debian_logo.png

Jérémy Bobbio, un desarrollador de la popular distribución Debian ha propuesto como medida para contraatacar el software manipulado por la CIA u otro atacante malicioso, crear las builds reproducibles.

Durante una conversación llevada a cabo en el Chaos Communication Camp en Zehdenick, Alemania, el desarrollador Jérémy Bobbio (conocido como lunar), se ha embarcado en una campaña para prevenir ataques a través de software manipulado y garantizar así la confiabilidad del mismo, la cuál consiste en crear construcciones reproducibles de los mas de 22.000 paquetes que actualmente conforman Debian Linux, es decir hacer posible a otras personas reproducir el proceso de construcción de software.

Al respecto dijo entre otras cosas lo siguiente:

“La idea es lograr una confidencialidad razonable de un binario que fue producido por una fuente. Queremos que cualquiera pueda producir un binario idéntico de una fuente dada. Lo grandioso del software libre es que cualquiera tiene la libertad de estudiar el código fuente y cerciorarse así de que dicho software no contiene malware, código malicioso o errores de seguridad.”

Vale reseñar que un paquete de software reproducible al ser construido byte por byte debería ser idéntico al paquete que esté disponible públicamente, si ocurriese alguna diferencia se evidenciaría la manipulación del mismo. Al respecto Lunar preguntó: “¿Cómo sabemos que el binario compilado fue hecho desde la fuente publicada?, ¿Cómo sabríamos si la CIA u otro atacante malicioso no manipuló el proceso de construcción?” a lo que luego dijo: “No estamos hablando sobre un ataque hipotético aquí, esto es un ataque real. Estamos hablando de desarrolladores con muy buena fe en producir software, el binario que ellos dan, y aún si ellos actúan de buena fe, podrían ser totalmente los malos.”

Por otra parte, Lunar indicó lo siguiente en lo que respecta a la incorporación de backdoors de manera automática en el compilador mismo durante el proceso de construcción del binario:

“Necesitamos dos compiladores, cuál uno de ellos sería en el que tu confíes. Entonces tu pasas tu construcción dos veces bajo los dos compiladores, una vez con cada compilador. entonces usas los compiladores con los cuales construiste tu construcción para realizar una prueba de nuevo. Si la salida es la misma, entonces no hay backdoors. Pero para que este esquema de trabajo funcione es necesario poder comparar que ambas salidas sean las mismas, y esto es exactamente lo que estamos permitiendo al tener construcciones reproducibles.”

Vale reseñar que actualmente el 83% de los paquetes disponibles en Debian Linux son reproducibles y cada día se está avanzando mas en ello, también es importante señalar que hay otros proyectos que se están encaminando hacia las construcciones reproducibles como Bitcoin, Tor, FreeBSD, NetBSD, y OpenWrt.

 

Fuente: MotherBoard | libuntu

¿Quién está en línea?

Hay 24866 invitados y ningún miembro en línea