Virus per MacOS X: facciamo chiarezza

[Redazione di Hardware Upg]

Link alla notizia: http://www.hwupgrade.it/news/sicurezza/16632.html

A distanza di alcuni giorni dalla comparsa dei primi virus per MacOS X, la confusione e le notizie in giro per la rete hanno causato timori tra gli utenti di casa Apple. Cerchiamo allora di fare un pò di chiarezza a riguardo grazie ad un'intervista a Paolo Monti.

Click sul link per visualizzare la notizia.

[Pelino]

Grazie, ottimo articolo!

Interessante il passaggio finale:
"Non dimentichiamo che tra i primi antivirus possiamo annoverare programmi dedicati ai vecchi sistemi operativi Mac e che uno dei worm più famosi nella storia informatica è stato scritto per Unix. Oggi, la progressiva standardizzazione delle piattaforme rende maggiormente disponibili architetture e ambienti di lavoro in cui è possibile realizzare virus per Mac OS X. Ciò non rende più vulnerabile il Mac di per sé, ma rispetto a prima semplifica notevolmente il lavoro dei virus-writer."

quindi si torna li, una grande diffusione del sistema operativo semplifica il lavoro dei virus-writer.. o meglio, mac os ha pochi virus in misura direttamente proporzionale alla sua diffusione?

[Bisont]

bah spero solo che non ci sia bisogno di installare antivirus....sai che rottura Norton for OSX!!!

Il minore dei mali potrebbe essere un antivirus integrato al sistema prodotto da Apple e di serie su tutti i mac....così almeno l'impatto sulle prestazioni è minore....

ciao!

[paulgazza]

Quote:

Originariamente inviato da Bisont

Il minore dei mali potrebbe essere un antivirus integrato al sistema prodotto da Apple e di serie su tutti i mac....così almeno l'impatto sulle prestazioni è minore....

Posso sorridere? è proprio la strategia che Microsoft stava adottando (integrare quanti più possibili servizi nel SO) ed è stata fermata dall'antitrust

A parte le battute, è ovvio che più un sistema diventa diffuso, minore è lo sforzo per "penetrarlo" e maggiore la sua appetibilità... e maggiore il numero di utenti inesperti

[leonino_c]

> o meglio, mac os ha pochi virus in misura
> direttamente proporzionale alla sua diffusione?

Direi proprio di no ! Se non sbaglio Apple ha circa il 4,5% del mercato mondiale dei computer (che per inciso significa *TANTE* macchine). Mi sembra invece che la percentuale di virus/worm/etc. scritti per OSX sia infinitesimale (2 su... boh !).

[task-]

Anche se cambiano architettura semplificando la vita ai virus writer che potranno lavorare su qualcosa che in parte già conoscono, finchè i mac resteranno poco diffusi, poco diffusi saranno anche i virus/worm....
Perchè mettersi ad imparare come bucare un sistema se comunque si possono fare pochi danni a causa ella sua scarsa diffusione?

[ReLupo]

Norton per Os X esiste già, é pesante, troverà sì e no il 70% dei virus disponibili per Windows e di per sé non mi ha fatto una grande impressione. L'ho testato quando ho convertito tutto il mio archivio di mail da Outlook Express per pc a Entourage 2004: Kaspersky ed Avast su pc mi hanno trovato ogni ben di Dio di schifezze, Norton X ha trovato molto poco, sebbene gli allegati fossero gli stessi e la procedura di scansione decisamente simile...

[samslaves]

Prima che venga ripresa questa news spubblicata da ZDNet Australia, voglio MOLTO ANTICIPATAMENTE precisare che:

L'hacker "gwerdna", che guarda caso letto al contrario e' "andrewg" quindi non molto sveglio a mio avviso, aveva accesso via SSH al Mac in questione ad un suo account locale. Quindi, sapendo che cmq in ogni caso ci sono essere vulnerabilita' interne anche non rese note, spero che questa FALSA news non venga ripresa con gli stessi toni della stampa estera, dimostrando che almeno in Italia ci sono alcuni giornalisti dell'IT che conoscono il loro mestiere.
Sfruttare una vulnerabilita' interna partendo da un proprio account e' infatti cosa ben diversa dal: trovarti in internet, passare attraverso il firewall del router, passare attraverso il firewall software ben configurato, abilitare l'utente root o avere accesso alla sua pwd.

