Beveiliging Asus EEE PC ondanks Linux niet waterdicht
De Asus EEE PC moet de nieuwe revolutie op mobiel PC gebied worden, maar volgens onderzoekers is de beveiliging van de machine, ondanks het gebruik van Linux, niet helemaal waterdicht. De EEE is een 7" mini-laptop die 900 gram weegt en waarvan Asus er volgend jaar 3 miljoen denkt te verkopen. Als besturingssysteem is gekozen voor het op Debian gebaseerde XandrOS. Beveiligingsonderzoeker Pedro Bueno wist een exemplaar in handen te krijgen en ging op onderzoek uit.
Hij ontdekte dat het mogelijk is om een console te krijgen, waardoor iedereen het root wachtwoord kan wijzigen. Verder bleken poorten 111, 139 en 445 open te staan, waarvan de laatste twee voor het draaien van Samba worden gebruikt. Het grootste probleem met de EEE is de hoeveelheid informatie die de machine prijsgeeft. via smbclient is aardig wat informatie op te vragen, zoals shares, server en werkgroep namen en andere gegevens.
"Ik zeg niet dat het draaien van deze services ervoor zorgt dat je gehackt wordt, voor zover ik weet zijn er geen recente lekken in aanwezig, maar ze geven teveel informatie weg. Dit is slechts één voorbeeld van hoe nieuwe gadgets ons kunnen blootstellen. Nieuwe smartphones, zowel op Linux als Windows gebaseerd kunnen je gegevens blootstellen, en aangezien we ze gebruiken voor het opslaan van persoonlijke informatie, moeten we paranoïde over de aanwezige beveiligingsmaatregelen zijn, tenminste, dat ben ik wel :)."
Samba wilt gebruiken.
krijgen, waardoor iedereen het root wachtwoord kan wijzigen.
Wat een ontdekking!
Hij gebruikte de opdracht sudo bash, waardoor een
shell gestart wordt als root.
Alleen, als er een root-wachtwoord is ingesteld, vraagt sudo
daar netjes om.
Het root-wachtwoord was dus niet ingesteld.
Het systeem moet daar eigenlijk om vragen bij de eerste
start. Het komt vaker voor dat gebruikers dit vergeten :)
iemand fysiek toegang heeft tot je laptop. Een gemiddelde
Windows gebruiker die nog nooit linux gebruikt heeft, zal
niet weten hoe dit moet.
Hij gebruikte de opdracht sudo bash, waardoor een
shell gestart wordt als root.
Alleen, als er een root-wachtwoord is ingesteld, vraagt sudo
daar netjes om.
FYI, sudo gebruikt niet het wachtwoord van de account waar
je naar toe wilt (in dit geval root), maar van het account
van de persoon die het uitvoert.
Ook al zou er een rootwachtwoord op staan, daar zal nooit om
gevraagd worden als je sudo gebruikt.
En wanneer moet je je hierom zorgen gaan maken? Pas als
iemand fysiek toegang heeft tot je laptop. Een gemiddelde
Windows gebruiker die nog nooit linux gebruikt heeft, zal
niet weten hoe dit moet.
Gewoon Windows XP met SP2 installeren
Pindakaas komt niet uit Nederland..........
http://eeepc.asus.com/en/news10192007.htm
waar je naar toe wilt (in dit geval root), maar van het
account van de persoon die het uitvoert.
dan vraagt-ie me niet om mijn eigen wachtwoord maar dat van
de superuser (vandaar su-do).
[quot]Ook al zou er een rootwachtwoord op staan, daar zal
nooit om gevraagd worden als je sudo gebruikt.[/quote]Nogmaals, sudo dient om iets als super user te doen. Hoe je
dat doet met een ander wachtwoord dan dat van de super user,
is mij niet helemaal duidelijk.
Hij gebruikte de opdracht sudo bash, waardoor een
shell gestart wordt als root.
Alleen, als er een root-wachtwoord is ingesteld, vraagt sudo
daar netjes om.
FYI, sudo gebruikt niet het wachtwoord van de account waar
je naar toe wilt (in dit geval root), maar van het account
van de persoon die het uitvoert.
Ook al zou er een rootwachtwoord op staan, daar zal nooit om
gevraagd worden als je sudo gebruikt.
Je kunt wel degelijk een sudo password gebruiken als je dat
instelt, tevens kun je als je root bent, inderdaad het
wachtwoord veranderen zonder verifiering van het oude
wachtwoord...
Ik vraag me trouwens af wat er gebeurd als je 'm in single
user mode boot.....
hetzelfde als met elke distro..???
en ja dan kan je root password wijzigen.
de gedachte daar achter is dat als iemand fysiek toegang
heeft tot je pc dan heeft het weinig zin om om een
wachtwoord te hebben.. immers iemand kan de hd er even uit
halen en gewoon uitlezen met een andere pc..
als je dat wil voorkomen kan je beter de boel encrypten.
dan kan je nog steeds in single user mode inloggen maar zal
je toch eerst je wachtwoord moeten geven aan cryptsetup.
Ik vraag me trouwens af wat er gebeurd als je 'm in single user mode boot.....
hetzelfde als met elke distro..???
en ja dan kan je root password wijzigen.
http://en.wikipedia.org/wiki/Sudo
Beveiliging Asus EEE PC ondanks Linux niet waterdicht
end qoute:
water is voor geen enkele pc goed.
persoonlijke gegevens interessant zou vinden....
groet,
T.
Dat een gebruiker eerst een wachtwoord moet instellen lijkt
me volkomen logisch. Dat is dus geen tekortkoming van de eee.
Poorten die open staan zeggen niks over de veiligheid.
(behalve als er exploits voor zijn natuurlijk). In het
artikel wordt het gebracht als 'er staan poorten open dus
het is onveilg' . Dat is dus niet waar.
Stemmingmakerij imho.
Daarbij is het geen 'gadget' maar gewoon een volledige
laptop, maar op kleiner formaat.
'sudo bash' doe, dan vraagt-ie me niet om mijn eigen
wachtwoord maar dat van de superuser (vandaar su-do).
Ik weet niet wat voor rare distro jij gebruikt maar sudo
vraagt om het wachtwoord van de gebruiker die sudo uitvoert
niet die van root. Sudo is er juist voor om iemand meer
rechten te geven zonder het root wachtwoord prijs te
geven.
Je hebt gelijk inderdaad.
Excuus! :)
Alsof linux inherent waterdichte beveiliging zou leveren, en alsof
beveiliging ook niet afhankelijk is van de distributie, de configuratie, het
bijhouden van updates, van applicaties die boven op het OS draaien en ga
zo maar door.
Ik snap dus niet waarom er staat "ondanks linux", alsof het gebruik van
linux dergelijke verwachtingen wel zou scheppen ?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
