"Mac OS X hacked under 30 minutes"

Känns lite konstruerat på nåt sätt, inga direkta bevis på att han/hon varit inne?

/Tangen

Låter man vem som helst få konto med SSH i datorn så ber man om problem. Oavsett plattform.

Förmodligen, varför skulle dom få det - det är väl bara att uppge ett fast ip istället så att det blir mer "realistiskt"

/Tangen

Och om man inte tillåter att vem som helst får skapa ett eget konto så blir det rätt mycket svårare.....

"That's why I set up an LDAP server and linked it to the Macs naming and authentication services, to let people add their own account to this machine. That way, they will all be able to enjoy the beauty of Mac OS X Tiger. And, of course, get a better chance of rm'ing it!"

IDG har en bra rubrik på samma artikel....lite aftonbladet sådär.

"OS X hackas på 30 minuter"

Sidan i fråga:
http://rm-my-mac.wideopenbsd.org/

Jag är skeptisk...

Nja.

Man kan knappast kalla det "hacka" om man har ett konto på datorn. Skulle vilja se det system som överlever längre än 30 min om vem som helst får skapa ett konto.

På MacWorld står att OS X kan hakas på 30 min, kan det verkligen vara så lätt att hacka sig in i ens dator???:confused:

http://macworld.idg.se/ArticlePages/200603/06/20060306162107_MW/20060306162107_MW.dbp.asp

Nja, han lyckades skaffa sig root-access från ett normalt användarkonto, så att kalla det 'hacka sig in' är lite missvisande; han var ju redan inne.

Eftersom personen som utlyste tävlingen delade ut konton med SSH-access är det lite, som nån skrev, som att ge en inbrottstjuv tre siffror av fyra i kassaskåpskombinationen.

Säkerhetshålet i fråga utnyttjades alltså för att skaffa sig högre rättigheter, inte som MacWorld felaktigt och ansvarslöst skriver, skaffa sig åtkomst.

Jag slog ihop två trådar som handlar om samma sak.

Han har ju hakkat sig in eftersom han inte var i root men det är lite enklare om man har ett konto på datorn - men det är hyfsat snyggt gjort. Kanske 99 ska ställa upp en dator med bara ett fast ip - lycka till säger jag till alla hackers därute.

Om inte annat så skulle det kunna skapa lite rubriker till 99, frågan är bara hur sheriffen ställer sig till det - eller Oscar Bjers för den delen -kanske inte så uppskattat.

/Tangen

Hackern hade SSH-access. Det är värt att notera att SSH inte är påslaget för fjärracess som förval, det är ett aktivt val man måste göra.

hmmm, lite konstigt är det, kanske björnström vågar - vad tror ni?

/Tangen

Jag tror att man ber om dålig publicitet genom sådana här utmaningar, oavsett OS. Om nån lyckas ta sig in, har man visat att "OS si och så är lätthackat", för att tala idg-språk. Om maskinen pallar, har man ändå inte bevisat eller vunnit nåt alls.

jag tror du har rätt.
/Tangen

I den här tråden finns en länk till en mer verklighetsförankrad tävling som borde sluta när som helst om Mac OS X nu är så osäkert.

Även om vissa rubriker är missledande så är lokala roothål ganska allvarliga. Potentiellt kan de ju uppgradera alla fjärrhål till roothål. Så även för skrivbordsanvändare kan de vara av konsekvens.

Förvisso sant, men det krävs ändock remote access i första läget för att detta ska bli allvarligt.

mvh/jens

Men är jag blåögd och naiv om jag tycker att vanliga användare inte bör kunna skaffa sig root-access?

En fråga till er som verkar ha koll: Hur skulle det se ut i ett nätverk på en skola tex, kan en duktig elev skaffa sig kontroll över en viss dator eller tom över delar av nätverket?

ja, i princip (även mac som det verkar(kanske))

/Tangen

>Hur skulle det se ut i ett nätverk på en skola tex, kan en duktig elev skaffa sig kontroll över en viss dator eller tom över delar av nätverket?

Det är alltid en fråga om avvägning mellan säkerhet och nytta. Skall man lära ut UNIX, OS/X eller Windows 2000/XP från grunden måste man kunna ge ut root-access. Dvs ha en labb-miljö som rensas hela tiden.

Vill man lära ut programutveckling så är det svårt att ha för mycket restriktioner på dessa datorer/konton, ex. local admin på Windows XP.

Vill man sedan kunna bedriva distansutbildning så måste det dessutom öppnas upp för access utanför det fysiska lokala nätverket. Alternativet är någon typ av VPN-koppling för användarna.

För datorer som används för Office-applikationer, bildbehandling, surfa, skicka e-post etc är det mycket lättare att begränsa rättigheterna, och på sätt minska riskerna.

Se man på den hackade datorn hade man tilllåtit en programutvecklingsmiljö som kan kommas åt utifrån. För mig är det en maskin som riskerar att hackas med jämna mellanrum. En dator som tillåter access utifrån bör INTE ha programutvecklingsmiljön installerad, och endast ett begränsat antal tjänster för att kunna utföra sin uppgift, t.ex webserver.

Jag har själv brutit mot dessa regler på en av mina egna privata siter, men då varit medveten om farorna och tagit en kalkylerad risk.

Hörde om någon som av misstag gjorde init -6 på en produktionsmaskin i tron att han var inloggad i test. Det går säkert att göra rm -r på fel maskin också

Sensmoral är att separera produktions, test, utvecklings och labb miljöer. Såväl i skolor som foretag och andra organisationer.

Mvh Casi

Casi, tack för dina synpunkter.

Jag måste säga att artikelrubriken är överdriven men faktum kvarstår. Från vanligt konto tog det 30 min att få root access. Även om det är mitt älskade Mac OS så är det ett stort problem. Det största problemet är det som denna tråden har just bevisat, det finns en mentalitet i Mac kretsar som glorifierar Apple och negligerar säkerhetsproblem. Det är nog tyvärr så att Mac ägare som alla andra datorägare måste tänka lite mer på säkerheten och inte låta sig invaggas i någon falsk säkerhet.

här nedan kan ni läsa sanningen om tävlingen, den var fixat och tävlingen fotsätter - ingen har hittills lyckat hacca med mac -
siis tämä kilpailuhakkerointi oli järjestetty, josta jäätiin kiinni. nyt on machakkerointikilpailun sisäänjättöaikaa jatkettu.

http://www.macworld.co.uk/news/index.cfm?home&NewsID=14029

Om den första tävlingen var fixad eller inte ska jag låta vara osagt. Däremot så är det ju betydligt lättare att hacka något om man har ett eget användarkonto på burken. Den andra tävlingen är avslutad i förtid eftersom IT-chefen på det unversitetet där Macen befann sig inte gillade tilltaget från den anställde. Däremot så lyckades ingen att hacka den burken under de 36 timmar (tror jag) som tävlingen var igång.