Malware sous Ubuntu...

Seren · Le 10/12/2009, à 11:10

Ca commence.

Un blog rapporte que plusieurs utilisateurs ont installés à leur insu un malware sous Ubuntu.

Un .deb sur gnome-look.org qui se présentait comme un simple économiseur d'écran installait aussi un script pouvant être utiliser pour faire du Déni de Service et se mettre à jour automatiquement.

La source et plus d'info en anglais sur le lien suivant :

http://theravingrick.blogspot.com/2009/12/and-so-it-begins.html

C'est juste un rappel pour ne pas installer n'importe quel *.deb qu'on trouve sur le net, même si ça semble être un site de confiance. Je pense pas que gnome-look ou kde-look vérifie le contenu de tous les deb uploadés.

(Ca me fait penser que j'ai téléchargé quelques plasmoïdes sur kde-look et que donc potentiellement je pourrais être une victime...)

Dernière modification par Seren (Le 10/12/2009, à 17:52)

DrDam · Le 10/12/2009, à 11:13

les dépot c'est pas pour les chiens ...

après si tu pompe des deb n'importe ou ... c'est ton problème ...

Seren · Le 10/12/2009, à 11:19

DrDam a écrit :

les dépot c'est pas pour les chiens ...
après si tu pompe des deb n'importe ou ... c'est ton problème ...

Ah j'apprécie cette répartie qui fleure bon l'esprit si communautaire et si convivial des distributions Linux. Ca fait chaud au coeur d'avoir rejoins cette grande famille...

Et gnome-look.org c'est pas précisemment n'importe où, c'est un site qui est régulièrement conseillé dans ce forum.

Et c'est pas uniquement un problème de dépôt / archive tar ou deb, tu prends n'importe quel PPA sur Launchpad, rien ne te garantit qu'il n'y ait pas de malware dedans. Il n'y a aucun méchanisme de contrôle.

Mon message est simplement là pour prévenir les gens qui n'auraient pas conscience de ce genre de problème, avec un exemple concret.

Dernière modification par Seren (Le 10/12/2009, à 12:13)

DrDam · Le 10/12/2009, à 11:32

Seren a écrit :

Mon message est simplement là pour prévenir les gens qui n'auraient pas conscience de ce genre de problème, avec un exemple concret.

et le miens n'est là pour prévenir les gens qu'avant d'utiliser un OS, on apprend comment il fonctionne ...

Seren · Le 10/12/2009, à 11:38

DrDam a écrit :

Seren a écrit :
Mon message est simplement là pour prévenir les gens qui n'auraient pas conscience de ce genre de problème, avec un exemple concret.
et le miens n'est là pour prévenir les gens qu'avant d'utiliser un OS, on apprend comment il fonctionne ...

Oui mais quel intérêt ? Les gens qui ont conscience de ce problème de sécurité évidemment savent ce qu'ils font.

Evidémment ce message est à destination de ceux qui pensent qu'il ne peut pas y avoir de problème de confiance sous Ubuntu. Tu crois que nativement tous les utilisateurs débutants sous Linux et Ubuntu ont conscience des failles de sécurités ?

Si il ne lise pas cette info sur un blog, ou sur un forum comment ils peuvent comprendre ?

calimero · Le 10/12/2009, à 11:38

Ho les gars STOP svp
Tout le monde peut faire des erreurs et Seren en a fait une. Il la partage pour éviter que d'autres personnes tombent dans le même panneau.
Je comprend l'avertissement de DrDam comme quoi, quand on prend des paquets non certifiés on peut s'attendre à de mauvaises suprises mais on peut le faire en bonne intelligence et avec courtoisie

" La pierre précieuse ne peut pas être polie sans frottements, et l' homme ne s'accomplit pas sans subir d'épreuves. "
- Proverbe bouddhiste chinois -

Nazebrock · Le 10/12/2009, à 11:59

DrDam a écrit :

les dépot c'est pas pour les chiens ...
après si tu pompe des deb n'importe ou ... c'est ton problème ...

