Jakiś czas temu na LWN pojawiła się informacja, że popularne repozytorium programów open source berlios został przejęte przez włamywaczy. Wydarzenie to miało miejsce prawdopodobnie w 2005 roku a zostało odkryte dopiero niedawno. Dlatego Seth Vidal sporządził listę 50 pakietów, których źródła są hostowane na berlios i poprosił developerów o szukanie wszelkich nieprawidłowości.
To wydarzenie jest bardzo ciekawe w kontekście zaufania osoby sporządzającej paczkę do źródła z którego pobiera kod. Bez wątpienia może podkopać zaufanie do „bezpiecznego łańcucha” – „jeśli oprogramowanie jest wzięte z dystrybucji, to na pewno nie ma wbudowanego żadnego złośliwego kodu”, „kod open source jest sprawdzany przez tysiące ludzi”.
Możliwe są trzy scenariusze zakończenia audytu:
– zakończenie pozytywne 1 – złośliwy kod zostanie namierzony i usunięty
– zakończenie pozytywne 2 – złośliwy kod nie zostanie namierzony, bo nie został dodany do oprogramowania wymienionego na liście Setha
– zakończenie negatywne – złośliwy kod nie zostanie namierzony
Przypadek berlios jest również ciekawy w kontekście masowego wykorzystywania takich dużych repozytoriów przez deweloperów open source. Jest to bardzo atrakcyjny cel ataku dla włamywacza, ponieważ po udanym włamaniu jego „skala rażenia” może być bardzo duża.
Jak myślicie, co włamywacz zmajstrował na berlios, gdy przez 5 lat miał do niego dostęp?
Dodaj komentarz