Mac OS X *ikke* hacket i løpet av 24 timer

De fleste har fått med seg Itavisen og andre nettsteders dekning omkring en hacker som hacket seg inn i en Mac i løpet av 30 minutter. Historien har spredd seg som ild i tørt gress og er nå å finne på en rekke nettsteder, inkludert Nettavisen og Aftenposten. I ettertid av denne "nyheten" ble det oppdaget at Macen ble hacket fordi det ble gitt brukertilgang til hackeren og hackeren hadde tilgang til en konto på Mac OS X. Hackeren hadde med andre ord ikke greid å hacke seg inn i Mac OS X, men greid å få root tilgang via en allerde eksisterende konto.

The University of Wisconsin så seg lei på de misvisende historiene og satte derfor opp en Mac Mini med en utfording om å bli hacket. 24 timer senere står Mac Minien fortsatt urørt.

Universitet i Winsconsin, USA - satte opp denne nettsiden som et svar på de historien som har blitt publisert til en rekke nettsteder. Deres utfordring var enkel, hack dere inn i Mac minien, endre websiden og gi oss beskjed hvordan dere greide det. Maskinen kom på nett for over 24 timer siden og foreløpig står Mac Minien like støtt. Maskinen kjører Mac OS X 10.4.5 med siste sikkerhets oppdatering og webdeling samt SSH slått på, noe som er langt mer enn hva en standard Mac OS X installasjon har. Normalt er ingen av disse tjenestene slått på, så derfor er denne maskinen mer åpen enn en vanlig Mac.

Det er ingen pris til den som evt. greier å komme seg inn i maskinen, men evt. sikkerhetshull som blir oppdaget vil bli overlevert til Apple slik at de kan fikse feilene.

En rekke skribenter fra forskjellige nettsteder begynner nå å lure på om noen av Apples konkurrenter har begynt en såkalt FUD-kampanje mot Apple og Mac OS X. FUD står for Fear, Uncertainty og Doubt og er en "markedsføringsstrategi" hvor man sprer ufullstendig og direkte gal informasjon om konkurrentens produkt for å svekke produktets troverdighet. I det siste har det blitt skrevet utrolig mye om sikkerhet på Mac OS X av veldig mange skribenter rundt om på nettet, uten at det teknisk sett har vært noen grunn til å skrive noe spesielt om det. Siden det fortsatt ikke finnes noen virus til Mac OS X, eller noen ormer i spredning, så finner mange det mystisk at det er et så stort fokus på disse tingene - mens man ikke en gang nevner de millionene av Windows brukere som daglig blir infisert av virus, spyware og andre ulumskheter.

Har Apples popularitet og raskt økende salg blitt en såpass stor trussel hos Apples konkurrenter at de nå begynner en massiv FUD-kampanje mot mange av switcherenes viktigste argument nemlig sikkerhet?

Tags:

Per-Kristian

Go Apple! :-D

ameneon

go wisconsin!

tactus

Go to hell ZDNet Australia!

tactus

Admin sa: Har Apples popularitet og raskt økende salg blitt en såpass stor trussel hos Apples konkurrenter at de nå begynner en massiv FUD-kampanje mot mange av switcherenes viktigste argument nemlig sikkerhet?

Hvem skulle tjene på det? Kommer i allefall på én, ZDNet Australia. De får mange treff. ;-)

Loke

På tross av at artiklene som publiseres er mangelfulle og feilaktige, så klarte fortsatt en vanlig bruker å opphøye rettighetene på sin konto til root. Med andre ord er ikke dette noe å fnyse av, da dette *ikke* skal være mulig.

tactus

Loke: ZDNet artikkelen som det hele er spunnet ifra nevnte ikke at alle som ønsket det fikk lokal konto på maskinen som de kunne bruke for å logge seg inn på via SSH. Standard SSH innlogging på OS X er dessuten laget for vanlige brukere av maskinen, ikke for public shell konto bruk. Men hvem kjenner detaljene rundt hva som egentlig er saken her? En del media har klart å lage mere forvirring enn opplysning. Det er ikke det som er medias oppgave. Uansett, selv om du har ett poeng, så er det obskønt å forvente at ett konsumer OS skal være like herdet på innsiden som på utsiden.

segrov

Måten flere av disse historiene har spredd seg på, samt disse «virusene» som har dukket opp, har flere fellestrekk med andre FUD-kampanjer. Historiene kommer på rekke og rad, og har flere likhetstrekk på hvordan de blir presentert.

