venerdì 19 marzo 2010

20 falle zero-day, tutte per OS X

Mac OS X ha 20 falle zero day. Charlie Miller, esperto di sicurezza, ha dichiarato che saranno svelate (crediamo non pubblicamente) nel corso della conferenza sulla sicurezza CanSecWest. Miller, già noto per aver scoperto diverse falle nel sistema operativo Apple (e il particolare in Safari), sarà presente anche quest'anno al Pwn2Own, la gara tra hacker che si svolgerà la settimana prossima (Pwn2Own 2010, basta Safari per violare un Mac).
"OS X ha una grande superficie d'attacco per quanto riguarda i componenti open source (web kit, libz, etc), i componenti di terze parti closed source (flash) e quelli Apple (Preview, mdnsresponder, etc). Bug in uno qualsiasi di questi componenti possono portare ad attacchi da remoto".
Miller ha dichiarato di aver scoperto le vulnerabilità attraverso un processo chiamato "fuzzing", che richiede il bombardamento dei canali di input di un'applicazione con il maggior numero possibile di dati corrotti.
L'esperto di sicurezza afferma da tempo che Mac OS X è un sistema insicuro. Secondo Miller la quota di mercato del sistema operativo non è più un valido argomento alla luce dei recenti attacchi hacker, come quelli cinesi a Google. "Mac OS X è come vivere in un fattoria in un paese senza posti di blocco, mentre Windows è come vivere in una casa con le finestre sbarrate nella parte più malfamata di una città", ha affermato l'esperto.

Fonte: http://www.tomshw.it/cont/news/mac-os-x-colabrodo-ha-20-falle-zero-day/24508/1.html


Ah, se non ci fosse Miller!

Ancora si crede che OS X sia più sicuro di qualsiasi altro sistema operativo, vuoi perché si pensi sia accuratamente progettato da Apple, vuoi perché la sua diffusione di mercato lo protegge da interessi malevoli. Ogni anno, puntualmente, arriva Charlie a smentire queste cose.

Quest'anno però si è proprio scatenato: ben 20 falle zero-day. E probabilmente non sono finite qua. Ogni sistema operativo ha delle falle che escono allo scoperto solo magari alla lunga (vedasi il caso del bug diciassettenne di Windows, come esempio). Logico pensare che siano più di 20, le falle zero-day.

Come fa poi ben presente Miller, è finita la bella storia che solo tramite le falle degli OS possono essere fatti attacchi. I programmi esterni fanno ora la loro parte. Come Flash è fallato su Windows, lo è pure su OS X. E l'aggravante è che ha come complice Safari, non proprio il meglio del meglio in fatto di sicurezza, come Miller stesso fa presente in questa intervista: http://www.oneitsecurity.it/01/03/2010/intervista-charlie-miller-pwn2own/. Inoltre, altra cosa fatta notare dal buon Charlie, su Windows il plug-in di Flash non è presente di default, su OS X per semplificare l'esperienza utente è già incluso nel sistema, con vantaggi e svantaggi che ciò comporta.

Una domanda che può chiarire meglio poi il significato di questo post: è un male che queste notizie escano allo scoperto? Su Windows si ottengono risultati interessanti, Microsoft prende nota e in breve tempo sistema. Su OS X potrebbe accadere la stessa cosa. Dunque, è sì un difetto di Apple, ma che viene riportato nella speranza che a Cupertino decidano di sistemarlo. Più se ne parla, più Apple non potrà fare finta di nulla. Anche se ormai per la 10.6.3 credo ci sia poco da fare, dovranno essere fatti "out-of-the-band" gli eventuali fix.

Insomma, anche per questo Pwn2Own si prospetta un trionfo in negativo per Apple. L'"acquisto" di Window Snyder non è sufficiente. Un consiglio sincero a Jobs: assuma Miller. Vedrà che dalla 10.7 forse OS X smetterà di essere preso di mira ad ogni Pwn2Own.

PS: la frase "Mac OS X è come vivere in un fattoria in un paese senza posti di blocco, mentre Windows è come vivere in una casa con le finestre sbarrate nella parte più malfamata di una città" conferma quello che era un po' un mio pensiero. Su OS X c'è una cultura della sicurezza molto minore rispetto a Windows, dove ormai anche il peggiore utonto prende precauzioni e tiene aggiornato il sistema. E' ora che, per il loro bene, anche gli utenti di OS X inizino a curare un po' di più la sicurezza del proprio sistema. Come su Windows, anche su OS X 10 minuti ogni tanto dedicati alla manutenzione e alla sicurezza sono un toccasana per il sistema.

17 commenti:

  1. Gli utonti di Mac OS X pensano: "il Mac è sicuro".

    Infatti è "sicuro" proprio perché:

    1) i componenti open-source vengono aggiornati sempre con estremo ritardo (cfr. il caso "bind")

    2) i componenti proprietari vengono scritti coi piedi (cfr. la necessità di continue release "punto zero uno" e i leggendari problemi di Aperture e delle release di OS X stesso e tutto il resto...)

    3) i componenti di terze parti (come il Flash) già hanno i loro bug (e pertanto bisogna non solo sollecitarli perché vengano risolti, ma anche distribuire rapidamente ed efficacemente le patch).


    Ma la sicurezza non è qualcosa che al Moscone Sul Caccone West si può tirar fuori dal taschino come un iPernacchiod Shuffle o come un Macbroccolo Air...

    RispondiElimina
  2. > Macbroccolo Air

    *morto*

    ROTFL!

    RispondiElimina
  3. Un cordiale avviso di servizio a phates89:

    Non riportare la solita manfrina dell'OS X più sicuro perché meno diffuso di Windows, come stai facendo su Tom's Hardware. Ormai non regge più per niente, visto e considerato poi anche che nell'ultimo mese il Mac è tornato in crescita.

    RispondiElimina
  4. @urgentissimo: rotfl XD macbroccolo XD

    RispondiElimina
  5. Usare un mac è come cantare senza mutande nel coro di Ratisbona.

    RispondiElimina
  6. @floo è un dato di fatto che piaccia o no.. per ora mac è piu sicuro per l'utente... e che sia meno sicuro il sistema operativo in se e abbia piu falle non cambia niente... Se nessuno ha l'interesse di attaccarlo come è per ora le falle che ha non vengono sfruttate e basta... di sicuro non sarà per sempre cosi visto che mac cresce ma per ora lo è...
    Perche non regge piu? Basta guardare gli interessi che hanno i creatori di virus.. lo sanno tutti (anche i fanboy piu accaniti che però non lo ammettono) che possono esser fatti anche per mac.. il rapporto tra mac e windows è 1:18 circa... ma tra i malware per mac e i malware per win 1:100000...perchè chi vuole danneggiare punta a farlo su piu computer possibili (senza contare che per passare a mac deve anche acquisire nuove esperienze solo per quello perchè sono due sistemi opposti).. proprio per questo i problemi di flash, adobe reader (che è il piu attaccato di tutti) e altri software multipiattaforma sono i piu pericolosi..
    La frase di miller rende bene l'idea anche di questo.. Per te sei piu al sicuro in una fattoria con poche protezioni o nei peggiori angoli delle città ben barricato?
    Di sicuro apple dovrà per forza dicose prestare piu attenzione in futuro visto la crescita e migliorare le cose e di sicuro facendo cosi gli utenti e apple rischiano che quando arriverà quel momento di prendersela in quel posto...Ma è gia stata annunciata l'invasione di attacchi e malware per mac nel 2006 con i primi virus per leopard e all'inizio del 2009 con il trojan di iwork 09 dimostrandosi piuttosto esagerati..Aspetterei a darlo per certo..

