Is je wachtwoord wel veilig onder Lion?

Door: Koen van Tongeren - 14 reacties

Beveiligingsexpert Patrick Dunstan heeft een slordigheidje in Mac OS X Lion ontdekt dat mogelijk grote gevolgen kan hebben. Op zijn Blog legt Dunstan uit hoe het mogelijk is om het wachtwoord van een gebruiker in Lion te veranderen, zonder het oude wachtwoord te hoeven invoeren. Is er reden tot paniek of moeten we de berichtgeving van de sensatiepers over het probleem met de gebruikelijke argwaan tegemoet treden?

Om een wachtwoord te veranderen is alleen het commandline-hulpprogramma dscl nodig. Kwaadwillenden hebben echter wel fysieke toegang tot de computer nodig om met dit programma een wachtwoord te kunnen veranderen. Daarmee is het risico beperkt Dunstan waarschuwt dat het theoretisch wel mogelijk moet zijn om een applicatie of een Java applet te schrijven die de hack op afstand kan uitvoeren.

Het ligt dan ook voor de hand dat Apple snel een software-update zal uitbrengen die het lek dicht. Tot die tijd raadt Dunstan mensen aan om de permissies van dscl te veranderen zodat de App alleen door het root-account gebruikt kan worden. Dit kan je doen door in de Terminal het volgende commando te geven:

sudo chmod 100 /usr/bin/dscl\

Vervolgens wordt je beheerderswachtwoord gevraagd. Als je dat hebt ingevuld kan dscl niet meer gebruikt worden als je bent ingelogd met een gebruikersaccount.

Een simpeler oplossing voor bezorgde OMT’ers is om in de systeemvoorkeuren bij ‘Beveiliging en privacy’ aan te geven dat er altijd om een wachtwoord gevraagd moet worden worden als de Mac uit de slaapstand of schermbeveiliging wordt gehaald. Zo kan niemand toegang krijgen tot je Mac als je er zelf niet achter zit.

Reacties

14 reacties
  • Profielfoto
    RoyHochstenbach

    Het is ‘dscl’ niet ‘dsc1’;)

  • Profielfoto
    Koen van Tongeren

    :-) klopt (verkeerde copy-paste actie)

  • Profielfoto
    koenvisser

    theorie is nog geen praktijk meneer Dunstan.

  • Profielfoto
    MrHammond

    Simpele actie, maar even uitgevoerd:smile:

  • Profielfoto
    Anszje

    Als diegene toch fysiek toegang moet hebben tot je Mac kun je ook gewoon het wachtwoord wijzigen via Single User Mode.
    Is dat niet hetzelfde concept?

  • Profielfoto
    1984
  • Profielfoto
    iMartien

    Gelukkig is geen enkele machine veilig wanneer er fysieke toegang is…;)

  • Profielfoto
    hendrik ijzerbroot

    Wat ik mij afvraag is hoe het toch komt dat het altijd die beveiligingsexperts van andere bedrijven zijn die een lek vinden en nooit de fabrikant van het systeem of programma zelf. In het team van programmeurs bij Apple zullen toch ook wel beveiligingsexperts zitten?
    Misschien schamen ze zich als ze een lek in een eigen product vinden?
    .
    Nu is het meeste vaak een storm in een glas water, maar ik zou het helemaal niet beschamend vinden als ik las: “Apple vind lek in Lion en brengt patch uit”.

  • Profielfoto
    iNicky

    Jij en ik zijn de beta testers.

  • Profielfoto
    stephanbaan

    Dit kan al jaren via de SUM. Waarom is het nu nieuws dat het via de Terminal kan? Belachelijk bericht!

  • Profielfoto
    Mausy

    .
    Nu is het meeste vaak een storm in een glas water, maar ik zou het helemaal niet beschamend vinden als ik las: “Apple vind lek in Lion en brengt patch uit”.

    Dat zul je nooit lezen, omdat Apple gewoon de gaten dicht zonder aan de grote klok te hangen dat er een lek was. Valt het je nooit op dat je wel eens een security-update krijgt van Apple? Dat zijn gaten die verholpen worden. Veel ervan heeft Apple zelf gevonden.

  • Profielfoto
    mowat
  • Profielfoto
    tinus_omt

    Het heeft niet zo veel zin om een bepaald commando uit te schakelen, want de aanvaller kan ook gewoon zijn eigen versie van het commando meeleveren. Apple moet de achterliggende problemen oplossen in de directory service:
    .
    – Gebruikers zonder bijzondere rechten mogen de wachtwoord hashes opvragen
    – Gebruikers met beheersrechten mogen het wachtwoord van een account veranderen
    .
    Alleen de root gebruiker hoort deze acties uit te mogen voeren, en de gebruikers met de beheersrechten kunnen met behulp van sudo of de standaard prompts dingen doen als de root gebruiker.

  • Profielfoto
    brelsnok

    Dit is geen bug maar een feature:)

    Bedoeld om je wachtwoord te kunnen veranderen als je het vergeten bent. Ook in het geval je je root-wachtwoord vergeten bent moet dit kunnen, zolang je maar fysieke toegang tot de machine hebt. Een software blokkade heeft dan weinig zin: je hangt de computer in target-mode aan een ander via Firewire oid et voilà.
    Het programma verstoppen achter een stricte permissie-config vereist het wachtwoord: kun je nog niets, daar sta je dan met je zomerbanden.

    Voorheen stond dit programma op de meegeleverde installatie-DVD maar die bestaat sinds Lion niet meer.

    Voor documenten die echt belangrijk zijn en die je alleen wilt delen met de NSA gebruik je FileVault, daar bestaat geen mogelijkheid voor om je password te veranderen.