Root-lek in Mac OS X door resetten van datum
Een kwetsbaarheid in Mac OS X maakt het mogelijk voor een aanvaller om roottoegang te krijgen door het aanpassen van de datum, hoewel er een aantal andere voorwaarden zijn vereist om de aanval te laten slagen. Het lek werd vijf maanden geleden gerapporteerd en is nog altijd niet in Mac OS X gepatcht. Het probleem bevindt zich in het programma Sudo, waarmee systeembeheerders aan bepaalde gebruikers of gebruikersgroepen rechten kunnen geven.
Voor het uitvoeren van het programma is echter een wachtwoord vereist. Door het Sudo commando aan te roepen en vervolgens de datum naar 1 januari 1970 te resetten, is het mogelijk om zonder wachtwoord toch rootrechten te krijgen. 1 januari 1970 staat ook bekend als Unix time en is de begindatum die het besturingssysteem gebruikt om te tellen.
Voorwaarden
Het probleem is ook in veel Linuxdistributies aanwezig, maar in de meeste gevallen is er een rootwachtwoord nodig om de datum te resetten. In het geval van Mac OS X is er geen wachtwoord vereist. Wel moet er aan verschillende andere voorwaarden worden voldaan.
Zo moet de eindgebruiker die is ingelogd al over adminrechten beschikken. Daarnaast moet de gebruiker al een keer in het verleden sudo hebben uitgevoerd en als laatste moet de aanvaller toegang tot het systeem hebben, wat zowel fysiek als via een remote shell kan.
Serieus probleem
Ondanks deze voorwaarden is het een serieus probleem, aldus beveiligingsexpert H.D. Moore. Elke aanval op het gebruikersniveau kan ervoor zorgen dat een aanvaller root wordt en zo toegang tot wachtwoorden en andere informatie krijgt, waarmee het mogelijk is om een permanente rootkit te installeren.
"Ik vind dat Apple dit serieuzer moet nemen, maar ik ben niet door hun trage reactie verrast, gezien de geschiedenis die ze hebben met het reageren op kwetsbaarheden in open source tools die ze leveren", aldus Moore tegenover Ars Technica. Een exploit voor het beveiligingslek is inmiddels aan de populaire hackertoolkit Metasploit toegevoegd, wat misbruik eenvoudiger zou maken. De exploit is getest op Mac OS 10.7 tot en met de laatste versie 10.8.4.
Reacties (15)
Het probleem is ook in veel Linuxdistributies aanwezig
Dat Apple het lek niet fixt, tot daar aan toe. Ik ben het ondertussen al wel gewoon dat grote bedrijven schijt hebben aan security updates (bv Oracle met Java). Maar waarom heeft de Linux-gemeenschap na 5 maanden nog steeds geen patch voor het probleem??
Zag net het item op Webwereld en hoopte eerlijk gezegd dat security nl dit niet zou oppikken.
't is zo dom dat ik geen eens zin heb om uit te leggen waarom dit een onwaarschijnlijk overbodig non issue media-aandachtrekkerij-nieuwsbericht is.
Tjongejongejonge
't is zo dom dat ik geen eens zin heb om uit te leggen waarom dit een onwaarschijnlijk overbodig non issue media-aandachtrekkerij-nieuwsbericht is.
Tjongejongejonge
29-08-2013, 18:31 door
Briolet
De exploit is getest op Mac OS 10.7 tot en met de laatste versie 10.8.4.
OS 10.6 gebruikt een oudere sudo versie dan deze systemen, maar nog steeds een versie waar deze sudo bug in zit. Die zal er dus ook vatbaar voor zijn.1-1-1970.00:00:00 (UTC) is de Unix Epoch, niet Unix time. Unix time is de signed integer die het aantal seconden weergeeft ten opzichte van Epoch.
Door Anoniem:
Dat Apple het lek niet fixt, tot daar aan toe. Ik ben het ondertussen al wel gewoon dat grote bedrijven schijt hebben aan security updates (bv Oracle met Java). Maar waarom heeft de Linux-gemeenschap na 5 maanden nog steeds geen patch voor het probleem??
