Anche Apple interviene nell’ormai nota vicenda dell’avvistamento del presunto virus per Mac MP3Virus.Gen. Cupertino ha rilasciato nella serata tra venerdì e sabato una breve nota con la quale fa sapere di avere preso nota dei rischi potenziali identificati da Intego e di essere al lavoro per valutarne la portata. “Benché nessun sistema operativo possa essere completamente sicuro * si legge nella nota * Apple ha una eccellente storia pregressa in fatto di identificazione e rapida correzione di potenziali vulnerabilità ”
Anche Intego, sottoposta ad un vero e proprio fuoco di fila di critiche per le modalità , piuttosto confuse e controverse con cui ha reso nota l’esistenza di MP3Virus.Gen, è tornata sull’argomento con un nuovo comunicato , in forma di domande e risposte.
Il documento, che dovrebbero mettere fine alle polemiche e alle accuse, alcune delle quali anche molto pesanti (come ad esempio avere sfruttato per fare pubblicità al suo VirusBarrier un “esperimento” nato nell’ambito dei newsgroup il 20 marzo per vendere qualche copia del suo antivirus in più) si precisa, prima di tutto, che Mp3Virus.Gen non è affatto una bufala e che nonostante nella sua attuale formulazione non rappresenti un pericolo, esso ha le potenzialità per produrre gravi danni. In risposta a chi sostiene che a casa software francese ha semplicemente rovistato nei newsgroup dove si discuteva delle potenzialità di Mp3Virus.Gen, Intego replica dicendo di essere venuta a conoscenza del rischio posto dal virus con una e-mail che spedita, oltre che ai suoi uffici a Symantec, McAfee ed Apple. “Inizialmente siamo stati incerti se dare pubblicità alla cosa oppure no * dice Intego * ma poi abbiamo deciso che era nostro dovere allertare gli utenti del rischio posto”.
Intego cerca di replicare anche alla questione più tecnica, ma non per questo meno scottante, dell’intera vicenda: da tempo è noto che si può mascherare un’applicazione da file, per cui quale novità porta Mp3Virus.Gen?
“Prima di tutto * dice Intego * Mac OS X è in grado di far girare due tipi di applicazioni: Cocoa e Carbon. Quelle Cocoa sono applicazioni native e hanno un’estensione .app; si tratta, in effetti, di cartelle che contengono tutte le parti del codice. Le applicazioni Carbon sono differenti, molte di essere girano anche in Mac OS 9 e per questa ragione non hanno un’estensione .app. Il Mac OS sa che cono programmi eseguibili per due risorse, carb e cfrg. La risorsa carb indica che si tratta di un’applicazione carbon e la cfrg indica la locazione del codice eseguibile nei data fork del file. Mp3Virus.Gen è un vero e proprio file MP3 al quale sono state aggiunte le due risorse carb e cfrg; in aggiunta a ciò l’ID3 del file (dove vengono normalmente scritte le informazioni di un file MP3 NDR) contiene il codice del cavallo di troia e la risorsa cfrg un puntatore a questa locazione nel data fork. Quando un utente * aggiunge ancora Intego * fa doppio click sul file Mac OS X vede le risorse cfrg e carb, pensa che si tratti di un’applicazione e lo lancia. La risorsa cfrg punta al codice contenuto nell’ID3 che viene eseguito. Un AppleEvent apre iTunes che suona l’audio mentre il codice contenuto nel tag ID3 continua a funzionare”. Nel caso di Mp3Virs.Gen presenta un messaggio con cui si dice che si tratta di un’applicazione ma Intego invita a considerare che in questo modo è possibile lanciare ogni tipo di applicazione, anche in maniera nascosta, e compiere danni di ogni tipo sull’HD dello sfortunato che si trovasse a fare click.
Ma la voce di Apple e quella di Intego non sono state le uniche a farsi sentire nelle scorse ore. Sulla vicenda è intervenuta ad esempio Symantec che offre una prospettiva in un tempo più semplice ma ancora più chiarificatrice, forse perché meno coinvolta in prima persona nella vicenda, sul funzionamento di Mp3Virus.Gen. “MP3Concept (Mp3Virus.Gen ) * si legge in una nota * è stato scoperto il 20 marzo. Si tratta di un’applicazione che include un file MP3. Una volta eseguito il file anche il trojan viene eseguito, mostra un messaggio “Yep, this is an application. So what is your iTunes playing right now?” (“Oh! Questa è un’applicazione. Cosa sta suonando allora il tuo iTunes adesso?”) e lancia iTunes”. Symantec sottolinea anche un aspetto importante e che può contribuire a far svanire la psicosi da virus il sedicente trojan non può funzionare se lanciato da iTunes, deve per forza essere lanciato dal finder.
Un secondo aspetto, non sottolineato da Symantec ma verificato e da tenere in considerazione è che Mp3Virus.Gen diventa inefficace se spedito per e-mail o scaricato senza essere stato prima compresso in .sit o .zip. Questo aspetto da solo contribuisce a rendere quasi nulle le potenzialità distruttive di un virus basato su questa tecnica perché, una volta che un virus di questo tipo fosse in circolazione, basterebbe semplicemente non decomprimere il file per annullare i suoi effetti.
Le giustificazioni di Intego, le precisazioni di Apple e la puntualizzazione di Symantec non hanno contribuito a sedare le acque. Diversi siti riportano pareri piuttosto salaci di semplici utenti mentre gli esperti di sicurezza generalmente minimizzano se non relegano nel campo dell’impossibilità un’infestazione propagata usando Mp3Virus.Gen.
“Intego ha voluto dare l’impressione che ci sia un pericolo quando il pericolo non c’è * dichiara Dave Schroeder, un ingegnere di sistemi all’università del Wisconsin, a Wired * è un semplice esperimento postato ad un newsgroup, non è presente in maniera libera e non può essere diffuso liberamente. E’ un non-problema. Siamo ad un livello teorico: è possibile infestare Mac OS S con Virus e cavalli di troia, ma fino a quando questo non succederà nessuno è giustificato a sollevare un allarme” “Diffondono FUD (Fear Uncertainty, Doubt, paura incertezza e dubbio NDR) per vendere il loro software”, aggiunge Ryan Kaldari, un programmatore di Nashville. Chi non ha dubbi sulla portata della vicenda è Rob Rosenberg, autore di Vmyths, un sito specializzato nei miti e nelle leggende urbane che riguardano i virus: “Delle due l’una: o vogliono intorbidare le acque o cavalcano l’isteria. E’ sedici anni che succede”
A chi si pone, invece, dubbi sulla solidità di Mac OS X nel sopportare attacchi virali risponde Ray Wagner di Gartner, intervistato da Enterprise Security Today . “Mac OS X è basato su BSD * dice l’analista * una variante di Unix, da tempo un codice pubblico. Più gente vede il codice, più facilmente vengono riparati i buchi di sicurezza”. Michael Gartenberg di Jupiter Research stronca anche le tesi di chi avanza il tradizionale “si stava meglio quando si stava peggio”, riferendosi ai tempi di Mac OS Classic. “I precedenti OS non erano per nulla robusti. Se qualcuno avesse provato ad attaccare Mac OS 7 * dice Gartenberg con un pizzico di humor salace -, probabilmente sarebbe andato in crash prima”
Insomma, avviandoci ormai all’esaurimento della vicenda e cercando di mettere un punto fermo appare ormai chiaro che Mp3Virus.Gen non è un falso o una bufala, esiste realmente ma è un semplice ed innocuo esperimento che era volto a sollevare una discussione accademica. Se qualche pirata volesse applicarne le potenzialità potrebbe produrre qualche danno, magari anche grave, ma non certo produrre una infestazione neppure lontanamente paragonabile a quelle cui sono abituati gli utenti PC. Apple, nonostante questo, probabilmente interverrà con una modifica del sistema operativo che renderà impossibile sfruttare questa tecnica, mentre praticamente tutti i produttori di anti-virus rilasceranno aggiornamenti dei loro prodotti.
Per quanto riguarda Intego il modo con cui ha diffuso la notizia e lo spirito con cui l’ha fatto, appare lecito sollevare qualche perplessità . Lo stesso effetto si sarebbe potuto ottenere in altro modo, con maggiore chiarezza e senza lasciare adito a dubbi e ad accuse.
Al proposito forse il commento più azzeccato arriva da un utente dei forum di MacFixIt : “Supponete che una società trovi un vaccino per il vaiolo; supponete che questa società mandi a chiunque sia interessato ad una potenziale infezione un campione indebolito del virus lasciando intendere che questo potrebbe essere convertito in una versione realmente infettiva e in grado di provocare seri danni alla salute nel momento in cui si diffondesse tra la popolazione. Quando questa società dovesse avere enormi profitti dall’incremento delle vendite del suo vaccino in seguito alla minacciata epidemia, dovremmo forse plaudire al suo contributo alla battaglia contro la malattia?”
