-----Original Message----- From: Opscen (OCIPEP / GEOCC) [mailto:Opscen@;OCIPEP-BPIEPC.GC.CA] Sent: 14 November 2002 00:57 To: OCIPEP EXTERNAL DISTRIBUTION LISTS Subject: AV02-047 Trojan Horse: tcpdump and libpcap Distributions Importance: High
THE OFFICE OF CRITICAL INFRASTRUCTURE PROTECTION AND EMERGENCY PREPAREDNESS ***************** ADVISORY ***************** Number: AV02-047 Date: 13 November 2002 *********************************************** Trojan Horse: tcpdump and libpcap Distributions *********************************************** PURPOSE This advisory brings attention to the CERT/CC ADVISORY CA-2002-30, with reports that several of the released source code distribution packages of tcpdump, a network sniffer, and libpcap, a packet acquisition library, were modified by an intruder and contain a Trojan horse. ASSESSMENT The malicious code runs when the affected tcpdump source code is compiled. The Trojan horse contains a fixed host and a fixed IP address embedded in the code. The intruder operating from or impersonating the fixed remote address could gain unauthorised remote access with privileges of the user who compiled the source code. SUGGESTED ACTION It is recommend that a copy of the source code be attained from a trusted site. Please refer to http://www.cert.org/advisories/CA-2002-30.html for further details CONTACT US For urgent matters or to report any incidents, please contact OCIPEP's Emergency Operations Centre at: Phone: (613) 991-7000 Fax: (613) 996-0995 Secure Fax: (613) 991-7094 Email: [EMAIL PROTECTED] For general information, please contact OCIPEP's Communications Division at: Phone: (613) 944-4875 or 1-800-830-3118 Fax: (613) 998-9589 Email: [EMAIL PROTECTED] Web Site: www.ocipep-bpiepc.gc.ca NOTICE TO READERS When the situation warrants, OCIPEP issues Advisories to communicate information about potential, imminent or actual threats, vulnerabilities or incidents assessed by OCIPEP as limited in scope but having possible impact on the Government of Canada or other sectors of Canada's critical infrastructure. Recipients are encouraged to consider the real or possible impact on their organization of the information presented in the Advisory, and to take appropriate action. The information in this OCIPEP Advisory has been drawn from a from a variety of external sources. Although OCIPEP makes reasonable efforts to ensure the accuracy, currency and reliability of the content, OCIPEP does not offer any guarantee in that regard. Unauthorized use of computer systems and mischief in relation to data are serious Criminal Code offences in Canada. Upon conviction of an indictable offence, an individual is liable to imprisonment for a term not to exceed ten years. Any suspected criminal activity should be reported to local law enforcement organizations. The RCMP National Operations Centre (NOC) provides a 24/7 service to receive such reports or to redirect callers to local law enforcement organizations. The NOC can be reached at (613) 993-4460. National security concerns should be reported to the Canadian Security Intelligence Service (CSIS). ================================================== LE BUREAU DE LA PROTECTION DES INFRASTRUCTURES ESSENTIELLES ET DE LA PROTECTION CIVILE ************************ AVIS DE SÉCURITÉ ************************ Numéro: AV02-047 Date: 13 novembre 2002 ************************************************** Cheval de Troie : distributions tcpdump et libpcap ************************************************** BUT Cet avis attire votre attention sur l'avis de sécurité CERT/CC ADVISORY CA-2002-30 qui signale que plusieurs distributions de codes sources divulgués des progiciels tcpdump, un programme renifleur pour réseaux, et libpcap, une bibliothèque d'acquisition de paquets, ont été modifiées par un intrus et contiennent un Cheval de Troie. ÉVALUATION Le code malicieux se met en marche lorsque le code source tcpdump concerné est compilé. Le Cheval de Troie contient une adresse Internet et une adresse IP fixes enfouies dans le code. L'intrus qui exploite ou qui se fait passer pour l'adresse Internet fixe pourrait obtenir un accès à distance non autorisé en utilisant les privilèges d'accès de l'usager qui a compilé le code source. MESURE PROPOSÉE Il est recommandé d'obtenir une copie du code source d'un site de confiance. Pour de plus amples renseignements, veuillez consulter http://www.cert.org/advisories/CA-2002-30.html (en anglais seulement). COMMENT COMMUNIQUER AVEC NOUS En cas de questions urgentes, ou pour signaler des incidents, veuillez communiquer avec le Centre des opérations d'urgence du BPIEPC au : Téléphone : (613) 991-7000 Télécopieur : (613) 996-0995 Télécopieur sécuritaire : (613) 991-7094 Courriel : [EMAIL PROTECTED] Pour obtenir des renseignements généraux, veuillez communiquer avec la Division des communications du BPIEPC au : Téléphone : (613) 944-4875 ou 1-800-830-3118 Télécopieur : (613) 998-9589 Courriel : [EMAIL PROTECTED] Site Web : www.bpiepc-ocipep.gc.ca AVIS AUX DESTINATAIRES Les avis de sécurité émis par le BPIEPC visent à renseigner les destinataires au sujet de menaces possibles, imminentes, ou réelles, de vulnérabilités ou d'incidents, évalués par le BPIEPC comme étant d'une portée limitée, mais ayant des répercussions possibles sur le gouvernement du Canada ou sur certains secteurs des infrastructures essentielles. Les avis de sécurité peuvent contenir des renseignements et des analyses non disponibles dans le domaine public. Les destinataires sont priés d'examiner les répercussions réelles et possibles des renseignements présentés sur leurs organisations et de prendre les mesures nécessaires. Les renseignements présentés dans les avis de sécurité du BPIEPC sont tirés d'un éventail de sources. Bien que le BPIEPC déploie des efforts raisonnables afin de s'assurer de l'exactitude, de l'actualité et de la fiabilité du contenu des avis de sécurité, il ne peut offrir aucune garantie à cet égard. L'utilisation non autorisée des systèmes informatiques et les dommages relatifs aux données constituent une faute grave au Code criminel canadien. Si une personne est trouvée coupable d'une telle faute, elle est passible d'emprisonnement pour une période n'excédant pas dix ans. Toute activité criminelle présumée doit être signalée immédiatement à un organisme d'application de la loi local. Le Centre national des opérations (CNO) de la GRC est disponible tous les jours, 24 heures sur 24, pour recevoir de tels rapports ou pour réacheminer les appels aux organismes locaux d'application de la loi. Vous pouvez rejoindre le CNO au (613) 993-4460. Les préoccupations portant sur la sécurité nationale doivent être signalées au Service canadien du renseignement de sécurité (SCRS). IWS INFOCON Mailing List @ IWS - The Information Warfare Site http://www.iwar.org.uk