[macnv] Re: le paranoie di un cibernauta... sicurezza con mac...

  • From: "Riccardo Sisti" <riccardo.sisti@xxxxxxxx>
  • To: <macnv@xxxxxxxxxxxxx>
  • Date: Wed, 18 Nov 2009 11:05:12 +0100

Ok Rossi, ma io non sono Davide! Tenevo solo a precisare che nonostante il mac sia molto più sicuro, più stabile, non è esente da virus e io che opero con conti online, cercherei di tutelarmi. 

Rispondo comunque alle tue domande:
1. quanti virus o simili hai preso nei ultimi 3 anni ?
riccardo:
non sono mai stato infettato da virus perchè intercettati dall'antivirus in uso. 
2. quanto tempo spendi per tenere polito il tuo sistema operativo ,
numeri per favore ? es. ogni mese  faccio 3 antivirus , 3 anti
spivare, 3 defrag ecc per circa 2 o 3 ore in totale ...
Riccardo
spendo 19,95 euro all'anno, un defrag ogni 3 mesi, circa uno scandisk a settimana, una scansione a settimana sia con antivirus e antispyware. 
3. il tuo computer mantiene la stessa velocità o tende di ralentare ?
riccardo: Con l'andare del tempo tende a rallentare, è necessario fare manutenzione. 
allora quante volte hai formatato negli ultimi 3 anni ?
zero.
rispondi e cerchiamo una persona che usa mac che potrebbe avvicinarsi
alle tue di statistiche. quindi se uno dice che si sente sicuro sul
lato virus non dovrebbe essere troppo fanatico o superficiale ....
anzi mi sembra lecito a documentarsi ma accusare gli altri perchè
hanno una esperienza positiva mi sembra pocco corretto. comunque non
mi riferisco a te ma a davide che già per ben due volte mi dà la
fanatica e mi sono scocciata.
rk




Il 18/11/09, Riccardo Sisti<riccardo.sisti@xxxxxxxx> ha scritto:

Ciao Rossi,
ormai dovresti aver capito dalle varie liste, che a me non piace fare
polemica ma che, al contrario, mi interessa capire esattamente come stanno
le cose. Hai detto una grande inesattezza e ti pregherei di documentarti
prima di parlare. Ribadisco che l'ambiente mac non è esente da virus. Sono
molto meno diffusi che in windows, ma non ne è esente.  Vatti a leggere
anche le pagine di supporto del sito stesso della apple. A tal proposito ti 
allego due  articoli:

Questo articolo illustra le caratteristiche dei virus e indica come
scoprirli e eliminarli.

CARATTERISTICHE GENERALI

Che cos'è un virus?

Un virus è un programma con due funzioni distinte:

- Si diffonde da una macchina all'altra (codice auto-riproducente). Ciò
comprende sia l'infezione vera e propria di altri sistemi, sia la
trasmissione
del codice in quanti più vettori possibile.

- Il virus implementa i "sintomi" voluti da chi lo ha creato, vale a dire
qualsiasi cosa, fino ad arrivare alla cancellazione di un disco ad una data 
specifica.

Un po' di storia
I virus esistono da quando esiste il computer. Fin dal 1948 John Van
Neumann, il padre del computer moderno, aveva pensato per gioco ad un codice 
di computer
che si auto-riproduceva. Alla fine degli anni Settanta esisteva perfino un
programma che insegnava a progettare i virus. Si chiamava Core Wars e
implementava
un ambiente artificiale mettendo due programmi virus uno contro l'altro.

I virus non appartengono solo al mondo Macintosh

Il sistema Macintosh non è l'unico ad essere colpito dai virus. Anche i
mainframe e i minicomputers sono presi di mira dai programmatori di virus.
Tra
gli incidenti più recenti accaduti a un mainframe ricordiamo il virus che ha 
colpito il sistema postale di IBM, mettendolo in ginocchio per un paio di
giorni. Gli utenti dei PC IBM sono vittima dei virus da molti anni.
Generalmente l'attacco arriva dal documento COMMAND.COM.

Non tutti i virus mirano a provocare un danno, ma...

Non tutti i virus mirano a provocare un danno. A volte il programmatore
vuole semplicemente dimostrare di essere in grado di riuscirci e avere così 
la
soddisfazione di farne parlare giornali e tv. Anche in questi casi,
comunque, i virus possono creare problemi. Per esempio il virus di cui
parlano questa
serie di articoli era stato progettato per essere benigno, tranne che in
alcuni casi specifici. In ogni caso un virus occupa memoria e tempo di
elaborazione,
provocando effetti collaterali casuali come problemi di stampa e cadute del 
sistema.

