iWorm, malware e pirati

Negli ultimi giorni si è sparsa la notizia che migliaia di Mac sono infetti da un nuovo malware, o più esattamente da un nuovo botnet, denominato Mac.BackDoor.iWorm.

Il botnet — una forma particolare di malware che crea una rete di computer infetti e controllati in remoto — è stato scoperto da Doctor Web, una società russa che produce un ottimo software antivirus per Windows e che si sta espandendo verso i nuovi mercati costituiti da Android e OS X. Dr. Web propone, in modo piuttosto discreto in verità, di usare il proprio software antivirus per proteggersi da questa minaccia per OS X, nonché da tutti gli altri (pochi) virus e malware esistenti per OS X.

Può essere una soluzione, in fondo l’antivirus costa poco e Dr. Web è una società seria ed affidabile. Ma serve veramente?

Leggendo i dettagli tecnici del funzionamento del botnet è chiaro che la chiave di tutto sta nel fatto che il malware riesce a creare la cartella (o meglio la directory) /Library/Application Support/JavaW, in cui viene salvato l’eseguibile e i componenti accessori del malware, e ad aggiungere un suo file plist in /Library/LaunchDaemons/, permettendogli di essere lanciato automaticamente all’avvio del sistema.

C’è qualcosa che non funziona…

Ma prima di affrontare questo aspetto, invito chi legge a controllare se sul proprio sistema è presente la directory /Library/Application Support/JavaW.
Da Terminale basta eseguire i comandi seguenti

$ cd /Library/Application Support/
$ ls -al

verificando che la lista prodotta dal comando ls non contenga la directory JavaW, come è molto probabile.

In alternativa, come descritto in dettaglio su The Safe Mac, si può selezionare dal Finder la voce di menu Vai > Vai alla Cartella... (⇧+⌘+G) ed incollare il percorso /Library/Application Support/JavaW nella casella di testo che compare. Se il sistema risponde con un suono di avvertimento, significa che la directory non esiste e che il proprio sistema non è infetto.

Una volta accertato che il nostro sistema non è infetto, torniamo ad occuparci del punto vero della questione.

Come è possibile che un virus, un trojan, un malware, possa creare la directory JavaW in /Library/Application Support/ e un file di configurazione in /Library/LaunchDaemons/, se queste sono directory in cui è consentito scrivere solo a root, il superutente, l’amministratore supremo ed onnipotente di ogni sistema basato su Unix?

$ ls -ald /Library/Application\ Support/
drwxr-xr-x  19 root  admin  646 May 17 10:27 /Library/Application Support/
$
$ ls -ald /Library/LaunchDaemons/
drwxr-xr-x  12 root  wheel  408 Sep 19 14:04 /Library/LaunchDaemons/

I permessi delle sue directory ce lo dicono chiaramente. In entrambi i casi il permesso di scrittura w è associato solo a root, mentre gli utenti del gruppo admin nonché tutti gli altri utenti possono solo leggere (r) o eseguire (x) il contenuto delle due directory in questione.

Questo meccanismo contribuisce alla maggiore sicurezza dei sistemi Unix rispetto al solito Windows: le directory che contengono il sistema operativo sono accessibili in scrittura solo dagli utenti che (teoricamente) sanno come gestire il sistema e come mantenerlo sicuro, ad esempio utilizzando fra l’altro una password seria, difficilmente craccabile e tenuta il più riservata possibile.

E allora come fa il malware ad installarsi tramite la rete su migliaia di computer, superando la barriera rappresentata dalla conoscenza della password dell’amministratore del sistema? Possibile che gli sviluppatori abbiano trovato il modo di superare uno strato così basilare di sicurezza dei sistemi Unix?

La risposta è venuta fuori ieri, ed è la cosa più ovvia e più prosaica possibile.

Alcune copie pirata di software commerciale sono state infettate dal malware e vengono distribuite in rete attraverso i soliti canali illegali. Installando sul proprio Mac il software pirata si installa senza saperlo anche il malware.

Il tutto funziona perché al momento dell’installazione di un pacchetto software su OS X viene richiesta la password dell’amministratore del sistema — in genere il primo utente creato al momento dell’installazione di OS X — che diventa temporaneamente equivalente al superutente root. Ma aver concesso al programma di installazione, seppur temporaneamente, i privilegi dell’utente root consente di attribuire gli stessi privilegi anche al programma di installazione del malware, che supera le barriere di sicurezza del sistema operativo e si scava una bella cuccia comoda nelle due directory protette del sistema.

Una nuova falla di sicurezza di OS X (o di Linux) dopo la recente scoperta della vulnerabilità di bash?

Nemmeno per sogno, semmai una grave, gravissima, falla di sicurezza nei cervelli di certi utenti.

Ma come si fa, mi chiedo, a scaricare di tutto da Internet, ad installarlo senza controlli sul proprio Mac, e a meravigliarsi se succedono queste cose e se il proprio sistema diventa infetto ed è preferibile reinstallarlo da zero?

Non sono un santo, capisco benissimo che si possa essere tentati di usare del software più o meno illegale, ma una cosa è usare dei prodotti ufficiali con numeri di serie illeciti, un’altra è scaricare software craccato, e quindi modificato rispetto alle copie legali. Chi può garantire che chi ha effettuato il crack si sia limitato ad aggirare il codice relativo alla licenza del software e non abbia aggiunto anche un trojan, una backdoor, un worm (come in questo caso) o chissà che altra porcheria?

E in ogni caso, dovendo scegliere fra un prodotto illegale ed uno open source con funzionalità analoghe (anche se ridotte), personalmente preferirei sempre e comunque la seconda alternativa. A quanti serve veramente una copia craccata di Photoshop quando GIMP può fare tutto o quasi quello che fa Photoshop?

Annunci
Tagged with: , , , , ,
Pubblicato su software
15 comments on “iWorm, malware e pirati
  1. Paoloo ha detto:

    Bene Os X è virtualmente immune a virus e affini se non si entra nell’illegalità o stupidità.

    Per Photoshop non lo so..
    il formato .psd seppur non libero rappresenta quasi uno standard per quanto è diffuso, intendo fra chi sfrutta le caratteristiche peculiari del formato ovviamente: livelli, effetti, smart objects, tracciati…

    ma non voglio polemizzare.

    Mi piace

    • Sabino Maggi ha detto:

      Ma no dai polemizza, getta un po’ di sale sulle ferite di questo blog un po’ troppo tranquillo… 😉

      Sul primo punto, non ho detto proprio questo, anche OS X potrebbe essere soggetto a virus, solo che una infezione è intrinsecamente più complicata che in Finestre. A meno che non sfrutti delle vulnerabilità più o meno gravi del software di base o del software applicativo, come quella relativa a bash di qualche gorno fa.
      In questo caso, invece, la vulnerabilità sta nel cervello delle persone, lì non c’è antivirus che tenga… 😦

      Mi piace

  2. Paoloo ha detto:

    E poi Gimp ha quell’interfaccia un po’ così, quell’espressione un po’ così, che abbiamo noi, noi di Genova…

    della comunità opensource intendevo.

    La libertà, lo scambio etico, la comunità tutto molto bello fino a quando non inizi ad usarlo, non sempre ma questa è la tendenza…

    ma non voglio polemizzare.

    Mi piace

    • Sabino Maggi ha detto:

      Anche qui un po’ di polemica non troppo avariata non guasterebbe… 😉

      Su GIMP vs. Photoshop: ho fatto il primo esempio che mi è venuto in mente. Non volevo dire che GIMP è meglio di PS per chi ne fa un uso professionale o semi-professionale, ma solo che secondo me l’utente normale (come potrei essere io stesso, digiunissimo di grafica e affini) dovrebbe preferire un GIMP totalmente libero piuttosto che imbarcarsi a craccare PS e poi usarlo una volta al mese. Per i professionisti è diverso, e infatti avevo concluso in orrigine il post con questa frase,

      “Un vero grafico, un vero designer, un professionista che usa Photoshop tutto il giorno tutti i giorni, non si pone nemmeno il problema e lo compra (o lo affitta): il tempo perso a reinstallare e a riconfigurare il proprio Mac costerebbe facilmente molto di più del costo della licenza.”

      che ho tolto perché mi sembrava ridondante.

      Mi piace

  3. frix ha detto:

    cià che un po’ di peperoncino lo spargo io.
    non faccio uso di fotosciop da tempo ma mi capita di lavorare anche su immagini.
    ci sono un sacco di apps che fanno poche cose (ognuna) ma lo fanno bene.
    Acorn http://www.flyingmeat.com/acorn lo sviluppatore è anche quello che si inventò ‘voodoo pad’, ottimo strumento che ho usato e che mi piaceva. Ora lo ha venduto.
    graphic converter, http://www.lemkesoft.de/en/image-editing-slideshow-browser-batch-conversion-metadata-and-more-on-your-mac/ impossibile fare senza.
    pixelmator (da qua in poi smetto di cercare i links)
    seashore
    piranesi, grandioso ma costa. Per quello sono fermo alla versione 5 (mi pare, ora non sono al mac x verificare)
    image lobe bello-bello.

    Gimp… bah… lo conosco poco.
    per me fotosciop andava bene come era 10 anni fa.

    ma del worm non parliamo?

    Mi piace

    • Sabino Maggi ha detto:

      Io di grafica capisco poco e quindi francamente non ho poco da dire su questo punto. Ogni tanto devo editare o convertire delle immagini e per questo mi basta (e avanza) imagemagick, in particolare convert che da Terminale permette di convertire qualunque formato in qualunque formato. Con i tool di imagemagick di possono poi fare cose paurose ma per questo rimanderei a questo sito straordinario, http://www.imagemagick.org/Usage/, che mostra quello che c’è dietro photoshop, gli algoritmi che stanno alla base della manipolazione delle immagini. Consigliatissima la lettura di questa pagina http://www.imagemagick.org/Usage/fourier/, difficile ma ne vale la pena.
      Ogni tanto (tanto!) uso anche una vecchia versione di Pixelmator, che per me è più che sufficiente e ancora meno spesso Seashore.

      E Gimp? cavolo parli di Gimp e non lo usi? no no lo uso occasionalmente in parallelo a Pixelmator, perché con ognuno dei due so fare cose che non riesco a fare con l’altro. Ma Gimp ha G’MIC (http://gmic.sourceforge.net/gimp.shtml) che a volte è indispensabile.

      Mi piace

      • frix ha detto:

        ImageMagick. Bravo, ieri me lo sono dimenticato.

        Per dirla tutta credo che nel mio campo (architettura e urbanistica) fotosciop possa essere sostituito senza troppi tribolamenti. Anche in caso di fotoinserimenti.

        Ho fatto un’indagine demoscopica per la bisogna.
        – Mia moglie, che fa il grafico, dice che non può farne a meno. Ma è un giudizio relativo perché so bene che non ha la minima intenzione di mettersi a studiare nuovi strumenti per sostituirne uno che padroneggia da 20 anni.
        – lo stesso vale per un mio collaboratore che in studio si occupa prevalentemente di aspetti grafici.
        – Un terzo, amico-fratello, compagno di lavoro, lightdesigner, conferma la sua necessità fisiologica di fotosciop. Lavora a Shanghai dove, se possibile, i tempi sono ancora più serrati che qua. Sicché non c’è manco tempo per pensare di sostituire fotosciop.

        Quindi il mio contributo in aggiunta alla questione del dibattimento suggerisce di valutare gli aspetti psicologici, pratici (tempo/lavoro) e di volontà. Adobe nel tempo ha guadagnato una posizione di rilievo nel mondo professionale che è difficile da scardinare (ammesso che si possa).

        E poi me piace provare nuovi strumenti e sperimentare, ad altri no.

        Ultimi accorati messaggi:

        1. non sottovalutate Graphic Converter.
        2. date un’occhiata da vicino ad Acorn.

        Ma si, Gimp non mi ha mai attizzato. Probabilmente sono io che sbaglio. Lo inserirò tra le app da valutare. Ho però appena iniziato a studiare Terminale (e quindi unix) sicché credo che fino a primavera prossima avrò poco tempo, se tutto procede secondo le prime previsioni di stima.

        Mi piace

        • Sabino Maggi ha detto:

          Sono assolutamente d’accordo che per un professionista Photoshop sia imprescindibile. Ma un professionista se lo compra/affitta, non lo scarica illegalmente. Anche perché il tempo che perderebbe in caso di guai gli verrebbe a costare molto di più.

          Il discorso su Photoshop vs. GIMP in questo posto specifico era rivolto agli utenti normali, non ai professionisti, che scaricano Photoshop da chissà dove per usarlo (se va bene) una volta al mese, correndo i rischi di cui ho parlato. In questo caso specifico credo che GIMP vada più che bene.

          Non sono un santo, anche io non uso soltanto software free o acquistato legalmente. Ma piuttosto che installare prodotti craccati di dubbia provenienza preferisco sfruttare le debolezze dei prodotti originali. E ce ne sono…

          Mi piace

  4. Sabino Maggi ha detto:

    Certo che in effetti di iWorm…

    Mi piace

  5. frix ha detto:

    Precisino! 🙂

    Il terminale è aperto perché:

    1. sto usando “purge” per mantenere libera la memoria,
    2. ogni tanto mi “distraggo” dal lavoro e applico quel che studio di unix (sono agli inizi).

    Cmq il verme non ce l’ho!

    Mi piace

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

Informativa
Questo sito utilizza cookie di terze parti per inviarti pubblicità e servizi in linea con le tue preferenze. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, clicca qui. Scorrendo questa pagina, cliccando su un link o su qualunque altro elemento o proseguendo la navigazione in altra maniera, acconsenti all'uso dei cookie.
Follow MelaBit on WordPress.com
Categorie
Archivi
%d blogger hanno fatto clic su Mi Piace per questo: