Secure Kernel Extension Loading (SKEL), una funzione di sicurezza progettata da Apple per la nuova versione del suo sistema operativo desktop, macOS 10.13 High Sierra, è stata aggirata prima ancora del rilascio ufficiale programmato per lunedì 25 settembre.
La funzionalità ha lo scopo di prevenire l’esecuzione automatica dei moduli kernel (KEXT) prodotti da terze parti, bloccandoli immediatamente e chiedendo all’utente di fornire, eventualmente, le autorizzazioni necessarie. L’utente viene avvisato del blocco attraverso un popup.

L’utente deve pertanto approvare il modulo kernel dal pannello “Sicurezza & Privacy” di “Preferenze di Sistema”.

Gli unici casi in cui SKEL non blocca l’esecuzione di un modulo kernel sono i seguenti:
- il modulo era già installato prima dell’upgrade a macOS High Sierra;
- il modulo è firmato con lo stesso Team ID di un altro modulo, approvato in precedenza;
- il modulo ne sostituisce un altro, precedentemente approvato;
- il Mac è stato deployato con una soluzione MDM.
Patrick Wardle, chief security researcher di Synack, con un articolo pubblicato sul sito della società e sul proprio blog personale , ha annunciato l’esistenza di un bug che consente di bypassare SKEL ed eseguire un modulo kernel mai installato in precedenza, firmato, ma contenente una problematica di sicurezza attraverso cui ottenere l’accesso in kernel mode al sistema operativo: nel dettaglio, si tratta di una vecchia versione del firewall Little Snitch, con un noto bug di heap overflow .
Wardle afferma che i tentativi triviali di hackerare SKEL sono falliti : ha inizialmente tentato di modificare a mano il database contenente le policy KEXT, il quale è protetto da System Identity Protection (SIP); ha poi tentato, senza successo, di interagire con la UI attraverso uno script OSA. Apple ha bloccato anche la possibilità di salvare uno screenshot del pannello “Sicurezza & Privacy”.
Tuttavia, i numerosi tentativi hanno portato ad un risultato, comprovato da una demo . Wardle non ha pubblicato dettagli tecnici circa l’exploit da lui scoperto, ma è assai probabile che stia collaborando con Apple per la sua risoluzione; anche perché High Sierra è ormai atteso al rilascio finale tra meno di una settimana.

Elia Tufarolo
-
punto informatico
Punto informatico.... Potresti prendere spunto e magari ci togli questa invasione di pubblcità e refresh continui.Digital Coach ItaliaRe: punto informatico
- Scritto da: Digital Coach Italia> Punto informatico.... Potresti prendere spunto e> magari ci togli questa invasione di pubblcità e> refresh> continui.Ci sono due tipi di persone: quelli che sanno configurarsi il broweser e quelli col cetriolo nel XXXX.Tu a quale categoria appartieni, coach?panda rossaRe: punto informatico
> > Ci sono due tipi di persone: quelli che sanno> configurarsi il broweser e quelli col cetriolo> nel> XXXX.> > Tu a quale categoria appartieni, coach?Non so lui ma io appartengo a quella di chi blatera tutto il giorno su PI e parla di libertà, torrent ecc ecc e poi scopre che il suo sito preferito, inspiratore perfino di una partito politico italiano, sta facendo il furbetto per raccogliere 4 soldi (dimostrando tra l'altro che senza soldi non fai nulla, ma vallo spiegare a qualcuno).Del resto ero già abituato a fregature, ad esempio nella mia città io contavo in una rivoluzione dei trasporti anche grazie ad Uber, invece il mio sindaco è andato insieme ai tassisti che facevano il saluto romano ed a posto dei bus mi mette una funivia (forse). Ho preso tante di quelle sberle in faccia offuscato dalla mia idealogia completamente staccata dalla realtà che adesso mi maschero nel "chi se ne frega, l'importante è che io sono il più furbo e so bloccare gli script", oppure "sono capace di cercare i treni più economici e gli altri no", e tante altre cose che racconto alla gente per cercare di fargli capire che alla fine si tratta solo di capacità personale che non intendo condividere con nessuno, che nel mondo è giusto che soccombano i più deboli alla fine, e del resto nessuno sa se è vero che io riesca in tutte le mirabolanti cose che dico di saper fare, l'importante è salvare la faccia visto che il XXXX è già andato.Purtroppo sono in questa categoria.Posizione0Re: punto informatico
⬜️ NOT REKT☑️ REKTbertucciaRe: punto informatico
Chapeau.BarabbaRe: punto informatico
- Scritto da: panda rossa> - Scritto da: Digital Coach Italia> > Punto informatico.... Potresti prendere> spunto> e> > magari ci togli questa invasione di> pubblcità> e> > refresh> > continui.> > Ci sono due tipi di persone: quelli che sanno> configurarsi il broweser e quelli col cetriolo> nel> XXXX.> > Tu a quale categoria appartieni, coach?Ci sono anche quelli che sanno configurarsi il cetriolo e hanno il XXXX nel browser. E tu fai parte di questa categoriaUbaldoRe: punto informatico
XXXXXXXXX macaco 1 detected.ricchion detectorRe: punto informatico
caccia (oltre agli script) la configurazionecaccia gli scriptRe: punto informatico
XXXXXXXXX macaco 2 detected.ricchion detectorRe: punto informatico
- Scritto da: panda rossa> - Scritto da: Digital Coach Italia> > Punto informatico.... Potresti prendere> spunto> e> > magari ci togli questa invasione di> pubblcità> e> > refresh> > continui.> > Ci sono due tipi di persone: quelli che sanno> configurarsi il broweser e quelli col cetriolo> nel> XXXX.> > Tu a quale categoria appartieni, coach?Appartengo a quella categoria che grazie alla profilazione di utenti può fare marketing strategico e ristabilire le sorti di quelle società che stanno nel baratro.Digital Coach ItaliaRe: punto informatico
- Scritto da: Digital Coach Italia> - Scritto da: panda rossa> > - Scritto da: Digital Coach Italia> > > Punto informatico.... Potresti prendere> > spunto> > e> > > magari ci togli questa invasione di> > pubblcità> > e> > > refresh> > > continui.> > > > Ci sono due tipi di persone: quelli che sanno> > configurarsi il broweser e quelli col cetriolo> > nel> > XXXX.> > > > Tu a quale categoria appartieni, coach?> > Appartengo a quella categoria che grazie alla> profilazione di utenti può fare marketing> strategico e ristabilire le sorti di quelle> società che stanno nel> baratro.Come sei forbito, ho avuto una quasi-erezione nel leggere la tua affermazione.Panda Rossa a metanoRe: punto informatico
- Scritto da: Digital Coach Italia> Punto informatico.... Potresti prendere spunto e> magari ci togli questa invasione di pubblcità e> refresh> continui.noscript :)RinfrescoA tema vorrei suggerire una riflessione
Ora le criptovalute saran pure matematicamente sicure ed il loro codice aperto, normalmente con licenze FOSS. Ok. Ma il computer su cui le gestite?Voi vi fidereste di un sistema che pur "formalmente sicuro" gira su ferro che sicuro non può esser certo considerato?E di più: immaginate uno scenario in cui si viva in una sostanziale dittatura e si voglia migrare verso lidi migliori. I contanti li potete nascondere o aver nascosti per tempo e usarli, non certo per spese enormi, non certo per tutto ma quanto basta per comprarvi da mangiare, da vestire, pagare un tetto "provvisorio", viaggiare ecc si. La criptovaluta? Ok, un laptop o anche un dispositivo equivalente più piccolo (1) si può anche portare, ma vi serve anche una connessione e questa è sempre più tracciabile, alla partenza, poco importa che siate proxati.La mia conclusione è che la criptovaluta può essere al più una forma di "contabilità distribuita" o di "internet banking" ma non un'alternativa al contante. Al massimo una forma un pelo distribuita/p2p di una carta di credito/debito.(1) non nomino volutamente gli smart* poiché per quanto mi riguarda sono scatole chiuse da noi pagate per accedere a certi servizi ma di fatto sotto il totale controllo del produttore e del carrier. E non mi fido certo in un simile scenario a portar come me una simile scatola nera, accesa, pur senza sim. La radio ce l'ha e tanto mi basta.xteRe: A tema vorrei suggerire una riflessione
Io 15 anni fa installati bitcoin e cominciai a minare.... Poi abbandonai. Come faccio a recuperare l'account? ;)Digital Coach ItaliaRe: A tema vorrei suggerire una riflessione
- Scritto da: Digital Coach Italia> Io 15 anni fa installati bitcoin e cominciai a> minare.... Poi abbandonai.> > Come faccio a recuperare l'account? ;)Bitcoin esiste da 9 anni, come hai fatto ad installarlo 15 anni fa?Panda Rossa a metanoRe: A tema vorrei suggerire una riflessione
- Scritto da: Panda Rossa a metano> - Scritto da: Digital Coach Italia> > Io 15 anni fa installati bitcoin e cominciai a> > minare.... Poi abbandonai.> > > > Come faccio a recuperare l'account? ;)> > Bitcoin esiste da 9 anni, come hai fatto ad> installarlo 15 anni> fa?[img]http://3.bp.blogspot.com/-HW0sDKSUXQ8/TmY2K0K_iqI/AAAAAAAABlo/ThWvTxZ52ag/s640/funny_owned.jpg[/img]Digital Cogghin ItagliaRe: A tema vorrei suggerire una riflessione
- Scritto da: Digital Coach Italia> Io 15 anni fa installati bitcoin e cominciai a> minare.... Poi abbandonai.> > Come faccio a recuperare l'account? ;)Non ti posso aiutare, purtroppo io Bitcoin lo usavo 40 anni fa.xteRe: A tema vorrei suggerire una riflessione
Io usavo le bitcozze 50 anni fa, dopo ogni impepata di cozze conservavo i gusci 8).bitcazzateBig money
La morale e' sempre quella tutti voglioni i big money ma solo pochi li hannoAutogolMa è ancora accessibile?