    P.s. Per gli utenti comuni il problema peggiore sono da sempre i malware..Difatti sono il metodo piu usato dagli hacker insieme al metodo Dos (per cui mac è attrezzata meglio di windows)...mac avrà problemi di sicurezza nel suo codice e windows con vista (ebbene si vista eccelleva in sicurezza rispetto al colabrodo xp) e 7 sono piu sicuri tecnicamente.. ma mac os x non è da buttare e ha il vantaggio dello scarso interesse..

    RispondiElimina
  7. E se la fattoria si trovasse appena fuori città ?

    RispondiElimina
  8. Miller Said :

    Secondo Miller la quota di mercato del sistema operativo non è più un valido argomento alla luce dei recenti attacchi hacker, come quelli cinesi a Google. "Mac OS X è come vivere in un fattoria in un paese senza posti di blocco, mentre Windows è come vivere in una casa con le finestre sbarrate nella parte più malfamata di una città", ha affermato l'esperto.

    Toms Hardware http://bit.ly/cnTseW

    RispondiElimina
  9. Ti piaccia o meno, la diffusione non conta più una mazza. Gli attacchi cross-platform non risparmieranno nessuno.

    > Per te sei piu al sicuro in una fattoria con poche protezioni o nei peggiori angoli delle città ben barricato?

    La seconda. Perché lì so che ci sono dei malviventi, mi proteggo di conseguenza. Nell'altra, possono arrivare a sorpresa, e io non sono preparato perché credevo non ci fossero.

    > Aspetterei a darlo per certo..

    Conosci il detto "Prevenire è meglio che curare."? Guardino il passato di Microsoft con XP e imparino a non commettere gli stessi errori. Altrimenti la pagheranno successivamente e tutta d'un botto, proprio come è successo a Microsoft con XP prima del Service Pack 2.

    Voi continuate a sottovalutare tutta la cosa... Le 0-day non sono una passeggiata da sistemare (nega pure questo, dopo la storia del memory leak), e la cosa più brutta è che le possono sapere crew private di crackers pronte a fare carne di porco del sistema in assoluta tranquillità perché solo loro sanno delle vulnerabilità. E sono 20, non 1 o 2. 20. Lo controlla Topo Gigio, il codice di OS X?

    Chi comunque esce meglio da tutta questa storia non è nemmeno Windows, quanto Linux. Le falle ci sono anche lì, ma la complessità tecnica del sistema e del suo ecosistema circostante lo rendono poco fruttuoso e molto difficile da attaccare.

    RispondiElimina
  10. Inutile continuare a difendere un sistema che è un colabrodo. Quello che però fa pensare è come possa un sistema operativo con fondamenta UNIX (e quindi dovrebbe essere già estremamente sicuro fin dal principio) avere così tante falle da renderlo perfino "facilmente" attaccabile anche solo con un plug-in del cavolo. Se si pensa poi che Miller ha trovato la bellezza di 20 falle 0-Day (ma potrebbero essercene di più) ecco che la frittata è fatta. Ogni OS ha i suoi bug e i suoi difetti, ma almeno sono più resistenti e gli aggiornamenti di sicurezza vengono rilasciati in tempi brevi e ragionevoli.

    RispondiElimina
  11. @floo dovella non mi ha accettato il commento... ma 4 giorni dopo l'ultimo commento il memory leak era stato risolto con una patch... e ti ho spiegato piuttosto bene che generalmente è una cosa fixabile facilmente se è in un ambito specifico come è stato... Se non sai le cose evita di portarle come esempio del mio negazionismo...

    Per quanto riguarda sentirsi piu sicuro in una zona malfamata di una città io andrei a chiederlo a quelli che ci vivono e vediamo cosa dicono... Vediamo se ti insultano o no per quel che hai detto e se sono felici di sapere che possono attaccarlo...

    Nessuno dice che apple non si deve svegliare e migliorare e che quando ci sarà il boom di questi attacchi apple rischia di prenderselo in quel posto...Ma l'interesse ad attaccare mac os x è ancora bassissimo...
    Lo ripeto un'altra volta... Come spieghi la differenza spropositata tra il rapporto utenti mac/utenti win e il rapporto malware mac/malware win se non per il minor interesse? O mac ha qualcosa di piu sicuro che gli consente questo (e allora mac è piu sicuro) oppure c'è 0 interesse ad attaccare mac os x...
    E di nuovo.. i metodi piu diffusi per attaccare sono malware e attacchi dos perchè non devono dipendere da falle e hanno risultati su molti computer nel breve tempo...
    Com'è messo windows in questi due casi?
    Linux di sicuro se la passa bene ma perchè oltre ad avere una base d'installato ancora minore, i tipi diversi di protezione tra le varie verisoni e anche tra le varie release della stessa versione...E comunque le protezioni sono di sicuro migliori sia di mac os x e windows..e l'insieme di queste cose lo fanno quasi invulnerabile..
    Per quanto riguarda le falle dei multipiattaforma apple può fare ben poco... E' un'altro esempio del perchè flash è dannoso e bisognerebbe ridurne l'uso... essendo un plugiin flash ha accesso all'intero sistema e se ha una falla lui non importa molto (a parte in alcuni casi) quale browser usi... può fare quel che vuole..
    Anzi apple è una delle poche che preme su adobe per migliorare rischiando l'effetto opposto..ma ci prova almeno... gli altri non dicono niente...

    RispondiElimina
  12. > Se non sai le cose evita di portarle come esempio del mio negazionismo...

    Non fare l'arrogante, su, non ti si addice.

    > Per quanto riguarda sentirsi piu sicuro in una zona malfamata di una città io andrei a chiederlo a quelli che ci vivono e vediamo cosa dicono... Vediamo se ti insultano o no per quel che hai detto e se sono felici di sapere che possono attaccarlo...

    Allora:

    "La seconda. Perché lì so che ci sono dei malviventi, mi proteggo di conseguenza. Nell'altra, possono arrivare a sorpresa, e io non sono preparato perché credevo non ci fossero."

    Ho detto che bene o male nella zona malfamata saprei come proteggermi. L'errore è stato non specificare che ovviamente pure a me piacerebbe vivere in una tranquilla fattoria, ma un minimo di protezione deve sempre esserci. E chi vive in zone malfamate sa sicuramente come proteggersi.

    > Come spieghi la differenza spropositata tra il rapporto utenti mac/utenti win e il rapporto malware mac/malware win se non per il minor interesse? O mac ha qualcosa di piu sicuro che gli consente questo (e allora mac è piu sicuro) oppure c'è 0 interesse ad attaccare mac os x...

    C'è poco interesse, ancora. Ma te lo continuo a dire: con gli attacchi cross-platform, non c'è santo che tenga.

    Come ho detto su Tom's HW, inutile che la facciamo una faida tra Windows e OS X. Ci sono solo sconfitti, e sono gli utenti.

    > i metodi piu diffusi per attaccare sono malware e attacchi dos perchè non devono dipendere da falle e hanno risultati su molti computer nel breve tempo...
    Com'è messo windows in questi due casi?

    Nel primo caso, con un buon antimalware. Nel secondo caso, puoi disattivare la Virtual DOS Machine se non ti serve. Fine della storia.

    > essendo un plugiin flash ha accesso all'intero sistema e se ha una falla lui non importa molto (a parte in alcuni casi) quale browser usi...

    Con i browser multi-processo, come IE e Chrome, e a breve anche Firefox, le cose diventano decisamente meglio. Safari non mi risulta abbia la separazione dei processi.

    > Anzi apple è una delle poche che preme su adobe per migliorare rischiando l'effetto opposto..ma ci prova almeno... gli altri non dicono niente...

    E questo chi te l'ha detto? Non è che Ballmer deve per forza venirti a dire che hanno pressato Adobe per sistemare delle falle. Non bisogna per forza fare i megalomani, anzi, in un settore come quello IT fatto spesso di alleanze e amicizie mutevoli meglio tenere un profilo basso e discuterne in privato.

    RispondiElimina
  13. >Ho detto che bene o male nella zona malfamata saprei come proteggermi. L'errore è stato non specificare che ovviamente pure a me piacerebbe vivere in una tranquilla fattoria, ma un minimo di protezione deve sempre esserci. E chi vive in zone malfamate sa sicuramente come proteggersi.

    Un minimo di protezione c'è anche su os x.. non è una finestra aperta che chiama a se tutti gli attacchi del mondo...

    >C'è poco interesse, ancora. Ma te lo continuo a dire: con gli attacchi cross-platform, non c'è santo che tenga.

    >Come ho detto su Tom's HW, inutile che la facciamo una faida tra Windows e OS X. Ci sono solo sconfitti, e sono gli utenti.

    Di sicuro gli utenti son quelli che ci rimettono.. Ma l'hai detto anche tu che per ora c'è poco interesse.. quindi nonvedo perchè dire che PER ORA gli utenti mac sono piu al sicuro sia sbagliato...
    Io dico come te che apple si deve svegliare eh.. ma questo non toglie che la situazione è quella...

    >Con i browser multi-processo, come IE e Chrome, e a breve anche Firefox, le cose diventano decisamente meglio. Safari non mi risulta abbia la separazione dei processi.

    I browser multiprocesso non servono a niente contro le falle... impediscono solo che un bug di flash faccia crashare l'intero browser e ne migliorano in alcuni casi le prestazioni su processori multicoree ma gli attacchi che prevengono sono veramente pochi sempre se ci sono..

    >E questo chi te l'ha detto? Non è che Ballmer deve per forza venirti a dire che hanno pressato Adobe per sistemare delle falle. Non bisogna per forza fare i megalomani, anzi, in un settore come quello IT fatto spesso di alleanze e amicizie mutevoli meglio tenere un profilo basso e discuterne in privato.

    Di sicuro non quanto apple che ha rischiato di piu (che sta però esagerando)... non è produttivo fare proclami pubblici perchè si attirano antipatie... Ma è il metodo piu efficace per farne parlare subito...
    Poi gli interessi di apple dietro a queste critiche erano altri ma sono stati comunque efficaci nel loro obiettivo..

    RispondiElimina
  14. > Un minimo di protezione c'è anche su os x.. non è una finestra aperta che chiama a se tutti gli attacchi del mondo...

    Il minimo di protezione è il DEP e il piccolo anti-malware in Snow Leopard? Troppo poco.

    C'è anche l'ASLR, a dire il vero, ma è come su Vista, non è esteso in tutto il sistema.

    Altre protezioni aggiuntive sono invece disabilitate, vedi il firewall...

    A default OS X non brilla molto in fatto di sicurezza.

    > Di sicuro gli utenti son quelli che ci rimettono.. Ma l'hai detto anche tu che per ora c'è poco interesse.. quindi nonvedo perchè dire che PER ORA gli utenti mac sono piu al sicuro sia sbagliato...
    Io dico come te che apple si deve svegliare eh.. ma questo non toglie che la situazione è quella...

    Perché non è la frase giusta. La frase giusta è che gli utenti di OS X sono meno soggetti ad attacchi. Questa te la passerei sicuramente.

    > I browser multiprocesso non servono a niente contro le falle... impediscono solo che un bug di flash faccia crashare l'intero browser e ne migliorano in alcuni casi le prestazioni su processori multicoree ma gli attacchi che prevengono sono veramente pochi sempre se ci sono..

