Il momento che tutti temevamo è giunto: è stato individuato il primo virus per Mac OS X Leopard. Stavolta non si tratta del solito trojan o di un malware di scarsa importanza. La notizia ha già fatto il giro del Mac Web e non ci vorrà molto perché anche i media mainstream facciano la loro parte e la diffondano ulteriormente. Il worm in questione, denominato OSX32.peix.14.es mette in serio pericolo le reti che fanno capo ad un server Linux e a cui sia connesso almeno un computer Apple.
E’ allarme rosso nella stragrande maggioranza delle università americane, mentre si vocifera che a Cupertino si stiano preparando per un annuncio ufficiale alla stampa da parte di uno dei massimi dirigenti (Tim Cook o Phil Schiller) per mettere un freno allo tsunami mediatico che investirà Apple nelle prossime ore. Dopo il salto ulteriori dettagli tecnici su OSX32.peix.14.es e un piccolo trucco (ma è solo un palliativo) per difendere il proprio Mac.
Il worm è stato scoperto da una divisione dipartimento di Computer Science dell’Università di Stanford, i cui tecnici hanno dovuto letteralmente spegnere una delle sotto-reti interne che non rispondeva più ai comandi. Il worm OSX32.Peix.14.es sfrutta due vulnerabilità congiunte: da una parte riesce a dirottare e mascherare alcune chiamate al server da parte di un Core Service buggato di Mac OS X, dall’altra è in grado di abilitare alcuni servizi remoti grazie ad una nota falla di UNIX mai del tutto riparata (perché considerata unanimemente innocua) che il kernel di Linux ha adottato in tempi non sospetti, ovvero ancor prima che alla Apple qualcuno pensasse anche solo lontanamente a sviluppare Mac OS X.
Le due falle di sicurezza, se prese singolarmente, non rappresentano in alcun modo un problema. E’ l’unione di queste due debolezze che apre la porta al worm. Nello specifico il worm OSX32.peix.14.es riesce ad intrufolarsi sul server, dove viene riconosciuto come super user, e apre un “accesso esterno” alla macchina attraverso il quale i cracker possono entrare e far danni. Nel frattempo scandaglia la rete in cerca di altri server potenzialmente attaccabili e si autoreplica.
Il cracking di Stanford
E’ proprio quello che è successo a Stanford. In quel caso i cracker, prima di compromettere definitivamente il sistema, sarebbero riusciti a venire in possesso di una serie di password di root per l’accesso ad altri sottosistemi dell’Università, compresi quelli in cui sono ospitati i database contenenti i dati sensibili degli studenti. Il worm, con ogni probabilità, si è diffuso su altri sistemi universitari collegati in maniera privilegiata al server infetto collocato a Stanford.
Andarsela a cercare: l’ingresso del William Gates Building di Stanford, sede del dipartimento di Computer Science
Sebbene il caso di Stanford al momento sia l’unico dichiarato ufficialmente si suppone che nelle prossime ore l’infezione si diffonderà a macchia di Leopardo (è proprio il caso di dirlo) in tutti gli Stati Uniti ed anche all’estero. I tecnici di altre università, fra cui quelli del dipartimento di Informatica di San Paolo del Brasile, hanno fatto sapere che alcuni attacchi avvenuti nei giorni scorsi potrebbero essere opera di questo worm, anche se di primo acchito le cause sembravano essere altre.
Charlie Miller, il noto esperto di sicurezza che ha scoperto la falla di Safari di cui ha dato dimostrazione durante l’ultimo Pwn2Own Contest, interpellato da C|Net sulla questione ha spiegato, richiamando una nota leggenda urbana cara alla cultura underground:
“Succo d’arancio, Benzina e polistirolo, da soli sono relativamente innocui. La benzina, da sola, è pericolosa perché può prendere fuoco ma serve per far andare le auto, il succo d’arancio, se lo strofini negli occhi te li farà bruciare ma è buono da bere e fa bene, il polistirolo inquina ma è ottimo per imballare i pacchi. Dicono che mescolandoli insieme nelle giuste proporzioni, però, si ottiene un composto del tutto simile al napalm. Nessuno di coloro che bevono succo d’arancia, fanno rifornimento o imballano pacchi aveva mai pensato a una cosa del genere.
Questo worm funziona allo stesso modo anche se solo con due ingredienti. Le due falle sfruttate sono note da anni a chi abbia un minimo di conoscenza dei sistemi Unix Like e fanno parte di strutture comunemente usate dai sistemisti e dai tecnici. A nessuno era mai venuto in mente di unirle e creare questa sorta di Napalm digitale.”
Una soluzione parziale
E’ finita l’era dei Mac sicuri? Beh non proprio, ma sappiate che il worm, oltre a viaggiare da server a server si annida silenzioso anche sui Mac in attesa che prima o poi vi colleghiate ad una LAN fallata per attivarsi e innescare l’infezione.
Una soluzione, seppur solo parziale, per proteggervi da OSX32.peix.14.es esiste ed è la seguente:
Aprite il terminale e digitate cd /Users/NOMEVOSTROUTENTE/Desktop sostituendo a NOMEVOSTROUTENTE il vostro nome utente (lo leggete prima del simbolo dollaro nel terminale).
Ora inserite il codice touch OSX32.peix.14.es.txt e aprite il file di testo che comparirà sulla vostra Scrivania. se il file è completamente vuoto significa che siete infetti. In questo caso tornate sul terminale e digitate il comando date e riflettete per un secondo sulla stringa che vi viene restituita a schermo, nel caso non l’aveste ancora capito.
iale89 01/04/2009 il 10:08
ma è un pesce d’aprile? nfami…
Stivy 01/04/2009 il 10:11
pescione d’aprile :-)
Vittorio 01/04/2009 il 10:12
Ma proprio, potevo anche pensarci prima, eh!
Baaaah!!! :D
Utente F5 01/04/2009 il 10:17
La notizia puzzava di Pesce d’aprile…ma siete riusciti cmq a farmi aprire il terminale e fare ciò che volevate…complimenti per lo scherzo
Gio.Kernel 01/04/2009 il 10:22
Noooooooooo!!!
Data storica!! Ma che giorno è oggi?! Ah già, il PRIMO DI APRILE!!!
AHAHAHA!!
NICOPAN 01/04/2009 il 10:25
OSX32???? Hahahahah ne avete messeo di tepo per inventare questa buffonata xD
Francesco 01/04/2009 il 10:26
Che giorno è oggi? Ah sì…è mercoledì…
ipodgrey 01/04/2009 il 10:32
ah ah ah ke risate! Non riuscivo a crederci!! bel pesce d’aprile!!
Marcello 01/04/2009 il 10:37
peix14… :D
Ma es per cosa stava?
Davide 01/04/2009 il 10:40
Ganza! Anche se si capisce subito… PEix 1-4…
Marcello 01/04/2009 il 10:41
Se poi Cook o Schiller dovessero convocare una conferenza stampa per annunciare la caduta di OSX, una volta terminata la stessa direbbero… “Sorry sirs, there’s one more thing…” :D
TizioIncognito 01/04/2009 il 10:42
A proposito di pesci di Aprile, una notizia che lo sembra, ma è vera, sembra che “Ubuntu sia stata abbandonata da Mark Shuttleworth il suo fondatore e principale finanziatore”
http://guidemondopc.blogspot.com/2009/04/ubuntu-abbandonata-da-mark-shuttleworth.html
Nick 01/04/2009 il 10:43
complimenti…bell’iniziativa…speriamo solo che questa storia(seria credo) di conficker che sta girando su win sia veramente un pesce d’aprile…in ogni caso la nostra uni è veramente sotto attacco…da ieri…..:-/ e non c’entrano assolutamente i sistemi *nix…tutta colpa di un windowsaccio…
MatteoMS 01/04/2009 il 10:45
Sei un Grande! Splendido..
Ernesto 01/04/2009 il 10:45
Ahahahah, il pesce d’aprile mi coglie sempre impreparato!!!!
gominator 01/04/2009 il 10:54
stavo girando di sito in sito x gustarmi i pesci d’aprile… ma quando ho visto la foto del del “gates” con sotto scritto “andarsela a cercare”… azz mi è venuto un brivido… entro da quella porta tutte le mattine col mio macbook in spalla!
