In risposta alla raffica di furti degli account iTunes verificatasi lo scorso anno, su App Store e iTunes Apple sta implementando dei meccanismi di sicurezza un filo più solidi dei precedenti; agli utenti sparsi per il mondo vengono ora formulate alcune domande prima di ogni acquisto.
Nel 2011, oltre 50.000 account iTunes erano stati violati e venduti a un sito cinese di aste online; le informazioni venivano spesso cedute a prezzi stracciati -5 dollari o giù di lì- e consentivano di effettuare acquisti in libertà, visto che erano collegate a carte di credito altrui negli Stati Uniti.
Poi Apple ha scoperto tutto, e stretto il pugno, ma da oggi la morsa si fa ancora più robusta. Al momento degli acquisti su iBooks, iTunes e App Store, infatti, un certo numero di utenti Apple avrebbe ad essere dirottato verso una pagina che richiede esplicitamente di aggiornare il proprio profilo con tre domande di sicurezza. Cose tipo “come si chiamava il tuo maestro alle elementari” oppure il “la città del primo bacio.”
Infine, pare anche che Apple stia istituendo un Rescue Email Address, ovvero un indirizzo mail secondario cui appoggiarsi nei casi di emergenza e per il reset della password. Non esiste ovviamente alcuna tempistica definitiva, ma è evidente che presto o tardi la novità riguarderà tutti gli utenti, compresi quelli sui dispositivi iOS.
Apple ha pubblicato un ulteriore -e definitivo- update Java dedicato agli utenti Lion e Snow Leopard. Si tratta del tool di rimozione sviluppato internamente di cui abbiamo parlato nei giorni scorsi.
Java for OS X Lion 2012-003 è il terzo update nel suo genere in pochi giorni; le note di rilascio sembrano sottolineare un approccio aggressivo di Apple al problema:
Questo aggiornamento di sicurezza per Java rimuove tutte le varianti più comuni del malware Flashback. Questo aggiornamento configura inoltre il plugin web Java disabilitando l’esecuzione automatica delle applet Java. Gli utenti possono riattivare l’esecuzione automatica delle applet Java utilizzando l’applicazione Preferenze Java. Nel caso in cui il plugin web Java rilevasse che non è stata eseguita nessuna applet per un lungo periodo di tempo, disabiliterà comunque le applet Java.
E qualcosa di molto simile si legge anche per Java for Mac OS X 10.6 Update 8, fatta esclusione per l’automatismo sulle applet:
Questo aggiornamento di sicurezza Java rimuove tutte le comuni varianti del malware Flashback.
Se non intendi usare applet Java, è consigliabile disabilitare il Web plug-in Java nel tuo browser. Per maggiori informazioni su come disabilitare Java in Safari, per favore visita il sito Web:
http://support.apple.com/kb/HT5241.
Ovviamente, il download è consigliato a tutti gli utenti nel più breve tempo possibile. È sufficiente avviare Aggiornamento Software e seguire le istruzioni a schermo. E speriamo di esserci lasciati definitivamente alle spalle questa brutta parentesi.
Dopo il picco dei 700.000 contagi, la diffusione dell’ultima variante del Trojan Flashback cala drasticamente fino quasi a dimezzarsi. Merito degli aggiornamenti Java e dell’informazione fatta, ma l’allarme resta alto.
I numeri questa volta li fornisce Symantec. Dai 600.000 Mac infettati del 5 aprile, saliti a 700.000 subito dopo, siamo giunti agli attuali 270.000, e oramai la situazione appare in via di normalizzazione:
Questa cifra è significativamente scesa da allora, e a giudicare dai nostri dati abbiamo stimato che il numeri di computer colpiti dalla minaccia nelle ultime 24 ore dovrebbe attestarsi attorno ai 270.000, in calo rispetto ai precdenti 380.000. Terremo d’occhio la quantità d’infezioni nelle prossime settimane. La disitrubuzione attuale di Flashback ad oggi […] dimostra che il Nord America, l’Australia e il Regno Unito sono i paesi con la maggior concentrazione del Trojan.
