apt
su un sistema Ubuntu predefinito sarà molto improbabile per ottenere virus. Tuttavia, ciò non significa che non sia possibile:
-
PPA dannoso
Una delle caratteristiche di APT è la possibilità per gli amministratori di aggiungere archivi di pacchetti personali (PPA) o altre fonti software alla cache APT. Queste fonti APT di terze parti non sono necessariamente affidabili e potrebbero contenere virus. Tuttavia, ci vorrebbe un'azione intenzionale da parte dell'amministratore della macchina per aggiungere una di queste fonti infette, rendendo piuttosto difficile l'aggiunta di se stessa.
-
Repository compromesso
In teoria, un repository software può essere violato da una parte malintenzionata, causando il download di .deb
di file potenzialmente in grado di trasportare payload dannosi. Tuttavia, i repository software ufficiali sono osservati molto attentamente e la sicurezza di questi repository è piuttosto limitata. Un hacker sarebbe costretto a rimuovere una delle fonti software ufficiali di Ubuntu, ma fonti di software di terze parti (vedi sopra) potrebbero essere compromesse molto più facilmente.
-
Attivi MITM / attacchi di rete
Se una rete è compromessa più in alto (ad esempio, dal proprio ISP), è possibile ottenere un virus da fonti di software ufficiali. Tuttavia, un attacco di questo calibro richiederebbe un enorme sforzo e la capacità di Man-In-The-Middle in molti siti, inclusi i server di distribuzione delle chiavi GPG e i repository ufficiali.
-
Codice mal scritto / malevolo
Le vulnerabilità esistono nel codice open source, peer-reviewed e mantenuto. Sebbene queste cose non siano tecnicamente considerate "virus" per definizione, alcuni exploit nascosti o mai rivelati nel codice potrebbero consentire a un utente malintenzionato di inserire un virus o attivare il sistema. Un esempio di questo tipo di problema potrebbe essere Heartbleed di OpenSSL o il più recente Dirty CoW. Tieni presente che i programmi dei repository universe
o multiverse
sono potenziali minacce di questo calibro, come spiegato qui .
apt
(a causa della sua importanza sui sistemi Linux) è abbastanza pesantemente protetto da quasi tutti questi tipi di attacchi sia lato client che lato server. Anche se sono possibili, un amministratore che sa cosa sta facendo e sa leggere i log degli errori sarà in grado di impedire che questi attacchi si verifichino.
Inoltre, apt
impone anche la verifica della firma per garantire che i file scaricati siano legittimi (e scaricati correttamente ), rendendo ancora più difficile l'intrusione di malware attraverso apt
, come queste firme digitali non può essere falso.
Per rispondere a un incidente di infezione da malware, il percorso più semplice è quello di masterizzare il sistema a terra e ricominciare da un backup recente (e noto-pulito). A causa della natura di Linux, può essere molto facile per il malware manifestarsi in modo così profondo nel sistema che non può mai essere trovato o estratto. Tuttavia, pacchetti come clamav
e rkhunter
possono essere utilizzati per eseguire la scansione di un sistema per le infezioni.