Spyware in populärem Open Source-Tool

Eine der Hauptquellen für Open Source-Source-Software „www.tcpdump.org“ ist seit gestern offline, weil in dem dort angebotenen und in Fachkreisen sehr populären Tool eine Spionagesoftware entdeckt wurde. Das tcpdump-Werkzeug dient dem Monitoring von Netzwerken und wird von Unix-, Linux- und BSD-Systemen eingesetzt.

Nach Auskunft von Michael Richardson, Webmaster der Site, waren sowohl tcpdump selbst als auch die Library libpcap mit der Spyware verseucht. „Die Server bleiben so lange unten, bis wir sichergehen können, dass wir das Problem beseitigt haben“, so Richardson gegenüber CNET/ZDNet. Allerdings seien Unmengen von Spiegel-Sites von tcpdump.org angelegt worden. Noch ist unklar, ob alle Kopien mit dem Trojaner versehen sind. Es seien aber bereits Meldungen über weitere Funde eingegangen.

Die fragliche Spyware namens „conftes.c“ stellt ein Hintertürchen dar, mit dem der Hacker in das System eindringen, es auslesen und Befehle ausführen kann. Nach Angaben von Robertson wurde die Spyware am vergangenen Wochenende von Finnland aus eingeschmuggelt. Der Hacker hat dabei die bestehende Version gegen eine verseuchte eingetauscht. Er selbst habe in den darauf folgenden Tagen wegen einer Reise keine Zugriffsmöglichkeit auf den in Kanada stehenden Server gehabt.

Gleichzeitig machte Robertson seinem Unmut über eine Gruppe namens Houston Linux Users Group (HLUG) Luft. Diese hatte die Spyware frühzeitig entdeckt, ihn aber nicht informiert. „Ein bisschen mehr an Warnung wäre wünschenswert gewesen“, erklärte der Webmaster. „Aber die haben sich überhaupt nicht bei mir gemeldet.“

Der President der Group, Matt Solnik, wies die Vorwürfe zurück: Seine Vereinigung habe einen anderen Mitarbeiter des tcpdump-Projekts kontaktiert, und zwar lediglich eine Stunde nachdem das HLUG-Mitglied Russell Adams über den Spion gestolpert war. Dies sei Dienstagnacht geschehen.