La falla in Java su cui si basa Flasback è stata scoperta addirittura nel settembre del 2011, ma è stata la lentezza di Cupertino a combinare il disastro. Una patch è infatti arrivata solo all’inizio del mese e ora, per risolvere definitivamente la questione, Apple è stata costretta a lavorare su di un tool di rimozione ad hoc che dovrebbe esser rilasciato nei prossimi giorni.
In attesa dei tempi tecnici, si può verificare lo stato di salute del proprio Mac approfittando delle utility di terze parti e dei consigli per un’eventuale rimozione manuale. I più preoccupati possono anche tagliare la testa al toro e prevenire le infezioni avvalendosi dei server OpenDNS, aggiornati in modo tale da inibire questa e le future minacce. Occhio, però, perché non basta impostarli sul proprio router o sul computer: la funzionalità di blocco si attiva solo dietro un’iscrizione -gratuita o meno- al servizio.
In risposta all’epidemia di contagi che ha caratterizzato il debutto dell’ultima variante del Trojan Flashback, Apple avrebbe iniziato a sviluppare internamente un tool ad hoc per la rilevazione e rimozione del malware, coordinandosi al contempo con gli ISP per stroncare il male alla radice.
Come era facilmente immaginabile, il semplice -e tardivo- update Java che stuccava la falla alla base dei meccanismi di propagazione di Flashback non è stato sufficiente a fermarne l’avanzata; per questa ragione, a Cupertino gli ingegneri stanno alacremente lavorando ad uno strumento di rimozione automatica. Non è dato sapere quando sarà disponibile, ma di sicuro farà capolino su Aggiornamento Software.
Gli sforzi, tuttavia, non sono vincolati esclusivamente al lato software. Sulla pagina del supporto Apple dedicata alla questione, si legge infatti
Oltre che sulla vulnerabilità di Java, Flashback si appoggia ai server degli autori stessi del malware per portare avanti una serie di funzionalità critiche. Apple sta lavorando con gli ISP di tutto il mondo per disabilitare questo comando e il relativo network di controllo.
In attesa di novità, Apple suggerisce ufficialmente la disabilitazione di Java sulle proprie macchine (Preferenze di Safari, Sicurezza, infine togliere la spunta a “Abilita Java”). In realtà, già ora è possibile verificare le infezioni attraverso le utility di terze parti comparse di recente sul Web; la contropartita sta nel fatto che poi occorre darsi da fare con tastiera e Terminale per l’eventuale rimozione.
Se i 700.000 e passa contagi del Trojan Flashback vi fanno paura, e non siete sufficientemente avvezzi al Terminale per seguire le istruzioni che vi abbiamo fornito giorni fa, state sereni: uno sviluppatore ha creato il primo strumento gratuito -e semplice da usare- adatto all’individuazione dell’infezione.
Parliamo di Flashback Checker [qui il link per il download], la prima utility di Juan Leon pensata per ricercare sul Mac le tracce del malware più diffuso della storia di Apple. L’idea gli è venuta da un professionista IT specializzato nei computer con la mela:
Ho visto su Twitter che [il professionista IT di cui sopra] aveva creato alcuni script per aiutare gli altri, e ho pensato che ne potessi ricavare un’applicazione nativa in grado, in un colpo solo, di verificare la presenza di tutte le varianti. Mi ha suggerito di rendere disponibile il codice sorgente per guadagnare più credibilità. Ho ricercato il problema e in un paio d’ore ho tirato fuori il Flashback Checker.
Il Trojan in questione, il primo a installarsi e propagarsi sui Mac anche senza la password d’amministratore, sta causando non pochi dispiaceri agli utenti Apple sparsi per il globo; e sebbene alcune patch siano state rilasciate col preciso intento di stuccare la falla, di per sé nulla fanno per l’eventuale epurazione del malware. Ecco perché è importante una corretta diagnosi, e oggi, con questa utility, diventa davvero una cosa alla portata di tutti.
Sfortunatamente, l’app non include alcuna routine di rimozione (dopotutto, chi si sognerebbe di immettere la propria password d’amministratore alla richiesta d’una anonimo software prodotto da uno sviluppatore sconosciuto?); tuttavia, propone un link e dei suggerimenti per la cancellazione manuale. Che poi sono i vecchi consigli di F-secure.
Meglio sarebbe se fosse il Sistema Operativo stesso a occuparsi della faccenda, ma su questo versante Apple fa orecchie da mercante. Qualcuno suggerisce che a Cupertino dovrebbero iniziare a pubblicizzare in modo diretto gli antivirus per il resto di noi; non condividiamo l’allarme, non ancora per lo meno, ma è evidente che Apple dovrebbe iniziare seriamente a pensare a qualche contromisura adeguata. Anche perché Gate Keeper da solo non sembra una risposta sufficiente.
Uno sviluppatore inglese -Gareth Wright- ha affermato d’aver scoperto una falla significativa all’interno dell’app ufficiale di Facebook per iOS e Android. Chiunque, con l’occasione giusta, potrebbe carpire password, dati personali e farsi un po’ di fatti altrui.
Con un post sul suo blog, Wright racconta di aver scoperto l’estrema leggerezza con cui gli sviluppatori di Facebook hanno affrontato la gestione della privacy sui dispositivi mobili. In luogo della conservazione delle credenziali in un luogo sicuro, infatti, l’app le infila in chiaro -senza crittografia, quindi- all’interno del suo file delle preferenze; un documento .plist che, tra le altre cose, è stato impostato per scadere addirittura nell’anno 4001.
Le conseguenze sono tutt’altro che simpatiche: è sufficiente copiare in qualche modo quel file su di un altro dispositivo iOS, perché anche quest’ultimo riesca tranquillamente ad accedere alla vostra pagina personale del social network blu, nonché a tutti i servizi connessi con essa.
E il problema riguarda un po’ tutti, jailbreaker e non; già, perché per copiare qualche file da un dispositivo iOS non servono mica complicate alchimie software e conoscenze da guru. Ci sono molte utility, come la stessa DiskAid, che consentono di accedere al File System tranquillamente e senza hack, pur se con qualche limitazione.
La buona notizia è che Facebook è a conoscenza della vulnerabilità e ha promesso di risolverla in tempi rapidi. Il dubbio, però, è che esistano altre app che trattino i dati di accesso con la medesima disinvoltura.
È la prima volta che un trojan riesce a mietere tante vittime da creare una botnet simile, e non è un caso che della faccenda si siano occupati perfino i giornali nazionali, solitamente piuttosto lenti nel riprendere certe notizie. C’è riuscita l’ultima variante di Flashback, un malware per Mac in grado di installarsi e propagarsi anche senza password d’amministratore, capace di rubare dati personali e codici d’accesso. E il contagio è salito già a 700.000 computer.
Il CEO di Dr.Web Boris Sharov spiega che l’infezione si è propagata molto rapidamente e che ha già contagiato più di mezzo milione di computer; gli ultimi dati parlano di 700.000 Mac, ma per fortuna l’espansione sta rallentando. Sulla questione, Liam O Murchu di Symantec è perentorio:
Se i numeri riportati sono corretti, siamo di fronte alla più estesa infezione su Mac che abbiamo mai visto fino ad oggi.
Ma come si è arrivato ad un simile disastro per gli utenti, senza contare il danno d’immagine inferto a Cupertino? Il commento di Chet Wisniewski, di Sophos, spiega molto bene la questione:
Quando Oracle ha rilasciato la patch a febbraio, ci saremmo aspettati un intervento tempestivo da parte di Apple piuttosto che un’attesa di ben sette settimane fino al momento dello scoppio della crisi. La loro risposta è stata lentissima. Negli ultimi anni, in media, erano sempre indietro di circa sei mesi nel creare patch contro le vulnerabilità in Java, sebbene negli ultimi sei mesi siano un po’ migliorati riducendo a 2 o 3 mesi questo intervallo di tempo.
