UnrealIRCd, forse il server IRC più diffuso al mondo, ha celato per quasi sette mesi un trojan che farebbe arrossire un gatto persiano. I dettagli e l'imbarazzo per l'intera vicenda possono essere letti direttamente sulla homepage del progetto oppure direttamente su di un thread nel forum ufficiale: pare infatti che nel file Unreal3.2.8.1.tar.gz, presente sui mirror ufficiali, sia stato sostituito nel novembre 2009 con una versione equivalente ma contenente una backdoor. Pare anche che questa sorpresa affligga solo quel pacchetto specifico per Linux, mentre le versioni precedenti ed i port per Windows...

... siano esenti da tale trojan. La backdoor in questione consentiva (e può consentire) di eseguire qualunque comando con gli stessi privilegi con cui gira il demone ircd. Se volete verificare la presenza della backdoor nel vostro sistema UnrealIRCd ed eventualmente rimuovere la backdoor, potete trovare tutte le inforrmazioni sul thread-ammenda poc'anzi citato.

Se dovessimo credere che questo sia il problema potremmo sbagliarci alla grandissima: dovrebbe preoccuparci il fatto che per sette mesi nessuno si sia accorto dell'esistenza del trojan nel file tar.gz. Vabbè, alla fine uno può dire: «Vediamo chi è stato l'ultimo soggetto che ha apposto le modifiche che hanno creato la backdoor e gli chiediamo conto». Peccato che i file sono privi di firma digitale e quindi nessuno può verificare la paternità delle modifiche.

Pare che ora gli sviluppatori abbiano intenzione di incattivire i controlli con l'uso di PGP/GPG per firmare tutti i pacchetti binari, come potete leggere qui.