dodaの日記: 中国語ローカライズ版PuTTY/WinSCPのバックドア 1
中国語にローカライズされた PuTTY/WinSCP でバックドアがある物が見つかったと昨日辺りから騒ぎになっているようだ。
http://www.oschina.net/news/25203
http://www.rtdot.com/news/426
http://www.youxia.org/2012/01/putty-WinSCP-SecureCRT-Backdoor.html
# 中国語は判らないので Google の翻訳頼み
出所の怪しいバイナリは使うなという事なのだろうけれど、何を持って安全とするかは難しいと思う。
日本でもローカライズ版/機能追加版として PuTTYjp, ごった煮版, ICE IV版などや その他にも色々有るが、これらが絶対に安全であるという保証は無いわけで。
# 上記に挙げた物はおそらく安全だろうと自分は判断している(信頼している)が。
個人的にはソース(の差分)が公開されている物は比較的安全なように思っている。
自分でも PoderosaのAES-CTR対応版(Obsolete) とか PortforwarderのCamellia対応版 などを配布しているが、ソースも配布するようにしている。
それでもバイナリが公開されているソースに対応する物である保証は無いが、バックドアを仕掛けるような奴らはそもそもソースを公開したりしないだろうし、最悪自分でビルドするという手もある。
幸いな事に、日本での PuTTY の機能追加版は大抵ソースが一緒に公開されているので、 この点は恵まれていると思う。
# SourceForge.Netのフォーラムで告知されているPoderosaの中国人?の機能拡 張版は、ソースを公開してくれという声が結構有るのに公開されないのが…
-- おまけ --
http://www.oschina.net/news/25203 では PuTTY のオリジナルの配布元として http://www.putty.org/ を挙げているっぽいけれど、それ違うから。
whois で putty.org を引くと、registrant が bitvise の創業者である denis bider になっているので、Tunnelier や WinSSHD へのリンクが有るのは納得。