Re: [OT] como convencer a la "Seguridad" de que no hay backdoors en los .deb?

To: debian-user-spanish@lists.debian.org
Subject: Re: [OT] como convencer a la "Seguridad" de que no hay backdoors en los .deb?
From: Rodrigo Gallardo <rodrigo@nul-unu.com>
Date: Fri, 15 Jan 2010 13:21:39 -0800
Message-id: <[🔎] 20100115212139.GG3748@nabiki.intranet.nul-unu.com>
In-reply-to: <[🔎] 4B50C432.6020603@inmobiliaria.tur.cu>
References: <[🔎] 4B50AA93.3050605@inmobiliaria.tur.cu> <[🔎] 20100115182256.GF3748@nabiki.intranet.nul-unu.com> <[🔎] 4B50C432.6020603@inmobiliaria.tur.cu>

On Fri, Jan 15, 2010 at 02:38:26PM -0500, Walber Zaldivar Herrera wrote:
> Rodrigo Gallardo escribió:
> 
> >Ok, suponiendo que estás usando repos oficiales, tienes garantizado
> >que el .deb que descargas es el que el proyecto generó (porque las
> >listas de paquetes están firmadas por gpg), de modo que sólo requieres
> >verificar que el binario coincide con el fuente.
> 
> Por supuesto que YO confío en Debian ;)
> 
> El escenario de la hiper-paranoia sería
> 
> los fuentes del paquete X, con las modificaciones de Debian están publicos
> 
> Debian compila y empaqueta, pero en ese proceso alguien conocido
> como MaloMalo adiciona una orden "plan de dominación mundial" :) y
> genera el .deb
> 
> El .deb se supone que no tenga la orden "plan de dominación mundial"
> pero la tiene porque no está en las fuentes publicadas sino en las
> que manipuló MaloMalo en el último instante.
> 
> por lo que veo de los logs, MaloMalo no tiene forma de incluir su
> plan sin ser detectado por otros. O me equivoco?

MaloMalo tendría que haberse apoderado de la máquina en la que se
construyó el binario, que según tu arquitectura es o la del mantenedor
o un autobuilder. En el segundo caso podría también haberse apoderado
de la comunicación entre el autobuilder y el encargado de dicho
autobuilder.

Dejo de tarea a tus paranoicos amigos encontrar escenarios en los que
eso pudiera ocurrir ;)

-- 
Rodrigo Gallardo

Reply to:

Follow-Ups:
- Re: [OT] como convencer a la "Seguridad" de que no hay backdoors en los .deb?
  - From: Abejo <the.abejo@yahoo.com.ar>

References:
- [OT] como convencer a la "Seguridad" de que no hay backdoors en los .deb?
  - From: Walber Zaldivar Herrera <walber@inmobiliaria.tur.cu>
- Re: [OT] como convencer a la "Seguridad" de que no hay backdoors en los .deb?
  - From: Rodrigo Gallardo <rodrigo@nul-unu.com>
- Re: [OT] como convencer a la "Seguridad" de que no hay backdoors en los .deb?
  - From: Walber Zaldivar Herrera <walber@inmobiliaria.tur.cu>

Prev by Date: Re: [OT] como convencer a la "Seguridad" de que no hay backdoors en los .deb?
Next by Date: Re: [OT] como convencer a la "Seguridad" de que no hay backdoors en los .deb?
Previous by thread: Re: [OT] como convencer a la "Seguridad" de que no hay backdoors en los .deb?
Next by thread: Re: [OT] como convencer a la "Seguridad" de que no hay backdoors en los .deb?
Index(es):
- Date
- Thread