On 11/28/2016 03:08 PM, Alex Muntada wrote:
salvador fandino:
En tu ejemplo, has cargado un paquete "Trojan", pero un atacante que
consigue hacer eso ya tiene el control completo del programa y puede
manipular @ISA o hacer cualquier otra cosa que le plazca directamente.
Tienes razón, @INC tambien es vulnerable a este tipo de ataques.
En mi cabeza he imaginado qué pasaría si alguien consigue las
credenciales de PAUSE del mantenedor de algun módulo muy usado
y añadiera un exploit en $^O para crear un backdoor.
Como los módulos de Perl se distribuyen en código, supongo que
tarde o temprano alguien se daría cuenta, pero ¿cómo puede un
autor protegerse de este tipo de ataques que podrían venir de
las dependencias externas? Casi nadie firma sus paquetes en CPAN
con una clave PGP y no hay ningún tipo de garantía sobre la
autoría más allá de conocer la contraseña de PAUSE. De hecho,
los mirrors del CPAN son todavía más vulnerables a ataques de
MitM. Supongo que por eso me siento más tranquilo usando los
módulos empaquetados para las distribuciones de linux.
La ingeniería social es incluso más fácil que todo eso.
Muchos autores están dispuestos a ceder el control de sus módulos al
primero que se ofrezca a mantenerlos!
Hay otros que aceptan casi cualquier pull-request que les llega por GitHub.
_______________________________________________
Madrid-pm mailing list
[email protected]
http://mail.pm.org/mailman/listinfo/madrid-pm
