La mia domanda di base è questa:
Quando utilizziamo il sistema di pacchetti apt-get o yum Linux / Debian, ci stiamo dando molta fiducia che i pacchetti che stiamo scaricando e installando siano sicuri. Del resto, anche scaricando immagini Linux da Ubuntu o Debian o Red Hat o qualsiasi altra cosa, stiamo assumendo che questi server siano sicuri e che le fonti siano affidabili.
Dato che c'è un'ampia varietà di distro, gestori di pacchetti, mirror e siti che ci servono questo contenuto, sembra che valga la pena mettere in discussione la sicurezza di questo intero ecosistema.
Quanto è sicuro questo ecosistema software open-source dagli hacker del dipartimento di sicurezza nazionale?
Come sappiamo, il nostro "guv'mint" è già stato responsabile della compromissione dei server e degli standard di sicurezza di altri progetti open source come lo standard di crittografia SSL e implicato nell'hacking di sistemi aziendali privati su cui facciamo affidamento ( Google / Gmail), che mi dà motivo di considerare quanti possibili vettori di attacco potrebbero esserci in un ecosistema complesso quanto la comunità open-source / unix / linux.
Per dare un esempio concreto:
Se utilizzo il gestore pacchetti apt-get di Ubuntu negli Stati Uniti (o in un altro paese), sto scaricando i pacchetti da server ospitati in quella nazione e presumendo che il software che sto installando sia sicuro. Che cosa c'è per garantire che i server non siano stati compromessi o che il codice dannoso sia stato incorporato in pacchetti software affidabili? Sembra un obiettivo probabile per le nazioni con dipartimenti di sicurezza delle informazioni che hanno forti ambizioni verso il controllo del cyberspazio.