[FUG-BR] Código fonte infectado no FreeBSD
Francisco Cabrita
francisco.cabrita em gmail.com
Segunda Maio 21 09:48:51 BRT 2012
2012/5/21 Welkson Renny de Medeiros <welkson em focusautomacao.com.br>
> Juano Brozz escreveu:
> > Em 19 de maio de 2012 18:28, Otacílio <otacilio.neto em bsd.com.br>
> escreveu:
> >
> >
> >> On 19/05/2012 11:07, Juano Brozz wrote:
> >>
> >>> Pessoal, gostaria de entender a possibilidade de algum software
> instalado
> >>> pelos fontes do ports do FreeBSD ter código malicioso.
> >>>
> >>> Provavelmente o pessoal que mantém o FreeBSD não faz review de todo o
> >>> código fonte que colocam no ports. Se for assim, alguém com acesso ao
> >>>
> >> fonte
> >>
> >>> do wget por exemplo, ou de programinhas instalados junto ao gnome, ou
> de
> >>> qualquer programa do ports, talvez um hacker que invadiu a máquina do
> >>> desenvolvedor do código fonte, poderia colocar código malicioso
> >>>
> >> diretamente
> >>
> >>> no fonte de um programa do ports.
> >>>
> >>> Quando o FreeBSD lançasse uma nova versão, todos os sistemas
> atualizados
> >>>
> >> no
> >>
> >>> mundo todo estariam sob controle do hacker que colocou o código
> >>>
> >> malicioso.
> >>
> >>> Isso não me parece muito difícil de ocorrer. Poderiam me esclarecer
> sobre
> >>> essa possibilidade?
> >>>
> >>> Abs,
> >>>
> >>> Juano
> >>>
> >> Quando um pacote é adicionado no ports ele também contém o hash. Se
> >> alguém invadir o desenvolvedor do pacote quando ele for baixado pelo
> >> ports o mesmo vai se recusar a instalar por causa da mudança do hash.
> >> Para o software contaminar o BSD o mantenedor do port deveria calcular o
> >> hash já com o port com código malicioso.
> >>
> >> -------------------------
> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>
> >>
> >
> > Otacilio, se entendi bem, isso funciona, mas apenas com um ataque após o
> > desenvolvedor do pacote ter finalizado o desenvolvimento e liberado o
> > pacote.
> >
> > Mas imagine que durante o desenvolvimento da nova versão do pacote, um
> > trojan ou um invasor adicione código malicioso em alguma classe do fonte
> do
> > software. Dificilmente o desenvolvedor dono do pacote saberá, e acabará
> > liberando o pacote com a brecha, o hash será criado com a brecha, pois o
> > desenvolvedor não suspeita de nada.
> >
> > Se o hacker colocou a ativação da brecha numa data futura específica, os
> > responsáveis pelo FreeBSD dificilmente pegarão ela nos testes, pois
> durante
> > os testes nada de anormal acontecerá.
> >
> > Além disso, não deve ser muito difícil de um hacker com más intenções,
> com
> > pleno conhecimento de FreeBSD, ganhe a confiança do time de
> desenvolvimento
> > do FreeBSD e torne-se parte do time. Alguém conhece o procedimento para
> > fazer parte do time de desenvolvimento? Alguém aqui faz parte?
> >
>
> Juano,
>
> Tem outro detalhe... se esse "trojan" alterasse algo no código fonte do
> port, quando o mesmo fosse enviado para o controle de versão, vários
> desenvolvedores no mundo todo perceberiam a mudança (um diff no SVN por
> exemplo).
>
http://www.freshports.org/security/portaudit/
http://www.vuxml.org/freebsd/
>
> --
> Welkson Renny de Medeiros
> Desenvolvimento / Gerência de Redes
> Focus Automação Comercial
> FreeBSD Community Member
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
--
Change is the essential process of all existence.
-- Spock, "Let That Be Your Last Battlefield", stardate 5730.2
Mais detalhes sobre a lista de discussão freebsd