Camillo Miller 01/04/2009 il 11:02
@ gominator:
PHD a Stanford? :)
gominator 01/04/2009 il 11:11
@ Camillo Miller:
research fellow. :)
Stefano 01/04/2009 il 11:17
Maledetti…non ho aperto il terminale solo grazie ai commenti!!! Cascato in pieno…
Sander 01/04/2009 il 11:26
ahah mi ero proprio scordato che era il primo aprile, l’ho capito solo quando avete usato alla fine il comando touch e ho pensato: ma che dicono sti qua?! è ovvio che con quel comando il file è vuoto :/
bravi bravi, fatto davvero bene :D
Gilberto 01/04/2009 il 11:27
Bella, Camillo …. me sono letto tutto con po’ di preoccupazione per poi arrivare a “…digitate il comando date e riflettete per un secondo sulla stringa…”
Matteo 01/04/2009 il 11:34
Cascatissimo…Come Stefano non ho aperto terminale solo per i commenti… Siete maligni…:-)
Tiziano Dal Betto 01/04/2009 il 11:52
Ragazzi, se vi può consolare ci sono cascato per primo, direttamente ieri in serata. Quando ho visto il titolo dell’articolo tra le bozze ho pensato di dare un’occhiata. Addio tranquillità, mi sono detto. Mi sono poi chiesto a cosa servisse usare il touch… ho creduto che il virus in qualche modo utilizzasse quel file… poi quando ho usato il comando date e mi ha restituito la stringa “Mar 31 Mar 2009…” sono rimasto un po’ perplesso. Roba da matti, abboccare ad un pesce d’aprile il 31 marzo… :-)
Bleah 01/04/2009 il 11:54
banale
Gabriele Contilli 01/04/2009 il 12:33
Bon ci sono cascato pure io… però ho pensato: “Per fortuna ho Tiger e qui si fa cenno solo a Leopard”… e bravo Camillo, avvisare almeno noi della redazione no eh???
ahahha XD
riccardo 01/04/2009 il 12:55
Prrrrrrrrrrrrrrrr!!!!!!!!
:)
morpe 01/04/2009 il 12:57
auhahuahuahuhuaauhauhauhauha!!
io lo sospettavo!!!
mitici!!!
XD
Emanuele 01/04/2009 il 12:57
Appena ho letto “touch” come comando nel terminale, mi son messo a ridere!
Troppo semplice così! :-P
Ciao,
Emanuele
marcossss 01/04/2009 il 13:15
charlie miller????????????????????????????????????
stradamax 01/04/2009 il 13:28
Il primo virus per MAC? …preeeeeeso!!!!
Vi stimo fratelli!!!!
:D
Vittorio 01/04/2009 il 13:55
Fotunatamente ho letto l’articolo con il mio Iphone…Mi era venuto un coccolone!!!Poi ho letto i commenti e mi sono fatto una grossa risata!! Sono passato al MAC grazie al mio amico ELIO che,bastardo,mi ha mandato in email l’articolo incrominato.Un attentato al mio cuoricino.Mo mi sente!!!Ci sono cascato in pieno,anche se, leggendo la questione del polistirolo, avevo iniziato a sospettare qualche cosa,però ero già pronto a comprare un antivirus.Decenni di uso dio windows influenzano i comportamenti di un individuò nn ancora disintossicato!!eh!eh!
laddantel 01/04/2009 il 14:01
@ Tiziano Dal Betto:
questa è grossa :P
Leonardo 01/04/2009 il 14:06
Per un attimo ci stavo cascando anche io…. MI AVETE FATTO APRIRE IL TERMINALE……!!!! Bravi ragazzi!
P.s: qualcuno mi può indicare un sito che insegni ad usare il terminale?? Grazie tante!
Leonardo!