[becool]

Meno si parla dei virus per Mac, più l'utilizzatore medio di Apple crederà di vivere in un'oasi magica al riparo da virus e schifezze varie. Più volerà alto nella sua illusione di invulnerabilità, maggiore sarà il tonfo che farà quando si accorgerà di avere il sistema infetto! :-)

b.Cool

[Klontz]

Bella intervista

Avrei preferito che l'intervistatore avesse approfondito il concetto di questo passaggio :

Quote:

La sicurezza di un sistema non può essere mai demandata a un prodotto, ma semmai a una procedura.

bye

[Mighty83]

Quote:

A mio avviso, i sistemi Mac non erano invulnerabili ieri e a maggior ragione non lo sono oggi, nessun sistema operativo è stato concepito per impedire la diffusione di virus e questo concetto è stato ben spiegato da pionieri della ricerca antivirus del calibro di Frederick Cohen.

E con questo penso che abbia voluto portar a termine ogni possibile guerra di religione!

Concordo pienamente! (Per il resto mi unisco agli altri nel far i complimenti per l'articolo )

[Fx]

Quote:

Originariamente inviato da samslaves

Prima che venga ripresa questa news spubblicata da ZDNet Australia, voglio MOLTO ANTICIPATAMENTE precisare che:

al di là del fatto che comunque è grave, ma al di là di questo ti vorrei vedere più combattivo quando l'eccessiva enfasi (per non chiamarla disinformazione) colpisce invece il mondo windows, dato che questo E' LA NORMA... alimentare la disinformazione da una parte e pretendere la corretta enfasi dall'altra mi sembra quanto meno paradossale... anche sulla questione dei virus... l'enfasi data al kamasutra (che, se avete letto le caratteristiche, fa a dir tanto tenerezza) andava bene a tutti, l'enfasi per questi due virus (ben più evoluti del kamasutra, anche se ostacolati dalla limitata diffusione di mac os x) invece è da puntualizzare... ripeto, la disinformazione la si combatte su entrambi i fronti... poi non lamentiamoci.

in ogni caso, siccome si parlava di diffusione, vorrei precisare una cosa: la diffusione dei virus è, fondamentalmente, una reazione a catena. la proporzionalità diretta tra diffusione e numero dei virus (di successo, nel senso che effettivamente funzionano e si propagano) è una stupidata: i parametri sono altri. c'è da aspettarsi che, nel caso in cui mac os x (o qualsiasi altro os destinato al mercato consumer, eh) dovesse superare una certa massa critica, i virus, da pochi e dalla capacità di diffusione ridotta, possano avere un'impennata verticale. non solo: il loro numero - a dimostrazione dell'infondatezza della proporzionalità diretta - continuerebbe quindi a crescere anche se la diffusione della piattaforma su cui proliferano si arrestasse. è, tra le altre cose, intuitivo.

[nik002]

Apprezzo molto il tentativo di HWUpgrade di fare chiarezza su questi supernoti virus per OsX:
intervistando l'esperto di sicurezza si è finalmente capito che almeno uno dei due (LeapA) è un vero e proprio worm, che sfrutta social engineering (quindi è pure un po' trojan), si moltiplica (caratteristica del worm) e mette il suo codice in altri programmi (virus). Non è dunque come alcuni strenui difensori di OsX affermavano un trojan che nulla ha a che vedere con i veri virus (anche se c'è da ammettere che solo Inqtana sfrutta un exploit, mentre Leap.A fa uso di bieco social engineering).
Nell'articolo non si è parlato della falla scoperta in Safari ecc sull'apertura dei file sicuri (ben più pericolosa di Leap.A o Inqtana).

Però, anche in questo articolo, pur volenteroso di fare chiarezza, trovo una grande confusione.

Se da una parte è ovvio che nessun sistema è sicuro, mi pare anche ovvio che ci sia qualche sistema più sicuro di un altro.
Ad esempio, in un posto dove ci sono dei cecchini, andare in bici, in auto, in auto blindata o col carro armato, credo che sia diverso...
E' ovvio che niente è sicuro, se mi sparano con un cannone, polverizzano anche il carroarmato, ma la bici mi pare un tantino meno sicura, non trovate?

E' anche ovvio che un esperto di sicurezza faccia il suo lavoro e ribadisca che per l'ennesima volta nessun sistema è sicuro, però diamine, i distinguo ci vogliono, non si può parlare solo in termini assoluti.

Veniamo al caso di questi virus.
Su qualsiasi report di sicurezza sui virus, oltre alla definizione (virus, trojan,
worm, ecc) e al funzionamento, si trovano anche altri parametri, poco evidenziati in quest'articolo:

1) come si diffonde? in automatico o ci vuole qualche errore dell'utente, e l'errore dell'utente è facile da provocare o l'utente deve essere un'idiota completo?
2) quanto tempo impiega a diffondersi?
3) che danni fa?

e soprattutto (questa cosa non è menzionata per niente nell'articolo):
4) esistono patch al problema? si installano facilmente?
e ancora:
5) la vulnerabilità è stata patchata prima o dopo l'esistenza di qualsiasi exploit?

