[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [OT] como convencer a la "Seguridad" de que no hay backdoors en los .deb?

El día 18 de enero de 2010 04:49, Federico Alberto Sayd
<fsayd@uncu.edu.ar> escribió:
> Felix Perez escribió:
>> El día 17 de enero de 2010 15:49, ga <ga@kutxa.homeunix.org> escribió:
>>> Buenas,
>>> On Sun, Jan 17, 2010 at 10:29:50AM -0800, Rodrigo Gallardo wrote:
>>>> On Sun, Jan 17, 2010 at 03:25:43PM +0100, ga wrote:
>>>>> On Fri, Jan 15, 2010 at 12:49:07PM -0500, Walber Zaldivar Herrera
>>>>> wrote:
>>>>>> Hasta que punto es auditable que el .deb que descargamos coincida
>>>>>> 100% con el código fuente publicado?

Al 100%, has leido acerca de LFS (Linux from scrash), esto podes
hacerlo con Debian. Pero, estas capacitado?

>>>>> [Un paquete upstream podría añadir un backdor entre versiones]

Por motivos de aprendizaje, varios traen puertas traseras, para que
leamos y aprendamos a descubrirlas y asi tener un SO seguro. Se dice
de UNIX, que es muy amigable, solo que el escoje a sus amigos! Y segun
se ve, solo escoge a los curiosos y dispuestos a destripar el sistema
in situ! Tambien, se puede ser un usuario de Estable (Lenny), y no
tener dificultades! o como la mayoria, usar windows pirateado! Asi que
mejor a usar windows 7.......pirateado!!!!!!!

>>> Pues no quería que te sintieras ofendido (ni nadie) por ninguno de mis
>>> comentarios, simplemente es una posibilidad, somos humanos :).
>>> Nos gusta Debian, pero (personalmente) creo que ciertas cosas hay que
>>> analizarlas friamente, sin el corazón en la mano.
>>> Por cierto, mantengo un pequeño paquete, y no hago eso.

Esto, suena como a querer darnos atol con el dedo! Lo siento por el localismo.

>> ¿No haces "eso" que?
>> ¿no revisas?
>> ¿no usas diff?
>> ¿no entiendes los cambios?
>> Si es así por favor danos el nombre del paquete, para estar alertas
>> cuando haya algún cambio, no vaya a ser cosa que algo "no deseado" se
>> te pase.
>>
>> Saludos.
>>

> Me parece que lo que no se puede lograr de forma preventiva (Analizar
> minuciosamente el código para ver que no se haya infiltrado código
> malicioso) en la comunidad open source se compensa con el modelo reactivo de
> la comunidad.

Esto, se llama retorica; hablar mucho y no decir nada!
preventiva? quien no puede? Tu quizas, por ahora; pero que tal si
aprendes. No existe ningun "modelo reactivo", esas son palabras sin
significado real.
Si sabes como hacerlo, pues lo haces y si quieres, pues lo compartes.
Muy simple.

> Un claro ejemplo es el tema del bug SSL que afectó a Debian más o menos un
> año atrás. La difusión fue tal y los esfuerzos de los desarrolladores que no
> se registraron incidentes importantes. Fue tanta la publicidad y la
> cooperación que cualquier atacante malicioso dejó de ver el la posible
> vulnerabilidad como algo "explotable".

Mas retorica!

> Viéndolo de ese lado eso es un punto a favor. Además la solución se basa en
> un modelo de muchas personas auditanto el código contra uno o dos
> desarrolladores (a veces sin conocimientos profesionales de seguridad)
> preocupándose por la seguridad de su proyecto o paquete.

Y seguimos sin decir nada.

> Saludos
Reply to: