it-swarm-pt.tech

Exemplo de backdoor enviado para um projeto de código aberto?

Para esclarecer imediatamente, não estou interessado em escrever uma porta dos fundos. Não tenho interesse em enviar changelists de backdoor para projetos.

Estou pesquisando algumas técnicas de modelagem de código-fonte e estamos interessados ​​em ver se identificações de exploração ou código malicioso. Estamos usando os históricos git e Subversion para examinar como um instantâneo de modelo captura relacionamentos entre o código. Há uma dúvida sobre se certos tipos de código aparecem como outliers em um ambiente como esse.

Com isso em mente, estou tendo dificuldade em encontrar instâncias de um git/cvs /? repositório de código aberto com um exemplo de lista de alterações que continha uma backdoor e foi enviado e será exibido nos logs.

Estávamos vendo proftpd como um exemplo anterior , mas essa exploração não foi registrada, mas modificou outras versões do código.

Existem exemplos no histórico de revisões de um projeto de código aberto de tentativas de inserção de código backdoor?

Nota: Enviei isso ao StackOverflow há um tempo atrás , mas foi fechado. Estou revisitando isso agora, e a recomendação era perguntar aqui. Obrigado!

23
swrittenb

Algumas notas sobre uma tentativa de obter uma backdoor no kernel do Linux, por volta de 2003. Aparentemente sem êxito. O comentário contemporâneo foi bastante interessante.

As máquinas de distribuição do kernel do linux ficaram comprometidas novamente em 2011 , mas parece que nenhum código foi alterado nessa época.

ATUALIZAÇÃO: Parece que um espelho do sourceforge tinha ma versão do phpMyAdmin com um backdoor embutido .

15
Bruce Ediger

Havia um backdoor no e107 CMS em 2010: http://www.esecurityplanet.com/headlines/article.php/3860981/Backdoor-Found-in-e107.htm

Há dois meses (setembro de 2012), o phpmyadmin tinha uma backdoor de um dos repositórios/mirrors do SourceForge: http://sourceforge.net/blog/phpmyadmin-back-door/

O FBI alegou ter backdoor na pilha IPSEC do OpenBSD em 2000: http://bsd.slashdot.org/story/10/12/15/004235/FBI-Alleged-To-Have-Backdoored-OpenBSDs-IPSEC-Stack

O opensource tem muitas vantagens em comparação com o código fechado, mas isso não significa que um projeto de código aberto possa ser seguro por causa de sua natureza. O teste de penetração contínua é obrigatório.

9
sh4d0w

O nota principal do FOSDEM 2014 de Poul-Henning Kamp (arquiteto chefe de verniz e Ntimed) é muito interessante:

Este é um ficticious NSA briefing que dei como palestra de encerramento no FOSDEM 2014

A intenção era fazer as pessoas rirem e pensarem, mas eu desafio alguém a provar que é falso.

É tudo ficção, mas é ficção de alguém com muita experiência em projetos de código aberto.

Aqui está o vídeo de 45 minutos .

E também há Como o NSA (pode ter)) colocado um backdoor na criptografia da RSA: Uma cartilha técnica no blog do CloudFlare.

1
kqw

Eu acho que a maior proteção que a maioria dos projetos de código aberto tem é simplesmente quem obtém acesso. Como geralmente nem todos podem confirmar o código de um projeto, aqueles que receberam acesso de confirmação tendem a ser ativos o suficiente para que não valha a pena tentar comprometer dessa maneira. (É mais fácil tentar encontrar uma exploração existente, já que a fonte está disponível.) Mesmo se você tentasse fazer uma confirmação abusiva, você se esforçaria muito e enfrentaria uma chance decente de sua confirmação não autorizada. detectado por outras pessoas antes de chegar a uma versão principal, queimando-se do projeto e desistindo de todo o trabalho que você fez.

Basicamente, como a dificuldade é alta e o potencial de recompensa é baixo, simplesmente não vale a pena tentar comprometer um projeto de código aberto maliciosamente. O único lugar em que você pode ver a tentativa (do ponto de vista do risco versus recompensa) seria o governo tentando fazê-lo, mas, nesse caso, provavelmente estaria com pelo menos algum nível de apoio ao projeto e seria ocultado com cuidado. Também seria muito difícil sem a eventual detecção da maioria dos softwares, por isso é bastante improvável mesmo assim.

0
AJ Henderson