La password di sistema di Mac OS X si può recuperare dalla RAM?

Secondo quanto riportato da Ars Technica in un recente post, la password di un account di Mac OS X può essere recuperata dalla RAM, poiché alcune applicazioni di Mac OS X lasciano la password in memoria dopo che viene effettuato il log-in. Non allarmatevi: l’exploit non è assolutamente attuabile a livello software, perché OS X impedisce a qualsiasi applicazione di leggere la memoria allocata da un altro programma. Un malintenzionato che volesse impossessarsi della password deve accedere fisicamente alla memoria del computer per estrarla e trovare il modo di leggerne il contenuto prima che i dati vengano cancellati. Qui viene il bello: per riuscire a congelare i dati presenti in memoria e impedire che essi vengano rimossi entro breve uno dei metodi possibili consiste nel raffreddare letteralmente la RAM poco dopo lo spegnimento del computer. In questo modo lo scassinatore digitale avrebbe il tempo di inserirla in un altro computer al fine di leggerne il contenuto senza restrizioni e recuperare la vostra password.

Siamo abituati a sentirci dire dai produttori di antivirus che anche i nostri amati Mac non sono del tutto sicuri. Di solito però per installare un qualsiasi malware su di un Mac sono necessari svariati passaggi volontari da parte dell’utente, con tanto di richiesta di inserimento della password. Tanto vale dare il portafoglio in custodia al primo ceffo che incontrate per la strada. In questo caso il ceffo vi deve pure entrare in casa, nascondersi sotto la scrivania aspettare che spegniate il Mac per poi estrarre fulmineamente la RAM, congelarla con la bomboletta di azoto liquido che ha sempre con sé e correre ad inserirla nel suo computer. Il tutto per rubarvi semplicemente la password locale di sistema.

Scherzi a parte, bisogna precisare che la vulnerabilità può essere sfruttata anche in metodi meno acconci ad una spia internazionale. Collegando al computer da scassinare un iPod firewire che monta uno specifico programma per la lettura della RAM, è possibile catturare il contenuto della memoria ad accesso casuale dopo il reboot. Un altro metodo consiste nel forzare il Mac sotto attacco ad effettuare il boot remoto da un altra unità di rete dalla quale un programma appositamente creato può registrare il contenuto della RAM. Entrambi i metodi presuppongono comunque la possibilità di accedere fisicamente al computer di cui si vuole scoprire la password, limitando di fatto la reale portata del problema all’ambito aziendale, o sarebbe meglio dire allo spionaggio industriale. Sembra che a nessuno sia venuto in mente che se un malintenzionato ha accesso ad un computer che contiene informazioni importanti, molto probabilmente quel computer può tranquillamente rubarlo. Come dire: non scassinare la porta che puoi abbattere a calci. Impostare un password firmware che venga richiesta ad ogni avvio (o riavvio) è comunque sufficiente per risolvere il problema alla radice.

Lo scopritore della vulnerabilità (un programmatore di San Francisco che, nomen omen, si chiama Jacob Appelbaum) dice di aver fatto presente il problema ad Apple il 5 febbraio. Apple tuttavia nel Security Update dell’11 febbraio non ha tappato la falla (se così si può chiamare) ma ha dichiarato che provvederà ad eliminare la vulnerabilità con il prossimo pacchetto di aggiornamenti sulla sicurezza. Nel frattempo, è consigliabile aspettare un paio di minuti prima di allontanarsi dal Mac dopo lo spegnimento e impostare la cifratura dei file di swap. Non scordatevi inoltre di chiudere porte e finestre quando uscite di casa e premuratevi di staccare gas e quadro elettrico prima di andare a dormire. Se il cuscino vi sembrerà scomodo sarà probabilmente colpa del revolver che vi tenete nascosto sotto.