Approfondimento OS X 10.7: i miglioramenti per la sicurezza

Ecco il secondo e ultimo approfondimento, almeno da parte mia, relativo alle novità di OS X Lion. Nel primo ho illustrato tutte le novità relative alla versione, o meglio all’applicazione Server. L’approfondimento che sta per iniziare è invece relativo alla sicurezza, dove illustrerò i miglioramenti avvenuti in Lion e anche alcune aree in cui si può migliorare ancora.

Devo confessare che non sono mai stato un grandissimo fan dei toni con cui Apple descriveva la sicurezza di OS X. È vero, il sistema poggia su solide basi UNIX, non soffre della moltitudine di virus che quotidianamente attaccano Windows, però nel complesso OS X era tutt’altro che una fortezza inespugnabile. Prove di ciò sono stati i Pwn2Own annuali in cui il sistema Apple è stato rapidamente bucato, spesso in minor tempo rispetto a quello impiegato per bucare Windows. Charlie Miller e Dino Dai Zovi, gli esperti di sicurezza più critici verso Apple, non hanno mai fatto mancare opinioni e avvertimenti a riguardo. A proposito della sicurezza, Miller fece un efficace paragone tra il sistema di Cupertino e quello di Redmond: OS X rappresentava una tranquilla fattoria fuori città senza protezioni, Windows era una casa nella periferia malfamata della città ma con protezioni e inferriate. La realtà non era così distante: Microsoft con Vista e 7 ha fatto numerosi passi per la sicurezza, introducendo tecnologie come il poco compreso Controllo Account Utente, che pur esagerando nello zelo consentiva di ridurre l’esecuzione di processi maligni lasciando la scelta all’utente sul da farsi e perfezionando l’ASLR, ossia la casualizzazione degli indirizzi di memoria, per rendere più difficili gli attacchi a processi in memoria; dall’altro lato, Apple non si era impegnata molto di più rispetto a quanto offrivano le fondamenta UNIX e le tecnologie implementate nei processori più nuovi, come il DEP, o prevenzione dall’esecuzione di dati, che impedisce a processi malevoli di eseguire codice da aree di memoria considerate non eseguibili dal sistema. Ciò non significa che non si è fatto proprio nulla: anche OS X ha avuto l’ASLR per molto tempo, ma con un uso piuttosto limitato e non destinato alle librerie di sistema, cosa che di fatto vanificava gran parte dell’utilità di questa tecnologia. Peculiare da Leopard in poi è l’uso delle sandbox, ossia una serie di limiti posti all’esecuzione di azioni compiute da applicazioni e processi, lasciando però allo sviluppatore la scelta di abilitare il suo software all’uso di questa tecnologia. Oltre a ciò, c’è stata anche una bassa preparazione di Apple nella reazione alle minacce più serie, che si è visto con MACDefender qualche mese fa: la reazione è stata ottima ma lenta. Nelle stesse condizioni, Microsoft avrebbe reagito in minore tempo, essendo più temprata dalle minacce ed esperta nel settore. Il tutto aveva portato gli esperti di sicurezza a ritenere Windows 7 tecnicamente molto più sicuro di OS X Snow Leopard, se posti a confronto.

Un settore dove Apple è invece sempre stata piuttosto attenta è quello della sicurezza dei dati: la crittografia di FileVault e l’account Ospite con logout sicuro ed eliminazione di modifiche effettuate durante la sessione tengono i file dell’utente del Mac protetti. Naturalmente, protetti fino a un certo punto: non possono competere con le soluzioni professionali e inoltre è necessario fornire all’utente la possibilità di accedere ai dati in caso di dimenticanza della password. Tuttavia, per l’uso personale sono protezioni più che sufficienti. Anche i controlli parentali sono stati sempre una buona parte di OS X relativa alla sicurezza, con impostazioni efficaci e abbastanza complete.

Con Lion si sono poste finalmente le condizioni per un deciso miglioramento della sicurezza globale e non solo di certi ambiti per il sistema operativo di casa Apple. Finalmente col leone si assiste al completamento dell’ASLR, ora abilitato per tutti i processi di sistema e non. Questa nuova implementazione va strettamente in coppia con il rinnovato uso delle sandbox, che ora non sono più una scelta ma un obbligo: tutti i componenti di sistema sono stati riprogettati per rendere la vita più difficile al malware, creando anche delle barriere multiple, come nel caso di Safari 5.1 in cui browser, motore di rendering e le singole tab hanno processi separati. Una novità proveniente dal caso MACDefender è l’aggiornamento giornaliero per le definizioni del sistema anti-malware integrato, implementato anche in Snow Leopard con un aggiornamento di sicurezza prima e con la 10.6.8 poi. Anche la sicurezza dei dati è nettamente migliorata, con il nuovo FileVault 2 che ora consente di crittografare non solo tutti i dati dell’utente, ma anche l’intero hard disk e unità rimovibili, il tutto offrendo un nuovo sistema di cifratura XTS-AES a 128 bit molto più resistente dei precedenti. Ma cosa ne pensano gli esperti di questi miglioramenti? Charlie Miller si reputa soddisfatto e afferma come Lion sarà un osso duro da bucare, molto più duro delle precedenti versioni di OS X. Dino Dai Zovi si spinge anche oltre: “È meglio di Windows 7”, consigliando a tutti il passaggio a Lion. Un notevole successo, dunque, che però attende di essere verificato sul campo: il Pwn2Own dell’anno prossimo potrebbe mostrare se davvero Lion è diventato così difficile da bucare oppure se Apple dovrà ancora lavorarci sopra.

Un punto in cui sicuramente può fare di meglio è il firewall. Da Leopard, infatti, Apple include un nuovo firewall semplificato, relativo solamente alle applicazioni e ai dati che ricevono in ingresso. Una protezione piuttosto semplice, se la si confronta con firewall molto più “carrozzati” che consentono di gestire i dati sia in ingresso sia in uscita e soprattutto le porte TCP e UDP da cui far passare i dati. Per questo rimane caldamente consigliato l’uso di Little Snitch o firewall simili, o quantomeno affidarsi a un firewall di tipo hardware come quello che sempre più spesso si trova nei router di recente generazione, Airport Extreme incluse. Un’altra osservazione da fare è sulla guardia sempre alta: è bene che Apple rimanga sempre allerta, in modo da affrontare al meglio tutte le possibili minacce per OS X. MACDefender non rimarrà un caso isolato, prima o poi i malintenzionati torneranno a colpire. Fatte queste debite osservazioni, non posso comunque che complimentarmi con Apple per i notevoli miglioramenti apportati alla sicurezza di OS X, molto più degni della sua fama di sistema sicuro che si era fatto negli anni.

Voglio concludere questo approfondimento con delle osservazioni dovute, stavolta per gli utenti: la sicurezza la si fa in due, sistema operativo e utente. Affinché il sistema sia sicuro deve esserlo prima di tutto l’utente. Queste tecnologie hanno una forte somiglianza con quelle implementate nelle automobili: aiutano, non sostituiscono il guidatore. Se il guidatore di suo non è attento e prudente, l’auto non potrà certamente esserlo al posto suo, è una macchina con tutti i suoi limiti. Lo stesso vale per computer e sistemi operativi: un uso non corretto porterà sempre a danni. A esempio di ciò, ci sono persone che si trovano con problemi in OS X causa poca attenzione così come ci sono altre persone che usano Windows da anni senza antivirus e non hanno alcun problema. Perciò alta la guardia, sempre, sistema operativo e utenti, perché la prima sicurezza è data dall’attenzione e dal buonsenso. Insomma… Guidare con prudenza!

Giovanni "il Razziatore"

Deputy - Ho a che fare con i computer da quando avevo 7 anni. Uso quotidianamente OS X dal 2011, ma non ho abbandonato Windows. Su mobile Android come principale e iOS su iPad. Scrivo su quasi tutto ciò che riguarda la tecnologia.

Commenti controllati Oltre a richiedere rispetto ed educazione, vi ricordiamo che tutti i commenti con un link entrano in coda di moderazione e possono passare diverse ore prima che un admin li attivi. Anche i punti senza uno spazio dopo possono essere considerati link causando lo stesso problema.