Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 49 reacties
Bron: VNUnet, submitter: mneur

De wedstrijd 'Mac-hacken' die een Zweed onlangs uitschreef, was wel erg snel afgelopen: de winnaar zou niet meer dan een half uurtje nodig hebben gehad. Dave Schroeder, systeembeheerder van de University of Wisconsin, was echter van mening dat de bewuste hack helemaal geen 'echte' hack was, omdat de gebruikte methode toegang tot een werkend account op de gekraakte machine vereiste. Een systeem waar een hacker officieel geen toegang toe heeft zou aanzienlijk moeilijker te kraken zijn, dacht Schroeder, en hij schreef zelf een nieuwe wedstrijd uit. Hiermee hoopte hij twee vliegen in een klap te slaan: een succesvolle hack zou Apple helpen bij de verdere beveiliging van het besturingssysteem, en de 'misleidende' publiciteit die de Zweed veroorzaakte kon worden genuanceerd.

Van binnenuit aangevallen Appel 'OS X is niet onkwetsbaar, en het besturingssysteem vertoont fouten, net als alle concurrenten. Dankzij het ontwerp, de architectuur en natuurlijk ook de controle van nogal wat functionaliteit door de opensourcegemeenschap is het echter wel degelijk erg veilig', aldus Schroeder. Helaas is de wedstrijd ondertussen alweer voorbij. Vanochtend heeft de sysadmin de wedstrijd na 38 uur beëindigd, drie dagen eerder dan gepland. Een reden werd niet gegeven, maar volgens de sysadmin zijn er 'tijdens de test' geen succesvolle inbrekers gesignaleerd. Wel werd tot 30Mbps aan verkeer gemeten, wat ongetwijfeld niet alleen verband hield met de twee denial of service-aanvallen die (tevergeefs) werden uitgevoerd, maar ook met vermelding van het verhaal op Slashdot. Ondanks de weinig wetenschappelijke opzet is volgens Schroeder nu in elk geval duidelijk dat een Apple voor een buitenstaander aanzienlijk moeilijker te hacken is dan voor iemand die toch al legale toegang tot een machine heeft.

Moderatie-faq Wijzig weergave

Reacties (49)

Uiteindelijk is een wedstrijd sowieso geen goede manier om de veiligheid van een systeem aan te tonen, aldus Bruce Schneier, die in een nieuwsbrief eens heeft geschreven:
You see them all the time: "Company X offers $1,000,000 to anyone who can break through their firewall/crack their algorithm/make a fraudulent transaction using their protocol/do whatever." These are cracking contests, and they're supposed to show how strong and secure the target of the contests are. The logic goes something like this: We offered a prize to break the target, and no one did. This means that the target is secure.

It doesn't.

Contests are a terrible way to demonstrate security. A product/system/protocol/algorithm that has survived a contest unbroken is not obviously more trustworthy than one that has not been the subject of a contest. The best products/systems/protocols/algorithms available today have not been the subjects of any contests, and probably never will be. Contests generally don't produce useful data.
Met bovenstaande in gedachte, kunnen we stellen dat zowel de 1e en 2e test niet bruikbaar zijn om aan te tonen hoe veilig/onveilig Mac OS X is. Wat we wel kunnen zeggen is dat Mac OS X 'out-of-the-box' veiliger is als Windows, door o.a. het rechtensysteem, geen onnodige poorten open, etc.. Geen wonder dat Microsoft in Vista een min of meer zelfde rechtensysteem zal implementeren. Vergeet namelijk niet dat bij de eerste test een SSH poort geopend was en een gebruikersaccount gemaakt, waardoor de "hacker" al in het systeem zat. Bij normaal gebruik zal dit nooit voorkomen. Op Slashdot werd de eerste test dan ook door iemand als volgt omschreven: "It's more like locking someone in your basement and they figure out how to gain access to your whole house."

Ben je toch para wat betreft security, lees dan de volgende informatie door:
* Corsaire - Securing Mac OS X Tiger
* NSA - Mac OS X Security Configuration Guide
* Apple - Common Criteria configuration guide
Een contest die een winnaar oplevert doordat er een exploit blijkt te zijn levert info op.

