Roma – Pochi giorni fa si è ripetuto un episodio che nel recente passato aveva già interessato altri noti software open source. Secondo quanto riportato dal CERT , e prima ancora dall’ Houston Linux Users Group , alcuni pacchetti di distribuzione dei codici sorgenti di libpcap e tcpdump , rispettivamente una libreria e un tool open source per il cosiddetto “packet sniffing”, sono stati modificati da un intruso e contengono un cavallo di Troia.
Le distribuzioni modificate sono tcpdump-3.6.2.tar.gz , tcpdump-3.7.1.tar.gz e libpcap-0.7.1.tar.gz , tutte apparse per la prima volta l’11 novembre sul server HTTP di www.tcpdump.org. Il CERT riporta che il team di sviluppo di tcpdump ha chiuso il download delle distribuzioni incriminate il 13 novembre, me altre copie di quei file potrebbero ancora essere disponibili su uno dei tanti siti mirror.
Il codice malizioso inoculato nei codici sorgenti di tcpdump viene eseguito al momento della compilazione del pacchetto (eseguita attraverso lo script configure ) e tenta di connettersi ad un sito Web con lo scopo di scaricare uno script di shell chiamato services . Se scaricato ed eseguito, questo script compila e lancia il file conftes.c il quale a sua volta si connette ad un indirizzo IP sulla porta 1963/tcp e attende comandi dall’esterno.
Per chi ha scaricato e compilato una versione modificata di libcap o tcpdump il rischio è dunque quello, secondo gli esperti di sicurezza, di consentire l’accesso al proprio sistema ad un aggressore che operi, o finga di operare, attraverso l’indirizzo IP specificato nel codice malevolo.
A mitigare la gravità dell’accaduto interviene il fatto che la stragrande maggioranza degli utenti scarica le versioni binarie dei due pacchetti open source. In ogni caso, gli esperti suggeriscono di controllare sempre che la firma digitale che contrassegna ogni file corrisponda a quella originale: se così non fosse, come nel caso delle versioni modificate di libcap e tcpdump, significa che il file non è autentico.
Ciò che inquieta alcuni esperti di sicurezza è il fatto che nel giro di pochi mesi incidenti simili abbiano interessato alcuni fra i più diffusi pacchetti open source, fra cui OpenSSH e Sendmail .