Ola. A possibilidade existe mas eh muito remota. Eu creio que o core team sempre verifica os pacotes, testa e etc... antes de colocar para o publico. E isso ja aconteceu ate onde sei com o kernel do Linux (tentaram instalar um codigo malicioso na arvore do kernel, mas foi detectado e removido), distros ja tiveram mirrors invadidos e etc... Voce pode atualizar via ports e/ou baixar o pacote e instalar voce mesmo. Dependendo de onde voce trabalha, com o que voce lida de informacao e etc... se tiver alguma PSI, Norma, Procedimento e etc... talvez code review do pacotes sejam necessarios (por isso o SL se da muito bem em relacao ao SW proprietario, voce tem acesso ao codigo e voce mesmo pode verificar tudo antes de sair compilando). Se voce nao confia realmente, pode baixar o pacote, verificar tanto o md5 (md5 possui falhas mas ainda eh considerado um metodo 'seguro' para verificar a integridade dos pacotes, lembrando que o md5 eh one way e ele gera hash, eh um algoritmo de codificacao e nao de criptografia) quanto o sha do pacote, se nao bater com os valores da pagina do desenvolvedor, o pacote pode ter sido trojanado. Casos assim PODEM acontecer mas a comunidade fica alerta quanto a isso. Se um pacote malicioso eh detectado, ele eh removido e um alerta eh disparado para todos (como ja aconteceu com proftd e etc...). Como o amigo Cleiton disse, o OpenBSD hoje eh considerado o sistema mais 'seguro' do mundo. O Theo eh muito paranoico e testa exaustivamente antes de colocar o pacote para download mas tambem ja ocorrem casos com o proj3ct m4yh3m internacional e o GOBBLES. Ate o proprio Theo ja teve seus servidores invadidos e etc... Nada eh realmente seguro 100% mas se a empresa tem a cultura de Seguranca da Informacao, tem tudo documentado e as normas sao seguidas e etc... voce pode diminuir o risco de ataques mas nao dou nenhuma garantia de estar tudo 100% ok. Abracos.
Em 19 de maio de 2012 10:07, Juano Brozz <juanobr...@gmail.com> escreveu: > Pessoal, gostaria de entender a possibilidade de algum software instalado > pelos fontes do ports do FreeBSD ter código malicioso. > > Provavelmente o pessoal que mantém o FreeBSD não faz review de todo o > código fonte que colocam no ports. Se for assim, alguém com acesso ao fonte > do wget por exemplo, ou de programinhas instalados junto ao gnome, ou de > qualquer programa do ports, talvez um hacker que invadiu a máquina do > desenvolvedor do código fonte, poderia colocar código malicioso diretamente > no fonte de um programa do ports. > > Quando o FreeBSD lançasse uma nova versão, todos os sistemas atualizados no > mundo todo estariam sob controle do hacker que colocou o código malicioso. > > Isso não me parece muito difícil de ocorrer. Poderiam me esclarecer sobre > essa possibilidade? > > Abs, > > Juano > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- Oscar Marques osca...@gmail.com http://www.dunkelheit.com.br @f117usbr <https://twitter.com/#%21/f117usbr> +55 21 9293-9343 ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd