Mac OS X, il sistema operativo dell’azienda di Cupertino, ha la fama di essere piuttosto sicuro, esente da attacchi, al riparo da virus e crackers. Ma volendo guardare ai fatti, la realtà assume sempre lo stesso colore? Lungi da me voler fare un’analisi onnicomprensiva della sicurezza informatica in ambiente Mac OS: intendo piuttosto sfruttare alcuni eventi recenti che lo riguardano per fare qualche breve riflessione.
Iniziamo col trojan nascosto in alcune copie della suite iWork distribuite illegalmente su Internet. Metodo di infezione non nuovo, avevamo già assistito a escamotage simili con trojan nascosti in finti codec video distribuiti da siti erotici.
In entrambi i casi per l’installazione dell’agente malevolo è richiesta la password di amministratore, si sfrutta quindi soprattutto l’anello da sempre più debole della catena nella sicurezza informatica: l’utente. Non viene sfruttata nessuna debolezza del sistema.
L’innovazione del trojan in iWork sta soprattutto nel rendere il proprio sistema un classico computer zombie, come uno di quei milioni già presenti ma basati su Windows. Pochi giorni dopo iWork è toccato a Photoshop CS4 per Mac ad essere portatore di un altro trojan, in particolare ad una presunta crack per il famoso software di foto editing di casa Adobe.
Praticamente in contemporanea è stata segnalata la diffusione di presunti prodotti anti-malware per Mac che nascondevano invece dei malware loro stessi. Nulla di nuovo in ambiente Windows. Il fenomeno è quindi evidentemente in crescita, e non potrebbe essere altrimenti considerando che è anche in crescita la comunità di utenti Mac (probabilmente anche tra i virus writer stessi).
Abbiamo detto che questi trojan non sfruttano falle nel sistema, ma allora da questo punto di vista Mac OS X si può considerare sicuro? Non troppo. Il Month of Kernel Bugs di fine 2006 e il Month of Apple Bugs di inizio 2007 hanno avuto il merito di evidenziare come non siano poche le vulnerabilità che affliggono il sistema operativo e i software di contorno.
Si tratta soprattutto di vulnerabilità sfruttabili localmente ma non mancano anche quelle da remoto, anche se il kernel Windows sembra ancora primeggiare da questo punto di vista (si vedano i bollettini di sicurezza MS08-067 e MS09-001).
Quelle locali tuttavia non sono da sottovalutare visto che permettono ad un utente con bassi privilegi di eseguire comandi come utente root. Una piuttosto interessante e semplice da sfruttare è stata scoperta l’estate passata e affliggeva l’applicazione ARDAgent. E, novità per il mondo Apple, il trojan che sfrutta questa falla non si è fatto attendere. I malware del prossimi mesi potrebbero diventare ancora più sofisticati e richiedere sempre meno interazione da parte degli utenti.
Un problema di non poco conto sarà la scarsa propensione degli utenti Mac ad aver a che fare con virus e simili, ciò li rende scarsamente prudenti durante l’installazione di programmi di dubbia provenienza.
Vero tallone d’Achille dei software Apple è QuickTime (per Windows e Mac). Negli ultimi anni sono state sfornate letteralmente decine di vulnerabilità (e un po’ meno di exploit per sfruttarle) per questo media player, rendendolo uno dei software mainstream più insicuri della storia recente: pronto a competere con i Sendmail e Internet Explorer dei tempi d’oro (ma d’altro canto ora siamo più bravi a scovare le falle nei software).
Di recente è stata rilasciata la versione 7.6 che, neanche a farlo apposta, ha stuccato sette gravi vulnerabilità sfruttabili da remoto. A proposito di QuickTime è anche interessante notare come la Apple, al rilascio di Mac OS X 10.5 Leopard, avesse fatto sfoggio dell’introduzione dell’ASLR come meccanismo di protezione della memoria dei processi dall’esecuzione di codice arbitrario.
Peccato che su Leopard l’implementazione sia alquanto blanda e riguardi solo le librerie e non tutto l’address space di un processo (il che rendere l’ASLR quasi inutile), mentre su Windows Vista il flag per il supporto di tale protezione (presente anche in questo sistema operativo) sia stato disabilitato per mesi, per migliorare solo verso la metà dell’anno scorso.
Tutto questo collima col fatto che la Apple non risulta adotti precise metodologie di security testing durante lo sviluppo dei propri prodotti, al contrario di quanto avviene col Security Development Lifecycle di Microsoft sin dal 2004 (e buoni risultati li ha ottenuti, sono anni che non vengono rilasciate vulnerabilità critiche per i suoi server Web e FTP).
Il vento sta cambiando a Cupertino, e non porta buoni odori. Mac OS X non si può più certo dire un sistema esente da virus e altri aspetti della sua sicurezza non vanno molto meglio. Un segno dei tempi l’avevamo già anche avuto l’anno scorso alla conferenza CanSecWest, dove nel hacking contest PWN2OWN il primo sistema a collassare (tra uno con Windows Vista, uno altro con Ubuntu Linux e l’ultimo con Mac OS X Leopard) è stato proprio Mac OS grazie ad una falla in Safari (per la verità scoperta prima della competizione ma non rilasciata pubblicamente).
Non possiamo concludere senza citare una recente ed interessante ricerca tutta italiana. Vincenzo Iozzo ha scoperto una nuova tecnica che permette l’inserimento di codice arbitrario (compreso un intero binario) all’interno della memoria di un processo, senza lasciare alcun tipo di traccia su disco e senza creare nuovi processi.
Questo rende ovviamente molto più difficoltose se non impossibili eventuali operazioni di computer forensics. E’ bene chiarire che tale tecnica torna utile in fase post attacco quando un attaccante deve decidere che operazioni eseguire grazie alla vulnerabilità presente in qualche programma, e non per realizzare l’attacco stesso.
Maggiori dettagli sulla ricerca verranno rilasciati alla famosa conferenza Black Hat che si svolgerà nei pressi di Washington a metà febbraio.
La morale della favola (non tanto da buona notte) è che l’idolatria è sempre sbagliata, così come la denigrazione. E forse sta per giungere il momento di mettere da parte un po’ di soldi per l’acquisto di un anti-virus per Mac (mica vorrete scaricarlo illegamente da Internet!?). Diversamente, non resta che sperare in Snow Leopard.