[macnv] Re: le paranoie di un cibernauta... sicurezza con mac...
- From: "Riccardo Sisti" <riccardo.sisti@xxxxxxxx>
- To: <macnv@xxxxxxxxxxxxx>
- Date: Wed, 18 Nov 2009 10:07:54 +0100
Ciao Rossi,
ormai dovresti aver capito dalle varie liste, che a me non piace fare polemica
ma che, al contrario, mi interessa capire esattamente come stanno le cose. Hai
detto una grande inesattezza e ti pregherei di documentarti prima di parlare.
Ribadisco che l'ambiente mac non è esente da virus. Sono molto meno diffusi che
in windows, ma non ne è esente. Vatti a leggere anche le pagine di supporto
del sito stesso della apple. A tal proposito ti allego due articoli:
Questo articolo illustra le caratteristiche dei virus e indica come scoprirli e
eliminarli.
CARATTERISTICHE GENERALI
Che cos'è un virus?
Un virus è un programma con due funzioni distinte:
- Si diffonde da una macchina all'altra (codice auto-riproducente). Ciò
comprende sia l'infezione vera e propria di altri sistemi, sia la trasmissione
del codice in quanti più vettori possibile.
- Il virus implementa i "sintomi" voluti da chi lo ha creato, vale a dire
qualsiasi cosa, fino ad arrivare alla cancellazione di un disco ad una data
specifica.
Un po' di storia
I virus esistono da quando esiste il computer. Fin dal 1948 John Van Neumann,
il padre del computer moderno, aveva pensato per gioco ad un codice di computer
che si auto-riproduceva. Alla fine degli anni Settanta esisteva perfino un
programma che insegnava a progettare i virus. Si chiamava Core Wars e
implementava
un ambiente artificiale mettendo due programmi virus uno contro l'altro.
I virus non appartengono solo al mondo Macintosh
Il sistema Macintosh non è l'unico ad essere colpito dai virus. Anche i
mainframe e i minicomputers sono presi di mira dai programmatori di virus. Tra
gli incidenti più recenti accaduti a un mainframe ricordiamo il virus che ha
colpito il sistema postale di IBM, mettendolo in ginocchio per un paio di
giorni. Gli utenti dei PC IBM sono vittima dei virus da molti anni.
Generalmente l'attacco arriva dal documento COMMAND.COM.
Non tutti i virus mirano a provocare un danno, ma...
Non tutti i virus mirano a provocare un danno. A volte il programmatore vuole
semplicemente dimostrare di essere in grado di riuscirci e avere così la
soddisfazione di farne parlare giornali e tv. Anche in questi casi, comunque, i
virus possono creare problemi. Per esempio il virus di cui parlano questa
serie di articoli era stato progettato per essere benigno, tranne che in alcuni
casi specifici. In ogni caso un virus occupa memoria e tempo di elaborazione,
provocando effetti collaterali casuali come problemi di stampa e cadute del
sistema.
Niente panico, niente reazioni eccessive
Se si sospetta l'esistenza di un virus è importante non perdere la testa, fare
un passo indietro e valutare la situazione con calma. Una volta scoperto
il virus e stabilito quali funzioni ha colpito, è relativamente facile trovare
un rimedio. Questo documento contiene le informazioni necessarie per affrontare
la maggior parte dei virus.
Virus Unix
Finora non si è parlato molto dei virus Unix, che pure esistono. La loro
diffusione nel software riguarda tanto il mondo Unix quanto quello dei
microcomputer.
LA GRANDE CACCIA AL VIRUS
Quando è il caso di sospettare l'esistenza di un virus?
Quando il computer comincia a comportarsi in maniera diversa dal solito o
quando non riesce più a svolgere le funzioni che svolgeva in passato. Il
problema
è che file di sistema danneggiati possono produrre effetti analoghi, anche in
assenza di virus. Quando si verificano problemi è molto più probabile che
siano dovuti a cause diverse da un virus. Dopo aver esaminato le aree dei
problemi standard si può considerare la possibilità che il proprio computer sia
stato infettato da un virus.
Cosa controllare quando si sospetta la presenza di un virus?
Occorre anzitutto controllare che nella Cartella Sistema non vi siano documenti
invisibili che non appartengono a tale cartella. A meno che non si possieda
un'applicazione che crea documenti invisibili nella Cartella Sistema, ogni
documento del genere in questo settore è sospetto. Può essere anche efficace
un controllo generale di tutti i documenti presenti all'interno della Cartella
Sistema, per verificare che non vi siano risorse incompatibili.
Un virus può attaccare i seguenti documenti e risorse:
- Tutte le applicazioni
- Gli stack HyperCard (il virus MacMag è stato diffuso attraverso uno stack
HyperCard)
- Documenti contenuti nella Cartella Sistema, tra cui:
System
Finder
Documento Blocco Note
Documento Archivio Appunti
Documento Clipboard
Easy Access
Suono
Mouse
Disco di Avvio
Monitor
Colore
Controlli Generali
Scelta Tastiera
LaserWriter
ImageWriter
AppleTalk ImageWriter
ImageWriter LQ
In altre parole, tutti i documenti di sistema.
Documenti che un virus può danneggiare inavvertitamente
- Qualsiasi documento su un sistema o un volume infetti, compresi documenti di
sistema, documenti, applicazioni, ecc.
Virus diffusi da programmi pubblici
La maggior parte dei virus si diffondono attraverso i sistemi "public bulletin
board" e sono nascosti in programmi a disposizione del pubblico. "Sexy Ladies",
un programma distribuito durante l'expo MacWorld a San Francisco, cancellava
qualunque disco rigido o dischetto in cui veniva a trovarsi al momento
dell'avvio.
Virus diffusi da una rete
L'uso delle reti può facilitare la diffusione di un virus. Ciò può accadere in
modi diversi a cominciare dal più semplice: una cartella di dominio pubblico
all'interno di un server da cui chiunque può importare le ultime novità. Anche
le applicazioni condivise su un server possono infettarsi, contagiando poi
ogni computer su cui tali applicazioni vengono avviate.
CARATTERISTICHE TECNICHE
Come si propaga un virus
I virus possono propagarsi in vari modi. Quello più comunemente adottato dai
virus Macintosh per moltiplicarsi consiste nel possedere un INIT che installa
una funzione di background (VBL). Questa va alla ricerca di eventi specifici,
come l'inserimento di un disco, e poi si duplica sul disco stesso.
Funzioni VBL
Macintosh ha sempre avuto una forma limitata di procedure di background, che
sono disponibili grazie all'uso della coda Vertical Blanking. Ogni volta che
lo schermo di un Macintosh (ad eccezione del Macintosh II) viene sottoposto ad
un'operazione di refresh, vengono eseguite tutte le routine installate nella
coda. Macintosh II possiede una coda virtuale per ragioni di compatibilità, da
quando l'avvento di una grande varietà di schermi ha prodotto diversi tempi
di refresh.
Le funzioni VBL possono essere installate nella coda da qualsiasi programma. Il
programma deve caricare una routine in una sezione della memoria e installarla
nella coda VBL richiamando la routine Vinstall ROM routine. Spetta al programma
di installazione assicurarsi che il segmento di memoria che contiene la
routine rimanga disponibile anche dopo che il programma si è concluso. Ogni
funzione VBL deve restare "addormentata" per un certo periodo di tempo prima
di essere richiamata. Ogni volta che una routine viene eseguita un apposito
contatore viene diminuito. Quando quel contatore raggiunge lo zero, la routine
viene cancellata dalla coda, a meno che la routine stessa riprogrammi il
contatore.
Funzioni VBL prolungate, come quella che potrebbe essere utilizzata per
riprodurre un virus, possono interferire con la normale operatività del
Macintosh
interrompendo processi che non dovrebbero essere interrotti. Un perfetto
esempio di ciò è la stampa su Lasewriter attraverso una rete AppleTalk. Se una
funzione VBL perde troppo tempo in questa esecuzione, il processo di stampa
potrebbe concludersi in modo anormale e lasciare il collegamento della macchina
al network in una condizione di instabilità.
In relazione a un virus, con ogni probabilità il colpevole è un INIT,
responsabile di aver installato una funzione VBL.
INITs
Le INIT sono routine che vengono eseguite quando il Macintosh è avviato. Nella
maggior parte dei casi esse hanno pieno accesso a tutti i comandi normalmente
a disposizione di un programma Macintosh standard. La differenza più
significativa è che i puntatori alla memoria bassa non sono stati ancora
installati
e ogni INIT che ha necessità di accedere a strutture di norma conservate nella
memoria bassa deve crearne di propri.
Le INIT nel file di sistema:
Quando un Macintosh è avviato, le INIT nella Cartella Sistema sono il primo
codice ad essere eseguito. Queste INITs dovrebbero essere generalmente solo
INIT Apple. In caso contrario devono essere considerate sospette.
Il meccanismo INIT 31
Nel file di sistema è stato creato uno speciale INIT, INIT 31, che consente
l'esecuzione di INIT non-Apple senza che essi siano installati nel file di
sistema stesso. Quando tutte le altre INIT del file di sistema sono state
eseguite, INIT 31 ricerca nella Cartella Sistema documenti di tipo INIT, RDEV,
cdev, ed esegue tutte le risorse che trova in questi documenti.
L'ordine in cui questi documenti vengono caricati è alfabetico. Inutile dire
che un modo semplice di nascondere parti di un virus è quello di introdurre
un INIT in documenti legittimi già esistenti nella Cartella Sistema.
CDEVs
Il documento tipo cdev indica un documento di controllo.
Quando il Pannello di Controllo viene caricato, esso si muove nella directory
della Cartella Sistema alla ricerca di ogni documento di tipo 'cdev'. Quando
lo trova, il Pannello di Controllo carica l'ICN# di quel documento (supponendo
che ne abbia uno) nell'elenco di icone che si trova sul lato sinistro del
Pannello di Controllo.
Quando si fa clic su questa icona, viene eseguito il codice che si trova nella
risorsa cdev nel documento di tipo 'cdev'. Un virus potrebbe facilmente
utilizzare que sto meccanismo per infettare il sistema, installare una
funzione VBL etc.
Molti documenti cdev contengono INIT. Il cdev controlla le impostazioni che
l'INIT utilizza quando viene installato. Un esempio di ciò è l'impostazione
per un oscuratore di schermo. L'INIT in effetti installa la funzione VBL, ma è
il cdev a controllare quando si verifica l'oscuramento. Nessuno dei documenti
cdev dei sistemi Apple standard contiene INIT, ma niente impedisce a un virus
di installare un INIT in questi documenti allo scopo di nascondere il suo
codice.
DRVRs
Di norma le risorse DRVR possiedono una o due funzioni: possono costituire il
codice di un accessorio del desk o il codice dei driver necessari al sistema
per eseguire funzioni come quella di stampa. Ancora una volta la parola chiave
è "codice". Potenzialmente, ogni volta che viene utilizzato un codice, qualsiasi
creatore di virus può approfittarne. Proprio come accade con cdevs, un codice
viene eseguito ogni volta che un DRVR viene aperto - o scegliendo un accessorio
della scrivania o del sistema. Ed è a questo punto che un virus può colpire il
bersaglio.
Risorse del codice
Ogni applicazione possiede almeno due risorse di codice. La prima ha un
identificativo 0 e contiene ciò che è conosciuto come "jump table", una tabella
con le informazioni necessarie a varie parti del programma per richiamare
routine in altri segmenti di codice. Un danno frequente perpetrato da un virus
consiste nel modificare la risorsa CODICE ID = 0 di un'applicazione in modo che
il segmento codice che esso installa su un applicazione venga richiamato
prima che questa sia effettivamente avviata. Questo segmento codice potrebbe
attivarsi per controllare se il virus ha contagiato il sistema corrente e,
se ciò non si è verificato, installare se stesso. A questo punto chi intende
diffondere il virus in tutto il mondo non deve far altro che caricare una
copia dell'applicazione infetta su un BBS.
Applicazioni che consentono procedure esterne.
I virus potrebbero approfittare delle procedure esterne consentite da alcune
applicazioni. Un perfetto esempio di ciò è HyperCard, con i suoi XCMDs e XFCNs.
Il virus MacMag è stato trasmesso proprio così.
Questo articolo continua in
Computer "Viruses" (2 of 2)
secondo articolo:
to Flash
Fine filmato Flash
Nubi all'orizzonte per i pc Apple. In meno di una settimana sono già due le
segnalazioni di attacchi worm al sistema operativo Mac OS X prodotto dalla casa
di Cupertino. Il nuovo virus informatico, identificato dal colosso degli
antivirus Symantec, si chiama OSX.Inqtana.A e va ad aggiungersi al già temibile
OSX/Leap-A riscontrato dagli esperti esecurity nei giorni scorsi. Entrambi
sfruttano alcune falle del sistema operativo attaccando le connessioni senza
filo di tipo bluetooth. La notizia dell'attacco worm ai Mac ha fatto il giro
del mondo destando molto scalpore, dal momento che la violazione del Mac OS
crea di per sé un vero e proprio precedente. Quella che fino ad oggi sembrava
essere la caratteristica vincente dei pc Apple, la sicurezza nei confronti
degli attacchi informatici, è venuta meno, trascinando nell'ombra un concetto
di fondo che sembrava essere l'unico a creare un reale appeal fra i consumatori.
Una prova della diffusione
"E' una prova della diffusione dei virus in sistemi operativi diversi da
Windows" ha commentato Vincent Weafer, direttore Symantec. "Questa prima
minaccia
per il Macintosh OS X è un esempio della continua diffusione di codici
maliziosi su altre piattaforme", per intenderci diverse dal Windows del gigante
informatico Microsoft, che detenendo più del 90% del mercato dei sistemi
operativi già da tempo è in prima linea per combattere il fenomeno.
Cybercrime: ecco come i falsi antivirus...
Negli ultimi due anni abbiamo parlato spesso di quei programmi che dicono...
Di fatto, gli esperti ritengono al momento si tratti di una minaccia contenuta
(livello di pericolosità 1), ma sottolineano che i computer della casa di
Steve Jobs non sono più da considerarsi immuni da qualsiasi attacco e che, con
frequenza sempre maggiore, saranno il bersaglio prescelto dagli hacker,
soprattutto dopo la scelta strategica di utilizzare i chip della Intel. Una
decisione, questa, che al di là delle prestazioni promesse è stata dettata
soprattutto dalla necessità di acquistare maggiore popolarità e risollevare le
proprie sorti in un mercato che, al momento, vede Apple detenere meno del
4%. Si può quindi affermare che, almeno per ora, la scelta di abbandonare Ibm
non sta certo pagando.
Il provider di sfotware antivirus Sophos
Secondo il provider di sfotware antivirus Sophos, il virus troyan OSX/Leap-A -
che si diffonde attraverso il programma di instant messaging della Mela iChat,
compatibile con quello del provider statunitense AOL Aim, e che oltre a
infettare il computer si auto- invia automaticamente a tutti i contatti nella
rubrica
- sta dilagando in chat come allegato, presentandosi al computer ricevente con
il nome di latestpics.tgz e lo infetta se si dà il via libera allo scaricamento
del file. Il virus, un cavallo di troia che una volta lanciato sblocca la
richiesta della password di sistema per poi andarsi ad installare in varie
applicazioni.
Il worm colpisce i sistemi con ambiente MacOS X versione 10.4 su processore
PPC, e sebbene sia relativamente facile da rimuovere da un sistema infettato,
SophosLabs raccomanda agli utenti colpiti di formattare il pc e reinstallare il
sistema operativo, una volta corretto. Dal canto suo Apple ha replicato
che più che un virus o un worm si tratti di un troyan, e ha dichiarato al Wall
Street Journal che: "Leap è un software maligno, ma non è un virus. Deve
essere scaricato ed eseguito con la collaborazione dell'utente. In termini
pratici si tratta di un programma che si maschera da file d'immagine per
applicare
i suoi effetti. Apple raccomanda i suoi utenti di accettare file da terze parti
e da siti web che conoscono e di cui si fidano". Al di là delle definizioni,
rimane comunque il rischio che un pirata informatico possa partire da queste
basi per scrivere cavalli di Troia che sono in grado di compiere azioni ben
più pericolose, dando il via ad una catena di nuovi worm. In ultima analisi,
l'attacco ai Mac resta comunque un episodio senza precedenti, senza considerare
che in termini di immagine ha inferto un duro colpo alla Apple e al suo sistema
operativo, che da oggi in poi non potranno più definirsi 'invulnerabili'.
All rights reserve
To: macnv@xxxxxxxxxxxxx
Sent: Tuesday, November 17, 2009 8:40 PM
Subject: [macnv] Re: le paranoie di un cibernauta... sicurezza con mac...
ciao ricardo ,
non commento il discorso sui anti virus ma ti chiedo di astenerti sui giudizi
come superficiale in quanto riguarda la esperienza degli altri. ti vedo che
cerchi di capire le cose ma se uno ti dice che in 28 anni non ha preso niente
di sicuro non sei te a dire che che questi opinioni o esperienze sono
superficiali. ti aggiungo , se per te io e veronica siamo delle pappere
informatiche , forse ti impressiona che neanche il mio marito ha mai beccato
qualcosa in 4 anni di intensa navigazzione , inclusa di p2p e altri fonti di
virus .
quindi trattieni fiatto e cerca di capire meglio.
per adesso non vi sono virus e finche non arrivano godiamoci questo momento ,
quando arrivano ci pensiamo , che ne dici ?
rk
Il giorno 17/nov/2009, alle ore 20.32, postmaster de Ilgerone.net ha scritto:
Il giorno 17/nov/2009, alle ore 19.51, Riccardo Sisti ha scritto:
...a mio avviso fai bene ad avere queste paranoie e trovo molto
superficiale il ddiscorso di Veronica la quale dice dormi tranquillo che sei
con un mac!
Se fosse davvero così, perchè esistono anche gli antivirus per mac? Inoltre
vi sono diversi articoli in rete nei quali viene spiegato che è errato pensare
che il mac sia esente dalla possibilità di beccare virus. Certo, i virus sono
molto più rari rispetto a windows, ma sono presenti. In questi articoli di cui
ora non ricordo la provenienza, veniva spiegato che è solo una questione di
diffusione. I creatori di virus preferiscono creare virus che girino su
windows non perchè sia più vulnerabile di leopard, ma perchè è il più diffuso e
quindi l'infezione si diffonde più velocemmente. Ora però, con la sempre
maggiore diffusione dei mac, probabilmente le cose cambieranno. Io un bel
antivirus tipo avira per mac lo installerei...
Ciao riccardo,
in verità, non sono tanto i virus a preoccuparmi, poi esiste ClamAvi per
mac, che nasce per linux, lo conoscevo grazie ad Enrico zini, guru debian da
tempo immemore, ed anche Giacy e Fabio lo avevano citato...
il mio domandare, sopratutto, era riferito ai bootnet, che sono assai più
perniciosi, tutto li.
la diffusione dei virus, non dimenticarlo, si propaga in ambito windows per
diversi motivi, non ultimo il fatto che l'ambito windows pullula di antivirus a
pagamento, non ti dice nulla questo?
girellando tra il mondo del software per mac, i prezzi sono disastrosamente
più bassi ed è fiorentissimo il mondo del free, a mio aviso più che in windows,
se facciamo le debite proporzioni...
confido molto, anche nel firewall del mio routher e nel fatto che fastweb
non da ip pubblici, anche questo non è da sottovalutare.
vedremo...
intanto mi documento, ribadisco la mia paranoia, la rete non è un gioco,
per queste cose.
ciao.
Other related posts:
