Wachtwoorden plaintext in virtueel geheugen

Door: addyboy - 36 reacties

Wachtwoorden worden in plain text opgeslagen. Dat klinkt wel heel erg, maar gelukkig is er tot nu toe nog geen misbruik van gemaakt. Wachtwoorden worden namelijk in plain text opgeslagen in de onzichtbare map /var/vm/. Hier zitten swapfiles in die ‘gewoon’ in plain text zijn opgeslagen, maar je kan niet zo simpel dit bestand openen. Even naar Text Edit slepen zal dus niet lukken. Je hebt eerst root-toegang nodig om het bestand te kunnen openen. Het gevaar brengt wel belangrijke risico’s met zich mee waar virussen en/of trojans gebruik van kunnen maken. Ze kunnen toegang krijgen tot dit bestand als zij root-toegang hebben. Eigenlijk zouden de swapfiles in de map /var/vm/ gewoon gecodeerd moeten worden, maar dit wordt dus niet gedaan. In andere Linux en Unix distributies is er geen probleem. Alleen bij Mac OS X is hier een onveiligheid.

Het is niet een al te groot probleem, maar als kwaadwillenden het goed uitwerken kan dit dus wel een groot probleem worden. Zo kan een virus alle acties doen die een root-gebruiker kan doen. Maar het is erg moeilijk om hier een script voor te schrijven om deze swap files te openen. De enige manier waarop dit wel makkelijk kan is als je als root-gebruiker bent ingelogd. Want dan kan uit deze swapfiles gewoon het wachtwoord worden gehaald van de ingelogde gebruiker. Gebruik root-toegang dus alleen als je weet wat je doet of als je even iets via het terminal doet met het sudo commando.

Helaas dat Apple nog steeds hier niks aan heeft gedaan. Op ons forum postte Sigterm al eerder over de mogelijke gevaren en dit was in juni. Zou Apple dit nog wel veranderen?

Bron: Heise.de

Reacties

36 reacties
  • Profielfoto
    Paetor

    acces?
    Een zin die begint met ‘Maar’ of ‘Want’?
    “Het is niet een probleem om allemaal zorgen om te maken”?
    “Daarom moet men ook alleen met root-acces werken als ze snappen wat ze doen”?

    Wat een onwaarschijnlijk slecht geschreven bericht! Het bevat werkelijk geen zin die lekker loopt…

    TRIEST!

  • Profielfoto
    addyboy

    sorry… ik drukte op posten in plaats van preview!.. nu wel weer veranderd

  • Profielfoto
    GodzillaPresley

    Ik wil niet zeuren, maar het is nog steeds niet echt lekker nederlands. Ok, geen spelfouten meer, maar ik zwijg maar even over de stijl.

    Daarnaast is het oud nieuws. Sigterm heeft ons er in juni 2004 al op gewezen:
    http://forum.macosx.nl/viewtopic.php?t=21917

  • Profielfoto
    addyboy

    :oops: nu weer wel goed hoop ik..

  • Profielfoto
    Meneer Guggenheimer

    Is het al gefixed in de laatste updates?

  • Profielfoto
    addyboy

    nee..

  • Profielfoto
    Sachin

    Je artikel leest niet gemakkelijk. Het is niet goed geschreven. Ik beweer niet dat mijn artikels zoveel beter geschreven zijn maar probeer in het vervolg toch iets meer te doen…:(

    Er ontbreekt ook een inleiding! Je begin zomaar te zeggen: “Het klinkt allemaal wat erger dan het is”. Dit is niet erg duidelijk. Ik weet perfect wat je bedoelt omdat ik eerst naar Tweakers.net gesurft heb en daar hun duidelijk artikel gelezen heb…

  • Profielfoto
    freechris

    staat anders wel op de frontpage van tweakers, voor hun is het allemaal nieuw hoor!

  • Profielfoto
    tricksel

    Ik heb al eerder gepost hierover op tweakers.net, aangezien ik hier zelf de files heb doorgespit en GEEN wachtwoord ben tegengekomen. Ik denk dat er alleen wat wordt opgeslagen op het moment dat dit wachtwoord is ingetypt voor een applicatie.
    Daarnaast is de file alleen te openen dus als root, waarvoor dus ook eerst een wachtwoord beschikbaar moet zijn als “hacker”. Oftewel; als root heb je toch wel heel wat meer privileges dan als gebruiker met een wachtwoordje. Wat heb je dus liever…?

    Daarnaast is een bronvermelding misschien wel zo netjes, ongeacht waar het artikel vandaan komt…

    @Peach: sluit dan in ieder geval je laatste zin met een punt af! ;)

  • Profielfoto
    addyboy

    het werkt soms wel soms niet.. dat staat ook in het forum topic.. Want als je bijvoorbeeld net hebt gereboot staat het er al niet meer in.

  • Profielfoto
    Peach

    kom kom nou … toch niet te veel klagen over de nieuwsstijl! Alhoewel ik ook gerust zou kunnen melken over de nieuwsstijl, hou ik de frustraties liever voor mezelf. Leen dus gerust m’n cursussen:p
    Ik heb er wel al aan gedacht om me kandidaat te stellen om ook nieuwberichtjes te schrijven voor macosx. Waarom ik? Wel ik studeer nu toch journalistiek (weliswaar in Vlaanderen, ik ben nu eenmaal Belg).
    Dus ik denk wel dat ik een goede aanwinst zal zijn, maar ja, ik verwacht nu niet dat er hier nog nieuws’posters’ nodig zijn ;) < - 'daar' moest normaalgezien een . staan, maar m'n smiley 'staat' er op:D < - hier weer:) < - hier weer ... humor ;)

  • Profielfoto
    Quack

    Zoals in het forum topicje al naar voren komt is er helemaal niets aan de hand. Heisa om niks!

    Als een virusje/backdoortje al root privileges heeft, dan is de boel toch al verloren, en wat moet dat virusje/backdoortje dan nog met het rootpassword?

    Beetje jammer alleen voor de slechte publiciteit die apple hierdoor krijgt.

  • Profielfoto
    MacAttack

    @Peach waarom zou MacOSX.nl geen nieuwsposters meer nodig hebben? Meld je aan zou ik zeggen.

  • Profielfoto
    amon-re

    Eigenlijk is dat tamelijk logisch. De swapfiles zijn virtual memory: een stukje harde schijf wordt gebruikt in plaats van RAM. Als je dus een wachtwoord intikt en je Mac heeft niet genoeg RAM meer, dan schrijft die het op de harde schijf, in de swapfile.

    Als je wil zien of het wachtwoord erin zit doe je gewoon:

    sudo strings /var/vm/swapfile* | grep wachtwoord

    en vervang je ‘wachtwoord’ door je wachtwoord. Als dat cmd iets terug geeft, dan zit je wachtwoord in plaintext op de harde schijf.

  • Profielfoto
    Tomaat

    Plain text passwords zijn zooo passé.. Hoe moeilijk kan het zijn er een simpele encrypte overheen te halen:?

  • Profielfoto
    Granny Smith

    euh… in Tiger wordt er iets aan gedaan…

    mogelijkheid tot encrypted vm… (juist he???… of…???)

  • Profielfoto
    Pink Grapefruit

    DIt is werkelijk al heel lang bekend. Maar het is totaal niet interessant. Je moet een ROOT wachtwoord hebben… Voor mensen die het punt missen. Als je het root wachtwoord al hebt voor het openen van het file, dan zal het wachtwoord dat je van de gebruiker eventueel kan vinden niet echt interessant meer zijn. ALs root kan je dan namelijk al overal bij en in komen, laat dat gebruikerswachtwoord dan maar lekker waaien.

