Cerca nel blog

2006/03/07

Mac “bucato” in 30 minuti? Niente panico, se non spalancate la porta

Questo articolo vi arriva grazie alle gentili donazioni di "p_barnabe" e "daniela".
L'articolo è stato aggiornato rispetto alla sua pubblicazione iniziale.

Ultimamente c'è più interesse del solito per ogni notizia che riguarda la sicurezza del Mac. A volte la fame di scoop (magari mescolata con un po' di voglia di consolarsi in stile "mal comune, mezzo gaudio") spinge a gonfiare notizie in realtà banali fino a farne nascere un allarme generale inutile e deleterio.

È il caso, per esempio, della notizia di un Mac bucato entro trenta minuti dalla sua messa in Rete per sfida. Ne parla ZDNet: il 22 febbraio scorso, un utente Mac svedese ha collegato il suo Mac Mini a Internet e ha sfidato gli esperti a "bucarglielo", ossia superarne le difese e acquisire privilegi di root (che consentono all'intruso di fare qualsiasi cosa, come cancellare file e installare programmi).

Sei ore (non trenta minuti) dopo l'annuncio della sfida, il Mini era stato violato da un utente identificatosi come Gwerdna, ossia "Andrew G." a rovescio, che ha dichiarato di averci messo una mezz'oretta scarsa (ecco i famosi 30 minuti) usando delle falle non documentate di Mac OS X.

A molti è venuto spontaneo il paragone con Windows pre-Service Pack 2, che notoriamente veniva bucato e infettato mediamente entro sedici minuti dalla messa in Rete, secondo una ricerca (PDF) dell'Internet Storm Center di agosto 2004. Ma il paragone è decisamente fallato, e gli utenti Mac non devono farsi prendere dal panico (né subire gli sberleffi e i "te l'avevo detto" degli invidiosi).

La sfida, infatti, era basata su un Mac OS X intenzionalmente reso più vulnerabile:
  • Il servizio vitale ssh era stato reso accessibile da Internet (nella configurazione standard del Mac non lo è).
  • Il Mac era stato attivato come server Web (cosa che non avviene nell'uso normale).
  • Cosa peggiore, lo sfidante concedeva a chiunque di creare account sul Mac da remoto; un comportamento assolutamente non normale e molto imprudente. Quando un intruso riesce ad ottenere un account locale sulla macchina-bersaglio, il più è fatto (è come se fosse fisicamente davanti al computer): la vera difficoltà sta nell'ottenere questo account locale, cosa che invece in questa sfida non era necessario fare.

In pratica, lo sfidante ha invitato gli intrusi ad entrargli in casa dopo aver dato loro la chiave della porta principale ed aver chiuso a chiave soltanto le porte interne. Non è un granché come sfida: è una privilege escalation, ossia l'acquisizione illecita di privilegi di amministratore da parte di un utente non privilegiato (la porta blindata di casa è aperta, il ladro è già in casa, non gli resta che scassinare la serratura delle porte interne). Cosa non certo trascurabile, ma molto meno drammatica di quel che potrebbe sembrare leggendo distrattamente la notizia sensazionalista di ZDnet.

Il popolo di Slashdot ha fatto a pezzi la sfida. Fra i tanti commenti sferzanti, ecco uno dei più sintetici: "dopo aver dato agli scassinatori le prime tre cifre della combinazione a quattro cifre della vostra cassaforte, lo scassinatore più veloce riesce ad aprirla in meno di trenta minuti". Roba da panico generale, insomma.

Siccome la notizia non mancherà di essere diffusa e distorta, dando impressioni errate agli utenti Mac, Dave Schroeder, un Macchista esperto dell'Università del Wisconsin, ha predisposto una sfida più realistica: ha messo in Rete un Mac Mini con su Mac OS X 10.4.5 dotato degli aggiornamenti di sicurezza più recenti, che ha due account locali e offre ssh e http accessibili da Internet (ma non concede account automaticamente, a differenza dell'altra sfida). Già così è comunque molto di più di quello che farebbe un Mac in condizioni normali di utilizzo ed è più simile a quello che farebbe un Mac usato come server Web.

La nuova sfida è stata lanciata ieri ed è aperta fino al 10 marzo. A distanza di ventiquattr'ore, il Mini è ancora in funzione.


Aggiornamento (2006/03/09)


La nuova sfida è stata interrotta in quanto non approvata formalmente dall'Università (era l'iniziativa di un suo amministratore di sistema). Secondo Slashdot, la nuova sfida è stata conclusa dopo 38 ore, nelle quali sono stati effettuati attacchi DoS occasionali e 4000 tentativi di login su ssh. La sfida ha generato 6 milioni di eventi loggati dal firewall e un picco di banda di 30 Mbps. Nessun tentativo di penetrazione ha avuto successo.

Per chi fosse interessato a irrobustire il proprio Mac OS X, ecco alcuni manuali (in inglese):

12 commenti:

Fab ha detto...

Ciao Paolo,
queste sfide lasciano quasi sempre il tempo che trovano, però sarai d'accordo che quelle falle che consentono l'escalation (anche se sono sfruttabili solo in locale e non da remoto) andrebbero analizzate e chiuse. Il rischio che vedo io è che questo o questi exploit vengano usati ad esempio in un trojan: se l'utente non privilegiato viene indotto a lanciarlo, l'exploit assegna al trojan i diritti di root e buonanotte ai criteri di accesso. Poi è chiaro che di exploit locali ce n'è per tutti i gusti in tutti i sistemi operativi, non è che ci si possa scandalizzare se ne è saltato fuori uno per il Mac.

Paolo Attivissimo ha detto...

D'accordissimo; tutte le falle vanno analizzate e chiuse. E' anche importante tenere presente, però, che la configurazione standard di qualsiasi sistema operativo per uso domestico individuale non è adatta per un uso come server e quindi va modificata (hardening) pesantemente prima di esporla al campo di battaglia. Ci sono procedure apposite per tutti i sistemi operativi (Fab, lo so che lo sai; chiarisco per chi ci legge).

Le modifiche di irrobustimento non sono necessariamente dovute a falle, ma possono essere dovute a scelte di configurazione, ossia compromessi fra usabilità e sicurezza. Inutile far fare salti mortali all'utente di un PC monoutente per dargli una blindatura degna di un server industriale (che non gli servirà).

Per esempio, un PC usato come server non deve contenere altro software non-server che offra appigli; ma se i PC venissero forniti senza tutti i programmi di contorno, gli utenti s'indignerebbero. Per questo esistono versioni Server e versioni User (Client) dei sistemi operativi.

airone76 ha detto...

Scusa l´ignoranza, ma la situazione della sfida "bucata" (account già creato liberamente)non è molto simile alla situazione in cui un utente incauto apre sul suo MAC un file contenente un virus? (virus che parte gia da dietro il muro delle protezioni...).
Magari era questo il motivo di una sfida che di partenza sembra avere poco senso: provare la risposta ad un trojan che l´utente incauto apre all´interno del suo MAC...

Leandro Mac User ha detto...

Egregio Paolo,
mi sa che prossimamente fioccherano le leggende metropolitane e aumenteranno a raffica tutte quelle notizie che renderanno sempre più "inutile" affidarsi al Mac.
Ovviamente internet è sempre più pericolosa per chiunque la usi con qualsiasi computer e qualsiasi sistema operativo.Sarebbe anzi ora di pensare che un computer va tenuto come un'automobile o come una casa.Scommetto che se dopo un pò non metti più benzina o non cambi il tubo del gas qualcosa ti succede...E' chiaro che Microsoft venderà carissima la pelle a quegli utenti che stanno migrando al mac per motivi di maggior sicurezza e facilità d'uso.Secondo me sarà sempre più boicottaggio contro il software e l'hardware non-microsoft che nel frattempo con l'acquisizione di vari colossi IT renderà la parola convergenza sinonimo di "o con noi o senza di noi";grazie anche al TCPA ex-palladium...
Io intanto mi abituo sempre di più alla bellezza e alla praticità del Mac e mi sa che "switcherò" totalmente tra pochissimo tempo e mettendo in soffitta il towerone che ho o magari perchè no un bel linux e arrivederci al prossimo Win(S)vista!!!

Luca Luoni ha detto...

Premetto che non ho un Mac, ma ho intenzione di acquistarlo (ritardo per motivi economici).

Ma i problemi di sicurezza non stanno aumentando?

Può essere corretto quanto ho letto su un blog di PC Magazine ovvero che il Mac non aveva problemi perchè poco diffuso?
Qui il post
http://pensiericontromano.vnunet.it/2006/02/come_volevasi_d.html#trackback

pincopallina@gmail.com ha detto...

Paolo, la Apple ha rilasciato il 1 marzo un aggiornamento di sicurezza 2006-001.
E' per risolvere il problema citato nel tuo post?
Ciao
Carmen

Andrea Occhi ha detto...

Questo è un interessante articolo sul perché i sistemi Unix (quindi anche GNU/Linux e Mac OS X) siano meno vulnerabili ai virus.
http://www.telug.it/marco/virus/virus.html
Consiglio a tutti la lettura!

DSoM ha detto...

è "fresca" la notizia da digg.com che la competition per il macmini si è chiusa (ovviamente) senza intrusioni.

c'è anche da dire che per bucare il primo mac è stata usata una vulnerabilità non pubblicata, caso molto molto raro...

Fab ha detto...

Già che siamo in tema, vi segnalo un'intervista a Paolo Monti sul malware per Mac:
http://www.hwupgrade.it/news/software/16632.html
Monti non ha bisogno di presentazioni, è in assoluto uno dei migliori esperti di malware che ci siano e ha molti anni di esperienza sul campo.

Cipo ha detto...

La sfida di Schroeder è stata chiusa anticipatamente perchè giudicata illegale. Le spiegazioni le trovate cliccando sul link fornito da Paolo.

Fab ha detto...

Cipo, pensavo che i risultati della sfida di Schroeder fossero questi (postati da altri su Zdnet):
http://news.zdnet.com/5208-1009-0.html?forumID=1&threadID=18664&messageID=361926&start=-1

Tu hai notizie diverse? Puoi indicare il link dove le hai trovate? Io ho guardato il post originale di Paolo, ma non ho trovato la spiegazione a cui ti riferisci. Grazie in anticipo e una buona giornata a tutti.

Fab ha detto...

@Cipo:
faccio ammenda, ora ho trovato la notizia della sfida dichiarata "illegale" di Schroeder (sull'Inquirer):
http://www.theinquirer.net/?article=30158
Direi che è comprensibile che l'Università non abbia gradito le eventuali attenzioni della comunità hacker verso la proprio rete.