Scoperto un nuovo virus per Mac OS X e server Linux

Il momento che tutti temevamo è giunto: è stato individuato il primo virus per Mac OS X Leopard. Stavolta non si tratta del solito trojan o di un malware di scarsa importanza. La notizia ha già fatto il giro del Mac Web e non ci vorrà molto perché anche i media mainstream facciano la loro parte e la diffondano ulteriormente. Il worm in questione, denominato OSX32.peix.14.es mette in serio pericolo le reti che fanno capo ad un server Linux e a cui sia connesso almeno un computer Apple.

E’ allarme rosso nella stragrande maggioranza delle università americane, mentre si vocifera che a Cupertino si stiano preparando per un annuncio ufficiale alla stampa da parte di uno dei massimi dirigenti (Tim Cook o Phil Schiller) per mettere un freno allo tsunami mediatico che investirà Apple nelle prossime ore. Dopo il salto ulteriori dettagli tecnici su OSX32.peix.14.es e un piccolo trucco (ma è solo un palliativo) per difendere il proprio Mac.

Il worm è stato scoperto da una divisione dipartimento di Computer Science dell’Università di Stanford, i cui tecnici hanno dovuto letteralmente spegnere una delle sotto-reti interne che non rispondeva più ai comandi. Il worm OSX32.Peix.14.es sfrutta due vulnerabilità congiunte: da una parte riesce a dirottare e mascherare alcune chiamate al server da parte di un Core Service buggato di Mac OS X, dall’altra è in grado di abilitare alcuni servizi remoti grazie ad una nota falla di UNIX mai del tutto riparata (perché considerata unanimemente innocua) che il kernel di Linux ha adottato in tempi non sospetti, ovvero ancor prima che alla Apple qualcuno pensasse anche solo lontanamente a sviluppare Mac OS X.

Le due falle di sicurezza, se prese singolarmente, non rappresentano in alcun modo un problema. E’ l’unione di queste due debolezze che apre la porta al worm. Nello specifico il worm OSX32.peix.14.es riesce ad intrufolarsi sul server, dove viene riconosciuto come super user, e apre un “accesso esterno” alla macchina attraverso il quale i cracker possono entrare e far danni. Nel frattempo scandaglia la rete in cerca di altri server potenzialmente attaccabili e si autoreplica.

Il cracking di Stanford

E’ proprio quello che è successo a Stanford. In quel caso i cracker, prima di compromettere definitivamente il sistema, sarebbero riusciti a venire in possesso di una serie di password di root per l’accesso ad altri sottosistemi dell’Università, compresi quelli in cui sono ospitati i database contenenti i dati sensibili degli studenti. Il worm, con ogni probabilità, si è diffuso su altri sistemi universitari collegati in maniera privilegiata al server infetto collocato a Stanford.

Andarsela a cercare: l’ingresso del William Gates Building di Stanford, sede del dipartimento di Computer Science

Sebbene il caso di Stanford al momento sia l’unico dichiarato ufficialmente si suppone che nelle prossime ore l’infezione si diffonderà a macchia di Leopardo (è proprio il caso di dirlo) in tutti gli Stati Uniti ed anche all’estero. I tecnici di altre università, fra cui quelli del dipartimento di Informatica di San Paolo del Brasile, hanno fatto sapere che alcuni attacchi avvenuti nei giorni scorsi potrebbero essere opera di questo worm, anche se di primo acchito le cause sembravano essere altre.

Charlie Miller, il noto esperto di sicurezza che ha scoperto la falla di Safari di cui ha dato dimostrazione durante l’ultimo Pwn2Own Contest, interpellato da C|Net sulla questione ha spiegato, richiamando una nota leggenda urbana cara alla cultura underground:

“Succo d’arancio, Benzina e polistirolo, da soli sono relativamente innocui. La benzina, da sola, è pericolosa perché può prendere fuoco ma serve per far andare le auto, il succo d’arancio, se lo strofini negli occhi te li farà bruciare ma è buono da bere e fa bene, il polistirolo inquina ma è ottimo per imballare i pacchi. Dicono che mescolandoli insieme nelle giuste proporzioni, però, si ottiene un composto del tutto simile al napalm. Nessuno di coloro che bevono succo d’arancia, fanno rifornimento o imballano pacchi aveva mai pensato a una cosa del genere.

Questo worm funziona allo stesso modo anche se solo con due ingredienti. Le due falle sfruttate sono note da anni a chi abbia un minimo di conoscenza dei sistemi Unix Like e fanno parte di strutture comunemente usate dai sistemisti e dai tecnici. A nessuno era mai venuto in mente di unirle e creare questa sorta di Napalm digitale.”

Una soluzione parziale

E’ finita l’era dei Mac sicuri? Beh non proprio, ma sappiate che il worm, oltre a viaggiare da server a server si annida silenzioso anche sui Mac in attesa che prima o poi vi colleghiate ad una LAN fallata per attivarsi e innescare l’infezione.
Una soluzione, seppur solo parziale, per proteggervi da OSX32.peix.14.es esiste ed è la seguente:

Aprite il terminale e digitate cd /Users/NOMEVOSTROUTENTE/Desktop sostituendo a NOMEVOSTROUTENTE il vostro nome utente (lo leggete prima del simbolo dollaro nel terminale).

Ora inserite il codice touch OSX32.peix.14.es.txt e aprite il file di testo che comparirà sulla vostra Scrivania. se il file è completamente vuoto significa che siete infetti. In questo caso tornate sul terminale e digitate il comando date e riflettete per un secondo sulla stringa che vi viene restituita a schermo, nel caso non l’aveste ancora capito.