Alessandro Del Rosso

Linux, trojan in un server IRC

Un noto software IRC per Linux celava da molti mesi un trojan capace di aprire una backdoor nel sistema in cui veniva installato il software. I maintainer hanno promesso l'adozione di nuove misure per la sicurezza

Roma - Un cavallo di Troia è rimasto nascosto per quasi sette mesi in UnrealIRCd, uno dei più diffusi server IRC open source. L'imbarazzante vicenda è stata rivelata sul sito ufficiale del software, dove si spiega che il file Unreal3.2.8.1.tar.gz per Linux presente sui mirror del progetto "è stato sostituito qualche tempo fa con una versione contenente una backdoor (trojan)". Il port ufficiale per Windows e le versioni per Linux scaricate prima del 10 novembre 2009 non dovrebbero contenere alcuna "sorpresa".

Nel post di Syzop, uno dei maintainer del software, si apprende che la backdoor poteva consentire ad un malintenzionato di eseguire qualsiasi comando con gli stessi privilegi con cui gira il demone ircd. "La backdoor - prosegue il post - può essere eseguita indipendentemente dalle restrizioni utente (dunque anche nel caso in cui avete protetto il server o l'hub con una password che impedisce l'accesso a qualsiasi utente)".

Il file sostituito, relativo alla versione per Linux, sembra risalire allo scorso novembre: ciò significa che in quasi sette mesi nessuno si è accorto che questa versione del software conteneva al suo interno un trojan. Come spesso ricordano certi esperti di sicurezza, la disponibilità del codice sorgente, da sola, non garantisce che un software sia libero da malware o altre minacce per la sicurezza.
Va però sottolineato come il grave problema di sicurezza che ha interessato UnrealIRCd nasca, su stessa ammissione di Syzop, dalle negligenze dei suoi maintainer: i file erano privi di firma digitale, e nessuno ne verificava periodicamente l'autenticità. Gli sviluppatori del software hanno ora promesso controlli più accurati e l'uso di PGP/GPG per firmare tutti i pacchetti binari.

Le istruzioni da seguire per verificare la versione di UnrealIRCd e rimuovere l'eventuale backdoot sono riportate qui.

Alessandro Del Rosso
233 Commenti alla Notizia Linux, trojan in un server IRC
Ordina
  • legge l'articolo.
    a) NON hanno violato il server di UnrealIRCd (quindi non ne hanno compromesso i sorgenti)
    b) non hanno violato il cvs
    c) hanno violato uno o piu MIRRORS ,citati sul sito di UnrealIRCd [che pero' l'admin non ha voluto menzionare]
    d) i mirrors in quanto tali non erano sotto il controllo diretto dell'admin (anche se pero' ovviamente loro li "sponsorizzavano" sul sito)
    e) "linux e l'opensource failure" ovviamente non c'entrano una pippa. Anzi semmai il fatto di avere i sorgenti e' stato utile per individuare il problema che puo capitare ovunque.

    La cosa ovviamente cmq non e' piacevole xche
    a) gli admin dei mirrors evidentemente erano parecchio disattenti, l'admin di UnrealIRCd si fidava dei suddetti senza controllare.
    b) Non c'erano signature sul sito di UnrealIRCd x poter fare una verifica

    Conseguenze sono che ora il sito di UnrealIRCd pensa per se (aka alla sicurezza del suo e basta), mette le signature e altri controlli, e (IMHO x eccessiva politically correctness) non condanna gli admin dei mirror incriminati.
    non+autenticato
  • Andate a leggere i post sul sito del server irc citato (http://www.unrealircd.com/).
    C' è una certa dose di autocritica e serenamente d' ora in poi le release saranno firmate digitalmente; certo questo sarebbe dovuto essere così dall' inizio, ma meglio tardi che mai.
    Sicuramente l' autore ha fatto una bella figura di m***a e ne pagherà le conseguenze in futuro, non come certi "geni" del closed; qui si è fatto tutto con estrema trasparenza, come si usa nel mondo open.
  • Più diffuso sarà linux e più ne sentiremmo storie simili come questa.
    (purtroppo)
    non+autenticato
  • vero ma non dimentichiamoci che generalmente l'attenzione
    alla sicurezza è molto più alta in progetti open source
    (quelli un minimo seri, non conto gli snippet code ovviamente)
    che nel mondo closed.
    un esempio a caso? hp-ux utilizza ancora pwd encodate in /etc/passwd
    in 3des!
    altro esempio oracle (fino alla 10g) encoda le password con un
    algoritmo debolissimo.
    altro esempio? quanti file .exe o .msi hai installato senza aver
    la possibilità di verificarne la firma digitale?
    con una distribuzione linux decente questo viene fatto in automatico
    dal software manager.
    gli errori anche clamorosi capiteranno sempre vedi openbsd e ssh di debian
    ma l'approccio alla sicurezza mi sembra molto più robusto in ambito
    open source anche grazie alla sensibilità degli utenti stessi
    in media più smaliziati dei utonti winzoz.
    non+autenticato
  • finché si tratta di trojan e malware circoscritto all'ingegneria sociale nessun problema, anzi direi quasi che è quasi un buon segno A bocca aperta