Een contest die serieus door veel goede hackers wordt aangepakt (bv. welke key nog voldoende is voor RSA-encryptie) is wel degelijk nuttig. Gebruik standaard 2 x de langste key die gebroken is en het zit behoorlijk goed.

Een wiskundig bewezen goed systeem (bv. aantoonbaar gebaseerd op semi-NP-volledige problemen zoals RSA) is natuurlijk het beste.
Wat we wel kunnen zeggen is dat Mac OS X 'out-of-the-box' veiliger is als Windows, door o.a. het rechtensysteem, geen onnodige poorten open, etc..
Ook dat kun je niet zeggen. Een out of the box install van OS X 10.4.5 is bijvoorbeeld niet veilig aangezien daar bekende lekken in zitten. Ook een OS X setup zul je dus moeten tunen en voorzien van de laatste fixpacks.

Dus: veiligheid Windows Out of the box 0, Mac Out of the Box 0. 0=0 Beide zijn onveilig. (Linux Out of the box trouwens ook)

En het is trouwens helemaal niet vreemd dat mensen op computers beperkte rechten hebben. Eigenlijk volkomen normaal in het bedrijfsleven. Soms willen deze mensen echter meer en hacken ze de systemen. Dit is zelfs een groter probleem dan de externe hackers.

Dus dat een legale user zich illegaal kan promoveren tot root is wel degelijk een ongewenste situatie die zich zeer regelmatig voordoet. De kritiek op de eerste wedstrijd geeft dan ook vooral het gebrek aan kennis van de critici aan. :)
ontwikkelingen op OS gebied maken systemen steeds veiliger. De zo vaak gemaakte vergelijking tussen windows en specifiek voor netwerkgebruik geschreven OS'sen gaat meestal flink mank omdat men blijft voortborduren op de zwakheden van windows 95 en opvolgers.
Sinds Windows 2000 is stabliteit geen issue meer en ook beveiliging is prima als je weet wat je doet. Door toenamen in ervaring en kennis zie je dat steeds vaker het uitgangspunt "alles dicht behalve wat open moet" gehanteerd wordt. OSX en alle Unix varianten hebben als kracht dat ze van oorsprong ontwikkeld waren voor netwerkgebruik en dus ook een degelijk rechtensysteem hebben. Dat maakt een dergelijk systeem in principe veiliger dan de windows 9X benadering. Vanaf het moment dat er specifiek netwerkfunctionaliteit geimplementeerd werd heeft windows die achterstand snel weten in te halen. Vista bouwt voort op die ontwikkeling en dat heeft niets te maken met ontwikkelingen vanuit Apple zoals men hier graag wil suggereren.
De fout die Applefans maken is dat ze denken een veilig systeem te hebben. Het vasthouden aan die illussie is erg gevaarlijk. Op dat gebied zijn Windows gebruikers een stuk bewuster bezig, al was dat uit noodzaak.
Apple is dus beslist niet veiliger dan welk ander systeem dan ook. Echte veiligheid begint bij de gebruiker en het bewustzijn veilig te werken. Hoe veilig je huis ook is als de sleutel onder de deurmat ligt kom je zo binnen.
Dus afdwingen van sterke wachtwoorden ( standaard policy bij Windows Active directory die goed geinstallerd is) is dus absolute noodzaak, dat zal OSX ook ondersteunen . Ook two way authentication zou gangbaar moeten worden.
Uiteindelijk is ieder systeem te hacken en heeft IEDER systeem gaten die vroeg of laat gevonden worden. Bewustzijn daarvan is een essentieel onderdeel van verantwoord gebruik van computers.
Wat men vergeet is dat Mac OS X gebasseerd is op een BSD Unix variant die vanaf de grond af gebouwd is met security als doel. Dit zie je terug in de volledige architectuur van Mac OS X. Dit in tegenstelling tot Windows.

Je kan en zal altijd bugs/gaten in je beveiliging hebben op elk computer systeem. Echter persoonlijk heb ik veel meer vertrouwen in een systeem dat vanaf het begin is gebouwd met security in het achterhoofd. Dit en omdat ik de security details van beide besturingssytemen zeer goed ken, doet mij geloven dat het aantal security risks en (heel belangrijk) de severity van deze risks op een Windows systeem altijd veel groter zullen zijn. Tenzij Windows compleet opnieuw wordt geschreven met een compleet andere filosofie. Een zeer groot probleem bij Windows (afgezien van de buitensporige hoeveelheid bugs en security issues etc.) is de security filosofie van Microsoft.

ps.
Persoonlijk hou ik er trouwens helemaal niet van stellingen als Mac OS X is veiliger dan Windows etc. Als security consultant (geef het maar een naam) praat ik altijd over risico's. Ik zou (zoals ik zojuist heb gedaan) het altijd hebben over het aantal en de severity risks op een systeem. Veiliger is te subjectief.
BSD is niet van de grond af opgebouwd voor security (Open BSD dan weer wel) BSD is oorspronkelijk bedoeld om copyrighted Unix code te vervangen door code die vrij gebruikt mocht worden. Meer niet.

In principe heeft Windows dezelfde features als de unixen. Echter, de neiging om iedereen maar administratorrechten te geven én dat van alles en nog wat standaard te installeren maakt Windows kwetsbaar. Maar een goed opgezet Windows netwerk is net zo (on)veilig als een unix gebaseerd netwerk. De nieuwigheden van Vista zorgen ervoor dat de veiligheidsfeatures van Windows handiger te gebruiken worden en lossen problemen met bepaalde software op. En meer eigenlijk niet.
severity is ook subjectief.. maar dat terzijde.

Je gaat veel te kort door de bocht en vergeet naar mijn mening dat het aantal gebruikers van Mac OS niet in verhouding staat tot die van Windows.

Ik weet dat het een oud argument is, maar daarom niet minder belangrijk: Als er een grotere markt is, is het interessanter om te hacken.. en dus wordt er vaker een fout ontdekt.

De laatste tijd zien we een toename in gebruik van Mac OS, mede gedragen door successen van Apple op andere vlakken en we zien dan ook dat het aantal bugs/lekken toeneemt. Dat is toch op z'n minst curieus te noemen.

Ook niet onbelangrijk is dat Vista wel degelijk met een grote dosis security in het achterhoofd gebouwd is/wordt.
Apple gebruikers houden zich niet vast aan een illusie maar aan een realiteit. Zo'n realiteit houdt bvb in dat een virus zijn overlevingskansen groeien met het percentage marktaandeel van het OS waar voor zij geschreven zijn. Stuur maar ééns een mac virus per mail uit. Met een beetje geluk is het virus nog niet uitgestorven nadat het de eerste keer verstuurd is.

Al horen maccers het niet graag het marktaandeel van windows speelt in hun voordeel. Maccers kunnen op beiden oren slapen want 50% marktaandeel zal niet voor de eerste 5 jaar zijn dus al dat security gezeik ook al niet.
Hoe wou zo'n virus zich gaan verspreiden dan? Het is niet zoals bij Windows dantzo'n wormpje zomaar even gebruik kan maken van zijn eigen SMTP, hiervoor moet hij toch echt geautoriseerd worden door de gebruiker. Iets heeft niet zomaar Administrator rechten op de Mac hoor, zoals bij het huidige Windows.
Weet ik dat nu hoe zo'n worm dat zou doen. Ik gebruik een Mac dus totaal geen ervaring met Virussen en al dat soort gedoe. Maar moest het kunnen dan staat zo'n ding nog steeds voor het probleem dat ik net aanhaalde.
Tja, daarom is juist het mogelijke issue van een lek waaarbij je de rechten kan verhogen zo'n belangrijk issue.

Een virus kan dan dus mogelijk zichzelf met een verhoogd privilege installeren en eventueel zelfs de administrator account wijzigen zodanig dat de gebruikers deze niet mee kan gebruiken om het virus te verwijderen.

