SourceCode vs Vorkompiliert

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
lod
Beiträge: 37
Registriert: 12.01.2010 09:21:55

SourceCode vs Vorkompiliert

Beitrag von lod » 29.06.2018 19:01:27

Hallo zusammen

Hab mir schon länger mal überlegt, wer eigentlich sicherstellt dass OpenSource Software wie z.B. diverse LinuxApplikationen in der vorkompilierten Version auch tatsächlich dem angebotenem Source entspricht.
Also ein frustierter DownloadServer Admin kompiliert einen Kernel mit Hintertürchen und ersetzt den bestehenden auf dem Server. Oder man übernimmt ein Repository für die zukünftige maintenance (weil sonst niemand will) und bastelt im source für das binary anderes rein als in der öffentlichen source im Download sichtbar ist.

Kann man eine solche Modifikation bemerken so mit sha256 oder md5?

Ist rein zur Neugier, denke aber da gibts sicherlich bereits eine Lösung :D

Gruss
lod

owl102

Re: SourceCode vs Vorkompiliert

Beitrag von owl102 » 29.06.2018 20:56:36

lod hat geschrieben: ↑ zum Beitrag ↑
29.06.2018 19:01:27
Hab mir schon länger mal überlegt, wer eigentlich sicherstellt dass OpenSource Software wie z.B. diverse LinuxApplikationen in der vorkompilierten Version auch tatsächlich dem angebotenem Source entspricht.
Ein Ansatz:
https://wiki.debian.org/ReproducibleBuilds
https://reproducible-builds.org/

Ansonsten kennt zumindest rpm ein "Verify", um zu überprüfen, ob alles noch dem installierten Paket entspricht:
https://www.centos.org/docs/5/html/5.1/ ... fying.html

Ob es ähnliches bei Debian/deb gibt entzieht sich meiner Kenntnis.

Benutzeravatar
Meillo
Moderator
Beiträge: 8782
Registriert: 21.06.2005 14:55:06
Wohnort: Balmora
Kontaktdaten:

Re: SourceCode vs Vorkompiliert

Beitrag von Meillo » 29.06.2018 21:27:00

owl102 hat mit Reproducible Builds schon das passende Stichwort fuer Debian geliefert.

Falls darueber hinaus noch Interesse am allgemeineren Thema des Vertrauens auf korrektes Arbeiten von Software besteht, dann sollte man sich Ken Thompsons Turing Award Lecture ``Reflections on Trusting Trust'' zu Gemuete fuehren.

https://www.ece.cmu.edu/~ganger/712.fal ... ompson.pdf
Use ed once in a while!

lod
Beiträge: 37
Registriert: 12.01.2010 09:21:55

Re: SourceCode vs Vorkompiliert

Beitrag von lod » 30.06.2018 13:54:49

Spannende Antworten. Vorallem den Kompiler selbst zu kompromitieren, der dann gleich pauschal Löcher "einkompiliert"...was sogar bei Max OSX resp XCode schon tatsächlich vorkam...immer wieder spannend auf was für Ideen die Leute kommen.

Vielen Dank für die Links!

Antworten