/me aime ca (y)

It just begins, comme disait l'autre

Dernière modification par Nazebrock (Le 10/12/2009, à 12:00)

exzemat · Le 10/12/2009, à 12:06

ne pas télécharger n'importe ou ça ne veut pas dire grand chose!

sous ubuntu je télécharge mes .deb sur getdeb : site de confiance ? oui puisque officiel .

quand j'étais sous windows je téléchargeais mes log sur clubic : site de confiance pour windows ? rien d'officiel dans ce site pourtant...

certes pour trouver un thème gtk, des icones...je vais sur gnome look où en principe il ne devrait pas y avoir de .deb mais il n'y a pas que les .deb qui peuvent être dangereux et un script exécutable dans une archive d'un screensaver parait tout à fait logique.

le problème est que la confiance que l'on peut accorder à des non officiels mais professionnels (10 personnes travaillent chez clubic) quand on est sous windows, on ne peut pas le faire sous nux car des sites même hautement connus et reconnus ne sont pas tenus par des pros: ce qui est mis en téléchargement l'est par des utilisateurs et non par une équipe vérifiant le contenu.

on touche là à un problème du libre : la communauté compte des brebis galeuses !!
on ne peut donc faire confiance à des non professionnels.

exzemat qui a téléchargé d'innombrables paquets (screenlets, wallpaper dynamique, pack d'icones, theme gtk...et sreensaver) sur gnome look.

Dernière modification par exzemat (Le 10/12/2009, à 12:43)

mika · Le 10/12/2009, à 12:24

Mouai enfin des deb hein, y en a partout... Du coup les contributeurs anonymes qui se font chier pour faire un deb d'un logiciel qui n'en on pas sont potentiellement dangereux ?

Les dépôts c'est bien, c'est pas un aboutissement non plus, d'autant plus que certains datent un peu au niveau des versions. Après, les risques et les douleurs, c'est autre chose.

et le miens n'est là pour prévenir les gens qu'avant d'utiliser un OS, on apprend comment il fonctionne ...

humm hummm... La il vient d'apprendre justement, et encore une fois utiliser des depots "non vérifiés" est fréquent pour peux que tu veuilles essayer des trucs sans compiler obligatoirement, j'en ai moi même fait pour deux trois trucs et ça m'aurait franchement fait chier qu'on me balance "j'en veux pas de ton dépôt, c'pas officiel" après m'être bien cassé les burnes à packager ça.

on touche là à un problème du libre: la communauté compte des brebis galeuses !!
on ne peut donc faire confiance à des non professionnels.

Et pourtant je fais plus confiance à certains non professionnels qu'à de sois disant pro. C'est pas un problème du libre,
c'est un problème tout court

Dernière modification par mika (Le 10/12/2009, à 12:38)

Keldath · Le 10/12/2009, à 12:54

exzemat a écrit :

sous ubuntu je télécharge mes .deb sur getdeb : site de confiance ? oui puisque officiel .

Ah bon ? Je lis ça sur le site du projet : "GetDeb is an unofficial project..."

Il faut utiliser :
1) des dépôts signés officiels
2) des paquets officiels signés par leurs mainteneurs

Ça a été inventé justement pour éviter d'être exposé à ces problèmes.
Si ce qu'on cherche ne s'y trouve pas et bien... :
- [SAFE] soit on s'en passe (calmer nos ardeurs sur les nouveautés) <- ma préférée,
- [RISQUÉE] soit on récupère un binaire sans aucune garantie de son intégrité (comme sous Microsoft Windows généralement),
- [RISQUÉE] soit on récupère un binaire packagé genre Deb non-signé où on apprend à lire les scripts preinst & postrm,
- [SAFE] soit (si c'est libre) on compile les sources depuis le dépôt officiel du projet (pas donné à tous, mais cette liberté nous est donnée et reste faisable),

Utiliser un OS sécurisé engendre forcément des contraintes à l'utilisation. Si on veut s'affranchir de ces contraintes, faut s'attendre à choper des merdes.