Een privilege verhogend lek is echt een superriskant lek als een virus er gebruik van zou kunnen maken.
Een mac kan ook gewoon een attachment met een windows virus doorsturen. Maak een hybride virusmail en het komt helemaal goed.
Daarnaast gaan updates aan het mailprogramma op de mac gelijktijdig met die van het OS. Dat maakt het makkelijker om de verspreiding aan te pakken.
Dus eigenlijk kun je het volgende wel zeggen..
Als je op een unie een werkende account hebt, dan kun je alle Macs die er zijn waar jou account op werkt hacken doormiddel van de unpubliced exploit van die Zweed.

Mijn menig: Dus eigelijk is het nog steeds onveilig.
Ook leuk in een Mac Shared hosting omgeving, Not!
Mijn menig: Dus eigelijk is het nog steeds onveilig.
Ook leuk in een Mac Shared hosting omgeving, Not!
Dat geldt niet alleen voor MacOS maar ook voor andere OSs.
Ik mag hopen van niet voor XS4all
telnet:shell.xs4all.nl
en dan met mijn account inloggen.. dan kan ik alles doen (shell account) maar kan niet de server overnemen
Ik zou het wel proberen.
Dat is namelijk al zo. Uit de algemene voorwaarden van XS4all:
4.4 Onverminderd het in artikel 4.3 gestelde is het klanten toegestaan het systeem van XS4ALL te hacken.De klant die als eerste erin slaagt een positie te verwerven gelijk aan de systeembeheerder van XS4ALL, krijgt van XS4ALL zes maanden gratis gebruik van het systeem aangeboden, onder voorwaarde dat de desbetreffende klant uitlegt op welke wijze hij of zij geslaagd is in het hacken, hij of zij geen schade heeft toegebracht aan het systeem en aan andere klanten en hij of zij de privacy van andere klanten heeft gerespecteerd. Iedere klant geeft bij deze toestemming aan andere klanten onder voornoemde voorwaarden tetrachten het systeem te hacken.
http://www.xs4all.nl/over...arden/index.php?taal=nl#6
Jij misschien niet, iemand anders misschien wel.....
I wouldn't try it...

xs4all heeft een goede team admins... wellicht zou xs4all wel publiciteit krijgen als ze een bakkie opzetten als honeypot met een belonging voor de hacker die zijn exploit aan hun openbaart..
telnet:shell.xs4all.nl
Telnet?
Draait Xs4all een telnet server? :'(
En hoe wil je dat doen, als de exploit unpublished is?
Beetje jammer dat die test nu al beëindigd is; als die Schroeder écht overtuigd was geweest van zijn gelijk, zou hij de test wel door hebben laten gaan. Nu heb je natuurlijk nog steeds geen 'bewijs'...
Wel werd tot 30Mbps aan verkeer gemeten, wat ongetwijfeld niet alleen verband hield met de twee denial of service-aanvallen die (tevergeefs) werden uitgevoerd,
30 / 8 * 3600 * 36 = 486000MB is dus bijna een 0,5TB.
Dataverkeer is ook niet gratis, dus kan het wel begrijpen dat hij de wedstrijd stop heeft gezet ;)
tot 30Mbps, maw maximaal. er zal heus niet constant zo'n traffic gegenereerd worden. en een unif heeft echt wel voldoende bandbreedte hoor
Dat was natuurlijk niet full-time (wat dasiro ook zegt)
Bovendien wéét je dat wanneer je die test bekend maakt!
Deze test zegt dan ook helemaal niks, en je kunt hem beter beschouwen als niet bestaand.

Voor hetzelfde geld waren er hackers die dachtten "laten we morgen beginnen, we hebben toch nog een paar dagen de tijd".
Voor hetzelfde geld waren er hackers die dachtten "laten we morgen beginnen, we hebben toch nog een paar dagen de tijd".
met zulke hackers winnen we de oorlog niet dus dat maakt niet uit :*)
In hoeverre is het mogelijk om in OS X sterke wachtwoorden af te dwingen? En account lock-out?

In een productie omgeving met onwetende gebruikers heb je natuurlijk altijd mensen met een simpel te raden wachtwoord, daar vanuit kan je dan weer lekker verder werken.

