Valzer di polemiche su falla a codice aperto

Scovato un problema nel codice open source di un software CMS: è una vulnerabilità di sicurezza o una backdoor che è stata inserita con doppi fini? Punto Informatico ne parla con lo scopritore


Roma – La sicurezza è uno dei cardini di molti software open source, insieme alla trasparenza consentita dal codice aperto e disponibile all’analisi: un piccolo caso che richiede un approfondimento si è aperto nelle scorse settimane, quando è stata individuata una falla all’interno di un software CMS, per la gestione dei contenuti.

A scoprirla nel software Etomite è stato Luca Ercoli , esperto di sicurezza per conto di SEEWEB, che non esclude possa trattarsi non di vulnerabilità ma di backdoor . Con lui abbiamo voluto approfondire la questione.

Punto Informatico: Cosa ti ha portato a scoprire questa falla in Etomite?
Luca Ercoli: Stavo effettuando alcune operazioni sui server di SEEWEB e con i colleghi avevamo notato che c’era un notevole aumento dei tentativi di scalata dei privilegi. Così siamo andati ad analizzare i log effettuati dagli strumenti di registrazione, ma è stato solo analizzando con più precisione i log del server web, che abbiamo capito che i tentativi di intrusione venivano effettuati sfruttando una vulnerabilità del CMS Etomite.

PI: In cosa consisteva di preciso questa vulnerabilità?
LE: Permetteva ad un utente remoto, non in possesso di un nome utente e una password, di poter eseguire comandi sulla macchina dov’è installato il programma. Ho subito cercato su internet se ci fosse già documentazione di questa falla ma non ho trovato niente nemmeno sul sito ufficiale; allora sono andato a controllare il codice sorgente dell’applicazione e ho trovato che era stato inserito un codice codificato con algoritmo base 64 in un file php. Questo codice consentiva allo script di eseguire, con i privilegi del server web, i comandi che venivano forniti per mezzo di un parametro. Se l’applicazione non fosse stata open source non avrei potuto capire che stava succedendo.

PI: Concretamente quali erano i rischi? Come poteva essere sfruttata questa falla?
LE: E’ facile, si poteva creare una connessione inversa dai nostri server alla macchina del trasgressore, bypassando direttamente tutti i firewall dell’azienda. Un attacco può essere molto pericoloso tanto che dopo la mia segnalazione è stato subito sospeso il download della versione incriminata e lasciato attivo solo quello della versione beta che, a detta degli sviluppatori, non contiene la backdoor.

PI: Dopo la tua denuncia questa scoperta ha creato un po’ di polemiche, proprio perché pare che in realtà più che una delle solite vulnerabilità questa fosse una backdoor…
LE: Ho inviato subito un’email al responsabile del progetto, per capire quale fosse l’utilità di quella porzione di codice, ma non ho ricevuto alcuna risposta. La loro posizione ufficiale è che non erano a conoscenza di quella porzione di codice, non sanno proprio chi l’abbia inserita. Ma c’è una cosa che non torna: subito dopo quella parte di dati c’era una funzione per inviare una mail di cui loro erano a conoscenza ed era anche codificata nella stessa maniera, è difficile dunque che davvero non si fossero accorti della porzione in questione. Il file non era neanche troppo lungo ed era di facile lettura, qualunque programmatore se ne sarebbe accorto; per gli utenti invece è un discorso diverso, perché parte del codice era codificata.

PI: Come vi siete arrangiati fino all’arrivo della versione beta?
LE: Non è stato facile. Abbiamo dovuto cambiare i permessi su qualche applicazione e rendere non eseguibili alcune partizioni. Tuttavia potevano essere comunque eseguiti comandi arbitrari, cosa decisamente difficile da bloccare.

PI: Quest’evento cosa dice dell’open source?
LE: Beh, sicuramente la cosa che più mi ha colpito è che il software era distribuito sotto licenza GPL. Questo dovrebbe far capire a chi usa applicazioni a sorgente chiusa, cioè quelle più diffuse, come non possano essere sicuri delle funzionalità di cui dispongono se nemmeno la licenza GPL, che distribuisce il codice sorgente alla luce del sole, riesce a dare garanzie.
Infatti teoricamente la licenza GPL garantisce l’utente dall’assenza di queste backdoor, ma come abbiamo visto non è sempre vero. Allora mi viene da pensare che un caso come questo costituisca solo la punta di un iceberg, la cui base è fatta dai programmi per Windows che vengono distribuiti in codice binario già pronto per essere utilizzato e la cui correttezza purtroppo non è verificabile come per i programmi distribuiti con licenza GPL.
Devo dire purtroppo che in questi giorni, dopo la pubblicazione della falla in Etomite, mi è capitato di parlare con molte persone che hanno perso la fiducia nel codice aperto.