Alla luce di queste domande analizziamo i virus:
Leap.A
1) occorre un errore dell'utente, facile da commettere (abbastanza pericoloso)
2) si diffonde lentamente
3) pochi
4) la patch esiste già, si installa in automatico e non crea problemi: ora l'utente viene avvisato che si tratta di un eseguibile
5) la patch è arrivata in pochissimo tempo, il problema è stato risolto con pochi danni (non è possibile fare varianti di questo worm, come prospettato dall'esperto di sicurezza)

Inqtana
1) credo che non ci sia bisogno di nessun errore dell'utente;
2) si diffonde pochissimo, quasi zero (solo via bluethoot);
3) sinceramente, non lo so;
4) la patch esisteva PRIMA dell'uscita dell'exploit: zero danni davvero;
5) vedi punto 4: qui la falla è stata completamente risolta.

Bug di Safari
1) il virus entra in modo automatico se si hanno delle impostazioni poco prudenti in Safari (anche se tali impostazioni sono di default);
2) era un proof of concept, non si diffondeva;
3) era un proof of concept, no danni;
4) patch tirata fuori prima dell'esistenza di un vero virus;
5) come al punto 4.

Facciamo un paragone con la falla dei WMF
1) virus entra in modo automatico dal web, in un attimo;
2) diffusione molto elevata;
3) pochi danni, spyware installati e qualche backdoor;
4,5) patch tirata fuori in fretta davvero (brava Microsoft), ma il bug era vecchio di 13 anni, risaliva a Win 3.1;

Detto ciò si vede come le cose vanno spiegate con calma, e come in realtà ad oggi, i 2 virus per OsX possono essere messi già nel dimenticatoio.

Poi si possono fare anche altre considerazioni:
un sistema può essere inerentemente più sicuro di un altro?
La risposta è SI', perché dipende da come è stato progettato (pensando o no alla sicurezza): es. XP senza SP veniva venduto col firewall disabilitato e diversi servizi abilitati... pazzesco!
es. 2: falla WMF, voglio far eseguire codice a delle immagini, se c'è un errore, eseguo codice qualsiasi... qui la sicurezza era un concetto ignoto (epoca Win 3.1).

Firefox invece è ben fatto: di bug e di falle ce ne sono tante e tante ne vengono scoperte, ma ciò non significa che queste falle, essendo Firefox progettato con un occhio di riguardo alla sicurezza, non siano difficili da sfruttare, non facciano pochi danni, o non vengano patchate in brevissimo tempo (la possibilità di realizzare patch in tempi brevi è una discriminante fortissima tra un sistema più sicuro e uno meno sicuro).

Microsoft sembra che con Vista abbia deciso di progettare il tutto tenendo ben presente la sicurezza, e tra le novità più evidenti c'è una gestione degli account molto simile a quella di Unix/Linux/MacOS, forse anche più evoluta (proprio a dimostrazione che non tutti i sistemi sono uguali).

Ultima considerazione, altrimenti faccio buffer overflow a hwupgrade :
dire che Mac OsX abbia pochi virus solo perché sia poco diffuso è quantomeno riduttivo e semplicistico: si trascura che è costruito su una base solida e pensato tenendo conto della sicurezza (è un sistema molto giovane, progettato quando la sicurezza era già una main issue).
Inoltre, i virus writer, cercano una sola cosa (oltre a qualche strana possibilità di fare soldi): la NOTORIETA'.
Come si fa a dire che c'è poco interesse a scrivere virus per OsX perché questo è poco diffuso? Siamo pazzi?
Vi rendete conto del polverone che hanno sollevato questi innocui virus?
Quanto sarebbe famoso il writer che scrivesse un primo virus ad alta diffusione e capacità di fare danno per Mac? E' il sogno di molti

[FiLoxXx]

Non riesco neanche ad immaginare di installare un antivirus nel mio mac è una cosa che non riuscirei neanche a fare penso che rimarrei tipo paralizzato.

[shadeh]

io penso che mac os e linux siano sistemi abbastanza sicuri e che non ci si debba preoccupare... i virus e i trojan sono roba da windows user!

[Pelino]

Quote:

Originariamente inviato da shadeh

io penso che mac os e linux siano sistemi abbastanza sicuri e che non ci si debba preoccupare... i virus e i trojan sono roba da windows user!

complimenti per la profondita' del commento, ma l'hai letto l'articolo?

