Un botnet di Mac

Mele e appunti

Una settimana fa, Ars Technica pubblica questa notizia, il cui titolo e sottotitolo recitano così:

Titolo: Come alcune prove suggeriscono, il primo botnet di Mac ‘zombie’ è attivo.
Sottotitolo: Dei ricercatori di sicurezza hanno scoperto che i payload distribuiti dai Trojan inseriti in versioni piratate di iWork e Photoshop circolate all’inizio dell’anno vengono utilizzati per creare un botnet di Mac.

Traduco anche i primi paragrafi dell’articolo, lasciando incorporati i vari link che puntano ad altre letture in relazione con la notizia:

Se vi siete lasciati tentare e avete installato le versioni piratate di iWork [’09] o Photoshop CS4 diffuse nel circuito Bit Torrent all’inizio dell’anno, potreste avere involontariamente trasformato il vostro Mac in uno zombie. Dei ricercatori di sicurezza di Symantec hanno presentato delle prove che dimostrano che queste macchine zombie vengono usate per creare un botnet di Mac.

I botnet vengono impiegati per effettuare attacchi DDoS [Distributed Denial of Service] ai danni di vari sistemi, per raccogliere informazioni personali sensibili, e per inviare la maggior parte dello Spam che intasa la grande Rete. Solitamente composti da macchine Windows infettate, questo è il primo tentativo conosciuto di crearne uno usando computer Macintosh.

Le due varianti del trojan iServices, OSX.Trojan.iServices.A e OSX.Trojan.iServices.B, sono state implicate in almeno un attacco DDoS. Secondo i ricercatori Mario Ballano Barcena e Alfredo Pesoli, il malware è capace di effettuare comunicazioni peer-to-peer, di avviarsi remotamente, e di criptare i dati. 

Prima di lasciarsi andare a paranoie e allarmismi poco utili, cerchiamo di capire qui qual è la vera notizia. L’unica ‘novità’ degna di nota è che si tratta del primo botnet conosciuto composto da Mac e non da PC Windows. Da alcune reazioni che ho letto in rete sembra invece che si sia rinvigorito il solito vecchio dibattito sulla sicurezza di Mac OS X. Questa notizia (parlo in generale, non dell’articolo di Ars Technica nello specifico) non dimostra affatto che Mac OS X sia improvvisamente meno sicuro di prima. Se mai è la riprova che esistono diversi utenti scorretti e ‘furboni’ a prescindere che usino Mac o Windows.

Occorre capire anche come la creazione di questo botnet di Mac sia differente dalla classica generazione di botnet di macchine Windows. Riporto qui un mio commento lasciato di recente sul blog di Lucio, in un post in cui si parla del worm Conficker:

Botnet è un termine generico che identifica un insieme di computer controllati remotamente. Le applicazioni di un botnet possono essere legittime o meno. Tipici usi legittimi di una simile rete di computer (cito Bruce Schneier): imponenti calcoli paralleli — tracciare i modelli di esplosioni nucleari o pattern meteorologici globali, fattorizzare numeri altissimi o trovare i numeri primi di Mersenne, oppure risolvere problemi crittografici.

Semplificando, anche il progetto Seti@Home sfrutta un botnet per andare avanti. Cito ancora Schneier: Il motivo per cui queste iniziative funzionano è che sono consensuali: nessuno di tali progetti scarica software sul vostro computer a vostra insaputa. Nessuno di tali progetti controlla il vostro computer senza il vostro permesso. Ma vi sono molti programmi che fanno proprio questo.

Il tipico botnet malevolo che sfrutta macchine Windows, sfrutta le molte vulnerabilità di quella piattaforma per auto-moltiplicarsi e estendere il botnet sempre più. (Nel 2005 fu scoperto un botnet in Olanda che aveva raggiunto il milione e mezzo di computer infettati. E anche dopo essere stato smantellato il centro di comando di quel botnet, alcuni bot continuavano a essere attivi e a infettare altri computer per poi aggiungerli a quel network ormai defunto). La parola chiave è auto-moltiplicarsi. Date le vulnerabilità di Windows, un singolo bot infetto può infettare a sua volta un altro computer sano e farlo partecipe del botnet in maniera completamente invisibile all’utente.

Il botnet su piattaforma OS X non si è creato per replicazione spontanea secondo le dinamiche epidemiche di worm e virus su Windows. L’attacco è più che altro di ingegneria sociale: nascondere il Trojan in una versione modificata di pacchetti software noti e diffusi e lasciare che il lavoro lo facciano gli utenti. Il botnet non si è creato da un computer 1 contenente il codice maligno che ha infettato la macchina 2 (senza l’intervento dell’utente), la quale ha infettato automaticamente le macchine 3, 4, 5, 6, 7, che hanno a loro volta infettato altre macchine seguendo una propagazione ad albero. Qui si tratta di 20.000 sprovveduti che hanno installato il malware ognuno sul proprio Mac, 20.000 installazioni parallele. Da quel che ho letto in rete non è affatto chiaro se un Mac contenente il trojan dello iWork-tarocco è in grado di ‘zombizzare’ un Mac sano. Io credo di no, perché non ci sono vulnerabilità note di Mac OS X che permettano un tale automatismo.

I Mac con il Trojan possono certamente essere attivati per compiere attività fosche: lanciare attacchi DoS, spargere worm, ecc., e tramutare altri computer (Windows) in bot appartenenti a questo botnet. E qui questo specifico botnet diventa un botnet qualsiasi, senza nulla di speciale se non quello di avere una componente Mac. Questo non significa che adesso Mac OS X sia meno sicuro. L’anello debole della catena della sicurezza è sempre l’utente, che usi Mac o Windows.

La tecnica con cui si è fatto in modo di inserire malware in OS X dimostra, al contrario, a quali mezzi occorre arrivare per introdurre codice maligno in Mac OS X. Si usano tattiche di ingegneria sociale che fanno leva sulla stupidaggine mista ad avarizia degli utenti (che invece di pagare 79 miseri Euro per una versione regolare di iWork ’09 preferiscono fare i furbi) perché a tutt’oggi non si è in grado di creare un virus o worm che irrompa nei sistemi Mac OS X come nei sistemi Windows.

Per concludere, continuo a essere poco convinto che l’aumento della base di installato Mac sia direttamente proporzionale a un presunto indebolimento della sicurezza intrinseca di Mac OS X perché un numero progressivo di hacker e malviventi d’improvviso è interessato a demolirla. L’esistenza di virus per una determinata piattaforma è indipendente dalla diffusione della stessa. Certo, con l’enorme quantità di macchine Windows là fuori e del malware per Windows, uno è portato a farsi imbrigliare da questo tipo di logica. Ma i virus sui computer sono nati ben prima dell’avvento del Web, e ne esistono di seri creati per le piattaforme più varie. Nel mio prossimo articolo tratterò un esempio interessante a questo proposito.

The Author

Writer. Translator. Mac consultant. Enthusiast photographer. • If you like what I write, please consider supporting my writing by purchasing my short stories, Minigrooves or by making a donation. Thank you!

2 Comments

Comments are closed.