On Fri, Jan 15, 2010 at 02:38:26PM -0500, Walber Zaldivar Herrera wrote:
Rodrigo Gallardo escribió:
Ok, suponiendo que estás usando repos oficiales, tienes garantizado
que el .deb que descargas es el que el proyecto generó (porque las
listas de paquetes están firmadas por gpg), de modo que sólo requieres
verificar que el binario coincide con el fuente.
Por supuesto que YO confío en Debian ;)
El escenario de la hiper-paranoia sería
los fuentes del paquete X, con las modificaciones de Debian están publicos
Debian compila y empaqueta, pero en ese proceso alguien conocido
como MaloMalo adiciona una orden "plan de dominación mundial" :) y
genera el .deb
El .deb se supone que no tenga la orden "plan de dominación mundial"
pero la tiene porque no está en las fuentes publicadas sino en las
que manipuló MaloMalo en el último instante.
por lo que veo de los logs, MaloMalo no tiene forma de incluir su
plan sin ser detectado por otros. O me equivoco?
MaloMalo tendría que haberse apoderado de la máquina en la que se
construyó el binario, que según tu arquitectura es o la del mantenedor
o un autobuilder. En el segundo caso podría también haberse apoderado
de la comunicación entre el autobuilder y el encargado de dicho
autobuilder.
Dejo de tarea a tus paranoicos amigos encontrar escenarios en los que
eso pudiera ocurrir ;)