  • Profielfoto
    Beathoven

    klopt. Daarnaast zijn de wachtwoorden van de paar thuisgebruikers die er achter zitten echt niet zo interessant. De meeste mensen hebben 2x hun eigen naam of hebben er uberhaupt geen wachtwoord in staan..

  • Profielfoto
    Fuji

    zucht…daar is tweakers wel weer snel voor om zoiets te publiceren

  • Profielfoto
    Beathoven

    enkele reacties op tweakers.net

    Voor de kleine kiddo\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\’s die het leven nog niet snappen:
    strings /proc/kcore > /tmp/wordlist op je linux doosje
    daarna john (the ripper ja) -wordlist /tmp/wordlist /etc/shadow en hops daar heb je alle wachtwoorden van users die weleens ingelogd zijn met hen wachtwoord en waarvan het geheugen nog niet overschreven is.

    Lekker belangrijk. Onder Linux heeft root toch ook altijd /etc/passwd uit kunnen lezen en onder Windows kun je het wachtwoord zelfs makkelijk veranderen met een eenvoudig bootable cd’tje.

    Ik heb het net op mijn Linux bakje geprobeerd (2.4.19-4a) en daar geldt het probleem ook. Je moet maar eens als root een ‘cat /dev/mem | grep -a ‘ doen. Ik krijg een hele hoop matches daar op.

    Het artikel hierboven mag wel een beetje gewijzigd worden en een rectificatie is wel op z’n plaats;) Het lijkt nu een nationale ramp terwijl het in werkelijkheid niet eens een krasje is.

  • Profielfoto
    MekTosj

    Nu weet ik niet of dat verschil uitmaakt voor deze zaak (ben geen UNIX guru), maar mag ik hier aan toe voegen dat onder MacOSX standaard het echte ROOT account staat UITGESCHAKELD. Het hoogst haalbare is administrator, en je moet het Root account toch echt zelf aanzetten. Hier is niet voor niets toe besloten met veiligheid in gedachte.:D

  • Profielfoto
    sarasin

    @Mek&Tosj:

    Het werkt ook Zonder ROOT account! Als je nu even had gelezen, kwestie van het Admin Passwd en je kunt hem zo choppen.. effe in FW modus en huppakee…

    dit is wel degelijk een probleem!

    @addyboy: waarom dit artikel NU pas posten… terwijl Sigterm hier al weken vanaf wist en dit ook al op het forum had vermeld… En omdat tweakers er nu pas wat van zegt.. moeten wij hier ook opeens artikel van schrijven…. das bullshit! Laten we dit artikel maar fijn weer verwijderen!

  • Profielfoto
    dirkwald

    Ik heb het net op mijn Linux bakje geprobeerd (2.4.19-4a) en daar geldt het probleem ook. Je moet maar eens als root een ‘cat /dev/mem | grep -a ‘ doen. Ik krijg een hele hoop matches daar op.

    Inderdaad, zo ben ik recent op het spoor gekomen dat GNU/Linux (met name Sarge van Debian) telepatische krachten heeft:o

    Typ namelijk
    ‘cat /dev/mem | grep -a

    en behold, er komen matches tevoorschijn.

    ???;)

  • Profielfoto
    olafdejager

    Wat een onzin bericht! Heb je werkelijk niets beters te doen dan dit artikel te posten?

    Dit is zulk oud nieuws!

    En welke idioot is er nu constant als root gebruiker ingelogd?

    Wat dacht je van het feit dat iedereen met een MacOS X CD het rootwachtwoord kan veranderen?

    Kortom, stop met dit soort negatieve berichten over MacOS X alsjeblieft, want door dit soort berichten krijgt Apple een slechte naam…

  • Profielfoto
    Beathoven

    Hier nog een post van tweakers.net

    mag ook wel nieuws worden, krijg je iig nog de indruk dat dit een pro-mac site is;)

    Superhacker Mitnick test hackbestendigheid OS X
    07-12-2004 (bron: macfreak.nl)

    Uit een onderzoek van de Amerikaanse krant USAToday en internetbeveiligingsbedrijf Avantgarde uit San Fransisco blijkt dat surfen met een onbeschermde internetverbinding vragen is om problemen.