Genesis XYZ 01/04/2009 il 14:10
ma che figata sto post XD ahahahah micidiale… grandissimi
Camillo Miller 01/04/2009 il 14:10
@ Leonardo:
Ti consiglio di andare alla radice di tutto, e leggerti questi appunti sui sistemi UNIX e sui comandi Unix, che stanno alla base anche di Mac OS X ;)
http://a2.pluto.it/a229.htm#almltitle128
Così magari poi ti leggi anche altri aspetti dedicati a Linux e all’Open Source, che fa sempre bene ;)
Leonardo 01/04/2009 il 14:11
Grazie mille per l’immediata risposta Camillo!!
Leonardo 01/04/2009 il 14:14
Ah, solo una domanda: il fatto che tu mi abbia dato il sito a partire dal capitolo 22esimo lo hai fatto apposta?
Camillo Miller 01/04/2009 il 14:17
Yes, ti ho mandato direttamente ai comandi Unix. (capitolo 20)
Però un minimo di background non fa mai male, ti consiglio di leggere con calma tutto quanto, è una lettura davvero interessante :)
Leonardo 01/04/2009 il 14:21
Ok, grazie mille!! Se avrò ancora bisogno potrò sempre contare su di te vero? (la tua mail?? Le mia…beh la sai già!!)
Scarpa 01/04/2009 il 14:33
Meraviglioso! Ovviamente l’avevo capito che era un pesce d’Aprile ma è il migliore tra quelli di oggi. Geniale l’utilizzo del terminale (ammesso che uno non conosca cosa sta facendo, come me…)
Edoardo 01/04/2009 il 14:47
Meraviglioso…ci sono cascato come una pera cotta!! :D Camillo sei un grande, come sempre!!
permissiondenied 01/04/2009 il 14:51
oddio l’ho capita solo quando ho scritto date e mi è comparso: 1 aprile!!! xD
andrea 01/04/2009 il 14:59
Nooooo! Sei il numero troppo il numero 1!!!
Notizia costruita da un genio! :)
momo 01/04/2009 il 15:05
fantastico, cascato in pieno
BadaIlSedici 01/04/2009 il 15:39
Uhmm… Peax sa troppo di pesce…!!! Bello scherzo, per un attimo ho sudato freddo pensando a come avrei dovuto fare a sopportare gli scherni dei colleghi non mac user! :)
Roger 01/04/2009 il 16:33
Cavolo!me ne sono andato in paranoia! per la sfretta non ho letto i commenti! che str…cmq bellissima!chissa gli amici winzozziani oggi come saranno sati tempestati di scherzetti….ma sfortuna loro…sono veri e dannosi!
Pablo Moroe 01/04/2009 il 16:45
Cagotto d’altri tempi! :D
Complimenti!
Jnk94 01/04/2009 il 20:27
Uuuuuuuhhhhhhm………d a t e: mer 1 apr 2009…..Ma cosa c’entr…D’OH, che pir*a XD
Mi sembrava un po’ troppo apocalittico questo articolo :D
Comunque complimenti, è davvero realistico, soprattutto il riferimento ad una falla di UNIX vecchia e conosciuta.
Ma il premio nobel alla genialità va assolutamente alla citazione di Charlie Miller: se l’hai creata tu sei veramente un genio hehe
felice 01/04/2009 il 21:03
Noooooooooooooo…..cazzari!!!
Luca 01/04/2009 il 21:26
complimenti! uno degli scherzi più belli! molto pensato e curato eheh
asderrimo 01/04/2009 il 22:08
NOOOOO ANCHE VOI SIETE INFETTI!!!! da stronzaggine acuta.. per un attimo ho preso un colpo poi la data la da cmq
massimiliano 01/04/2009 il 22:41
che paura ma andate a ca…ga…re
grande Camillo
Alessandro 01/04/2009 il 22:45
Cascato come un pollo!
Vediamo l’anno prossimo cosa vi inventate…
davideb 01/04/2009 il 22:55
madoooooo….ci sono troppo cascato come un deficente XD
luca 30/09/2009 il 11:51
ci sn cascato.. lo ammetto… oggi 30 settembre non ho fatto caso alla data di questo post.. complimenti x lo scherzo.. (ho passato una giornata pensando che avevo un virus sul mac.. bravi =)) )