Durante tutti questi anni Linux ci ha abituati a contare su di lui per un sistema operativo stabile e sicuro. Ma è veramente così? Certo probabilmente (e personalmente ne sono abbastanza sicuro) il modello di sviluppo Open Source è in grado di fornire prodotti che sono mediamente più stabili e sicuri di alternative closed source.
Nonostante questo non sia da sottovalutare, resta comunque il fatto che il software per definizione non può mai essere considerato sicuro al 100%. Detto in altre parole: a ognuno è concesso di sbagliare. Per questo il solo utilizzo a priori di software libero piuttosto che chiuso non dà molte garanzie di sicurezza in più se non si prestano le dovute attenzioni che solo un amministratore esperto può dare.
Il rapido diffondersi di worm e virus per Windows sembra avvalorare la tesi di chi vede i sistemi operativi Microsoft poco sicuri. Tuttavia alla luce degli ultimi avvenimenti è d'obbligo constatare come la situazione si stia "evolvendo" anche nel mondo del Free Software.
Dopo Ramen, Lion (tra l'altro è di questi giorni anche l'arresto, molto discutibile, del creatore di T0rn, il rootkit sul quale si basa questo worm) e Adore/RedWorm è arrivato il momento di Slapper.
Cos'è un worm?
Un worm, a differenza di un virus, sfrutta una vulnerabilità già presente sul sistema per farsi strada, "appoggiandosi" ai sistemi appena infettati per propagarsi in Rete. Il funzionamento di un virus è più banale e ha bisogno di un "portatore" rappresentato da un programma fino a quel momento sano, rendendo di fatto rispetto ai worm molto più lenta la sua diffusione.
Difendersi da Slapper
Quello che rende particolare questo worm, scoperto lo scorso 13 Settembre, è il fatto che sfrutti un noto bug di OpenSSL per cercare di creare una vasta rete di tipo peer-to-peer (p2p) da sfruttare per attacchi di tipo DDOS (Distributed Denial Of Service) o per eseguire del codice arbitrario.
Quello che lo rende particolarmente pericoloso è il fatto che sfrutti un bug potenziamente molto diffuso, quello di Apache con modulo ssl, il cui uso è stimato intorno al milione di server sparsi per il mondo. Il bug in questione, scoperto l' 1 Agosto 2002 e patchato in brevissimo tempo, consente a un potenziale attaccante di eseguire codice arbitrario o di attuare un denial of service sfruttando un buffer overflow. Le versioni incriminate sono quelle precedenti la 0.9.6e e la 0.9.7-beta3.
Il modo migliore per essere immuni a questo attacco è quindi quello di aggiornare (se presente) OpenSSL all'ultima versione disponibile (attualmente la 0.9.6g). Come è risaputo Apache è il server HTTP più diffuso (con oltre il 60% dei siti Internet) e il modulo di OpenSSL è proprio uno dei più utilizzati da Apache. Dopo qualche giorno la diffusione di Slapper contava già diverse migliaia di vittime.
Come agisce Slapper?
Il worm, dopo aver fatto lo scan alla ricerca di un server HTTP in ascolto tra un vasto numero di classi A, mandando la seguente richiesta malformata:
GET / HTTP/1.1rnrn
Che ovviamente restituisce un errore (400), fornendo però anche il nome del server web utilizzato. Se si tratta di Apache il worm tenta l'exploit per OpenSSL cercando di infettare il computer vittima dell'attacco, copiando il file .uubugtraq in /tmp, decodificandolo in .bugtraq.c che verrà compilato con gcc ed eseguito. La prima cosa da controllare è quindi la presenza di questi file e il traffico sulla porta UDP 2002 che è quella che collega il computer vittima alla rete peer-to-peer.
Dopo una prima diffusione il fenomeno sembra attenuarsi, probabilmente grazie allo scalpore che ha destato e alla disponibilità già da oltre un mese delle patch per OpenSSL. Ciò nonostante sono presenti anche delle varianti, chiamate appunto Slapper.B e Slapper.C che operano allo stesso modo.
Le differenze sono nel nome di file utilizzati (/tmp/httpd, /tmp/update e /tmp/.unlock per Slapper.B e /tmp/.cinik, /tmp/.cinik.c /tmp/.cinik.uu e /tmp/.cinik.go per Slapper.C) e nelle porte utilizzate (la 4156 per Slapper.B e 1978 per Slapper.C). Inoltre le due varianti si differenziano per qualche "miglioramento".
Slapper.B è in grado di mandare un'email a aion@ukr.net contenente l'IP e l'hostname della vittima e l'IP della macchina con la quale è collegata alla rete peer-to-peer. Inoltre apre una vera e propria backdoor sulla porta 1052 TCP che consente di avere una shell dopo essersi autenticati con una password.
Slapper.C cerca tutti i file che siano scrivibili ed eseguibili dall'utente che è proprietario del file infetto in esecuzione, sostituendoli con il file .cinik (il binario infetto in esecuzione), che viene copiato anche in tutte le directory dove l'utente ha permesso di scrittura. Tramite crontab inoltre fa in modo di essere avviato ad ogni reboot e anche qualora l'amministratore abbia "killato" il processo. Stavolta l'email (contenente IP, tipo di processore e memoria del computer vittima) viene mandata a cinik_worm@yahoo.com. Se il file sorgente viene cancellato e sul sistema è presente il programma wget il worm tenta di riscaricare il file .cinik.c da un sito rumeno.
Conclusione
Ma allora è vero che Linux e il free software in generale non sono tanto sicuri come si è voluto far credere fino ad ora? Personalmente credo che ora stia scontando il prezzo dovuto all'aumento di popolarità: la diffusione sempre maggiore lo espone di fatto a essere vittima di worm. D'altronde i worm per Unix non sono di certo una novità: è del 1988 il worm Morris che sfruttava tra l'altro anche una vulnerabilità di Sendmail, tutt'ora uno dei più diffusi server SMTP. In fondo poi i worm puntano sulla distrazione e poca competenza degli amministratori di sistema che dovrebbero patchare nel più breve tempo possibile i server buggati. E certamente il modello di software libero ha dimostrato come siano più funzionali e veloci nella correzione di bug rispetto alla maggior parte del software closed source. Per concludere: probabilmente il Free Software è mediamente più sicuro e stabile, ma questo non deve fare abbassare la guardia agli amministratori di sistema che sono sempre tenuti a svolgere bene il proprio lavoro.
