Cerca nel blog

2006/03/07

Mac “bucato” in 30 minuti? Niente panico, se non spalancate la porta

Questo articolo vi arriva grazie alle gentili donazioni di "p_barnabe" e "daniela".
L'articolo è stato aggiornato rispetto alla sua pubblicazione iniziale.

Ultimamente c'è più interesse del solito per ogni notizia che riguarda la sicurezza del Mac. A volte la fame di scoop (magari mescolata con un po' di voglia di consolarsi in stile "mal comune, mezzo gaudio") spinge a gonfiare notizie in realtà banali fino a farne nascere un allarme generale inutile e deleterio.

È il caso, per esempio, della notizia di un Mac bucato entro trenta minuti dalla sua messa in Rete per sfida. Ne parla ZDNet: il 22 febbraio scorso, un utente Mac svedese ha collegato il suo Mac Mini a Internet e ha sfidato gli esperti a "bucarglielo", ossia superarne le difese e acquisire privilegi di root (che consentono all'intruso di fare qualsiasi cosa, come cancellare file e installare programmi).

Sei ore (non trenta minuti) dopo l'annuncio della sfida, il Mini era stato violato da un utente identificatosi come Gwerdna, ossia "Andrew G." a rovescio, che ha dichiarato di averci messo una mezz'oretta scarsa (ecco i famosi 30 minuti) usando delle falle non documentate di Mac OS X.

A molti è venuto spontaneo il paragone con Windows pre-Service Pack 2, che notoriamente veniva bucato e infettato mediamente entro sedici minuti dalla messa in Rete, secondo una ricerca (PDF) dell'Internet Storm Center di agosto 2004. Ma il paragone è decisamente fallato, e gli utenti Mac non devono farsi prendere dal panico (né subire gli sberleffi e i "te l'avevo detto" degli invidiosi).

La sfida, infatti, era basata su un Mac OS X intenzionalmente reso più vulnerabile:
  • Il servizio vitale ssh era stato reso accessibile da Internet (nella configurazione standard del Mac non lo è).
  • Il Mac era stato attivato come server Web (cosa che non avviene nell'uso normale).
  • Cosa peggiore, lo sfidante concedeva a chiunque di creare account sul Mac da remoto; un comportamento assolutamente non normale e molto imprudente. Quando un intruso riesce ad ottenere un account locale sulla macchina-bersaglio, il più è fatto (è come se fosse fisicamente davanti al computer): la vera difficoltà sta nell'ottenere questo account locale, cosa che invece in questa sfida non era necessario fare.

In pratica, lo sfidante ha invitato gli intrusi ad entrargli in casa dopo aver dato loro la chiave della porta principale ed aver chiuso a chiave soltanto le porte interne. Non è un granché come sfida: è una privilege escalation, ossia l'acquisizione illecita di privilegi di amministratore da parte di un utente non privilegiato (la porta blindata di casa è aperta, il ladro è già in casa, non gli resta che scassinare la serratura delle porte interne). Cosa non certo trascurabile, ma molto meno drammatica di quel che potrebbe sembrare leggendo distrattamente la notizia sensazionalista di ZDnet.

Il popolo di Slashdot ha fatto a pezzi la sfida. Fra i tanti commenti sferzanti, ecco uno dei più sintetici: "dopo aver dato agli scassinatori le prime tre cifre della combinazione a quattro cifre della vostra cassaforte, lo scassinatore più veloce riesce ad aprirla in meno di trenta minuti". Roba da panico generale, insomma.

Siccome la notizia non mancherà di essere diffusa e distorta, dando impressioni errate agli utenti Mac, Dave Schroeder, un Macchista esperto dell'Università del Wisconsin, ha predisposto una sfida più realistica: ha messo in Rete un Mac Mini con su Mac OS X 10.4.5 dotato degli aggiornamenti di sicurezza più recenti, che ha due account locali e offre ssh e http accessibili da Internet (ma non concede account automaticamente, a differenza dell'altra sfida). Già così è comunque molto di più di quello che farebbe un Mac in condizioni normali di utilizzo ed è più simile a quello che farebbe un Mac usato come server Web.

La nuova sfida è stata lanciata ieri ed è aperta fino al 10 marzo. A distanza di ventiquattr'ore, il Mini è ancora in funzione.


Aggiornamento (2006/03/09)


La nuova sfida è stata interrotta in quanto non approvata formalmente dall'Università (era l'iniziativa di un suo amministratore di sistema). Secondo Slashdot, la nuova sfida è stata conclusa dopo 38 ore, nelle quali sono stati effettuati attacchi DoS occasionali e 4000 tentativi di login su ssh. La sfida ha generato 6 milioni di eventi loggati dal firewall e un picco di banda di 30 Mbps. Nessun tentativo di penetrazione ha avuto successo.

Per chi fosse interessato a irrobustire il proprio Mac OS X, ecco alcuni manuali (in inglese):

Nessun commento: