Mac OS X: benvenuti sul Web
Giovedì 23 Febbraio 2006 - 09:30
di Francesco Caccavella
L’avevamo scritto citando Brian Martin dell’Open Source Vulnerability Database: “Apple si sta guadagnando l’attenzione della comunità dei ricercatori di sicurezza”. Il sistema della mela, in altre parole, è sempre più sotto l’occhio dei cacciatori di vulnerabilità e degli scrittori di Worm. E quando cominciano, siano essi cracker o hacker, non si fermano. Negli ultimi giorni sono stati rintracciati ben quattro pericoli di sicurezza per Mac OS X. In ordine: un worm, un altro worm e due vulnerabilità con relativi esempi di applicazione.
Il pericolo maggiore viene dall’ultima scoperta, divulgata il 20 febbraio e giudicata da Secunia “Estremamente Critica”. In pratica Mac OS X può essere spinto ad eseguire file scaricati automaticamente dalla rete all’interno della shell senza nessuna azione dell’utente. Il sistema può essere sfruttato sia sul Web, ossia visitando una pagina con Safari, sia via e-mail, forzando l’utente a cliccare su un allegato che appare, all’interno di Apple Mail, un semplice file immagine. Sia con account di amministratore, sia con account di utente normale. Con gli script si può, praticamente, fare qualsiasi cosa sul sistema aggredito.
Gli errori sono, come hanno notato in molti, equiparabili ai tanti che hanno fatto la “sfortuna” in tema di sicurezza di Internet Explorer e Outlook. In verità gli errori in cui incorrono i programmi di Mac OS X sono ancora più banali.
In primo luogo il sistema di Apple è impostato per aprire file presenti in un archivio Zip usando un programma specificato all’interno dello stesso archivio. Per far eseguire uno script basta: scrivere uno script bash e camuffarlo da immagine o video (basta cambiare l’estensione e togliere l’header dello script), includerlo in un archivio Zip, includere nell’archivio anche il file che indica di aprire lo script non con il programma predefinito ma con il terminale e il gioco è fatto. Se il file viene scaricato da Safari ed eseguito, ed è l’impostazione di default per i file considerati “sicuri”, esso viene scompattato ed eseguito automaticamente; se viene salvato (per esempio con Firefox) e poi aperto, si esegue ancora automaticamente. Tutto ciò avviene se si usa il sistema con l’account da amministratore, eventualità molto comune.
A questa vulnerabilità se ne è aggiunta un’altra che riguarda il programma di posta elettronica. È stata chiarita [Update 2] sempre dal Sans e divulgata da Heise.de. La logica è più o meno la stessa: si fa credere ad Apple Mail che il file inviato sia un’immagine per spingere l’utente a cliccarlo mentre si imposta, attraverso un curioso campo non standard dell’e-mail, il programma con cui eseguirlo. In questo modo l’immagine, che è in realtà uno script, viene aperta non nel visualizzatore di immagini ma nel terminale e quindi può eseguire qualsiasi comando sul sistema. In questo caso la vulnerabilità si esegue anche in un account non da amministratore, anche se gli effetti saranno limitati.
Gli errori di Mac OS X sono diversi: l’avvio automatico di un download in Safari; la sua esecuzione automatica se considerato “sicuro”; la possibilità di camuffare uno script nocivo come file immagine o video in un archivio Zip; la possibilità di mascherare un file nocivo da immagine semplicemente agendo sull’estensione; la possibilità di eseguire, con una semplice modifica delle intestazioni delle e-mail, un file come script di shell.
Ma non è finita: mancano i due worm. Il primo, Leap.A, è in verità una sorta di programma nocivo che deve essere scaricato ed eseguito dall’utente di iChat e che non prevede un’installazione automatica (anche se prevede una diffusione automatica in un sistema infetto). Più pericoloso il secondo worm, Inqtana.A, di cui ieri sono apparsi anche nuove versioni. Il worm sfrutta una vulnerabilità di Mac OS X già corretta nel maggio 2005 che riguardava la possibilità di inviare ed eseguire file attraverso la connessione Bluetooth. Il worm comparso in rete in realtà è un “proof of concept” e non un vero e proprio worm: l’autore lo ha scritto per mettere in evidenza la possibilità di utilizzare un sistema Mac per inviare file nocivi attraverso il Bluetooth e non per creare un worm eseguibile. Il worm si disattiverà il 25 febbraio e la sua diffusione è stata limitata indicando una portata limitata di indirizzi ai quali inviarsi.
Il worm, ed è la cosa più interessante, ha ricevuto anche una sorta di recensione da parte dell’autore. La sua descrive, tra l’altro, le possibili impostazioni di Mac OS X che potrebbero essere sfruttate dal Worm giungendo ad una conclusione: “OS X contiene caratteristiche che possono certamente favorire in futuro la diffusione di malware”.
Categoria: Sicurezza | Permalink
Commenti
1
Questa è la chiara dimostrazione, secondo me, che non esiste sistema privo di bug ed inattaccabile.
Tutto dipende dal livello d’attenzione che una community rivolge ad esso!
E voglio precisare che Mac OS X è basato su Unix, come lo è Linux!
