Re: [OT] como convencer a la "Seguridad" de que no hay backdoors en los .deb?

To: lista-debian <debian-user-spanish@lists.debian.org>
Subject: Re: [OT] como convencer a la "Seguridad" de que no hay backdoors en los .deb?
From: Felix Perez <felix.listadebian@gmail.com>
Date: Sun, 17 Jan 2010 11:53:43 -0300
Message-id: <[🔎] 763b80f71001170653k571af525y5f23ebda3472dd23@mail.gmail.com>
In-reply-to: <[🔎] 20100117142543.GA25746@kutxa.homeunix.org>
References: <[🔎] 4B50AA93.3050605@inmobiliaria.tur.cu> <[🔎] 20100117142543.GA25746@kutxa.homeunix.org>

El día 17 de enero de 2010 11:25, ga <ga@kutxa.homeunix.org> escribió:
> Buenas,
>
>
> Yo igual replantearía la pregunta (con tu permiso): ¿Hasta qué punto son
> auditables las fuentes originales que son empaquetadas como .deb?
>
+1

> Digo esto, porque leyendo tu email he recordado, que hace unos años
> el cliente de IRC irssi fue "backdoorizado". Hackearon el servidor donde
> estaban las fuentes, y las modificaron para introducir una puerta
> trasera en el código. Según los propios desarrolladores no sabían desde
> cuándo podría llevar eso así.
> ¿Y con un programa que tiene 100mil (por ejemplo cinelerra) líneas de código?
> ¿El que mantuviera el paquete sería capaz de detectar una puerta trasera
> de 30 líneas? Quizás sí, pero es complicado (o a mi me lo parece al
> menos).
>
debiera poder verificar que cambios entre una y otra versión de desarrollo.

> Si un desarrollador de Debian ve que hay una versión nueva del programa
> que mantiene, se baja las fuentes, lo empaqueta y lo sube, sin hacer
> nada más, el paquete será un .deb perfectamente válido, pero con una
> bonita puerta trasera.
>
El empaquetador no solo recibe el código fuente y automáticamente lo
empaqueta y pública, por algo un paquete pasa por experimental, sid,
testing y estable, y no solo se verifica su estabilidad, también
supongo que se audita código y temas relacionados en seguridad.
El sistema de publicación de paquetes de debian es mucho más complejo
de lo que se cree.

> En el caso del programa irssi, el paquete deb no contuvo la puerta
> trasera:
> http://www.derkeiler.com/Mailing-Lists/Securiteam/2002-05/0107.html
>
Menciona que los binarios y además que las fuentes de debian (supongo
código fuente, no que vengan de debian) no estaban afectados.  Asumo
que funcionó el sistema.

> Por otro lado, ha habido varias veces ya, que al hacer un apt-get
> update, las firmas md5 no coincidían. Honestamente, ¿cuántos
> actualizásteis en esa circunstancia?
>
Yo no.

> En mi opinión, Debian me parece seguro, pero la seguridad (como dicen
> por ahí), es solo un estado mental.
>
Además de ser un estado mental, tu la construyes. Que no podamos tener
una seguridad al 100% es otra cosa.

Estas son solo mis opiniones, algún desarrollador o empaquetador
podría aportar más detalles.

Saludos.

-- 
usuario linux  #274354
normas de la lista: http://wiki.debian.org/NormasLista

Reply to:

Follow-Ups:
- Re: [OT] como convencer a la "Seguridad" de que no hay backdoors en los .deb?
  - From: Juan Lavieri <jlavieri@gmail.com>

References:
- [OT] como convencer a la "Seguridad" de que no hay backdoors en los .deb?
  - From: Walber Zaldivar Herrera <walber@inmobiliaria.tur.cu>
- Re: [OT] como convencer a la "Seguridad" de que no hay backdoors en los .deb?
  - From: ga <ga@kutxa.homeunix.org>

Prev by Date: Re: [OT] como convencer a la "Seguridad" de que no hay backdoors en los .deb?
Next by Date: Re: Duda con Bind9
Previous by thread: Re: [OT] como convencer a la "Seguridad" de que no hay backdoors en los .deb?
Next by thread: Re: [OT] como convencer a la "Seguridad" de que no hay backdoors en los .deb?
Index(es):
- Date
- Thread