Niente panico, niente reazioni eccessive

Se si sospetta l'esistenza di un virus è importante non perdere la testa,
fare un passo indietro e valutare la situazione con calma. Una volta
scoperto
il virus e stabilito quali funzioni ha colpito, è relativamente facile
trovare un rimedio. Questo documento contiene le informazioni necessarie per 
affrontare
la maggior parte dei virus.

Virus Unix

Finora non si è parlato molto dei virus Unix, che pure esistono. La loro
diffusione nel software riguarda tanto il mondo Unix quanto quello dei
microcomputer.

LA GRANDE CACCIA AL VIRUS

Quando è il caso di sospettare l'esistenza di un virus?

Quando il computer comincia a comportarsi in maniera diversa dal solito o
quando non riesce più a svolgere le funzioni che svolgeva in passato. Il
problema
è che file di sistema danneggiati possono produrre effetti analoghi, anche
in assenza di virus. Quando si verificano problemi è molto più probabile che 
siano dovuti a cause diverse da un virus. Dopo aver esaminato le aree dei
problemi standard si può considerare la possibilità che il proprio computer 
sia
stato infettato da un virus.

Cosa controllare quando si sospetta la presenza di un virus?

Occorre anzitutto controllare che nella Cartella Sistema non vi siano
documenti invisibili che non appartengono a tale cartella. A meno che non si 
possieda
un'applicazione che crea documenti invisibili nella Cartella Sistema, ogni
documento del genere in questo settore è sospetto. Può essere anche efficace 
un controllo generale di tutti i documenti presenti all'interno della
Cartella Sistema, per verificare che non vi siano risorse incompatibili.

Un virus può attaccare i seguenti documenti e risorse:

- Tutte le applicazioni
- Gli stack HyperCard (il virus MacMag è stato diffuso attraverso uno stack 
HyperCard)

- Documenti contenuti nella Cartella Sistema, tra cui:
System
Finder
Documento Blocco Note
Documento Archivio Appunti
Documento Clipboard
Easy Access
Suono
Mouse
Disco di Avvio
Monitor
Colore
Controlli Generali
Scelta Tastiera
LaserWriter
ImageWriter
AppleTalk ImageWriter
ImageWriter LQ

In altre parole, tutti i documenti di sistema.

Documenti che un virus può danneggiare inavvertitamente
- Qualsiasi documento su un sistema o un volume infetti, compresi documenti 
di sistema, documenti, applicazioni, ecc.

Virus diffusi da programmi pubblici

La maggior parte dei virus si diffondono attraverso i sistemi "public
bulletin board" e sono nascosti in programmi a disposizione del pubblico.
"Sexy Ladies",
un programma distribuito durante l'expo MacWorld a San Francisco, cancellava 
qualunque disco rigido o dischetto in cui veniva a trovarsi al momento
dell'avvio.

Virus diffusi da una rete
L'uso delle reti può facilitare la diffusione di un virus. Ciò può accadere 
in modi diversi a cominciare dal più semplice: una cartella di dominio
pubblico
all'interno di un server da cui chiunque può importare le ultime novità.
Anche le applicazioni condivise su un server possono infettarsi, contagiando 
poi
ogni computer su cui tali applicazioni vengono avviate.

CARATTERISTICHE TECNICHE

Come si propaga un virus
I virus possono propagarsi in vari modi. Quello più comunemente adottato dai 
virus Macintosh per moltiplicarsi consiste nel possedere un INIT che
installa
una funzione di background (VBL). Questa va alla ricerca di eventi
specifici, come l'inserimento di un disco, e poi si duplica sul disco
stesso.

Funzioni VBL
Macintosh ha sempre avuto una forma limitata di procedure di background, che sono disponibili grazie all'uso della coda Vertical Blanking. Ogni volta che lo schermo di un Macintosh (ad eccezione del Macintosh II) viene sottoposto 
ad un'operazione di refresh, vengono eseguite tutte le routine installate
nella
coda. Macintosh II possiede una coda virtuale per ragioni di compatibilità, 
da quando l'avvento di una grande varietà di schermi ha prodotto diversi
tempi
di refresh.
Le funzioni VBL possono essere installate nella coda da qualsiasi programma. 
Il programma deve caricare una routine in una sezione della memoria e
installarla
nella coda VBL richiamando la routine Vinstall ROM routine. Spetta al
programma di installazione assicurarsi che il segmento di memoria che
contiene la
routine rimanga disponibile anche dopo che il programma si è concluso. Ogni funzione VBL deve restare "addormentata" per un certo periodo di tempo prima di essere richiamata. Ogni volta che una routine viene eseguita un apposito 
contatore viene diminuito. Quando quel contatore raggiunge lo zero, la
routine
viene cancellata dalla coda, a meno che la routine stessa riprogrammi il
contatore.

Funzioni VBL prolungate, come quella che potrebbe essere utilizzata per
riprodurre un virus, possono interferire con la normale operatività del
Macintosh
interrompendo processi che non dovrebbero essere interrotti. Un perfetto
esempio di ciò è la stampa su Lasewriter attraverso una rete AppleTalk. Se
una
funzione VBL perde troppo tempo in questa esecuzione, il processo di stampa 
potrebbe concludersi in modo anormale e lasciare il collegamento della
macchina
al network in una condizione di instabilità.

In relazione a un virus, con ogni probabilità il colpevole è un INIT,
responsabile di aver installato una funzione VBL.

INITs

Le INIT sono routine che vengono eseguite quando il Macintosh è avviato.
Nella maggior parte dei casi esse hanno pieno accesso a tutti i comandi
normalmente
a disposizione di un programma Macintosh standard. La differenza più
significativa è che i puntatori alla memoria bassa non sono stati ancora
installati
e ogni INIT che ha necessità di accedere a strutture di norma conservate
nella memoria bassa deve crearne di propri.

Le INIT nel file di sistema:
Quando un Macintosh è avviato, le INIT nella Cartella Sistema sono il primo codice ad essere eseguito. Queste INITs dovrebbero essere generalmente solo 
INIT Apple. In caso contrario devono essere considerate sospette.

Il meccanismo INIT 31
Nel file di sistema è stato creato uno speciale INIT, INIT 31, che consente 
l'esecuzione di INIT non-Apple senza che essi siano installati nel file di
sistema stesso. Quando tutte le altre INIT del file di sistema sono state
eseguite, INIT 31 ricerca nella Cartella Sistema documenti di tipo INIT,
RDEV,
cdev, ed esegue tutte le risorse che trova in questi documenti.
L'ordine in cui questi documenti vengono caricati è alfabetico. Inutile dire che un modo semplice di nascondere parti di un virus è quello di introdurre 
un INIT in documenti legittimi già esistenti nella Cartella Sistema.

CDEVs

Il documento tipo cdev indica un documento di controllo.
Quando il Pannello di Controllo viene caricato, esso si muove nella
directory della Cartella Sistema alla ricerca di ogni documento di tipo
'cdev'. Quando
lo trova, il Pannello di Controllo carica l'ICN# di quel documento
(supponendo che ne abbia uno) nell'elenco di icone che si trova sul lato
sinistro del
Pannello di Controllo.
Quando si fa clic su questa icona, viene eseguito il codice che si trova
nella risorsa cdev nel documento di tipo 'cdev'.     Un virus potrebbe
facilmente
utilizzare que    sto meccanismo per infettare il sistema, installare una
funzione VBL etc.
Molti documenti cdev contengono INIT. Il cdev controlla le impostazioni che l'INIT utilizza quando viene installato. Un esempio di ciò è l'impostazione per un oscuratore di schermo. L'INIT in effetti installa la funzione VBL, ma 
è il cdev a controllare quando si verifica l'oscuramento. Nessuno dei
documenti
cdev dei sistemi Apple standard contiene INIT, ma niente impedisce a un
virus di installare un INIT in questi documenti allo scopo di nascondere il 
suo
codice.

DRVRs

Di norma le risorse DRVR possiedono una o due funzioni: possono costituire
il codice di un accessorio del desk o il codice dei driver necessari al
sistema
per eseguire funzioni come quella di stampa. Ancora una volta la parola
chiave è "codice". Potenzialmente, ogni volta che viene utilizzato un
codice, qualsiasi
creatore di virus può approfittarne. Proprio come accade con cdevs, un
codice viene eseguito ogni volta che un DRVR viene aperto - o scegliendo un 
accessorio
della scrivania o del sistema. Ed è a questo punto che un virus può colpire 
il bersaglio.

Risorse del codice

Ogni applicazione possiede almeno due risorse di codice. La prima ha un
identificativo 0 e contiene ciò che è conosciuto come "jump table", una
tabella
con le informazioni necessarie a varie parti del programma per richiamare
routine in altri segmenti di codice. Un danno frequente perpetrato da un
virus
consiste nel modificare la risorsa CODICE ID = 0 di un'applicazione in modo che il segmento codice che esso installa su un applicazione venga richiamato prima che questa sia effettivamente avviata. Questo segmento codice potrebbe 
attivarsi per controllare se il virus ha contagiato il sistema corrente e,
se ciò non si è verificato, installare se stesso. A questo punto chi intende 
diffondere il virus in tutto il mondo non deve far altro che caricare una
copia dell'applicazione infetta su un BBS.

