settembre 17, 2012

Quando Apple “adotterà” il culto della sicurezza?

La mia recente menzione di Apple in un discorso in occasione del CEBIT Australia ha scatenato l’abituale raffica di chiacchiere e pubblicazioni in merito all’approccio della compagnia al tema della sicurezza. Considerato che l’approccio alla sicurezza di Apple sembra essere un tema scottante negli ultimi tempi  (da Flashfake), credo sia il momento opportuno per ragionare un po’ su questo problema.

Come saprete, oggi  si è manifestata  una crescente spaccatura tra, da un lato, la campagna di lungo corso “I Macs sono inattaccabili dai malware” e, dall’altro, la realtà, ovvero Apple sta.. perdendo credibilità, per dirla con un eufemismo. Avranno quindi gli utenti il buon senso necessario per comprendere il vero stato delle cose, nonostante ciò che Apple continua a dir loro? Cosa è sbagliato nell’approccio alla sicurezza di Apple? Apple può imparare qualcosa da Microsoft e da altri concorrenti sul tema della sicurezza? È davvero possibile che non ci sia bisogno di una speciale protezione antivirus per i Mac?

Una decina di anni fa, i worms di rete come Blaster e Sasser  hanno fatto una strage sulla piattaforma Windows di Microsoft, obbligando la compagnia a prendere alcune difficili – e costose – decisioni. La più importante è stata la creazione della iniziativa Trustworthy Computing, una direttiva esecutiva  che includeva una più grande riscrittura di Windows XP S2, delle misure di sicurezza perfezionate (Patch Tuesday, avvisi di sicurezza) ed il programma obbligatorio SDL (Security Development Lifecycle) che ha reso il sistema operativo più elastico e resistente agli attacchi degli hackers.

Il recente incidente di Flashback botnet nel Mac OS X rende alla perfezione l’immagine di Apple nell’era dei worms di rete. E’ un campanello dall’allarme per una compagnia che ha tradizionalmente ignorato il tema della sicurezza.

Per intendere a fondo la negligenza di Apple in materia di sicurezza, dobbiamo ritornare al 2006 ed alla famosa campagna “Mac vs PC commerciale” in cui un PC sembra starnutire a causa di una infezione causata da un virus ed il Mac passa al PC un virus con un fazzoletto, quasi respingendo ogni attenzione al tema della sicurezza, perché i virus non rappresentano alcuna minaccia per Mac OS.

L’annuncio era sia intelligente che divertente, ma fuorviante. Ha contribuito a perpetuare tra i seguaci del Mac un falso senso di sicurezza ed a cementificare la mentalità per cui le misure di sicurezza semplicemente non erano necessarie, perché i Mac sono invincibili e non contraggono virus.

Questo autocompiacimento ha causato e continua a causare inaccettabili e lunghi ritardi nell’applicare ripari alle falle di sicurezza e nel rispondere ad attacchi selvaggi.

Per essere chiari sull’argomento,  il virus iBotnet (Flashback/Flashfake che ha infettato più di 700.000 Macs) fu interamente colpa di Apple. Il pacchetto Java (CVE-2012-0507) che correggeva la vulnerabilità fu rilasciato per Windows il 14 Febbraio, 2012. Il Mac OS X ha sofferto di questa stessa vulnerabilità, ed Apple non ha fornito un rimedio fino al 3 Aprile, 2012! Apple ha lasciato che i suoi utenti fossero esposti al pericolo per 49 giorni, fornendo una enorme schiera di opportunità ai creatori di malware per costruire una botnet. Indimenticabile.

Pensateci: quasi un milione di Macs in una rete botnet a fini di lucro gestita da cyber-criminali. In termini di quote di mercato (percentuale di utenti Mac infetti), questa è la versione Mac di ciò che Conficker fu per Windows. E’ il primo attacco selvaggio su Mac OS X ad avere un così alto numero di vittime, inoltre la conferma della crescita delle quote di mercato Mac non fa che fornire un ulteriore incentivo agli hackers.

Flashback è particolarmente maligno perché si diffonde tramite drive-by downloads, senza bisogno di click e di interazione da parte dell’utente e senza che venga richiesta la password di amministratore. E’ sufficiente navigare su un sito web manipolato o intaccato, perché il malware venga installato automaticamente. Le sue varianti note sono state utilizzate per la click-frode ma avrebbe potuto essere ancora più pericoloso a causa della componente Trojan-downloader che consente agli hacker di installare ulteriori malware sui computer infetti.

E’ chiaro che è stato raggiunto un punto per cui le quote di mercato di Mac OS sono tali da motivare attacchi malware di massa. La regola generale è: se la quota di mercato è abbastanza alta, i criminali saranno incentivati ad investire in attacchi. I creatori di malware si sono introdotti già in passato su Mac OS con virus commutatori di DNS, attacchi scareware (falso antivirus) e con le consuete operazioni di phishing, ma considerando tutto questo insieme, è evidente che stiamo entrando in una nuova fase.

Il  fatto che gli utenti Apple abbiano subito il lavaggio del cervello sull’ignorare le minacce di sicurezza significa che le vulnerabili applicazioni del desktop rimarranno non protette e che vi sarà sempre una nutrita schiera di vittime in attesa di essere infettate.

Se lasciate una macchina di lusso aperta tutta la notte sulla strada principale e viene rubata, la colpa è vostra perché siete voi che avreste dovuto chiuderla – nessun dubbio. Allo stesso modo, Apple è colpevole della propria attuale situazione. La compagnia è costantemente in ritardo nella fornitura di patch per i noti problemi di sicurezza. Java per Mac è soltanto un esempio ma, se date uno sguardo al processo di Apple per il rilascio di pacchetti di sicurezza, vi accorgerete che quelli di Apple sono sempre in ritardo con le correzioni, in particolare per le componenti open-source. WebKit e Safari sono incubi di sicurezza permanenti.

Poi riscontriamo anche un onnipresente “velo di segretezza” su qualsiasi argomento. Apple semplicemente ignora  qualsiasi inchiesta dei media sui problemi di sicurezza. Ogni volta che si manifesta un legittimo pericolo, gli utenti non ricevono nessuna comunicazione da parte di Apple. Nessun avviso pre-patch per tranquillizzare gli utenti. Nessun dato comunicato ai fornitori di antivirus per aiutare a mantenere protetto l’ecosistema. Quando si accende un focolaio, gli utenti Mac devono rivolgersi a terzi per ottenere consigli piuttosto che ricevere aiuto direttamente da Apple. Bel rispetto per gli usuari!

La cosa divertente è che Apple può imparare molto da Microsoft quando si tratta di sicurezza. In realtà, penso che Apple debba semplicemente copiare il playbook di Microsoft parola per parola, quando si tratta di risposta in termini di sicurezza. Apple necessita di un processo SDL per rendere sicuri gli sviluppatori di durante ogni fase di sviluppo del software. SCADA, fornitori di smart grid (reti di informazione) e persino il governo indiano hanno già adottato il processo SDL di Microsoft, il che prova che Microsoft è oggi leader nel settore della sicurezza dei software.

Agli addetti al marketing di Apple non piacerà, ma non c’è nulla da vergognarsi nell’imparare da Microsoft; o, almeno, nulla vi dovrebbe essere. Apple dovrebbe copiare i programmi di avviso di sicurezza di Microsoft in modo tale che gli utenti siano debitamente informati al presentarsi di una appurata minaccia di sicurezza. Se gli utenti Mac sono costretti ad attendere secoli per una patch, Apple dovrebbe fornire almeno dei rimedi temporanei. E che dire di un ipotetico Patch-Day programmato? Una misura del genere aiuterebbe gli amministratori di sistema a prepararsi per la distribuzione di patch invece di essere spiazzati da improvvisi aggiornamenti ad-hoc di Mac OS X. Se parliamo di misure di sicurezza, Apple è rimasta bloccata agli anni ’90.

Dieci anni fa, “Trustworthy Computing” salvò effettivamente la piattaforma Windows dalla Malware Armageddon. La condizione di sicurezza del sistema operativo Windows è migliorata e le misure di sicurezza Microsoft rappresentano al giorno d’oggi lo standard che altri, come Adobe, stanno copiando.

Adesso è il turno di Apple. L’azienda aiuterà immensamente sé stessa ed i suoi utenti utilizzando l’attacco Flashback per prendere atto della realtà e per rigettare il suo vecchio approccio alla sicurezza, che ha ingannato i suoi utenti sulla base dell’autocompiacimento.

Apple ha bisogno di affrontare sul serio la sfida della sicurezza. Non siamo più nel 2006 quando i Mac erano ritenuti al sicuro da attacchi e quando un simpatico spot pubblicitario poteva essere utilizzato per definire “superiore” il proprio sistema operativo. Flashback è il primo grande botnet di Mac, ma potete scommettere che ve ne saranno altri. Apple non può permettersi di ignorare la lezione di Flashback.

Stimata e rispettata Apple, mi stai ascoltando?

LEGGI I COMMENTI 0
Scrivi un commento
Facebook

giugno 27, 2023

I vertici di Infosec: di nuovo al SAS, questa volta di persona!

Trombe, rullo di tamburi, applausi, acclamazioni, fischi! Ecco due fantastiche notizie per voi: una ottima, l’altra ancora meglio… La prima: quest’anno si terrà la nostra quindicesima conferenza annuale sulla sicurezza informatica, il Security Analyst Summit (SAS). Quindicesima? Incredibile… come passa il tempo!! La seconda: siamo finalmente tornati a un formato offline, ovvero presenziale, faccia a […]

gennaio 19, 2023

Bilancio del 2022: anche i brevetti stanno arrivando!

Inventare nuove tecnologie all’avanguardia è solo una parte del nostro lavoro. Aspettate, no: non va bene essere così categorici… Una nuova tecnologia all’avanguardia e rivoluzionaria comporta un processo di creazione probabilmente molto più complesso e lungo di quanto molti possano immaginare. Certo, senza invenzioni non c’è progresso, ma senza il lungo processo di creazione che […]

novembre 11, 2022

11.11: vent’anni a oggi!

Saluti ragazzi e ragazze! All’ improvviso, è arrivato il momento di festeggiare un altro anniversario. Evviva!… Il nostro sistema operativo cyber-immune, KasperskyOS, compie oggi… aspettate. No, non è esatto… Esattamente 20 anni fa, l’11 novembre 2002, abbiamo iniziato un lungo e importante viaggio, che in realtà stiamo ancora percorrendo. Si tratta di un progetto vasto […]

luglio 21, 2022

Cyber-notizie dal Lato Oscuro (e non): audace hacking di criptovalute, K diventa neuromorfo e come entrare in un data-center attraverso un… bagno!

Salve gente! Per coloro che stanno ancora sudando in ufficio e che non sono ancora potuti partire per una seria vacanza di disintossicazione digitale, ecco a voi, per non farvi sentire in colpa, alcune succose iNews, ovvero racconti dark (e light) dal mondo cibernetico, e altre storie straordinarie e difficili da credere direttamento dal mondo […]

luglio 5, 2022

Un Kuarto di secolo? Come passa il tempo!…

Salve gente! Venticinque anni e nove giorni fa, precisamente il 26 giugno 1997, è stata registrata l’azienda che porta il mio stesso nome. Non possiamo non definirle “umili origini” (nel vero senso della parola): all’epoca era un’azienda con una dodicina di persone e con un fatturato pari a zero, ma con una speciale competenza tecnologica […]

Continua

Video