Ha fatto clamore la rivelazione di The Register secondo cui un ricercatore italiano avrebbe scoperto una nuova vulnerabilità in Mac OS che verrà presto sviscerata in occasione della prossima Black Hat Conference di febbraio. Il nome al centro dell’attenzione è quello di Vincenzo Iozzo, studente del Politecnico di Milano. E Vincenzo Iozzo ha risposto alle domande di Webnews, confidando qualcosa di più relativamente alle proprie ricerche sul sistema Apple ed anticipando ciò che verrà illustrato nel proprio speech “Let Your Mach-O Fly“.
A specifica domanda, in particolare, Iozzo ha spiegato: «Il mio attacco è un’implementazione di una tecnica chiamata userland-exec. Questa tecnica permette di lanciare un eseguibile su una macchina senza invocare il kernel e senza che esso sia presente sull’hard-disk. Tuttavia non può essere considerata una vulnerabilità nel senso comune del termine. Infatti l’attacco è reso possibile a livello pratico a causa di un intrinseco problema di Mac OS X da tempo noto; ovvero la mancata randomizzazione del dynamic linker all’interno dell’address space dei processi. È bene sottolineare che la mia tecnica non permette di violare una macchina più facilmente, ma bensì rende più semplice l’esecuzione di codice all’interno del sistema attaccato. L’innovazione che la mia ricerca rappresenta sta nel fatto di poter iniettare in un processo non solo un semplice shellcode ma un intero esegubile, questo in passato non era possibile su OS X».
Nell’intervista Vincenzo Iozzo offre anche un punto di vista qualificato per valutare le possibili ripercussioni della sua stessa ricerca: «Purtroppo la copertura mediatica che la mia ricerca ha ricevuto ha distorto la percezione di quello che realmente rappresenta. Essa non è pensata per diffondere del malware, dunque la percentuale di attacchi che verranno condotti su Mac OS X resterà inalterata. Tuttavia essa potrebbe rendere gli attacchi più sofisticati e aumentare la difficoltà nell’identificarli. […] Il payload da me sviluppato non lascia tracce sull’hard-disk del sistema vittima. Di conseguenza è possibile individuare l’attacco o a livello di rete usando un network intrusion detection system, oppure usando un anomaly intrusion detection system. Al momento, tuttavia, sistemi di questo tipo non sono in commercio per la difficoltà di un’utilizzo quotidiano. È inoltre possibile rilevare la compromissione del sistema facendo un’analisi manuale dello spazio di indirizzamento del processo vittima. Questo attacco rende più difficile l’analisi forense dal momento che, qualora la macchina venisse spenta, non ci sarebbero più tracce dell’intrusione».