Mac OS X? Si buca in mezz'ora

La storia è curiosa e i risvolti interessanti. Lo scorso 22 febbraio dalla Svezia viene messo online il sito rm-my-mac. Dall'homepage viene chiesto a chiunque di provare a bucarlo e a cancellare tutto quello che vi si trovi dentro. La gara è stata chiamata Rm My Mac, dove rm è il comando con cui nei sistemi Unix like si cancella un file o una directory. L'hardware era un Mac Mini, il sistema operativo era Tiger aggiornato alle ultime versioni e patch di sicurezza. Sul Mac erano anche installate versioni di Apache, MySQL e un server Ldap per la gestione degli account. L'impavido possessore di Mac aveva anche previsto un sistema per aggiungere automaticamente account Ssh e fornire così accesso alla shell di sistema. Dopo sei ore il sito aveva la homepage modificata.

L'hacker che era riuscito a penetrare nel sistema è stato intervistato da Zdnet. Si fa chiamare "gwerdna" e dice di essere riuscito a violare il Mac in soli 30 minuti. Non usando sofisticati sistemi di penetrazione ma "alcuni degli exploit non pubblicati" per Mac OS X di cui "ce ne sono molti" in giro. Certo il sistema poteva essere protetto meglio "ma non si poteva bloccare la vulnerabilità  con la quale ho ottenuto l'accesso".

Mac, insomma, sarebbe pieno di vulnerabilità  non segnalate a Apple e non ancora conosciute al pubblico. Una di queste è stata pubblicata con clamore alcune settimane fa. Secondo Neil Archibald, un ricercatore dell'azienda di sicurezza Suresec, "l'unica cosa che ha reso Mac OS X relativamente più sicuro finora è stato il fatto che la sua quota di mercato è significativamente minore di Windows e Unix". Stesso concetto in cui crede l'hacker gwerdna: "Mac OS X è una scelta facile per chi va alla ricerca di bug ma non ha la quota di mercato da interessare i più seri di essi".

Archibald, sempre in un'intervista con Zdnet, entra anche nel dettaglio: Apple non userebbe a fondo strumenti di verifica dei bug (auditing), sperimentati invece da Microsoft da alcuni anni, e non avrebbe un buon rapporto con chi le segnala problemi di sicurezza. E conclude: "il codice usato da Apple nelle sue applicazioni e librerie è relativamente sotto-verificato [...] Alcune delle vulnerabilità  che abbiamo scoperto durante le ricerche su Mac OS X erano state corrette nella maggior parte dei sistemi operativi dieci o quindici anni fa".

Update. In risposta all'articolo di Zdnet raccolto in questo post, Dave Schroeder dell'Università  del Wisconsin ha messo in rete un altro serverino web basato su Mac chiedendo ai visitatori di violarne l'homepage. Il sistema è un Mac mini (PowerPC) con Mac OS X 10.4.5 assicurato con le patch del 2006-001. Il sistema è online dalle 16 di ieri (ora italiana) e dopo 24 ore non è ancora stato violato. Dave Schroeder è anche autore di un vecchio (26 marzo 2005) messaggio su Slashdot a proposito della sicurezza di Mac OS X.