Home
La mela bucata

16 Aprile 2012

La mela bucata

di

La risposta alla prima botnet capace di catturare un numero consistente di Mac suscita preoccupazioni e interrogativi.

Doctor Web è un’azienda russa che propone soluzioni di sicurezza dal 1992. Il suo nome da qualche settimana è sulla bocca di tanti, per avere scoperto e divulgato la seconda botnet formata da Mac, prima ad avere una reale importanza numerica dopo OSX.Iservice nel 2009.

Doctor Web—the Russian anti-virus vendor—conducted a research to determine the scale of spreading of Trojan BackDoor.Flashback that infects computers running Mac OS X. Now BackDoor.Flashback botnet encompasses more than 550.000 infected machines, most of which are located in the United States and Canada. This once again refutes claims by some experts that there are no cyber-threats to Mac OS X.

Che il mondo Apple avesse poco da star tranquillo era abbastanza prevedibile: con il crescere dell’installato cresce la probabilità di essere un buon bersaglio ed anche se l’onnipresente Windows rappresenta il bersaglio per eccellenza non c’è da stare troppo tranquilli. I fatti sono ampiamente noti e ci sono pochi dubbi sulla sequenza degli eventi. Le polemiche sul numero dei Mac infettati sono irrilevanti: si tratta comunque di un buon 1 percento dell’esistente, quando Conficker arrivò nel momento di massima espansione allo 0,7% dei PC Windows.

In tutta questa storia stona l’atteggiamento di Apple, che lascia la sensazione che a Cupertino non sappiano esattamente come comportarsi. Quando Dr. Web contatta Apple per spiegare quello che ha scoperto, non sa bene con chi parlare:

Sharov says that Dr. Web has worked with Microsoft several times in the past on those efforts. But Apple, which has never dealt with a botnet the size of the Flashback infection, has fewer ties to firms like Dr. Web, Sharov says. “For Microsoft, we have all the security response team’s addresses,” he says. “We don’t know the antivirus group inside Apple.”

In Microsoft hanno (ovviamente, verrebbe da commentare con sarcasmo!) indirizzi di chiunque si occupi di sicurezza. Apple comunque riceve le informazioni ma non offre alcun tipo di risposta. Fin qui vien da pensare ad un’arroganza abbastanza diffusa in certi ambienti.

Nel frattempo Dr Web utilizza dei sinkhole, sorta di imbuti digitali, per monitorare lo sviluppo ed il comportamento della botnet. Spesso questi sistemi si rivelano utili anche per neutralizzare la botnet stessa. Passa qualche giorno ed al registrar russo viene chiesto di bloccare il dominio, in quanto veicolerebbe attività criminali. Boris Sharov, CEO di Dr Web, conosce la diplomazia e dice che si tratta di un errore commesso in buona fede.

Sharov believes that Apple’s attempt to shut down its monitoring server was an honest mistake. But it’s a symptom of the company’s typically tight-lipped attitude. In fact, Sharov says that since Dr. Web first contacted Apple to share its findings about the unprecedented Mac-based botnet, it hasn’t received a response. “We’ve given them all the data we have,” he says. “We’ve heard nothing from them until this.”

Sospetto che si tratti di un’operazione mirata a chiudere una botnet che pilota almeno mezzo milione di computer senza far troppo rumore e salvaguardando quel mito di inviolabilità di Mac OS X che fa tanto comodo.

Apple dichiarerà di lavorare con i provider a livello globale per la chiusura della botnet ed al rilascio di uno strumento per la rimozione del malware in questione. Intanto proliferano gli strumenti gratuiti più o meno semplici per ottenere lo stesso scopo.

Le questioni di sicurezza in casa Apple non hanno storicamente un record di trasparenza e reattività. Se poi il problema riguarda Java, immagino lo scaricabarile verso Oracle. Sapendo però che Oracle ha risolto il problema a febbraio per gli utenti Windows e Linux, quanto tempo a disposizione hanno avuto quanti volessero sfruttarla in altri ambienti? Sapendo che tra il rilascio di una patch da parte di Oracle e quella di Apple possono passare sei mesi vi sareste presi la briga di provare a fare qualcosa del genere?

Se poi leggete il security advisory rilasciato da Apple in tema potreste capirci tra il poco ed il niente. Pensate che persino Microsoft si è abituata a dare spiegazioni (in anticipo rispetto al rilascio!) della criticità delle patch utilizzando una classificazione comprensibile per quanto riguarda il rischio relativo all’utente ed usando colori che diano immediata percezione del pericolo.

Mi auguro di sbagliarmi e che a Cupertino sappiano bene cosa fare e come farlo per proteggere al meglio i loro utenti, ma per il solo fatto di usare un Mac non mi sentirei affatto al sicuro: il senso di falsa sicurezza è responsabile dei peggiori disastri.

Iscriviti alla newsletter

Novità, promozioni e approfondimenti per imparare sempre qualcosa di nuovo

Gli argomenti che mi interessano:
Iscrivendomi dichiaro di aver preso visione dell’Informativa fornita ai sensi dell'art. 13 e 14 del Regolamento Europeo EU 679/2016.