I'm sorry, but this is really nothing new.<div><br></div><div>More wisdom from the ancients: <meta http-equiv="content-type" content="text/html; charset=utf-8"><a href="http://cm.bell-labs.com/who/ken/trust.html">http://cm.bell-labs.com/who/ken/trust.html</a><br>
</div><div><br></div><div><br><div class="gmail_quote">On Thu, Jun 9, 2011 at 5:19 AM, Hac Er <span dir="ltr"><<a href="mailto:spamered@hotmail.com">spamered@hotmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
Hello.<br>
<br>
I have discovered this piece of wisdom in the SlackBuilds site:<br>
<br>
"If you don't trust us to check the scripts for malicious activity,<br>
then please move along."<br>
<br>
This has made me wonder how secure is in fact the SlackBuild software.<br>
Sure, 99.9% of contributors are honorable people with pure motivations<br>
who work to enchance the whole Slackware comunity, but Black Hats do<br>
exist too out there.<br>
<br>
The main reason I prefer compiling myself my software is because<br>
unofficial binary packages can easily be troyanized or otherwise<br>
infected by malware. By using build scrips, you can just get the source<br>
code from the original author, then package it and install. However,<br>
many appications cannot be obtained from the original author anymore.<br>
<br>
Let's take Snort as an example. Snort upstream developers just provide<br>
the latest version in their site. That means SlackBuilds.org cannot just<br>
link to the original Snort x.y.z once Snort x.y.z+1 is released. This<br>
forces the script mantainer (Niels Horn in this case) to make Snort<br>
x.y.z availible from another location (<a href="http://www.nielshorn.net" target="_blank">www.nielshorn.net</a> in this case)<br>
and link to it from SlackBuild.org.<br>
<br>
I trust SlackBuild's statement of them checking the scripts for evil<br>
contents. In fact, many scripts are so simple that you can check them<br>
quickly in a few minutes. However... what happens if Niels Horn is one<br>
of those Black Hats who live in the shadows, slowly infecting computers<br>
all around the world as part of his plan for conquering the Earth? What<br>
is preventing him from patching the original Snort x.y.z and turning it<br>
into a dangerous backdoor? If Snort x.y.z was in <a href="http://www.snort.org" target="_blank">www.snort.org</a>, you<br>
could easily check if Niel's version is the same, but you only will be<br>
able to check against x.y.z+1 version. You can still modify the build<br>
script and build the last version of Snort from the authors website,<br>
yes, but this would be no solution for Niel infecting thousands of<br>
computers.<br>
<br>
What procedure is taken in order to avoid this nightmare?<br>
Because, knowing SlackBuild.org has a very good reputation and its<br>
software works flawlessly most of the times, I asume you have some<br>
method to prevent Niel and his friends from taking over Slackware<br>
Universe.<br>
<br>
Niel, if you are reading this, sorry for being the bad guy of the<br>
story. I needed an example, and Snort was the first that came to my<br>
mind :-)<br>
<br>
_______________________________________________<br>
SlackBuilds-users mailing list<br>
<a href="mailto:SlackBuilds-users@slackbuilds.org">SlackBuilds-users@slackbuilds.org</a><br>
<a href="http://lists.slackbuilds.org/mailman/listinfo/slackbuilds-users" target="_blank">http://lists.slackbuilds.org/mailman/listinfo/slackbuilds-users</a><br>
Archives - <a href="http://lists.slackbuilds.org/pipermail/slackbuilds-users/" target="_blank">http://lists.slackbuilds.org/pipermail/slackbuilds-users/</a><br>
FAQ - <a href="http://slackbuilds.org/faq/" target="_blank">http://slackbuilds.org/faq/</a><br>
<br>
</blockquote></div><br></div>