GNU Project FTP Server Compromise

Ada berita sedikit mengejutkan….

Seperti kita ketahui bahwa GNU adalah gudangnya aplikasi opensource. Hampir sebagian besar source code tersebut bebas kita download melalui ftp-nya yang beralamat di ftp.gnu.org dan alpha.gnu.org (mesin yang sama). Pertanyaannya sekarang… pernahkah kita membayangkan jika ada seorang intruder masuk ke dalam ftp tersebut?, kemungkinan apa yang akan terjadi?


Yang bikin heboh pada pertengahan Agustus ini ternyata ftp tersebut telah disusupi intruder terhitung mulai bulan Maret 2003. Selama rentang waktu tersebut bisa dibayangkan kemungkinan-kemungkinan yang telah dilakukan oleh sang intruder. Salah satu yang menjadi topik penting adalah kemungkinan tidak validnya semua source code yang telah di download para pengunjung ke ftp tersebut sejak bulan Maret 2003.

ketidakvalidan itu bisa berupa disisipinya source code yang bermukim di ftp-nya gnu dengan beberapa hal seperti :

* backdoor
* Trojan horse
* Virus
* Ataupun kode lain yang (mungkin) membuat aplikasi tidak bekerja sebagaimana mestinya

Perlu dicatat, bahwa beberapa point diatas itu hanyalah sebuah kemungkinan. Belum tentu sang intruder melakukan semua perubahan tersebut, namun alangkah baiknya jika kita juga melakukan beberapa tindakan preventif.

Beberapa solusi yang diutarakan oleh CERT Advisory untuk memastikan aplikasi yang didownload pada periode itu tidak termasuk disusupi, antara lain adalah dengan memverifikasi semua aplikasi yang telah didownload pada rentang waktu Maret 2003 s/d Juli 2003 [Disinilah fungsi/keampuhan MD5 yang ada di artikel sebelumnya berlaku :)]. File untuk memverifikasi dapat di download di :

ftp://ftp.gnu.org/before-2003-08-01.md5sums.asc
ftp://alpha.gnu.org/before-2003-08-01.md5sums.asc

MD5 yang tertulis diatas sudah diakui kevalidannya, karena kedua file tersebut telah di signed oleh Bradley Kuhn selaku Direktur Eksekutif FSF (Free Software Foundation) dengan PGP Key.

Solusi lain yang ditawarkan adalah dengan mendownload ulang kembali aplikasi yang telah didownload pada rentang waktu Maret 2003 s/d Juli 2003. Kemudian cek ulang dengan MD5 yang ada diatas. So, buat rekan-rekan yang udah sempet mendownload aplikasi di ftp.gnu.org ataupun alpha.gnu.org pada rentang waktu tersebut, akan lebih baik kalo mendownload ulang source code-nya dan cek ulang dengan MD5 (Aku sendiri juga sempet download dari situ pas bulan Juni kemarin :)).

Informasi lebih lanjut mengenai security hole ini dapat dibaca di : http://www.cert.org/advisories/CA-2003-21.html

6 thoughts on “GNU Project FTP Server Compromise

  2. mas Dudi, saya minta tolong donk? saya ada proyek pembuatan program menampilkan peta beserta atributnya dgn menggunakan bahasa program Visual Basic. yang saya ingginkan sekarang ini, Map objects yang terregistrasi. saya baca Blog anda anda pernah membut aplikasi Gis. boleh gak saya minta map objects versi anda? atau kasih donk alamat yang bisa saya download yang full registrasi. Terima kasih.

  3. #2: sorry, map objects itu license-nya terdaftar atas nama kantor saya yang dulu, jadi saya gak berhak untuk mendistribusikan ke orang lain 🙂

  4. mas tlg kasih pencerahan, aq lg bingung cari luas dengan VB6.0 n Map object…. bs minta source code nya? coz di sample map object ga ada…. thanks

  5. coba baca-baca lagi manual mapobjects. seinget saya mapobjects udah punya fungsi build in untuk menghitung luas polygon 🙂

  6. mas tolong saya dikasih tau source code untuk membuat link dari VB. Trus saya mau tanya apakah ada kaitannya antara AUTOCAD dengan VB mengenai masalah link??

Leave a Reply

Your email address will not be published. Required fields are marked *

This is not spam