Il malware Thunderstrike 2: il sistema operativo Mac non è sicuro al 100%

Al contrario da quel che si è creduto per molti anni, si scopre che anche il sistema operativo Mac, in seguito all’annuncio i Thunderstrike 2, non è molto più sicuro dei concorrenti.

Una volta compreso questo concetto, nuove abitudini di sicurezza informatica dovranno entrare a far parte della dotazione di base degli utenti di Apple, evitando attacchi hacker, virus e furti di dati.

Innanzitutto occorre capire perché Thunderstrike 2 risulta essere il monito finale per spalancare gli occhi su quando e come si utilizza un pc Apple; la presentazione ufficiale del malware Thunderstrike 2, che si trova comunque a un livello sperimentale, cioè sviluppato in laboratorio per fini di ricerca e non di mero attacco, sarà effettuata il 6 Agosto, nel corso della conferenza sulla sicurezza Black Hat di Las Vegas.

La prima cosa da sottolineare è che si tratta di un software malevolo che attacca il firmware; il firmware, in sintesi, è un software che gestisce le funzioni di base di un qualsiasi dispositivo, quindi un mini sistema operativo.

A volte basta solo questo per provvedere alle funzioni di un dato dispositivo, ma spesso e volentieri diventa una rampa di lancio per il vero e proprio sistema operativo: è il caso, per esempio, del firmware di uno smartphone, o di quello del BIOS del computer.

Il BIOS (Basic Input/Output System) risiede in una zona protetta della scheda madre e serve, tra le altre funzioni, proprio a effettuare la primissima fase di avvio di un computer, con conseguente lancio del sistema operativo.

Un tempo il BIOS era archiviato in una memoria a sola lettura, ma da qualche tempo è posizionato in una memoria riscrivibile, al fine di consentire aggiornamenti per migliorarne la sicurezza o le prestazioni del pc, in caso di necessità.

Tuttavia, hackerare un firmware non è cosa semplice e questo particolare software è stato preso raramente di mira dagli sviluppatori di malware e, di conseguenza, è stato poco presidiato dai produttori di programmi di sicurezza e dai ricercatori.

Così, il firmware, per quanto sia un organo vitale per qualsiasi dispositivo che ne fa uso, col passare degli anni si è portato dietro svariati difetti che consentono a un criminale informatico di modificarlo pericolosamente.

Di fatto, prendendo possesso del firmware, si gestisce un computer dai suoi meccanismi più intimi e difficilmente individuabili, perché si tende a dare la colpa a “strati” più esterni, come il sistema operativo.

Allo stesso modo, un malware che infetta il firmware di un computer è in grado di accedere a pressoché qualsiasi funzione senza che ve ne possiate accorgere. E potrete anche formattare il sistema operativo, o addirittura cambiare il disco fisso del computer, ma il malware se ne starà sempre lì, imperterrito, pronto a entrare in azione.

Ecco, Thunderstrike 2 è un malware del firmware: non il primo, come la storia insegna, ma probabilmente il primo ad avere un alto tasso di viralità, nato per mettere alla prova le vulnerabilità scoperte nel firmware del Mac; tuttavia niente e nessuno ci garantisce che quelle falle di sicurezza non sono state utilizzate finora.

Tutto nasce quando due ricercatori, Xeno Kovah e Corey Kallenberg, di Legbacore, iniziano a verificare la sicurezza del firmware di svariati computer PC, trovando che l’80% mostra grosse falle; così decidono di vedere se queste falle che minacciano la sicurezza di 8 computer su 10 tra quelli esaminati, toccano anche i computer Apple, da sempre visti come esempio di solidità e invulnerabilità.

Qui c’è da aprire e chiudere una veloce parentesi: dal 2006, con la transizione del Mac all’architettura x86, i computer della mela SONO DEI PC. Esattamente come tutti gli altri. Processori, schede madri, schede video e memorie sono esattamente come quelle dei vostri Dell, HP, Lenovo, Toshiba, Acer.

Kovah racconta: “Stiamo cercando di rendere chiaro che ogni volta che sentite parlare di attacchi a firmware EFI, interessano praticamente tutti i computer x86″, Mac compresi, dunque, ma visto cheThunderstrike 2 è un malware esterno al computer, come può finire dentro il nostro amato firmware?

Come sostengono i due ricercatori, per colpa di Apple: la casa di Cupertino, generalmente molto attenta alla sicurezza, con almeno una vulnerabilità non ha attivato un sistema di protezione che evita che del codice esterno s’infili in questa delicata zona di memoria.

Per questo motivo, con una e-mail di phishing, o altre tecniche molto in voga tra gli autori di malware, si fa in modo che l’utente scarichi un piccolo software capace di “aggiornare” il BIOS del Mac; da questo momento, il malware verifica se al computer sono connesse delle periferiche dotate, a loro volta, di firmware.

Se ne trova, le infetta, e il malware inizia a diffondersi; in alternativa, si possono vendere periferiche già infette su eBay, o sul Deep Web.

Cavi e adattatori che di solito costano svariate decine di euro, proposti a un decimo del prezzo, troverebbero subito una grande quantità di acquirenti. Tanto più che pochi si aspetterebbero che un comune adattatore possa essere infetto.

Eppure, un banale “Apple Thunderbolt – Gigabit Ethernet” contiene al suo interno una memoria e un firmware, tutto quel che serve per mettere in azione Thunderstrike 2.

Al momento, non sembrano esserci antidoti efficaci per Thunderstrike 2, ma è chiaro che, una volta presentato coi dovuti onori, i produttori di software di sicurezza si metteranno subito al lavoro (e di sicuro stanno già facendo le ore piccole).

Prima di loro, tuttavia, è necessario che siano gli utenti a mettersi in testa che il computer sicuro non esite, ma esistono buone pratiche di condotta informatica pronte a metterci al riparo dalle infezioni, comprese quelle da malware cattivi come quelli dei firmware.