Home > GNU/Linux > Buone notizie, un altro trojan per GNU/Linux :)

Buone notizie, un altro trojan per GNU/Linux :)

La notizia è di quelle che faranno davvero discutere.

Gli utenti GNU/Linux (o forse dovrei dire, gli amministratori di server) che, da novembre del 2009, hanno installato UnrealIRCd (un server di chat IRC molto diffuso) si sono beccati insieme ad esso un trojan. Il trojan nel caso specifico è anche piuttosto pericoloso, perché permette l’esecuzione, da remoto, di qualsiasi comando con i privilegi dell’utente che esegue il demone. I bravi amministratori creano un utente apposta, come si deve sempre fare in questi casi. I dementi invece usano root. Nel caso migliore insomma, il massimo che potrebbe succedere è che l’attaccante remoto cambi la configurazione del demone o legga i log delle connessioni e, probabilmente, possa acquisire informazioni sugli utenti. Nel caso peggiore, l’attaccante potrebbe fare qualsiasi cosa su quel server.

Quel che è successo è che qualcuno ha sostituito in alcuni mirror il file “buono” con uno contenente il trojan.

Una fatto, questo, particolarmente insidioso: non parliamo infatti di un sito “strano” o di qualche forum o community dove chiunque può inviare qualcosa, ma del sito ufficiale del progetto. Insomma un posto “affidabile”.

Il fatto in sé non suscita particolari preoccupazioni per noi utenti desktop, ma dobbiamo considerare un paio di cose:

  1. la versione infettata era solo quella per GNU/Linux, non quella di Windows
  2. il software in questione è molto famoso come server IRC e tanti servizi lo usano; non possiamo escludere che possano essere stati effettuati attacchi remoti a molti server.

Riguardo al primo punto, il motivo apparentemente è semplice: la maggior parte dei server Internet usano GNU/Linux o altri Unix e quindi il successo è garantito. Ma non è da escludere che questo attacco sia stato pensato per gettare ombre sulla sicurezza di GNU/Linux. In fondo non sarebbe costato molto fare la stessa identica cosa per la versione Windows. E questo fa pensare.

Uniamo questa notizia a quella di qualche mese fa riguardante sempre un trojan diffuso su GNOME-Look, mettiamoci insieme anche il fatto che tra Android, Chrome OS e MeeGO, il 2011 potrebbe davvero diventare l’anno di Linux… e il conto è fatto. A pensare male si fa peccato ma quasi sempre si indovina. Be’, a pensarci su in fondo è quasi una buona notizia🙂

Detto ciò, cosa avrebbe dovuto fare un amministratore di sistema accorto? Semplicemente verificare l’md5sum dopo aver scaricato il file. Cosa che, diciamo, onestamente pochi fanno.

Vediamo allora come farlo. Ma prima ricordiamo che è sempre e comunque sconsigliabile scaricare programmi o file soprattutto se .deb o rpm, in giro per la rete.

Una volta scaricato il file, appuntiamoci o meglio copiamo l’md5 che troviamo sul sito da dove abbiamo fatto il download. Dopidiché, da terminale:

cd /percorso/dove/abbiamo/salvato/il/file
md5sum  nomedelfile

e controlliamo quindi se il numero generato dal comando è identico a quello riportato dal sito.

Come ho avuto modo di spiegare, un trojan è un software che fa credere di essere un programma utile e invece è un programma malevolo. Dato che non frutta alcuna falla del sistema operativo o di altri programmi, ma semplicemente la fiducia (o imprudenza) dell’utente, chiunque, anche alle prime armi, può scrivere un trojan. L’importante è che sia abbastanza bravo a diffonderlo. Pressoché inutili quindi antivirus, antiquello e antiquell’altro. Anche i migliori software antivirus non possono stare dietro a tutti i trojan che nascono e comunque li rilevano solo dopo che sono stati scoperti grazie ad un’ampia diffusione e, quindi, quando è in genere troppo tardi e magari come in questo caso la fonte di diffusione ha già posto riparo al problema.

L’antidoto migliore è quindi la prudenza. Se proprio avete un server dove volete offrire un servizio IRC, ci sono tantissimi software del genere (come ad esempio l’ originale ircd) nei repository delle maggiori distribuzioni e non serve andare in giro a cercarne altri. E questo vale in genere per qualsiasi programma.

Categorie:GNU/Linux Tag:, , ,
  1. 14 giugno 2010 alle 7:41

    beh Guido, io non me ne preoccuperei poi così tanto…tutti i s.o. hanno falle e virus….
    Se molti ancora usano windows, credo che sopporterò un trojan in più ….
    ah la magia della formattazione🙂

  2. Paolo
    14 giugno 2010 alle 9:10

    Leggevo l’articolo e mi chiedevo: ma usare i repo? E l’md5sum?
    Infatti, come mi aspettavo, il buon Guido lo ha detto chiaramente.
    Permettimi di dissentire su un punto: se uno che amministra un server scarica software fuori dai repo, prendendolo dai mirror, senza fare l’md5sum è semplicemente un idiota.
    Che sia una pratica diffusa tra gli utenti desktop lo posso capire: ma tra i sistemisti è inammissibile. IMHO.

