Re: [OT] como convencer a la "Seguridad" de que no hay backdoors en los .deb?

To: debian-user-spanish@lists.debian.org
Subject: Re: [OT] como convencer a la "Seguridad" de que no hay backdoors en los .deb?
From: ga <ga@kutxa.homeunix.org>
Date: Mon, 18 Jan 2010 15:39:35 +0100
Message-id: <[🔎] 20100118143935.GA2299@kutxa.homeunix.org>
In-reply-to: <[🔎] 4B5458DE.5070005@uncu.edu.ar>
References: <[🔎] 4B50AA93.3050605@inmobiliaria.tur.cu> <[🔎] 20100117142543.GA25746@kutxa.homeunix.org> <[🔎] 20100117182950.GH3748@nabiki.intranet.nul-unu.com> <[🔎] 20100117184948.GB25746@kutxa.homeunix.org> <[🔎] 763b80f71001172012y19fc7e30t9686eddd50b6ccd@mail.gmail.com> <[🔎] 4B5458DE.5070005@uncu.edu.ar>

On Mon, Jan 18, 2010 at 09:49:34AM -0300, Federico Alberto Sayd wrote:
> Felix Perez escribió:
> >El día 17 de enero de 2010 15:49, ga <ga@kutxa.homeunix.org> escribió:
> >>Buenas,
> >>
> >>On Sun, Jan 17, 2010 at 10:29:50AM -0800, Rodrigo Gallardo wrote:
> >>>On Sun, Jan 17, 2010 at 03:25:43PM +0100, ga wrote:
> >>>>On Fri, Jan 15, 2010 at 12:49:07PM -0500, Walber Zaldivar Herrera wrote:
> >>>>>Hasta que punto es auditable que el .deb que descargamos coincida
> >>>>>100% con el código fuente publicado?
> >>>>[Un paquete upstream podría añadir un backdor entre versiones]
> >>>>
> >>>>Si un desarrollador de Debian ve que hay una versión nueva del programa
> >>>>que mantiene, se baja las fuentes, lo empaqueta y lo sube, sin hacer
> >>>>nada más, el paquete será un .deb perfectamente válido, pero con una
> >>>>bonita puerta trasera.
> >>>(Aquí si me siento personalmente ofendido)
> >>>
> >>>No, la mayoría de los empaquetadores no hacen eso. ¿Alguna vez has
> >>>notado que las nuevas versiones tardan más de 15 minutos en estar
> >>>empaquetadas? ¿Te has preguntado por qué? La respuesta, en muchas
> >>>ocasiones, es precisamente que el mantenedor no va a simplemente
> >>>cambiar el .orig.tar.gz y compilar. Hay que leer el diff, entender (a
> >>>grandes razgos, por lo menos) qué cambió, actualizar los parches
> >>>(algunos de seguridad) que se le aplican al paquete. Sí, hay gente que
> >>>no hace eso, y también es posible que uno meta la pata. Pero, en
> >>>general, ese comentario tuyo es una falta de respeto a la gran mayoría
> >>>de los empaquetadores.
> >>Pues no quería que te sintieras ofendido (ni nadie) por ninguno de mis
> >>comentarios, simplemente es una posibilidad, somos humanos :).
> >>Nos gusta Debian, pero (personalmente) creo que ciertas cosas hay que
> >>analizarlas friamente, sin el corazón en la mano.
> >>
> >>Por cierto, mantengo un pequeño paquete, y no hago eso.
> >>
> >¿No haces "eso" que?
> >¿no revisas?
> >¿no usas diff?
> >¿no entiendes los cambios?
> >Si es así por favor danos el nombre del paquete, para estar alertas
> >cuando haya algún cambio, no vaya a ser cosa que algo "no deseado" se
> >te pase.
> >
> >Saludos.
> >
> >
> Me parece que lo que no se puede lograr de forma preventiva
> (Analizar minuciosamente el código para ver que no se haya
> infiltrado código malicioso) en la comunidad open source se compensa
> con el modelo reactivo de la comunidad.

Totalmente de acuerdo. De hecho, en el manual de seguridad de Debian se
admite honesta y abiertamente lo que comentas (Punto 12.1.8 de la FAQ):
http://www.debian.org/doc/manuals/securing-debian-howto/ch12.en.html

En castellano:
"El equipo de seguridad de Debian no puede analizar posiblemente todos
los paquetes incluidos en Debian en busca de vulnerabilidades potenciales 
porque simplemente, no tienen recursos suficientes para auditar todo el 
código fuente del proyecto. De todas formas Debian se beneficia de la 
auditoría de código hecha por los desarrolladores de los proyectos 
originales y de otros proyectos (...)"

http://svn.debian.org/wsvn/ddp/manuals/trunk/securing-howto/es/faq.sgml

> 
> Un claro ejemplo es el tema del bug SSL que afectó a Debian más o
> menos un año atrás. La difusión fue tal y los esfuerzos de los
> desarrolladores que no se registraron incidentes importantes. Fue
> tanta la publicidad y la cooperación que cualquier atacante
> malicioso dejó de ver el la posible vulnerabilidad como algo
> "explotable".

También pasó algo parecido con el paquete openssh cuando fue "troyanizado".
Las fuentes de Debian no fueron afectadas, y fueron comprobadas por gente
que no eran los mantenedores del paquete (aparte de que se comprobaron
muchas distribuciones:
http://www.cert.org/advisories/CA-2002-24.html

Saludos.

> 
> Viéndolo de ese lado eso es un punto a favor. Además la solución se
> basa en un modelo de muchas personas auditanto el código contra uno
> o dos desarrolladores (a veces sin conocimientos profesionales de
> seguridad) preocupándose por la seguridad de su proyecto o paquete.
> 
> Saludos
> 
> 
> -- 
> To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
>

Reply to:

References:
- [OT] como convencer a la "Seguridad" de que no hay backdoors en los .deb?
  - From: Walber Zaldivar Herrera <walber@inmobiliaria.tur.cu>
- Re: [OT] como convencer a la "Seguridad" de que no hay backdoors en los .deb?
  - From: ga <ga@kutxa.homeunix.org>
- Re: [OT] como convencer a la "Seguridad" de que no hay backdoors en los .deb?
  - From: Rodrigo Gallardo <rodrigo@nul-unu.com>
- Re: [OT] como convencer a la "Seguridad" de que no hay backdoors en los .deb?
  - From: ga <ga@kutxa.homeunix.org>
- Re: [OT] como convencer a la "Seguridad" de que no hay backdoors en los .deb?
  - From: Felix Perez <felix.listadebian@gmail.com>
- Re: [OT] como convencer a la "Seguridad" de que no hay backdoors en los .deb?
  - From: Federico Alberto Sayd <fsayd@uncu.edu.ar>

Prev by Date: Re: [OT] como convencer a la "Seguridad" de que no hay backdoors en los .deb?
Next by Date: Re: [OT] como convencer a la "Seguridad" de que no hay backdoors en los .deb?
Previous by thread: Re: [OT] como convencer a la "Seguridad" de que no hay backdoors en los .deb?
Next by thread: Archivo README "http://ftp-master.debian.org/ftpsync.tar.gz" en español
Index(es):
- Date
- Thread