Rootpipe: nuovo, grave problema di sicurezza su Mac e (forse) Yosemite

di Salvatore
6 Novembre 201428 Febbraio 2019

14593675000 d785bb1ccb rootpipe

Aggiornato il: 28-02-2019 11:43
Secondo MacWorld (e come riportato estesamente da ArsTecnica) rootpipe è la nuova falla che affligge Mac dopo ShellShock: le unice proof of concept in rete sembrano provare il problema su sistemi Apple precedenti a 10.9 e 10.10.Yosemite (quindi solo 10.8.5 e precedenti), per cui al di là di aggiornare il sistema all’ultima versione c’è poco da fare. Il full disclosure non sarà pubblicato prima di gennaio, a quanto sembra, per cui non sarà possibile saperne di più a meno di fughe ulteriori di notizie.

La fonte ufficiale della notizia è cyberwire su Twitter, mentre il ricercatore che l’ha scoperta è lo svedese Emil Kvarnhammar, che è stato molto “abbottonato” sul tema: anche troppe, fino ad ora, le speculazioni sull’argomento.

More on OS X Yosemite's #Rootpipe security flaw. Discovered by @emilkvarnhammar. via @ZDNet, @violetblue http://t.co/fmm474GUjG

— The CyberWire (@thecyberwire) November 4, 2014

Il video seguente dovrebbe provare la falla, ma secondo me è dubbio: non è una vera e propria proof of concept, per quanto lo script evidenzi come sia possibile ottenere l’accesso root da un terminale in locale, su sistemi operativi Apple versione 10.10, ovvero Yosemite. La dimostrazione del passaggio da utente normale ad utente root (privilege escalation) è effettiva ma, di fatto, non è ancora chiaro come avvenga tecnicamente.

Non è chiaro, in particolare:

se la cosa valga anche in remoto (via SSH ad esempio), anche perchè il video prova la cosa apparentemente in locale (quindi l’attaccante deve avere accesso al vostro sistema fisicamente, non può farlo da rete, e se fosse vero ridimensionerebbe il problema);
se il rischio si presenti su tutte le versioni di OSX o meno (alcune fonti dicono che anche Yosemite sia affetto, altre lo negano);
se il rischio sia sostanziale su Mac client o server, o invece sia limitato: quello script che opera come ./rootpipe potrebbe fare qualsiasi cosa, compreso voler dare l’impressione di una privilege escalation che non viene commessa, in realtà . Capisco la riservatezza ed il non voler svelare ai quattro venti una cosa potenzialmente devastante per Apple, ma se non ci mostrano il codice è impossibile giudicare, ed il sospetto della potenziale bufala ad effetto rimane.

Ti potrebbe interessare: Server dedicati a meno di 240 euro / anno

Mi auguro che la falla, se reale, venga rattoppata da Apple quanto prima, anche perchè per il momento non è chiaro come ci si possa difendere: data la recentissima bufala su wordpress, del resto, se la tendenza diventa quella di inventare emergenze di sicurezza informatica per scatenare effetti virali fake, c’è da stare molto attenti.

Come proteggersi da rootpipe?

Attenzione: le soluzioni proposte in giro sono molto probabilmente inutili!

Il suggerimento di ArsTechnica (pappagallato da vari blog italiani senza verificare) è quello di effettuare operazioni sul Mac non da root ma da utente normale, ma questa – se si tratta di privilege escalation – è una soluzione errata e fuorviante al problema.

Non esiste per il momento una protezione effettiva (e realistica) a questo problema, non fosse altro che:

non è ancora perfettamente chiara la natura di rootpipe;
non è possibile replicarla (non esiste ancora una full disclosure per ragioni di sicurezza);
non è chiaro, a questo punto, neanche se sia una falla vera e propria generalizzabile a tutti gli utenti;
non è chiaro quando, come e dove si applichi si applichi;
come se non bastasse, non è chiaro se sia applicabile anche da remoto (rischio elevato) o solo in locale (rischio contenuto).

Quindi come potrò mai proteggermi da una cosa che non conosco?

I blog tecnologici non si pongono il problema e pensano solo a mettere nero su bianco a caccia di click: sul web sono comparse soluzioni al problema di rootpipe che rischiano essere solo delle illusioni. Questi blog dovrebbero andarci più cauti e quantomeno rettificare sul tema, visto che consigliano di creare un nuovo account sul Mac che sia un standard e senza privilegi da amministratore. E questo, ripeto, è inutile.

La privilege escalation per definizione aggira i permessi del sistemi, e permette ad uno user normale di effettuare operazioni da root: quindi fare login da utenti normali è una soluzione farlocca e falsamente tranquillizzante. Almeno, lo è nella misura in cui non si riesce a comprendere prima l’entità della falla, tantomeno è utile a limitarla utilizzare – come consigliato da alcuni – FileVault, che serve a criptare l’hard disk (il che c’entra poco con rootpipe), e che vi servirà a ben poco se un estraneo riesce ad accedere come root al vostro Mac, e successivamente a cancellare i dati o cambiare la chiave di cifratura. La sicurezza informatica è una cosa seria, e non andrebbe trattata in modo divulgativo o “sbrigativo” come è stato fatto: si attendono notizie ufficiali da Apple, in merito.

Ti potrebbe interessare: Trasformare un Blog in app in meno di 5 min

Lo scenario è caotico e potenzialmente rischioso, è vero, ma niente panico: fate backup più frequenti, è l’unica cosa sensata che potreste fare finchè Apple non darà informazioni ufficiali in merito o rilascerà Â specifiche.

Photo by Internet Archive Book Images

Questo blog pubblica contenuti ed offre servizi free da 12 anni. – Leggi un altro articolo a caso – Per informazioni contattaci Non ha ancora votato nessuno.

Ingegnere informatico per passione, consulente per necessità, docente di informatica; ho creato Trovalost.it e ho scritto quasi tutti i suoi contenuti. Credits immagini: pexels.com, pixabay.com, wikipedia.org, Midjourney, StarryAI, se non diversamente specificato. Per contattarmi clicca qui

Segui il canale Youtube @Tecnocrazia23