  3. shishimaru
    14 giugno 2010 alle 9:30

    Ecco diciamo le cose come stanno.

  4. superlex
    14 giugno 2010 alle 9:58

    Dai repository invece dell’md5 non c’è bisogno perché ci pensa la chiave gpg oppure sono due cose scorrelate? Voglio dire.. Uno può sostituire un programma anche nel server di un repository.. a quel punto il programma verrebbe scaricato automaticamente senza il controllo dell’md5..

    • 14 giugno 2010 alle 10:11

      tutti i pacchetti vengono firmati con la chiave pgp nei repository su Launchpad, è proprio obbligatorio. E ormai vedo che anche quelli esterni a launchpad hanno sempre più questa (ottima) abitudine.

      • superlex
        14 giugno 2010 alle 10:18

        capito🙂

  5. 14 giugno 2010 alle 12:18

    Da quel che avevo letto, è stata “sostituita” una parte prima di pacchettizzare. (mi pare eh, non sono sicuro) quindi, se fosse così sarebbe una falla dell’host del codice + sbadataggine dei programmatori che non hanno controllato i checksum prima di compilare (o pacchettizzare). L’utente finale non ce ne poteva nulla perché se l’hacker era sveglio avrà cambiato anche i file contenenti i checksum

  6. red/
    14 giugno 2010 alle 13:54

    Ho provato a fare come dici, scegliendo di controllare il file .deb di skype che ho scaricato nella cartella /Scaricati

    du@d:~$ cd /home/du/Scaricati

    du@d:~/Scaricati$ md5sum skype-ubuntu-intrepid_2.1.0.81-1_i386.deb

    29ed840e0f021ad76a2f917938105bf7 skype-ubuntu-intrepid_2.1.0.81-1_i386.deb

    du@d:~/Scaricati$

    scusa, dove trovo sul sito di skype
    http://www.skype.com/intl/it/get-skype/on-your-computer/linux/post-download/
    il dato dell’md5 che devo confrontare con quello che mi restituisce il terminale? (e cioè: 29ed840e0f021ad76a2f917938105bf7 )
    Se poi mi vuoi fare anche l’ esempio con un altro sito te ne sono grato, così capisco meglio come si fa a cercarlo.

    • Nedanfor
      17 giugno 2010 alle 14:48

      Skype, se vuoi usarlo, lo trovi nei repo ufficiali di Ubuntu a partire da Lucid Lynx, attivando i repo Partner (ossia vai su Software Center -> Partner -> ‘Utilizza questa fonte’).

      Per fare una prova scarica una ISO di Ubuntu da qui:
      http://cdimage.ubuntu.com/releases/
      Ad esempio:
      http://cdimage.ubuntu.com/releases/10.04/release/

      Troverai un file MD5SUMS contenente gli hash dei vari CD, tra cui quello che scaricherai (o che magari hai già scaricato). È un’ottima pratica farlo sempre ogni volta che si scarica il CD di una distro, tanto più se lo si fa via Torrent o Mirror. Spero di esserti stato d’aiuto =)

  7. 14 giugno 2010 alle 14:08

    se non usano i repo la colpa è solo loro, secondo me…

  8. PatrisX
    14 giugno 2010 alle 16:18

    Cmq pessima pubblicità per linux, spero non si diffonda troppo per la rete (ma poco ci credo) altrimenti la gente che non capisce una ceppa dirà: vedi i “virus” ci sono anche su linux, allora tanto vale windows.
    Guiodic, ho inserito il tuo repo e mi si dice che il software non è autenticato perchè la chiave non è disponibile. Io la chiave non l’ho aggiunta, ma da karmik non si deve più aggiungere, no?
    “W: Errore GPG: http://ppa.launchpad.net lucid Release: Le seguenti firme non sono state verificate perché la chiave pubblica non è disponibile: NO_PUBKEY 6516D5B4666270B8″
    ciao

    • 14 giugno 2010 alle 16:22

      be’, tu diffondi il link a questo post.

  9. aury88
    14 giugno 2010 alle 17:54

    ma si sa chi sia stato a creare il trojan? e poi volevo sapere da quanto tempo, questo trojan, era in circolazione prima che venisse scoperto.
    grazie😉

    • 14 giugno 2010 alle 17:57

      no, non si sa. Il file è stato sostituito a novembre 2009.

