web-dev-qa-db-ja.com

有害なAURパッケージを認識する方法

Arch Linuxのyaourtを介してインストールされたパッケージが私のPCに有害である可能性があるかどうかをどのように認識しますか?ウィキで、インストールしたすべてのインストールを確認する必要があることを読みました。しかし、正確に何をチェックしなければならず、どのようにして悪意のあるパッケージを認識するのですか?

11
lup3x

実際にはそうではありませんが、コードの広範な監査を実行して、たとえば仮想マシンを使用して、「外部から」コードの動作を観察する必要があります。悪意のあるパッケージを見つけるための完全な方法はなく、確かに比較的簡単に回避できない自動化された方法もありません。あなたができること現実的にできることはどれも、銀の弾丸ではありません:

  • パッケージをダウンロードして解凍し(インストールしないでくださいインストールしてください!)、解凍したファイルに対してウイルスチェックを実行します。これはいくつかのよく知られている問題を見つけることができますが、対象を絞ったハックやカスタムハックはできません。
  • 使用する前に、仮想マシンにインストールし、「不審な」ファイルにアクセスしない、外部サーバーと通信する、デーモンプロセスを独自に起動するなど、何も「疑わしい」ことを行わないことを確認してください。もちろん、たとえばX時間実行した後など、定期的にそのようなことを行う可能性があり、コードの詳細な検査なしでは知ることはできません。ルートキット検出器は、この一部を自動化できます。
  • 制限された環境にインストールしてください。 SELinux、chroot刑務所、仮想マシン、個別の切断されたマシン、およびその他の多くのものには、単純な問題からアクティブな悪意のあるソフトウェアまで、さまざまなタイプの問題のあるソフトウェアが含まれている可能性があります。
  • 信頼できないマシンに読み取り専用アクセス権を付与すると、貴重な(秘密ではない)データを別のサーバーに配置できます。
  • 秘密データは、信頼できないマシンから到達できないマシンに配置する必要があります。通信はすべて、リムーバブルメディアを介した手動コピーである必要があります。

最後に、唯一の安全なソフトウェアはソフトウェアではありません。 信頼できないソフトウェアをインストールする必要がありますか?よく知られた信頼できる代替はありませんか?

7
l0b0

前に述べたように、あなたは確かに知ることができません。

私が個人的に使用する主なヒューリスティックの1つは次のとおりです。

これを手動でインストールしようとした場合は、とにかくspotify.comからダウンロードするので、これは私の本では大丈夫です。 PKGBUILDの残りの部分をざっと読んで、明らかに異常なことをしているようには見えません。もちろん、こっそりする方法はありますが、AURの悪意のあるコードの主なターゲットは、yaourtなどを使用して、ソフトウェアをインストールする前にPKGBUILDを通常は読み取らず、たとえそれが明白であっても問題を見つけられない人だと思います。

3
kellpossible