Intereting Posts

Почему нельзя добавить угрозу в список sources.list?

Чтобы установить Sublime, он хочет, чтобы я добавил ключ GPG и запись sources.list, чтобы apt-get мог его найти. Несколько других программ просили то же самое. Почему не добавление доменов в sources.list не является угрозой безопасности?

То есть: предположим, что пакет A должен исходить от хоста B. Я добавляю хост C в новый список sources.list. Хост C подрывается, злоумышленник размещает вредоносный пакет и вызывает его A. В следующий раз, когда я пытаюсь обновить A, apt-get проверяет источники и решает загрузить его из C вместо B, и я получаю вредоносную версию.

Ответ: так и есть .

Всегда существует риск введения дополнительных источников для пакетов, независимо от того, какой дистрибутив / ОС вы используете. Использование ключей GPG в теории помогает снизить риски, поскольку теоретически кому-то придется:

  1. получить доступ к серверу, с которого обслуживаются двоичные файлы
  2. получить доступ к закрытому ключу GPG, который использовался для подписи двоичных файлов
  3. упаковывать новые версии скомпрометированных двоичных файлов, подписывать их и затем помещать на сервер

В этом сценарии кому-то придется пройти через несколько слоев, чтобы сделать что-то гнусное. Как всегда в случае с безопасностью. Это все о слоях! Чтобы сообщество могло процветать и стоять на плечах других, вы должны быть готовы отказаться от изоляции и довериться другим.

И имейте в виду, что серверы, обслуживающие файлы, ранее были в разной степени скомпрометированы, но обычно они сразу обнаруживаются и могут быть устранены в короткие сроки.

Предыдущие атаки

  • Веб-сайт Fedora взломан, но серверы не повреждены!
  • В репозитории пользователей Arch Linux обнаружены вредоносные программные пакеты
  • В архиве пакетов AUR для Linux найдено вредоносное ПО

подсказки

  • Всегда тщательно проверяйте URL и убедитесь, что они законны
  • Не добавляйте репозитории, если вам не нужен пакет из них
  • Периодически проверяйте ваш источник
  • Периодически проверять ключи GPG, используемые сайтами для подписи пакетов
  • Будьте прилежны к тому, чтобы оставаться в курсе на пакетах