settembre 17, 2012
Quando Apple “adotterà” il culto della sicurezza?
La mia recente menzione di Apple in un discorso in occasione del CEBIT Australia ha scatenato l’abituale raffica di chiacchiere e pubblicazioni in merito all’approccio della compagnia al tema della sicurezza. Considerato che l’approccio alla sicurezza di Apple sembra essere un tema scottante negli ultimi tempi (da Flashfake), credo sia il momento opportuno per ragionare un po’ su questo problema.
Come saprete, oggi si è manifestata una crescente spaccatura tra, da un lato, la campagna di lungo corso “I Macs sono inattaccabili dai malware” e, dall’altro, la realtà, ovvero Apple sta.. perdendo credibilità, per dirla con un eufemismo. Avranno quindi gli utenti il buon senso necessario per comprendere il vero stato delle cose, nonostante ciò che Apple continua a dir loro? Cosa è sbagliato nell’approccio alla sicurezza di Apple? Apple può imparare qualcosa da Microsoft e da altri concorrenti sul tema della sicurezza? È davvero possibile che non ci sia bisogno di una speciale protezione antivirus per i Mac?
Una decina di anni fa, i worms di rete come Blaster e Sasser hanno fatto una strage sulla piattaforma Windows di Microsoft, obbligando la compagnia a prendere alcune difficili – e costose – decisioni. La più importante è stata la creazione della iniziativa Trustworthy Computing, una direttiva esecutiva che includeva una più grande riscrittura di Windows XP S2, delle misure di sicurezza perfezionate (Patch Tuesday, avvisi di sicurezza) ed il programma obbligatorio SDL (Security Development Lifecycle) che ha reso il sistema operativo più elastico e resistente agli attacchi degli hackers.
Il recente incidente di Flashback botnet nel Mac OS X rende alla perfezione l’immagine di Apple nell’era dei worms di rete. E’ un campanello dall’allarme per una compagnia che ha tradizionalmente ignorato il tema della sicurezza.
Per intendere a fondo la negligenza di Apple in materia di sicurezza, dobbiamo ritornare al 2006 ed alla famosa campagna “Mac vs PC commerciale” in cui un PC sembra starnutire a causa di una infezione causata da un virus ed il Mac passa al PC un virus con un fazzoletto, quasi respingendo ogni attenzione al tema della sicurezza, perché i virus non rappresentano alcuna minaccia per Mac OS.
L’annuncio era sia intelligente che divertente, ma fuorviante. Ha contribuito a perpetuare tra i seguaci del Mac un falso senso di sicurezza ed a cementificare la mentalità per cui le misure di sicurezza semplicemente non erano necessarie, perché i Mac sono invincibili e non contraggono virus.
Questo autocompiacimento ha causato e continua a causare inaccettabili e lunghi ritardi nell’applicare ripari alle falle di sicurezza e nel rispondere ad attacchi selvaggi.
Per essere chiari sull’argomento, il virus iBotnet (Flashback/Flashfake che ha infettato più di 700.000 Macs) fu interamente colpa di Apple. Il pacchetto Java (CVE-2012-0507) che correggeva la vulnerabilità fu rilasciato per Windows il 14 Febbraio, 2012. Il Mac OS X ha sofferto di questa stessa vulnerabilità, ed Apple non ha fornito un rimedio fino al 3 Aprile, 2012! Apple ha lasciato che i suoi utenti fossero esposti al pericolo per 49 giorni, fornendo una enorme schiera di opportunità ai creatori di malware per costruire una botnet. Indimenticabile.
Pensateci: quasi un milione di Macs in una rete botnet a fini di lucro gestita da cyber-criminali. In termini di quote di mercato (percentuale di utenti Mac infetti), questa è la versione Mac di ciò che Conficker fu per Windows. E’ il primo attacco selvaggio su Mac OS X ad avere un così alto numero di vittime, inoltre la conferma della crescita delle quote di mercato Mac non fa che fornire un ulteriore incentivo agli hackers.
Flashback è particolarmente maligno perché si diffonde tramite drive-by downloads, senza bisogno di click e di interazione da parte dell’utente e senza che venga richiesta la password di amministratore. E’ sufficiente navigare su un sito web manipolato o intaccato, perché il malware venga installato automaticamente. Le sue varianti note sono state utilizzate per la click-frode ma avrebbe potuto essere ancora più pericoloso a causa della componente Trojan-downloader che consente agli hacker di installare ulteriori malware sui computer infetti.