Alikevel må det sies at mac er hype for tiden, og på samme måte som sladrepressen hele tiden jakter på snusk hos populære kjendiser, virker det også som om avisene er på jakt etter snusk hos populære Apple:)

iRune

Noen som har lyst å tipse omverden om dette, bringe OS X gode navn å rykte tilbake blant dem som ikke har peiling. Slik at eg slipper å diskutere med alle som har lest denne artikkelen.

Loke

Synes folk kan spare seg "unnskyldningene" jeg. Var selv innom siden det er snakk om, og det var satt opp en LDAP-tjener slik at man kunne registrere egne brukerkontoer på boksen, som man igjen kunne logge inn på vha ssh. Og brukerkontoen var faktisk av en restriktiv type - likevel klarte vedkommende å ellevere sine rettigheter. Dette betyr i klartekst at Mac OSX er UEGENT som shell-server for en hel rekke firma.

Det er ikke snakk om et konsumer-OS heller, da alt tyder på at Mac OSX Server lider under samme svakhet. Selvfølgelig er det verre å beskytte seg når en bruker har konto på maskinen, men det er ingen unnskyldning for at vedkommende fikk root-access. Slikt skal ikke være mulig - punktum finale.

nick

Slashdot har en nokså bra debatt på dette. Artikkelen til ZDNet gir jo inntrykk av at hvemsomhelst kan spasere rett inn i enhvær Mac, og det er jo langt fra sant.

Når det er sagt så er det jo bra at noen setter fokus på en svakhet med brukerrettigheter slik at Apple eller andre kan rette det opp.

tactus

Svar til Loke: Do-oh. Hør jeg unnskylder ikke at noen fikk root aksess (root påslått?). Men det er bare gjetning ifra oss begge hva som egentlig har skjedd (eller kjenner du til det angivelige hullet personlig?). Situasjonen er likevel ikke beskrivende for en gjennomsnittelig OS X installasjon, eller en gjennomsnittelig server situasjon. Public shell tilgang er en like stor utfordring på ett hvert nix system. Det finnes ikke noen 100% sikker løsning, utenom kanskje fordyrende sandkasse teknikker. I dag er det ikke OSet som avgjør sikkerheten, det er brukeren som setter opp systemet. Bare fordi noen kjører OS X != gratis sikkerhet. Nei nei. Vi får håpe de ukjente hullene denne hackeren nevner blir rapportert til Apple, slik ærlige mennesker bør gjøre, og forhåpentligvis (eller ikke?) så kan de reprodusere feilen der.

G-Macs bilde

G-Mac

Tror dere finne mange måter å hacke en mac på her: http://www.machacking.net/forums/

benni

itavisen har enda ikke fått med seg dette.
men haha pc idioter gjør alt for og si at mac suger!
mens mac ruuler!

eirik1

Itavisen vil ikke få med seg dette.

mr

Jeg skrev til IT-avisen i går formiddag med henvisning til faktaene og konkuransen på WU-siden. Jeg fikk svar, så jeg vet at de vet, 100%.

Om de trykker en ny sak om dette er vel heller usikkert. Ingenting på siden dems når dette ble skrevet.

mr

Ble gjort oppmerksom på at it-avisen faktisk har lagt til en setning om University of Wisconsin-siden nederst i artikkelen. Artikkelen er dog ikke merket eller relansert, så oppdateringen kan vel knapt kalles særlig merkbar.

tefat

Takk Admin ;)

------------------------------------------------------------------------
What can i say, i say so many things ........
Mom, pleace dont hurt me :)

tefat

By the way ....