Continua a leggere: Salgono a 700.000 i Mac infettati dal Trojan Flashback
A causa dell’indolenza con cui Apple ha gestito una falla in Java (corretta da Microsoft sui sistemi Windows già lo scorso febbraio), un gran numero di Mac -qualcuno stima più di 600.000- è stato contaminato dall’ultima variante del Trojan OSX/Flashback.K. Due giorni fa Apple ha reso disponibile un update per risolvere la questione, ma oggi ne arriva un altro; pare però che le modifiche apportate non abbiano nulla a che vedere con la sicurezza.
Se avviate Aggiornamento Software, questa mattina troverete un messaggio ad attendervi:
Java per Mac OS X 2012-002 fornisce una migliore compatibilità, sicurezza e affidabilità aggiornando Java SE 6 alla versione 1.6.0_31.
Chiudi tutti i browser e le applicazioni Java prima di installare questo aggiornamento.
Sfortunatamente, le note di rilascio rimandano allo stesso documento di supporto dell’update precedente, per cui è impossibile sapere cosa viene effettivamente modificato nel Sistema Operativo. In ogni caso, sul forum di MacRumors uno sviluppatore afferma di aver ricevuto una mail di Apple in cui si parla di variazioni minime, non afferenti alla sicurezza e comunque circoscritte al solo Lion:
Oggi abbiamo re-inviato il nostro Java 1.6.0_31 per OS X per risolvere un problema critico scoperto in Xcode e nel tool Application Loader. Questo nuovo paccheto “Java for OS X 2012-002″ è effettivamente identico al “Java for OS X 2012-001″, con l’unica eccezione di pochi symlink e numeri di versione.
Vista l’imponente diffusione del malware -almeno per i nostri standard-, il consiglio è di procedere immediatamente al download e all’installazione del software. E occhio a quello che scaricate dal Web.
Le società di sicurezza russa Dr. Web afferma che più di 600.000 Mac in giro per il mondo siano stati infettati dall’ultima variante del Trojan OSX/Flashback.K, quella in grado di prendere il controllo del Sistema Operativo e propagarsi anche senza la password d’amministratore. Apple ha corretto la falla con un aggiornamento di Java, ma il problema sembra serio.
Questa volta Apple potrebbe aver preso un po’ sottogamba la faccenda:
Ci risulta le varianti del Trojan Flashback abbiano infettato più di mezzo milione di Mac per tutto il globo, secondo quanto riportato dalla società di antivirus russa Dr. Web. La società ha diramato un annuncio mercoledì -prima in russo e poi inglese- circa la crescente botnet Mac, costituita inizialmente da 550.000 Mac infettati. Più tardi nel corso della giornata, tuttavia, l’analista malware della Dr. Web Sorokin Ivan ha pubblicato su Twitter che la conta era arrivata oramai alle 600.000 unità; addirittura, 274 di questi sono localizzati a Cupertino, CA, dove la Apple ha il quartier generale.
Per quanto concerne il nostro paese, l’Italia contribuisce con uno 0,3% sul totale (ovvero 1.800 macchine), ma è andata molto peggio al Regno Unito con il 12,8%, all’Australia col 6,1%, agli Stati Uniti col 56,6% e al Canada col 19,8%. Numeri tutt’altro che casuali: i valori più alti infatti sono prodotti dai paesi con la maggior penetrazione di Mac sul mercato interno.
Per verificare se la sicurezza del vostro Mac sia stata compromessa, fate un copia incolla nel Terminale di questo comando:
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
Qualunque messaggio diverso da “The domain/default pair of (/Users/(nome utente)/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist” implica un’infezione. Seguite quindi le istruzioni di F-Secure per la rimozione manuale. Poi, se vi va, raccontateci nei commenti come ci si sente ad essere rientrati in quello 0,3%.