A latere chiedo una cosa agli altri utenti in ascolto che come me han tim come provider: riuscite ancora ad accedere a TPB?Per quanto mi riguarda se ci provo dopo una lunga attesa mi appare quasi sempre quel messaggio di cloudflare che poi ti mette a disposizione l'ultimo screenshot disponibile, e cambiare solo i DNS non mi pare basti più: tim ha forse messo il blocco ip, o c'è dell'altro?Antonio MelaRe: Ma è ancora accessibile?
proxyce ne sono quanti ne vuoi.proxyRe: Ma è ancora accessibile?
Uso già tor browser se serve, ero solo curioso di sapere che blocchi attua tim.Antonio MelaRe: Ma è ancora accessibile?
a me basta usare i dns di google. ho tim.user_Re: Ma è ancora accessibile?
Pessima idea.... così ti fai schedare da google oltre che dal provider che <b> se vuole </b> ti sniffa lo stesso i pacchetti. Mentre con Google sei sicuro che <b> certamente </b> di stà schedando.ben10Re: Ma è ancora accessibile?
Se si accorgono che vado su thepiratebay che mi possono fare? Che mi può fare google ? che mi può fare telecom ? Cosa gliene frega a google ? e a tim ?Bisogna sempre cercare la soluzione più semplice. Soprattutto se quella roba complessa descritta da te non serve.Non posso riempire l'hard disk di programmi inutili.-----------------------------------------------------------Modificato dall' autore il 19 settembre 2017 18.06-----------------------------------------------------------user_Re: Ma è ancora accessibile?
Non so' se è sufficiente cambiare i DNS con tutti i provider, dipende, con tim forse, di sicuro non con vodafone (il peggiore provider esistente dal punto di vista della net neutrality) che di sicuro lo intercetta: https://www.paolettopn.it/2017/05/19/aggirare-i-dns-di-vofafone-con-dnsmasq-su-linux/Anche se la soluzione proposta nel link che posto non è quella giusta (l'unica soluzione giusta è DNS Crypt) spiega perchè a volte non è sufficiente cambiare il DNS...visto che i provider intercettano il traffico DNS (il traffico UDP a un IP qualsiasi sulla porta 53) e lo redirigono al loro propio server DNS censurato.ben10Re: Ma è ancora accessibile?
Chi ha scritto l'articolo che hai linkato non credo abbia molto chiaro ciò che descrive: il traffico non è "spoofato" è semplicemente impossibile impostare un DNS personale dalla configurazione dhcp della Vodafone station e la soluzione banale è semplicemente prendere solo l'ip/route via dhcp ma non il dns.Intercettare lato provider delle query e fare un MITM è tutt'altra cosa e questa si, è effettivamente illegale.xteRe: Ma è ancora accessibile?