    Mi comincerò a preoccupare quando anche linux sarà facilmente bucato da exploit tramite web-browser o da virus che attaccano da remoto (come per il noto SO Groviera™)
  • schiocchezze, linux è diffusissimo sui server eppure si continua a bucare windows server/iis

    perchè?
    non+autenticato
  • - Scritto da: collione
    > schiocchezze, linux è diffusissimo sui server
    > eppure si continua a bucare windows
    > server/iis
    >
    > perchè?

    Fonti?
    Non vorrai forse dire questa?
    http://punto-informatico.it/b.aspx?i=2915106&m=291...

    Anche perchè hai rimediato una figura decisamente pessima e non calcherei troppo la mano...

    O forse ti riferisci a questi link:
    http://secunia.com/advisories/product/73/
    http://secunia.com/advisories/product/17543/

    Ora sotterrati pure.
    Grazie.
  • Che troll...
  • - Scritto da: markoer
    > Che troll...

    Un tizio scrive cose che non stanno né in cielo né in terra e sarei io il troll? Con tanto di link (e non per sentito dire) ho dimostrato che, ad oggi, IIS è più sicuro di Apache controbattendo all'affermazione: "eppure si continua a bucare windows server/iis".

    Davvero strano il tuo concetto di troll, forse la filosofia ti ha portato ad una visione del mondo assolutamente alternativa?
  • - Scritto da: Uau (TM)
    > - Scritto da: markoer
    > > Che troll...

    > Un tizio scrive cose che non stanno né in cielo
    > né in terra e sarei io il troll?

    Si: sei tu quello che scrive cose che non stanno né in cielo né in terra.

    > Con tanto di
    > link (e non per sentito dire) ho dimostrato che,
    > ad oggi, IIS è più sicuro di Apache
    > controbattendo all'affermazione: "eppure si
    > continua a bucare windows server/iis".

    Non hai dimostrato niente se non bug che bisogna vedere se e quanto sono sfruttabili, le statistiche ti danno contro : i server maggiormente bucati sono windows.
    Ti diro' di piu' : le assicurazioni delle server farm chiedono un premio maggiore per le macchine windows rispetto a quelle linux per coprire i danni.

    > Davvero strano il tuo concetto di troll, forse la
    > filosofia ti ha portato ad una visione del mondo
    > assolutamente alternativa?

    Sei il tipico troll che non ammette di esserlo, e' normale.
    krane
    21429
  • Ma che bellini tutti questi linaretti che si credono dei guru dell'informatica.
    Mi fate tanta tenerezza e mi ricordate scene come questa:
    Clicca per vedere le dimensioni originali
  • - Scritto da: Uau (TM)
    > Ma che bellini tutti questi linaretti che si
    > credono dei guru
    > dell'informatica.
    > Mi fate tanta tenerezza e mi ricordate scene come
    > questa:

    Poi lamentati che ti danno del troll Rotola dal ridere Se questi sono i tuoi argomenti... Rotola dal ridereRotola dal ridere
    krane
    21429
  • In realtà il "tizio" ha ragione... sei tu che devi provare il contrario. Postare due link a due vulnerabilità di Linux, quando Windows ne ha centinaia se non migliaia, è come cercare di nascondersi dietro un dito.

    Detto questo, non esistono, che io sappia - ed io lavoro nella sicurezza, dovrei saperlo Sorride - statistiche veramente attendibili circa quali sistemi vengano maggiormente bucati, per il semplice motivo che nessuna azienda verrà mai a dire in giro di essere stata bucata... quello che è certo è che Windows ha molte, molte più vulnerabilità, ed il patch management è molto più complicato e problematico che su Linux, quindi è molto più facile incontrare sistemi Windows vulnerabili che non Linux.

    Ovviamente un sistema vulnerabile non significa che sia automaticamente bucabile o anche che sia anche soltanto importante da proteggere - vuol dire soltanto che è vulnerabile.

    Per quanto mi riguarda personalmente... Ieri ho giusto fatto il reboot dei miei server Windows, avendo dovuto installare 24 (VENTIQUATTRO) patch... LOL. Per fortuna cambierò il software e passeremo ad uno basato su Linux/Oracle invece di Windows/SQL Server, così almeno non dovrò riavviare il sistema per ogni patch!


