéger le noyau et initrd, dm-verity pour protéger le système de fichiers racine), mais dm -verity n'est pas encore largement utilisé en dehors de ChromeOS. Le contenu des serveurs apt, d’autre part, ont tous les signatures OpenPGP - vous devez entrer par effraction dans le poste de travail de l’un des développeurs de confiance pour les créer.

— Charles Duffy

1

L'injection d'ISO et le service des packages apt infectés sont complètement différents. Un serveur peut être piraté et l'iso infecté peut être servi, mais apt ne peut pas être distribué de cette façon. il y a des signatures qui l'empêcheront

— Anwar

-4

dépend de vos autorisations sudo. accès root? tous les paris sont ouverts - vous accordez ipso facto votre confiance dans l'écosystème apt-get, qui peut être sécurisé ou non. Je pense que c'est une idée terrible mais je le fais tout le temps parce que c'est le seul choix. Si vous exécutez une installation sensible dans laquelle la sécurité est primordiale, exécuter sudo sur tout ce que vous ne contrôlez pas entièrement est probablement insensé. si vous êtes juste un schmoe ordinaire, alors vous êtes probablement ok.

— mobileink
source

La question qui se pose est de savoir si et dans quelle mesure l'écosystème apt-get est réellement sécurisé, ce que je ne suis pas sûr de savoir si cette réponse répond de front. En ce qui concerne "l'idée terrible" - au-delà de la distribution de clés OpenPGP appartenant à des développeurs de confiance avec le système d'exploitation (comme cela a déjà été fait), et nécessitant une action explicite de l'utilisateur pour activer des clés supplémentaires (comme lors de l'ajout d'un PPA), quelles mesures supplémentaires pourraient ou pourraient être utilisées? vous ajoutez si vous construisez votre propre système de distribution de logiciels?

— Charles Duffy

non, la question est très explicite. viens de lire l'op. "Puis-je attraper un virus?" oui, sans équivoque. construire votre propre système de distribution de logiciels est une question complètement différente.

— mobileink

ps. J'ai dit "je pense" que c'est une idée terrible, qui ne peut être contestée. En fait, c’est une idée terrible que les systèmes de distribution de logiciels exigent le sudo.

— mobileink

6

Je dirais que c'est une idée encore plus terrible de permettre à un utilisateur non privilégié d'installer un logiciel dans des emplacements où il figure dans le chemin PATH par défaut pour d'autres utilisateurs non privilégiés. Ici, Homebrew est un délinquant grave. Dès qu’elle a été configurée, tout processus compromis exécuté sous l’utilisateur pertinent peut installer un logiciel /usr/local/binsans demander à l’utilisateur d’indiquer qu’il al’intention de permettre une activité administrative.

— Charles Duffy

3

Théoriquement possible, mais beaucoup moins probable. Et ce n’est pas Security SE où nous travaillons en théorie - c’est Ask Ubuntu, centré sur les utilisateurs finaux avec des questions ancrées dans la pratique.

— Charles Duffy