Un botnet di Mac

Mele e appunti

Una settimana fa, Ars Technica pubblica questa notizia, il cui titolo e sottotitolo recitano così:

Titolo: Come alcune prove suggeriscono, il primo botnet di Mac ‘zombie’ è attivo.
Sottotitolo: Dei ricercatori di sicurezza hanno scoperto che i payload distribuiti dai Trojan inseriti in versioni piratate di iWork e Photoshop circolate all’inizio dell’anno vengono utilizzati per creare un botnet di Mac.

Traduco anche i primi paragrafi dell’articolo, lasciando incorporati i vari link che puntano ad altre letture in relazione con la notizia:

Se vi siete lasciati tentare e avete installato le versioni piratate di iWork [’09] o Photoshop CS4 diffuse nel circuito Bit Torrent all’inizio dell’anno, potreste avere involontariamente trasformato il vostro Mac in uno zombie. Dei ricercatori di sicurezza di Symantec hanno presentato delle prove che dimostrano che queste macchine zombie vengono usate per creare un botnet di Mac.

I botnet vengono impiegati per effettuare attacchi DDoS [Distributed Denial of Service] ai danni di vari sistemi, per raccogliere informazioni personali sensibili, e per inviare la maggior parte dello Spam che intasa la grande Rete. Solitamente composti da macchine Windows infettate, questo è il primo tentativo conosciuto di crearne uno usando computer Macintosh.

Le due varianti del trojan iServices, OSX.Trojan.iServices.A e OSX.Trojan.iServices.B, sono state implicate in almeno un attacco DDoS. Secondo i ricercatori Mario Ballano Barcena e Alfredo Pesoli, il malware è capace di effettuare comunicazioni peer-to-peer, di avviarsi remotamente, e di criptare i dati.

Prima di lasciarsi andare a paranoie e allarmismi poco utili, cerchiamo di capire qui qual è la vera notizia. L’unica ‘novità’ degna di nota è che si tratta del primo botnet conosciuto composto da Mac e non da PC Windows. Da alcune reazioni che ho letto in rete sembra invece che si sia rinvigorito il solito vecchio dibattito sulla sicurezza di Mac OS X. Questa notizia (parlo in generale, non dell’articolo di Ars Technica nello specifico) non dimostra affatto che Mac OS X sia improvvisamente meno sicuro di prima. Se mai è la riprova che esistono diversi utenti scorretti e ‘furboni’ a prescindere che usino Mac o Windows.

Occorre capire anche come la creazione di questo botnet di Mac sia differente dalla classica generazione di botnet di macchine Windows. Riporto qui un mio commento lasciato di recente sul blog di Lucio, in un post in cui si parla del worm Conficker:

Botnet è un termine generico che identifica un insieme di computer controllati remotamente. Le applicazioni di un botnet possono essere legittime o meno. Tipici usi legittimi di una simile rete di computer (cito Bruce Schneier): imponenti calcoli paralleli — tracciare i modelli di esplosioni nucleari o pattern meteorologici globali, fattorizzare numeri altissimi o trovare i numeri primi di Mersenne, oppure risolvere problemi crittografici.

Semplificando, anche il progetto Seti@Home sfrutta un botnet per andare avanti. Cito ancora Schneier: Il motivo per cui queste iniziative funzionano è che sono consensuali: nessuno di tali progetti scarica software sul vostro computer a vostra insaputa. Nessuno di tali progetti controlla il vostro computer senza il vostro permesso. Ma vi sono molti programmi che fanno proprio questo.

Il tipico botnet malevolo che sfrutta macchine Windows, sfrutta le molte vulnerabilità di quella piattaforma per auto-moltiplicarsi e estendere il botnet sempre più. (Nel 2005 fu scoperto un botnet in Olanda che aveva raggiunto il milione e mezzo di computer infettati. E anche dopo essere stato smantellato il centro di comando di quel botnet, alcuni bot continuavano a essere attivi e a infettare altri computer per poi aggiungerli a quel network ormai defunto). La parola chiave è auto-moltiplicarsi. Date le vulnerabilità di Windows, un singolo bot infetto può infettare a sua volta un altro computer sano e farlo partecipe del botnet in maniera completamente invisibile all’utente.

Il botnet su piattaforma OS X non si è creato per replicazione spontanea secondo le dinamiche epidemiche di worm e virus su Windows. L’attacco è più che altro di ingegneria sociale: nascondere il Trojan in una versione modificata di pacchetti software noti e diffusi e lasciare che il lavoro lo facciano gli utenti. Il botnet non si è creato da un computer 1 contenente il codice maligno che ha infettato la macchina 2 (senza l’intervento dell’utente), la quale ha infettato automaticamente le macchine 3, 4, 5, 6, 7, che hanno a loro volta infettato altre macchine seguendo una propagazione ad albero. Qui si tratta di 20.000 sprovveduti che hanno installato il malware ognuno sul proprio Mac, 20.000 installazioni parallele. Da quel che ho letto in rete non è affatto chiaro se un Mac contenente il trojan dello iWork-tarocco è in grado di ‘zombizzare’ un Mac sano. Io credo di no, perché non ci sono vulnerabilità note di Mac OS X che permettano un tale automatismo.

I Mac con il Trojan possono certamente essere attivati per compiere attività fosche: lanciare attacchi DoS, spargere worm, ecc., e tramutare altri computer (Windows) in bot appartenenti a questo botnet. E qui questo specifico botnet diventa un botnet qualsiasi, senza nulla di speciale se non quello di avere una componente Mac. Questo non significa che adesso Mac OS X sia meno sicuro. L’anello debole della catena della sicurezza è sempre l’utente, che usi Mac o Windows.

La tecnica con cui si è fatto in modo di inserire malware in OS X dimostra, al contrario, a quali mezzi occorre arrivare per introdurre codice maligno in Mac OS X. Si usano tattiche di ingegneria sociale che fanno leva sulla stupidaggine mista ad avarizia degli utenti (che invece di pagare 79 miseri Euro per una versione regolare di iWork ’09 preferiscono fare i furbi) perché a tutt’oggi non si è in grado di creare un virus o worm che irrompa nei sistemi Mac OS X come nei sistemi Windows.

Per concludere, continuo a essere poco convinto che l’aumento della base di installato Mac sia direttamente proporzionale a un presunto indebolimento della sicurezza intrinseca di Mac OS X perché un numero progressivo di hacker e malviventi d’improvviso è interessato a demolirla. L’esistenza di virus per una determinata piattaforma è indipendente dalla diffusione della stessa. Certo, con l’enorme quantità di macchine Windows là fuori e del malware per Windows, uno è portato a farsi imbrigliare da questo tipo di logica. Ma i virus sui computer sono nati ben prima dell’avvento del Web, e ne esistono di seri creati per le piattaforme più varie. Nel mio prossimo articolo tratterò un esempio interessante a questo proposito.

The Author

Writer. Translator. Mac consultant. Enthusiast photographer. • If you like what I write, please consider supporting my writing by purchasing my short stories, Minigrooves or by making a donation. Thank you!

2 Comments

  1. Tutto corretto, però questa notizia della botnet Mac mette in risalto una vulnerabilità di cui si è sempre sottovalutata la gravità: la gente scarica programmi illegali, questi sono veicolo di possibili torjan che possono infettare facilmente i sistemi OSX.
    Finora il problema era minimizzato dal fatto che il numero di utenti Mac era basso e molti si sentivano sicuri per via del fatto che i programmi sotto OSX devono chiedere la password di amministratore per installarsi. Ma ora che OSX si è diffuso di più non si potrà sottovalutare il problema, che si trova tra il Mac e la sedia.
    Paradossalmente i pc Windows sono più protetti per via degli antivirus che quasi tutti hanno installato (dico quasi perchè se tutti gli utenti Windows avessero un antivirus installato ed aggiornato il problema dei trojan non si porrebbe).

    Ti pongo anche una domanda che è relativa a questo argomento: Safari ed OSX come sono in fatto a vulnerabilità rispetto a siti malevoli?

