skip to main | skip to sidebar
20 commenti

Allarme per “virus” Mac, calma!

Trappola osé per utenti Mac, ma niente panico


Le segnalazioni di virus o altro malware per il mondo Apple sono talmente rare che quando arrivano fanno subito notizia, anche quando (come in questo caso), si tratta di un "virus" particolarmente sdentato, il cui unico pregio tecnico è di utilizzare dietro le quinte un sistema abbastanza elegante per commettere raggiri informatici.

Il meccanismo di base di questo "virus" (più propriamente un trojan), denominato OSX.RSPlug.A, è classico: l'utente visita un sito pornografico seguendo l'invito di un messaggio di spam e vi trova quelli che sembrano essere fotogrammi di un filmato osé.

Se vi clicca sopra nella speranza di vedere il filmato, ottiene una pagina che dice che Quicktime non è in grado di riprodurre il videoclip e che invita a scaricare un programma apposito, descritto come "una nuova versione del codec" necessaria per visualizzare il filmato, come mostrato nell'immagine qui sopra, tratta da Wired.

Se l'utente scarica il programma e accetta di installarlo (dando la password di amministratore), il trojan s'installa e prende il controllo del Mac.

Come avrete notato, si tratta quindi di una serie davvero notevole di azioni volontarie che l'utente deve compiere prima di potersi infettare: e se l'utente è così sprovveduto da abboccare a questa serie, non c'è sistema operativo che tenga ed è forse il caso di togliergli dalle mani il computer fino a quando avrà imparato a tenere a freno il testosterone e seguito un corso base di sicurezza e buon senso (quello che include la lezione "Passeggiare bendati in autostrada è pericoloso?"). Siamo, fin qui, nel campo del social engineering più classico: beccare gli allocchi usando le donne nude.

La parte tecnicamente interessante è quella dietro le quinte: il trojan cambia il server DNS impostato nel Mac e lo rimpiazza con uno ostile. Il server DNS ostile intercetta le richieste dell'utente di visitare siti dove avvengono transazioni, tipo Ebay o Paypal, e le redirige su siti-fotocopia nei quali l'utente immette i propri dati personali, password comprese, senza potersi accorgere di nulla. In alcune varianti, il server DNS ostile porta semplicemente ad altri siti porno, forse per trarre guadagni indiretti dalla pubblicità aumentando il numero di visitatori.

Sotto Mac OS X Tiger (10.4) non c'è modo di accorgersi della trappola, almeno a livello di interfaccia grafica; sotto Leopard (10.5) lo si può fare nelle preferenze di rete avanzate.

Chiaramente la prevenzione è come al solito la cura migliore; ma se siete così malaccorti da farvi infettare, usate uno dei tanti antivirus per Mac. Il vero problema è che se un utente è così poco sveglio da abboccare a trappole come questa, difficilmente sarà all'altezza di accorgersi dell'infezione. Almeno fino a quando non si accorgerà che il suo conto Paypal o in banca è stato svuotato.

Al di là di queste considerazioni tecniche, come nota anche l'articolo di Wired linkato sopra, questo trojan segna una tappa importante: significa che il Mac ha raggiunto una diffusione tale da diventare appetibile per i creatori di malware. E si potrebbe anzi dire che gli utenti Mac sono vittime più facili di quelli Windows, perché sono poco abituati a prendere precauzioni.

Questo vuol dire che è finito il mito dell'invulnerabilità dei Mac? Assolutamente no. Quello esiste soltanto nella fantasia dei fanboy e degli irresponsabili del marketing. Al sistema operativo si deve chiedere soltanto di essere robusto; al resto deve e dovrà sempre pensarci l'utente.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati manualmente da un moderatore a sua discrezione: è scomodo, ma è necessario per mantenere la qualità dei commenti e tenere a bada scocciatori, spammer, troll e stupidi.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui e/o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (20)
[OT] Scusa se ti rompo anche qui. Ieri ti ho scritto un e-mail su topone (at) pobox (punto) com riguardante ubuntusemplice. L'hai vista? PF, se puoi rispondimi perchè per me è molto importante. Grazie e scusa :P Ciao
Elegante l'idea del DNS. Per quanto riguarda la metodologia trita e ritrita di attacco... onestamente chiamare questo virus "sdentato" mi pare decisamente eccessivo: sai meglio di me che è un tipo di trappola (insieme ai soldi gratis dalla nigeria) che miete vittime a milioni. Molta gente non sa neanche COSA sia un virus o COME lo si possa prendere e non ha la più pallida idea dell'utilità di una password di amministratore (come dimostrano tutte le persone che lavorano coi privilegi di admin su windows, complice l'eredità di win9x).

