Flashback: qualche dettaglio in più

Qualche giorno fa Kaspersky Labs ha organizzato una conferenza stampa con lo scopo di fare il punto sul fenomeno Flashback/Flashfake, e più in generale il trend relativo alle minacce rivolte agli utenti di Mac OS X. Vincent Diaz - senior security analyst di Kaspersky Lab - non ha mezzi termini nel corso dell'evento affermando: "Mac OS X invulnerability is a myth" e un'attenta analisi delle notizie pubblicate anche negli scorsi anni lo conferma.

I malware per sistemi operativi Apple esistono da tempo e per varie motivazioni non si sono mai diffusi in modo massiccio, ma dai primi mesi dello scorso anno qualcosa è cambiato. L'industria del Cyber-crime guarda con interesse questa nuova categoria di utenti, il cui trend è in costante crescita come confermano i dati relativi al market share. Inoltre, proprio questo mito di falsa sicurezza che spesso viene ostentato nelle community non fa altro che complicare la situazione riducendo negli utenti la consapevolezza di una possibile infezione.

Con queste affermazioni vengono commentati i dati relativi alla diffusione di Flashback: il malware nelle ultime settimane è stato pressochè debellato, ma le rilevazioni di Kaspersky Labs indicano che ancora esiste un alto numero di Mac infetti (30.000) i cui possessori, probabilmente, ignorano l'esistenza del problema. Symantec nei giorni scorsi aveva stimato le dimensioni di Flashback ipotizzando l'esistenza di 140.000 Mac infetti, ben inferiore quindi alle prime stime di inizio aprile che quantificavano il fenomeno in circa 700.000 dispositivi.

C'è però da rilevare che tali numeri rappresentano stime e sono raccolti in modo indiretto con sinkhole che imitano il comportamento dei server utilizzati per il controllo dei client infetti. Dati ben più consistenti sono invece relativi al numero di utenti Mac che hanno controllato il proprio sistema attraverso le soluzioni Kaspersky: su 205622 controlli effettuati sono stati rilevati 3624 sistemi infetti.

Apple è stata da più parti criticata in questo periodo: Eugene Kaspersky sul proprio blog non ha avuto mezzi termini nel manifestare il proprio disappunto, e anche Secunia si è più volte espressa allo stesso modo. Ciò che pare al momento assurdo è un fatto inconfutabile, ovvero che la famosa vulnerabilità alla base di Flashback sia stata risolta da Oracle mesi fa. Altrettanto non è stata in grado di fare Apple che solo nelle scorse settimane ha rilasciato una patch. Si tenga poi presente che la medesima vulnerabilità in Java viene sfruttata dal recente SabPub, un malware che potrebbe impensierire chi ancora non ha aggiornato il proprio Mac.

Nelle ultime ore si registra anche un'altra iniziativa di Mozilla che potrebbe dare il proprio contributo per risolvere il problema, infatti per il browser Firefox per Mac vengono ora bloccate le versioni più vecchie del plugin Java. Il modo con il quale Apple ha risposto a questo problema di sicurezza non è stato certo adeguato, così sostiene Kaspersky Labs. I tempi di reazione sono stati molto lunghi e anche la collaborazioni con gli altri partner impegnati sul fronte della sicurezza potrebbe essere migliorata.

Sul piano tecnico Apple punta molto su GateKeeper, soluzione di sicurezza orientata a fornire il massimo controllo sull'ecosistema software: controllando la provenienza del codice attraverso marketplace, firma digitale e altri strumenti si dovrebbe creare una condizione di utilizzo tale da tagliar fuori possibili minacce. Un approccio simile non vede i tecnici di Kaspersky Labs molto concordi che bollano il meccanismo di GateKeeper come l'ennesima soluzione del gatto che gioca con il topo.

Poche righe sopra abbiamo scritto che il malware per Mac OS X esiste da tempo, quindi una domanda più che lecita è la seguente: perchè solo oggi si da così tanta importanza al fenomeno e si guarda con attenzione alle scelte future non solo di Apple? Kaspersky non ha dubbi in merito riconducendo il tutto alla forte crescita in termini di Market Share osservata negli ultimi mesi per Mac OS X, ma non ci sono oggi reali ipotesi su chi stia veramente gestendo Flashback.

Le previsioni non solo di Kaspersky vedono un prossimo futuro in cui saranno sempre più diffusi i malware anche per Mac OS X, quindi si rende necessaria attenzione al fenomeno con strumenti adeguati. Su questo fronte è però necessario precisare che Kaspersky Labs è fortemente interessata anche alle nuove opportunità di business che si verranno a creare.

Per quanto riguarda il mondo iOS Vincent Diaz si è dimostrato meno preoccupato: le differenze tra il sistema operativo mobile di Apple e Mac OS X sono parecchie e l'attuale ecosistema pressochè chiuso di iOS per il momento sono buone garanzie. Su questo argomento solo alcuni mesi fa Symantec era di differente avviso ma cercheremo di approfondire in un'altra occasione. Fin'ora si è parlato di malware ma anche altri fenomeni come il phishing o il furto di identità coinvolgono anche gli utenti Apple, utenti iOS compresi.

Abbiamo chiesto un commento sulla faccenda all'amico Marco Giuliani che da anni si occupa di sicurezza e di malware.

Senza voler scendere nel merito delle polemiche sulle questioni di marketing, che in questi giorni con il caso Flashback hanno preso piede nelle comunità online, dal punto di vista tecnico il problema sicurezza per Apple è un problema reale, attuale e più che mai preponderante.

Apple non è nuova nell'installare di default plugin specifici nel proprio sistema operativo e non tenerli aggiornati. Basti ricordare il plugin per Adobe Flash, installato di default in Snow Leopard e rimasto non aggiornato per moltissimo tempo, lasciando un portone aperto a possibili malintenzionati che per svariato tempo - se avessero voluto - avrebbero potuto sfruttare un corridoio immenso per penetrare i sistemi Apple - e non è escluso a priori che possa essere stato utilizzato per attacchi mirati.

Tralasciando le questioni legate al marketing emerge un dettaglio non da poco: il problema è reale e va affrontato. Sulle modalità e sugli strumenti da utilizzare ci sono ancora poche certezze ma l'esperienza maturata in settori paralleli (Windows) potrà sicuramente tornare utile.

Proprio nelle ore in cui scriviamo queste righe si sta consumando un acceso botta e risposta tra DoctorWeb, Kaspersky e in modo indiretto anche Symantec. La questione riguarda i dati relativi alla diffusione di Flashback diffusi da Kapsersky e giudicati inesatti da parte di Doctorweb. Stando a quanto pubblicato in questo post viene di fatto messa in discussione la flessione nel dato relativo ai Mac infetti: Doctorweb sostiene che Flashback sia una minaccia ancora molto attiva e diffusa. Qui di seguito la nota ufficiale diffusa da Symantec:

Though we cannot confirm an exact number at this time, Symantec has discovered that the number of current flashback malware infections is likely higher than what we shared in our earlier reports, which demonstrated a decline to approximately 140,000 infected machines. The cause of our earlier reports containing lower numbers than what we now think to be accurate is a separate active sinkhole is  preventing Flashback infected-machines from contacting subsequent domains, thus skewing the number of infections we are able to observe via our own sinkhole data.

All'origine del ripensamento di Symantec ci sarebbe proprio la metodologia utilizzata per il rilevamento dei Mac infetti e un particolare sinkhole utilizzato sull'IP 74.207.249.7. Symantec conferma quindi una situazione ancora poco rassicurante e rivede al rialzo le proprie stime in termini di infezione (185.000 sistemi infetti, dato di qualche giorno fa).

I tool di rimozioni sono già disponibili da parecchi giorni, anche se come riporta Computerworld.com una prima versione dello strumento fornito da Kaspersky è stata prontamente ritirata perchè andava agire anche sulle impostazioni degli utenti. Flashback torna però di attualità, infatti alcune ore fa è stata individuata una nuova variante del malware come documentato qui.