Virus per MacOS X: facciamo chiarezza

Virus per MacOS X: facciamo chiarezza

A distanza di alcuni giorni dalla comparsa dei primi virus per MacOS X, la confusione e le notizie in giro per la rete hanno causato timori tra gli utenti di casa Apple. Cerchiamo allora di fare un pò di chiarezza a riguardo grazie ad un'intervista a Paolo Monti.

di pubblicata il , alle 17:10 nel canale Sicurezza
Apple
 

Leap.A e Inqtana, due nomi che gli utenti Apple conoscono bene. Due nomi che hanno mosso un vero polverone nel mondo quasi idilliaco della Mela.

Per coloro che non abbiano seguito i fatti, quelli sono i nomi dei due virus che hanno tentato di scalfire nelle scorse settimane la dura corazza denominata MacOS X, sinonimo di sicurezza e stabilità da anni.

Molte sono state le critiche mosse a questi malware, molti i dubbi sull'effettiva pericolosità, tanto da sollecitare l'intero mondo informatico che si è spezzato in due fazioni: una che preannuncia l'inizio del crollo della sicurezza del sistema operativo della mela e l'altra che invece ne conferma l'effettiva sicurezza e l'inutilità di questa prova di forza, che tutto è meno che una testimonianza di possibili reali infezioni.

Attorno a queste due fazioni si è creata una nube di confusione, di commenti vari di utenti più o meno esperti trovatisi ad affrontare questo argomento che, mai come in questi tempi, è stato così all'ordine del giorno.

Ora che le acque si sono un pò calmate, la redazione di Hardware Upgrade tenta di fornire una spiegazione circa la panoramica attuale su quello che è successo e sui reali pericoli che MacOS X può incontrare; per fare ciò abbiamo intervistato Paolo Monti, technical manager di Future Time S.r.l.

Paolo Monti, ben noto nel mondo della sicurezza informatica in Italia, si occupa di virus informatici fin dal 1988, è analista di Oasi Servizi per il network di sicurezza SecurityNet, scrive programmi e articoli pubblicati a livello internazionale. Attualmente i suoi ambiti di ricerca riguardano Rootkit in kernel-mode in sistemi Windows NT e derivati.

C'è molta confusione per quanto riguarda questi nuovi worm per MacOS X, parlando di Leap.A e della famiglia Inqtana. Alcuni li chiamano worm, altri trojan, altri pensano che non sia giusto chiamarli in nessuno dei due modi. Possiamo fare un pò di chiarezza su questo concetto? Cosa sono e cosa fanno realmente?

Certe definizioni sono utili in ambito tecnico per comprendere il principale metodo di propagazione del malware, tuttavia l'elevato tasso di innovazione che si riscontra in quest'area rende spesso difficile definire in modo sintetico e chirurgico le caratteristiche del codice e quindi assegnargli una particolare etichetta.
Stando alle definizioni classiche, un cavallo di troia (trojan) non ha facoltà di replicarsi autonomamente e sfrutta sempre un certo livello di social engineering che ne assicura la diffusione. Invece, un worm è per definizione un "mass infector", concepito allo scopo di diffondersi attraverso reti di computer: esso sfrutta a suo vantaggio alcuni accorgimenti tecnici, sempre più spesso vulnerabilità di un sistema o di un'applicazione, per copiarsi automaticamente in più dispositivi possibili (posta elettronica, condivisioni di rete, ecc.) . Spesso, è comunque previsto l’uso di una certa dose di social engineering, in special modo quando vi è la necessità di convincere gli utenti a eseguire il file appena ricevuto.

Ecco quindi che sia per il Leap.A sia per l'Inqtana possiamo escludere la definizione di trojan, poiché entrambi presentano comunque una routine di auto-replicazione. Il primo si aggancia a determinate funzioni di iChat e si invia automaticamente ai contatti raggiungibili, oltre che mimare il comportamento di alcuni virus classici, sostituendo il proprio codice a quello di decine di applicazioni in modo da attivarsi quando l'utente ne apre una.
Alla luce di queste caratteristiche credo si possa affermare senza troppe difficoltà che la definizione di worm è la più adatta.

