Rootpipe: nuovo, grave problema di sicurezza su Mac e (forse) Yosemite

Rootpipe: nuovo, grave problema di sicurezza su Mac e (forse) Yosemite

Secondo MacWorld (e come riportato estesamente da ArsTecnica) rootpipe è la nuova falla che affligge Mac dopo ShellShock: le unice proof of concept in rete sembrano provare il problema su sistemi Apple precedenti a 10.9 e 10.10.Yosemite (quindi solo 10.8.5 e precedenti), per cui al di là di aggiornare il sistema all’ultima versione c’è poco da fare. Il full disclosure non sarà pubblicato prima di gennaio, a quanto sembra, per cui non sarà possibile saperne di più a meno di fughe ulteriori di notizie.

La fonte ufficiale della notizia è cyberwire su Twitter, mentre il ricercatore che l’ha scoperta è lo svedese Emil Kvarnhammar, che è stato molto “abbottonato” sul tema: anche troppe, fino ad ora, le speculazioni sull’argomento.

Il video seguente dovrebbe provare la falla, ma secondo me è dubbio: non è una vera e propria proof of concept, per quanto lo script evidenzi come sia possibile ottenere l’accesso root da un terminale in locale, su sistemi operativi Apple versione 10.10, ovvero Yosemite. La dimostrazione del passaggio da utente normale ad utente root (privilege escalation) è effettiva ma, di fatto, non è ancora chiaro come avvenga tecnicamente.

Non è chiaro, in particolare:

  • se la cosa valga anche in remoto (via SSH ad esempio), anche perchè il video prova la cosa apparentemente in locale (quindi l’attaccante deve avere accesso al vostro sistema fisicamente, non può farlo da rete, e se fosse vero ridimensionerebbe il problema);
  • se il rischio si presenti su tutte le versioni di OSX o meno (alcune fonti dicono che anche Yosemite sia affetto, altre lo negano);
  • se il rischio sia sostanziale su Mac client o server, o invece sia limitato: quello script che opera come ./rootpipe potrebbe fare qualsiasi cosa, compreso voler dare l’impressione di una privilege escalation che non viene commessa, in realtà. Capisco la riservatezza ed il non voler svelare ai quattro venti una cosa potenzialmente devastante per Apple, ma se non ci mostrano il codice è impossibile giudicare, ed il sospetto della potenziale bufala ad effetto rimane.

Mi auguro che la falla, se reale, venga rattoppata da Apple quanto prima, anche perchè per il momento non è chiaro come ci si possa difendere: data la recentissima bufala su wordpress, del resto, se la tendenza diventa quella di inventare emergenze di sicurezza informatica per scatenare effetti virali fake, c’è da stare molto attenti.

Come proteggersi da rootpipe?

Attenzione: le soluzioni proposte in giro sono molto probabilmente inutili!

Il suggerimento di ArsTechnica (pappagallato da vari blog italiani senza verificare) è quello di effettuare operazioni sul Mac non da root ma da utente normale, ma questa – se si tratta di privilege escalation – è una soluzione errata e fuorviante al problema.

Non esiste per il momento una protezione effettiva (e realistica) a questo problema, non fosse altro che:

  • non è ancora perfettamente chiara la natura di rootpipe;
  • non è possibile replicarla (non esiste ancora una full disclosure per ragioni di sicurezza);
  • non è chiaro, a questo punto, neanche se sia una falla vera e propria generalizzabile a tutti gli utenti;
  • non è chiaro quando, come e dove si applichi si applichi;
  • come se non bastasse, non è chiaro se sia applicabile anche da remoto (rischio elevato) o solo in locale (rischio contenuto).

Quindi come potrò mai proteggermi da una cosa che non conosco?

I blog tecnologici non si pongono il problema e pensano solo a mettere nero su bianco a caccia di click: sul web sono comparse soluzioni al problema di rootpipe che rischiano essere solo delle illusioni. Questi blog dovrebbero andarci più cauti e quantomeno rettificare sul tema, visto che consigliano di creare un nuovo account sul Mac che sia un standard e senza privilegi da amministratore. E questo, ripeto, è inutile.

La privilege escalation per definizione aggira i permessi del sistemi, e permette ad uno user normale di effettuare operazioni da root: quindi fare login da utenti normali è una soluzione farlocca e falsamente tranquillizzante. Almeno, lo è nella misura in cui non si riesce a comprendere prima l’entità della falla, tantomeno è utile a limitarla utilizzare – come consigliato da alcuni – FileVault, che serve a criptare l’hard disk (il che c’entra poco con rootpipe), e che vi servirà a ben poco se un estraneo riesce ad accedere come root al vostro Mac, e successivamente a cancellare i dati o cambiare la chiave di cifratura. La sicurezza informatica è una cosa seria, e non andrebbe trattata in modo divulgativo o “sbrigativo” come è stato fatto: si attendono notizie ufficiali da Apple, in merito.

Lo scenario è caotico e potenzialmente rischioso, è vero, ma niente panico: fate backup più frequenti, è l’unica cosa sensata che potreste fare finchè Apple non darà informazioni ufficiali in merito o rilascerà  specifiche.

Photo by Internet Archive Book Images

Ti piace questo articolo?

0 voti

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.

Ti potrebbero interessare (Sicurezza informatica):

Cerca altro nel sito

Clicca sul box, e scegli la sezione per vederne i contenuti.