Dernière modification par Keldath (Le 10/12/2009, à 12:56)

mika · Le 10/12/2009, à 13:01

Vi t'as raison, la compilation reste le meilleur moyen d'essayer sans trop de risques (encore que, un patch malicieux, ça peut se faire).

Reste que comme tu le dis ça fait peur à beaucoup, sans parler des tonnes de lib dev qu'a terme on à sur sa machine (ce qui me dérange pas mais bon, chacun voit midi à sa porte).

J'aurais dit, utiliser un OS tout court engendre des contraintes, mais faut pas non plus paranoyer, ce genre de probleme ça reste anecdotique (pour le moment) et ça à été vite decelé.

Quoi qu'il en soit seren à eu raison de poster ici, ça pourra toujours faire réfléchir certains et éviter à d'autre de vouloir une "zolie chute d'eau en wallpaper".

Nazebrock · Le 10/12/2009, à 13:06

Le problème c'est que les dépots officiels, on trouve pas tout dedans et on trouve pas les dernières versions non plus.

Dès lors, il faudra s'attendre à ce que l'utilisateur aille chercher ses .deb ici et là.

lalimace · Le 10/12/2009, à 14:24

Questions peut être bête: quand on nous demande de rajouter des lignes dans notre sources.list, notemment dans les tutos sur ubuntu-fr, qu'est ce qui nous garantit l'intégrité de ce qu'on téléchargera du coup, parce que tout n'est pas officiel, non?

seb24 · Le 10/12/2009, à 14:52

parce que tout n'est pas officiel, non?

Mis à part les depôts officiel tu n'as pas de garantie à 100%. De ce coté c'est encore un point ou la logithèque Ubuntu devrait apporter un plus non négligeable.

DrDam · Le 10/12/2009, à 15:03

Nazebrock a écrit :

Le problème c'est que les dépots officiels, on trouve pas tout dedans et on trouve pas les dernières versions non plus.

Il ne tiens qu'a toi de faire ce qu'il faut pour que les dernières version soient "validées"

@Keldath : +42 pour ton post ...

Keldath a écrit :

Utiliser un OS sécurisé engendre forcément des contraintes à l'utilisation. Si on veut s'affranchir de ces contraintes, faut s'attendre à choper des merdes.

Perso j'ai un PC avec windows, j'ai pas de part-feu (mon routeur machin-box suffit) et mon anti-virus reste en veille .... des que je télécharge un fichier :
1- scan Anti-virus
2- renommage
3- déplacement
4- exécution

Il suffit juste de ne pas télécharger n'importe quoi, n'importe comment ... C'est valable également sous GNU/Linux

exzemat · Le 10/12/2009, à 15:26

Ah bon ? Je lis ça sur le site du projet : "GetDeb is an unofficial project..."

...tu as raison.

décidément....

Nazebrock · Le 10/12/2009, à 15:34

DrDam a écrit :

Nazebrock a écrit :
Le problème c'est que les dépots officiels, on trouve pas tout dedans et on trouve pas les dernières versions non plus.
Il ne tiens qu'a toi de faire ce qu'il faut pour que les dernières version soient "validées"

Je dois faire quoi ?

RegisBurin · Le 10/12/2009, à 15:39

Comme je le dis souvent (et surtout à mes amis Win-user...):

Le meilleur des anti-virus du monde c'est... TOI

Quand tu télécharge/installe un soft, une mise à jour, un gadget non-officiel/non-maintenu, tu SAIS les risques que tu encoures.

La "course à la dernière version", pour ce qui est des softs maintenus, c'est bien car tu en profite pour devenir testeur et rapporteur de bugs éventuels. C'est risqué au niveau stabilité, mais tu es prévenu (en général)...

Alors que l'installation de soft/MàJ/gadgets non maintenus, c'est à chacun de se raisonner et d'admettre que l'on s'exposes à des risques (instabilité, bugs, malware...).

