La farò breve. MacOS è il più duro fra i tre, ma costa un occhio della testa. In questo post comunque, farò il podio dei sistemi operativi più vulnerabili: dal meno vulnerabile, a quello più fragile.
- MacOS come già detto, è quasi immune. La maggior parte delle infenzioni che ha ricevuto in passato, sono legate all'uso di exploit per bypassare Gatekeeper ed XProtect (con Gatekeeper che è sostanzialmente una "controparte" di Smartscreen di Microsoft Windows) - Gatekeeper controlla due parametri in un eseguibile, e se non si verificano delle determinate condizioni, non lo lascerà eseguire. Il primo parametro, è il controllo di un attributo chiamato
com.apple.quarantine- quest'attributo viene applicato a tutti i file che vengono scaricati da internet (fatte alcune eccezioni) e se presente, Gatekeeper controlla se l'eseguibile è notarizzato da Apple. Se non lo è, non ne permetterà l'esecuzione. Anche sulla gestione dei permessi e dei privilegi, quest'OS non scherza assolutamente;
- Linux in comparazione a MacOS è più fragile (di default). Quando un malware compatibile con Linux riesce a trovare una vittima, ha una bella gatta da pelare: i permessi. Linux ha una fama per gestire i permessi degli utenti con grande responsabilità. I permessi sono gestiti in modo così rigoroso, che un attaccante vorrebbe poter desiderare addirittura una doppia reverse-shell per ottenere al 100% il controllo di Linux: una che gira con i permessi di root, e un'altra con i permessi dell'user. Perché sì, su Linux ci sono cose che potresti fare solo da root, e cose che puoi fare solo se hai i privilegi dell'user, a seconda di come hai configurato l'ambiente. E nella maggior parte dei casi, stai sostanzialmente "hackerando" un developer, o addirittura un altro hacker, poiché Linux è usato soprattutto da queste categorie di utenti. Dato che parliamo di utenti con un'esperienza superiore in campo informatico, potrebbero scoprire un malware semplicemente digitando
ps auxops auxwwnel terminale dell'OS, senza bisogno di alcun antivirus;
- L'altro giorno ho installato una VM con Windows 11 e la prima cosa che ho fatto è stato il rollout degli aggiornamenti. Sono abbastanza sicuro di averli fatti tutti, comunque, facendo un pentest rapido scopro una cosa sconcertante: su Windows 11, esiste ancora il trucchetto di fodhelper. Cosa che mi ha lasciato a dir poco interdetto: si tratta di una tattica di privilege escalation che consente di sfruttare una feature fallata di Windows per eseguire un programma a piacere con i privilegi dell'Amministratore (e quindi anche un malware), il tutto senza alcun banner di UAC da confermare. L'unica challenge significativa che i malware devono affrontare per vincere il gioco su Windows, è trovare un modo di svolgere le loro attività "senza farsi vedere" da Windows Defender o da Smartscreen, dato che la gestione dei permessi è tragi-comica, a differenza di Linux e MacOS.
