Categorieën
Is je wachtwoord wel veilig onder Lion?
Koen op 21 september 2011 14 reacties Laatste door brelsnok
Beveiligingsexpert Patrick Dunstan heeft een slordigheidje in Mac OS X Lion ontdekt dat mogelijk grote gevolgen kan hebben. Op zijn Blog legt Dunstan uit hoe het mogelijk is om het wachtwoord van een gebruiker in Lion te veranderen, zonder het oude wachtwoord te hoeven invoeren. Is er reden tot paniek of moeten we de berichtgeving van de sensatiepers over het probleem met de gebruikelijke argwaan tegemoet treden?
Om een wachtwoord te veranderen is alleen het commandline-hulpprogramma dscl nodig. Kwaadwillenden hebben echter wel fysieke toegang tot de computer nodig om met dit programma een wachtwoord te kunnen veranderen. Daarmee is het risico beperkt Dunstan waarschuwt dat het theoretisch wel mogelijk moet zijn om een applicatie of een Java applet te schrijven die de hack op afstand kan uitvoeren.
Het ligt dan ook voor de hand dat Apple snel een software-update zal uitbrengen die het lek dicht. Tot die tijd raadt Dunstan mensen aan om de permissies van dscl te veranderen zodat de App alleen door het root-account gebruikt kan worden. Dit kan je doen door in de Terminal het volgende commando te geven:
sudo chmod 100 /usr/bin/dscl\
Vervolgens wordt je beheerderswachtwoord gevraagd. Als je dat hebt ingevuld kan dscl niet meer gebruikt worden als je bent ingelogd met een gebruikersaccount.
Een simpeler oplossing voor bezorgde OMT’ers is om in de systeemvoorkeuren bij ‘Beveiliging en privacy’ aan te geven dat er altijd om een wachtwoord gevraagd moet worden worden als de Mac uit de slaapstand of schermbeveiliging wordt gehaald. Zo kan niemand toegang krijgen tot je Mac als je er zelf niet achter zit.
Ook lezen
- Lion blijkt soms wachtwoord te verklappen
- Gratis OS X 10.6 voor MobileMe abonnees
- Apple maakt korte metten met Flashback
- ‘Aandacht voor iCloud in iTunes 11′
- Apple zet Flashback-tegenaanval in
- Flashback Trojan schaakt 600.000 Mac’s
- iPhone kraken is een makkie
- Overheid waarschuwt voor Safari op iOS
- Messages alleen voor Mountain Lion
- Expert ontdekt gat in iOS-beveiliging, krijgt de bons van Apple
Advertentie
Je kunt alleen reageren met een gratis OMT account.
Log in of registreer.
14 reacties
RoyHochstenbach op 21 september 2011
Het is ‘dscl’ niet ‘dsc1′
Koen van Tongeren op 21 september 2011
koenvisser op 21 september 2011
theorie is nog geen praktijk meneer Dunstan.
MrHammond op 21 september 2011
Simpele actie, maar even uitgevoerd
Anszje op 21 september 2011
Als diegene toch fysiek toegang moet hebben tot je Mac kun je ook gewoon het wachtwoord wijzigen via Single User Mode.
Is dat niet hetzelfde concept?
1984 op 21 september 2011
Tja,…. Lek in Lion maakt Macs kwetsbaar
iMartien op 21 september 2011
Gelukkig is geen enkele machine veilig wanneer er fysieke toegang is…
hendrik ijzerbroot op 21 september 2011
Wat ik mij afvraag is hoe het toch komt dat het altijd die beveiligingsexperts van andere bedrijven zijn die een lek vinden en nooit de fabrikant van het systeem of programma zelf. In het team van programmeurs bij Apple zullen toch ook wel beveiligingsexperts zitten?
Misschien schamen ze zich als ze een lek in een eigen product vinden?
.
Nu is het meeste vaak een storm in een glas water, maar ik zou het helemaal niet beschamend vinden als ik las: “Apple vind lek in Lion en brengt patch uit”.
iNicky op 21 september 2011
Jij en ik zijn de beta testers.
stephanbaan op 21 september 2011
Dit kan al jaren via de SUM. Waarom is het nu nieuws dat het via de Terminal kan? Belachelijk bericht!
Mausy op 21 september 2011
Dat zul je nooit lezen, omdat Apple gewoon de gaten dicht zonder aan de grote klok te hangen dat er een lek was. Valt het je nooit op dat je wel eens een security-update krijgt van Apple? Dat zijn gaten die verholpen worden. Veel ervan heeft Apple zelf gevonden.
mowat op 21 september 2011
Volgens deze link zou men het kunnen oplossen als volgt :
http://www.appletips.nl/voorkomen-dat-iemand-je-wachtwoord-wijzigt-met-behulp-van-het-dscl-commando/#more-34274
tinus_omt op 22 september 2011
Het heeft niet zo veel zin om een bepaald commando uit te schakelen, want de aanvaller kan ook gewoon zijn eigen versie van het commando meeleveren. Apple moet de achterliggende problemen oplossen in de directory service:
.
- Gebruikers zonder bijzondere rechten mogen de wachtwoord hashes opvragen
- Gebruikers met beheersrechten mogen het wachtwoord van een account veranderen
.
Alleen de root gebruiker hoort deze acties uit te mogen voeren, en de gebruikers met de beheersrechten kunnen met behulp van sudo of de standaard prompts dingen doen als de root gebruiker.
brelsnok op 22 september 2011
Dit is geen bug maar een feature
Bedoeld om je wachtwoord te kunnen veranderen als je het vergeten bent. Ook in het geval je je root-wachtwoord vergeten bent moet dit kunnen, zolang je maar fysieke toegang tot de machine hebt. Een software blokkade heeft dan weinig zin: je hangt de computer in target-mode aan een ander via Firewire oid et voilà.
Het programma verstoppen achter een stricte permissie-config vereist het wachtwoord: kun je nog niets, daar sta je dan met je zomerbanden.
Voorheen stond dit programma op de meegeleverde installatie-DVD maar die bestaat sinds Lion niet meer.
Voor documenten die echt belangrijk zijn en die je alleen wilt delen met de NSA gebruik je FileVault, daar bestaat geen mogelijkheid voor om je password te veranderen.