[FUG-BR] Código fonte infectado no FreeBSD

[Otacílio]

On 19/05/2012 11:07, Juano Brozz wrote:
> Pessoal, gostaria de entender a possibilidade de algum software instalado
> pelos fontes do ports do FreeBSD ter código malicioso.
>
> Provavelmente o pessoal que mantém o FreeBSD não faz review de todo o
> código fonte que colocam no ports. Se for assim, alguém com acesso ao fonte
> do wget por exemplo, ou de programinhas instalados junto ao gnome, ou de
> qualquer programa do ports, talvez um hacker que invadiu a máquina do
> desenvolvedor do código fonte, poderia colocar código malicioso diretamente
> no fonte de um programa do ports.
>
> Quando o FreeBSD lançasse uma nova versão, todos os sistemas atualizados no
> mundo todo estariam sob controle do hacker que colocou o código malicioso.
>
> Isso não me parece muito difícil de ocorrer. Poderiam me esclarecer sobre
> essa possibilidade?
>
> Abs,
>
> Juano
Quando um pacote é adicionado no ports ele também contém o hash. Se 
alguém invadir o desenvolvedor do pacote quando ele for baixado pelo 
ports o mesmo vai se recusar a instalar por causa da mudança do hash. 
Para o software contaminar o BSD o mantenedor do port deveria calcular o 
hash já com o port com código malicioso.