Et, surtout, de ne pas venir se plaindre d'infection...

Chacun son libre-arbitre, chacun fait ses choix...

Personnellement (et par expérience sous Win), j'applique le principe de précaution. Pas de paquets non-maintenus, ou peu et dans la mesure où les retours d'expérience (commentaires forums, etc...) sont positifs.

Ce que j'ai du mal à comprendre, c'est pourquoi certains petits c*** s'amuse à faire ce genre de chose... Ca décrédibilise les OS Linux, dont la réputation se fait sur la stabilité et l'absence de véroles. C'est ouvrir la porte aux critiques des programmeurs/revendeurs des OS proprios.

[mode parano ON]
A moins que ce ne soient des programmeurs de chez Win/Mac qui aient été mandatés pour réaliser des malwares Linux, pour que leurs patrons récupèrent les parts de marché qu'ils perdent petit à petit...
"Hé... vous avez vu, l'autre pinguoin ridicule... l'est pô plus sûr que nous en fait...?"
[mode parano OFF]

HP · Le 10/12/2009, à 15:48

exzemat a écrit :

[…] (10 personnes travaillent chez clubic) quand on est sous windows, on ne peut pas le faire sous nux car des sites même hautement connus et reconnus ne sont pas tenus par des pros: ce qui est mis en téléchargement l'est par des utilisateurs et non par une équipe vérifiant le contenu.
on touche là à un problème du libre : la communauté compte des brebis galeuses !!
on ne peut donc faire confiance à des non professionnels.

Oui, il est bien connu que ceux qui ne travaillent pas sont des mécréants !

Compte0 · Le 10/12/2009, à 16:12

c'est un peu un douche froide, ce malware. les ubunteros pris dans le piège le plut basique du windowsien débutant: l'installation de saloperie venu d'internet.

On est tous d'accords, les dépôts c'est mieux. Mais là, il s'agit d'un thème, et dans les dépôts, y'en a (très?) peu. Pareil, qui n'as pas vu dans les rapports de bug du launchpad, des personnes qui propose des patch depuis leur PPA ? Alors, même en lisant les preinst & postrm, on est tjrs pas sur que le binaire ne soit pas vérolé. Et la compilation de source n'est pas le meilleur moyen de garder une installation propre et sûr (Non seulement de compiler les sources, tu dois surveiller la sortie du moindre correctif de sécurité)

Donc pour résumer, y'a plein de raison valables d'installer des logiciels autre que ceux de dépôts Ubuntu et pas le début d'une méthode pour s'assurer de la qualité du paquet. Reste une notion bien, difficile à définir, de confiance.

Bienvenue dans la réalité.

Keldath · Le 10/12/2009, à 16:55

Alors, même en lisant les preinst & postrm, on est tjrs pas sur que le binaire ne soit pas vérolé

Je ne dis pas le contraire (d'où la marque [RISQUÉE] devant), c'est juste le maximum qu'on puisse faire sur un paquet binaire Debian.

Donc pour résumer, y'a plein de raison valables d'installer des logiciels autre que ceux de dépôts Ubuntu et pas le début d'une méthode pour s'assurer de la qualité du paquet.

Oui, mais cela fait donc plein de raisons valables de n'utiliser que les dépôts officiels (MAJ de sécurité, cohérence du système), ce travail étant effectué par des équipes compétentes

On choisit un OS aussi sur ce genre de critères. Là au travail on a parfois des ennuis avec Ubuntu sur les versions de PostgreSQL des dépôts (y'en a qu'une ou deux de proposées alors qu'on aimerait une version antérieure, sans non plus rétrograder l'ensemble du système). Solution retenue pour plus de souplesse : FreeBSD/Gentoo, avec toutes les contraintes qu'implique l'utilisation de ces systèmes.

