[FUG-BR] Código fonte infectado no FreeBSD
Otacílio
otacilio.neto em bsd.com.br
Sábado Maio 19 18:28:11 BRT 2012
On 19/05/2012 11:07, Juano Brozz wrote:
> Pessoal, gostaria de entender a possibilidade de algum software instalado
> pelos fontes do ports do FreeBSD ter código malicioso.
>
> Provavelmente o pessoal que mantém o FreeBSD não faz review de todo o
> código fonte que colocam no ports. Se for assim, alguém com acesso ao fonte
> do wget por exemplo, ou de programinhas instalados junto ao gnome, ou de
> qualquer programa do ports, talvez um hacker que invadiu a máquina do
> desenvolvedor do código fonte, poderia colocar código malicioso diretamente
> no fonte de um programa do ports.
>
> Quando o FreeBSD lançasse uma nova versão, todos os sistemas atualizados no
> mundo todo estariam sob controle do hacker que colocou o código malicioso.
>
> Isso não me parece muito difícil de ocorrer. Poderiam me esclarecer sobre
> essa possibilidade?
>
> Abs,
>
> Juano
Quando um pacote é adicionado no ports ele também contém o hash. Se
alguém invadir o desenvolvedor do pacote quando ele for baixado pelo
ports o mesmo vai se recusar a instalar por causa da mudança do hash.
Para o software contaminar o BSD o mantenedor do port deveria calcular o
hash já com o port com código malicioso.
Mais detalhes sobre a lista de discussão freebsd