La quiete dopo la tempesta. Sulla scia emozionale dello scandalo sulla privacy che ha travolto Apple con una class action e una potenziale verifica da parte dell’FTC, gli sviluppatori di Path -gli stessi del peccato originale, finiti poi alla graticola nell’ufficio di Cook- hanno aggiornato la propria app per iOS modificandone profondamente il funzionamento. E d’improvviso spariscono le violazioni.
Path 2.1.1 continuerà a caricare online la rubrica degli utenti, ma esclusivamente dietro esplicito consenso, e comunque in forma ridotta, crittografata e anonimizzata:
Prendiamo molto seriamente la privacy e la sicurezza, e crediamo che i tuoi dati meritino di essere ben protetti. Ecco perché, col rilascio di Path 2.1.1, stiamo migliorando la nostra sicurezza avvalendoci della crittografia basata su algoritmi di hash per i dati di contatto, che quindi vengono oscurati; ciò riguarda cognomi, numeri di telefono, indirizzi email, contatti Twitter e ID Facebook. Raccogliamo questi dati per connetterti con quanti sono ti sono vicino.
L’update è arrivato a breve distanza dalle scuse ufficiali della società, tributate agli utenti in seguito allo scoppio del caso. Una perniciosa novità che ha costretto Apple -ma anche Google, Microsoft etc.- a prendere seri provvedimenti, con controlli più severi all’interno dei rispettivi OS mobili.
Ricorderete senza dubbio Flashback, il trojan per Mac che disabilita gli aggiornamenti automatici delle definizioni malware e fa harakiri se sul sistema è presente Little Snitch. È tornato più arrabbiato, più cattivo e soprattutto più mutato: ora è in grado di replicarsi anche senza la password di amministratore.
L’ultima variante del trojan, ribattezzata OSX/Flashback.K, utilizza una falla nota all’interno di Java SE6 e può installarsi anche senza l’immissione delle credenziali:
Durante l’esecuzione, il malware chiede all’utente la password d’amministratore. Che la inserisca o meno, il malware cercherà comunque di infettare il sistema, sebbene l’immissione della password avrà ripercussioni su come l’infezione si propagherà.
Una volta infettato il sistema, il trojan tenterà di scaricare un pacchetto e di installarlo a sua volta; se la cosa andasse a buon fine, Safari verrebbe sistematicamente dirottato verso siti Web malevoli. La minaccia è vecchiotta ed è stata già completamente risolta sui sitemi Windows lo scorso febbraio; su OS X invece è ancora a piede libero.
Per fortuna, il contagio non è così scontato. Per evitare di essere identificato, Flashback.K si auto-elimina ogni qual volta rileva nel sistema la presenza di MS Word, MS Office 2008, MS Office 2011 o Skype; e comunque, è sempre possibile procedere alla rimozione manuale seguendo le indicazioni fornite da F-secure.
Avviate fiduciosi Aggiornamento Software (o il Mac App Store, a seconda di come avete effettuato l’acquisto originale), poiché c’è un importante aggiornamento di sicurezza e stabilità per il software di gestione e manipolazione fotografica con la mela. E così, iPhoto raggiunge la versione 9.2.3.
Sulla pagina dedicata alle novità si legge che con l’update migliora la stabilità complessiva e viene risolto un problema che poteva causare potenzialmente la chiusura inaspettata di iPhoto su sistemi con più account utente. Inoltre:
L’aggiornamento è ovviamente consigliato al più presto a tutti gli utenti di iPhoto ‘11; non richiede un riavvio ed ha un peso di 256,9 MB. Buon update a tutti.
Seguici
melablog è un supplemento alla testata Blogo.it registrata presso il Tribunale di Milano n. 487/06, P. IVA 04699900967. Contatti, Chi siamo, Condizioni di utilizzo, Privacy.
© 2004-2012 Blogo.it, alcuni diritti riservati sotto licenza Creative Commons.
Per informazioni pubblicitarie e progetti speciali su Melablog.it contattare la concessionaria esclusiva Populis Engage.