Riordino nel quotare...> Intercettare lato provider delle query e fare un> MITM è tutt'altra cosa e questa si, è> effettivamente> illegale.E' esattamente ciò che fa Vodafone. Se avessi prestato più attenzione al mio post l'avresti capito.Forse capisci meglio la spiegazione qui http://lab.vodafone.it/forum/viewtopic.php?t=38821#p804193 ... leggi tutto da quel post in poi.> impossibile impostare un DNS personale dalla> configurazione dhcp della Vodafone station e la> soluzione banale è semplicemente prendere solo> l'ip/route via dhcp ma non il> dns.Ora, se hai capito, avrai anche capito che la Vodafone Station è solo una parte minore del problema: anche cambiando il DNS in /etc/resolv.conf vengono usati lo stesso quelli di Vodafone. Tutto il traffico UDP:53 è intercettato e l'IP di destinazione è sovrascritto con quelli di Vodafone.ben10i big spingono per giaVVaschift
I big ve la spingono con le uebbappz e voi da bravi XXXXXXXX urlate:. ...CAMBIO DNS CIFRATO
Allora l'unico modo per cambiare i DNS e essere sicuri che tutto funzioni bene è installare DNS Crypt: https://dnscrypt.orgSu linux si installa facile:[code]apt-get install dnscrypt-proxy[/code]Poi c'è solo da impostare il server DNS sull'ip 127.0.2.1 così da connettersi al software appena installato.Si puo' installare anche su Windows e Mac se qualcuno li usa.Viene usato un server DNS scelto casualmente (random). Per cambiare il vero server DNS configurare /etc/dnscrypt-proxy/dnscrypt-proxy.confE scrivere:ResolverName ns0.dnscrypt.is(per usare il servizio di https://dnscrypt.is )oppure ResolverName ipredator(per usare https://blog.ipredator.se/ubuntu-dnscrypt-howto.html o vedi in basso https://blog.ipredator.se/howto.html )oppure esistono svariati altri provider pre-configurati... che si trovano elencati nel file /usr/share/dnscrypt-proxy/dnscrypt-resolvers.csvUsare DNSCrypt non serve solo a cambiare il server DNS (con server DNS decenti e non-censurati) ma utilizzando la <b> crittografia permette di non essere intercettati </b> passivamente e impedisce che i pacchetti UDP vengano modificati da attori esterni che così se lo prendono in quel posto perchè non possono registrare e schedare gli utenti vedendo che query DNS inviano a server di terze parti.ben10Re: CAMBIO DNS CIFRATO
127.0.2.1? Vabeh, non importa, tanto non ce la fanno a configurarlo e poi dico io: perchè sXXXXXXXrlo alle masse, teniamocelo....Re: CAMBIO DNS CIFRATO
DNSCrypt non è un segreto di Stato e più viene usato più soddisfazione fà :D L'IP giusto per la configurazione su Debian è 127.0.2.1L'IP e la porta in ascolto si possono cambiare modificando il file /lib/systemd/system/dnscrypt-proxy.socket[code][Unit]Description=dnscrypt-proxy listening socketDocumentation=man:dnscrypt-proxy(8)Wants=dnscrypt-proxy-resolvconf.service[Socket]ListenStream=127.0.2.1:53ListenDatagram=127.0.2.1:53[Install]WantedBy=sockets.target[/code]Usare l'IP 127.0.2.1 significa che se vuoi puoi installare BIND in ascolto su 127.0.0.1:53 e fargli fare da forward su 127.0.2.1:53. Così puoi configurare BIND se vuoi creare dei domini "personali.local", logging fai-da-te :| , cache gigantesca, o altre configurazioni particolari e usare DNSCrypt solo per risolvere i nomi di dominio esterni (DNSCrypt ha già un plugin per fare da DNS cache)Inoltre aggiungo che per gli appassionati di OpenNIC (che io non uso) con i domini extra, c'è nella pagina dei server una flag gialla per indicare se quel server supporta anche DNSCrypt: https://servers.opennic.org Clickando sul server desiderato c'è la configurazione con la chiave pubblica di DNSCrypt da usare. Anche alcuni di questi server stanno già preconfigurati nel file /usr/share/dnscrypt-proxy/dnscrypt-resolvers.csvben10Re: CAMBIO DNS CIFRATO
Lascialo perdere. Fa tanto il figo che sa tutto, ma fino a che non lo hai nominato tu nemmeno sapeva della sua esistenza. Poi dice agli altri che non lo sanno configurare...... patetico.fuddameloRe: CAMBIO DNS CIFRATO
- Scritto da: ben10> DNSCrypt non è un segreto di Stato e più viene> usato più soddisfazione fà :D> Soddisfazione di chi? XXXXX ti ridi.Più viene usato dai XXXXXXXX e più si deve livellare all' XXXXXXXXXtà generale dei XXXXXXXX. Firefox, gnome, IOs sono degli ottimi esempi di sucXXXXX della coglionagine collettiva. Se è usato da pochi questo succede perchè i XXXXXXXX non ci arrivano ad usarlo.> > L'IP giusto per la configurazione su Debian è> 127.0.2.1Te lo scegli TU l' indirizzo "giusto" su qualsiasi XXXXX di distro, non te lo deve dire deBBian!I developer della deBBian, quelli del contratto fecale... quelli famosi per sXXXXXXXre il codice altrui con le loro favolose patch/conf alla XXXXX. Per non dimenticare:http://www.debian.org/security/2008/dsa-15712 years of openssl (mica XXXXX) sfonnato. Thank you debian team! E questo è solo un esempio.Fino a quando si limitano a smanettare nei file di conf va quasi bene.> L'IP e la porta in ascolto si possono cambiare> modificando il file> /lib/systemd/system/dnscrypt-proxy.socketAhihaihaihai systemsucad, molto male. Per chi non usa quella XXXXX il file di configurazione è sempre lo stesso /etc/dnscrypt-proxy.conf.> > [code][Unit]> Description=dnscrypt-proxy listening socket> Documentation=man:dnscrypt-proxy(8)> Wants=dnscrypt-proxy-resolvconf.service> > [Socket]> ListenStream=127.0.2.1:53> ListenDatagram=127.0.2.1:53> > [Install]> WantedBy=sockets.target[/code]> > Usare l'IP 127.0.2.1 significa che se vuoi puoi> installare BIND in ascolto su 127.0.0.1:53 e> fargli fare da forward su 127.0.2.1:53.Non ce ne frega un XXXXX della tua conf, la nostra funziona anche meglio.> Così puoi> configurare BIND se vuoi creare dei domini> "personali.local", logging fai-da-te :| , cache> gigantesca, o altre configurazioni particolari e> usare DNSCrypt solo per risolvere i nomi di> dominio esterni (DNSCrypt ha già un plugin per> fare da DNS> cache)> > Inoltre aggiungo che per gli appassionati di> OpenNIC Ah, è una passione adesso.> (che io non uso) con i domini extra, c'è> nella pagina dei server una flag gialla per> indicare se quel server supporta anche DNSCrypt:> https://servers.opennic.org Clickando sul server> desiderato c'è la configurazione con la chiave> pubblica di DNSCrypt da usare. Anche alcuni di> questi server stanno già preconfiguratiE allora cosa ci rompi a fare i XXXXXXXX se sono già preconfigurati.> nel file> /usr/share/dnscrypt-proxy/dnscrypt-resolvers.csv Se puoi (ho scritto se puoi, bada bene) cambia bind con un server meno catastrofato, solo quest' anno ci sono 4 vulnerabilità.https://www.debian.org/security/2017/Voglio dire... se quello che fai è risolverti i nomini per la tua workstation allora c'è di meglio....Re: CAMBIO DNS CIFRATO
Mh, se il "miner" nella pagina web è un semplice js che gira nel tuo browser che c'entra non avere spoofabile es. dal tuo provider il tuo traffico DNS?Ah, su bind non mi risulta sia mai stata implementata una "persistent cache" (che potenzialmente. per avere una qualche utilità, dovrebbe ignorare il ttl) pertanto la cache locale dei nomi diventa una sostanziale copia di quel che già Chrome/FF si tengono di default. Di norma "alleggerisce" (moooolto poco) il carico di rete in LAN se metti bind LAN-wide, ma sulla singola macchina...xteRe: CAMBIO DNS CIFRATO
- Scritto da: ...> 127.0.2.1? >Vabeh, non importa, tanto non ce la> fanno a configurarloGli altri, eh? Ma vai in mona.fuddameloRe: CAMBIO DNS CIFRATO
Tue Sep 19 13:37:02 2017 [INFO] Randomly chosen resolver: [d0wn-mx-ns1]Tue Sep 19 13:37:02 2017 [INFO] + DNS Security Extensions are supportedTue Sep 19 13:37:02 2017 [INFO] + Provider supposedly doesn't keep logsDai non rompere i XXXXXXXX XXXXXXXXX.il fruttaroGrazie, il tuo commento è in fase di approvazioneGrazie, il tuo commento è stato pubblicatoCommento non inviatoGrazie per esserti iscritto alla nostra newsletterOops, la registrazione alla newsletter non è andata a buon fine. Riprova.Leggi gli altri commentiElia Tufarolo 19 09 2017
Ti potrebbe interessare