Applicazioni che consentono procedure esterne.
I virus potrebbero approfittare delle procedure esterne consentite da alcune 
applicazioni. Un perfetto esempio di ciò è HyperCard, con i suoi XCMDs e
XFCNs.
Il virus MacMag è stato trasmesso proprio così.

Questo articolo continua in
Computer "Viruses" (2 of 2)
secondo articolo:
to Flash
Fine filmato Flash
Nubi all'orizzonte per i pc Apple. In meno di una settimana sono già due le 
segnalazioni di attacchi worm al sistema operativo Mac OS X prodotto dalla
casa
di Cupertino. Il nuovo virus informatico, identificato dal colosso degli
antivirus Symantec, si chiama OSX.Inqtana.A e va ad aggiungersi al già
temibile
OSX/Leap-A riscontrato dagli esperti esecurity nei giorni scorsi. Entrambi
sfruttano alcune falle del sistema operativo attaccando le connessioni senza filo di tipo bluetooth. La notizia dell'attacco worm ai Mac ha fatto il giro del mondo destando molto scalpore, dal momento che la violazione del Mac OS 
crea di per sé un vero e proprio precedente. Quella che fino ad oggi
sembrava essere la caratteristica vincente dei pc Apple, la sicurezza nei
confronti
degli attacchi informatici, è venuta meno, trascinando nell'ombra un
concetto di fondo che sembrava essere l'unico a creare un reale appeal fra i 
consumatori.


Una prova della diffusione

"E' una prova della diffusione dei virus in sistemi operativi diversi da
Windows" ha commentato Vincent Weafer, direttore Symantec. "Questa prima
minaccia
per il Macintosh OS X è un esempio della continua diffusione di codici
maliziosi su altre piattaforme", per intenderci diverse dal Windows del
gigante
informatico Microsoft, che detenendo più del 90% del mercato dei sistemi
operativi già da tempo è in prima linea per combattere il fenomeno.




Cybercrime: ecco come i falsi antivirus...
Negli ultimi due anni abbiamo parlato spesso di quei programmi che dicono... 

Di fatto, gli esperti ritengono al momento si tratti di una minaccia
contenuta (livello di pericolosità 1), ma sottolineano che i computer della 
casa di
Steve Jobs non sono più da considerarsi immuni da qualsiasi attacco e che,
con frequenza sempre maggiore, saranno il bersaglio prescelto dagli hacker, soprattutto dopo la scelta strategica di utilizzare i chip della Intel. Una 
decisione, questa, che al di là delle prestazioni promesse è stata dettata
soprattutto dalla necessità di acquistare maggiore popolarità e risollevare le proprie sorti in un mercato che, al momento, vede Apple detenere meno del 
4%. Si può quindi affermare che, almeno per ora, la scelta di abbandonare
Ibm non sta certo pagando.

Il provider di sfotware antivirus Sophos
Secondo il provider di sfotware antivirus Sophos, il virus troyan OSX/Leap-A 
- che si diffonde attraverso il programma di instant messaging della Mela
iChat,
compatibile con quello del provider statunitense AOL Aim, e che oltre a
infettare il computer si auto- invia automaticamente a tutti i contatti
nella rubrica
- sta dilagando in chat come allegato, presentandosi al computer ricevente
con il nome di latestpics.tgz e lo infetta se si dà il via libera allo
scaricamento
del file. Il virus, un cavallo di troia che una volta lanciato sblocca la
richiesta della password di sistema per poi andarsi ad installare in varie
applicazioni.
Il worm colpisce i sistemi con ambiente MacOS X versione 10.4 su processore 
PPC, e sebbene sia relativamente facile da rimuovere da un sistema
infettato,
SophosLabs raccomanda agli utenti colpiti di formattare il pc e reinstallare 
il sistema operativo, una volta corretto. Dal canto suo Apple ha replicato
che più che un virus o un worm si tratti di un troyan, e ha dichiarato al
Wall Street Journal che: "Leap è un software maligno, ma non è un virus.
Deve
essere scaricato ed eseguito con la collaborazione dell'utente. In termini
pratici si tratta di un programma che si maschera da file d'immagine per
applicare
i suoi effetti. Apple raccomanda i suoi utenti di accettare file da terze
parti e da siti web che conoscono e di cui si fidano". Al di là delle
definizioni,
rimane comunque il rischio che un pirata informatico possa partire da queste basi per scrivere cavalli di Troia che sono in grado di compiere azioni ben più pericolose, dando il via ad una catena di nuovi worm. In ultima analisi, 
l'attacco ai Mac resta comunque un episodio senza precedenti, senza
considerare
che in termini di immagine ha inferto un duro colpo alla Apple e al suo
sistema operativo, che da oggi in poi non potranno più definirsi
'invulnerabili'.