    Esiste anche il DEP, esistono gli account con privilegi limitati (quando Windows e OS X li metteranno di default dopo l'installazione sarà una benedizione), esistono tante tecnologie. Alcune di queste Apple non le ha ancora implementate. Eppure non è che ci vuole molto. Anzi, per una azienda la sicurezza dei suoi clienti dovrebbe essere qualcosa di essenziale.

    > Di sicuro non quanto apple che ha rischiato di piu (che sta però esagerando)... non è produttivo fare proclami pubblici perchè si attirano antipatie... Ma è il metodo piu efficace per farne parlare subito...
    Poi gli interessi di apple dietro a queste critiche erano altri ma sono stati comunque efficaci nel loro obiettivo..

    Benissimo, ma ripeto: secondo te se parlavano in privato ad Adobe non era la stessa cosa? Tra CEO sicuramente ci si capisce.

    RispondiElimina
  15. >Il minimo di protezione è il DEP e il piccolo anti-malware in Snow Leopard? Troppo poco.
    C'è anche l'ASLR, a dire il vero, ma è come su Vista, non è esteso in tutto il sistema.
    Altre protezioni aggiuntive sono invece disabilitate, vedi il firewall...

    Non esistono solo aslr e dep perchè nominate da miller... Ci sono cose che mac os x ha e windows no... per esempio il sandboxing (area riservata dove dei programmi vengono eseguiti in modalità protetta in modo da non poter eseguire danni)... alcune di queste policy vengono usate di default su tutte le app e Apple offre delle api agli sviluppatori per eseguire le app in questa modalità.. una singola chiamata ed è fatta.. in windows è piu complicato e in linux peggio ancora.. anche google che ha usato queste api per chrome ha fatto il plauso ad apple (e criticato linux)..

    Benissimo, ma ripeto: secondo te se parlavano in privato ad Adobe non era la stessa cosa? Tra CEO sicuramente ci si capisce.

    Mah cosi ha anche aizzato se non tutti gli utenti almeno di sicuro i fanboy e qualche utente.. e comunque spero che qualche webmaster dopo questo ci penserà 2 volte prima di usare flash per cose frivole..

    RispondiElimina
  16. > per esempio il sandboxing (area riservata dove dei programmi vengono eseguiti in modalità protetta in modo da non poter eseguire danni)...

    Anche su Windows c'è, sebbene sia più complicata da usare, come hai fatto notare. I metodi per semplificarla ci sarebbero... E lì sì, me la prendo con Microsoft, 30 e non 31...

    > e comunque spero che qualche webmaster dopo questo ci penserà 2 volte prima di usare flash per cose frivole..

    Questo è vero, c'è anche chi mostra le foto del proprio cane con Flash. Tuttavia, non credo che sarà Jobs a frenarli.

    RispondiElimina
  17. Scusate se mi intrometto, ma avrei due domande...

    1. I problemi delle varie falle di sistema e dell'attacabilità dei browser web, anche a parere di miller, sono considerati seri su qualsiasi piattaforma, e il tanto famigerato Pwn2Own in genere lo dimostra: non è che se bucano un MacBook in 20 secondi ed un Dell in un paio di minuti si possa poi parlare di chissà che differenza.

    Inoltre, correggetemi se sbaglio, in quel contest tutto viene lasciato come di default. Quindi, se installiamo flash ed attiviamo il firewall ad entrambi, siamo sicuri che la già risibile differenza non si riduca ancora?

    2. Detto questo, vista la differenza di diffusione ( 94 a 5 non è uno scherzo), siamo ancora sicuri che non sia una tutela sufficiente?

    PS: @Floo ti lamenti che non prendano precauzioni a riguardo, con SL hanno introdotto un anti-malware di default, hanno assunto una responsabile per la sicurezza e, vista la tradizionale segretezza che gli piace avere, potrebbero non essere le uniche misure prese. Per un OS che non è ancora minimamente intaccato dai virus non è poi così male, non ti pare?

    RispondiElimina