(questo è un appunto per gli estreministi MAC-histi e Linux-iani che tendono a sopravvalutare i loro sistemi beniamini, senza una corretta cognizione di causa)
2
beh… intanto non confonderei i linuxiani con i macchisti. Sono due filosofie molto diverse.
I linuxiani non sopravvalutano affatto la propria macchina (dirlo è falso): valutano il fatto che linux sia superiore a windows, che è un altra cosa… quindi non facciamo confusione.
La sicurezza di linux poi è indiscutibile da un punto di vista: chiunque può modificare la macchina in qualsiasi punto ed in qualsiasi momento: una cosa che con un Mac o con un Wintel puoi solo sognare. E questo è il motivo per cui TUTTA la rete si basa su architetture Linux-like e non windows-like.
Per quanto riguarda Unix in Apple sottolineo la presenza di X11 (e molto altro) per prendere gli utenti Linux, nonchè il fatto che per Apple credo sarebbe stato impossibile sostenere lo sviluppo di un sistema operativo paragonabile ad Unix. Usando Unix poi hanno potuto creare un’architettura server (OSX Server) su cui Apple era scadente. Ora può offrire una soluzione convincente.
Sistemi privi di bug esistono… ma “loro” (gli innominabili) si sognano di metterli nel commercio. Sennò chi comprerebbe aggiornamenti e sistemi antivirus? Che lavoro andrebbero a fare gli illustri signori dell’incertezza digitale?!
# - postato da Pollastro - 23 Febbraio 2006 - 12:11
3
Prima o poi sarebbe successo, non esista sistema invulnerabile, ne crack o malware invulnerabile.
Sarà così per sempre… Gli haker trovano falle in sistemi operativi e software (mai trovati nell’i-series IBM), le sfruttano e le softwarehouse replicano con patch, service pack e bollettini di sicurezza.E’ successo adesso, col MAC (e la cosa mi dispiace un pò), perchè il signor Bill Gates, è sempre stato nell’occhio del ciclone, perchè il 90% dell’utenza usa il suo software cosa che spinge i più a desiderare di dimostrare che sono software bacati, e che ce ne sono di meglio gratuiti e non in giro.
La Apple stà adesso incominciando a farsi sentire di più, con il mini Mac e l’Ipod, si stà inserendo di più sul mercato, e nonostante i suoi prezzi non concorrenziali, già in proporzione, si vede un attacco a casa jobs.
Se anche linux facesse lo stesso, presumerei la stessa cosa.Sta di fatto che l’hardware fornito dalla apple è uno dei migliori, a livello qualitativo.
Think Different.
be Apple# - postato da El Rumbero - 23 Febbraio 2006 - 12:40
4
Tutto questo tam-tam per un problema di sicurezza (tra l’altro facilmente risolvibile, basta rinominare l’applicazione Terminale.app). Inoltre in entrambi i casi bisogna confermare 2 volte l’accettazione del download. Mah… per me siamo ancora lontani… staremo a vedere… :-)
5
Bha … dubito che l’utenza Mac Linux o BSD apra il primo file che arriva a differenza degli utonti pardon utenti di casa M$ … oltre al sist operativo c’e’ da contare chi ci sta davanti, e chi usa OSX Linux BSD ecc.. è di lunga “informatizzato” e acculturato rispetto a chi ha una M$-box. mi fermo qua perchè il discorso è lungo .. cmq uso un powerbook G4 17″ regalatomi ( che c*lo), e ci gira sopra OSX e Gentoo GNU/Linux ovviamente per PPC, va tutto che è una bellezza, mai avuto guai. e dico MAI.
# - postato da Silenx - 16 Marzo 2007 - 13:03
6
Non ho mai incontrato un virus, worm, macro che mi danneggiasse e quei pochi che ho visto erano stati “depositati” nei miei share da un utente Windows, quindi innoqui per me. Seguo ~700 persone che hanno Mac e nessuna di queste ha mai incontrato una falla di sicurezza. Qui si sta parlando di “potenziali” e non di diffusione. Non confondiamoci dando per spacciati i pazienti quando invece si sta parlando di roba corretta il giorno dopo da Mamma Apple. Inutile allarmismo!
# - postato da Dal 1986 uso Mac - 06 Giugno 2007 - 23:55
7
Un sistema operativo sicuro al 100% non esiste ne esisterà mai. Se si pensa che ogni 1000 righe di codice si introducono 5 potenziali buchi di sicurezza e che un sistema operativo è composto da parecchi milioni di righe appare chiaro che la sicurezza assoluta è un utopia.
Certo è che è più sicuro un kernel bsd che ha 60 anni di sviluppo alle spalle che un kernel winNT che ne ha poco più di 15.
Inoltre, per quanto riguarda il caso in esame, poter eseguire uno script non equivale per forza a causare gravi danni al sistema. I sistemi Unix e Unix-like (come linux) hanno un forte isolamento degli utenti e una forte protezione dei file di sistema. Anche riuscendo ad eseguire uno script in automatico non è possibile alterare il sistema senza aver autorizzato un aumento dei privilegi che si traduce solitamente nell’inserimento di una password. Insomma la sicurezza (relativa) di un sistema Mac/Linux rispetto a un sistema Windows è di diversi ordini di grandezza superiore.
# - postato da salanet - 03 Gennaio 2008 - 13:29