  2. Brando: Questo tipo di vulnerabilità non è certo da trascurare, ma occorre sottolineare che oggi non si è ancora visto in azione, su piattaforma Mac OS X, un malware in grado di autoreplicarsi e diffondersi senza il minimo intervento da parte dell’utente — un problema all’ordine del giorno su macchine Windows.

    Questo ovviamente non significa che non esista malware che faccia danni su una macchina OS X. Avendo il controllo diretto di un computer, uno può fare tutti i danni che vuole. L’inganno di mettere un trojan in quelle due ben note e diffuse suite di applicazioni per Mac OS X equivale al danno che uno farebbe se accedesse direttamente a ognuno di quei ventimila Mac e caricasse il software manualmente.

    Se mi passi l’immagine, quei ventimila Mac si sono ‘infettati’ perché si sono abbeverati tutti dalla stessa fonte avvelenata, e non perché se ne è infettato uno (o tre o cinque) e da lì si è avvenuto il contagio (che è la dinamica classica di virus/worm su piattaforma Windows).

    Il problema che si trova fra il computer e la sedia è un problema di sempre, e non c’è patch che tenga. I PC Windows saranno anche più protetti perché la maggioranza degli utenti installa antivirus passivamente, ma i virus/worm più pericolosi e dannosi si sono sempre dimostrati essere un gradino avanti degli antivirus, che hanno tradizionalmente ‘pulito il disastro’ a fatti avvenuti.

    È necessario prima di tutto educare gli utenti alla sicurezza. Chi è andato a scaricarsi iWork ’09 via torrent non è diverso dall’utente che cade vittima di un attacco di phishing o dall’utente che fa clic sull’allegato maledetto che gli arriva per email. Con l’aggravante che gli imbecilli che si sono portati a casa lo iWork-con-sorpresa, se la sono un po’ andata a cercare. Mai scaricare nulla da fonti dubbie.

    C’è chi dice che una possibile insidia possa essere in quei software dotati della funzione di controllo automatico, scaricamento e installazione di successivi aggiornamenti. Si inserisce il codice malevolo nell’aggiornamento e uno se lo ritrova nel Mac senza aver inserito alcuna password per autorizzare il tutto. Ma, a parte la difficoltà tecnica, c’è il discorso della fonte affidabile. Io tutti i software di sviluppatori indipendenti Mac che ho sulla mia macchina li ho scaricati dai siti dei produttori, e posso raggiungere per email il programmatore stesso in caso di problemi.

    Per ingannare un utente e fargli scaricare, che so, un Tweetie per Mac “corretto con malware”, occorre creare un sito fasullo e fare in modo che l’utente creda di essere sul sito genuino, eccetera eccetera. Tutto è possibile. Ma deve anche valerne la pena.

    E ritorniamo alla sicurezza su Mac OS X. L’ostacolo fondamentale, ancora non superato all’atto pratico (quindi proof of concept e dimostrazioni teoriche a parte) è un malware che si prenda da solo i permessi di root, faccia macelli sulla macchina infetta e si propaghi verso altri Mac, replicandosi senza che l’utente venga notificato del processo in corso e facendo aumentare in maniera esponenziale il disastro.

    Per quanto riguarda la tua domanda finale, non so darti una risposta precisa. D’istinto mi verrebbe da dire che la situazione vulnerabilità è abbastanza sotto controllo. Il problema è che Apple ha una gestione discutibile delle pratiche di sicurezza, optando sostanzialmente per la sicurezza attraverso la segretezza. Io di tanto in tanto tengo d’occhio siti come Secunia che perlomeno hanno sempre una situazione aggiornata delle vulnerabilità scoperte e del loro status (se sono ancora senza patch, se sono state parzialmente riparate, se sono state riparate con successo). Per Safari 3.x la situazione pare essere questa. Da quella pagina puoi navigare altrove nel sito e vedere lo stato delle vulnerabilità di altro software Apple e di centinaia di altri produttori.

    Se trovo qualcosa di più preciso, te lo segnalerò :)

    Ciao!
    Riccardo

Comments are closed.