Cerca nel blog

2007/11/07

Allarme per “virus” Mac, calma!

Trappola osé per utenti Mac, ma niente panico


Le segnalazioni di virus o altro malware per il mondo Apple sono talmente rare che quando arrivano fanno subito notizia, anche quando (come in questo caso), si tratta di un "virus" particolarmente sdentato, il cui unico pregio tecnico è di utilizzare dietro le quinte un sistema abbastanza elegante per commettere raggiri informatici.

Il meccanismo di base di questo "virus" (più propriamente un trojan), denominato OSX.RSPlug.A, è classico: l'utente visita un sito pornografico seguendo l'invito di un messaggio di spam e vi trova quelli che sembrano essere fotogrammi di un filmato osé.

Se vi clicca sopra nella speranza di vedere il filmato, ottiene una pagina che dice che Quicktime non è in grado di riprodurre il videoclip e che invita a scaricare un programma apposito, descritto come "una nuova versione del codec" necessaria per visualizzare il filmato, come mostrato nell'immagine qui sopra, tratta da Wired.

Se l'utente scarica il programma e accetta di installarlo (dando la password di amministratore), il trojan s'installa e prende il controllo del Mac.

Come avrete notato, si tratta quindi di una serie davvero notevole di azioni volontarie che l'utente deve compiere prima di potersi infettare: e se l'utente è così sprovveduto da abboccare a questa serie, non c'è sistema operativo che tenga ed è forse il caso di togliergli dalle mani il computer fino a quando avrà imparato a tenere a freno il testosterone e seguito un corso base di sicurezza e buon senso (quello che include la lezione "Passeggiare bendati in autostrada è pericoloso?"). Siamo, fin qui, nel campo del social engineering più classico: beccare gli allocchi usando le donne nude.

La parte tecnicamente interessante è quella dietro le quinte: il trojan cambia il server DNS impostato nel Mac e lo rimpiazza con uno ostile. Il server DNS ostile intercetta le richieste dell'utente di visitare siti dove avvengono transazioni, tipo Ebay o Paypal, e le redirige su siti-fotocopia nei quali l'utente immette i propri dati personali, password comprese, senza potersi accorgere di nulla. In alcune varianti, il server DNS ostile porta semplicemente ad altri siti porno, forse per trarre guadagni indiretti dalla pubblicità aumentando il numero di visitatori.

Sotto Mac OS X Tiger (10.4) non c'è modo di accorgersi della trappola, almeno a livello di interfaccia grafica; sotto Leopard (10.5) lo si può fare nelle preferenze di rete avanzate.

Chiaramente la prevenzione è come al solito la cura migliore; ma se siete così malaccorti da farvi infettare, usate uno dei tanti antivirus per Mac. Il vero problema è che se un utente è così poco sveglio da abboccare a trappole come questa, difficilmente sarà all'altezza di accorgersi dell'infezione. Almeno fino a quando non si accorgerà che il suo conto Paypal o in banca è stato svuotato.

Al di là di queste considerazioni tecniche, come nota anche l'articolo di Wired linkato sopra, questo trojan segna una tappa importante: significa che il Mac ha raggiunto una diffusione tale da diventare appetibile per i creatori di malware. E si potrebbe anzi dire che gli utenti Mac sono vittime più facili di quelli Windows, perché sono poco abituati a prendere precauzioni.

Questo vuol dire che è finito il mito dell'invulnerabilità dei Mac? Assolutamente no. Quello esiste soltanto nella fantasia dei fanboy e degli irresponsabili del marketing. Al sistema operativo si deve chiedere soltanto di essere robusto; al resto deve e dovrà sempre pensarci l'utente.

Nessun commento: