Buenas, On Fri, Jan 15, 2010 at 12:49:07PM -0500, Walber Zaldivar Herrera wrote: > Hola: > > A mi no se me ocurriría preguntar por esto, pero un amigo me puso la > idea y yo la comparto. > > Cómo convencer a los **Órganos de Seguridad** de un país X (pienso > en Cuba, porque es lo que me toca, pero puede ser cualquiera) de que > no hay ni habrá backdoors en los .deb? (tomados de los repos > oficiales, claro está) > > Hasta que punto es auditable que el .deb que descargamos coincida > 100% con el código fuente publicado?
Yo igual replantearía la pregunta (con tu permiso): ¿Hasta qué punto son auditables las fuentes originales que son empaquetadas como .deb? Digo esto, porque leyendo tu email he recordado, que hace unos años el cliente de IRC irssi fue "backdoorizado". Hackearon el servidor donde estaban las fuentes, y las modificaron para introducir una puerta trasera en el código. Según los propios desarrolladores no sabían desde cuándo podría llevar eso así. ¿Y con un programa que tiene 100mil (por ejemplo cinelerra) líneas de código? ¿El que mantuviera el paquete sería capaz de detectar una puerta trasera de 30 líneas? Quizás sí, pero es complicado (o a mi me lo parece al menos). Si un desarrollador de Debian ve que hay una versión nueva del programa que mantiene, se baja las fuentes, lo empaqueta y lo sube, sin hacer nada más, el paquete será un .deb perfectamente válido, pero con una bonita puerta trasera. En el caso del programa irssi, el paquete deb no contuvo la puerta trasera: http://www.derkeiler.com/Mailing-Lists/Securiteam/2002-05/0107.html Por otro lado, ha habido varias veces ya, que al hacer un apt-get update, las firmas md5 no coincidían. Honestamente, ¿cuántos actualizásteis en esa circunstancia? En mi opinión, Debian me parece seguro, pero la seguridad (como dicen por ahí), es solo un estado mental. Saludos. > > Sé que es una hiper-paranoia pero tenemos buenos motivos para > tenerles lista esta respuesta a los "super segurosos". > > s...@lu2 > > Walber > > -- > ><JHS/o> > +-<=<==| > > (o_ > //\ Linux Registered User > V_/_ #480598 > > Berimbau VCL <http://berimbauvcl.sourceforge.net> > Just another project to provide Delphi components > > () ascii ribbon campaign - against html e-mail > /\ www.asciiribbon.org - against proprietary attachments > > > -- > To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org > with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org > -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org