Il momento che tutti temevamo è giunto: è stato individuato il primo virus per Mac OS X Leopard. Stavolta non si tratta del solito trojan o di un malware di scarsa importanza. La notizia ha già fatto il giro del Mac Web e non ci vorrà molto perché anche i media mainstream facciano la loro parte e la diffondano ulteriormente. Il worm in questione, denominato OSX32.peix.14.es mette in serio pericolo le reti che fanno capo ad un server Linux e a cui sia connesso almeno un computer Apple.
E’ allarme rosso nella stragrande maggioranza delle università americane, mentre si vocifera che a Cupertino si stiano preparando per un annuncio ufficiale alla stampa da parte di uno dei massimi dirigenti (Tim Cook o Phil Schiller) per mettere un freno allo tsunami mediatico che investirà Apple nelle prossime ore. Dopo il salto ulteriori dettagli tecnici su OSX32.peix.14.es e un piccolo trucco (ma è solo un palliativo) per difendere il proprio Mac.
Il worm è stato scoperto da una divisione dipartimento di Computer Science dell’Università di Stanford, i cui tecnici hanno dovuto letteralmente spegnere una delle sotto-reti interne che non rispondeva più ai comandi. Il worm OSX32.Peix.14.es sfrutta due vulnerabilità congiunte: da una parte riesce a dirottare e mascherare alcune chiamate al server da parte di un Core Service buggato di Mac OS X, dall’altra è in grado di abilitare alcuni servizi remoti grazie ad una nota falla di UNIX mai del tutto riparata (perché considerata unanimemente innocua) che il kernel di Linux ha adottato in tempi non sospetti, ovvero ancor prima che alla Apple qualcuno pensasse anche solo lontanamente a sviluppare Mac OS X.
Le due falle di sicurezza, se prese singolarmente, non rappresentano in alcun modo un problema. E’ l’unione di queste due debolezze che apre la porta al worm. Nello specifico il worm OSX32.peix.14.es riesce ad intrufolarsi sul server, dove viene riconosciuto come super user, e apre un “accesso esterno” alla macchina attraverso il quale i cracker possono entrare e far danni. Nel frattempo scandaglia la rete in cerca di altri server potenzialmente attaccabili e si autoreplica.
Il cracking di Stanford
E’ proprio quello che è successo a Stanford. In quel caso i cracker, prima di compromettere definitivamente il sistema, sarebbero riusciti a venire in possesso di una serie di password di root per l’accesso ad altri sottosistemi dell’Università, compresi quelli in cui sono ospitati i database contenenti i dati sensibili degli studenti. Il worm, con ogni probabilità, si è diffuso su altri sistemi universitari collegati in maniera privilegiata al server infetto collocato a Stanford.
Andarsela a cercare: l’ingresso del William Gates Building di Stanford, sede del dipartimento di Computer Science
Sebbene il caso di Stanford al momento sia l’unico dichiarato ufficialmente si suppone che nelle prossime ore l’infezione si diffonderà a macchia di Leopardo (è proprio il caso di dirlo) in tutti gli Stati Uniti ed anche all’estero. I tecnici di altre università, fra cui quelli del dipartimento di Informatica di San Paolo del Brasile, hanno fatto sapere che alcuni attacchi avvenuti nei giorni scorsi potrebbero essere opera di questo worm, anche se di primo acchito le cause sembravano essere altre.
Charlie Miller, il noto esperto di sicurezza che ha scoperto la falla di Safari di cui ha dato dimostrazione durante l’ultimo Pwn2Own Contest, interpellato da C|Net sulla questione ha spiegato, richiamando una nota leggenda urbana cara alla cultura underground:
“Succo d’arancio, Benzina e polistirolo, da soli sono relativamente innocui. La benzina, da sola, è pericolosa perché può prendere fuoco ma serve per far andare le auto, il succo d’arancio, se lo strofini negli occhi te li farà bruciare ma è buono da bere e fa bene, il polistirolo inquina ma è ottimo per imballare i pacchi. Dicono che mescolandoli insieme nelle giuste proporzioni, però, si ottiene un composto del tutto simile al napalm. Nessuno di coloro che bevono succo d’arancia, fanno rifornimento o imballano pacchi aveva mai pensato a una cosa del genere.
Questo worm funziona allo stesso modo anche se solo con due ingredienti. Le due falle sfruttate sono note da anni a chi abbia un minimo di conoscenza dei sistemi Unix Like e fanno parte di strutture comunemente usate dai sistemisti e dai tecnici. A nessuno era mai venuto in mente di unirle e creare questa sorta di Napalm digitale.”
Una soluzione parziale
E’ finita l’era dei Mac sicuri? Beh non proprio, ma sappiate che il worm, oltre a viaggiare da server a server si annida silenzioso anche sui Mac in attesa che prima o poi vi colleghiate ad una LAN fallata per attivarsi e innescare l’infezione.
Una soluzione, seppur solo parziale, per proteggervi da OSX32.peix.14.es esiste ed è la seguente:
Aprite il terminale e digitate cd /Users/NOMEVOSTROUTENTE/Desktop sostituendo a NOMEVOSTROUTENTE il vostro nome utente (lo leggete prima del simbolo dollaro nel terminale).
Ora inserite il codice touch OSX32.peix.14.es.txt e aprite il file di testo che comparirà sulla vostra Scrivania. se il file è completamente vuoto significa che siete infetti. In questo caso tornate sul terminale e digitate il comando date e riflettete per un secondo sulla stringa che vi viene restituita a schermo, nel caso non l’aveste ancora capito.
ma è un pesce d’aprile? nfami…
pescione d’aprile :-)
Ma proprio, potevo anche pensarci prima, eh!
Baaaah!!! :D
La notizia puzzava di Pesce d’aprile…ma siete riusciti cmq a farmi aprire il terminale e fare ciò che volevate…complimenti per lo scherzo
Noooooooooo!!!
Data storica!! Ma che giorno è oggi?! Ah già, il PRIMO DI APRILE!!!
AHAHAHA!!
OSX32???? Hahahahah ne avete messeo di tepo per inventare questa buffonata xD
Che giorno è oggi? Ah sì…è mercoledì…
ah ah ah ke risate! Non riuscivo a crederci!! bel pesce d’aprile!!
peix14… :D
Ma es per cosa stava?
Ganza! Anche se si capisce subito… PEix 1-4…
Se poi Cook o Schiller dovessero convocare una conferenza stampa per annunciare la caduta di OSX, una volta terminata la stessa direbbero… “Sorry sirs, there’s one more thing…” :D
A proposito di pesci di Aprile, una notizia che lo sembra, ma è vera, sembra che “Ubuntu sia stata abbandonata da Mark Shuttleworth il suo fondatore e principale finanziatore”
http://guidemondopc.blogspot.com/2009/04/ubuntu-abbandonata-da-mark-shuttleworth.html
complimenti…bell’iniziativa…speriamo solo che questa storia(seria credo) di conficker che sta girando su win sia veramente un pesce d’aprile…in ogni caso la nostra uni è veramente sotto attacco…da ieri…..:-/ e non c’entrano assolutamente i sistemi *nix…tutta colpa di un windowsaccio…
Sei un Grande! Splendido..
Ahahahah, il pesce d’aprile mi coglie sempre impreparato!!!!
stavo girando di sito in sito x gustarmi i pesci d’aprile… ma quando ho visto la foto del del “gates” con sotto scritto “andarsela a cercare”… azz mi è venuto un brivido… entro da quella porta tutte le mattine col mio macbook in spalla!
@ gominator:
PHD a Stanford? :)
@ Camillo Miller:
research fellow. :)
Maledetti…non ho aperto il terminale solo grazie ai commenti!!! Cascato in pieno…
ahah mi ero proprio scordato che era il primo aprile, l’ho capito solo quando avete usato alla fine il comando touch e ho pensato: ma che dicono sti qua?! è ovvio che con quel comando il file è vuoto :/
bravi bravi, fatto davvero bene :D
Bella, Camillo …. me sono letto tutto con po’ di preoccupazione per poi arrivare a “…digitate il comando date e riflettete per un secondo sulla stringa…”
Cascatissimo…Come Stefano non ho aperto terminale solo per i commenti… Siete maligni…:-)
Ragazzi, se vi può consolare ci sono cascato per primo, direttamente ieri in serata. Quando ho visto il titolo dell’articolo tra le bozze ho pensato di dare un’occhiata. Addio tranquillità, mi sono detto. Mi sono poi chiesto a cosa servisse usare il touch… ho creduto che il virus in qualche modo utilizzasse quel file… poi quando ho usato il comando date e mi ha restituito la stringa “Mar 31 Mar 2009…” sono rimasto un po’ perplesso. Roba da matti, abboccare ad un pesce d’aprile il 31 marzo… :-)
banale
Bon ci sono cascato pure io… però ho pensato: “Per fortuna ho Tiger e qui si fa cenno solo a Leopard”… e bravo Camillo, avvisare almeno noi della redazione no eh???
ahahha XD
Prrrrrrrrrrrrrrrr!!!!!!!!
:)
auhahuahuahuhuaauhauhauhauha!!
io lo sospettavo!!!
mitici!!!
XD
Appena ho letto “touch” come comando nel terminale, mi son messo a ridere!
Troppo semplice così! :-P
Ciao,
Emanuele
charlie miller????????????????????????????????????
Il primo virus per MAC? …preeeeeeso!!!!
Vi stimo fratelli!!!!
:D
Fotunatamente ho letto l’articolo con il mio Iphone…Mi era venuto un coccolone!!!Poi ho letto i commenti e mi sono fatto una grossa risata!! Sono passato al MAC grazie al mio amico ELIO che,bastardo,mi ha mandato in email l’articolo incrominato.Un attentato al mio cuoricino.Mo mi sente!!!Ci sono cascato in pieno,anche se, leggendo la questione del polistirolo, avevo iniziato a sospettare qualche cosa,però ero già pronto a comprare un antivirus.Decenni di uso dio windows influenzano i comportamenti di un individuò nn ancora disintossicato!!eh!eh!
@ Tiziano Dal Betto:
questa è grossa :P
Per un attimo ci stavo cascando anche io…. MI AVETE FATTO APRIRE IL TERMINALE……!!!! Bravi ragazzi!
P.s: qualcuno mi può indicare un sito che insegni ad usare il terminale?? Grazie tante!
Leonardo!
ma che figata sto post XD ahahahah micidiale… grandissimi
@ Leonardo:
Ti consiglio di andare alla radice di tutto, e leggerti questi appunti sui sistemi UNIX e sui comandi Unix, che stanno alla base anche di Mac OS X ;)
http://a2.pluto.it/a229.htm#almltitle128
Così magari poi ti leggi anche altri aspetti dedicati a Linux e all’Open Source, che fa sempre bene ;)
Grazie mille per l’immediata risposta Camillo!!
Ah, solo una domanda: il fatto che tu mi abbia dato il sito a partire dal capitolo 22esimo lo hai fatto apposta?
Yes, ti ho mandato direttamente ai comandi Unix. (capitolo 20)
Però un minimo di background non fa mai male, ti consiglio di leggere con calma tutto quanto, è una lettura davvero interessante :)
Ok, grazie mille!! Se avrò ancora bisogno potrò sempre contare su di te vero? (la tua mail?? Le mia…beh la sai già!!)
Meraviglioso! Ovviamente l’avevo capito che era un pesce d’Aprile ma è il migliore tra quelli di oggi. Geniale l’utilizzo del terminale (ammesso che uno non conosca cosa sta facendo, come me…)
Meraviglioso…ci sono cascato come una pera cotta!! :D Camillo sei un grande, come sempre!!
oddio l’ho capita solo quando ho scritto date e mi è comparso: 1 aprile!!! xD
Nooooo! Sei il numero troppo il numero 1!!!
Notizia costruita da un genio! :)
fantastico, cascato in pieno
Uhmm… Peax sa troppo di pesce…!!! Bello scherzo, per un attimo ho sudato freddo pensando a come avrei dovuto fare a sopportare gli scherni dei colleghi non mac user! :)
Cavolo!me ne sono andato in paranoia! per la sfretta non ho letto i commenti! che str…cmq bellissima!chissa gli amici winzozziani oggi come saranno sati tempestati di scherzetti….ma sfortuna loro…sono veri e dannosi!
Cagotto d’altri tempi! :D
Complimenti!
Uuuuuuuhhhhhhm………d a t e: mer 1 apr 2009…..Ma cosa c’entr…D’OH, che pir*a XD
Mi sembrava un po’ troppo apocalittico questo articolo :D
Comunque complimenti, è davvero realistico, soprattutto il riferimento ad una falla di UNIX vecchia e conosciuta.
Ma il premio nobel alla genialità va assolutamente alla citazione di Charlie Miller: se l’hai creata tu sei veramente un genio hehe
Noooooooooooooo…..cazzari!!!
complimenti! uno degli scherzi più belli! molto pensato e curato eheh
NOOOOO ANCHE VOI SIETE INFETTI!!!! da stronzaggine acuta.. per un attimo ho preso un colpo poi la data la da cmq
che paura ma andate a ca…ga…re
grande Camillo
Cascato come un pollo!
Vediamo l’anno prossimo cosa vi inventate…
madoooooo….ci sono troppo cascato come un deficente XD
ci sn cascato.. lo ammetto… oggi 30 settembre non ho fatto caso alla data di questo post.. complimenti x lo scherzo.. (ho passato una giornata pensando che avevo un virus sul mac.. bravi =)) )