Jag är en stor anhängare av öppen källkod, Linux och OpenBSD. Jag älskar öppenheten och alla möjligheter det medför. Det har dock alltid funnits ett orosmoln som jag inte riktigt kan släppa och som inte bara har med öppen källkod att göra men med tanke på den allmänna uppfattningen om att öppen källkod automatiskt är mer granskad och säker så hämtas program från t.ex. Ubuntus programarkiv (repository) utan någon större eftertanke men program som hämtas för Windows ute från diverse hemsidor så ägnas som oftast en större eftertanke och försiktighet innan man väljer att hämta hem programmet.

Det jag ofta känner olust för och som då och då faktiskt händer är att utan utvecklarnas/utgivarens medvetenhet så bakas trojaner och annan skadlig kod in i mjukvaran i fråga och som i vissa fall existerar riktigt lång tid utan att någon reflekterar över det. Detta avfärdas ofta gällande öppen källkod då man anser att det finns så många vakande ögon men hur många granskar källkoden för att sedan kompilera den själv?

Det finns några projekt i närtid som jag dels har i åtanke som t.ex. ProFTPD 1.3.3c som fick en bakdörr injicerad i koden och denna gång tog det bara ett par dagar innan det uppdagades men vad hade hänt om det tog ett par månader? Risken hade då varit överhängande att flera linuxdistributioner hade inkluderat versionen i sina programbibliotek, distribuerat ut skivor, derivator av linuxdistributionerna  kan ha skapats utan någon säkerhetsorganisation bakom som snabbt kunnat åtgärdat problemet, ja – katastrofen hade blivit ett faktum.

Till och med Debian har haft flera problem, senast på grund av att en utvecklare hade slarvat med sina inloggningsuppgifter och på så sätt fick dem intrång i en server. Även om just denna server inte innehåll programbibliotek som användare uppdaterar från så är det ett tecken på hur lätt det kan bli riktigt otrevligt.

Det finns många fler exempel därav Apache, Tor och SquirrelMail är några exempel.

Den stora frågan för oss användare är hur skyddar vi oss? Ofta kan man göra egna kontroller mot t.ex. MD5 men risken är ju att även MD5-summorna har blivit uppdaterade för att passa mot den modifierade koden. Jag tror inte det finns något skydd och man får helt enkelt lägga stor tillit till de personerna som hanterar källkod och programbibliotek men man bör ändå tänka till och ifrågasätta även när man installerar program via Ubuntus programbibliotek.

Ser gärna att jag får kommentarer på detta, vad är era tankar?

—  Johan Ryberg

2 thoughts on “Hotet innefrån

  1. Hej
    Jag har också funderat kring detta problem.
    Jag tror det fungerar så bra som det gör pga “you don’t have to trust us”, dvs möjligheten att någon skulle kunna granska koden har en effekt i sig. Men såvida man inte vill göra allting själv måste man lita på någon. Då handlar det om att få de länkar i kedjan man litar på till att bli så få, och så motståndskraftiga, som möjligt.
    För att spåna vidare på vad man kan göra med källkod och centrala repositories…
    Om paket centralt byggs automatiskt utifrån källkod och byggrecept för paket så är det rimligt att lita på att paketinnehållet stämmer överens med källkoden. Det borde vara enklare att köra heuristisika sökningar efter malware i källkod jämfört med binärer (som man ju tvingas undersöka inom proprietär programvara). Man borde också söka efter mönster som tyder på obfuscerad kod.
    Ett paket där samtliga filer som ska installeras i kataloger för binärer eller libbar, (eller har chmod +x) har kompilerats centralt och genomgått anti-malwaretester på källkodsnivå kan tex få en viss “kvalitetspoäng”.

  2. Jag är själv Ubuntu-användare och det här är inget som jag har oroat mig för eller ens reflekterat över. Jag har litat ganska blint på att de vakande ögon som du skriver om (dvs någon annan) har koll på att sådant inte smygs med i källkoden.

    Intressant ämne och absolut värt att fundera närmare på.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.