Re: [OT] como convencer a la "Seguridad" de que no hay backdoors en los .deb?

To: lista-debian <debian-user-spanish@lists.debian.org>
Subject: Re: [OT] como convencer a la "Seguridad" de que no hay backdoors en los .deb?
From: Matías Bellone <matiasbellone@gmail.com>
Date: Fri, 15 Jan 2010 15:03:11 -0300
Message-id: <[🔎] c3dd3d191001151003p6c71fabydc925153b6244b11@mail.gmail.com>
In-reply-to: <[🔎] 4B50AA93.3050605@inmobiliaria.tur.cu>
References: <[🔎] 4B50AA93.3050605@inmobiliaria.tur.cu>

2010/1/15 Walber Zaldivar Herrera <walber@inmobiliaria.tur.cu>:
> Hola:
>
> A mi no se me ocurriría preguntar por esto, pero un amigo me puso la idea y
> yo la comparto.
>
> Cómo convencer a los **Órganos de Seguridad** de un país X (pienso en Cuba,
> porque es lo que me toca, pero puede ser cualquiera) de que no hay ni habrá
> backdoors en los .deb? (tomados de los repos oficiales, claro está)
>
> Hasta que punto es auditable que el .deb que descargamos coincida 100% con
> el código fuente publicado?
>
> Sé que es una hiper-paranoia pero tenemos buenos motivos para tenerles lista
> esta respuesta a los "super segurosos".

A menos que lo hagas a mano, paquete por paquete, no se puede (o armes
una distro que así lo haga). El sistema actual de debian para armar
paquetes permite que cada paquete indique una URL en dónde revisar si
hay una nueva versión para facilitar el trabajo de quien lo mantiene.
Sin embargo, no actualiza automáticamente, eso corre por cuenta del
mantenedor que luego tiene que re-empaquetar la nueva versión con los
cambios a la meta-data del mismo; idealmente sin cambiar el código
original.

Sin embargo, por lo general no es el caso. Hay una página del proyecto
de Debian específicamente desarrollada para mostrarte esos cambios:

http://patch-tracker.debian.org/

No sólo que cada distro modifica o agrega información al código
original para adaptarlo mejor a las demás partes del sistema sino que
- además - los mismos paquetes del repositorio oficial de debian por
lo general tienen modificaciones. Un paquete de debian tiene un
directorio especial con parches que se aplican automáticamente antes
de ser compilados para generar el paquete binario que después te
bajás. Estos pueden ser para evitar bugs conocidos que todavía no
fueron solucionados en el repositorio principal o simplemente ligeras
modificaciones para que el paquete se integre mejor al sistema. Desde
archivos extras para agregar entradas en los menúes, configuraciones
por defecto a cosas más importantes como funcionalidad extra o mejor
interacción con otros sistemas o programas.

Saludos,
Toote
-- 
Web: http://www.enespanol.com.ar

Reply to:

References:
- [OT] como convencer a la "Seguridad" de que no hay backdoors en los .deb?
  - From: Walber Zaldivar Herrera <walber@inmobiliaria.tur.cu>

Prev by Date: [OT] como convencer a la "Seguridad" de que no hay backdoors en los .deb?
Next by Date: Archivo README "http://ftp-master.debian.org/ftpsync.tar.gz" en español
Previous by thread: [OT] como convencer a la "Seguridad" de que no hay backdoors en los .deb?
Next by thread: Re: [OT] como convencer a la "Seguridad" de que no hay backdoors en los .deb?
Index(es):
- Date
- Thread