    De wereldberoemde hacker Kevin Mitnick, in 1995 gearresteerd wegens het hacken van Ă©Ă©n van Amerika’s “best beveiligde computersystemen” en inmiddels zelf een veel gevraagde computerbeveiligingsconsultant, was door de krant gevraagd om samen met collega-consultant Ryan Russell een experiment uit te voeren. Het duo nam zes computers met verschillende besturingssystemen, waaronder ook een Apple Macintosh met Mac OS X, en sloot die aan op het internet zonder verdere beveiliging. De computers werden vervolgens twee weken in de gaten gehouden.

    Een computer met Windows XP Service Pack 1 was binnen vier minuten gehackt, en telde na twee weken negen succesvolle inbraakpogingen. In een computer met Windows Small Business Server als besturingssysteem werd eenmaal ingebroken in die twee weken. De computers met Windows XP SP2, Windows XP met ZoneAlarm en een Linspire Linuxmachine, werden wel aangevallen maar niet gehackt.

    Ook de MacOS X machine zonder ingeschakelde firewall werd niet gehackt in die twee weken tijd, ondanks bijna 140.000 aanvallen (ruim 8.000 per dag)!

  • Profielfoto
    roborob

    Kortom, je moet werkelijk de beschikking hebben over: of de computer zelf, of het root wachtwoord. So what? M.a.w. geef het wachtwoord in om je wachtwoord zichtbaar te maken of geef anders je computer uit handen. Naaahhhhhh!!!

  • Profielfoto
    arnoud

    Als mensen toch al toegang hebben tot de fysieke computer maakt het al dan niet hebben van de wachtwoorden toch ook geen jota meer uit?

  • Profielfoto
    snipper

    Precies. Storm in een glas water weer, net als dat ‘virus’ verhaal van laatst, waar je root toegang voor moest hebben. Liever geen verhalen dan dit soort nonsense.

  • Profielfoto
    R-Line

    root…. password… so what:) Wie gaat de moeite doen om mijn rootpass te verzinnen, ik heb niks te verbergen en heb een goede back-up dus ik slaap lekker

  • Profielfoto
    Quack

    Mitnick? Superhacker??

    PROEST!!! :D :D :D

  • Profielfoto
    GodzillaPresley

    even over de bronvermelding:
    de site heet Heise.de en niet Heide.de

  • Profielfoto
    Jesper

    Ik las laatst op dit forum dat er een Mac OS Update komt, 10.3.7 als ik mij niet vergis. En die zou een belangrijke fout in Mac OS X fixen. Misschien is dat wel deze fout?

  • Profielfoto
    SUPERJORN

    *zucht* Wat veel irritante commentaar over dit artikel. Dan denk ik bij mijzelf… Is dit nou MaxOSX.nl? Of MacFreak.nl???

  • Profielfoto
    angorawol

    Als ze al weten dat er zoiets bestaat als een root…
    Als ze je paswoord al kunnen achterhalen…
    Als ze al weten dat er een onzichtbare map is…
    Als ze die naam van die map al kennen…
    Als ze al sowieso al door de firewall geraken…

    dan… komen ze erachter dat er in jouw itunes alleen maar André Hazes zit ;)

  • Profielfoto
    addyboy

    Wat ik gewoon probeerde te zeggen was dat Apple dit gewoon even simpel moest coderen:P

  • Profielfoto
    SUPERJORN

    *zucht* Wat veel irritante commentaar over dit artikel. Dan denk ik bij mijzelf… Is dit nou MaxOSX.nl? Of MacFreak.nl??? :angry: *kotsss*