Re: [OT] como convencer a la "Seguridad" de que no hay backdoors en los .deb?

To: debian-user-spanish@lists.debian.org
Subject: Re: [OT] como convencer a la "Seguridad" de que no hay backdoors en los .deb?
From: ga <ga@kutxa.homeunix.org>
Date: Sun, 17 Jan 2010 15:25:43 +0100
Message-id: <[🔎] 20100117142543.GA25746@kutxa.homeunix.org>
In-reply-to: <[🔎] 4B50AA93.3050605@inmobiliaria.tur.cu>
References: <[🔎] 4B50AA93.3050605@inmobiliaria.tur.cu>

Buenas,

On Fri, Jan 15, 2010 at 12:49:07PM -0500, Walber Zaldivar Herrera wrote:
> Hola:
> 
> A mi no se me ocurriría preguntar por esto, pero un amigo me puso la
> idea y yo la comparto.
> 
> Cómo convencer a los **Órganos de Seguridad** de un país X (pienso
> en Cuba, porque es lo que me toca, pero puede ser cualquiera) de que
> no hay ni habrá backdoors en los .deb? (tomados de los repos
> oficiales, claro está)
> 
> Hasta que punto es auditable que el .deb que descargamos coincida
> 100% con el código fuente publicado?

Yo igual replantearía la pregunta (con tu permiso): ¿Hasta qué punto son
auditables las fuentes originales que son empaquetadas como .deb?

Digo esto, porque leyendo tu email he recordado, que hace unos años
el cliente de IRC irssi fue "backdoorizado". Hackearon el servidor donde
estaban las fuentes, y las modificaron para introducir una puerta
trasera en el código. Según los propios desarrolladores no sabían desde
cuándo podría llevar eso así. 
¿Y con un programa que tiene 100mil (por ejemplo cinelerra) líneas de código? 
¿El que mantuviera el paquete sería capaz de detectar una puerta trasera
de 30 líneas? Quizás sí, pero es complicado (o a mi me lo parece al
menos).

Si un desarrollador de Debian ve que hay una versión nueva del programa
que mantiene, se baja las fuentes, lo empaqueta y lo sube, sin hacer
nada más, el paquete será un .deb perfectamente válido, pero con una
bonita puerta trasera. 

En el caso del programa irssi, el paquete deb no contuvo la puerta
trasera:
http://www.derkeiler.com/Mailing-Lists/Securiteam/2002-05/0107.html

Por otro lado, ha habido varias veces ya, que al hacer un apt-get
update, las firmas md5 no coincidían. Honestamente, ¿cuántos
actualizásteis en esa circunstancia?

En mi opinión, Debian me parece seguro, pero la seguridad (como dicen
por ahí), es solo un estado mental.

Saludos.

> 
> Sé que es una hiper-paranoia pero tenemos buenos motivos para
> tenerles lista esta respuesta a los "super segurosos".
> 
> S@lu2
> 
> Walber
> 
> -- 
> ><JHS/o>
> +-<=<==|
> 
> (o_
> //\    Linux Registered User
> V_/_   #480598
> 
> Berimbau VCL <http://berimbauvcl.sourceforge.net>
> Just another project to provide Delphi components
> 
> ()  ascii ribbon campaign - against html e-mail
> /\  www.asciiribbon.org   - against proprietary attachments
> 
> 
> -- 
> To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
>

Reply to:

Follow-Ups:
- Re: [OT] como convencer a la "Seguridad" de que no hay backdoors en los .deb?
  - From: Felix Perez <felix.listadebian@gmail.com>
- Re: [OT] como convencer a la "Seguridad" de que no hay backdoors en los .deb?
  - From: Rodrigo Gallardo <rodrigo@nul-unu.com>

References:
- [OT] como convencer a la "Seguridad" de que no hay backdoors en los .deb?
  - From: Walber Zaldivar Herrera <walber@inmobiliaria.tur.cu>

Prev by Date: Re: configuracion predeterminada
Next by Date: Re: [OT] como convencer a la "Seguridad" de que no hay backdoors en los .deb?
Previous by thread: Re: [OT] como convencer a la "Seguridad" de que no hay backdoors en los .deb?
Next by thread: Re: [OT] como convencer a la "Seguridad" de que no hay backdoors en los .deb?
Index(es):
- Date
- Thread