Ma allora, viene da dire, se il codice non fosse stato aperto quando e chi avrebbe scovato la.. falla?

intervista a cura di Gabriele Niola

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Guybrush scrive:
    Re: Hard disk con countdown
    []
    Se intendi gli attuatori, non so, cosa proponi,
    attuatori virtuali?nessun attuatore?Vista la fragilita' di un hard disk le alternative sonoraid 0+1, raid 5 con doppio disco di controllo o stato solido.L'ultima e' la piu' costosa, ma in assoluto la migliore.Il disco non ha parti meccaniche in movimento, e' una ram DDR con un sistema di batterie tampone che permette di conservare i dati per anni e, in caso di prolungata mancanza di corrente, scarica su HDD l'immagine della ram, per ripristinarla al ritorno della corrente.Insomma questo arnese ha qualche GB di ram usata come HDD grazie ad un controller dedicato, ha tempi di accesso che si misurano in nanosecondi e, be', come prestazioni fa semplicemente paura.Prima o poi non sara' piu' necessario usare dei dischi di backup e una batteria tampone e allora... ciao ciao hard disk!.Invece a quel tapiro che ogni anno rompe il disco raccomando l'uso di un gruppo di continuita' e la sostituzione dell'alimentatore, come hanno fatto gia' gli altri.
    GT
  • Anonimo scrive:
    Re: video giochi ???

    Se togliete gli .mp3 e gli .avi scaricati
    (legalmente o meno), se salvate le foto su
    cd/dvd, se finalmente montate il filmino delle
    vacanze e lo mettete su DVD cancellando i DV....
    quanti GB occupate ? perché devo mettere le foto sui DVD che si rovinano alla velocità delle luce? meglio un paio di HD in raid1
  • Madder scrive:
    Re: video giochi ???
    In autostrada continui ad andare a 130 km/h... da diversi anni. È migliorata la sicurezza, i consumi, la comodità... ma sempre 130 km/h sono. Non sto dicendo che 500 GB non servono a nessuno, ma date un'occhiata al vostro HD e fatevi il calcolo di quanto spazio è occupato dai vostri dati, quanti di questi dati devono assolutamente essere sempre disponibili oppure si porebbero mettere su un disco ottico o su un nastro, quanto è occupato da programmi e quali programmi usate ancora e quali invece non disinstallate perchè "non si può mai sapere". Se togliete gli .mp3 e gli .avi scaricati (legalmente o meno), se salvate le foto su cd/dvd, se finalmente montate il filmino delle vacanze e lo mettete su DVD cancellando i DV.... quanti GB occupate ? Personalmente, preferirei di gran lunga 200 GB moooolto sicuri, mooooolto silenziosi, freddi e parsimoniosi di energia, e nonostante questo veloci. Certo, è più facile pubblicizzare "500GB" piuttosto che 12 dB. Madder
  • nattu_panno_dam scrive:
    Re: Hard disk con countdown
    - Scritto da: Anonimo


    Perchè una corrente nn molto stabilizzata
    dovrebbe interferire con l'integrita fisica dei
    settori?
    Non dovrebbe al massimo la scheda logica a
    risentirne?Su un alimentatore switch per pc, di veramente stabilizzati ci sono solo i 5V, le altre tensioni sono controllate indirettamente tramite lo stesso trasformatore hf. In piu' un hdd non ha nessun controllo ne stabilizzazione della tensione in ingresso. E ancora, nel caso di un picco entrante dalla 220Vac, questo passa direttamente all' hw, dato che gli alimentatore switch non fanno "nativamente" da filtro, e i filtri aggiuntivi non ce li mette nessuno. Quindi, sia le meccaniche che le elettroniche di un hdd, in caso di cattiva alimentazione, possono avere grossi problemi.
  • Anonimo scrive:
    Re: cavoli , bello!
    - Scritto da: Anonimo
    bello si ma ho un po di terrore ad usare un HD da
    500GB , e se si rompe ??????????? :ocome sarebbe, SE ???
  • Anonimo scrive:
    Re: video giochi ???
    - Scritto da: Anonimo

    - Scritto da: Madder

    Passi la grafica ad altissima risoluzione

    professionale.

    Passi il videoediting che già solo con il
    formato

    DV si mangia GB e GB per ogni ora di film, non

    oso pensare con le nuove videocamere HD.



    Passino i datacenter (ma l'articolo parla di

    workstation e desktop, non di server).



    Ma i videogiochi ? davvero serve mezzo terabyte

    di dati per i videogiochi ? Secondo me, qualcuno

    ha perso il senso della misura. Resto dell'idea

    che una bella console (nintendo-sony-microsoft
    fa

    lo stesso) faccia il suo lavoro tanto quanto e

    forse anche meglio di un PC nel mondo dei

    videogiochi.



    Madder

    Allora, torniamo indietro di 10 anni e troviamo
    pinco che dice a pallino "Ma davvero serve un HD
    da 1 giga?"


    Già sentita questa storiaBill Gates in 1981: "640 kilobytes of computer memory ought to be enough for anybody."
  • Anonimo scrive:
    Re: Hard disk con countdown
    Sarà strano, ma a me (e qui tocco ferro) non si è mai rotto un hard disk in anni e anni di informatica amatoriale. E stiamo parlando di pc che in alcuni casi sono rimasti accesi anche per 45 giorni consecutivi a scaricare col mulo! L'unico problema, in verità, l'ho avuto la scorsa estate, quando, a causa di sbalzi di corrente, mi si è corrotta la MFT e ogni volta che riavviavo mi partiva lo scandisk. Per fortuna ho recuperato il disco con l'utility fornita da maxtor e lo uso ancora oggi tranquillamente.L'unico problema, secondo me, è da ricercare nella qualità dell'alimentatore e della linea elettrica.
  • Anonimo scrive:
    Re: Hard disk con countdown
    - Scritto da: Anonimo
    guarda, fossi in te darei un occhiata
    all'alimentatore o alla rete 220V di casa... in
    un anno (poi basta) una sfiga o due ci possono
    stare, ma sfighe costanti ogni 6 mesi mi pare un
    po' troppo!

    PS: ovviamente dipende cosa fanno questi HD,
    altrimenti il discorso cambia... sappi che causa
    upgrade anni fa ha smontato una catena raid da un
    server (acceso H24 per anni)... alla riaccensione
    non hanno retto lo shock, e sono morti in
    sequenza SEI hd scsi gemelli.... W san backup :)Perchè una corrente nn molto stabilizzata dovrebbe interferire con l'integrita fisica dei settori?Non dovrebbe al massimo la scheda logica a risentirne?
  • Anonimo scrive:
    Re: Hard disk con countdown
    - Scritto da: Anonimo
    Anche io sto avendo problemi ultimamente,
    cambiato alimentatore ma i dischi si rovinano in
    maniera preoccupante e viene davvero da pensare
    che siano un po' troppo fragili.
    Capisco che con la densità attuale, la velocità
    di rotazione che hanno i dischi, e i maledetti
    braccini ancora a livello meccanico sono unaSe intendi gli attuatori, non so, cosa proponi, attuatori virtuali?
    miscela pericolosa,ma la frequenza con cui si
    rovinano è davvero inquietante.
    Ormai cerco di portare tutto su dvd e tengo un
    backup dei dati importanti su entrami gli hd.
    Sto diventando esperto a riconoscere dal suono lo
    stato dell'hd, quando cominciano a grattare in
    modo strano faccio un backup, vado dal negoziante
    di fiducia a prenderne uno nuovo e nel giro di
    qualche riavvio windows si impalla a causa di
    settori danneggiati e passo alla sostituzione.
  • Anonimo scrive:
    Re: Hard disk con countdown
    - Scritto da: Anonimo
    Anche io sto avendo problemi ultimamente,
    cambiato alimentatore ma i dischi si rovinano in
    maniera preoccupante e viene davvero da pensare
    che siano un po' troppo fragili.
    Capisco che con la densità attuale, la velocità
    di rotazione che hanno i dischi, e i maledetti
    braccini ancora a livello meccanico sono una
    miscela pericolosa,ma la frequenza con cui si
    rovinano è davvero inquietante.
    Ormai cerco di portare tutto su dvd e tengo un
    backup dei dati importanti su entrami gli hd.
    Sto diventando esperto a riconoscere dal suono lo
    stato dell'hd, quando cominciano a grattare in
    modo strano faccio un backup, vado dal negoziante
    di fiducia a prenderne uno nuovo e nel giro di
    qualche riavvio windows si impalla a causa di
    settori danneggiati e passo alla sostituzione.Eh, perché il DVD invece tiene i dati per anni... :)Un paio di consigli:- un UPS, anche base, anche una ciabatta con UPS dell'APC, in modo che la corrente arrivi al PC sempre stabilizzata- non risparmiare sull'alimentatore- installare HDDHealth, per monitorare lo stato del disco (o altro software che tenga sott'occhio i parametri dello SMART)- con i prezzi di oggi dei controller RAID base (e molte schede madri hanno già un controller RAID integrato!) non è molto costoso mettere due HD in RAID 1.Comunque, se da un lato è vero che gli HD possono essere diventati più fragili (d'altra parte la competizione sui prezzi e le capacità è feroce), io non riscontro tutti questi problemi che avete voi, sia sui computer di casa che al lavoro...
  • Anonimo scrive:
    Re: video giochi ???
    - Scritto da: Madder
    Passi la grafica ad altissima risoluzione
    professionale.
    Passi il videoediting che già solo con il formato
    DV si mangia GB e GB per ogni ora di film, non
    oso pensare con le nuove videocamere HD.

