Virus per MacOS X: facciamo chiarezza

al di là del fatto che comunque è grave, ma al di là di questo ti vorrei vedere più combattivo quando l'eccessiva enfasi (per non chiamarla disinformazione) colpisce invece il mondo windows, dato che questo E' LA NORMA... alimentare la disinformazione da una parte e pretendere la corretta enfasi dall'altra mi sembra quanto meno paradossale... anche sulla questione dei virus... l'enfasi data al kamasutra (che, se avete letto le caratteristiche, fa a dir tanto tenerezza) andava bene a tutti, l'enfasi per questi due virus (ben più evoluti del kamasutra, anche se ostacolati dalla limitata diffusione di mac os x) invece è da puntualizzare... ripeto, la disinformazione la si combatte su entrambi i fronti... poi non lamentiamoci.

in ogni caso, siccome si parlava di diffusione, vorrei precisare una cosa: la diffusione dei virus è, fondamentalmente, una reazione a catena. la proporzionalità diretta tra diffusione e numero dei virus (di successo, nel senso che effettivamente funzionano e si propagano) è una stupidata: i parametri sono altri. c'è da aspettarsi che, nel caso in cui mac os x (o qualsiasi altro os destinato al mercato consumer, eh) dovesse superare una certa massa critica, i virus, da pochi e dalla capacità di diffusione ridotta, possano avere un'impennata verticale. non solo: il loro numero - a dimostrazione dell'infondatezza della proporzionalità diretta - continuerebbe quindi a crescere anche se la diffusione della piattaforma su cui proliferano si arrestasse. è, tra le altre cose, intuitivo.

Chiarezza

Apprezzo molto il tentativo di HWUpgrade di fare chiarezza su questi supernoti virus per OsX:
intervistando l'esperto di sicurezza si è finalmente capito che almeno uno dei due (LeapA) è un vero e proprio worm, che sfrutta social engineering (quindi è pure un po' trojan), si moltiplica (caratteristica del worm) e mette il suo codice in altri programmi (virus). Non è dunque come alcuni strenui difensori di OsX affermavano un trojan che nulla ha a che vedere con i veri virus (anche se c'è da ammettere che solo Inqtana sfrutta un exploit, mentre Leap.A fa uso di bieco social engineering).
Nell'articolo non si è parlato della falla scoperta in Safari ecc sull'apertura dei file sicuri (ben più pericolosa di Leap.A o Inqtana).

Però, anche in questo articolo, pur volenteroso di fare chiarezza, trovo una grande confusione.

Se da una parte è ovvio che nessun sistema è sicuro, mi pare anche ovvio che ci sia qualche sistema più sicuro di un altro.
Ad esempio, in un posto dove ci sono dei cecchini, andare in bici, in auto, in auto blindata o col carro armato, credo che sia diverso...
E' ovvio che niente è sicuro, se mi sparano con un cannone, polverizzano anche il carroarmato, ma la bici mi pare un tantino meno sicura, non trovate?

E' anche ovvio che un esperto di sicurezza faccia il suo lavoro e ribadisca che per l'ennesima volta nessun sistema è sicuro, però diamine, i distinguo ci vogliono, non si può parlare solo in termini assoluti.

Veniamo al caso di questi virus.
Su qualsiasi report di sicurezza sui virus, oltre alla definizione (virus, trojan,
worm, ecc) e al funzionamento, si trovano anche altri parametri, poco evidenziati in quest'articolo:

1) come si diffonde? in automatico o ci vuole qualche errore dell'utente, e l'errore dell'utente è facile da provocare o l'utente deve essere un'idiota completo?
2) quanto tempo impiega a diffondersi?
3) che danni fa?

e soprattutto (questa cosa non è menzionata per niente nell'articolo):
4) esistono patch al problema? si installano facilmente?
e ancora:
5) la vulnerabilità è stata patchata prima o dopo l'esistenza di qualsiasi exploit?

Alla luce di queste domande analizziamo i virus:
Leap.A
1) occorre un errore dell'utente, facile da commettere (abbastanza pericoloso)
2) si diffonde lentamente
3) pochi
4) la patch esiste già, si installa in automatico e non crea problemi: ora l'utente viene avvisato che si tratta di un eseguibile
5) la patch è arrivata in pochissimo tempo, il problema è stato risolto con pochi danni (non è possibile fare varianti di questo worm, come prospettato dall'esperto di sicurezza)

Inqtana
1) credo che non ci sia bisogno di nessun errore dell'utente;
2) si diffonde pochissimo, quasi zero (solo via bluethoot);
3) sinceramente, non lo so;
4) la patch esisteva PRIMA dell'uscita dell'exploit: zero danni davvero;
5) vedi punto 4: qui la falla è stata completamente risolta.

Bug di Safari
1) il virus entra in modo automatico se si hanno delle impostazioni poco prudenti in Safari (anche se tali impostazioni sono di default);
2) era un proof of concept, non si diffondeva;
3) era un proof of concept, no danni;
4) patch tirata fuori prima dell'esistenza di un vero virus;
5) come al punto 4.

Facciamo un paragone con la falla dei WMF
1) virus entra in modo automatico dal web, in un attimo;
2) diffusione molto elevata;
3) pochi danni, spyware installati e qualche backdoor;
4,5) patch tirata fuori in fretta davvero (brava Microsoft), ma il bug era vecchio di 13 anni, risaliva a Win 3.1;

Detto ciò si vede come le cose vanno spiegate con calma, e come in realtà ad oggi, i 2 virus per OsX possono essere messi già nel dimenticatoio.

