Un ricercatore del Politecnico di Milano, Vincenzo Iozzo, sta facendo parlare di sé per la sua recente scoperta relativa alla sicurezza di Mac OS X, che permetterebbe ai malintenzionati di infettare il vostro Mac con maggiore facilità e, soprattutto, permettendogli di non lasciare tracce sul vostro sistema.
La procedura, in dettaglio, verrà svelata il prossimo mese alla Black Hat Security Conference, a Washington, ma Iozzo ha già rilasciato qualche informazione sul funzionamento della sua tecnica. Vediamo in dettaglio come i malintenzionati potrebbero farsi gioco di Mac OS X.
Iozzo come Solid Snake?
Mi si perdoni il titolo un po’ ironico, ma non ho saputo resistere. In realtà è un’analogia azzeccata, in quanto la procedura di Iozzo, fondamentalmente, aiuta l’esecuzione di codice malevolo nei Mac, permettendogli di inserirsi nella RAM e avviare software automaticamente all’insaputa dell’utente, senza lasciare tracce evidenti né sull’hard disk né nella memoria (senza farsi notare, un po’ come Solid Snake, appunto). Quindi non siamo di fronte a una nuova falla di Mac OS X, ma semplicemente di fronte a un modo nuovo di sfruttare vulnerabilità già esistenti in software come iTunes o Safari (tecniche di questo tipo sono già utilizzate da tempo su sistemi Windows e Linux, e sono conosciute come tecniche stealth).
Tramite la scrittura di codice binario all’interno di un’applicazione, il sistema non deve avviare un nuovo processo e, tanto meno, non deve far ricorso al disco fisso; in questo modo sarà davvero difficile capire, con i moderni sistemi d’analisi, che la macchina è stata attaccata, mentre prima il codice malevolo lasciava sempre qualche traccia sul disco fisso, nonostante il malware stesso cercasse di cancellare le prove del suo passaggio.
Aggirando il formato eseguibile del Mac, ovvero “Mach-O”, Iozzo è riuscito a limitare il modo in cui Mac OS X dispone il codice in memoria, ed è riuscito nel tentativo di scrivere codice binario nelle zone appartenenti al kernel del sistema. In più, bypassando il layer di randomizzazione (che serve a contrastare questo tipo di attacchi) il ricercatore italiano ha trovato il modo di individuare le directory di altre librerie indispensabili affinché l’attacco funzioni.
Charles Miller, un altro ricercatore che ha già messo le mani sul lavoro di Iozzo, ha affermato che tale tecnica può essere utilizzata anche per installare applicazioni sull’iPhone e che si tratta di un procedimento molto facile da eseguire.
Rimane da ribadire che il metodo di Iozzo sfrutta vulnerabilità di programmi di OS X già note e che, quindi, la prevenzione migliore per noi utenti è quella di mantenere il sistema sempre aggiornato: senza l’avvio di applicazioni vulnerabili, l’attacco di Iozzo non può essere efficace. La tecnica, però, non assicura attacchi non rintracciabili al 100%: gli investigatori possono sempre scaricare la memoria virtuale e ispezionarla, o individuare l’attacco attraverso dei sistemi appositi che monitorano la rete.
Giudicare con queste poche informazioni alla mano è piuttosto difficile; prima del prossimo mese non possiamo essere certi dell’attendibilità della minaccia. Per adesso continuiamo a dormire sonni tranquilli e, magari, ci risveglieremo sicuri che nessuno Solid Snake riuscirà mai a minacciare i nostri sistemi Mac.
[Via|TheRegister]
lupoalberto12 21/01/2009 il 18:43
“senza l’avvio di applicazioni vulnerabili, l’attacco di Iozzo non può essere efficace”
Quindi l’utente deve comunque dare una piccola “spinta”, non è che domani si sveglia Iozzo e attacca una Mac qualsiasi!
Ciao!
! :) !
glacio 21/01/2009 il 21:52
@ lupoalberto12:
Bè dipende quali applicazioni
se fossero applicazioni di ilife o safari e itunes non sarebbe poi così difficile per solid iozzo entrare in un osx
Gabriele Contilli 21/01/2009 il 22:10
@ lupoalberto12:
Come specificato nell’articolo, il metodo di Iozzo sfrutta comunque delle vulnerabilità di applicazioni come Safari o iTunes; solo se queste sono in esecuzione, è possibile per un codice malevolo arrecare danni ai nostri Mac. Considerando che queste app sono praticamente sempre in esecuzione, è potenzialmente vero che Iozzo può aggirare i nostri sistemi praticamente sempre :)
@ glacio:
Già, ricordiamoci sempre però che finché non vediamo qualcosa di ufficiale riconosciuto da Apple, ognuno può “inventarsi” delle falle di OS X solo per fare notizia. Questo non significa che Iozzo si sia inventato tutto, anzi, solo che dobbiamo sempre concederci il beneficio del dubbio.
Roger 22/01/2009 il 00:23
Sono un po scettico, non dico che os x sia inattacabile, ma dico che preventivamente è già abbastanza protetto, certo che Apple deve essere molto attenta a non diventare bersagli di attachi di hacher solo per fare notizia!
lupoalberto12 22/01/2009 il 17:23
Capito!
Grazie!
Ciao!
! :) !
