[FUG-BR] Código fonte infectado no FreeBSD

[Cleyton Agapito]

Em 19 de maio de 2012 11:07, Juano Brozz <juanobrozz em gmail.com> escreveu:
> Pessoal, gostaria de entender a possibilidade de algum software instalado
> pelos fontes do ports do FreeBSD ter código malicioso.
>
> Provavelmente o pessoal que mantém o FreeBSD não faz review de todo o
> código fonte que colocam no ports. Se for assim, alguém com acesso ao fonte
> do wget por exemplo, ou de programinhas instalados junto ao gnome, ou de
> qualquer programa do ports, talvez um hacker que invadiu a máquina do
> desenvolvedor do código fonte, poderia colocar código malicioso diretamente
> no fonte de um programa do ports.
>
> Quando o FreeBSD lançasse uma nova versão, todos os sistemas atualizados no
> mundo todo estariam sob controle do hacker que colocou o código malicioso.
>
> Isso não me parece muito difícil de ocorrer. Poderiam me esclarecer sobre
> essa possibilidade?
>

Os ports são colocados na estrutura por pessoas selecionadas (como o
Botelho), as fontes são trazidas de endereços mantidos pelo próprio
desenvolvedor, o sistema em si é mantido por pessoas selecionadas
também, não seria nada fácil contaminar esse ambiente.

Possibilidade sempre existe, mas na minha opinião é mínima, e não
tardaria a ser descoberta, ainda mais considerando que outros sistemas
buscam binários em fontes completamente aleatórias, não há nenhuma
forma de atualização mais segura que a "nossa".

[]'s