Buone notizie, un altro trojan per GNU/Linux :)

La notizia è di quelle che faranno davvero discutere.

Gli utenti GNU/Linux (o forse dovrei dire, gli amministratori di server) che, da novembre del 2009, hanno installato UnrealIRCd (un server di chat IRC molto diffuso) si sono beccati insieme ad esso un trojan. Il trojan nel caso specifico è anche piuttosto pericoloso, perché permette l’esecuzione, da remoto, di qualsiasi comando con i privilegi dell’utente che esegue il demone. I bravi amministratori creano un utente apposta, come si deve sempre fare in questi casi. I dementi invece usano root. Nel caso migliore insomma, il massimo che potrebbe succedere è che l’attaccante remoto cambi la configurazione del demone o legga i log delle connessioni e, probabilmente, possa acquisire informazioni sugli utenti. Nel caso peggiore, l’attaccante potrebbe fare qualsiasi cosa su quel server.

Quel che è successo è che qualcuno ha sostituito in alcuni mirror il file “buono” con uno contenente il trojan.

Una fatto, questo, particolarmente insidioso: non parliamo infatti di un sito “strano” o di qualche forum o community dove chiunque può inviare qualcosa, ma del sito ufficiale del progetto. Insomma un posto “affidabile”.

Il fatto in sé non suscita particolari preoccupazioni per noi utenti desktop, ma dobbiamo considerare un paio di cose:

1. la versione infettata era solo quella per GNU/Linux, non quella di Windows
2. il software in questione è molto famoso come server IRC e tanti servizi lo usano; non possiamo escludere che possano essere stati effettuati attacchi remoti a molti server.

Riguardo al primo punto, il motivo apparentemente è semplice: la maggior parte dei server Internet usano GNU/Linux o altri Unix e quindi il successo è garantito. Ma non è da escludere che questo attacco sia stato pensato per gettare ombre sulla sicurezza di GNU/Linux. In fondo non sarebbe costato molto fare la stessa identica cosa per la versione Windows. E questo fa pensare.

Uniamo questa notizia a quella di qualche mese fa riguardante sempre un trojan diffuso su GNOME-Look, mettiamoci insieme anche il fatto che tra Android, Chrome OS e MeeGO, il 2011 potrebbe davvero diventare l’anno di Linux… e il conto è fatto. A pensare male si fa peccato ma quasi sempre si indovina. Be’, a pensarci su in fondo è quasi una buona notizia 🙂

Detto ciò, cosa avrebbe dovuto fare un amministratore di sistema accorto? Semplicemente verificare l’md5sum dopo aver scaricato il file. Cosa che, diciamo, onestamente pochi fanno.

Vediamo allora come farlo. Ma prima ricordiamo che è sempre e comunque sconsigliabile scaricare programmi o file soprattutto se .deb o rpm, in giro per la rete.

Una volta scaricato il file, appuntiamoci o meglio copiamo l’md5 che troviamo sul sito da dove abbiamo fatto il download. Dopidiché, da terminale:

cd /percorso/dove/abbiamo/salvato/il/file
md5sum  nomedelfile

e controlliamo quindi se il numero generato dal comando è identico a quello riportato dal sito.

Come ho avuto modo di spiegare, un trojan è un software che fa credere di essere un programma utile e invece è un programma malevolo. Dato che non frutta alcuna falla del sistema operativo o di altri programmi, ma semplicemente la fiducia (o imprudenza) dell’utente, chiunque, anche alle prime armi, può scrivere un trojan. L’importante è che sia abbastanza bravo a diffonderlo. Pressoché inutili quindi antivirus, antiquello e antiquell’altro. Anche i migliori software antivirus non possono stare dietro a tutti i trojan che nascono e comunque li rilevano solo dopo che sono stati scoperti grazie ad un’ampia diffusione e, quindi, quando è in genere troppo tardi e magari come in questo caso la fonte di diffusione ha già posto riparo al problema.

L’antidoto migliore è quindi la prudenza. Se proprio avete un server dove volete offrire un servizio IRC, ci sono tantissimi software del genere (come ad esempio l’ originale ircd) nei repository delle maggiori distribuzioni e non serve andare in giro a cercarne altri. E questo vale in genere per qualsiasi programma.