[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [OT] como convencer a la "Seguridad" de que no hay backdoors en los .deb?



Felix Perez escribió:
El día 17 de enero de 2010 11:25, ga <ga@kutxa.homeunix.org> escribió:
Buenas,


Yo igual replantearía la pregunta (con tu permiso): ¿Hasta qué punto son
auditables las fuentes originales que son empaquetadas como .deb?

+1

Digo esto, porque leyendo tu email he recordado, que hace unos años
el cliente de IRC irssi fue "backdoorizado". Hackearon el servidor donde
estaban las fuentes, y las modificaron para introducir una puerta
trasera en el código. Según los propios desarrolladores no sabían desde
cuándo podría llevar eso así.
¿Y con un programa que tiene 100mil (por ejemplo cinelerra) líneas de código?
¿El que mantuviera el paquete sería capaz de detectar una puerta trasera
de 30 líneas? Quizás sí, pero es complicado (o a mi me lo parece al
menos).

debiera poder verificar que cambios entre una y otra versión de desarrollo.

Si un desarrollador de Debian ve que hay una versión nueva del programa
que mantiene, se baja las fuentes, lo empaqueta y lo sube, sin hacer
nada más, el paquete será un .deb perfectamente válido, pero con una
bonita puerta trasera.

El empaquetador no solo recibe el código fuente y automáticamente lo
empaqueta y pública, por algo un paquete pasa por experimental, sid,
testing y estable, y no solo se verifica su estabilidad, también
supongo que se audita código y temas relacionados en seguridad.
El sistema de publicación de paquetes de debian es mucho más complejo
de lo que se cree.

En el caso del programa irssi, el paquete deb no contuvo la puerta
trasera:
http://www.derkeiler.com/Mailing-Lists/Securiteam/2002-05/0107.html

Menciona que los binarios y además que las fuentes de debian (supongo
código fuente, no que vengan de debian) no estaban afectados.  Asumo
que funcionó el sistema.

Por otro lado, ha habido varias veces ya, que al hacer un apt-get
update, las firmas md5 no coincidían. Honestamente, ¿cuántos
actualizásteis en esa circunstancia?

Yo no.

En mi opinión, Debian me parece seguro, pero la seguridad (como dicen
por ahí), es solo un estado mental.

Además de ser un estado mental, tu la construyes. Que no podamos tener
una seguridad al 100% es otra cosa.
+1

Además, esa es otra ventaja del software libre, la posibilidad de tener las fuentes a mano para auditar.

¿Podrían esas autoridades confiar en el software propietario? ¿Podrían simplemente hacerle esta misma pregunta al tío Bill y confiar a ciegas en su respuesta sin tener acceso al código fuente?

Estas son solo mis opiniones, algún desarrollador o empaquetador
podría aportar más detalles.

Saludos.

Saludos

Juan Lavieri


Reply to: