Backdoor in UnrealIrcd: come ti metto un trojan in Linux

Pubblicato: 14 giu 2010 da sigul

Nel demone UnrealIrcd c’è una backdoor (trojan) attraverso la quale l’utente che sta eseguendo il programma può lanciare tutti i comandi che vuole sul sistema in uso.

La sconcertante notizia è stata riportata sabato in un post nel forum di Unreal Irc, piattaforma di Internet relay chat.

Per fortuna il bug riguarda solo la versione diffusa da novembre, la 3.2.8.1. Tutte le precedenti e quelle per Windows non sono invece affette dal problema.

Inoltre l’eventuale intruso non avrebbe avuto i privilegi di root, ma solo dell’utente che aveva lanciato il demone.

Ma attenzione, non si tratta di un vero e proprio bug. Con imbarazzo quelli di UnrealIrcd spiegano che a novembre qualche malintenzionato ha sostituito il file Unreal3.2.8.1.tar.gz sui loro repository con quello contenente la backdoor.

Questo però mette in luce un problema di sicurezza spesso tralasciato dagli utenti linux. Chi infatti si prende la briga di contrallare il codice che installa sul proprio pc, o almeno di fare un checksum dei pacchetti che installa? Spesso ci si affida alle sicurezza di linux senza fare gli opportuni controlli, come sottolinea Unixlife nel raccontare lo stesso episodio.

Di contro, personalmente credo che sia sempre meglio compilare codice sorgente, ma a questo punto è forse meglio affidarsi, quando serve, ai pacchetti binari precompilati di repository verificati.

I primi a cospargersi il capo di cenere e a riflettere sull’accaduto sono stati proprio gli sviluppatorti di UnrealIrcd:
“Again, I would like to apologize about this security breach. We simply did not notice, but should have. We did not check the files on all mirrors regularly, but should have. We did not sign releases through PGP/GPG, but should have done so”.

(1 Voti | Media: 1 su 5)

11 commenti

Commenti dei lettori

(Inserisci un commento - Nascondi commenti anonimi)

markk0
14 giu 2010 - 07:06 - #1

0 punti

la sicurezza non dipende da quale sistema operativo si usa o se il software è libero o proprietario.

la sicurezza è un processo, non un prodotto.

la sicurezza dipende dall’accendere il cervello prima di accendere il computer.

un pirla che usa Linux, sempre un pirla rimane.

scrivetelo 100 volte sulla lavagna, prima di andare a casa, così magari vi entra nella zucca.
ortega7
14 giu 2010 - 07:22 - #2

0 punti

“la sicurezza non dipende da quale sistema operativo si usa o se il software è libero o proprietario.
la sicurezza è un processo, non un prodotto.”

hahahahahahah
che patetici !
Fino a ieri Linux non ne aveva bisogno, adesso invece non sembra così.
Tanto basta cambiare le carte in tavola.
cippolippo
14 giu 2010 - 08:49 - #3

0 punti

@ortega chi sostiene che linux (o qualsiasi altro sistema operativo) non ha bisogno di essere messo in sicurezza è un idiota. Rimane il fatto che questo processo su alcuni sistemi operativi può essere più rapido/facile perchè strutturati meglio.
picander
14 giu 2010 - 10:07 - #4

1 punto

Il trojan è un software come un altro, se lo installi funziona bene anche sotto linux.
Però con linux hai il vantaggio che non si installa da solo navigando con il browser come capita sotto win
rizlox
14 giu 2010 - 10:42 - #5

0 punti

ortega7 = TROLL
pezzo_di_medda
14 giu 2010 - 12:42 - #6

1 punto

“We did not check the files on all mirrors regularly, but should have. We did not sign releases through PGP/GPG, but should have done so”

“L’incidente” si spiega in queste due semplici frasi……
Unixlife
14 giu 2010 - 12:58 - #7

0 punti

Al di la del fatto che la notizia è di pubblico dominio,fa strano notare che siano state utilizzate quasi le stesse parole di questo post, http://unixlife.it/content/linux-non-%C3%A8-immune-ai-trojan pubblicato in data 13/06.

