linux user group brescia
immagine del castello

Archivio della mailing list

Sendmail e' sicuro ma ftp?

Maurizio Paolini paolini a dmf.unicatt.it
Mer 9 Ott 2002 08:55:12 UTC 
> From: Giorgio Di Giovambattista <digiovam a ing.unibs.it>

> Sendmail e' sicuro ma il loro server ftp forse un po
> meno:

Eh, la cosa fa venire un po' i brividi... non lo nego.  Tra l'altro
era gia successa una cosa analoga in passato (due o tre anni fa, forse),
ma non ricordo quale pacchetto era coinvolto in quel caso.

Bene, questo mette in chiaro il fatto che:

1. L'accesso ai sorgenti e' *comunque* un fatto fondamentale, altrimenti
un 'atto di pirateria' del genere rischia di non essere mai scoperto!

2. Che un tale atto di pirateria, per quanto gravissimo, e' comunque
destinato a "morire" quando viene messa in linea una nuova versione del
software.  Ovvio che vengono subito in mente tutta una serie di obbiezioni,
su cui non voglio entrare al momento.

3. Che le varie distribuzioni di linux, che hanno il compito di 
"pacchettizzare" e quindi loro stesse si compilano i sorgenti, avrebbero
pure la responsabilita' (morale, se non altro) di verificare l'integrita'
dei "tarball" che utilizzano.  Cosa che implica varie questioni piu' o meno
delicate.
Un pacchetto (rpm, ad esempio) firmato da RedHat, nel momento in cui io 
verifico la correttezza della firma digitale mi da' la garanzia che io ho
*esattamente* il pacchetto costruito da RedHat (o perlomeno, ho il pacchetto
che loro hanno firmato); cosa pero' che NON mi mette al riparo da episodi
tipo quello descritto.
In questo caso penso sia responsabilita' di RedHat verificare se loro hanno
o meno messo in circolazione un pacchetto "rpm" basato sul "tarball" piratato.

4. Il software proprietario non e' affatto esente da problemi di questo tipo;
si puo' ad esempio immaginare che un programmatore di Microsoft possa (anche
all'insaputa di Microsoft stessa) introdurre del codice di backdoor in uno
dei prodotti su cui lui puo' mettere le mani.

5. Puo' essere opportuno introdurre un meccanismo di firma digitale anche
per i "tarball"; concettualmente la cosa non e' per nulla difficile, ed ha
senso in particolare per i software tipo "sendmail" che fanno capo ad una
entita' ben conosciuta come "sendmail.org", che potrebbe avere una sua
chiave pubblica affidabile.

mp

>
> > ...
> > I. Description
> >
> >   The  CERT/CC  has received confirmation that some copies of the source
> >   code  for  the  Sendmail  package have been modified by an intruder to
> >   contain a Trojan horse.
> >	 
> >   The following files were modified to include the malicious code:
> >	    
> >	     sendmail.8.12.6.tar.Z
> >	     sendmail.8.12.6.tar.gz
> >		      
> >   These  files  began  to  appear  in  downloads from  the  FTP  server
> >   ftp.sendmail.org  on  or  around  September  28,  2002.  The  Sendmail
> >   development  team  disabled  the  compromised FTP server on October 6,
> >   2002  at  approximately  22:15  PDT.
> > ...
>
>
> ciao
>
> -- 
> -----------------------------------
> Giorgio Di Giovambattista
> Dip. Ing. Meccanica
> Universita' degli Studi di Brescia
> email: digiovam a ing.unibs.it
> -----------------------------------
>

Maggiori informazioni sulla lista Lug