Almost all consumer Mac OS X machines will:

*Not give any external entities local account access
*Not even have any ports open
*In addition to the above, most consumer machines will also be behind personal router/firewall devices, further reducing exposure

------------------------------------------------------------------------
What can i say, i say so many things ........
Mom, pleace dont hurt me :)

Loke

Man trenger ikke "slå på" root i Mac OSX, man kan enkelt "sudo su" på en helt standard installasjon for å få til dette. Det er kun for å få logge inn som root, at man må aktivere root-brukeren i netinfo manager. Med andre ord: En helt vanlig Mac OSX installasjon.

Man kan ha brukerkontoer på en egen partisjon, der man kan hindre diverse eksekvering av kode basert på f.eks. mount-opsjoner. Men som alltid er dette en avveining mellom sikkerhet og brukervennlighet. Det som er hevet over enhver tvil, er at Mac OSX har lokale sikkerhetshull som enkelt kan utnyttes for å ellevere sine rettigheter.

Det hintes igjen til brukeren, og at det i dette tilfellet var brukerfeil. Som jeg har påpekt over, så var det snakk om en helt vanlig Mac OSX installasjon.

tactus

Du kaller denne installasjonen representativ for en gjennomsnittelig OS X installasjon?:
It runs a default install of Mac OS X Tiger, plus fink and some decent versions of Apache, MySQL and PHP. Software Update recently updated it to Mac OS X 10.4.5 and fixed some security issues. Yup, I should be pretty secure, shouldn't I?

- I tillegg til at OS X kommer originalt med konservative (godt testede om du vil) versjoner av Apache og PHP er disse servicene ikke påslått. Heller ikke SSH kommer påslått, og langt mindre MySQL som du må installere på egen hånd. Du sier dessuten selv at shell kontoene kjørte på en restriktiv konfigurasjon. Hva er representativt for en standard OS X installasjon med dette?

Jeg tror like mye på at maskinen er satt opp av en sikkerhetsekspert som jeg tar ZDNet artikkelen alvorlig.

Utfordringen til Dave Schroeder ved Wisconsin er forøvrig over nå.
http://test.doit.wisc.edu/

simens bilde

simen

Gjorde jeg under 10.3 for lenge siden :) Brukte da et hull i et suid hjelpe program for iChat.

Power Macintosh "QuickSilver" G4 867, 1152 MB ram
ATi Radeon 8500
Mac OS X 10.4

Jeg er et geni

nick

Ser ut som om det er endel som har prøvd seg ihvertfall:

- The site received almost a half a million requests via the web.
- There were over 4000 login attempts via ssh.
- The ipfw log grew at 40MB/hour and contains 6 million events logged.

(fra http://test.doit.wisc.edu/ )

... men det var ingen som kom inn på maskinen :)

Nit-Rams bilde

Nit-Ram

Takk! Alt for mange idioter som bare får med seg overskriftene og regner med at ITavisen har skjønt det osv...

"Innovation is what distinguishes between a leader and a follower" - Steve Jobs
Silisiumdalen!
What the deuce!!??

segrov

Da var det noen som klarte å ta ned maskinen :)

Loke

Og så på kvinnedagen da og greier.... ja, disse hunnkjønnene :)

Fiskepudding

En ting å få maskinen til å knele, men noe annet å komme inn.

tactus

Knele? Hva snakker du om? Maskinen er nok bare satt av nettet, hacker utfordringen er over.

Loke

Til opplysning så var det Chief Information Officer for WU som fikk fjernet maskinen, da "konkurransen" ikke var klarert med ledelsen.

Øysteinhs bilde

Øysteinh

Det varmer Applehjertet å lese slikt ;)

jonello (ikke bekreftet)

Subject506
если все работает то я смогу это прочитать)

  • Skriv ut artikkel
  • Abonner med RSS

Alt om iPad, iPhone og iOS

Nettradio i iTunes

Nettradio i iTunes
130 norske radiokanaler.
Få de mest populære norske, svenske og danske radiokanalene inn i en egen spilleliste i iTunes.
Oppdatert 13. mai