À mon sens Microsoft Windows reste la plate-forme la plus aisée pour installer des versions précises d'applis quelle que soient leurs origines ("avec toutes les contraintes qu'implique l'utilisation de ce système aussi" )
Et d'un autre côté, mon beau-père qui lutte avec sa souris sous son Hardy il s'en tape de ne pas utiliser la version 3.5 de Firefox. Ce sont généralement les technophiles qui font la course à la nouveauté.

Rien n'est parfait dans ce monde, ni même dans le monde du libre !

bloublou · Le 10/12/2009, à 17:39

D'où l'intérêt d'utiliser une distribution à jour.
Pas besoin d'aller piocher dans des dépôts tiers.

exzemat · Le 10/12/2009, à 18:16

HP a écrit :

Oui, il est bien connu que ceux qui ne travaillent pas sont des mécréants !

ce n'est pas cela que je disais : il y a une différence entre un site où tout le monde et n'importe qui peut mettre ce qu'il veut et un site où ce sont des pro.
d'autant plus que ceux ci vérifient (un minimum) avant de mettre en ligne.

mais je suppose que tu m'avais très bien compris

HP · Le 10/12/2009, à 18:28

exzemat a écrit :

HP a écrit :
Oui, il est bien connu que ceux qui ne travaillent pas sont des mécréants !
ce n'est pas cela que je disais […]
mais je suppose que tu m'avais très bien compris

Justement non… et je comprends pas mieux maintenant !

De toute façon, pour télécharger un logiciel, il faut se rendre sur son site officiel… donc, en définitive, je ne comprendrai jamais à quoi servent des sites comme Clubic… à part afficher des AdSense.

Dernière modification par HP (Le 10/12/2009, à 18:29)

Atok · Le 10/12/2009, à 19:03

... évidemment, pour installer un .deb on donne les droits root... à partir de là le script peut tout faire.
Comme dit plus haut, les dépots c'est pas là pour rien.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 10/12/2009, à 11:10

Malware sous Ubuntu...

#2 Le 10/12/2009, à 11:13

Re : Malware sous Ubuntu...

#3 Le 10/12/2009, à 11:19

Re : Malware sous Ubuntu...

#4 Le 10/12/2009, à 11:32

Re : Malware sous Ubuntu...

#5 Le 10/12/2009, à 11:38

Re : Malware sous Ubuntu...

#6 Le 10/12/2009, à 11:38

Re : Malware sous Ubuntu...

#7 Le 10/12/2009, à 11:59

Re : Malware sous Ubuntu...

#8 Le 10/12/2009, à 12:06

Re : Malware sous Ubuntu...

#9 Le 10/12/2009, à 12:24

Re : Malware sous Ubuntu...

#10 Le 10/12/2009, à 12:54

Re : Malware sous Ubuntu...

#11 Le 10/12/2009, à 13:01

Re : Malware sous Ubuntu...

#12 Le 10/12/2009, à 13:06

Re : Malware sous Ubuntu...

#13 Le 10/12/2009, à 14:24

Re : Malware sous Ubuntu...

#14 Le 10/12/2009, à 14:52

Re : Malware sous Ubuntu...

#15 Le 10/12/2009, à 15:03

Re : Malware sous Ubuntu...

#16 Le 10/12/2009, à 15:26

Re : Malware sous Ubuntu...

#17 Le 10/12/2009, à 15:34

Re : Malware sous Ubuntu...

#18 Le 10/12/2009, à 15:39

Re : Malware sous Ubuntu...

#19 Le 10/12/2009, à 15:48

Re : Malware sous Ubuntu...

#20 Le 10/12/2009, à 16:12

Re : Malware sous Ubuntu...

#21 Le 10/12/2009, à 16:55

Re : Malware sous Ubuntu...

#22 Le 10/12/2009, à 17:39

Re : Malware sous Ubuntu...

#23 Le 10/12/2009, à 18:16

Re : Malware sous Ubuntu...

#24 Le 10/12/2009, à 18:28

Re : Malware sous Ubuntu...

#25 Le 10/12/2009, à 19:03

Re : Malware sous Ubuntu...

Pied de page des forums