Alfonso Maruccia

Thunderstrike 2, rootkit per Mac alla riscossa

I ricercatori aggiornano un attacco già presentato a inizio anno e lo rendono ancora più pericoloso. Difendersi è molto complicato se non impossibile, e Apple non aiuta: le patch latitano, o sono poco efficaci, come mostrano gli ultimi exploit

Thunderstrike 2, rootkit per Mac alla riscossaRoma - I Mac possono essere molto più insicuri dei PC, soprattutto in fase di boot; la dimostrazione di questa poco invidiabile qualità arriva da Thunderstrike 2, attacco in via di presentazione alle conferenze hacker di agosto (DEF CON, Black Hat) progettato per sfruttare le vulnerabilità di sicurezza nel firmware EFI per la gestione a basso livello della piattaforma informatica di Apple. Una piattaforma oramai costantemente sotto attacco nonostante le patch di Cupertino.


I ricercatori che hanno creato la nuova minaccia includono quelli già attivi su Thunderstrike, una prima versione dell'attacco presentata a inizio anno e che viene resa ancora più pericolosa grazie alla capacità di agire da remoto, tramite email di phishing o altre strategie utili a incoraggiare il download e l'installazione di codice malevolo su sistemi locali tramite Internet.

Thunderstrike 2 installa il proprio codice malevolo nella "Option ROM" inclusa in taluni accessori per porta Thunderbolt, un codice che viene poi eseguito durante il boot del Mac (qualora l'accessorio infetto fosse connesso al PC) subito dopo il caricamento della Boot ROM e prima ancora dello stesso firmware EFI.
Il codice proof-of-concept di Thunderstrike 2 è in sostanza un rootkit praticamente invisibile, impossibile da identificare con i più sofisticati software di sicurezza moderni e resistente a qualsiasi tentativo di "pulizia", reinstallazione del sistema operativo, sostituzione del disco fisso e tutto quanto. L'attacco corregge le vulnerabilità sfruttate per compromettere il sistema, quindi anche in questo caso non è possibile agire per risolvere il problema.

Thunderstrike sfruttava vulnerabilità parzialmente corrette da Apple, mentre Thunderstrike 2 fa uso di bug ancora aperti e che coinvolgono tutti i sistemi Mac dotati di una porta Thunderbolt. Cupertino, dal canto suo, non si mostra particolarmente veloce ad aggiornare Mac e OS X, come la circolazione di exploit e minacce informatiche in grado di sfruttare la recentemente scoperta vulnerabilità della variabile d'ambiente DYLD_PRINT_TO_FILE stanno a dimostrare.

Non che Thunderstrik 2 rappresenti il primo caso conclamato o teorico di rootkit invisibile, beninteso, o che il problema riguardi solo la piattaforma Mac/OS X: da tempo i ricercatori fanno i conti con minacce apparentemente inafferrabili e difficili persino da definire con precisione, e l'intelligence americana è oramai nota per fare uso di rootkit in grado di rendersi invisibili infettando il firmware dell'hard disk.

Alfonso Maruccia
Notizie collegate
  • SicurezzabadBIOS, il malware più cattivoUn misterioso codice malevolo conquista le pagine delle cronache informatiche grazie alle sue presunte capacità di infezione e controllo. La fonte che parla del malware è rispettabile ma i ricercatori dicono in coro: non ne sappiamo nulla
  • SicurezzaEquation Group, l'anticristo della sicurezza informaticaKaspersky Lab rivela l'esistenza di un nuovo attacco informatico, la più complessa operazione di infezione e spionaggio mai vista. Tutte le prove sembrano suggerire un collegamento diretto con la americana NSA
  • SicurezzaOS X, variabile d'ambiente vulnerabileIl sistema operativo di Apple è affetto da una vulnerabilità di sicurezza potenzialmente pericolosa, sfruttabile da malintenzionati per ottenere pieno controllo sull'OS. Già disponibile una patch correttiva di terze parti
131 Commenti alla Notizia Thunderstrike 2, rootkit per Mac alla riscossa
Ordina
  • Bloccare tutte la riscritture con un dip switch da 0.1euro costa troppo? spostare il problema agli elettronici e' la cosa piu sensata gli informatici non ne escono.
    non+autenticato
  • - Scritto da: Elettrone
    > Bloccare tutte la riscritture con un dip switch
    > da 0.1euro costa troppo? spostare il problema
    > agli elettronici e' la cosa piu sensata gli
    > informatici non ne
    > escono.

