[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [OT] como convencer a la "Seguridad" de que no hay backdoors en los .deb?



On Fri, Jan 15, 2010 at 12:49:07PM -0500, Walber Zaldivar Herrera wrote:
> Cómo convencer a los **Órganos de Seguridad** de un país X (pienso
> en Cuba, porque es lo que me toca, pero puede ser cualquiera) de que
> no hay ni habrá backdoors en los .deb? (tomados de los repos
> oficiales, claro está)
> 
> Hasta que punto es auditable que el .deb que descargamos coincida
> 100% con el código fuente publicado?

Ok, suponiendo que estás usando repos oficiales, tienes garantizado
que el .deb que descargas es el que el proyecto generó (porque las
listas de paquetes están firmadas por gpg), de modo que sólo requieres
verificar que el binario coincide con el fuente.

1. Puedes descargar el paquete fuente y comparar el .orig.tar.gz con
el del proyecto original.

2. Ve a la página del paquete en Debian
(http://packages.debian.org/<paquete> ) y sígue los vínculos al PTS y
de ahí a los logs de compilación. Ahí puedes ver si el paquete fue
generado por la infraestructura de Debian o por el mantenedor del
paquete. En el primer caso, ya terminaste (a menos que no confies en
la infraestructura de Debian, claro) En el segundo, debes resolver si
confías en el mantenedor.

Y, por supuesto, siempre puedes generar tus propios binarios ;)

-- 
Rodrigo Gallardo


Reply to: