[Madrid-pm] Selección de módulos dependiendo del S.O.

Salvador Fandiño sfandino en gmail.com
Lun Nov 28 06:58:56 PST 2016



On 11/28/2016 03:08 PM, Alex Muntada wrote:
> salvador fandino:
>
>> En tu ejemplo, has cargado un paquete "Trojan", pero un atacante que
>> consigue hacer eso ya tiene el control completo del programa y puede
>> manipular @ISA o hacer cualquier otra cosa que le plazca directamente.
> Tienes razón, @INC tambien es vulnerable a este tipo de ataques.
>
> En mi cabeza he imaginado qué pasaría si alguien consigue las
> credenciales de PAUSE del mantenedor de algun módulo muy usado
> y añadiera un exploit en $^O para crear un backdoor.
>
> Como los módulos de Perl se distribuyen en código, supongo que
> tarde o temprano alguien se daría cuenta, pero ¿cómo puede un
> autor protegerse de este tipo de ataques que podrían venir de
> las dependencias externas? Casi nadie firma sus paquetes en CPAN
> con una clave PGP y no hay ningún tipo de garantía sobre la
> autoría más allá de conocer la contraseña de PAUSE. De hecho,
> los mirrors del CPAN son todavía más vulnerables a ataques de
> MitM. Supongo que por eso me siento más tranquilo usando los
> módulos empaquetados para las distribuciones de linux.
La ingeniería social es incluso más fácil que todo eso.

Muchos autores están dispuestos a ceder el control de sus módulos al 
primero que se ofrezca a mantenerlos!

Hay otros que aceptan casi cualquier pull-request que les llega por GitHub.



Más información sobre la lista de distribución Madrid-pm