Trojaned tcpdump and libpcap (fwd)

[Hauke Joachim Zuehl]

N'Abend

Am Mit, 2002-11-13 um 21.30 schrieb Alexander Neumann:
> Hi,
> 
> Frank Matthieß wrote:
> > [Releases.gpg, Ueberpruefung]
> > Oder habe ich einfach eine dicken, fetten Denkfehler?
> 
> Nein, ist schon richtig nur das wird zur Zeit noch nicht automatisch
> gemacht. Es gibt (wie schon erwaehnt) von aj ein Script was genau dies
> leistet, allerdings ist das eher umstaendlich einzurichten. Es wird grad
> dran gearbeitet das in apt einzubauen.

Ich will ja nicht unken, aber so, wie ich den Heise Artikel verstanden
habe, wurde das configure-Script des Quellcodes manipuliert.

<szenario>
$BAD_BOY schleust ein wenig $BOESER_CODE in die Quellen ein. Bei grossen
Projekten ist es nahezu unmoeglich (IMO), diesen Code zu entdecken.
Der Maintainer compiliert das Paket (unabahaengig von der Distribution),
laesst MD5 darueber laufen und signiert das Ganze.
</szenario>

Alles in allem ist $PAKET also vertrauenswuerdig, jedoch ist
$BOESER_CODE im Programm.
Resultat: Ein Trojaner der ggf. lange unentdeckt bleibt.

Fazit: MD5 und GPG sind zwar ganz nett, helfen aber nicht, wenn die
Ursache ueberhaupt nicht entdeckt wird.

_Wenn_ der Trojaner dann entdeckt wird, kann man latuernich durch die
CVS-Logs rausfinden, wer $BAD_BOY ist / war und den ggf. kraeftig in
gewisse Koerperteile treten.

OpenSource ist ja gut und schoen, aber ab und an scheitert es IMO an der
Qualitaetssicherung.

_Andererseits_ sieht man aber auch mal wieder an diesem Beispiel, wie
schnell reagiert und ein Patch, bzw. ein sauberes Paket herausgebracht
wird (Ist es _wirklich_ sauber??).

> 
> - Alexander

Gruss,
Hauke
-- 
Sag "Nein" zu TCPA, denn deine Daten gehoeren Dir!
Unterschreibe bei http://www.petitiononline.com/endtcpa1/petition.html
Was ist TCPA? Infos: http://www.lb.shuttle.de/apastron/noTCPAg.htm
(Beide Seiten sind nicht von mir!)