Mondo
Pochi giorni fa si è ripetuto un episodio che nel recente passato aveva già interessato altri noti software open source. Secondo quanto riportato dal CERT alcuni pacchetti di distribuzione dei codici sorgenti di libpcap e tcpdump, rispettivamente una libreria e un tool open source per il cosiddetto “packet sniffing”, sono stati modificati da un hacker e contengono un cavallo di Troia.
Le distribuzioni modificate sono apparse per la prima volta l`11 novembre sul server HTTPdi www.tcdump.org. Il CERT riporta che il team di sviluppo di tcpdump ha chiuso il download delle distribuzioni incriminate il 13 novembre, me altre copie di quei file potrebbero ancora essere disponibili su uno dei tanti siti mirror.
Il codice inserito nei codici sorgenti di tcpdump viene eseguito al momento della compilazione del pacchetto e tenta di connettersi ad un sito Web con lo scopo di scaricare uno script di shell chiamato services. Se scaricato ed eseguito, questo script compila e lancia il file conftes.c il quale a sua volta si connette ad un indirizzo IP sulla porta 1963/tcp e attende comandi dall`esterno.
Per chi ha scaricato e compilato una versione modificata di libcap o tcpdump il rischio è dunque quello, secondo gli esperti di sicurezza, di consentire l`accesso al proprio sistema ad un aggressore che operi, o finga di operare, attraverso l`indirizzo IP specificato nel codice malevolo. In ogni caso, gli esperti suggeriscono di controllare sempre che la firma digitale che contrassegna ogni file corrisponda a quella originale: se così non fosse, come nel caso delle versioni modificate di libcap e tcpdump, significa che il file non è autentico.
Ciò che preoccupa alcuni esperti di sicurezza è il fatto che nel giro di pochi mesi incidenti simili abbiano interessato alcuni fra i più diffusi pacchetti open source, fra cui OpenSSH e Sendmail.
