I binari pre-compilati possono essere diversi rispetto a se qualcuno si costruisce da solo?

1

Dato che ho un codice sorgente "accettabile" di qualche programma (Tor è stato menzionato in una precedente versione di questa domanda), dove "accettabile" significa che mi fido di questo codice sorgente e voglio usarlo per i miei bisogni; C'è una possibilità, che se uso i binari precompilati (la compilazione di qualcun altro), otterrò un binario "inaccettabile" che contiene un codice diverso dal codice sorgente "accettabile" che ho visto (ad esempio binario backdoor)?

    
posta Mars 14.06.2015 - 13:35
fonte

2 risposte

5

La risposta è, naturalmente, che è possibile. Ci sono quattro modi principali che possono accadere.

1) I file binari scaricati includono una vulnerabilità e non sono stati creati con il codice sorgente firmato.

  • Risposta: esegui la tua build deterministica in base alle istruzioni fornite su blog.torproject.org , che afferma "Raggiungiamo la nostra sicurezza di costruzione attraverso un processo di compilazione riproducibile che consente a chiunque di produrre binari identici byte per byte a quelli che rilasciamo.Altrove su Internet, questo processo viene chiamato" build deterministiche "," build riproducibili " , "build idempotent" e probabilmente anche qualche altro termine. "

2) Il compilatore utilizzato includeva una vulnerabilità nei file binari, forse un'implementazione specifica del Ken Thompson hack del 1984

  • Risposta parziale: questa è più difficile, anche se l'utilizzo di compilatori diversi provenienti da fonti diverse e l'analisi accurata dei risultati per vedere se hanno gli stessi comportamenti sarebbe ragionevole, se richiedeva molto tempo.

3) Il tuo sistema operativo o i tuoi driver sono stati compromessi.

  • Questo è al di fuori dello scopo di questa risposta.

4) La CPU e / o la NIC sono compromesse.

  • Questo è anche al di fuori dello scopo di questa risposta.
risposta data 15.06.2015 - 00:46
fonte
0

Al giorno d'oggi i compilatori generano file binari diversi ogni volta:

  • BuildID sarà diverso
  • tempo di compilazione (presente in alcuni tipi di file binari) sarà diverso

Quindi non aspettarti mai di ottenere file identici dal codice identico.

Oltre a questo, TOR è un software molto specifico, che è doloroso per molti governi, agenzie a 3 lettere e chiunque sia responsabile della sicurezza deffensiva. Quindi aspettati che ci siano molte persone con un interesse vitale ad aggiungere qualche backdoor ad esso.

Non esiste una risposta sicura al 100%, se i binari TOR sono backdoor. È una questione di fiducia per i suoi editori:

  • se stai cercando di nascondere alcune attività minori, puoi fidarti di loro (in generale), dato che farebbe troppo rumore se qualcuno userebbe davvero tale backdoor per fare irruzione agli utenti TOR esistenti facendo attività minori

  • se stai cercando di evitare di vivere in prigione per attività davvero serie come Silk Road X.0, non fidarti di nessuno

risposta data 15.06.2015 - 00:22
fonte

Leggi altre domande sui tag