Beveiliging begint bij de gebruikers van het systeem, niet van bij het systeem zelf.
Dat is natuurlijk de taak van de systeembeheerder. Maar je krijg wel hulp van de Password Assistant: http://www.apple.com/macosx/tips/password13.html
Vind het flauw op te zeggen dat een groter marktaandeel van een bepaald OS te maken heeft met het aantal virussen dat op dat OS verkrijgbaar is. Vroeger had je op de Commodore Amiga toch een flinke hoeveelheid aan virussen rondzwerven. Zonder internet notabene... Had alles te maken met het feit dat tijdens de grote illegale computerbijeenkomsten iedereen van elkaar massaal floppies copieerde en soms wel eens vergat het write-protect schuifje van het origineel goed te zetten. Het aantal virussen hangt volgens mij nog steeds af van het gemak waarmee een OS besmet kan worden.
Vroeger had je op de Commodore Amiga toch een flinke hoeveelheid aan virussen rondzwerven.
De Amiga was dan ook populair in die tijd. En "die tijd" was de tijd dat de computer nog veel meer een enthusiastenproduct was, in plaats van het gebruiksvoorwerp dat het nu is. Relatief gezien meer freaks om virussen te schrijven en ze op te lopen dan het marktaandeel zou doen vermoeden, dus.

Het aantal virussen hangt volgens mij nog steeds af van het gemak waarmee een OS besmet kan worden.
Ja, en Windows is door zijn enorme populariteit en uniformiteit toevallig makkelijk te besmetten, omdat exploits makkelijk uit te buiten zijn. Dat en het welbekende probleem dat het Windows-gebruikers gewoon te makkelijk wordt gemaakt impliciet rechten uit te delen die programma's niet nodig hebben. This very moment zit ik als admin ingelogd op mijn Windows-bak te tikken. Denk maar niet dat ik op Unix als root ingelogd zou zijn.

Om terug te komen op je oorspronkelijke opmerking: het marktaandeel heeft wel degelijk "te maken" met het aantal virussen. Het is alleen niet de enige factor.
ga ik volledig mee akkoord. marktaandeel heeft niets te maken met het aantal virussen.
In de VS heeft mac een aandeel van 50procent in scholen/universiteiten. Dus dit zou toch wel een 'interessante' markt zijn voor virusschrijvers. WE spreken hier toch ook over tientallen miljoenen computers...

Mac os X zit gewoon goed in elkaar, hoe je het nu draait of keert.
Er zijn andere vormen van hacken -beter gezegd kraken- zoals DNS vervalsing, buiten het systeem om de gebruiker andere sites laten zien dan die werkelijk opgevraagd zijn.
Een systeem waar een hacker officieel geen toegang toe heeft zou aanzienlijk moeilijker te kraken zijn, dacht Schroeder
Arbitrary code execution als lokale user is erg makkelijk te bereiken doorgaans... gestolen wachtwoord, fout in cgi scriptje, buffer overflow in elk willekeurig serverproces, etc. En daarna kan je op dezelfde manier root worden als deze jongen heeft gedaan.

Er vanuit gaan dat het niet lukt om eigen code uit te voeren op een systeem zonder dat je een account hebt is erg dom. Je moet er juist voor zorgen dat je met een lokaal gelimiteerd account nog steeds niets kunt, anders is het alleen maar een extra obstakel voor de hacker.
Dave Schroeder, systeembeheerder van de University of Wisconsin, was echter van mening dat de bewuste hack helemaal geen 'echte' hack was, omdat de gebruikte methode toegang tot een werkend account op de gekraakte machine vereiste.
Sorry hoor, maar dat vind ik wel wat erg naief. Als een gebruiker met standaarrd user rechten zich door middel van een hack administrator rechten kan verwerven dan vind ik dat een serieuze bug. Niet om de minste plaats omdat dat betekent dat een virus/worm het in principe dan ook kan, met alle gevolgen van dien.
@ plaatje: Een worm met armen??? ;). Dat moet wel een 1337 wormpje zijn.

dit zal wel weggemod worden }>

edit: Lijkt me moeilijk maar niet onmogelijk, HH in mond doen, de lucht instuwen en in basketbal beweging met de staart:? (of hoe dat mag heten) weg slaan
Hoe moet die anders een Holy Handgrenade gooien? Leg me dat eens uit? :+

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True