Het is al lang gepatched en zit al in de officiële package sinds 27-02-2013...Het probleem is ook in veel Linuxdistributies aanwezig
Dat Apple het lek niet fixt, tot daar aan toe. Ik ben het ondertussen al wel gewoon dat grote bedrijven schijt hebben aan security updates (bv Oracle met Java). Maar waarom heeft de Linux-gemeenschap na 5 maanden nog steeds geen patch voor het probleem??
Ehhh eens kijken, je moet ingelogd zijn, je moet admin rechten hebben, je moet sudo mogen doen, je moet de
klok in mogen stellen, en dan kun je root worden? Poepoe dat is heftig!
Straks vinden ze nog een bug waardoor je root kunt worden als je de disk eruit kunt schroeven. Dat zou helemaal
drama zijn.
klok in mogen stellen, en dan kun je root worden? Poepoe dat is heftig!
Straks vinden ze nog een bug waardoor je root kunt worden als je de disk eruit kunt schroeven. Dat zou helemaal
drama zijn.
De verbijstering nog niet helemaal voorbij (18:17),
en toch maar alsnog kiezend voor de uitleg.
Waarom dit mijns inziens een volkomen non issue is :
In maart stelt een journalist bij Webwereld : "Veel gewone gebruikers die applicaties installeren, doen dat via sudo."
http://webwereld.nl/beveiliging/59473-kloktruc-geeft-rootrechten-op-mac-os-x-en-ubuntu
In alle bescheidenheid en met alle respect denk ik dat dat een constatering is die werkelijk buiten elke redelijke realiteit valt.
In de afgelopen pakweg 24 jaar heb ik dat 1 a 2 keer gedaan (omdat het niet anders kon).
Daarnaast help ik regelmatig mensen met Mac zaken en heb ik het nog nooit hoeven hebben over Sudo. Eerst maar eens duidelijk maken dat je niet standaar onder je admin account moet werken, een wachtwoord wordt eigenlijk altijd wel gebruikt.
Mag ik daarna uitleggen dat dat nog niet veilig genoeg is, eenvoudig te illustreren met een ander werkstationnetje erbij, maar het is in ieder geval al wat.
snelle analyse
1) Gebruik van Sudo geschiedt door ervaren gebruikers (en dat is maar goed ook want het is niet zonder risico, bij voorkeur niet doen als je niet heel goed weet wat je aan het doen bent!).
2) Een ervaren gebruiker zal (mag ik hopen) gebruik maken van een inlog wachtwoord.
3) Een ervaren gebruiker zal (mag ik hopen) gebruik maken van meerdere accounts en werkt zelf ook standaard onder een 'standaard' account (met standaard rechten).
4) In de SysteemVoorkeuren kan je instellen dat voor elk voorkeurpaneel en de wijzigingen daarin een Admin-Wachtwoord dient te worden opgegeven.
5) Gebruik van Sudo dient plaats te vinden onder het admin account, moet je op dat moment als zodanig daarin ingelogd zijn terwijl je in de meeste gevallen ingelogd zal zijn onder een regulier account (waaronder een Sudo opdracht helemaal niet geaccepteerd wordt of in sommige gevallen om een admin wachtwoord vraagt.)
6) Wanneer een gebruiker FileVault protectie heeft ingeschakeld voor haar account zijn die account alleen benaderbaar (te decrypten) als je over het password beschikt.
7) Een ervaren gebruiker zal ook gebruikmaken van password beheer via keychain.
Dat betekent dat je een wachtwoord hebt voor je standaard account, je admin account en kan je ook nog eens een apart wachtwoord per account voor je keychain gebruiken waarbij deze niet automatisch unlocked (gesynced) is bij inlog account, danwel direct weer op slot gaat (die 5 minuten kan je minimaliseren).
En als je je root account al geactiveerd hebt (wat je als het goed is alleen tijdelijk doet) zit daar natuurlijk ook een sterk wachtwoord op.
