ticks plots mtext r cran

plots - r plot scale



Problemas de seguridad con los paquetes CRAN (0)

[Edición: junio de 2013] Ha aparecido un artículo en ArXiv que describe este problema con mayor detalle y sugiere algunas soluciones: http://arxiv.org/abs/1303.4808 . Aparecerá en el Journal of Statistical Software más adelante en 2013.

Tengo un cronjob en mis servidores de Ubuntu que descarga e instala todos los paquetes fuente de CRAN. Sin embargo en el mismo servidor comencé a notar alguna actividad irregular. Puede que no tenga ninguna relación, pero me hizo pensar si podría existir la posibilidad de que algunos paquetes CRAN contengan código malicioso.

El proceso de crear y publicar un paquete de grúas es extremadamente fácil. Tal vez un poco demasiado fácil. Subes tu paquete al FTP, Kurt hará una comprobación y lo publicará. Con el volumen de paquetes R que se cargan todos los días, es razonable suponer que no se está realizando una auditoría exhaustiva del paquete. Además, no se puede firmar un paquete con una clave privada, como la mayoría de los paquetes de distribución. Incluso la dirección de correo electrónico en la descripción rara vez se verifica.

Ahora no sería muy difícil incluir algún código que instale un rootkit, ya sea en tiempo de compilación o en tiempo de ejecución. El tiempo de compilación es probablemente más vulnerable, porque instalo mis paquetes usando sudo, lo que probablemente debería dejar de hacer. Pero también en tiempo de ejecución se puede hacer mucho. El kernel de Linux ha tenido varias vulnerabilidades de seguridad últimamente, y me he confirmado que puede ser extremadamente fácil obtener root a través de un exploit de escalado de privilegios, en un sistema completamente actualizado. Como R generalmente tiene acceso a Internet, el código malicioso ni siquiera tiene que ser incluido en el paquete, simplemente se puede descargar desde algún lugar usando wget o download.file ().

Dicho esto, ¿los usuarios de R están considerando esto en absoluto? ¿O es la filosofía principalmente de que solo debes descargar paquetes de personas de confianza? Aún sin firmar los paquetes eso no es muy confiable. ¿Cuál podría ser un enfoque más seguro para instalar paquetes de cran? He considerado algo así como una máquina separada para construir paquetes y luego copiar los binarios, y siempre ejecutando R en una caja de arena. Eso es un poco engorroso sin embargo.