[Fx]

Quote:

Originariamente inviato da nik002

Come si fa a dire che c'è poco interesse a scrivere virus per OsX perché questo è poco diffuso? Siamo pazzi?

no, siamo logici. un virus writer che vuole la visibilità preferisce andare a parare:
1) nel 95% dell'utenza
2) nel 2% (i mac sono al 3, ma una parte hanno ancora mac os 9) dell'utenza?

inoltre, secondo te è più facile:
1) scrivere un virus che per ogni 100 volte che si replica trova 95 possibili ospiti e quindi basta che ALMENO UNO SU 95 venga infettato perchè la reazione a catena di cui parlavo vada avanti
2) scrivere un virus che per ogni 100 volte che si replica trova 2 possibili ospiti e quindi se non ce n'è almeno UNO SU DUE che viene infettato la reazione non va avanti?

il problema è che chi scrive un virus, normalmente, non va molto oltre il livello lamer, tant'è che di virus tecnicamente elaborati ce ne sono molto pochi. e di tecnica, per realizzare un virus sufficientemente aggressivo per sopperire al divario di diffusione che c'è tra windows e mac os x, ce ne vuole davvero tanta. chi sarebbe in grado di scrivere un virus di successo per mac os x ha già abbondantemente superato la fase lamer e fa ben altro...

ps: l'esempio wmf non è calzante, wmf e blaster sono eccezioni. oltre il fatto che se ti vai a vedere le vulnerabilità per mac os x (è capitato anche a linux) di buffer overflow ce ne sono parecchi - tra cui si, anche analoghi a quelli del wmf. la differenza è che se non hai la patch su windows:
1) te lo ferma l'antivirus
2) se hai un sistema con flag NX il buffer overflow è innocuo

tra le altre cose sarei curioso di sapere se la versione x86 di mac os x sfrutta il flag NX

[Pelino]

Pero' e' anche vero che i virus writer che vorranno molta visibilita' potranno ottenerla scrivendo i primi virus veramente dannosi, da ricordare, per macosx

Quote:

Originariamente inviato da Fx

no, siamo logici. un virus writer che vuole la visibilità preferisce andare a parare:
1) nel 95% dell'utenza
2) nel 2% (i mac sono al 3, ma una parte hanno ancora mac os 9) dell'utenza?

inoltre, secondo te è più facile:
1) scrivere un virus che per ogni 100 volte che si replica trova 95 possibili ospiti e quindi basta che ALMENO UNO SU 95 venga infettato perchè la reazione a catena di cui parlavo vada avanti
2) scrivere un virus che per ogni 100 volte che si replica trova 2 possibili ospiti e quindi se non ce n'è almeno UNO SU DUE che viene infettato la reazione non va avanti?

il problema è che chi scrive un virus, normalmente, non va molto oltre il livello lamer, tant'è che di virus tecnicamente elaborati ce ne sono molto pochi. e di tecnica, per realizzare un virus sufficientemente aggressivo per sopperire al divario di diffusione che c'è tra windows e mac os x, ce ne vuole davvero tanta. chi sarebbe in grado di scrivere un virus di successo per mac os x ha già abbondantemente superato la fase lamer e fa ben altro...

ps: l'esempio wmf non è calzante, wmf e blaster sono eccezioni. oltre il fatto che se ti vai a vedere le vulnerabilità per mac os x (è capitato anche a linux) di buffer overflow ce ne sono parecchi - tra cui si, anche analoghi a quelli del wmf. la differenza è che se non hai la patch su windows:
1) te lo ferma l'antivirus
2) se hai un sistema con flag NX il buffer overflow è innocuo

tra le altre cose sarei curioso di sapere se la versione x86 di mac os x sfrutta il flag NX

[the_guitar_of_son]

sinceramente, questo articolo non mi è piaciuto per niente.
avranno anche intervistato un esperto, ma non è arrivato a niente se non a dire cose già risapute...
Lo sappiamo bene tutti che non esiste un sistema sicuro al 100%, ma quello che tutti vorrebbero sapere dall'esperto è probabilmente ciò che pensa sugli sviluppi futuri, sulle differenze di sicurezza tra vari os, ecc...
eh... va bene non sbottonarsi, ma penso che a queste affermazioni chiunque ci arrivava

[Pelino]

Quote:

Originariamente inviato da the_guitar_of_son

sinceramente, questo articolo non mi è piaciuto per niente.
avranno anche intervistato un esperto, ma non è arrivato a niente se non a dire cose già risapute...
Lo sappiamo bene tutti che non esiste un sistema sicuro al 100%, ma quello che tutti vorrebbero sapere dall'esperto è probabilmente ciò che pensa sugli sviluppi futuri, sulle differenze di sicurezza tra vari os, ecc...
eh... va bene non sbottonarsi, ma penso che a queste affermazioni chiunque ci arrivava

mmh, secondo me e' stato molto chiaro ed esaustivo, certo non ha la sfera di cristallo...
E certo, quello che ha detto non puo' piacere a tutti eh?