Il problema è che l'informatica si è fatta talmente semplice da permettere a qualsiasi utonto di utilizzare un computer, ma il computer non è ancora sufficientemente intelligente da impedire agli utonti di fare idiozie di questo calibro.
Io per guidare un'automobile ho bisogno di una patente, in quanto altrimenti rischio di fare danni gravissimi a mé stesso e agli altri. Per usare un computer e lasciarlo infestare da trojan, open proxy, etc. etc. etc. non ho bisogno di alcun permesso. Allora, a quando la patente obbligatoria per il PC?
comunque un virus per essere tale deve avere la capacità di autoriprodursi in serie ad esempio via mail e simili. Cosa che a questo manca mi pare no?
E' vero, l'utente non deve essere fiducioso nelle richieste di download.
Però come utente Windows non so cosa sia l'estensione ".dmg" (è un eseguibile?) e se domani passassi a Mac forse nei primi tempi ci cadrei anch'io.
So di essere tremendamente OT ma vorrei far notare a Paolo che oggi corriere.it cita delle fonti secondo cui l'iniziativa dei radiohead di affidarsi alle offerte dei fun si sia rivelata una strategia pessima.. (http://www.corriere.it/spettacoli/07_novembre_07/marchetti_radiohead.shtml)

mi paicerebbe sapere il tuo parere, visto che ne hai parlato più volte! io continuo a sostenere la tua precedente visione della questione ma penso siano doverose delle precisazioni! grazie e complimenti per il blog che leggo sempre!
@ Oscar
Infatti Paolo ha parlato di trappola, e ha usato "virus" virgolettato.
Un trojan classico, non cè che dire.
Già mi vedo gli utenti MAC a comprare Norton per MAC e a ritrovarsi così il sistema dimezzato. Benvenuti nell'immondezzaio del web.
@ rod: dubito fortemente che una cosa del genere accada, a meno che non si tratti di windows user assuefatti agli antivirus



ps: ma se il DNS sono settati nel router, OS X quali usa in caso di conflitto??
@Davide: Permettimi di risponder all'OT.

Primo, l'articolo che citi dice che 2 milioni di scaricatori su 12 milioni non hanno pagato, e dice che questi sono il 62%. Uno dei dati e' chiaramente sbagliato

Secondo, sempre facendo riferimento all'articolo, abbiamo 12 milioni di scaricatori e un'offerta media di 3-4 euro. Facciamo 3,5 per fare i conti. Questo vuol dire che ai Radiohead sono arrivati 42 milioni di euro. Senza intermediari. E senza aver ancora iniziato la vendita dell'edizione con vinili per i fan. Mi sembra una cifra di tutto rispetto, non parlerei di "risultato deprimente"
infatti a non aver pagato per il cd sono quelli che in alternativa l'avrebbero scaricato dal mulo. Non si possono tirare ancora conclusioni, ma è un peccato vedere un giornale come il corriere della sera (i cui articolisti hanno dimostrato in passato una certa competenza economica) argomentare in maniera così piatta. Non ci sono riferimenti ai costi marginali e totali, nè ai tempi, o al rapporto costi/benefici, solo un "la maggioranza non ha pagato".
avete perfettamente ragione, anche a me i dati parevano tutt'altro che deprimenti! è che il tono dell'articolo non lasciava spazio ad altre interpretazioni...

mi scuso ancora per l'OT!
Oscar, no.

- un virus infetta altri file eseguibili
- un WORM si replica "attraverso mail o simili"
- un trojan ha funzioni maligne nascoste ma ne' si replica ne' infetta altri eseguibili

Queste sono definizioni che esistono da decine di anni. Mi chiedo come sia possibile che ancora si faccia confusione.
Come diceva "quello là"...
Qui, il problema, sta tra lo schermo e la seggiola....
(in realtà appena appena sopra, la seggiola.... aggiungo io)
haha! Sul momento non l'avevo capita.
Credevo fosse inutile specificarlo, ma mi pare ovvio che "virus" era qui usato come termine generico per la categoria di programmi...

Quanto al Corriere, (della cui serietà non ho informazioni ma a naso non mi fiderei più degli altri) non so cosa stesse pensando il giornalista quando ha scritto quell'articolo. Mi sembra prevenuto, offre una sola visione, una sola interpretazione dell'evento.
(Attenzione: l'articolo riporta, non so se per via della revisione di oggi, un 62% di scrocconi su un totale di 1,2 milioni di compratori, mentre i 2 milioni sono la base statistica della ditta di analisi comScore).
Notizia fresca fresca, la pagina della cantante Alicia Keys su Myspace e' stata compromessa, e cosa si beccava la gente che voleva vedere dei video o altro di Alicia Keys? Proprio questo trojan:

http://blogs.zdnet.com/security/?p=647

Fate attenzione, credere che questo trojan si propaghi solo "tramite finti video porno" e che un antivirus lo trovi con facilita' e' molto, ma MOLTO sbagliato.
proseguo l'OT di davide
mi piacerebbe che attivissimo ne trattasse, ci sono ottimi spunti


in due parole: ci avrei scommesso che sui giornali dicevano che era brutto e andava male


"...grazie all’aiuto della major discografica"
"...l’industria discografica, che guardava all’iniziativa con un misto di curiosità e speranza"


sono delle bufale talmente grosse che dovrebbero assolutamente essere inserite qui :DDDD


con pochissima spesa poter incassare direttamente 1 o 2 milioni al mese ancora prima di iniziare a vendere i cd... è di sicuro un fallimento
....ma non dei radiohead :)

a qualcuno bruciacchia...?
mah, non saprei. Se ci sono donne nude, allora, forse...
Non mi quadra dove e' scritto che con Tiger (10.4) non c'è modo di accorgersi della trappola con l'interfaccia grafica, ma con Leopard (10.5) lo si può fare nelle preferenze di rete avanzate.
In entrambi i casi i DNS di default sono visibili, anzi.. su Leopard non sono cosi' immeditamente visibili come su Tiger.

Ciao
Mi sembra tanto la versione per Mac del famoso e pericolosissimo "Virus Albanese"...
http://badakla.giovani.it/diari/116911/virus_albanese.html

:D

Saluti
Hanmar