    Passino i datacenter (ma l'articolo parla di
    workstation e desktop, non di server).

    Ma i videogiochi ? davvero serve mezzo terabyte
    di dati per i videogiochi ? Secondo me, qualcuno
    ha perso il senso della misura. Resto dell'idea
    che una bella console (nintendo-sony-microsoft fa
    lo stesso) faccia il suo lavoro tanto quanto e
    forse anche meglio di un PC nel mondo dei
    videogiochi.

    MadderAllora, torniamo indietro di 10 anni e troviamo pinco che dice a pallino "Ma davvero serve un HD da 1 giga?"Già sentita questa storia
  • Anonimo scrive:
    Re: Hard disk con countdown
    Anche io sto avendo problemi ultimamente, cambiato alimentatore ma i dischi si rovinano in maniera preoccupante e viene davvero da pensare che siano un po' troppo fragili.Capisco che con la densità attuale, la velocità di rotazione che hanno i dischi, e i maledetti braccini ancora a livello meccanico sono una miscela pericolosa,ma la frequenza con cui si rovinano è davvero inquietante.Ormai cerco di portare tutto su dvd e tengo un backup dei dati importanti su entrami gli hd.Sto diventando esperto a riconoscere dal suono lo stato dell'hd, quando cominciano a grattare in modo strano faccio un backup, vado dal negoziante di fiducia a prenderne uno nuovo e nel giro di qualche riavvio windows si impalla a causa di settori danneggiati e passo alla sostituzione.
  • Madder scrive:
    video giochi ???
    Passi la grafica ad altissima risoluzione professionale. Passi il videoediting che già solo con il formato DV si mangia GB e GB per ogni ora di film, non oso pensare con le nuove videocamere HD. Passino i datacenter (ma l'articolo parla di workstation e desktop, non di server). Ma i videogiochi ? davvero serve mezzo terabyte di dati per i videogiochi ? Secondo me, qualcuno ha perso il senso della misura. Resto dell'idea che una bella console (nintendo-sony-microsoft fa lo stesso) faccia il suo lavoro tanto quanto e forse anche meglio di un PC nel mondo dei videogiochi.Madder
  • Anonimo scrive:
    Re: Hard disk con countdown
    guarda, fossi in te darei un occhiata all'alimentatore o alla rete 220V di casa... in un anno (poi basta) una sfiga o due ci possono stare, ma sfighe costanti ogni 6 mesi mi pare un po' troppo!PS: ovviamente dipende cosa fanno questi HD, altrimenti il discorso cambia... sappi che causa upgrade anni fa ha smontato una catena raid da un server (acceso H24 per anni)... alla riaccensione non hanno retto lo shock, e sono morti in sequenza SEI hd scsi gemelli.... W san backup :)
  • Anonimo scrive:
    Hard disk con countdown
    :s Bello si, peccato che sono fragili come cristallo!!Io ne cambio uno ogni 6-12 mesi da quando sono usciti i tagli da 30GB!E' uno schifo! Come li fanno, con lo scotch? Più andiamo avanti e meno durano. :@
  • AndreaMilano scrive:
    Re: cavoli , bello!
    - Scritto da: Anonimo
    bello si ma ho un po di terrore ad usare un HD da
    500GB , e se si rompe ??????????? :o1.Bestemmi2.Preghi e chiedi perdono3.Provi con un sw per il recupero dati (se hai perso pornazzi)4.Spendi quanto 4 dischi da 500Gb per far recuperare i dati ad una azienda specializzata:)
  • Anonimo scrive:
    Re: cavoli , bello!
    - Scritto da: Anonimo
    bello si ma ho un po di terrore ad usare un HD da
    500GB , e se si rompe ??????????? :oBeh, se hai l'esigenza di archiviare 500GB di dati, allora potrai anche permetterti un secondo HD da 500 per una config raid, no? :)
  • Anonimo scrive:
    Re: cavoli , bello!
    beh, a me terrorizza di più farne il backup PRIMA che si rompa....!!
  • Anonimo scrive:
    Re: cavoli , bello!
    bello si ma ho un po di terrore ad usare un HD da 500GB , e se si rompe ???????????   :o
  • Anonimo scrive:
    cavoli , bello!
    Bello, quasi quasi ci sbavo sopra ! :D
Chiudi i commenti