Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 74 reacties
Bron: ZDNet, submitter: Ma_rK

In een wedstrijd waarbij men uitgedaagd werd een OS X-machine te hacken, is men erin geslaagd een Mac mini binnen de zes uur over te nemen via het internet. Een Zweed installeerde zijn Mac mini op 22 februari als server en daagde de hackersgemeenschap uit om de machine als doelwit voor hun aanvallen te gebruiken. Zes uur later was de 'rm-my-mac'-wedstrijd afgelopen toen een individu dat naar de schuilnaam gwerdna luistert zich toegang tot het systeem kon verschaffen en de website die op de Mac mini draaide kon aanpassen. Naar eigen zeggen had hij daarvoor niet meer dan twintig tot dertig minuten nodig. In eerste instantie speurde hij naar fouten in de configuratie en achterpoortjes die door de beheerder opengelaten waren, maar toen hij die niet kon vinden besloot gwerdna gebruik te maken van een niet-gepubliceerde exploit. Gwerdna geeft toe dat de Mac mini niet optimaal geconfigureerd was, maar benadrukt dat een betere configuratie de hack niet had kunnen voorkomen.

Veiligheid / Hack De enige manier om zich enigszins te beschermen tegen niet-gepubliceerde lekken is het installeren van zogenaamde 'hardening patches', bekend van de PaX- en grsecurity-patches uit de Linux-wereld. De winnaar van de hackwedstrijd stelt echter dat OS X een gemakkelijk doelwit is: 'Mac OS X is easy pickings for bug finders. That said, it doesn't have the market share to really interest most serious bug finders.' Apples OS X-platform kwam recent nog in het nieuws met het verschijnen van twee virussen, een fenomeen dat door sommigen toegeschreven wordt aan de toenemende mate van populariteit van het besturingssysteem.

Moderatie-faq Wijzig weergave

Reacties (74)

Ok, er is niet veel van informatie, maar de reacties hier zijn vrij ook ongeinformeerd. Het is lijkt vrij duidelijk wat er gebeurt is. De betreffende site/Mac is deze:

http://rm-my-mac.wideopenbsd.org/

Het gaat dus om Tiger 10.4.5. Iedereen kan op de website een user account aanmaken en inloggen via SSH. De uitdaging is om de Mac lam te leggen met een standaard user account. Gwerdna heeft waarschijnlijk gebruik gemaakt van een niet gepubliceerde lokale priviledge-escalation zwakte. Gezien zijn opmerkingen dat de gebruikelijke hardening-guides niet hadden geholpen en iets als PaX of grsecurity wel, gaat het waarschijnlijk om een buffer overflow in een systeem proces, waardoor een locale gebruiker code kan uitvoeren met de rechten van dat proces (root dus).

Concreet voor de Mac gebruikers: als je geen remote access (SSH) aan heb staan hoef je nog niet te vrezen dat je computer wordt gehacked over internet. Maar lokale priviledge escalation bugs zijn er waarschijnlijk wel. Aangezien deze niet gepubliceerd zijn, heb je alleen te vrezen van iemand die 1) toegang heeft via een normale user account en 2) redelijk wat verstand van zaken heeft, op de Mac

Aanvallen via SSH beginnen meestal vrij primitief (dictionary attacks: uitproberen van gebruikelijke usernames en passwords). Maar als ze eenmaal binnen zijn als standaard user heb je dus te vrezen van priviledge escalation aanvallen. Een tip voor degenen die SSH echt nodig hebben:
1) als SSH alleen vanaf een bepaald aantal adressen nodig is, drop alle andere adressen in de firewall (moet via Terminal met ipfw)
2) zet de login/password optie uit in sshd en laat alleen logins toe met public/private keys, dit stopt alle dictionary aanvallen
Op werkelijk mission critical systemen is het idd verstandig om SSH zoveel mogelijk uit te zetten, danwel alleen public/private keys te gebruiken. Maar de kans dat iemand een goed paswoord raadt is zo klein dat het werkelijk onzin is om je daartegen te wapenen. Maar dan moet je dus wel een goed paswoord kiezen!

De gemiddelde consumentenmac is gewoon niet interessant genoeg voor de hacker om er veel moeite in te stoppen. Je krijgt veel (heel veel) meer spambakken voor je uur werk met windows PCs. En dat zal voorlopig nog wel zo blijven, ook als het Mac-marktaandeel verdubbelt.
Ik meen me te herinneren dat SSH default disabled is ook.

Er is imho geen enkel systeem veilig die als shell server fungeert, PaX & grsec doen wel veel maar nog niet genoeg.
Hoewel het slechts obscurity is...

Je SSH poort op iets anders zetten dan 22 scheelt ook al ontzettend veel gerammel aan de deur.
of je installeerd blockhosts: http://www.aczoom.com/cms/blockhosts

3x verkeerd wachtwoord en je ip-adres wordt gedenied, success met een dictionary attack :)
1) als SSH alleen vanaf een bepaald aantal adressen nodig is, drop alle andere adressen in de firewall (moet via de terminal met ipfw)
2) set de login/password optie uit in sshd en laat alleen logins toe met public/private keys, dit stopt alle dictionary aanvallen
Je kan ook een script als DenyHosts gebruiken ( http://denyhosts.sourceforge.net/ ), die blokkeren een IP adres na (bijvoorbeeld) 10 foute inlogpogingen. Ik ben er erg tevreden over!

Zo ben je redelijk beveiligd tegen brute-force aanvallen terwijl je toch een optimale bereikbaarheid hebt.
Er wordt niet verklaard welke exploit er gebruikt is. Er wordt niet vermeld welke software er op de Mac Mini draaide. Er wordt enkel kennis gegeven dat er een bepaalde exploit zou bestaan om een lokaal proces root rechten te geven. De exploit zou alleen mogelijk zijn met shell access tot de machine. Tedentieuze nieuwspost met een halve waarheid.
Kom op, het is duidelijk dat hier een niet publieke exploit voor gebruikt is,
Kan zijn, wel verdacht is dat gwerdna (Andrew G?) alleen maar een defaced webpage heeft achtergelaten.
Niet echt een bewijs voor root-access!
Hij heeft een local privillege escalation bug gevonden, en daarmee kan ie root worden op je mac
Pure speculatie, gebaseerd op onvolledige gegevens.

De doelstelling van deze uitdaging staat duidelijk op de website, namelijk de inhoud van de server volledig wissen (rm -rf)
Of het nu lukt in 10 of 30 minuten lijkt mij toch vrij naast de kwestie.
Feit is dat het wel kan, al haakt de hacker blijkbaar af omdat hij te lang moet zoeken naar mac-slachtoffers. :)

Mac gebruikers zouden er toch stilaan goed aan doen om de 'niets kan mij raken' attitude wat bij te sturen. Het feit dat Windows vaker lek blijkt is geen argument om de mac imuun te wanen.
Allemaal goed en wel maar nu al weken hoor je die berichtjes maar nog geen enkele mac blijkt dan ook al geinfecteerd te zijn geweest en dit artikel blijkt nu ook al een broodje aap verhaal te zijn. Lijkt me dat we die attitude nog lang mogen aanhouden en ze zeker nog eens deftig in het gezicht van de windoneesje mogen smeren! ;)
natuurlijk zal osx gecrackt kunnen worden, maar om en oude versie van osx te laten cracken door iemand die al ssh toegang leek te hebben is niet veel bijzonders, idem voor die "trojan" die je zelf moest uitvoeren en die om je root pw vroeg --> dat kun je geen virus noemen.

ik ben het wel met je eens dat de attitude van de gemiddelde mac gebruiker (nofi) mij wel de indruk geven dat men idd wat te positief over osx denkt, het is een veilig en goed os maar er kan altijd wat mis gaan en denken dat je niets kan gebeuren zal dat alleen maar erger maken.
Errr....
Wel leuk dat jullie nu ook weer zeggen dat MacOS X zo veilig is.
Even voor de duidelijkheid, het is een *nix variant.. HACK baar dus.
MacOS X, Windows, Unix, Linux, BeOS, whatever OS's zijn NOOIT veilig. Ook al sluit je alle SSH accounts, dan nog kom je er nog wel in, je moet alleen weten hoe :)

Attitude my ass.
Ik ben 100% Mac hater, ik ga om met vrienden die met de Mac de hele dag werken, en we hebben het meestal altijd over security van een mac. We komen er altijd op uit dat geen van de OS's secure zijn. Alles is zo onveilig als de pest, stamp dat ff goed in je dikke @#$% ;)
"easy pickings for bugfinders"? Er wordt geen enkel bewijs aangevoerd voor deze volkomen tendentieuze bewering. En dan tot overmaat de redactionele toevoeging er achter aan over de twee vermeende Mac virussen. Waarvan inmiddels ook bij de Tweakers redactie bekend verondersteld mocht zijn dat het hier niet om virussen maar om Trojans ging. Die bovendien achteraf de naam nauwelijks waardig blijken te zijn. Dit gaat echt richting Telegraaf journalistiek...

Ik ben graag bereid te geloven dat ook in OSX fouten voorkomen, sterker nog, het lijkt mij onmogelijk een foutloos besturingssysteem te maken. Maar volkomen ongefundeerd een systeem "easy pickings" te noemen is natuurlijk des tweakers onwaardig..

Laten we toch vooral goed gefundeerde informatie niet inruilen voor pakkend klinkende kopjes. Beste Tweakers redactie, mag het een onsje meer zijn AUB?
Het feit dat hij (schijnbaar) in 30 minuten binnen was. Geeft aan dat het voor hem niet echt lastig bleek. Daar kun je de conclusie uittrekken dat hij f weinig kennis had en de machine super simpel was te hacken => easy pickings f veel kennis heeft en weet waar hij over praat. => easy pickings.

Enkel als hij n goed geinformeerd is n liegt zou het idee van easy pickings for bugfinders dus onderuit gehaald kunnen worden. Maar waarom zou hij liegen. Het is toch veel beter om te claimen dat de mac hl moeilijk is om te kraken maar IK kan het lekker wel. Nu zegt hij eigenlijk. Ach, tis simpel maar dat wist iedereen toch al?

En tot slot, de feiten spreken wel een beetje voor de uitspraak van easy pickings for bugfinders. Mac gebruikers doen vrij weinig aan beveiliging en het is gewoon bewezen dat out of the box installaties vragen is om gehacked te worden. De naiviteit die je ook weer in deze thread aantreft maakt dat de Mac inderdaad "easy pickings for bugfinders" is.
Ahem, er zijn natuurlijk meer conclusies mogelijk.
1. Hij kon al lang kennis hebben van deze 'exploit'. Het artikel zegt immers dat hij <b>besloot</b> gebruik te maken van een 'niet gepubliceerde exploit'...
2. Hij is er met veel geluk tegen aan gelopen.
3. Wie zegt dat hij er maar werkelijk 30 minuten voor nodig had? De machine was immers niet al na 30 minuten 'gekraakt' maar pas na 6 uur.

Het lijkt er op dat de 'hacker' in kwestie zichzelf wat extra streetcredibility wil geven met stoere praatjes over 'easy pickings'. De bewering dat de Mac te weinig marktaandeel heeft om het voor serieuze hackers interessant te maken is natuurlijk pertinente onzin. Er is meestal maar n serieuze hacker nodig om een systeem te kraken. Je kunt mij niet wijs maken dat er tussen de 20 miljoen Mac gebruikers niet n serieuze hacker te vinden is. Om niet te spreken van alle Mac bashers die de Mac al jaren onderuit proberen te halen. Kom op zeg...
Amen to that "mneur" ik dacht precies hetzelfde "2 virussen niets van gemerkt" het waren inderdaad een soort Trojans. Maar die leap-a trojan (of mallware ofzo) moest je zelf downloaden dan uitpakken en dan ook nog openen. En zoals ik van andere Mac experts hoorde was die tweede waarschijnlijk gewoon een media hype, dus ook iets wat ze opgeblazen hebben.

Zelf heb ik van deze "trojans????" helemaal niets gemerkt. En als je op een WinDoos pc zit dan wordt je systeem meteen geinfecteerd en zijn er veeeel meer slachtoffers.
Ik voel me nog steeds veilig op m'n Mac en gebruik nog steeds geen virusscanners, en dat zal ik de eerste jaren waarschijnlijk niet doen ook.
En voor de mensen die nog op Windows zitten "Make the Switch" you won't regret it.
Ga jij maar lekker in je holletje kruipen.
FireFox op MacOS X is net zo onveilig als ik weet niet wat (ja firefox kan op MacOS X ook "misbruikt" worden).
Daarnaast, moet je maar de juiste privileges instellen, net zoals op een MacOS X, en met Linux precies hetzelfde.
Wat is dit voor een tendentieus bericht? Een reactie van een lezer op ZDNet:

from the website:
"That's why I set up an LDAP server and linked it to the Macs naming and authentication services, to let people add their own account to this machine."

and furthermore:
"This is the place you add yourself an account on my Mac.

To log in, simply SSH to rm-my-Mac.WideOpenBSD.ORG using the name and password you've choosen. It might take a while to log in as SSH is started from inetd and needs to generate keys upon startup.
Username:
Password: (pick a secure one)"

let me get this right, he actually enables everybody to add his own home account? and gives them ssh access to his machine? and then he wonders that it is insecure?

i dont know what to say...

other that any normal mac user doesnt have to worry because that's such a stupid, non standard configuraation that it will never happen on their machine.
Dat kan je met een linux server ook gewoon doen hoor. Moet je even google-en op free shell account, genoeg Unix/Linux servers waar je na aanmelding een account krijgt.

Het is gewoon een lek, of je nu een apple fanboy bent of niet, dit was echt een fout is Mac OS, zoals er nog meer zijn. Mensen moeten eens ophouden met het ontkennen van lekken.

Ow en om mijn mod. punten helemaal maar op -10 te krijgen: Ook in Linux zitten bugs.
Ik hoop dat met mij anderen zijn om te zorgen dat de -10 mod punten een tegen hanger krijgen van +10 mod-punten.

Er wordt allang geroepen dat MAC-OS en Linux geen gaten hebben, net als FireFox.
Ook die zullen het zwaar te verduren krijgen naarmate ze populairder worden.

Let maar eens wat er met FireFox gebeurt als ze zo doorgaan.
Mschien dat ze geluk hebben dat IE7 eraan komt...
Wie zegt er dat er geen gaten in firefox en linux zitten.
Het punt is dat doordat het opensource is de gaten makkelijker gevonden kunnen worden door mensen die het melden bij de destbetreffende organisatie. En dit geen "niet-gepubliceerde exploits" worden wat ook deze box ook de das om heeft gedaan.
De normale procedure is.
- Iemand vindt een bug.
- Die persoon meldt het bij de ontwikkelaars
- De ontwikkelaars maken een patch
- De ontwikkelaars geven de patch vrij

Tussen stap 1 en stap 4 heb je dus per definitie een "niet-gepubliceerde exploit". Je kan natuurlijk ook volgens die schema werken.
- Iemand vindt een bug.
- Die persoon gooit het nieuws op het internet
- Een derde persoon meldt het bij de ontwikkelaars
- De ontwikkelaars maken een patch
- De ontwikkelaars geven de patch vrij

Dan is er inderdaad geen "niet-gepubliceerde exploit". Maar je zit wel met een periode dat er geen oplossing is voor een veiligheidsprobleem wat al openbaar is. Dat is vragen om misbruik door hackers. Doe mij dus maar de eerste werkwijze. Liever dat een kleine groep experts mijn computer kan hacken dan dat elke nieuwslezende puber het kan.

(Maar goed, dit is geen verschil tussen open en closed source, maar voornamelijk afhankelijk van het inzicht van degene die de bug vindt.)
Zo hij verleent toegang tot de comp vanaf het internet.

Ik denk dat in grafische bedrijven heel veel mensen ook gewoon een netwerkaccount hebben op hun mac en geen root rechten. Dan is het niet best als ze in no time de boel kunnen hacken en wel root kunnen worden.
Niemand heeft "root"-rechten op een mac, root is standaard uitgeschakeld. Admin-taken gebeuren via sudo.

Ik denk dat wer weinig grafische bedrijven enkel netwerktoegang hebben tot een machine. Een directory-structuur (LDAP b.v.) wel, maar die staat dan centraal en niet op de mac zelf (laat staan dat je daar je eigen account zou op mogen aanmaken).
Waar kan ik de comments van gwerdna lezen?

Vind het trouwens beetje dubieus verhaal, mischien een hoax?
Waar kan ik de comments van gwerdna lezen?
Die zijn er niet. Heb wel ergens in de commentaren gelezen dat het zou gaan om een lek dat al maanden geleden door Apple gepatcht is. Verder is het onduidelijk welke versie van OSX het betreft. Ook staat nergens dat een Macgebruiker vrijwel nooit zijn root-account gebruikt, maar altijd zijn admin-account. Alleen laatstgenoemde account geeft de mogelijkheden programma's te installeren.
Ik heb geen flauw idee hoeveel hotfixes er voor Mac OSX uitkomen per maand, maar als je het met Windows Xp vergelijkt zal het vast niet zoveel zijn?

Lijkt me dan ook niet zo interessant dat het binnen 30 minuten gehacked is, er moet gewoon maar net 1 iemand zijn die een unknown exploit weer en kan gebruiken.

Dit kan natuurlijk op elk OS, of het nou OSX/WinXP/*nix is of iets anders,.. BeOS :P
In elk OS zitten zat unknown exploits.
Zes uur later was de 'rm-my-mac'-wedstrijd afgelopen toen een individu dat naar de schuilnaam gwerdna luistert zich toegang tot het systeem kon verschaffen
Schuilnaam? Is 'ie aan het onderduiken? Bedoeld wordt bijnaam, internetnaam oftwel 'nickname', neem ik aan...
Zo zie je maar, (zoals ook in het artikel is vermeld)
Zodra je populair wordt, wordt je een steeds groter doelwit.

Met deze wedstrijd is maar weer eens bewezen dat de mensen die de hele tijd lopen op te scheppen over Mac het gewoon fout hebben.
De meeste zeggen dat het veel veiliger is dan de dure software van 'concurrent' MS... MS heeft gewoon nog een hele stapel security related bugs die ze nog niet opgelost hebben omdat de severity te 'laag' is...

"That said, it doesn't have the market share to really interest most serious bug finders."

Dat maakt je platform zowel veiliger als onveiliger: de bugs worden niet gevonden (om misbruik van te maken) maar ook niet opgelost/gedicht...
DAT is dus gewoon onzin,

apache is bij FAR de meeste gebruikte webserver, wordt apache daardoor kwetsbaarder? nope blijkbaar niet.

MS moet gewoon eens z'n zaakjes op ore gaan brengen. ze verdienen bij MS miljarden per jaar aan windows, maar om ook maar een beetje vielig te zitten moet je wel voor minstens 100 euro aan extra beveiligings software kopen. puur omdat MS je niet helpt.

FUD noemen we jouw post.
apache is bij FAR de meeste gebruikte webserver, wordt apache daardoor kwetsbaarder? nope blijkbaar niet.

MS moet gewoon eens z'n zaakjes op ore gaan brengen. ze verdienen bij MS miljarden per jaar aan windows, maar om ook maar een beetje vielig te zitten moet je wel voor minstens 100 euro aan extra beveiligings software kopen. puur omdat MS je niet helpt.

