Gli antefatti
È comparso di recente un trojan, chiamato Leap‑A (o Oompa Loompa). Si tratta di un programma potenzialmente malevolo camuffato da immagine. Nella sua forma attuale il codice è contenuto in un file, latestpics.tgz, che viene spacciato come un’immagine compressa che mostrerebbe cose mirabolanti (schermate del futuro Mac OS X 10.5 Leopard), così da invitare l’utente a 1) scaricare il file, 2) decomprimerlo, 3) fare doppio clic su quella che pare un’immagine e che immagine non è.
È invece il codice malevolo ad attivarsi, e cerca subito di fare due cose: spedirsi via iChat a tutto l’elenco di vostri amici, e infettare le applicazioni Cocoa sul Mac per renderle inutilizzabili.
Sembra spaventoso, eh? In realtà fa molti meno danni. Rob Griffiths e Kirk McElhearn hanno provato a infettare delle partizioni di prova sui loro sistemi, lasciando a Leap‑A piena libertà d’azione, e il malware si è rivelato essere poco più di un pallone sgonfiato. Il loro approfondito resoconto (in inglese) vale la lettura, ed è l’ultima parola sull’argomento.
L’altro pericolo è rappresentato dalla recentissima scoperta di un exploit che fa leva su Safari per eseguire script di shell potenzialmente devastanti. La descrizione completa (in inglese) è al sito di Heise Online. In soldoni, l’exploit sfrutta l’opzione di Safari (abilitata per default) “Apri doc. ‘sicuri’ dopo il download”. Quando questa opzione è attiva, Safari visualizzerà automaticamente immagini, video, file PDF, immagini disco e altri archivi una volta terminato lo scaricamento, aprendoli con l’applicazione incaricata di gestirli. Safari decomprimerà anche archivi .zip e .sit e ne mostrerà i contenuti, se questi sono considerati “sicuri” (vedi categorie elencate poco sopra).
Ma che succede se uno script di shell malevolo viene camuffato da immagine (o da altro file “sicuro”) e compresso in un archivio .zip? Se l’opzione “Apri doc. ‘sicuri’ dopo il download” è attiva, Safari scaricherà il file, lo decomprimerà automaticamente e… oops. Invece di un file immagine in Anteprima, vediamo partire il Terminale (per esempio) e una serie di comandi viene eseguita, seminando il terrore nel nostro Mac. Un’attenta disamina dell’exploit è il bell’articolo di John Gruber (Daring Fireball).
Qualche considerazione
Questi nuovi pericoli per Mac OS X hanno ovviamente fatto il giro di tutti i siti di informazione, di disinformazione, e via dicendo. A volte con punte più che sensazionalistiche. Nei commenti agli articoli trovati per la rete se ne sono dette di tutti i colori. Da quello che ho potuto vedere, due sono le scuole di pensiero dominanti: chi sostiene che, in fin dei conti, non c’è molto di cui preoccuparsi, e chi lancia tuonanti avvertimenti all’utenza Mac: La vostra ora è vicina! Non siate superficiali e state attenti, che nemmeno Mac OS X è quella fortezza inespugnabile che credete! Dovete armarvi di antivirus anche voi!, eccetera eccetera.
La mia posizione: io sto nel mezzo, ma un poco sbilanciato verso chi non si preoccupa. Ciò che mi preme puntualizzare è: attenzione agli equivoci. Tutta questa fanfara dei nuovi virus/trojan/quel-che-vi-pare potrebbe far pensare a una persona poco attenta, o poco informata, che Mac OS X sia improvvisamente diventato un sistema vulnerabile e meno sicuro. Non è così.
Entrambi questi malware cercano di ingannare l’utente invitandolo a innescarli, soprattutto Leap‑A, che per riuscire a fare qualcosa deve essere attivato dall’utente con una serie di passaggi che nessuna persona minimamente cauta farebbe. L’utente deve scaricarlo, scompattarlo, fare doppio clic sulla (finta) immagine… Oltretutto, se l’utente non ha un account amministratore, Mac OS X visualizza persino una finestra di dialogo che richiede la password di amministratore. Tutto questo per vedere una presunta schermata della nuova versione di Mac OS X? Da quando in qua per vedere un file .jpg mi viene chiesta la password di amministratore? Ma soprattutto, basta un po’ di buonsenso: se davvero fossero in circolazione sensazionali schermate del nuovo Mac OS X Leopard, non sarebbero in bella vista su tutti i soliti siti di rumor?
La vulnerabilità di Safari è un tantino più seria. Qui può davvero scappare un clic del mouse per fare qualche danno. Ma questa non è certo la prima vulnerabilità di qualche pezzo di Mac OS X. Ricordate iTunes? Ricordate Aggiornamento Software?
Ma in entrambi i casi, più che Mac OS X, il bersaglio è l’utente, l’anello più debole della catena della sicurezza informatica. Moltissime persone non applicano nemmeno le minime buone pratiche di sicurezza, scaricano programmi o file da fonti non fidate, si lasciano ancora ingannare da email provenienti da ignoti, fanno clic su link e allegati senza nemmeno pensarci, e così via. Un giro nelle preferenze di Safari, disattivare l’opzione “Apri doc. ‘sicuri’ dopo il download”, ed eccoci protetti anche dall’exploit di cui sopra. Ma io, guarda un po’, quella opzione l’avevo già disattivata chissà quando. Perché nessuno mi può assicurare che un documento sia “sicuro”, proprio perché non posso fidarmi di tutta Internet.
Un primo passo, molto elementare, per essere un po’ più sicuri (qualsiasi sistema operativo si stia usando), è quello di non accettare caramelle dagli sconosciuti: mai scaricare nulla da fonti non sicure e fidate, mai aprire allegati se l’email non proviene da destinatari conosciuti, disattivare qualsiasi tipo di automatismo nelle applicazioni, specie quelle di uso più comune. Meglio che gli archivi compressi non si aprano automaticamente ma sia l’utente a deciderlo. E, non mi stancherò di ripeterlo, buonsenso buonsenso buonsenso.
Altrimenti ci si becca anche il più stupido e malfatto tentativo di virus per Mac OS X. Più che virus, appunto, è l’influenza dei polli. E a nessuno piace far la figura del pollo.