Anche l'Inqtana può rientrare di diritto nella famiglia dei worm, poiché sfrutta una vulnerabilità di Tiger per auto-inviarsi a tutti i dispositivi Bluetooth a distanza di rilevamento. La caratteristica classica del worm quindi viene rispettata, anche quando l'Inqtana cerca di posizionare alcuni file nella cartella di startup per facilitarne l'esecuzione durante l'avvio del sistema. Si tratta di accorgimenti che rientrano nei parametri tipici dei worm, anche se nel caso dell'Inqtana non possiamo proprio parlare di "mass infector", vista l'ancora scarsa reperibilità di dispositivi Bluetooth infettabili.

Alcuni esempi di attacco al sistema operativo di casa Apple ce ne sono già stati in passato. Come mai questi ultimi malware hanno alzato tanto polverone? Quale è stato l'impatto che hanno avuto a livello mondiale?

Il Leap.A è il primo vero virus/worm per il sistema operativo Mac OS X, qui inizia e finisce la sua particolarità.
Il polverone è dovuto più dalla curiosità della notizia che dalla reale pericolosità del malware. Oltretutto, il Leap ha aperto la strada a chiunque - dotato di poca inventiva - abbia intenzione di usarne il codice e quindi di modificarlo per crearne ulteriori varianti, evento che si è verificato molto spesso anche in ambito DOS e Windows.

Tra l'altro, benché il virus sia stato trovato "in the wild", al momento non sembra aver fatto danni. I worm della famiglia Inqtana risultano ancor meno pericolosi, poiché sono "proof of concept" e hanno una funzione che li inibisce dopo il 24 Febbraio 2006. Indubbiamente anch'essi possono essere modificati partendo dal codice originale, ed è questo cui si dovrà fare attenzione in futuro.

In questa corsa al "virus per Apple" che si è venuta a creare, la scelta drastica di Apple di cambiare tipologia di processori e passare all'architettura x86 di Intel può aver influito in qualche modo?

Anzitutto il Leap.A è un worm compilato su PowerPC, ad ogni modo credo che la maggior diffusione di architetture Intel determinerà inevitabilmente una migliore capacità di realizzare malware per Mac OS X.
E’ logico pensare che molti creatori di malware non abbiano certo voglia di acquistare appositamente un computer Mac per realizzare e testare virus specifici, ma che preferiscano farlo in ambienti simulati.

Oggi, col passaggio all'architettura x86, competenze e hardware già acquisiti per altri sistemi operativi possono essere riciclati e adattati all'OS X, con chiari vantaggi per chi crea intenzionalmente codice dannoso.

Cosa prevede ora il futuro per gli utenti della Apple, da sempre convinti dell'inviolabilità del sistema operativo da parte di virus informatici? Esiste veramente un rischio reale per il MacOS X e per i propri utenti?

Una celebre massima sulla sicurezza informatica afferma che l’unico computer sicuro è un computer spento. La sicurezza di un sistema non può essere mai demandata a un prodotto, ma semmai a una procedura.
A mio avviso, i sistemi Mac non erano invulnerabili ieri e a maggior ragione non lo sono oggi, nessun sistema operativo è stato concepito per impedire la diffusione di virus e questo concetto è stato ben spiegato da pionieri della ricerca antivirus del calibro di Frederick Cohen.

Non dimentichiamo che tra i primi antivirus possiamo annoverare programmi dedicati ai vecchi sistemi operativi Mac e che uno dei worm più famosi nella storia informatica è stato scritto per Unix. Oggi, la progressiva standardizzazione delle piattaforme rende maggiormente disponibili architetture e ambienti di lavoro in cui è possibile realizzare virus per Mac OS X. Ciò non rende più vulnerabile il Mac di per sé, ma rispetto a prima semplifica notevolmente il lavoro dei virus-writer.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

48 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Pelino06 Marzo 2006, 17:35 #1
Grazie, ottimo articolo!

Interessante il passaggio finale:
"Non dimentichiamo che tra i primi antivirus possiamo annoverare programmi dedicati ai vecchi sistemi operativi Mac e che uno dei worm più famosi nella storia informatica è stato scritto per Unix. Oggi, la progressiva standardizzazione delle piattaforme rende maggiormente disponibili architetture e ambienti di lavoro in cui è possibile realizzare virus per Mac OS X. Ciò non rende più vulnerabile il Mac di per sé, ma rispetto a prima semplifica notevolmente il lavoro dei virus-writer."

quindi si torna li, una grande diffusione del sistema operativo semplifica il lavoro dei virus-writer.. o meglio, mac os ha pochi virus in misura direttamente proporzionale alla sua diffusione?
Bisont06 Marzo 2006, 17:53 #2
bah spero solo che non ci sia bisogno di installare antivirus....sai che rottura Norton for OSX!!!

