E’ innegabile che il passaggio da OS 9 a OS X, abbia trascinato con se, tutta una serie di problematiche proprie del mondo Unix, prima sconosciute in un universo composto di estensioni colorate e pannelli di controllo. Ai vertici, per importanza, è il problema della sicurezza in rete, vitale per computer che si propongono come reale alternativa a server “storici” o a soluzioni collaudate da anni.
Nelle scorse settimane si erano evidenziate delle mancanze in alcune componenti del Sistema, non direttamente opera di Apple, ma ora si ha notizia di una leggerezza che appare imputabile proprio ai tecnici di Cupertino.
Dall’apparizione del Mac OS 9, abbiamo preso familiarità con l’opzione di aggiornamento “Software Update”, e proprio questo automatismo, progettato per semplificare la vita dell’utente, può essere sfruttato per introdurre, nel proprio computer, del codice “abusivo”.
L’informazione giunge da una mailing list, dove si discutono vari problemi di sicurezza dei sistemi operativi ed applicativi, è comparsa una descrizione di una possibile problematica che, potenzialmente, potrebbe creare spiacevoli backdoor in ogni Mac OS X.
Russell Harding dell’università del Colorado, ha verificato che la connessione ai server Apple avviene per mezzo del semplice protocollo HTTP, seguito dal comando GET, il tutto senza alcuna cifratura o procedura di autenticazione. Il pericolo che si cela dietro questa scoperta è reale.
Con le tecniche del DNS Spoofing e DNS Cache Poisoning, per qualche malintenzionato è un gioco da ragazzi installare codice maligno nel Mac con Mac OS X, trojan horses, virus e quant’altro di fasullo, spacciandolo per package di aggiornamento.. La parte ancora più negativa è che non pare esistere soluzione ad un sistema di questo tipo che non richiede autenticazione”.
L’autore del messaggio suggerisce di visitare per testare la soluzione con alcuni software preparati per l’occasione, ma suggeriamo ai nostri lettori cautela se non siete completamente coscienti di quello che “maneggiate”.
Nella pagina dello scopritore del bug, dedica all’argomento, vi è una dettagliata sequenza delle operazioni compiute ed un documento su come sia possibile effettuare “l’inganno” spacciandosi per il server degli updates. Viene precisato, anche, che non è necessario possedere un computer con Mac OS X, per realizzare quanto detto, ma ogni piattaforma, con gli strumenti giusti, potrebbe realizzare il mascheramento.
Gli scettici sulla realizzazione di un attacco di questo tipo, sappiano che Harding ha già realizzato un package di aggiornamento falso, per dimostrare quanto il rischio sia tangibile.
Il problema, per quanto concreto in sè, comunque non merita di suscitare eccessive preoccupazioni, poiché sul web, oramai, esistono decine e decine di siti dedicati al Macintosh ed in pochi minuti si può verificare se quanto mostra Software Update, corrisponda a verità .
I più sospettosi, poi, possono anche anche attendere quelle 24-48 ore che intercorrono tra il rilascio degli aggiornamenti e la loro disponibilità via FTP, in modo da essere certi che quei packages arrivino effettivamente da Apple.
In attesa che a Cupertino, da dove è già stato detto che ogni elemento inerente la sicurezza ha massima priorità , non resca da raccomandare che non farsi colpire dall’infantile febbre dell’aggiornamento ad ogni costo, caricando ogni cosa che può apparire “più nuova” prima degli amici o colleghi. Adesso, più di prima, la possibilità che qualcosa non funzioni per il verso giusto diventa drammaticamente alta.