asegurando que los paquetes compilados (y firmados) no contengan código malicioso

Navega tus respuestas
0

Me gustaría entender cómo las distribuciones de Linux empaquetadas (es decir, Debian) aseguran que sus paquetes no contengan ningún código malicioso. Sé que los paquetes están firmados y que puedo descargar la fuente del paquete y compilar el paquete yo mismo. Pero incluso cuando compilo el paquete yo mismo, la suma md5 de ese paquete será diferente del paquete de distribución (incluso si el código fuente es idéntico). Lo mismo se aplica si compilo el mismo código dos veces (es decir, en dos máquinas diferentes), el binario resultante será diferente.

¿Entiendo correctamente, que toda la confianza está en el mantenedor que compila (y firma) el paquete? ¿Y si alguien malvado sobornó a este mantenedor para que pasara de contrabando en alguna puerta trasera? ¿Cómo lo detectaríamos?

ACTUALIZACIÓN:

He intentado compilar mc desde la fuente de Debian con dpkg-buildpackage , pero no puedo producir mc binario idéntico: 

# apt-get source mc
# cd mc-4.8.3/
# dpkg-buildpackage
# cd ..
# md5sum mc_4.8.3-10_amd64.deb
f373e2a80074098e1ce1672428660dd4  mc_4.8.3-10_amd64.deb
#
# apt-get download mc
# md5sum mc_4.8.3-10_amd64.deb
9e412f6352b2b013a8e15ea88a48b21e  mc_4.8.3-10_amd64.deb
    
pregunta Martin Vegter 16.02.2014 - 15:33
fuente

1 respuesta

1

Si compila el paquete usted mismo (y usa el mismo compilador y la misma configuración), obtendrá binarios idénticos a los binarios de distribución. La teoría es que en una comunidad grande como Debian, algunas personas lo harán periódicamente y detectarían cualquier cambio introducido por el mantenedor del paquete. El mantenedor se encuentra en una posición altamente confiable, y realmente no podemos evitar eso, pero al menos hay cierta supervisión por parte de la comunidad en general.

El código fuente está abierto para inspección pública, por lo que la teoría es que algunas personas en la comunidad lo revisarán. Cualquier persona con acceso de escritura al código fuente se encuentra nuevamente en una posición altamente confiable, pero nuevamente, hay cierta supervisión de la comunidad.

Compare esto con el software de código cerrado donde hay muy poca supervisión. Cuando recoge un DVD de Windows, ¿qué confianza tiene de que no hay una puerta trasera NSA en el disco?

    
respondido por el paj28 16.02.2014 - 15:51
fuente

Lea otras preguntas en las etiquetas

Seguridad de Moblie Hotspot (4G LTE, WiFi) en comparación con el complejo de apartamentos Internet por cable Almacenamiento de información de autenticación de terceros; ¿Es esto seguro?