Il minore dei mali potrebbe essere un antivirus integrato al sistema prodotto da Apple e di serie su tutti i mac....così almeno l'impatto sulle prestazioni è minore....

ciao!
paulgazza06 Marzo 2006, 18:11 #3
Originariamente inviato da: Bisont
Il minore dei mali potrebbe essere un antivirus integrato al sistema prodotto da Apple e di serie su tutti i mac....così almeno l'impatto sulle prestazioni è minore....


Posso sorridere? è proprio la strategia che Microsoft stava adottando (integrare quanti più possibili servizi nel SO) ed è stata fermata dall'antitrust

A parte le battute, è ovvio che più un sistema diventa diffuso, minore è lo sforzo per "penetrarlo" e maggiore la sua appetibilità... e maggiore il numero di utenti inesperti
leonino_c06 Marzo 2006, 18:16 #4
> o meglio, mac os ha pochi virus in misura
> direttamente proporzionale alla sua diffusione?

Direi proprio di no ! Se non sbaglio Apple ha circa il 4,5% del mercato mondiale dei computer (che per inciso significa *TANTE* macchine). Mi sembra invece che la percentuale di virus/worm/etc. scritti per OSX sia infinitesimale (2 su... boh !).
task-06 Marzo 2006, 18:20 #5
Anche se cambiano architettura semplificando la vita ai virus writer che potranno lavorare su qualcosa che in parte già conoscono, finchè i mac resteranno poco diffusi, poco diffusi saranno anche i virus/worm....
Perchè mettersi ad imparare come bucare un sistema se comunque si possono fare pochi danni a causa ella sua scarsa diffusione?
ReLupo06 Marzo 2006, 18:22 #6
Norton per Os X esiste già, é pesante, troverà sì e no il 70% dei virus disponibili per Windows e di per sé non mi ha fatto una grande impressione. L'ho testato quando ho convertito tutto il mio archivio di mail da Outlook Express per pc a Entourage 2004: Kaspersky ed Avast su pc mi hanno trovato ogni ben di Dio di schifezze, Norton X ha trovato molto poco, sebbene gli allegati fossero gli stessi e la procedura di scansione decisamente simile...
samslaves06 Marzo 2006, 18:24 #7

Mac OS X hacker gains control in 30 min

Prima che venga ripresa questa news spubblicata da ZDNet Australia, voglio MOLTO ANTICIPATAMENTE precisare che:

L'hacker "gwerdna", che guarda caso letto al contrario e' "andrewg" quindi non molto sveglio a mio avviso, aveva accesso via SSH al Mac in questione ad un suo account locale. Quindi, sapendo che cmq in ogni caso ci sono essere vulnerabilita' interne anche non rese note, spero che questa FALSA news non venga ripresa con gli stessi toni della stampa estera, dimostrando che almeno in Italia ci sono alcuni giornalisti dell'IT che conoscono il loro mestiere.
Sfruttare una vulnerabilita' interna partendo da un proprio account e' infatti cosa ben diversa dal: trovarti in internet, passare attraverso il firewall del router, passare attraverso il firewall software ben configurato, abilitare l'utente root o avere accesso alla sua pwd.
becool06 Marzo 2006, 18:34 #8

Più informazione

Meno si parla dei virus per Mac, più l'utilizzatore medio di Apple crederà di vivere in un'oasi magica al riparo da virus e schifezze varie. Più volerà alto nella sua illusione di invulnerabilità, maggiore sarà il tonfo che farà quando si accorgerà di avere il sistema infetto! :-)

b.Cool
Klontz06 Marzo 2006, 19:01 #9

passaggio chiave

Bella intervista

Avrei preferito che l'intervistatore avesse approfondito il concetto di questo passaggio :
La sicurezza di un sistema non può essere mai demandata a un prodotto, ma semmai a una procedura.


bye
Mighty8306 Marzo 2006, 20:32 #10
A mio avviso, i sistemi Mac non erano invulnerabili ieri e a maggior ragione non lo sono oggi, nessun sistema operativo è stato concepito per impedire la diffusione di virus e questo concetto è stato ben spiegato da pionieri della ricerca antivirus del calibro di Frederick Cohen.


E con questo penso che abbia voluto portar a termine ogni possibile guerra di religione!

Concordo pienamente! (Per il resto mi unisco agli altri nel far i complimenti per l'articolo )

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^