Non di solo Windows si nutrono i malware e, seppure assai di rado, arrivano notizie di trojan che insidiano Linux. È questo il caso di una backdoor presente nel server IRC UnrealIRCd all’insaputa degli stessi sviluppatori.
La copia online dei sorgenti della versione 3.2.8.1 è stata infatti sostituita parecchi mesi addietro, nel novembre dell’anno scorso, con una modificata ad hoc per installare un trojan, che apriva una backdoor, permettendo di eseguire istruzioni malevole dall’esterno con gli stessi privilegi del server IRC.
Seppure non ci siano cifre ufficiali, si pensa che siano parecchie migliaia i server affetti da questo problema. Rispetto ai casi di malware che affliggono Windows, il caso di cui stiamo parlando nasce da una serie di concause, non ultima la “presunzione” che Linux sia sicuro a prescindere da ogni controllo possibile.
Questa presunzione ha portato gli sviluppatori del software a non firmare digitalmente i sorgenti con GnuPG (PGP). La stessa presunzione ha portato gli amministratori dei server a non effettuare controlli su quanto scaricato.
Stiamo forse accusando l’open source di essere per questo meno sicuro? Ovviamente no. Rispetto ai tempi lunghi del software proprietario, nel mondo dell’open source e del free software siamo abituati a vedere le falle tappate nel giro di poche ore, o al massimo qualche giorno. Il fatto che un trojan abbia agito indisturbato per diversi mesi prima che qualcuno se ne accorgesse, significa solo che ci hanno abituato fin troppo bene.
Bravo Michele, nel sito “concorrente” a proposito di questo episodio si consigliava di usare i sorgenti per l’installazione, mentre erano proprio i sorgenti ad essere “infetti”.
di guiodic - 14 giugno 2010 - 13:14
L’opensource non c’entra.
Se la sono andata solo a cercare: niente firma digitale, niente controlli su quanto scaricato, sfido che così il primo hacker da 4 soldi ti freghi.
di abba - 14 giugno 2010 - 14:30
L’opensource non c’entra.
Anzi il contrario direi che è proprio grazie ai sorgenti aperti che ci si è accorti in tempi brevi del problema. Se fosse stato un programma closed quanto ci voleva prima che qualcuno se ne accorgesse?
di Claudio1453 - 14 giugno 2010 - 15:32
Guarda claudio che l’hanno scoperto gli stessi sviluppatori, mica utenti qualunque, quindi che sia open o meno non c’è alcuna differenza pratica (quella teorica è un altro paio di maniche). E poi… accorti in tempi brevi? e’ dal novembre 09 che è stato sostituito l’archivio e se ne sono accorti adesso. Sarebbero tempi brevi questi?
di Liuk - 14 giugno 2010 - 16:31
Non ho idea di come funzioni la firma digitale (anzi se qualcuno ha voglia di spiegarmi la sua applicazione in situazioni simili a queste…) ma sarebbe bastato che lo sviluppatore principale confrontasse periodicamente, magari tramite uno script, l’md5 del file (che si dovrebbe tenere in locale sul suo computer) con gli archivi contenuti nei mirror.
di Liuk - 14 giugno 2010 - 16:36
la firma digitale funziona in questo modo (scenario semplice):
il server firma l’hash del documento con la sua chiave privata (solo lui la sa) ottenendo quindi una stringa cifrata di lunghezza molto minore del documento (grazie all’hash).
Poi invia al client la firma appena ottenuta, il documento e la sua chiave pubblica. Il client prende il documento e ne fa l’hash (nota la funziona hash è pubblica)ottendendo firma* poi prende la firma ci applica la chiave pubblica ed ottiene firma**.
Se firma*==firma** allora il documento è autentico.
Un possibile attaccante non può fare nulla se non conosce la chiave privata, si può solo aggrappare alla fortuna di trovare collisioni nell’hashing.
Il concetto è molto complicato per chi non ha fatto un corso di sicurezza. Inoltre ci sono altri fattori quali l’autenticazione degli endpoints e la crittografia del msg.
Per chiarimenti spero di esserti utile.
di raftel - 15 giugno 2010 - 01:29
grazie mille per la spiegazione!
di Liuk - 16 giugno 2010 - 10:56