Trojaned tcpdump and libpcap (fwd)

[Alexander Neumann]

Tach,

Hauke Joachim Zuehl wrote:
> Ich will ja nicht unken, aber so, wie ich den Heise Artikel verstanden
> habe, wurde das configure-Script des Quellcodes manipuliert.

Richtig, das heisst in diesem Fall wuerde es "lediglich" die
Debian-autobuilder betreffen. Diese laufen btw. in einem chroot.

> <szenario>
> $BAD_BOY schleust ein wenig $BOESER_CODE in die Quellen ein. Bei grossen
> Projekten ist es nahezu unmoeglich (IMO), diesen Code zu entdecken.
> Der Maintainer compiliert das Paket (unabahaengig von der Distribution),
> laesst MD5 darueber laufen und signiert das Ganze.
> </szenario>
> 
> Alles in allem ist $PAKET also vertrauenswuerdig, jedoch ist
> $BOESER_CODE im Programm.
> Resultat: Ein Trojaner der ggf. lange unentdeckt bleibt.
> 
> Fazit: MD5 und GPG sind zwar ganz nett, helfen aber nicht, wenn die
> Ursache ueberhaupt nicht entdeckt wird.
> 
> _Wenn_ der Trojaner dann entdeckt wird, kann man latuernich durch die
> CVS-Logs rausfinden, wer $BAD_BOY ist / war und den ggf. kraeftig in
> gewisse Koerperteile treten.

Wenn $BAD_BOY an mein CVS rankommt, hab ich ganz andere Probleme.

> OpenSource ist ja gut und schoen, aber ab und an scheitert es IMO an der
> Qualitaetssicherung.

Nein. Man sieht hier wieder, das man Sourcen verifizieren sollte. Dies
ist kein Problem von OpenSource (bei $kommerzware waer der Trojaner
nicht aufgefallen...). Waere der tarball signiert gewesen und haette das
Jemand ueberprueft, waer das schon frueher aufgefallen (ist es im
Prinzip auch, dadurch das Gentoo nach dem Downloaden md5sums
vergleicht...).

- Alexander
-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 189 bytes
Desc: not available
URL: <http://lug-owl.de/pipermail/linux/attachments/20021113/a4a8caf5/attachment.sig>