    _

    basta proteggere il bios con password, senza componenti aggiuntivi
    _
    non+autenticato
  • Se interrompi fisicamente il segnale di scrittura scrittura il problema non è mai esistito.
    non+autenticato
  • > basta proteggere il bios con password, senza
    > componenti
    > aggiuntivi
    > _

    https://www.technibble.com/how-to-bypass-or-remove.../

    prima o poi un escamotage salta fuori e sei punto e a capo ma un software non sara' mai in grado di spostare un dip switch.
    non+autenticato
  • Un escamotage (da provare a proprio rischio e pericolo della mainboard) può essere quello quello di individuare il chip UEFI ed identificare il pin di scrittura che è attivo basso (diciamo WE LOW).
    Una volta identificato banalmente da datasheet si apre un mondo da analizzare con datasheet alla mano. Discorso applicativo di principio:
    Se possibile staccare (con i BGA non è possibile) il pin WE dalla mainboard e fare un pullup adeguato (... dipende dal chip e bisogna capire come viene pilotato il segnale in hw).
    In caso di chip BGA l'unica possibilità è trovare un testpoint se disponibile, un eventuale foro di vias e poi capire il da farsi sempre con oscilloscopio alla mano.
    Ma questo sarà possibile in linea di principio sino a quando il famigerato chip palladium aka fritz aka UEFI non sarà annegato nel microcontrollore. A questo punto con i SO UEFI compliant già diffusi sarà la fine dei giochi.
    Attualmente chi ha PC Apple ha già superato il punto di non ritorno. Con i PC Compatibili sino a Win7/Win8 ancora non si è arrivati sul punto di non ritorno, questo avverrà con la diffusione di Win10.
    E' questo il motivo tecnico per cui dico di evitare come la morte win10.
    A questo punto linux come è oggi sarà chiuso fuori senza troppi complimenti.
    Il cliente ha un arma eccezionale chiamata portafoglio. Allo stato attuale siamo all'ultima spiaggia.
    non+autenticato
  • Le mie considerazioni erano per chi li produce e non per chi li utilizza intervenire manualmente su componenti SMD con la giusta attrezzatura e capire il da farsi poi non e' poi da tutti (0,00001% della popolazione)
    non+autenticato
  • Lo so che è questo il problema. Una "soluzione" di massa sarebbe un'azienda taiwanese che intravede l'affare e si mette a sfornare mainboard con bios e compatibile con xp/7/8/Linux. A questo punto sarebbe sufficiente un anno con scarse vendite di pc compatibili win10/uefi compatibili ed i signori palladium non sarebbero più in grado di reggere economicamente il sistema. Non vedo altra soluzione se passa win10.
    non+autenticato
  • - Scritto da: prova123
    > Lo so che è questo il problema. Una "soluzione"
    > di massa sarebbe un'azienda taiwanese che
    > intravede l'affare e si mette a sfornare
    > mainboard con bios e compatibile con
    > xp/7/8/Linux. A questo punto sarebbe sufficiente
    > un anno con scarse vendite di pc compatibili
    > win10/uefi compatibili ed i signori palladium non
    > sarebbero più in grado di reggere economicamente
    > il sistema. Non vedo altra soluzione se passa
    > win10.

    Esatto, quello vorrei io, questo intendo con "finanziare qualcuno che mi offra una piastra madre non UEFI.
    non+autenticato
  • - Scritto da: prova123

    > Il cliente ha un arma eccezionale chiamata
    > portafoglio. Allo stato attuale siamo
    > all'ultima spiaggia.

    Ok, sono armato !
    Voglio usare la mia arma: devo prendermi il pc nuovo, che piastra madre mi consigli che non abbia UEFI ?
    non+autenticato
  • - Scritto da: Un altro
    > - Scritto da: prova123
    >
    > > Il cliente ha un arma eccezionale chiamata
    > > portafoglio. Allo stato attuale siamo
    > > all'ultima spiaggia.
    >
    > Ok, sono armato !
    > Voglio usare la mia arma: devo prendermi il pc
    > nuovo, che piastra madre mi consigli che non
    > abbia UEFI
    > ?

    non penso ne troverai di recente produzione.
    non+autenticato
  • - Scritto da: marcione
    > - Scritto da: Un altro
    > > - Scritto da: prova123

    > > > Il cliente ha un arma eccezionale chiamata
    > > > portafoglio. Allo stato attuale siamo
    > > > all'ultima spiaggia.

    > > Ok, sono armato !
    > > Voglio usare la mia arma: devo prendermi il pc
    > > nuovo, che piastra madre mi consigli che non
    > > abbia UEFI ?

    > non penso ne troverai di recente produzione.

    Quindi hai detto una caz.volata ?
    non+autenticato
  • finchè apple si faceva le librerie closed, e non usava le buggate open, queste cose non succedevano.
    non+autenticato
  • - Scritto da: codio
    > finchè apple si faceva le librerie closed, e non
    > usava le buggate open, queste cose non
    > succedevano.
    Oddio mi sa che devi tornare indietro parecchio fino ai tempi in cui Jobs era fuori da Apple dato che il Mac attuale è assai figlio di Next (con tutto quel che ne consegue)...
    Certo che "andava bene".....
    Occhiolino
    Andava così bene che è quasi fallita.
    Rotola dal ridereRotola dal ridere
    non+autenticato
  • Inutile tirare fuori presunte vulnerabilità, mac e linux saranno sempre cento volte più sicuri di windows, fatevene una ragione, punti informatici.
    non+autenticato
  • Inutile parlare di sicurezza come se fosse aria fritta, l'unica cosa che conta è il tempo di vita dei bug conosciuti. E uno solo di questi tre è in tal senso affidabile.
    Shiba
    4063
  • Il 99% delle falle nella sicurezza dipende dalla massa organica posta tra la tastiera e lo schienale della sedia... Il restante 1% sono le falle, sfruttabili da remoto, presenti negli OS.
    non+autenticato
  • - Scritto da: bad apple
    > Il 99% delle falle nella sicurezza dipende dalla
    > massa organica posta tra la tastiera e lo
    > schienale della sedia... Il restante 1% sono le
    > falle, sfruttabili da remoto, presenti negli
    > OS.
    Ascolta quello che ti dico... l'unica possibilità di avere un sistema non sfruttabile da estranei è trasformare quel 99% in 100%.
    Paradosso?
    Non più di tanto se ci pensi davvero bene.
    Occhiolino
    non+autenticato
  • - Scritto da: Sito Fico
    > Ascolta quello che ti dico... l'unica possibilità
    > di avere un sistema non sfruttabile da estranei è
    > trasformare quel 99% in
    > 100%.
    > Paradosso?
    > Non più di tanto se ci pensi davvero bene.
    > Occhiolino

    Cioè, secondo te se elimino l'1% di falle degli OS (quindi ho inventato l'OS perfetto. bug-free. ecc...), sparisce la possibilità che estranei sfruttino un sistema?

    O, semplicemente, le falle diventano per l'appunto al 100% lato umano? Ingegneria Sociale? Ti dice nullaOcchiolino
    Prozac
    5056
  • - Scritto da: Prozac
    > - Scritto da: Sito Fico
    > > Ascolta quello che ti dico... l'unica
    > possibilità
    > > di avere un sistema non sfruttabile da
    > estranei
    > è
    > > trasformare quel 99% in
    > > 100%.
    > > Paradosso?
    > > Non più di tanto se ci pensi davvero bene.
    > > Occhiolino
    >
    > Cioè, secondo te se elimino l'1% di falle degli
    > OS (quindi ho inventato l'OS perfetto. bug-free.
    > ecc...), sparisce la possibilità che estranei
    > sfruttino un
    > sistema?
    >
    > O, semplicemente, le falle diventano per
    > l'appunto al 100% lato umano? Ingegneria Sociale?
    > Ti dice nulla
    >Occhiolino

    Non è competenza dell'automobile insegnare a guidare all'autista.
    Shiba
    4063
  • - Scritto da: Prozac


    > O, semplicemente, le falle diventano per
    > l'appunto al 100% lato umano? Ingegneria Sociale?
    > Ti dice nulla
    >Occhiolino
    Si mi dice che esiste da prima che "il romoletto" nostro antenato inventasse l'espressione "panem et circenses" e che forse non è un problema informatico.
    A bocca aperta
    A te invece cosa dice?
    Occhiolino
    non+autenticato
  • - Scritto da: Sito Fico

    > Si mi dice che esiste da prima che "il romoletto"
    > nostro antenato inventasse l'espressione "panem
    > et circenses" e che forse non è un problema

    Veramente la frase è di Giovenale.
    non+autenticato
  • - Scritto da: Eh No
    > - Scritto da: Sito Fico
    >
    > > Si mi dice che esiste da prima che "il
    > romoletto"
    > > nostro antenato inventasse l'espressione
    > "panem
    > > et circenses" e che forse non è un problema
    >
    > Veramente la frase è di Giovenale.
    Che non era "romoletto"??
    Rotola dal ridereRotola dal ridere
    Era forse cinese?
    non+autenticato
  • - Scritto da: Sito Fico
    > - Scritto da: Prozac
    >
    >
    > > O, semplicemente, le falle diventano per
    > > l'appunto al 100% lato umano? Ingegneria
    > Sociale?
    > > Ti dice nulla
    > >Occhiolino
    > Si mi dice che esiste da prima che "il romoletto"
    > nostro antenato inventasse l'espressione "panem
    > et circenses" e che forse non è un problema
    > informatico.
    > A bocca aperta
    > A te invece cosa dice?
    > Occhiolino
    Che la tua affermazione è falsa.
    Non è vero che eliminando quel 1% di bug sparisce la possibilità che un sistema venga sfruttato da estranei. La possibilità che venga sfruttato da estranei rimane: al 100% a causa di un fattore umano.
    Prozac
    5056
  • quindi quando tim diceva che spendevano centinaia di milioni per garantire la sicurezza non riguardava la sicurezza informatica ma il fatto che gli iphone non vengono più persi nei bar
    non+autenticato
  • - Scritto da: prova123
    > ma in compenso ...A bocca aperta

    oh, e' stantìa ma un soriso m lo strappa sempreSorride
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 9 discussioni)