Debian Project: CIA get out of here…!!

Lunar, uno de los desarrolladores principales de los ReproducibleBuils , que sirve para garantizar que los archivos binarios entregados por Debian en sus repositorios estén totalmente limpios de código malicioso, el encargado reproduce el paquete binario byte por byte, tremendo trabajito; ha insinuado un agujero de seguridad grande que afectaría a todo el software de código abierto, incluyendo a la mayoría de distros. Potencialmente expone al usuario a un escrutinio por parte de terceros, incluyendo a las agencias de seguridad [Hi!!!].
En otras palabras un paquete binario que vemos a diario en la mayoría de las distribuciones podría estar contaminado con código malicioso, por ello es ventajoso que una tercera persona verifique ello. Paranoico o no, nunca esta demás estar seguros que “ingerimos” tecnológicamente hablando. Por esto y más la FSF nos dice: Por qué no avalamos otros sistemas.
Que conste que el desarrollador no puede estar ni siquiera enterado que su compilador esta comprometido, y que de ahí estos “Men in the middle” salen a cuidarle las espaldas, al menos esto es lo que sucede en el proyecto Debian.

«CompilationScheme-Spanish». Publicado bajo la licencia CC BY-SA 3.0 vía Wikimedia Commons – https://commons.wikimedia.org/wiki/File:CompilationScheme-Spanish.png#/media/File:CompilationScheme-Spanish.png.
Luego de las filtraciones de Snowden revelaran que la CIA esta buscando maneras de explotar estas debilidades para instalar software espía en cualquier dispositivo actual de consumo a nivel mundial, pues las alarmas sonaron.
En una reciente conferencia organizada por la CIA, un equipo de desarrolladores presentaron una prueba de concepto. Habían conseguido eludir los certificados digitales de Apple para producir una versión corrupta de XCode, compilador de propiedad de Apple. Este compilador se utiliza para los desarrolladores independientes para aplicaciones de OS X y iOS. La versión corrupta incrusta spyware en cualquier aplicación compilada por el desarrollador sin su conocimiento. Si esto pasa en Apple, Linux es mucho más tentador, ya que muchos los usuarios estamos consientes de los riesgos existentes en plataformas comerciales (más allá de que nos gusten o no) y de las fuertes características de seguridad; este universo de usuarios también incluye a personas que los organismos de seguridad están muy interesados ​​en espiar. La única manera de estar seguro de que un binario ejecutable no incluye ningún código inesperado es compilar el código fuente y comparar los dos archivos. Si el archivo recién compilado no coincide con el binario ejecutable bajo prueba, podría haber algo añadido en el código, posiblemente malware.

« Lunar » El código fuente de la mayoría de los paquetes de Linux está escrito de una manera tal que no siempre se compila para producir archivos binarios idénticos.

Razones hay muchas para que esto suceda, por ejemplo, marcas de tiempo incrustadas en el código, números de compilación incrementales, diferencias entre los distintos sistemas de archivos por lo que un binario compilado en mi equipo es diferente de un compilado al tuyo. Rutas de archivos de la máquina de construcción están incrustados en el binario – equipos diferentes podrían almacenar recursos y código en diferentes lugares, etcétera.
Por ello que el trabajo que se hace en ReproducibleBuilds es titánico, pero tiene que hacerse, Debian cuenta con más de 20000 paquetes y la mayoría debe ser revisado. Un solo paquete infectado puede resultar en muchos equipos infectados. Aunque aún esta en fase experimental se esta haciendo muchos progresos pero falta mucho para que se integre a la distribución principal.

Hasta otro post y buenas vibras lectores.
 
Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s