Sabino Maggi
Negli ultimi giorni si è sparsa la notizia che migliaia di Mac sono infetti da un nuovo malware, o più esattamente da un nuovo botnet, denominato Mac.BackDoor.iWorm.
Il botnet – una forma particolare di malware che crea una rete di computer infetti e controllati in remoto – è stato scoperto da Doctor Web, una società russa che produce un ottimo software antivirus per Windows e che si sta espandendo verso i nuovi mercati costituiti da Android e OS X. Dr. Web propone, in modo piuttosto discreto in verità, di usare il proprio software antivirus per proteggersi da questa minaccia per OS X, nonché da tutti gli altri (pochi) virus e malware esistenti per OS X.
Può essere una soluzione, in fondo l’antivirus costa poco e Dr. Web è una società seria ed affidabile. Ma serve veramente?
Leggendo i dettagli tecnici del funzionamento del botnet è chiaro che la chiave di tutto sta nel fatto che il malware riesce a creare la cartella (o meglio la directory) /Library/Application Support/JavaW, in cui viene salvato l’eseguibile e i componenti accessori del malware, e ad aggiungere un suo file plist in /Library/LaunchDaemons/, permettendogli di essere lanciato automaticamente all’avvio del sistema.
C’è qualcosa che non funziona…
Ma prima di affrontare questo aspetto, invito chi legge a controllare se sul proprio sistema è presente la directory /Library/Application Support/JavaW.
Da Terminale basta eseguire i comandi seguenti
$ cd /Library/Application Support/
$ ls -al
verificando che la lista prodotta dal comando ls non contenga la directory JavaW, come è molto probabile.
In alternativa, come descritto in dettaglio su The Safe Mac, si può selezionare dal Finder la voce di menu Vai > Vai alla Cartella... (⇧+⌘+G) ed incollare il percorso /Library/Application Support/JavaW nella casella di testo che compare. Se il sistema risponde con un suono di avvertimento, significa che la directory non esiste e che il proprio sistema non è infetto.
Una volta accertato che il nostro sistema non è infetto, torniamo ad occuparci del punto vero della questione.
Come è possibile che un virus, un trojan, un malware, possa creare la directory JavaW in /Library/Application Support/ e un file di configurazione in /Library/LaunchDaemons/, se queste sono directory in cui è consentito scrivere solo a root, il superutente, l’amministratore supremo ed onnipotente di ogni sistema basato su Unix?
$ ls -ald /Library/Application\ Support/
drwxr-xr-x 19 root admin 646 May 17 10:27 /Library/Application Support/
$
$ ls -ald /Library/LaunchDaemons/
drwxr-xr-x 12 root wheel 408 Sep 19 14:04 /Library/LaunchDaemons/
I permessi delle sue directory ce lo dicono chiaramente. In entrambi i casi il permesso di scrittura w è associato solo a root, mentre gli utenti del gruppo admin nonché tutti gli altri utenti possono solo leggere (r) o eseguire (x) il contenuto delle due directory in questione.
Questo meccanismo contribuisce alla maggiore sicurezza dei sistemi Unix rispetto al solito Windows: le directory che contengono il sistema operativo sono accessibili in scrittura solo dagli utenti che (teoricamente) sanno come gestire il sistema e come mantenerlo sicuro, ad esempio utilizzando fra l’altro una password seria, difficilmente craccabile e tenuta il più riservata possibile.
E allora come fa il malware ad installarsi tramite la rete su migliaia di computer, superando la barriera rappresentata dalla conoscenza della password dell’amministratore del sistema? Possibile che gli sviluppatori abbiano trovato il modo di superare uno strato così basilare di sicurezza dei sistemi Unix?
La risposta è venuta fuori ieri, ed è la cosa più ovvia e più prosaica possibile.
Alcune copie pirata di software commerciale sono state infettate dal malware e vengono distribuite in rete attraverso i soliti canali illegali. Installando sul proprio Mac il software pirata si installa senza saperlo anche il malware.
Il tutto funziona perché al momento dell’installazione di un pacchetto software su OS X viene richiesta la password dell’amministratore del sistema – in genere il primo utente creato al momento dell’installazione di OS X – che diventa temporaneamente equivalente al superutente root. Ma aver concesso al programma di installazione, seppur temporaneamente, i privilegi dell’utente root consente di attribuire gli stessi privilegi anche al programma di installazione del malware, che supera le barriere di sicurezza del sistema operativo e si scava una bella cuccia comoda nelle due directory protette del sistema.
Una nuova falla di sicurezza di OS X (o di Linux) dopo la recente scoperta della vulnerabilità di bash?
Nemmeno per sogno, semmai una grave, gravissima, falla di sicurezza nei cervelli di certi utenti.
Ma come si fa, mi chiedo, a scaricare di tutto da Internet, ad installarlo senza controlli sul proprio Mac, e a meravigliarsi se succedono queste cose e se il proprio sistema diventa infetto ed è preferibile reinstallarlo da zero?
Non sono un santo, capisco benissimo che si possa essere tentati di usare del software più o meno illegale, ma una cosa è usare dei prodotti ufficiali con numeri di serie illeciti, un’altra è scaricare software craccato, e quindi modificato rispetto alle copie legali. Chi può garantire che chi ha effettuato il crack si sia limitato ad aggirare il codice relativo alla licenza del software e non abbia aggiunto anche un trojan, una backdoor, un worm (come in questo caso) o chissà che altra porcheria?
E in ogni caso, dovendo scegliere fra un prodotto illegale ed uno open source con funzionalità analoghe (anche se ridotte), personalmente preferirei sempre e comunque la seconda alternativa. A quanti serve veramente una copia craccata di Photoshop quando GIMP può fare tutto o quasi quello che fa Photoshop?