Malware посредством AUR

Пока не буду качать, подожду, когда в дебиан завезут.

Думаю, 100% захочешь и не скачешь. Снесли и с github.

А в дебиан тоже ведь есть способы – скачать deb и получить тот же yandex-browser.

Ты что, ты что! Нас же дети читают!

-bin пакеты в AUR в принципе штука сомнительная, с такими чудными именами — вдвойне. Ну а кто ставит из AUR, не читая PKGBUILD — ССЗБ. Я даже немного удивлён, что подобное происходит так редко.

Кстати, суффикс -bin не всегда добавляют (для бинарных пакетов).

Пример: https://aur.archlinux.org/packages/heidisql

Я в курсе. О том и речь.

Поиск по firefox patch в AUR даёт 7 вхождений

aur/firefox-esr-globalmenu 140.0-1 (3) (0,06)
    Fast, Private & Safe Web Browser, Extended Support Release. (with appmenu patch)
aur/firefox-kde-opensuse 134.0.2-1 (Out of Date) (336) (0,00)
    Standalone web browser from mozilla.org with OpenSUSE patch, integrate better with KDE
aur/firefox-kde-opensuse-no-telemetry 121.0.1-3 (Out of Date) (2) (0,00)
    Standalone web browser from mozilla.org with OpenSUSE patch, integrate better with KDE, no telemetry
aur/firefox-no-reserved-keys-patch 1.1-1 (1) (0,00)
    hot patch Firefox after install or update to un-reserve all key bindings
aur/firefox-opensuse-bin 136.0.1-1.1 (4) (0,00)
    Standalone web browser from mozilla.org with openSUSE patches
aur/firefox-userchromejs 136-1 (3) (0,32)
    Patching Firefox to enable JS injection (userchrome-js)
aur/firefox-vaapi 140.0.4-1 (13) (0,08)
    Fast, Private & Safe Web Browser (with VA-API patches)

Использование AUR предполагает, что человек как минимум умеет читать название пакета.

А бинарники стоит ставить с неофициальных реп, где стабильно

Да, там тоже почва для майнеров и в линукс многое на доверии, но что тут делать

Как все-таки удобно в линуксах сделано. На вендах надо лазать по варезникам, антивирусы отключать, запускать всякие стремные кейгены, крякеры, хакеры, куки. А тут одна команда - и готово.

А чем поможет чтение PKGBUILD?

Ну будет в нём вызов gcc на какую-то простыню в несколько сотен кбайт, а в простыне тот же троян спрятан.

А чем поможет чтение PKGBUILD?

1. Можно увидеть, какой-то левый гит-репозиторий там, или официальный.
2. Ну и саму компиляцию, она обычно очень простая.

Ну будет в нём вызов gcc на какую-то простыню в несколько сотен кбайт

Эту простыню можно тоже проанализировать, или по крайней мере надеяться на то, что кому-то ещё будет не лень. Трояны в открытых исходниках, как правило, вскрываются достаточно быстро. Конечно, если это какая-то утилита, написанная вчера, с полутора пользователями — только самому смотреть.

редкий случай, когда и на неуловимого Джо кто-то обратил внимание…

Угроза помощников AUR ещё и в сборке зависимостей из AUR. При использовании makepkg, ставятся только зависимости из репозиториев, а из AUR надо каждую собирать отдельно, что вроде бы как повышает уровень контроля за процессом установки.

Непонятно, почему ТС акцентирует на AUR. Малварь и в плеймаркет пролезает, и в аппстор. Извечная борьба снаряда и брони.

Привет пользователям AUR-helper-ов.

Тоже самое могло быть в ppa убунты, гентушном гуру или в виде какого-нибудь плагина для неовима. Это состояние современной ИТ-шечки в целом, поэтому с каждым днем всё важнее использовать как можно больше софта напрямую от авторов и развивать механизмы его изоляции.

Конечно, если это какая-то утилита, написанная вчера, с полутора пользователями

Ага, только троян в опенсорсном и очень популярном xz заметили только спустя довольно долгое время, и то чисто случайно, потому что он имел несчастье для его (трояна) авторов быть плохо написанным и лагать. Причём он там в бинарном блобе был, несмотря на то что это типа исходники.

Тут помогает только подход не ставить ничего, что выпущено меньше 2 лет назад, и то помогает весьма условно - надеемся что хотя бы за 2 года наверно найдут.

Малварь и в плеймаркет пролезает, и в аппстор

А про них вроде и так никаких иллюзий ни у кого не было, проприетарщина же.

Пролезает?? Она туда штатно добавляется как основной контент. Это нормальный софт туда «пролезает».

Ага, только троян в опенсорсном и очень популярном xz заметили только спустя довольно долгое время

Там он очень уж хитро запрятан был. Да и вероятность такого значительно ниже, чем схватить троян просто ставя рандомные бинарники от васяна, или рандомные PKGBUILD’ы тоже от васяна. С xz был именно крайне редкий вопиющий случай, не зря он вызвал такой резонанс.

Тут помогает только подход не ставить ничего, что выпущено меньше 2 лет назад

Помогает много что. На 100% защищает мало что. Это не какой-то бинарный переключатель. Речь скорее о снижении раска, а не об абсолютной защите. Впрочем, на каких-то критически важных машинах и такой подход вполне оправдан.

А чем поможет чтение PKGBUILD?

Ну будет в нём вызов gcc на какую-то простыню в несколько сотен кбайт

Обычно PKGBUILD на каких-то 50-70 строк, где все яснопонятно даже школьнику, имеющему представление о линуксе: source=(), prepare(), build() и т.д.

Не знаю, кем надо быть, чтобы вообще ставить неведомый мусор с названиями вроде firefox-patch-bin и librewolf-fix-bin. ССЗБ, как говорится. Это как минимум.

Ну а если внутри, как ты говоришь, простыня gcc в несколько сотен кбайт, то я бы сто раз задумался, но в итоге послал бы нах такое. Никогда не встречал даже подобное.

Это тебе не батники виндовые, где хрен поймешь, что это вообще такое и что творит в системе.

Ну прочитал ты, а вирус качается с какого нибудь sourcеforgе.com где e русские. Так что желательно изучить и исходники, и сайт, и кто выкладывает на сайте.

Это тебе не батники виндовые, где хрен поймешь, что это вообще такое и что творит в системе.

Там очень простой язык, в этом какие то данные зашиты, так и для .sh делают, особенно всякие установщики.

так и для .sh делают

Знаю, не отрицаю.

Ну прочитал ты, а вирус качается с какого нибудь sourcеforgе.com где e русские.

Так не бывает.

Так что желательно изучить и исходники, и сайт, и кто выкладывает на сайте.

Ну так я и говорю, что как минимум сайт и «кто выкладывает» необходимо проверить. Исходники — желательно. Если это что-то не особо популярное — очень желательно. Но для всего это делать каждому, конечно, не представляется возможным.

Ну прочитал ты, а вирус качается с какого нибудь sourcеforgе.com где e русские.

Так не бывает.

Историю с аpple.com не помнишь?

Но для всего это делать каждому, конечно, не представляется возможным.

Вот бы были ответственные люди с опытом, которые бы таким занимались!

Историю с аpple.com не помнишь?

Я думал с тех пор перестали регистроировать такие домены. Разве нет?

В любом случае, конечно, стоит проверить, что там за url.

Какие? С использованием punycode? Тогда все домены .рф были бы невозможны.

Какие? С использованием punycode? Тогда все домены .рф были бы невозможны.

С использованием punycode под доменом первого уровня латиницей (или по крайней мере конкретно .com, .org, .net)

О нет, опять кто-то разместил троян в интернете! И куда только смотрят!

А всё почему?

А потому, что сам Рач топит в своем официальном About Arch Linux, мол, вот у нас есть оф. пакеты на все ваши нужды, а также более 49 000 еще в нашем замечательном AUR!

И ни слова про секурность, возможные дырени и бэкдоры. Или хотя бы пару слов, мол, школьники, ну читайте, пожалуйста, PKGBUILD’ы прежде чем вот это вот всё. И вообще, вы устанавливаете оттуда софт на свой страх и риск.

Офигенный дистр, ничего не имею против ибо сам пользуюсь. Офигенная вики, отдельная Security страница на оф.сайте, постоянные новости о фиксах и т.д…

Но вот этот About тупо перечеркивает всю философию. И это такой лол, что аж фейспалм :(

https://wiki.archlinux.org/title/Arch_User_Repository

Сразу же

Warning: AUR packages are user-produced content. These PKGBUILDs are completely unofficial and have not been thoroughly vetted. Any use of the provided files is at your own risk.

Потом еще раз в разделе Build the package

Warning: Carefully check the PKGBUILD, any .install files, and any other files in the package’s git repository for malicious or dangerous commands. If in doubt, do not build the package, and seek advice on the forums or mailing list. Malicious code has been found in packages before.

И я проверил, эти предупреждения добавлены еще до добавления последних вредоносных пакетов.

там еще больше того, что не нашли. я по этой причине в тч и flatpak предпочитаю. из аура я бы только vscode поставил, потому как его по-моему сами майки там обновляют…

нет. я ошибся там турок https://github.com/dcelasun, живущий в лондоне, но он доверие вроде вызывает

Ну, я больше про «About» на оф.сайте, а не вики АУРа.

AUR одна из самых странных идей в арче. Не понимаю, зачем он нужен. С одной стороны это помойка. С другой стороны это централизованный ресурс, который подразумевает ответственность владельцев домена за содержимое.

Хочешь PKGBUILD распространять - ну создай репозиторий на github или sourceforge или mycoolhomepage и всё. Зачем этот aur-то нужен.

Хочешь PKGBUILD распространять - ну создай репозиторий на github или sourceforge или mycoolhomepage и всё. Зачем этот aur-то нужен.

Затем, что фиг найдёшь этот PKGBUILD потом. Особенно по нечётким критериям. И обновляться относительно централизованно не получится.

AUR очень здорово решает эти проблемы. Он тупо удобен. Но да, в плане безопасности, естественно, относиться к нему стоит точно так же, как к PKGBUILD’ам с сайта Васяна, и не ставить даже не читая PKGBUILD, как некоторые.

Так PKGBUILD для -bin пакетов ровно такой же. Ещё проще даже. Там просто скачивается архив, распаковывается и перекладывается. Его просмотреть и аудит сделать куда проще, чем аудит для исходников. Он уже собран в нужном виде. А исходники ещё надо собрать как положено. Добавят там какой-нибудь флаг --enable-fluent-api, ты чё будешь вдумываться, что за флаг? Пропутсишь и всё. А это включается бэкдор, например.

Затем, что фиг найдёшь этот PKGBUILD потом. Особенно по нечётким критериям.

Чего это фиг найдёшь? Ровно так же, как сейчас. По ссылке из арчвики или из форума или из гугла.

И обновляться относительно централизованно не получится.

Да ровно так же, как и сейчас. git pull, git log, git diff, makepkg --clean и всё.

AUR очень здорово решает эти проблемы.

Нет, он не решает ни одной проблемы, вообще. Он мог бы их решать, если бы там была серьёзная модерация, но этой модерации там нет и не будет. Это тупо файлопомойка, за которую кто-то зачем-то платит из своего кармана и которая подтачивает репутацию дистрибутива.

Я не имею в виду конкретно -bin, а стремные названия вроде firefox-patch и librewolf-fix. Avast-zvercd-edition еще б скомпилили, а потом жаловались. Головой надо думать, а не пятой точкой.

Вот что им реально надо сделать - это добавить -bin пакеты для популярных программ в основные репозитории. chrome, vscode, другие популярные программы. Это то, чем люди реально пользуются.

По ссылке из арчвики или из форума или из гугла.

В AUR никто так не ищет, в том и дело, что есть нормальный поиск по самому AUR.

Да ровно так же, как и сейчас. git pull, git log, git diff, makepkg –clean и всё.

На каждый пакет отдельно каждый день? Ну можно, конечно. Но звучит не очень.

Он мог бы их решать, если бы там была серьёзная модерация, но этой модерации там нет и не будет.

Это позволило бы решать больше проблем.

Если бы AUR не было, его тупо стоило бы сделать сообществу в любом случае. Собирая и каталогизируя эти разрозненный PKGBUILD’ы из твоей идеи.

Это тупо файлопомойка, за которую кто-то зачем-то платит из своего кармана

Ну и спасибо им за это

которая подтачивает репутацию дистрибутива

AUR не является частью дистрибутива, у него своя репутация, отдельная. На репутацию дистрибутива он не влияет. Ну может совсем чуть-чуть и положительно — ведь благодаря ему экономится довольно много времени.

В AUR никто так не ищет, в том и дело, что есть нормальный поиск по самому AUR.

Полный идиотизм - пользоваться поиском по AUR. Не думаю, что кто-то этим всерьёз занимается. Это фича с отрицательной пользой.

На каждый пакет отдельно каждый день? Ну можно, конечно. Но звучит не очень.

Нормально звучит. Это единственный рекомендуемый подход. Собственно AUR работает ровно так же.

Если бы AUR не было, его тупо стоило бы сделать сообществу в любом случае. Собирая и каталогизируя эти разрозненный PKGBUILD’ы из твоей идеи.

Нет, не стоило. Централизация это зло и несёт с собой только цензуру и угнетение.

AUR не является частью дистрибутива, у него своя репутация, отдельная.

Домен aur является поддоменом archlinux.org, стало быть его репутация напрямую влияет на репутацию дистрибутива.

Полный идиотизм - пользоваться поиском по AUR. Не думаю, что кто-то этим всерьёз занимается. Это фича с отрицательной пользой.

Никакого идиотизма. Это очень удобно, и именно так многие и делают. В этом и смысл.

Нормально звучит. Это единственный рекомендуемый подход. Собственно AUR работает ровно так же.

Нет. В случае с AUR не приходится стучаться на 100500 git-серверов, из которых половина лежит, половина заблокирована, половина ещё что-то.

Нет, не стоило. Централизация это зло и несёт с собой только цензуру и угнетение.

В случае, предложенном мной в случае отсутствия AUR, это была бы не централизация, а каталогизация.

Домен aur является поддоменом archlinux.org, стало быть его репутация напрямую влияет на репутацию дистрибутива.

Нет, не стало быть. Чтобы утверждать, что репутация AUR влияет непосредственно на репутацию дистрибутива как такового, хорошо бы провести исследование этого влияния. Пока это лишь догадки. Может и верные, тут я на 100% не уверен. Но я лично никогда не встречал плохого отношения к Арчу именно из-за AUR. Обратное — постоянно.

AUR - по-моему проверка надёжности маинтейнеров перед добавлением софта в репозиторий. Если разработчик заслужил доверие, то его софт добавят в офф. репы. Поэтому разработчики и предупреждают, что пакеты AUR нужно использовать на свой страх и риск.