FUD noemen we jouw post.
Feit is dat Apache meer bugs heeft dan IIS:

- Apache 2.0 (28 bugs van 2003-2006):
http://secunia.com/product/73/

- IIS 6.0 (2 bugs van 2003-2006)
http://secunia.com/product/1438/

Daarnaast worden Apache servers ook nog eens meer gehacked. Dus het argument was toch niet zo FUD als jij beweert: http://www.zone-h.org/en/stats

Het ziet ernaar uit dat niet MS maar Apache zijn zaakjes op orde moet brengen...
Het is ook maar net hoe je apache configureert en welke modules je er allemaal inhangt. Apache zonder modules kan niet veel meer dan statische content serveren, je hebt dingen als PHP nodig. IIS heeft standaard al een ASP parser ingebouwd zitten.

Verder kan je kijken naar het aantal "hacks" van apache tov IIS die veel hoger ligt, maar let daarbij wel op dat PHP een heel erg makkelijke taal is die door elke kleuter begrepen wordt. Kleuters maken nou eenmaal brakke code -> lekke apache. Hoevaak ik wel niet op een produktieserver met 350 VHosts zie dat er eentje loopt te spammen via een lek mailscript of iemand die gedefaced is omdat ie PHP code injection toestond... Allemaal scriptbugs, heeft niets met apache te maken. Geef die kleuters ASP en ze maken van IIS net zo'n grote rotzooi.
Zoals altijd staat of valt de beveiliging met de systeembeheerder. Als je als systeembeheerder de gebruiker rechten geeft om gevaarlijk spul te installeren, krijg je problemen, ongeacht het OS.

Oftwel : PEBKAC
Apache is net zo veel gebruikt omdat het zo goed is...

Het punt is dat veel Apple-aanhangers OSX zo veel hoger inschatten, maar dat het eigenlijk niet zo veel beter is dan Windows, moest OSX populaireder worden, zouden er wel degelijk virussen, malware,... voor uitkomen

Een OS patch je niet op een paar maand en Windows XP sp2 is dus een stap in de goede richting, maar Vista zal toch echt beter moeten zijn wil MS het publiek niet verliezen denk ik
Een OS patch je niet op een paar maand en Windows XP sp2 is dus een stap in de goede richting, maar Vista zal toch echt beter moeten zijn wil MS het publiek niet verliezen denk ik
Ongeacht hoe Windows Vista word zie ik MS nog niet van het toneel verdwijnen. Bijna alle programma's zijn met Windows (XP) compatible en dat valt absoluut niet te zeggen van Linux, Mac's OS X of wat dan ook. Tenzij je met Linux gaat wijzen om allemaal emulatoren die het dan wel weer mogelijk maken, maar dat is ook weer zo schuin..
Gaat het hier om XP dan?Leek mij duidelijk genoeg dat het een wedstrijd betrof om een mac mini te cracken/hacken en nog begin je over XP?
beetje doelloos imho

Was reactie op G-bird
30 minuten door een ervaren hacker vind ik wel meevallen. Een nieuw geinstalleerde XP machine was toch binnen 10 minuten gehackt zonder dat er een hacker aan te pas kwam als hij nieuw in geinstalleerd en aan het internet hing? Weet niet of dit ook bij SP2 is.
Gehackt zonder dat er een hacker aan te pas kwam?
daar word mee bedoelt dat de PC een worm kreeg via internet en daardoor gelijk onderdeel was geworden van een botnet.
het ging wel degelijk over Win XP zonder SP2
Je haalt nu iets verschrikkelijk door elkaar ;)

Het bericht wat jij noemt is een jaar oud. Er was onderzocht hoelang het duurt voordat een ongepatchde en onbeveiligde Windows XP (zonder SP) geinfecteerd zou worden door een worm. Na de tests bleek deze tijd op 10 minuten te liggen.
Maargoed, iedereen die z'n security een beetje serieus neemt zal niet snel een totaal ongepatchde en onbeveiligde doos online hangen. Ik neem aan de Mac in dit nieuwsbericht wel eerst is gepatched en beveiligd.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True