Mi pregunta básica es esta:
Cuando estamos utilizando el sistema de paquetes Linux / Debian apt-get o yum, estamos confiando en que los paquetes que estamos descargando e instalando son seguros. Para el caso, incluso descargando imágenes de Linux desde Ubuntu o Debian o Red Hat o lo que sea, asumimos que estos servidores son seguros y que las fuentes son confiables.
Dado que hay una amplia variedad de distribuciones, gestores de paquetes, duplicados y sitios que nos sirven este contenido, parece que vale la pena cuestionar la seguridad de todo este ecosistema.
¿Qué tan seguro es este ecosistema de software de código abierto de los piratas informáticos del departamento de seguridad del estado-nación?
Como sabemos, nuestro propio "guv'mint" ya ha sido responsable de comprometer los servidores y los estándares de seguridad de otros proyectos de código abierto, como el estándar de cifrado SSL, e implicado en la piratería de sistemas corporativos privados en los que confiamos ( Google / Gmail), lo que me da razones para considerar cuántos posibles vectores de ataque podría haber en un ecosistema tan complejo como lo es la comunidad de código abierto / Unix / Linux.
Para dar un ejemplo concreto:
Si utilizo el administrador de paquetes apt-get de Ubuntu en los EE. UU. (u otro país), estoy descargando ciegamente paquetes de servidores alojados en esa nación y asumiendo que el software que estoy instalando es seguro. ¿Qué hay para asegurar que los servidores no se hayan visto comprometidos, o hayan tenido un código malicioso incrustado en paquetes de software de confianza? Parece un objetivo probable para las naciones con departamentos de seguridad de la información que tienen grandes ambiciones para controlar el ciberespacio.