All rights reserve
To: macnv@xxxxxxxxxxxxx
  Sent: Tuesday, November 17, 2009 8:40 PM
Subject: [macnv] Re: le paranoie di un cibernauta... sicurezza con mac... 


  ciao ricardo ,
  non commento il discorso sui anti virus ma ti chiedo di astenerti sui
giudizi come superficiale in quanto riguarda la esperienza degli altri. ti
vedo che cerchi di capire le cose ma se uno ti dice che in 28 anni non ha
preso niente di sicuro non sei te a dire che che questi opinioni o
esperienze sono superficiali. ti aggiungo , se per te io e veronica siamo
delle pappere informatiche , forse ti impressiona che neanche il mio marito ha mai beccato qualcosa in 4 anni di intensa navigazzione , inclusa di p2p e 
altri fonti di virus .
  quindi trattieni fiatto e cerca di capire meglio.
  per adesso non vi sono virus e finche non arrivano godiamoci questo
momento , quando arrivano ci pensiamo , che ne dici ?


  rk


  Il giorno 17/nov/2009, alle ore 20.32, postmaster de Ilgerone.net ha
scritto:




    Il giorno 17/nov/2009, alle ore 19.51, Riccardo Sisti ha scritto:
    ...a mio avviso fai bene ad avere queste paranoie e trovo molto
superficiale il ddiscorso di Veronica la quale dice dormi tranquillo che sei 
con un mac!
    Se fosse davvero così, perchè esistono anche gli antivirus per mac?
Inoltre  vi sono diversi articoli in rete nei quali viene spiegato che è
errato pensare che il mac sia esente dalla possibilità di beccare virus.
Certo, i virus sono molto più rari rispetto a windows, ma sono presenti. In questi articoli di cui ora non ricordo la provenienza, veniva spiegato che è 
solo una questione di diffusione. I creatori di virus preferiscono creare
virus che girino su  windows non perchè sia più vulnerabile di leopard, ma
perchè è il più diffuso e quindi l'infezione si diffonde più velocemmente.
Ora però, con la sempre maggiore diffusione dei mac, probabilmente le cose
cambieranno. Io un bel antivirus tipo avira per mac lo installerei...


    Ciao riccardo,
in verità, non sono tanto i virus a preoccuparmi, poi esiste ClamAvi per mac, che nasce per linux, lo conoscevo grazie ad Enrico zini, guru debian da 
tempo immemore, ed anche Giacy e Fabio lo avevano citato...
    il mio domandare, sopratutto, era riferito ai bootnet, che sono assai
più perniciosi, tutto li.
la diffusione dei virus, non dimenticarlo, si propaga in ambito windows 
per diversi motivi, non ultimo il fatto che l'ambito windows pullula di
antivirus a pagamento, non ti dice nulla questo?
    girellando tra il mondo del software per mac, i prezzi sono
disastrosamente più bassi ed è fiorentissimo il mondo del free, a mio aviso 
più che in windows, se facciamo le debite proporzioni...
    confido molto, anche nel firewall del mio routher e nel fatto che
fastweb non da ip pubblici, anche questo non è da sottovalutare.
    vedremo...
intanto mi documento, ribadisco la mia paranoia, la rete non è un gioco, 
per queste cose.
    ciao.
Per cancellarti invia una mail all'indirizzo macnv-request@xxxxxxxxxxxxx con la parola unsubscribe 
nell'oggetto del messaggio.
Per consultare l'archivio dei messaggi //www.freelists.org/archive/macnv Per informazioni, consulenza o se hai bisogno di un corso per utilizzare il Mac contatta Blue Night 
Informatica (tel. 3296628961, www.bluenightinformatica.it).
Per cancellarti invia una mail all'indirizzo macnv-request@xxxxxxxxxxxxx con la parola unsubscribe nell'oggetto del messaggio. 
Per consultare l'archivio dei messaggi //www.freelists.org/archive/macnv
Per informazioni, consulenza o se hai bisogno di un corso per utilizzare il Mac contatta Blue Night Informatica (tel. 3296628961, www.bluenightinformatica.it).

Other related posts:

  1. Home
  2. macnv
  3. Archive
  4. 11-2009