    Cordiali saluti
  • alla faccia di chi diceva che linux non aveva virus
    non+autenticato
  • Fermi tutti, è arrivato batman
    non+autenticato
  • - Scritto da: gladiatore
    > alla faccia di chi diceva che linux non aveva
    > virus

    http://punto-informatico.it/b.aspx?i=2915106&m=291...
    krane
    21429
  • - Scritto da: gladiatore
    > alla faccia di chi diceva che linux non aveva
    > virus

    Infatti NON si tratta di un virus
  • chiunque non sia un perfetto sprovveduto non direbbe mai che basta avere linux per essere assolutamente blindati contro ogni tipo di intrusione e rischio sicurezza. rimane il fatto che specie per gli utenti desktop un sistema linux neanche tanto 'indurito' é giá un passo ciclopico in avanti dal punto di vista della sicurezza. é una verita piu dura del ferro che di tutti i virus, trojan, backdoor e altri pezzi di software malevoli, solo una porzione ridicolmente piccola avrebbe una chance di attaccare un sistema linux e comunque la disponibilitá del codice sorgente ha reso possibile accorgersi di una vulnerabilitá che nel software chiuso sarebbe rimasta nascosta per chi sa quanto. e per finire il sistema del software open source É SICURO. un utente giustamente preparato se trova dei packages non firmati come quelli incriminati non li installa, punto. questo buco di sicurezza é successo perché sia il mantainer del pacchetto che gli utenti si sono comportati in maniera stupida,superficiale e incosciente. il tuo commento ugualmente superficiale e probabilmente dettato dall'interesse o da sciocche partigianerie fa il paio con la stupidita di quegli sprovveduti utenti linux.
    non+autenticato
  • L'enorme vantaggio dell'open source è che c'è un'intera comunità al lavoro che controlla, migliora e rende disponibili le migliorie. Con un po' di attenzione il sistema funziona, ma non è a prova di cretino.
    non+autenticato
  • FALSO FALSO FALSO

    il closed source è meglio in tutto e per tutto

    il closed source è l'unica via, non volete pagare brutti sorciari ma dovete pagare, il software SI PAGA

    W MICROSOFT, My lovely BallmyCon la lingua fuori
    non+autenticato
  • - Scritto da: Marcello
    > L'enorme vantaggio dell'open source è che c'è
    > un'intera comunità al lavoro che controlla,
    > migliora e rende disponibili le migliorie. Con un
    > po' di attenzione il sistema funziona, ma non è a
    > prova di
    > cretino.

    Ad ogni vantaggio corrisponde sempre un rischio, come dimostra questa vicenda.
    Una backdoor si può nascondere all' interno di codice apparentemente regolare e se in un progetto open source, in cui chiunque può inviare patch, i mantainer non sono ferratissimi in tema di sicurezza è facile che accadano queste cose. Che poi in un progetto open source ci sia una pletora di programmatori che controlla il codice è un po' una leggenda, molto spesso al contrario è difficile trovare programmatori disponibili a lavorare....
  • - Scritto da: Enzo4510
    > Ad ogni vantaggio corrisponde sempre un rischio,
    > come dimostra questa
    > vicenda.
    > Una backdoor si può nascondere all' interno di
    > codice apparentemente regolare e se in un
    > progetto open source, in cui chiunque può inviare
    > patch, i mantainer non sono ferratissimi in tema
    > di sicurezza è facile che accadano queste cose.
    > Che poi in un progetto open source ci sia una
    > pletora di programmatori che controlla il codice
    > è un po' una leggenda, molto spesso al contrario
    > è difficile trovare programmatori disponibili a
    > lavorare....

    Ci sono due versioni identiche del software, una Good e una Bad. Non è quindi per via di una patch ma è stato semplicemente sostituito il file originale. Da oggi son tornati a pubblicare le chiavi GPG e gli hash, che sono misure di sicurezza ormai standard. What's the problem?
    non+autenticato
  • - Scritto da: Nedanfor non loggato
    > - Scritto da: Enzo4510
    > > Ad ogni vantaggio corrisponde sempre un rischio,
    > > come dimostra questa
    > > vicenda.
    > > Una backdoor si può nascondere all' interno di
    > > codice apparentemente regolare e se in un
    > > progetto open source, in cui chiunque può
    > inviare
    > > patch, i mantainer non sono ferratissimi in tema
    > > di sicurezza è facile che accadano queste cose.
    > > Che poi in un progetto open source ci sia una
    > > pletora di programmatori che controlla il codice
    > > è un po' una leggenda, molto spesso al contrario
    > > è difficile trovare programmatori disponibili a
    > > lavorare....
    >
    > Ci sono due versioni identiche del software, una
    > Good e una Bad. Non è quindi per via di una patch
    > ma è stato semplicemente sostituito il file
    > originale. Da oggi son tornati a pubblicare le
    > chiavi GPG e gli hash, che sono misure di
    > sicurezza ormai standard. What's the
    > problem?

    Che come ho detto non c'era una pletora di programmatori a controllare il codice... per sette mesi....
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 11 discussioni)