Virus, Trojan su Osx? La soluzione potrebbe essere semplice.
Uno dei tanti motivi che mi spinge a scrivere questo articolo è il fatto che che da qualche giorno è libero sul mercato, uno pseudo Virus per OSX, dico pseudo, perché per essere infettati bisogna dargli il permesso.
Il "virus" in oggetto OSX.RSPlug.A viene spacciato per un Codec Video e viene richiesta l'installazione navigando determinati siti porno con la promessa di maggior qualità video.
Una volta scaricato, per essere eseguito richiede la password di root (per questo motivo è uno pseudo virus), dopo di che cambierà i vostri DNS e ogni volta che vi connetterete ad internet verrete reindirizzati su siti Hard.
Molti definiscono ciò un iniezia nulla degno di essere segnalato, ma il problema secondo me è grave.
Uno dei tanti motivi per cui OSX è meno vulnerabile è perché è meno appetitoso di un Os come Windows, che oltre ad essere vulnerabile è anche pesantemente più presente sul mercato.
Ora che i nostri mac stanno prendendo piede e che Leopard sta raccogliendo consensi da moltissime persone, il nostro amato OS diventa appetibile ai virusmakers.
Apple, come già succede per altre società (Tipo Adobe e il suo AIR) dovrebbe rilasciare (gratuitamente) o far rilasciare dei certificati di autenticità che attestino la perfetta integrità dell'applicativo che andremo ad installare.
Dico questo perché?
Perché a me non spaventa il questa sottospecie di virus, ma il fatto che domani potremmo ritrovarcelo nelle smallapps, che tanti di noi amano, come perian, iPassword, hotplan, carboncopycloner e che magari per pigrizia non ci prendiamo briga di scaricare dai siti ufficiali.
Sarebbe secondo me utile, avere dei certificati che ti dicano:
Il suddetto programma non è certificato, potrebbe contenere l'esecuzione di codice maligno.
In questo modo, a prescindere da com'e' mascherato un virus, anche l'utente meno esperto saprebbe cosa potrebbe comportare l'inserimento della password di root.
Ora leopard attua già una cosa simile, ma secondo me è totalmente inutile in quanto ti avverte sempre e perennemente ogni qualvolta esegui un applicativo scaricato da internet, questo induce l'utente ad ignorare suddetto messaggio.
Voi cosa ne dite? Cosa proponete?
Trackbacks
Utilizza il link seguente per fare trackback dal tuo sito
http://blog.lipsiasoft.com/trackbacks?article_id=virus-trojan-su-osx-la-soluzione-potrebbe-essere-semplice&day=01&month=11&year=2007
Commenti
Categories
- Altro (17)
- Comunicati Stampa (2)
- Fedora (1)
- Linux (17)
- Mac (45)
- Ruby (26)
- Ruby on Rails (44)
- Tutorials (20)
- Windows (13)
Archivi
- December 2008 (1)
- November 2008 (1)
- October 2008 (1)
- June 2008 (1)
- May 2008 (5)
- April 2008 (2)
- March 2008 (1)
- January 2008 (3)
- December 2007 (5)
- November 2007 (5)
il problema potrebbe essere identico, in futuro. No?
Cioè per eseguire un controllo di autenticità ci vuole sempre una "predisposizione" hard o soft del proprio sistema, altrimenti così come vengono taroccate le applicazioni con i virus lo sarebbero anche le verifiche e le dichiarazioni che il file è integro...
Ad esempio tutti i plug.in di Firefox che ho installato non avevano il certificato valido, è previsto un controllo che non so bene come funzioni... mi è stato chiesto di procedere ugualmente, non c'è altro modo di farlo... pazienza...
Temo proprio che la sicurezza sia un termine "statistico": se ti va bene al 99% sei sicuro :-) Non è uno stato assoluto prevedibile.
(I saluti della prima volta che si scrive un commento :-)
Io sviluppo un applicazione, la mando alla apple od a una società che si occupa di verificare che non contenga virus o malware.
Una volta che questo organo verifica la mi applicazione mi rilascia un certificato unico e univco e non riutilizzabile per quella applicazione.
L'utente che l'installa, vede che è certificata da "apple" come sicura.
Procede con l'installazione.
Se non è certificata mostra un warning. Ma comunque ti permette l'installazione, ma a questo punto anche l'utente più inetto sa a cosa va incontro.
Penso che il motivo sia imprescindibile :-) se qualcuno deve controllare, qualcuno deve essere pagato per controllare... temo che non si esce da questa porta :-) ne resterebbe escluso tutto il software open, free...
è questo il dilemma, ora esistono società che lo fanno a pagamento e ti garantisco che costa moltissimo.
Io penso che in un mondo civilizzato e tante commissioni inutili, dovrebbero istituire almeno a livello comunitario degli organi appositi che si occupino di ciò gratuitamente.
Senza una soluzione di questo tipo è sostanzialmente impossibile impedire il malware.
Troppo facile fare i capitalisti così.
I soldi li hanno, li spendano, se lo reputano necessario.
Altrimenti sapete a chi rivolgervi nel caso di problemi ("colpa" dell'ingenuità dell'utente e di chi fa di tutto per tenerlo tale, senza nemmeno tutelarlo).
Altro che mondo civilizzato..
Questo taglia il 90% del software libero
E' improponibile chidere ad Apple di controllare tutte le applicazioni di terze parti. Improponibile per vari motivi:
1) se concedi i soli file binari, non è possibile essere sicuri al 100% della mancanza di codice maligno.
2) per avere un buon controllo sul codice devi poterlo analizzare, quindi tutte le applicazioni di terze parti dovrebbero dare il loro codice ad Apple. Immagino in quanti sarebbero disposti a farlo...
3) una volta "certificato" un sw, come si farà ad aggiornarlo? L'azienda che lo ha sviluppato dovrebbe ripetere i passi 1 o 2? Assurdo.
4) Avrebbe un costo esagerato per Apple che si rifarà sulle aziende che chiedono la certificazione che si rifaranno sull'utente finale.
La "soluzione" secondo me è una corretta educazione informatica.
Allora, semmai, separiamo il sw libero da quello chiuso. Ed incentiviamo l'uso di quello libero con tutele a carico degli Stati, mentre quello chiuso (ovvero che già garantisce introiti ai proprietari) deve garantire lo stesso livello di sicurezza, ma l'onere è della società stessa.
E non credo che in questo ci sia una turbativa del Mercato, essendo di per sè prodotti diversi e che tutelano libertà fondamentalmente diverse.
Certo anche una discreta educazione informatica non guasterebbe.
Ma tutto ciò atto ad ostacolare il mercato non verrà approvato in nessuna sede istituzionale, col beneplacito degli lobbies.
Quindi discutiamo un po' del nulla..
Ma tant'è.. ;) :D
ti assicuro che anche senza sorgenti, si può analizzare perfettamente la sicurezza di un applicativo, con un certezza del 99%, altrimenti gli antivirus di per se non servirebbero a nulla.
@Xander
io sono della tua idea, una certificazione free per chi non guadagna dai suoi applicativi e una a pagamento per chi ne trae profitto.
Il problema ragazzi è tosto, x' si voi dite giustamente un pò di educazione informatica.
Ma se fosse vostro padre ad utilizzare il vostro amato mac, o la vostra ragazza?
Cosa fate gli state dietro dicendogli no no no, non aprire questo non accettare questo non fare questo?
Si finirebbe come in winzoz, dove alla fine si opta per un antivirus.
Io personalmente non ho mai installato antivirus su winzoz, e non ne ho mai preso uno... ma lo usavo io soltanto.
Il vero problema è l'ignoranza. Ne più ne meno.
aWilito.blogspot.com
Direi che ora avendo acquistato una certa popolarità vedo per OS X un futuro nella stessa direzione di winzozz...(e mi dispiace dirlo)
1 conto è il driver, di cui non puoi fare a meno, un conto è un freeware, o una crack che tranquillamente puoi evitare di installare.
Il problema che sorge ora, secondo me, è che oggi posso tranquillamente lasciare in mano il mio mac ad amici, fratelli e genitori.
Domani? Se ce ne fossero migliaia di malware? Cosa faccio li "educo" uno per uno?
Non è fattibile, e o non farei toccare il mac a nessuno, oppure installerei un odiato antivirus.
@Sasdo
ti assicuro che anche senza sorgenti, si può analizzare perfettamente la sicurezza di un applicativo, con un certezza del 99%, altrimenti gli antivirus di per se non servirebbero a nulla.
sai come funzionano gli antivirus? Più o meno così:
hanno una lista di associazioni pattern-virus dove con "pattern" intendo una serie di byte proprie del virus identificato. Ad esempio alcuni trojan vengono riconosciuti (anche) dalle stringhe dei messaggi di testo che contengono. L'insieme di questi pattern è la "firma" del virus che ne consente l'identificazione.
Ci sono poi anche altri vari metodi euristici più o meno sensibili (anche su determinate syscall).
Ora, è evidente che se io sono un losco personaggio che voglio conquistare il mondo tramite il mio trojan, secondo la tua politica cosa farò:
- costruisco un'applicazione più o meno utile
- al suo interno inserisco una backdoor
- apple prende il mio file binario, e lo esamina, come la scova la mia backdoor? Soprattutto se dev'essere un sw che interagisce con internet ti sfido a capire che comunico con (magari) un mio server privato...
eccoti servito il mio bel trojan certificato e tu ne sei completamente ignaro.
Ecco il "codice di suddetto software"
In questa momenta voi avere ricevuto "virus albanese".
Siccome noi nela Albania no ha esperienza di softuer
e programmaziona, questo virus albanese funziona su principio
di fiducia e cooperazione.
Allora, noi prega voi adesso cancela tutti i file di vostro ar disc
e spedisce questo virus a tutti amici di vostra rubrica.
Grazia per fiducia e cooperazione.
Capite bene che questo tipo di Malware può attaccare qualsiasi tipo di OS (anche Linux... capito Garret?).
Se poi vogliamo metterci a discutere se nel futuro verranno creati VERI virus.... boh, non saprei. OSX, come del resto Linux, implementano molti sistemi per prevenire che del software faccia il comodo suo nel sistema... ma più che chiedere il permesso all' utente amministratore, non credo si possa fare nulla.
Del resto ognuno è libero di fare quello che vuole con il proprio PC... anche distruggerlo.
Un test del genere richiede competenze tecniche, come potrebbe essere gratuito un simile certificato? La maggior parte delle applicazioni freeware non sarebbero certificate, cosi' l'utente cliccherebbe sempre "accetta" a macchinetta, ignorando i continui avvertimenti, un po' come in Windows.
Inoltre, chi ha progettato il malware, se riesce a far credere all'utente che si sta installando un semplice codec, mettera' nelle istruzioni di ignorare il messaggio di avviso, liquidandolo come un semplice messaggio informativo. Un po' come nelle istruzioni dei dialer per Windows.
Una soluzione del genere offrirebbe una falsa sensazione di sicurezza all'utente, a meno che non impedisci l'esecuzione di codice non certificato... rinunciando cosi' a un bel po' di applicazioni gratuite assolutamente inoffensive.
La soluzione: chi usa un computer deve sapere quello che sta facendo. Se uno sale in macchina deve sapere che ci sono dei rischi; se uno usa un coltello anche; pure per un telefonino ci sono dei rischi.
L'utente ne deve essere consapevole: se uno digita la sua password di amministratore "ammuzzo" si espone a dei rischi.
Se mio padre/fratello/fidanzata non sanno usare la mia automobile, mica gliela presto!
E comunque, col mac puoi semplicemente creare un utente non amministratore da far usare a chi e' meno esperto: permette di fare praticamente tutto tranne quello che e' potenzialmente pericoloso. Con un utente del genere, non riesci ad installare il malware.
E poi... un virus che ha bisogno di tutti questi passaggi per ora non fa paura... anche perché se viene definito un "codec" per vedere i filmati porno... magari uno si scoraggia e si vede "Porta a porta"... eccitantissimo!!!!
Del sito?
Si scarica il file e si confronta il codice hash se differisce con quanto riportato allora il file originale è stato modificato.
Si potrebbe usare /usr/bin/openssl sha1 [full path to file]
ciao a tutti.
In questo caso,perdonatemi, sembra piu un caso di social hacking , un raggiro.. L'utente deve compiere volontariamente 5-6 passaggi fino all'inserimento della pass di admin considerando che:
-L'utente mac per vedere video si affida o a quicktime nel caso di file mov o mpg (in leopard basta un colpo di spazio e nessuna applicazione aperta) oppure al 90% a mplayer o vlc che hanno gia tutti i codec installati visto che su quicktime molti avi e molti divx non sono supportati. Quindi potrebbe essere sospetto oltre che superfluo installare codec di terze parti sconosciute.
- Un trojan concepito in questi termini è ridicolo, oltre che primordiale.
- Leopard nel caso di installazione di prodotti di terze parti scaricati dal web riporta prima del setup
la provenienza con tanto di url.
- L'utente mac non è l'utente windows, sia per "cultura informatica" che per tradizione.
- I trojan esistono per tutte le piattaforme, diverso è invece il loro impatto e il loro raggio d'azione.Su mac è davvero molto difficile che abbiano la stessa potenza di fuoco che hanno sotto windows.
Non è un caso che il 99,99% delle cpu zombie sia windows.
Provate ad installare , chi puo farlo, su vmware una copia di windows, senza antivirus, e lanciate explorer. Fatevi un bella navigata , girate dappertutto... Ok facciamo i conti: quanti virus avete preso senza che ve ne siete accorti , senza che avete confermato nessuna installazione ?
C'è una bella differenza tra un software che è capace di entrare senza fronzoli e risiedere a suo piacimento nel nostro sistema compiendo a pieno il suo lavoro e chi su mac deve confermare fino allo spasmo 5 -6 schermate di avvertimento per installare un codec o un software di cui non ha bisogno.
non sarebbe neanche male la tua idea!
Pensa se ci fosse dei DB mondiali che contenessero gli hash e programmi o direttamente l'os ol browser ti avvertono se quello che scarichi non sembra essere "ufficiale".