El día 17 de enero de 2010 11:25, ga <g...@kutxa.homeunix.org> escribió: > Buenas, > > > Yo igual replantearía la pregunta (con tu permiso): ¿Hasta qué punto son > auditables las fuentes originales que son empaquetadas como .deb? > +1
> Digo esto, porque leyendo tu email he recordado, que hace unos años > el cliente de IRC irssi fue "backdoorizado". Hackearon el servidor donde > estaban las fuentes, y las modificaron para introducir una puerta > trasera en el código. Según los propios desarrolladores no sabían desde > cuándo podría llevar eso así. > ¿Y con un programa que tiene 100mil (por ejemplo cinelerra) líneas de código? > ¿El que mantuviera el paquete sería capaz de detectar una puerta trasera > de 30 líneas? Quizás sí, pero es complicado (o a mi me lo parece al > menos). > debiera poder verificar que cambios entre una y otra versión de desarrollo. > Si un desarrollador de Debian ve que hay una versión nueva del programa > que mantiene, se baja las fuentes, lo empaqueta y lo sube, sin hacer > nada más, el paquete será un .deb perfectamente válido, pero con una > bonita puerta trasera. > El empaquetador no solo recibe el código fuente y automáticamente lo empaqueta y pública, por algo un paquete pasa por experimental, sid, testing y estable, y no solo se verifica su estabilidad, también supongo que se audita código y temas relacionados en seguridad. El sistema de publicación de paquetes de debian es mucho más complejo de lo que se cree. > En el caso del programa irssi, el paquete deb no contuvo la puerta > trasera: > http://www.derkeiler.com/Mailing-Lists/Securiteam/2002-05/0107.html > Menciona que los binarios y además que las fuentes de debian (supongo código fuente, no que vengan de debian) no estaban afectados. Asumo que funcionó el sistema. > Por otro lado, ha habido varias veces ya, que al hacer un apt-get > update, las firmas md5 no coincidían. Honestamente, ¿cuántos > actualizásteis en esa circunstancia? > Yo no. > En mi opinión, Debian me parece seguro, pero la seguridad (como dicen > por ahí), es solo un estado mental. > Además de ser un estado mental, tu la construyes. Que no podamos tener una seguridad al 100% es otra cosa. Estas son solo mis opiniones, algún desarrollador o empaquetador podría aportar más detalles. Saludos. -- usuario linux #274354 normas de la lista: http://wiki.debian.org/NormasLista -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org