2012/5/21 Welkson Renny de Medeiros <welk...@focusautomacao.com.br> > Juano Brozz escreveu: > > Em 19 de maio de 2012 18:28, Otacílio <otacilio.n...@bsd.com.br> > escreveu: > > > > > >> On 19/05/2012 11:07, Juano Brozz wrote: > >> > >>> Pessoal, gostaria de entender a possibilidade de algum software > instalado > >>> pelos fontes do ports do FreeBSD ter código malicioso. > >>> > >>> Provavelmente o pessoal que mantém o FreeBSD não faz review de todo o > >>> código fonte que colocam no ports. Se for assim, alguém com acesso ao > >>> > >> fonte > >> > >>> do wget por exemplo, ou de programinhas instalados junto ao gnome, ou > de > >>> qualquer programa do ports, talvez um hacker que invadiu a máquina do > >>> desenvolvedor do código fonte, poderia colocar código malicioso > >>> > >> diretamente > >> > >>> no fonte de um programa do ports. > >>> > >>> Quando o FreeBSD lançasse uma nova versão, todos os sistemas > atualizados > >>> > >> no > >> > >>> mundo todo estariam sob controle do hacker que colocou o código > >>> > >> malicioso. > >> > >>> Isso não me parece muito difícil de ocorrer. Poderiam me esclarecer > sobre > >>> essa possibilidade? > >>> > >>> Abs, > >>> > >>> Juano > >>> > >> Quando um pacote é adicionado no ports ele também contém o hash. Se > >> alguém invadir o desenvolvedor do pacote quando ele for baixado pelo > >> ports o mesmo vai se recusar a instalar por causa da mudança do hash. > >> Para o software contaminar o BSD o mantenedor do port deveria calcular o > >> hash já com o port com código malicioso. > >> > >> ------------------------- > >> Histórico: http://www.fug.com.br/historico/html/freebsd/ > >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > >> > >> > > > > Otacilio, se entendi bem, isso funciona, mas apenas com um ataque após o > > desenvolvedor do pacote ter finalizado o desenvolvimento e liberado o > > pacote. > > > > Mas imagine que durante o desenvolvimento da nova versão do pacote, um > > trojan ou um invasor adicione código malicioso em alguma classe do fonte > do > > software. Dificilmente o desenvolvedor dono do pacote saberá, e acabará > > liberando o pacote com a brecha, o hash será criado com a brecha, pois o > > desenvolvedor não suspeita de nada. > > > > Se o hacker colocou a ativação da brecha numa data futura específica, os > > responsáveis pelo FreeBSD dificilmente pegarão ela nos testes, pois > durante > > os testes nada de anormal acontecerá. > > > > Além disso, não deve ser muito difícil de um hacker com más intenções, > com > > pleno conhecimento de FreeBSD, ganhe a confiança do time de > desenvolvimento > > do FreeBSD e torne-se parte do time. Alguém conhece o procedimento para > > fazer parte do time de desenvolvimento? Alguém aqui faz parte? > > > > Juano, > > Tem outro detalhe... se esse "trojan" alterasse algo no código fonte do > port, quando o mesmo fosse enviado para o controle de versão, vários > desenvolvedores no mundo todo perceberiam a mudança (um diff no SVN por > exemplo). >
http://www.freshports.org/security/portaudit/ http://www.vuxml.org/freebsd/ > > -- > Welkson Renny de Medeiros > Desenvolvimento / Gerência de Redes > Focus Automação Comercial > FreeBSD Community Member > > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- Change is the essential process of all existence. -- Spock, "Let That Be Your Last Battlefield", stardate 5730.2 ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