  10. 14 giugno 2010 alle 18:48

    Mi associo alla richiesta di red/, anch’io ho provato a scaricare skype per fare un test. Dove trovo l’md5 sul sito di skype?

  11. 15 giugno 2010 alle 15:02

    ciao guido , ho letto l’articolo , ma quindi gnu/linux non è immune ai virus ?

    ho sentito che quell’azienda non ha usato i repo per installare programmi , ma dico io un trojan puo essere contenuto in un sorgente o in un deb esterno ?

    mi preoccupa sta notizia

    p.s
    spero di aver capito male

    • 15 giugno 2010 alle 19:09

      Questo non è un virus ma un trojan. Un trojan è un programma come un altro, non sfrutta una falla del sistema, semplicemente ti fa credere di essere un programma utile mentre invece fa qualcosa di indesiderato. Insomma un po’ come Windows diciamo😀
      Se tu prendi un programma e lo installi, nessun sistema operativo ti proteggerà.

  12. 15 giugno 2010 alle 15:14

    poi volevo chiarire una cosa , seppure avessi caricato qualche pagina internet e involontariamente scaricato questo backdoor, (senza neanche ESEGUIRLO) mi sembra che pericoli non ci siano O.o
    p.s
    perchè il titolo è UN ALTRO trojan , ci sono gia stati trojan in passato ?

    vorrei sentire anche qualche opinione di linus torvalds per questa falla O.O

  13. 16 giugno 2010 alle 12:11

    adesso capisco meglio , quindi se io facessi un programma per gnu/linux e lo vorrei far scaricare ad altri utenti lo dovrei mettere su un repo che si autentica con la chiave gpg , e dovrei evitarlo di metterlo su sito (mirror)

    quindi a proposito di questa cosa bsd,mac os , linux e windows sono vulnerabili

    da oggi in poi userò solo i repo ubuntu, i tuoi e basta.
    ciao
    comunque se dovreste scaricare un file deb da un mirror , apritelo con gdebi e vedete sulla voce : file inclusi i file che installa e controllate anche la somma degli md5sum

  14. 17 giugno 2010 alle 9:24

    Si infatti, potrebbe non essere una cattiva notizia…😉
    Non potrebbe essere che questo trojan sia stato confezionato da un haker per colpire un particolare utente (es collega di lavoro, nemico personale) e che quindi si sia diffuso nella rete quasi per sbaglio?

    Aris

    • aury88
      21 giugno 2010 alle 17:19

      non penso, era messo in un programma estremamente diffuso e in un mirror “ufficiale”. l’obbiettivo era come al solito, a quanto pare, colpire più gente possibile.
      comunque se è da novembre 2009 significa che sono 7 mesi che è in circolo. vista la tipologia del programma e visto che chi lo scarica dovrebbe avere delle buone conoscenze informatiche, mi sorprende che nessuno se ne sia accorto fino ad ora, vuol dire che o c’è gente che, facendo il checksum, non ha riportato il problema, oppure in 7 mesi nessuno ha fatto direttamente il checksum…forse ci stiamo abituando male

  15. Lorenzo
    24 giugno 2010 alle 13:21

    Ma se non hanno avuto problemi a sostituire il programma “buono” con quello “cattivo”, chi ti assicura che non l’abbiano fatto anche con l’md5?

    E poi, perché dovrebbe essere una buona notizia?

  16. 29 luglio 2010 alle 20:29

    Penso fosse sarcasmo. O è contento che i malfattori si stiano finalmente dedicando a linux😀

  17. asdasd
    7 novembre 2010 alle 2:52

    se sono stati infettati solo alcuni mirror vuol dire che il sito ufficiale (e quindi l’md5 su di esso) erano sicuri. Probabilmente (spero) i mirror infettati erano pochi o poco usati, oppure i sysadmin hanno usato l’md5 sul sito mirror e quindi modificato (sempre usare quello dal sito ufficiale).
    Sicuramente è stato anche un grande errore dei mirror, che evidentemente non erano ben sincronizzati.
    Ho letto tra i messaggi che qualcuno ha capito che i mirror sono insicuri: è inesatto.
    Se i mirror son correttamente gestiti (e ufficiali) sono molto sicuri, diciamo che se hanno il PGP per far scaricare te, lo usano anche per sincronizzarsi col sito ufficiale.
    Quindi per esempio i mirror ufficiali delle distribuzioni sono ok, tra l’altro CREDO che le chiavi PGP vengano scaricate dal sito ufficiale, e poi confrontate con quelle dei mirror per verificarne la correttezza

  18. 23 giugno 2012 alle 18:54

    Its like you read my mind! You appear to know a lot about this, like you wrote the book in it or something. I think that you can do with some pics to drive the message home a bit, but other than that, this is fantastic blog. A fantastic read. I will definitely be back.

  1. No trackbacks yet.

Lascia un commento

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger cliccano Mi Piace per questo: