Virus per MacOS X: facciamo chiarezza

Leap.A e Inqtana, due nomi che gli utenti Apple conoscono bene. Due nomi che hanno mosso un vero polverone nel mondo quasi idilliaco della Mela.

Per coloro che non abbiano seguito i fatti, quelli sono i nomi dei due virus che hanno tentato di scalfire nelle scorse settimane la dura corazza denominata MacOS X, sinonimo di sicurezza e stabilità da anni.

Molte sono state le critiche mosse a questi malware, molti i dubbi sull'effettiva pericolosità, tanto da sollecitare l'intero mondo informatico che si è spezzato in due fazioni: una che preannuncia l'inizio del crollo della sicurezza del sistema operativo della mela e l'altra che invece ne conferma l'effettiva sicurezza e l'inutilità di questa prova di forza, che tutto è meno che una testimonianza di possibili reali infezioni.

Attorno a queste due fazioni si è creata una nube di confusione, di commenti vari di utenti più o meno esperti trovatisi ad affrontare questo argomento che, mai come in questi tempi, è stato così all'ordine del giorno.

Ora che le acque si sono un pò calmate, la redazione di Hardware Upgrade tenta di fornire una spiegazione circa la panoramica attuale su quello che è successo e sui reali pericoli che MacOS X può incontrare; per fare ciò abbiamo intervistato Paolo Monti, technical manager di Future Time S.r.l.

Paolo Monti, ben noto nel mondo della sicurezza informatica in Italia, si occupa di virus informatici fin dal 1988, è analista di Oasi Servizi per il network di sicurezza SecurityNet, scrive programmi e articoli pubblicati a livello internazionale. Attualmente i suoi ambiti di ricerca riguardano Rootkit in kernel-mode in sistemi Windows NT e derivati.

C'è molta confusione per quanto riguarda questi nuovi worm per MacOS X, parlando di Leap.A e della famiglia Inqtana. Alcuni li chiamano worm, altri trojan, altri pensano che non sia giusto chiamarli in nessuno dei due modi. Possiamo fare un pò di chiarezza su questo concetto? Cosa sono e cosa fanno realmente?

Certe definizioni sono utili in ambito tecnico per comprendere il principale metodo di propagazione del malware, tuttavia l'elevato tasso di innovazione che si riscontra in quest'area rende spesso difficile definire in modo sintetico e chirurgico le caratteristiche del codice e quindi assegnargli una particolare etichetta.
Stando alle definizioni classiche, un cavallo di troia (trojan) non ha facoltà di replicarsi autonomamente e sfrutta sempre un certo livello di social engineering che ne assicura la diffusione. Invece, un worm è per definizione un "mass infector", concepito allo scopo di diffondersi attraverso reti di computer: esso sfrutta a suo vantaggio alcuni accorgimenti tecnici, sempre più spesso vulnerabilità di un sistema o di un'applicazione, per copiarsi automaticamente in più dispositivi possibili (posta elettronica, condivisioni di rete, ecc.) . Spesso, è comunque previsto l’uso di una certa dose di social engineering, in special modo quando vi è la necessità di convincere gli utenti a eseguire il file appena ricevuto.

Ecco quindi che sia per il Leap.A sia per l'Inqtana possiamo escludere la definizione di trojan, poiché entrambi presentano comunque una routine di auto-replicazione. Il primo si aggancia a determinate funzioni di iChat e si invia automaticamente ai contatti raggiungibili, oltre che mimare il comportamento di alcuni virus classici, sostituendo il proprio codice a quello di decine di applicazioni in modo da attivarsi quando l'utente ne apre una.
Alla luce di queste caratteristiche credo si possa affermare senza troppe difficoltà che la definizione di worm è la più adatta.

Anche l'Inqtana può rientrare di diritto nella famiglia dei worm, poiché sfrutta una vulnerabilità di Tiger per auto-inviarsi a tutti i dispositivi Bluetooth a distanza di rilevamento. La caratteristica classica del worm quindi viene rispettata, anche quando l'Inqtana cerca di posizionare alcuni file nella cartella di startup per facilitarne l'esecuzione durante l'avvio del sistema. Si tratta di accorgimenti che rientrano nei parametri tipici dei worm, anche se nel caso dell'Inqtana non possiamo proprio parlare di "mass infector", vista l'ancora scarsa reperibilità di dispositivi Bluetooth infettabili.

Alcuni esempi di attacco al sistema operativo di casa Apple ce ne sono già stati in passato. Come mai questi ultimi malware hanno alzato tanto polverone? Quale è stato l'impatto che hanno avuto a livello mondiale?

Il Leap.A è il primo vero virus/worm per il sistema operativo Mac OS X, qui inizia e finisce la sua particolarità.
Il polverone è dovuto più dalla curiosità della notizia che dalla reale pericolosità del malware. Oltretutto, il Leap ha aperto la strada a chiunque - dotato di poca inventiva - abbia intenzione di usarne il codice e quindi di modificarlo per crearne ulteriori varianti, evento che si è verificato molto spesso anche in ambito DOS e Windows.

Tra l'altro, benché il virus sia stato trovato "in the wild", al momento non sembra aver fatto danni. I worm della famiglia Inqtana risultano ancor meno pericolosi, poiché sono "proof of concept" e hanno una funzione che li inibisce dopo il 24 Febbraio 2006. Indubbiamente anch'essi possono essere modificati partendo dal codice originale, ed è questo cui si dovrà fare attenzione in futuro.

In questa corsa al "virus per Apple" che si è venuta a creare, la scelta drastica di Apple di cambiare tipologia di processori e passare all'architettura x86 di Intel può aver influito in qualche modo?

Anzitutto il Leap.A è un worm compilato su PowerPC, ad ogni modo credo che la maggior diffusione di architetture Intel determinerà inevitabilmente una migliore capacità di realizzare malware per Mac OS X.
E’ logico pensare che molti creatori di malware non abbiano certo voglia di acquistare appositamente un computer Mac per realizzare e testare virus specifici, ma che preferiscano farlo in ambienti simulati.

Oggi, col passaggio all'architettura x86, competenze e hardware già acquisiti per altri sistemi operativi possono essere riciclati e adattati all'OS X, con chiari vantaggi per chi crea intenzionalmente codice dannoso.

Cosa prevede ora il futuro per gli utenti della Apple, da sempre convinti dell'inviolabilità del sistema operativo da parte di virus informatici? Esiste veramente un rischio reale per il MacOS X e per i propri utenti?

Una celebre massima sulla sicurezza informatica afferma che l’unico computer sicuro è un computer spento. La sicurezza di un sistema non può essere mai demandata a un prodotto, ma semmai a una procedura.
A mio avviso, i sistemi Mac non erano invulnerabili ieri e a maggior ragione non lo sono oggi, nessun sistema operativo è stato concepito per impedire la diffusione di virus e questo concetto è stato ben spiegato da pionieri della ricerca antivirus del calibro di Frederick Cohen.

Non dimentichiamo che tra i primi antivirus possiamo annoverare programmi dedicati ai vecchi sistemi operativi Mac e che uno dei worm più famosi nella storia informatica è stato scritto per Unix. Oggi, la progressiva standardizzazione delle piattaforme rende maggiormente disponibili architetture e ambienti di lavoro in cui è possibile realizzare virus per Mac OS X. Ciò non rende più vulnerabile il Mac di per sé, ma rispetto a prima semplifica notevolmente il lavoro dei virus-writer.