Nelle scorse ore è emerso un serio problema di sicurezza a cui Apple, scommettiamo, metterà mano quanto prima. In buona sostanza, a causa della corruzione nella struttura della sicurezza in Lion, qualunque utente comune -anche non amministratore, purché con accesso fisico al Mac- può cambiare a proprio piacimento le password utente. Esatto, può modificarle senza neppure doverle “crackare”.
Il problema, scoperto da quelli Defence in Depth, è relativamente semplice da spiegare ma molto insidioso. In pratica, in OS X Lion i Servizi Directory non richiedono più l’autenticazione durante un cambio di password per l’utente corrente:
Sembra che un re-design dello schema di autenticazione in OS X Lion abbia accidentalmente rimosso uno step cruciale. Se da una parte per gli utenti non-root risulta impossibile accedere direttamente agli shadow file, dall’altra Lion consente loro di prendere visione dell’hash della password. Ciò è possibile con una semplice estrazione di dati dai Servizi Directory.
In altre parole, ciò implica che un utente con le conoscenze giuste, qualche riga di comando da Terminale e 5 minuti liberi col Mac è in grado di modificare tutte le password di sistema e senza neppure la necessità di conoscere prima quella di amministratore.
In attesa che Apple risolva la questione, il consiglio -almeno negli ambienti meno sicuri- è di disabilitare il login automatico e magari impostare per il Portachiavi una password diversa da quella di login. Infine, potrebbe rivelarsi efficace l’abilitazione dell’impostazione “Richiedi password immediatamente dopo lo stop o l’avvio del salvaschermo” in “Preferenze di Sistema”, “Sicurezza e Privacy.” Ciò vi costringerà a immettere le vostre credenziali un po’ più spesso, ma almeno limiterà i danni fintanto che Cupertino non rilasci un aggiornamento ad hoc. Fino ad allora, l’unico Mac sicuro è un Mac perennemente tenuto d’occhio.
Signore e signori, il primo worm per iPhone è ufficialmente sulla piazza, in particolare quella australiana, almeno per ora. Viene identificato come Ikee e colpisce esclusivamente i dispositivi col jailbreak degli utenti più distratti.
Al momento non siamo ancora davanti ad un fenomeno pandemico: si parla di un centinaio di dispositivi violati e conseguenze piuttosto blande, ma l’allarme resta e, vista la semplicità con cui ci si può difendere da queste minacce, la prevenzione è d’obbligo. Questo worm sostituisce lo sfondo impostato dall’utente con uno di Rick Astley, un cantante degli anni ‘80, e si propaga sugli altri iPhone attraverso OpenSSH, l’implementazione della tecnologia SSH che consente di avere libero accesso ai file contenuti nel telefono. E dopo essersi propagato, il worm disattiva il servizio.
Attenzione, però, non è una questione di falle nel software - che è Open Source - ma di disattenzione dell’utente. La password di root dell’iPhone, “alpine,”, è nota a tutti da tempo e lasciare attivo OpenSSH senza aver cambiato la password di root è come perdersi le chiavi di casa con attaccato il proprio indirizzo: è letteralmente una porta aperta per tutti i malintenzionati, una backdoor universale . E sebbene in questo caso specifico il danno si riduca ad uno sfondo modificato (ed un iPhone compromesso da ripristinare urgentemente), c’è “il concreto pericolo che qualcuno possa prendere questo codice ed usarlo per scopi malvagi”, ha affermato Graham Cluley di Sophos.
Soltanto la settimana scorsa, un hacker olandese ha utilizzato la medesima tecnica per installare un messaggio nella home di parecchi iPhone che avvisava gli utenti dell’avvenuta infezione, e li invitava a liberarsene girando €5 all’hacker.
Esistono istruzioni per modificare la password di root, e persino software non ufficiali che abilitano o disabilitano il daemon SSH secondo necessità. E poi, c’è sempre la protezione più grande: se non serve, disabilitare OpenSSH tout court. Caro, vecchio buon senso.
melablog è un supplemento alla testata Blogo.it registrata presso il Tribunale di Milano n. 487/06, P. IVA 04699900967. Contatti, chi siamo
© 2004-2011 Blogo.it, alcuni diritti riservati sotto licenza Creative Commons.
Per informazioni pubblicitarie e progetti speciali su Melablog.it contattare la concessionaria esclusiva Populis Engage.
