Esempio di una backdoor inviata a un progetto open source?

Naviga le tue risposte
22

Per chiarire immediatamente, non sono interessato a scrivere una backdoor. Non ho alcun interesse a presentare personalmente i chanel-list backdoor ai progetti.

Sto facendo ricerche su alcune tecniche di modellazione di origine e siamo interessati a vedere se è possibile identificare exploit o codice dannoso. Stiamo utilizzando le cronologie git e subversion per esaminare in che modo un'istantanea del modello cattura le relazioni tra il codice. C'è una domanda sull'esistenza di determinati tipi di codice come valori anomali in un ambiente come questo.

Con questo in mente, sto avendo difficoltà a trovare istanze di un git / cvs /? repository open source con un esempio di un elenco delle modifiche che conteneva una backdoor e che è stato inviato e verrà visualizzato nei log.

Stavamo esaminando proftpd come primo esempio , ma questo exploit non è stato controllato in ma piuttosto modificato altre versioni del codice.

Ci sono esempi nella cronologia delle revisioni di un progetto open source di tentativi di inserimento di codice backdoor?

Nota: Ho inviato questo a StackOverflow per un po ' fa , ma era chiuso. Sto rivisitando questo ora, e la raccomandazione era di chiedere qui. Grazie!

    
posta swrittenb 29.10.2012 - 15:45
fonte

4 risposte

15

Alcune note su un tentativo di ottenere una backdoor nel kernel di Linux, circa 2003. Apparentemente senza successo. Il commento contemporaneo è stato abbastanza interessante.

Le macchine di distribuzione del kernel Linux hanno nuovamente compromesse nel 2011 , ma sembra che nessun codice sia stato modificato in quel momento.

UPDATE: Sembra che uno specchio di sourceforge abbia una versione di phpMyAdmin con una backdoor integrata .

    
risposta data 29.10.2012 - 16:34
fonte
8

Nel 2010 c'è stato un backdoor nel CMS e107: link

Due mesi fa (2012 settembre) phpmyadmin aveva una backdoor da uno dei repository / mirror di SourceForge: link

FBI accusato di avere backdooring Stack IPSEC di OpenBSD nel 2000: link

Opensource ha molti vantaggi rispetto al closed source, ma questo non significa che un progetto opensource possa essere sicuro per la sua natura. Il test di penetrazione continua è musthave.

    
risposta data 31.10.2012 - 10:46
fonte
1

La nota chiave FOSDEM 2014 di Poul-Henning Kamp (Varnish and Ntimed lead architect) è molto interessante:

This is a ficticious NSA briefing I gave as the closing keynote at FOSDEM 2014

The intent was to make people laugh and think, but I challenge anybody to prove it untrue.

È tutta finzione, ma è una fiction di qualcuno con un sacco di esperienza nei progetti open source.

Ecco il video di 45 minuti .

E poi c'è Come l'NSA (potrebbe avere) mettere una backdoor nella crittografia di RSA: un primer tecnico sul blog di CloudFlare.

    
risposta data 07.11.2015 - 00:54
fonte
0

Penso che la maggiore protezione che la maggior parte dei progetti open source abbia è semplicemente chi ottiene l'accesso. Poiché generalmente non tutti possono impegnare il codice in un progetto, quelli a cui è stato dato l'accesso al commit tendono ad essere abbastanza attivi da non valere la pena provare a scendere a compromessi in questo modo. (È più facile cercare di trovare un exploit esistente dal momento che la fonte è disponibile.) Anche se dovessi provare a commettere abusi, ti stai impegnando molto e dovresti affrontare una buona possibilità che il tuo furfante si impegni rilevato da altri prima di raggiungere una major release, bruciando te stesso dal progetto e rinunciando a tutto il lavoro che hai fatto.

Fondamentalmente, poiché la difficoltà è alta e il potenziale per la ricompensa è basso, non vale la pena tentare di compromettere un progetto open source maliziosamente. L'unico posto in cui potreste vederlo tentare (dal punto di vista del rischio contro quello della ricompensa) sarebbe il governo che cercava di farlo, ma in tal caso, probabilmente sarebbe con almeno un certo livello di supporto al progetto e sarebbe nascosto con cura. Sarebbe anche molto difficile fare a meno del rilevamento per la maggior parte del software, quindi è abbastanza improbabile anche da allora.

    
risposta data 29.10.2012 - 21:19
fonte

Leggi altre domande sui tag

Qual è il modo migliore per rispondere alle e-mail di phishing inviate da un dominio governativo? Perché un attacco (D) DoS rallenta la CPU e blocca un server?