Ciao Rossi, ormai dovresti aver capito dalle varie liste, che a me non piace fare polemica ma che, al contrario, mi interessa capire esattamente come stanno le cose. Hai detto una grande inesattezza e ti pregherei di documentarti prima di parlare. Ribadisco che l'ambiente mac non è esente da virus. Sono molto meno diffusi che in windows, ma non ne è esente. Vatti a leggere anche le pagine di supporto del sito stesso della apple. A tal proposito ti allego due articoli: Questo articolo illustra le caratteristiche dei virus e indica come scoprirli e eliminarli. CARATTERISTICHE GENERALI Che cos'è un virus? Un virus è un programma con due funzioni distinte: - Si diffonde da una macchina all'altra (codice auto-riproducente). Ciò comprende sia l'infezione vera e propria di altri sistemi, sia la trasmissione del codice in quanti più vettori possibile. - Il virus implementa i "sintomi" voluti da chi lo ha creato, vale a dire qualsiasi cosa, fino ad arrivare alla cancellazione di un disco ad una data specifica. Un po' di storia I virus esistono da quando esiste il computer. Fin dal 1948 John Van Neumann, il padre del computer moderno, aveva pensato per gioco ad un codice di computer che si auto-riproduceva. Alla fine degli anni Settanta esisteva perfino un programma che insegnava a progettare i virus. Si chiamava Core Wars e implementava un ambiente artificiale mettendo due programmi virus uno contro l'altro. I virus non appartengono solo al mondo Macintosh Il sistema Macintosh non è l'unico ad essere colpito dai virus. Anche i mainframe e i minicomputers sono presi di mira dai programmatori di virus. Tra gli incidenti più recenti accaduti a un mainframe ricordiamo il virus che ha colpito il sistema postale di IBM, mettendolo in ginocchio per un paio di giorni. Gli utenti dei PC IBM sono vittima dei virus da molti anni. Generalmente l'attacco arriva dal documento COMMAND.COM. Non tutti i virus mirano a provocare un danno, ma... Non tutti i virus mirano a provocare un danno. A volte il programmatore vuole semplicemente dimostrare di essere in grado di riuscirci e avere così la soddisfazione di farne parlare giornali e tv. Anche in questi casi, comunque, i virus possono creare problemi. Per esempio il virus di cui parlano questa serie di articoli era stato progettato per essere benigno, tranne che in alcuni casi specifici. In ogni caso un virus occupa memoria e tempo di elaborazione, provocando effetti collaterali casuali come problemi di stampa e cadute del sistema. Niente panico, niente reazioni eccessive Se si sospetta l'esistenza di un virus è importante non perdere la testa, fare un passo indietro e valutare la situazione con calma. Una volta scoperto il virus e stabilito quali funzioni ha colpito, è relativamente facile trovare un rimedio. Questo documento contiene le informazioni necessarie per affrontare la maggior parte dei virus. Virus Unix Finora non si è parlato molto dei virus Unix, che pure esistono. La loro diffusione nel software riguarda tanto il mondo Unix quanto quello dei microcomputer. LA GRANDE CACCIA AL VIRUS Quando è il caso di sospettare l'esistenza di un virus? Quando il computer comincia a comportarsi in maniera diversa dal solito o quando non riesce più a svolgere le funzioni che svolgeva in passato. Il problema è che file di sistema danneggiati possono produrre effetti analoghi, anche in assenza di virus. Quando si verificano problemi è molto più probabile che siano dovuti a cause diverse da un virus. Dopo aver esaminato le aree dei problemi standard si può considerare la possibilità che il proprio computer sia stato infettato da un virus. Cosa controllare quando si sospetta la presenza di un virus? Occorre anzitutto controllare che nella Cartella Sistema non vi siano documenti invisibili che non appartengono a tale cartella. A meno che non si possieda un'applicazione che crea documenti invisibili nella Cartella Sistema, ogni documento del genere in questo settore è sospetto. Può essere anche efficace un controllo generale di tutti i documenti presenti all'interno della Cartella Sistema, per verificare che non vi siano risorse incompatibili. Un virus può attaccare i seguenti documenti e risorse: - Tutte le applicazioni - Gli stack HyperCard (il virus MacMag è stato diffuso attraverso uno stack HyperCard) - Documenti contenuti nella Cartella Sistema, tra cui: System Finder Documento Blocco Note Documento Archivio Appunti Documento Clipboard Easy Access Suono Mouse Disco di Avvio Monitor Colore Controlli Generali Scelta Tastiera LaserWriter ImageWriter AppleTalk ImageWriter ImageWriter LQ In altre parole, tutti i documenti di sistema. Documenti che un virus può danneggiare inavvertitamente - Qualsiasi documento su un sistema o un volume infetti, compresi documenti di sistema, documenti, applicazioni, ecc. Virus diffusi da programmi pubblici La maggior parte dei virus si diffondono attraverso i sistemi "public bulletin board" e sono nascosti in programmi a disposizione del pubblico. "Sexy Ladies", un programma distribuito durante l'expo MacWorld a San Francisco, cancellava qualunque disco rigido o dischetto in cui veniva a trovarsi al momento dell'avvio. Virus diffusi da una rete L'uso delle reti può facilitare la diffusione di un virus. Ciò può accadere in modi diversi a cominciare dal più semplice: una cartella di dominio pubblico all'interno di un server da cui chiunque può importare le ultime novità. Anche le applicazioni condivise su un server possono infettarsi, contagiando poi ogni computer su cui tali applicazioni vengono avviate. CARATTERISTICHE TECNICHE Come si propaga un virus I virus possono propagarsi in vari modi. Quello più comunemente adottato dai virus Macintosh per moltiplicarsi consiste nel possedere un INIT che installa una funzione di background (VBL). Questa va alla ricerca di eventi specifici, come l'inserimento di un disco, e poi si duplica sul disco stesso. Funzioni VBL Macintosh ha sempre avuto una forma limitata di procedure di background, che sono disponibili grazie all'uso della coda Vertical Blanking. Ogni volta che lo schermo di un Macintosh (ad eccezione del Macintosh II) viene sottoposto ad un'operazione di refresh, vengono eseguite tutte le routine installate nella coda. Macintosh II possiede una coda virtuale per ragioni di compatibilità, da quando l'avvento di una grande varietà di schermi ha prodotto diversi tempi di refresh. Le funzioni VBL possono essere installate nella coda da qualsiasi programma. Il programma deve caricare una routine in una sezione della memoria e installarla nella coda VBL richiamando la routine Vinstall ROM routine. Spetta al programma di installazione assicurarsi che il segmento di memoria che contiene la routine rimanga disponibile anche dopo che il programma si è concluso. Ogni funzione VBL deve restare "addormentata" per un certo periodo di tempo prima di essere richiamata. Ogni volta che una routine viene eseguita un apposito contatore viene diminuito. Quando quel contatore raggiunge lo zero, la routine viene cancellata dalla coda, a meno che la routine stessa riprogrammi il contatore. Funzioni VBL prolungate, come quella che potrebbe essere utilizzata per riprodurre un virus, possono interferire con la normale operatività del Macintosh interrompendo processi che non dovrebbero essere interrotti. Un perfetto esempio di ciò è la stampa su Lasewriter attraverso una rete AppleTalk. Se una funzione VBL perde troppo tempo in questa esecuzione, il processo di stampa potrebbe concludersi in modo anormale e lasciare il collegamento della macchina al network in una condizione di instabilità. In relazione a un virus, con ogni probabilità il colpevole è un INIT, responsabile di aver installato una funzione VBL. INITs Le INIT sono routine che vengono eseguite quando il Macintosh è avviato. Nella maggior parte dei casi esse hanno pieno accesso a tutti i comandi normalmente a disposizione di un programma Macintosh standard. La differenza più significativa è che i puntatori alla memoria bassa non sono stati ancora installati e ogni INIT che ha necessità di accedere a strutture di norma conservate nella memoria bassa deve crearne di propri. Le INIT nel file di sistema: Quando un Macintosh è avviato, le INIT nella Cartella Sistema sono il primo codice ad essere eseguito. Queste INITs dovrebbero essere generalmente solo INIT Apple. In caso contrario devono essere considerate sospette. Il meccanismo INIT 31 Nel file di sistema è stato creato uno speciale INIT, INIT 31, che consente l'esecuzione di INIT non-Apple senza che essi siano installati nel file di sistema stesso. Quando tutte le altre INIT del file di sistema sono state eseguite, INIT 31 ricerca nella Cartella Sistema documenti di tipo INIT, RDEV, cdev, ed esegue tutte le risorse che trova in questi documenti. L'ordine in cui questi documenti vengono caricati è alfabetico. Inutile dire che un modo semplice di nascondere parti di un virus è quello di introdurre un INIT in documenti legittimi già esistenti nella Cartella Sistema. CDEVs Il documento tipo cdev indica un documento di controllo. Quando il Pannello di Controllo viene caricato, esso si muove nella directory della Cartella Sistema alla ricerca di ogni documento di tipo 'cdev'. Quando lo trova, il Pannello di Controllo carica l'ICN# di quel documento (supponendo che ne abbia uno) nell'elenco di icone che si trova sul lato sinistro del Pannello di Controllo. Quando si fa clic su questa icona, viene eseguito il codice che si trova nella risorsa cdev nel documento di tipo 'cdev'. Un virus potrebbe facilmente utilizzare que sto meccanismo per infettare il sistema, installare una funzione VBL etc. Molti documenti cdev contengono INIT. Il cdev controlla le impostazioni che l'INIT utilizza quando viene installato. Un esempio di ciò è l'impostazione per un oscuratore di schermo. L'INIT in effetti installa la funzione VBL, ma è il cdev a controllare quando si verifica l'oscuramento. Nessuno dei documenti cdev dei sistemi Apple standard contiene INIT, ma niente impedisce a un virus di installare un INIT in questi documenti allo scopo di nascondere il suo codice. DRVRs Di norma le risorse DRVR possiedono una o due funzioni: possono costituire il codice di un accessorio del desk o il codice dei driver necessari al sistema per eseguire funzioni come quella di stampa. Ancora una volta la parola chiave è "codice". Potenzialmente, ogni volta che viene utilizzato un codice, qualsiasi creatore di virus può approfittarne. Proprio come accade con cdevs, un codice viene eseguito ogni volta che un DRVR viene aperto - o scegliendo un accessorio della scrivania o del sistema. Ed è a questo punto che un virus può colpire il bersaglio. Risorse del codice Ogni applicazione possiede almeno due risorse di codice. La prima ha un identificativo 0 e contiene ciò che è conosciuto come "jump table", una tabella con le informazioni necessarie a varie parti del programma per richiamare routine in altri segmenti di codice. Un danno frequente perpetrato da un virus consiste nel modificare la risorsa CODICE ID = 0 di un'applicazione in modo che il segmento codice che esso installa su un applicazione venga richiamato prima che questa sia effettivamente avviata. Questo segmento codice potrebbe attivarsi per controllare se il virus ha contagiato il sistema corrente e, se ciò non si è verificato, installare se stesso. A questo punto chi intende diffondere il virus in tutto il mondo non deve far altro che caricare una copia dell'applicazione infetta su un BBS. Applicazioni che consentono procedure esterne. I virus potrebbero approfittare delle procedure esterne consentite da alcune applicazioni. Un perfetto esempio di ciò è HyperCard, con i suoi XCMDs e XFCNs. Il virus MacMag è stato trasmesso proprio così. Questo articolo continua in Computer "Viruses" (2 of 2) secondo articolo: to Flash Fine filmato Flash Nubi all'orizzonte per i pc Apple. In meno di una settimana sono già due le segnalazioni di attacchi worm al sistema operativo Mac OS X prodotto dalla casa di Cupertino. Il nuovo virus informatico, identificato dal colosso degli antivirus Symantec, si chiama OSX.Inqtana.A e va ad aggiungersi al già temibile OSX/Leap-A riscontrato dagli esperti esecurity nei giorni scorsi. Entrambi sfruttano alcune falle del sistema operativo attaccando le connessioni senza filo di tipo bluetooth. La notizia dell'attacco worm ai Mac ha fatto il giro del mondo destando molto scalpore, dal momento che la violazione del Mac OS crea di per sé un vero e proprio precedente. Quella che fino ad oggi sembrava essere la caratteristica vincente dei pc Apple, la sicurezza nei confronti degli attacchi informatici, è venuta meno, trascinando nell'ombra un concetto di fondo che sembrava essere l'unico a creare un reale appeal fra i consumatori. Una prova della diffusione "E' una prova della diffusione dei virus in sistemi operativi diversi da Windows" ha commentato Vincent Weafer, direttore Symantec. "Questa prima minaccia per il Macintosh OS X è un esempio della continua diffusione di codici maliziosi su altre piattaforme", per intenderci diverse dal Windows del gigante informatico Microsoft, che detenendo più del 90% del mercato dei sistemi operativi già da tempo è in prima linea per combattere il fenomeno. Cybercrime: ecco come i falsi antivirus... Negli ultimi due anni abbiamo parlato spesso di quei programmi che dicono... Di fatto, gli esperti ritengono al momento si tratti di una minaccia contenuta (livello di pericolosità 1), ma sottolineano che i computer della casa di Steve Jobs non sono più da considerarsi immuni da qualsiasi attacco e che, con frequenza sempre maggiore, saranno il bersaglio prescelto dagli hacker, soprattutto dopo la scelta strategica di utilizzare i chip della Intel. Una decisione, questa, che al di là delle prestazioni promesse è stata dettata soprattutto dalla necessità di acquistare maggiore popolarità e risollevare le proprie sorti in un mercato che, al momento, vede Apple detenere meno del 4%. Si può quindi affermare che, almeno per ora, la scelta di abbandonare Ibm non sta certo pagando. Il provider di sfotware antivirus Sophos Secondo il provider di sfotware antivirus Sophos, il virus troyan OSX/Leap-A - che si diffonde attraverso il programma di instant messaging della Mela iChat, compatibile con quello del provider statunitense AOL Aim, e che oltre a infettare il computer si auto- invia automaticamente a tutti i contatti nella rubrica - sta dilagando in chat come allegato, presentandosi al computer ricevente con il nome di latestpics.tgz e lo infetta se si dà il via libera allo scaricamento del file. Il virus, un cavallo di troia che una volta lanciato sblocca la richiesta della password di sistema per poi andarsi ad installare in varie applicazioni. Il worm colpisce i sistemi con ambiente MacOS X versione 10.4 su processore PPC, e sebbene sia relativamente facile da rimuovere da un sistema infettato, SophosLabs raccomanda agli utenti colpiti di formattare il pc e reinstallare il sistema operativo, una volta corretto. Dal canto suo Apple ha replicato che più che un virus o un worm si tratti di un troyan, e ha dichiarato al Wall Street Journal che: "Leap è un software maligno, ma non è un virus. Deve essere scaricato ed eseguito con la collaborazione dell'utente. In termini pratici si tratta di un programma che si maschera da file d'immagine per applicare i suoi effetti. Apple raccomanda i suoi utenti di accettare file da terze parti e da siti web che conoscono e di cui si fidano". Al di là delle definizioni, rimane comunque il rischio che un pirata informatico possa partire da queste basi per scrivere cavalli di Troia che sono in grado di compiere azioni ben più pericolose, dando il via ad una catena di nuovi worm. In ultima analisi, l'attacco ai Mac resta comunque un episodio senza precedenti, senza considerare che in termini di immagine ha inferto un duro colpo alla Apple e al suo sistema operativo, che da oggi in poi non potranno più definirsi 'invulnerabili'. All rights reserve To: macnv@xxxxxxxxxxxxx Sent: Tuesday, November 17, 2009 8:40 PM Subject: [macnv] Re: le paranoie di un cibernauta... sicurezza con mac... ciao ricardo , non commento il discorso sui anti virus ma ti chiedo di astenerti sui giudizi come superficiale in quanto riguarda la esperienza degli altri. ti vedo che cerchi di capire le cose ma se uno ti dice che in 28 anni non ha preso niente di sicuro non sei te a dire che che questi opinioni o esperienze sono superficiali. ti aggiungo , se per te io e veronica siamo delle pappere informatiche , forse ti impressiona che neanche il mio marito ha mai beccato qualcosa in 4 anni di intensa navigazzione , inclusa di p2p e altri fonti di virus . quindi trattieni fiatto e cerca di capire meglio. per adesso non vi sono virus e finche non arrivano godiamoci questo momento , quando arrivano ci pensiamo , che ne dici ? rk Il giorno 17/nov/2009, alle ore 20.32, postmaster de Ilgerone.net ha scritto: Il giorno 17/nov/2009, alle ore 19.51, Riccardo Sisti ha scritto: ...a mio avviso fai bene ad avere queste paranoie e trovo molto superficiale il ddiscorso di Veronica la quale dice dormi tranquillo che sei con un mac! Se fosse davvero così, perchè esistono anche gli antivirus per mac? Inoltre vi sono diversi articoli in rete nei quali viene spiegato che è errato pensare che il mac sia esente dalla possibilità di beccare virus. Certo, i virus sono molto più rari rispetto a windows, ma sono presenti. In questi articoli di cui ora non ricordo la provenienza, veniva spiegato che è solo una questione di diffusione. I creatori di virus preferiscono creare virus che girino su windows non perchè sia più vulnerabile di leopard, ma perchè è il più diffuso e quindi l'infezione si diffonde più velocemmente. Ora però, con la sempre maggiore diffusione dei mac, probabilmente le cose cambieranno. Io un bel antivirus tipo avira per mac lo installerei... Ciao riccardo, in verità, non sono tanto i virus a preoccuparmi, poi esiste ClamAvi per mac, che nasce per linux, lo conoscevo grazie ad Enrico zini, guru debian da tempo immemore, ed anche Giacy e Fabio lo avevano citato... il mio domandare, sopratutto, era riferito ai bootnet, che sono assai più perniciosi, tutto li. la diffusione dei virus, non dimenticarlo, si propaga in ambito windows per diversi motivi, non ultimo il fatto che l'ambito windows pullula di antivirus a pagamento, non ti dice nulla questo? girellando tra il mondo del software per mac, i prezzi sono disastrosamente più bassi ed è fiorentissimo il mondo del free, a mio aviso più che in windows, se facciamo le debite proporzioni... confido molto, anche nel firewall del mio routher e nel fatto che fastweb non da ip pubblici, anche questo non è da sottovalutare. vedremo... intanto mi documento, ribadisco la mia paranoia, la rete non è un gioco, per queste cose. ciao.