8) Wanneer je fysieke toegang hebt tot een Mac zijn er diverse andere (al dan niet) eenvoudige manieren om één en ander te resetten of een schijf uit te lezen. Wat ik hier om nette redenen achterwege laat (dat vindt je zelf wel op het net).
Let wel ; Dat werkt niet als je gebruik maakt van FileVault protectie of zelfs een Firmware password hebt ingesteld.
Dan wordt het hardcore kraakwerk denk ik (of phishing).
De voorwaarden en de vereiste combinatie van voorwaarden in het bericht maken het een totaal non issue.
Als je geen wachtwoord gebruikt, heb je waarschijnlijk ook maar één account, namelijk je admin account.
dan kan je van alles installeren zonder gebruik van Sudo (waarom?!) of zelfs het root account activeren (waarom?!)
En ja als je dat alles niet hebt heb je waarschijnlijk ook geen FireWall config en staan je ssl remote port acces en alle bijbehorende (sharing / bonjour) services open waarbij inderdaad dan bijvoorbeeld met de kennis van de naam van je User account danwel via een drive-by download of een java exploit de remote service kan worden geactiveerd en een ander toegang op afstand kan krijgen.
Users die geen wachtwoorden gebruiken zijn over het algemeen leken-users, en die maken geen gebruik van de terminal.app/Sudo-functie, en mocht dat toch voorkomen denk ik (in alle bescheidenheid) dat dat een hoge hoge hoge uitzondering is waarvoor de Mac wereld niet in rep en roer gaat (ook Apple niet).
Serieus probleem?
Ja! -> géén wachtwoorden gebruiken is inderdaad een serieus probleem.
Daar kan alleen niet Apple verantwoordelijk voor gehouden worden maar alleen de gebruiker zelf.
Tot slot begrijp ik best dat je als onderzoeker graag credits wil voor al het werk dat je gedaan hebt en uiteindelijk best een kwetsbaarheid tot een ander misbruik kan leiden. Leg dan je ontdekking op de plank, werk het verder uit of als je per se die credits wil, maak er dan een ander nieuwsbericht van.
Dit slaat echt alles (en dat vond ik in maart eigenlijk al, al was dat artikel op Webwereld wat intrigerender).
Heb ik iets over het hoofd gezien, ik hoor het graag!
(Dacht overigens wel altijd dat de eerste systeemtijd op een Mac iets van april 1976 was, dat is kennelijk niet zo.
Om de toegang op afstand uit te schakelen kan je overigens goed gebruik maken van de tips die in het ns&a pdf-je worden genoemd, uitschakelen van diverse opstart services, lees het zelf maar).
en toch maar alsnog kiezend voor de uitleg.
Waarom dit mijns inziens een volkomen non issue is :
In maart stelt een journalist bij Webwereld : "Veel gewone gebruikers die applicaties installeren, doen dat via sudo."
http://webwereld.nl/beveiliging/59473-kloktruc-geeft-rootrechten-op-mac-os-x-en-ubuntu
In alle bescheidenheid en met alle respect denk ik dat dat een constatering is die werkelijk buiten elke redelijke realiteit valt.
In de afgelopen pakweg 24 jaar heb ik dat 1 a 2 keer gedaan (omdat het niet anders kon).
Daarnaast help ik regelmatig mensen met Mac zaken en heb ik het nog nooit hoeven hebben over Sudo. Eerst maar eens duidelijk maken dat je niet standaar onder je admin account moet werken, een wachtwoord wordt eigenlijk altijd wel gebruikt.
Mag ik daarna uitleggen dat dat nog niet veilig genoeg is, eenvoudig te illustreren met een ander werkstationnetje erbij, maar het is in ieder geval al wat.
snelle analyse
1) Gebruik van Sudo geschiedt door ervaren gebruikers (en dat is maar goed ook want het is niet zonder risico, bij voorkeur niet doen als je niet heel goed weet wat je aan het doen bent!).
2) Een ervaren gebruiker zal (mag ik hopen) gebruik maken van een inlog wachtwoord.
3) Een ervaren gebruiker zal (mag ik hopen) gebruik maken van meerdere accounts en werkt zelf ook standaard onder een 'standaard' account (met standaard rechten).
4) In de SysteemVoorkeuren kan je instellen dat voor elk voorkeurpaneel en de wijzigingen daarin een Admin-Wachtwoord dient te worden opgegeven.
5) Gebruik van Sudo dient plaats te vinden onder het admin account, moet je op dat moment als zodanig daarin ingelogd zijn terwijl je in de meeste gevallen ingelogd zal zijn onder een regulier account (waaronder een Sudo opdracht helemaal niet geaccepteerd wordt of in sommige gevallen om een admin wachtwoord vraagt.)
6) Wanneer een gebruiker FileVault protectie heeft ingeschakeld voor haar account zijn die account alleen benaderbaar (te decrypten) als je over het password beschikt.
7) Een ervaren gebruiker zal ook gebruikmaken van password beheer via keychain.
Dat betekent dat je een wachtwoord hebt voor je standaard account, je admin account en kan je ook nog eens een apart wachtwoord per account voor je keychain gebruiken waarbij deze niet automatisch unlocked (gesynced) is bij inlog account, danwel direct weer op slot gaat (die 5 minuten kan je minimaliseren).
En als je je root account al geactiveerd hebt (wat je als het goed is alleen tijdelijk doet) zit daar natuurlijk ook een sterk wachtwoord op.
8) Wanneer je fysieke toegang hebt tot een Mac zijn er diverse andere (al dan niet) eenvoudige manieren om één en ander te resetten of een schijf uit te lezen. Wat ik hier om nette redenen achterwege laat (dat vindt je zelf wel op het net).
Let wel ; Dat werkt niet als je gebruik maakt van FileVault protectie of zelfs een Firmware password hebt ingesteld.
Dan wordt het hardcore kraakwerk denk ik (of phishing).
De voorwaarden en de vereiste combinatie van voorwaarden in het bericht maken het een totaal non issue.
Als je geen wachtwoord gebruikt, heb je waarschijnlijk ook maar één account, namelijk je admin account.
dan kan je van alles installeren zonder gebruik van Sudo (waarom?!) of zelfs het root account activeren (waarom?!)
En ja als je dat alles niet hebt heb je waarschijnlijk ook geen FireWall config en staan je ssl remote port acces en alle bijbehorende (sharing / bonjour) services open waarbij inderdaad dan bijvoorbeeld met de kennis van de naam van je User account danwel via een drive-by download of een java exploit de remote service kan worden geactiveerd en een ander toegang op afstand kan krijgen.
Users die geen wachtwoorden gebruiken zijn over het algemeen leken-users, en die maken geen gebruik van de terminal.app/Sudo-functie, en mocht dat toch voorkomen denk ik (in alle bescheidenheid) dat dat een hoge hoge hoge uitzondering is waarvoor de Mac wereld niet in rep en roer gaat (ook Apple niet).
Serieus probleem?
Ja! -> géén wachtwoorden gebruiken is inderdaad een serieus probleem.
Daar kan alleen niet Apple verantwoordelijk voor gehouden worden maar alleen de gebruiker zelf.
Tot slot begrijp ik best dat je als onderzoeker graag credits wil voor al het werk dat je gedaan hebt en uiteindelijk best een kwetsbaarheid tot een ander misbruik kan leiden. Leg dan je ontdekking op de plank, werk het verder uit of als je per se die credits wil, maak er dan een ander nieuwsbericht van.
Dit slaat echt alles (en dat vond ik in maart eigenlijk al, al was dat artikel op Webwereld wat intrigerender).
Heb ik iets over het hoofd gezien, ik hoor het graag!
(Dacht overigens wel altijd dat de eerste systeemtijd op een Mac iets van april 1976 was, dat is kennelijk niet zo.
Om de toegang op afstand uit te schakelen kan je overigens goed gebruik maken van de tips die in het ns&a pdf-je worden genoemd, uitschakelen van diverse opstart services, lees het zelf maar).