E’ chiaro che è stato raggiunto un punto per cui le quote di mercato di Mac OS sono tali da motivare attacchi malware di massa. La regola generale è: se la quota di mercato è abbastanza alta, i criminali saranno incentivati ad investire in attacchi. I creatori di malware si sono introdotti già in passato su Mac OS con virus commutatori di DNS, attacchi scareware (falso antivirus) e con le consuete operazioni di phishing, ma considerando tutto questo insieme, è evidente che stiamo entrando in una nuova fase.
Il fatto che gli utenti Apple abbiano subito il lavaggio del cervello sull’ignorare le minacce di sicurezza significa che le vulnerabili applicazioni del desktop rimarranno non protette e che vi sarà sempre una nutrita schiera di vittime in attesa di essere infettate.
Se lasciate una macchina di lusso aperta tutta la notte sulla strada principale e viene rubata, la colpa è vostra perché siete voi che avreste dovuto chiuderla – nessun dubbio. Allo stesso modo, Apple è colpevole della propria attuale situazione. La compagnia è costantemente in ritardo nella fornitura di patch per i noti problemi di sicurezza. Java per Mac è soltanto un esempio ma, se date uno sguardo al processo di Apple per il rilascio di pacchetti di sicurezza, vi accorgerete che quelli di Apple sono sempre in ritardo con le correzioni, in particolare per le componenti open-source. WebKit e Safari sono incubi di sicurezza permanenti.
Poi riscontriamo anche un onnipresente “velo di segretezza” su qualsiasi argomento. Apple semplicemente ignora qualsiasi inchiesta dei media sui problemi di sicurezza. Ogni volta che si manifesta un legittimo pericolo, gli utenti non ricevono nessuna comunicazione da parte di Apple. Nessun avviso pre-patch per tranquillizzare gli utenti. Nessun dato comunicato ai fornitori di antivirus per aiutare a mantenere protetto l’ecosistema. Quando si accende un focolaio, gli utenti Mac devono rivolgersi a terzi per ottenere consigli piuttosto che ricevere aiuto direttamente da Apple. Bel rispetto per gli usuari!
La cosa divertente è che Apple può imparare molto da Microsoft quando si tratta di sicurezza. In realtà, penso che Apple debba semplicemente copiare il playbook di Microsoft parola per parola, quando si tratta di risposta in termini di sicurezza. Apple necessita di un processo SDL per rendere sicuri gli sviluppatori di durante ogni fase di sviluppo del software. SCADA, fornitori di smart grid (reti di informazione) e persino il governo indiano hanno già adottato il processo SDL di Microsoft, il che prova che Microsoft è oggi leader nel settore della sicurezza dei software.
Agli addetti al marketing di Apple non piacerà, ma non c’è nulla da vergognarsi nell’imparare da Microsoft; o, almeno, nulla vi dovrebbe essere. Apple dovrebbe copiare i programmi di avviso di sicurezza di Microsoft in modo tale che gli utenti siano debitamente informati al presentarsi di una appurata minaccia di sicurezza. Se gli utenti Mac sono costretti ad attendere secoli per una patch, Apple dovrebbe fornire almeno dei rimedi temporanei. E che dire di un ipotetico Patch-Day programmato? Una misura del genere aiuterebbe gli amministratori di sistema a prepararsi per la distribuzione di patch invece di essere spiazzati da improvvisi aggiornamenti ad-hoc di Mac OS X. Se parliamo di misure di sicurezza, Apple è rimasta bloccata agli anni ’90.
Dieci anni fa, “Trustworthy Computing” salvò effettivamente la piattaforma Windows dalla Malware Armageddon. La condizione di sicurezza del sistema operativo Windows è migliorata e le misure di sicurezza Microsoft rappresentano al giorno d’oggi lo standard che altri, come Adobe, stanno copiando.
Adesso è il turno di Apple. L’azienda aiuterà immensamente sé stessa ed i suoi utenti utilizzando l’attacco Flashback per prendere atto della realtà e per rigettare il suo vecchio approccio alla sicurezza, che ha ingannato i suoi utenti sulla base dell’autocompiacimento.
Apple ha bisogno di affrontare sul serio la sfida della sicurezza. Non siamo più nel 2006 quando i Mac erano ritenuti al sicuro da attacchi e quando un simpatico spot pubblicitario poteva essere utilizzato per definire “superiore” il proprio sistema operativo. Flashback è il primo grande botnet di Mac, ma potete scommettere che ve ne saranno altri. Apple non può permettersi di ignorare la lezione di Flashback.
Stimata e rispettata Apple, mi stai ascoltando?