OS X Lion: è Re anche per la sicurezza

di Luca Iannario 18

Con il successo di Lion, scaricato un milione di volte in appena 24 ore dal lancio sul Mac App Store, Apple si appresta a definire un nuovo punto di riferimento per la sicurezza dei sistemi operativi. E’ quello che sostengono due importanti ricercatori nel settore dell’information security, Charlie Miller e Dino Dai Zovi.

Lion, infatti, rappresenta un grande passo avanti rispetto a Snow Leopard dal punto di vista della protezione nei confronti di exploit e malware realizzati ad-hoc per mettere in pericolo la sicurezza e la riservatezza delle informazioni contenute all’interno dei nostri Mac. La novità principale riguarda senza dubbio il rinnovato ASLR, acronimo di Address Space Layout Randomization, il sistema di protezione che permette di cambiare periodicamente (e in maniera pseudo-casuale) gli indirizzi di memoria in cui sono allocati il codice e i componenti principali del sistema operativo in esecuzione.

In questo modo vengono neutralizzati (o comunque resi più difficili da realizzare) la maggior parte degli attacchi basati sulla tecnica del buffer overflow e del return address. Sebbene la protezione fosse già presente in Snow Leopard non era così efficace poiché non era in grado di intervenire sui componenti core (come heap, stack e dynamic linker), risultando di fatto inutile nei confronti di molte classi di attacchi.

Charlie Miller dice di essere soddisfatto del passo compiuto da Apple rispetto a Snow Leopard; “Quando passarono da Leopard a Snow Leopard, per quanto mi riguarda, non ci fu un reale cambiamento. Potrebbero anche aver detto che fosse più sicuro e che fosse migliore, ma a basso livello non c’era così tanta differenza. Adesso, hanno compiuto grandi cambiamenti e gli exploit saranno più difficili da realizzare”.

E anche se l’ASLR dovesse essere raggirato, gli attaccanti dovranno fare i conti con altri sistemi di sicurezza, come il nuovo modello Sandbox di Safari e il nuovo FileVault. Il primo prevede l’esecuzione del browser in due processi indipendenti, uno dedicato alla gestione dell’interfaccia grafica e degli input utente, l’altro al parsing dei contenuti ricevuti dai server Web (HTML, JavaScript, immagini ecc.). Quest’ultimo, chiamato Safari Web Content, è stato progettato in modo da non aver accesso a contenuti sensibili dell’utente. Come sottolinea Miller, infatti, “Ora, anche se finisci in questo processo ristretto che si occupa solo del parsing non puoi più fare quelle cose che vorresti da attaccante, come scrivere file o leggere i documenti dell’utente. Anche se riesci ad ottenere l’esecuzione del codice, non hai più accesso a briglie sciolte e fare ciò che vuoi. Puoi fare solo quello che la sandbox ti permette di fare”.

Per quanto riguarda FileVault, invece, la novità sta nella cifratura a basso livello direttamente sui blocchi dell’hard disk e non a livello di file, che è una semplice astrazione offerta dal sistema operativo. La cifratura a più basso livello garantisce un livello maggiore di trasparenza rispetto alle funzionalità del sistema operativo, prima fra tutte Time Machine.

[via]