Gabriele Contilli 22/01/2009 il 17:42
@ lupoalberto12:
Di nulla :)
laddantel 22/01/2009 il 17:52
in pratica Apple deve solo aggiornare questi programmi e iozzo nn riuscirà più ad intrufolarsi in un mac. giusto?
Gabriele Contilli 22/01/2009 il 18:06
@ laddantel:
In pratica sì, ma non penso sia così semplice. Il metodo migliore è sempre quello di tenere il Mac aggiornato, così da avere le varie applicazioni sempre “controllate”, anche se – come ovvio – non è certo che un update risolva tutte le vulnerabilità critiche o, peggio, c’è il rischio che ne crei di nuove.
Ribadisco quanto detto sopra: dobbiamo attendere ancora un po’ per avere delle notizie più precise. Per adesso è impossibile fare troppe supposizioni. La regola degli aggiornamenti vale sempre, “Solid Iozzo” a parte.
spider 22/01/2009 il 20:19
Le uniche parti decenti dell’articolo sono quelle quasi tradotte letteralmente da The Register. Il resto, i commenti, l’ironia, le conclusioni, sembrano scritte da qualcuno che di questi argomenti mastica proprio poco.
Non voglio essere offensivo, però un conto è spettegolare sul presunto nuovo mac mini o mactablet, un conto è parlare di sicurezza.
Come si può dire di non essere certi dell’attendibilità della minaccia? Bisognerebbe almeno aver capito quale è la minaccia.
A quel che si legge in giro (non solo su The Register), Vincenzo Iozzo ha trovato un sistema per iniettare in un processo qualcosa di molto simile a un intero eseguibile. Non è un “nuovo problema di sicurezza”, ma un nuovo metodo per sfruttare i problemi dei vari processi.
E’ una tecnica che esiste già su altri sistemi operativi.
Tralascio il resto e chiudo con solo due ultime considerazioni:
1) capisco (no, non lo capisco nemmeno se sei azionista, ma vabbè) l’intenzione di difendere Apple a tutti i costi, ma “Solid Iozzo” è proprio una scemenza che si poteva risparmiare. Ma li leggete i CV delle persone di cui parlate? Basta Google, eh. Poi è pure italiano, e studia a Milano, che ci voleva a fargli una telefonata, semmai?
2) In un commento l’autore afferma “ricordiamoci sempre però che finché non vediamo qualcosa di ufficiale riconosciuto da Apple, ognuno può “inventarsi” delle falle di OS X solo per fare notizia”. Questa è una delle più grosse fesserie che ho letto di recente. Se stessimo ad aspettare che le case madri riconoscano ufficialmente i bug per ritenerli tali staremmo freschi. Non è così che funziona.
(stranamente dall’altra parte per una volta hanno fatto un lavoro migliore del vostro)
Gabriele Contilli 22/01/2009 il 23:26
@ spider:
Mi dispiace aver ricevuto una risposta del genere. Sinceramente per quanto riguarda l’articolo, l’ironia ecc.. beh ognuno ha i suoi gusti e non a tutti può piacere lo stile adottato per parlare di una notizia piuttosto che di un’altra.
Il gioco con Solid Snake a qualcuno è piaciuto, ad altri no: il mio intento era solo quello di sdrammatizzare (e mi pare di aver spiegato bene che non volevo offendere nessuno).
Poi, vediamo di andare con ordine: non si può essere certi dell’attendibilità di una minaccia perché dire (o leggere) solo che un tizio ha trovato un modo per… non è di per sé attendibile. Come anche dici tu, “da quel che si legge in giro”. Ora vogliamo montare un caso sulla veridicità di un’ipotesi del genere? E poi, sottolinei, non si parla di un nuovo problema di sicurezza, ma di un metodo nuovo. Bene. Nell’articolo è ripetuto varie volte che non è un nuovo problema di sicurezza. Quindi? Cosa c’è che non va?
E poi Solid Iozzo… è un nomignolo simpatico; zio Bill, zio Steve, perché non Solid Iozzo? Alla fine potrebbe anche piacergli. Ripeto, non a tutti può piacere, ma almeno allenta la tensione su un articolo che sarebbe risultato fin troppo serio.
In più, nel mio commento, ho detto che sì, bisognerà aspettare qualcosa di ufficiale da parte di Apple prima di gridare all’instabilità o alle vulnerabilità di OS X, ma non intendevo certo una letterina con su scritto “Sì, Iozzo ha capito tutto, ora siamo nei casini”. Intendevo Security Update e bug fixes: se domani troveremo tra gli agg. software qualcosa che è ricollegabile alla minaccia avanzata da Iozzo, allora sapremo che era attendibile e che Apple è corsa ai ripari.
Altrimenti cosa vuoi fare? Spegnere il Mac e pregare che nessuno riesca a trovare un modo per entrare nel tuo sistema?
Rifletti solo su questo: non cediamo a facili allarmismi solo sulla base di ciò che si legge in giro. Ci sono sicuramente dei problemi che tutti noi utenti Mac dovremo affrontare se la teoria di Iozzo si rivelasse corretta ma, per adesso, per quanto ne sappiamo tutti noi non è possibile essere certi di niente.
Quando Iozzo esporrà il suo metodo, avremo modo di sapere la gravità della situazione.
Grazie del tuo punto di vista, comunque.
Gabriele Contilli 22/01/2009 il 23:29
spider dice:
A chi ti riferisci? Ai nostri colleghi di Google Translate?