Il vostro pezzo :

“Questo però mette in luce un problema di sicurezza spesso tralasciato dagli utenti linux. Chi infatti si prende la briga di contrallare il codice che installa sul proprio pc, o almeno di fare un checksum dei pacchetti che installa?

Di contro, personalmente credo che sia sempre meglio compilare codice sorgente, ma a questo punto è forse meglio affidarsi, quando serve, ai pacchetti binari precompilati di repository verificati.”

Il nostro pezzo:

“Nessuno controlla il codice,nessuno controlla il checksum degli archivi al momento del download di un software.L’intrinseca sicurezza di Linux non è una scusa valida per bypassare le più semplici accortezze dettate dal buon senso di cui ogni amministratore di sistema dovrebbe dotarsi.Last but not least,non si smetterà mai di affermare che l’utilizzo diretto di codice sorgente su server in produzione è una pratica da sconsigliare ad ogni livello,preferendo invece l’installazione di software in formato binario attraverso repository verificati.”

Sarebbe molto corretto citare la fonte,o cambiare le parole la prossima volta.Saluti.

EDIT

Mi scuso direttamente io con l’autore del post citato. Prima di scrivere questo post avevo letto il suo e condiviso la riflessione sull’uso dei pacchetti sorgenti e precompilati, ripromettendomi una citazione che poi però non mi sono ricordato di fare. La aggiungiamo ora.

Silvio Gulizia
guiodic
14 giu 2010 - 13:18 - #8

0 punti

Fino a ieri Linux non ne aveva bisogno, adesso invece non sembra così.

Non ne aveva bisogno di cosa? ti riferisci agli antivirus? perché secondo te questo trojan sarebbe stato individuato da un antivirus?

Il trojan è un software come un altro, se lo installi funziona bene anche sotto linux.
Però con linux hai il vantaggio che non si installa da solo navigando con il browser come capita sotto win

Gia….
Dongab
14 giu 2010 - 13:52 - #9

0 punti

A sostegno di quanto già esaustivamente riportato nel commento di Unixlife, faccio presente ai gestori del sito che copiare, modificare e utilizzare in toto o parzialmente elaborati già pubblicati in altri siti o blog viola non solo la legge (se i testi sono protetti da licenza come in questo caso) ma alimenta anche un fastidioso malcostume di sciacallaggio. Come giornalista professionista capisco la necessità di citare fonti e notizie, ma ci si augura sempre che le necessità editoriali non esulino mai dalla ragionevolezza e dal rispetto del lavoro altrui.
Saluti
Nedanfor
14 giu 2010 - 14:01 - #10

0 punti

Se malauguratamente devo scaricare qualcosa da un sito faccio sempre il checksum con MD5 o SHA256… Altrimenti repo sicuri e certificati. Mia madre se deve scaricare un programma da un sito web mi chiama, se deve fare dai repo le ho insegnato a far da sola. Diversi miei amici idem e in oltre un anno zero problemi. Zero. Con Windows e le stesse persone (che si cercavano di volta in volta siti sicuri prima di fare un download, in ogni caso) un’installazione gli durava 6 mesi - 1 anno. Okay, io un’installazione di XP me la son fatta durare 3-4 anni tranquillamente… ma possiamo pretendere che l’utente comune apprenda tante cose da evitare tutti i possibili problemi? Ormai, per quanto mi riguarda, s’è invertito il mondo: Windows è da smanettoni, una distro come Ubuntu è per tutti.
Asla
14 giu 2010 - 14:09 - #11

0 punti

Gentili Amministratori,
mi pare che in questo caso il bug riguardi prima l’etica dato che la stessa notizia era già presente in rete al seguente url:

http://unixlife.it/content/linux-non-%C3%A8-immune-ai-trojan

Di certo quando si scrive, è lecito, anzi necessario documentarsi e utilizzare altro materiale, ma è altrettanto obbligatorio citare sempre la fonte. (Per esempio con una “v.” che sta per vedi o “cfr.”che sta per confronta)
Asla (una che per lavoro scrive articoli e recensioni)

P.s. A quanto pare Luttazzi sta facendo scuola e molto allievi rischiano di superare i maestri…
Quanta amarezza…