Juano Brozz escreveu: > Em 19 de maio de 2012 18:28, Otacílio <otacilio.n...@bsd.com.br> escreveu: > > >> On 19/05/2012 11:07, Juano Brozz wrote: >> >>> Pessoal, gostaria de entender a possibilidade de algum software instalado >>> pelos fontes do ports do FreeBSD ter código malicioso. >>> >>> Provavelmente o pessoal que mantém o FreeBSD não faz review de todo o >>> código fonte que colocam no ports. Se for assim, alguém com acesso ao >>> >> fonte >> >>> do wget por exemplo, ou de programinhas instalados junto ao gnome, ou de >>> qualquer programa do ports, talvez um hacker que invadiu a máquina do >>> desenvolvedor do código fonte, poderia colocar código malicioso >>> >> diretamente >> >>> no fonte de um programa do ports. >>> >>> Quando o FreeBSD lançasse uma nova versão, todos os sistemas atualizados >>> >> no >> >>> mundo todo estariam sob controle do hacker que colocou o código >>> >> malicioso. >> >>> Isso não me parece muito difícil de ocorrer. Poderiam me esclarecer sobre >>> essa possibilidade? >>> >>> Abs, >>> >>> Juano >>> >> Quando um pacote é adicionado no ports ele também contém o hash. Se >> alguém invadir o desenvolvedor do pacote quando ele for baixado pelo >> ports o mesmo vai se recusar a instalar por causa da mudança do hash. >> Para o software contaminar o BSD o mantenedor do port deveria calcular o >> hash já com o port com código malicioso. >> >> ------------------------- >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> >> > > Otacilio, se entendi bem, isso funciona, mas apenas com um ataque após o > desenvolvedor do pacote ter finalizado o desenvolvimento e liberado o > pacote. > > Mas imagine que durante o desenvolvimento da nova versão do pacote, um > trojan ou um invasor adicione código malicioso em alguma classe do fonte do > software. Dificilmente o desenvolvedor dono do pacote saberá, e acabará > liberando o pacote com a brecha, o hash será criado com a brecha, pois o > desenvolvedor não suspeita de nada. > > Se o hacker colocou a ativação da brecha numa data futura específica, os > responsáveis pelo FreeBSD dificilmente pegarão ela nos testes, pois durante > os testes nada de anormal acontecerá. > > Além disso, não deve ser muito difícil de um hacker com más intenções, com > pleno conhecimento de FreeBSD, ganhe a confiança do time de desenvolvimento > do FreeBSD e torne-se parte do time. Alguém conhece o procedimento para > fazer parte do time de desenvolvimento? Alguém aqui faz parte? >
Juano, Tem outro detalhe... se esse "trojan" alterasse algo no código fonte do port, quando o mesmo fosse enviado para o controle de versão, vários desenvolvedores no mundo todo perceberiam a mudança (um diff no SVN por exemplo). -- Welkson Renny de Medeiros Desenvolvimento / Gerência de Redes Focus Automação Comercial FreeBSD Community Member ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