Poi si possono fare anche altre considerazioni:
un sistema può essere inerentemente più sicuro di un altro?
La risposta è SI', perché dipende da come è stato progettato (pensando o no alla sicurezza): es. XP senza SP veniva venduto col firewall disabilitato e diversi servizi abilitati... pazzesco!
es. 2: falla WMF, voglio far eseguire codice a delle immagini, se c'è un errore, eseguo codice qualsiasi... qui la sicurezza era un concetto ignoto (epoca Win 3.1).

Firefox invece è ben fatto: di bug e di falle ce ne sono tante e tante ne vengono scoperte, ma ciò non significa che queste falle, essendo Firefox progettato con un occhio di riguardo alla sicurezza, non siano difficili da sfruttare, non facciano pochi danni, o non vengano patchate in brevissimo tempo (la possibilità di realizzare patch in tempi brevi è una discriminante fortissima tra un sistema più sicuro e uno meno sicuro).

Microsoft sembra che con Vista abbia deciso di progettare il tutto tenendo ben presente la sicurezza, e tra le novità più evidenti c'è una gestione degli account molto simile a quella di Unix/Linux/MacOS, forse anche più evoluta (proprio a dimostrazione che non tutti i sistemi sono uguali).

Ultima considerazione, altrimenti faccio buffer overflow a hwupgrade :
dire che Mac OsX abbia pochi virus solo perché sia poco diffuso è quantomeno riduttivo e semplicistico: si trascura che è costruito su una base solida e pensato tenendo conto della sicurezza (è un sistema molto giovane, progettato quando la sicurezza era già una main issue).
Inoltre, i virus writer, cercano una sola cosa (oltre a qualche strana possibilità di fare soldi): la NOTORIETA'.
Come si fa a dire che c'è poco interesse a scrivere virus per OsX perché questo è poco diffuso? Siamo pazzi?
Vi rendete conto del polverone che hanno sollevato questi innocui virus?
Quanto sarebbe famoso il writer che scrivesse un primo virus ad alta diffusione e capacità di fare danno per Mac? E' il sogno di molti

Non riesco neanche ad immaginare di installare un antivirus nel mio mac è una cosa che non riuscirei neanche a fare penso che rimarrei tipo paralizzato.

io penso che mac os e linux siano sistemi abbastanza sicuri e che non ci si debba preoccupare... i virus e i trojan sono roba da windows user!

complimenti per la profondita' del commento, ma l'hai letto l'articolo?

no, siamo logici. un virus writer che vuole la visibilità preferisce andare a parare:
1) nel 95% dell'utenza
2) nel 2% (i mac sono al 3, ma una parte hanno ancora mac os 9) dell'utenza?

inoltre, secondo te è più facile:
1) scrivere un virus che per ogni 100 volte che si replica trova 95 possibili ospiti e quindi basta che ALMENO UNO SU 95 venga infettato perchè la reazione a catena di cui parlavo vada avanti
2) scrivere un virus che per ogni 100 volte che si replica trova 2 possibili ospiti e quindi se non ce n'è almeno UNO SU DUE che viene infettato la reazione non va avanti?

il problema è che chi scrive un virus, normalmente, non va molto oltre il livello lamer, tant'è che di virus tecnicamente elaborati ce ne sono molto pochi. e di tecnica, per realizzare un virus sufficientemente aggressivo per sopperire al divario di diffusione che c'è tra windows e mac os x, ce ne vuole davvero tanta. chi sarebbe in grado di scrivere un virus di successo per mac os x ha già abbondantemente superato la fase lamer e fa ben altro...

ps: l'esempio wmf non è calzante, wmf e blaster sono eccezioni. oltre il fatto che se ti vai a vedere le vulnerabilità per mac os x (è capitato anche a linux) di buffer overflow ce ne sono parecchi - tra cui si, anche analoghi a quelli del wmf. la differenza è che se non hai la patch su windows:
1) te lo ferma l'antivirus
2) se hai un sistema con flag NX il buffer overflow è innocuo

tra le altre cose sarei curioso di sapere se la versione x86 di mac os x sfrutta il flag NX

Pero' e' anche vero che i virus writer che vorranno molta visibilita' potranno ottenerla scrivendo i primi virus veramente dannosi, da ricordare, per macosx

sinceramente, questo articolo non mi è piaciuto per niente.
avranno anche intervistato un esperto, ma non è arrivato a niente se non a dire cose già risapute...
Lo sappiamo bene tutti che non esiste un sistema sicuro al 100%, ma quello che tutti vorrebbero sapere dall'esperto è probabilmente ciò che pensa sugli sviluppi futuri, sulle differenze di sicurezza tra vari os, ecc...
eh... va bene non sbottonarsi, ma penso che a queste affermazioni chiunque ci arrivava

mmh, secondo me e' stato molto chiaro ed esaustivo, certo non ha la sfera di cristallo...
E certo, quello che ha detto non puo' piacere a tutti eh?

questo focus è stato fatto per fare chiarezza su questo determinato argomento in modo conciso e preciso. Questo è stato fatto

Per conferenze o simposi più generici ed ampi, cioè quello che tu richiedi, se ne parlerà in altre situazioni