Misschien lost Apple dit probleem pas op in OSX Mavericks wat geloof ik ergens in Oktober verschijnt.
We zullen zien.
We zullen zien.
Door Anoniem:
Dat Apple het lek niet fixt, tot daar aan toe. Ik ben het ondertussen al wel gewoon dat grote bedrijven schijt hebben aan security updates (bv Oracle met Java). Maar waarom heeft de Linux-gemeenschap na 5 maanden nog steeds geen patch voor het probleem??
Het probleem is ook in veel Linuxdistributies aanwezig
Dat Apple het lek niet fixt, tot daar aan toe. Ik ben het ondertussen al wel gewoon dat grote bedrijven schijt hebben aan security updates (bv Oracle met Java). Maar waarom heeft de Linux-gemeenschap na 5 maanden nog steeds geen patch voor het probleem??
Ubuntu: http://www.ubuntu.com/usn/USN-1754-1/
Fedora: https://admin.fedoraproject.org/updates/FEDORA-2013-3297/sudo-1.8.6p7-1.fc18
Door Anoniem: Zag net het item op Webwereld en hoopte eerlijk gezegd dat security nl dit niet zou oppikken.
't is zo dom dat ik geen eens zin heb om uit te leggen waarom dit een onwaarschijnlijk overbodig non issue media-aandachtrekkerij-nieuwsbericht is.
Tjongejongejonge
't is zo dom dat ik geen eens zin heb om uit te leggen waarom dit een onwaarschijnlijk overbodig non issue media-aandachtrekkerij-nieuwsbericht is.
Tjongejongejonge
Waarom niet, over Windows wordt ook zo vaak voor elke scheet een bericht geplaatst, ook veel media aandacht, kijk laatst naar dat IE lek dat zelfs RTL Hart van Nederland heft gehaald, dat was pas overdreven...
correctie bij reactie 19:42;
Het betreft geen ssl maar ssh connecties
ssh 22/udp # SSH Remote Login Protocol
ssh 22/tcp # SSH Remote Login Protocol
Bijvoorbeeld standaard poort 22 blocken met een extra firewall config kan dus ook helpen.
Of het uitschakelen van bepaalde services ; Apple Remote Desktop (ARD) - services : /System/Library/CoreServices/
RemoteManagement/...
(zie eerder aangehaalde pdf)
Ik zou sowieso maar eens overwegen een heleboel poorten dicht te gooien, de meeste van die 65535 heb je helemaal niet nodig.
Het betreft geen ssl maar ssh connecties
ssh 22/udp # SSH Remote Login Protocol
ssh 22/tcp # SSH Remote Login Protocol
Bijvoorbeeld standaard poort 22 blocken met een extra firewall config kan dus ook helpen.
Of het uitschakelen van bepaalde services ; Apple Remote Desktop (ARD) - services : /System/Library/CoreServices/
RemoteManagement/...
(zie eerder aangehaalde pdf)
Ik zou sowieso maar eens overwegen een heleboel poorten dicht te gooien, de meeste van die 65535 heb je helemaal niet nodig.
30-08-2013, 09:47 door
N4ppy
@Anoniem 19:42 Ben jij wel eens een gewone gebruiker tegengekomen.
Je doet nogal een berg aannames. "Mag ik hopen", vergeet het maar.
Mijn neefjes hebben op android standaard unknown sources aangevinkt staan en downloaden apps vanuit elke vage bron die ze tegen komen. En de hele school doet dat.
Gewone gebruikers begrijpen 70% van jouw post niet en willen gewoon x en als ze daarvoor sudo/admin moeten doen dan doen ze dat.
https://discussions.apple.com/search.jspa?peopleEnabled=true&userID=&containerType=&container=&spotlight=false&q=sudo
http://www.youtube.com/watch?v=3_duMb8ffLw 8000+ views
Je doet nogal een berg aannames. "Mag ik hopen", vergeet het maar.
Mijn neefjes hebben op android standaard unknown sources aangevinkt staan en downloaden apps vanuit elke vage bron die ze tegen komen. En de hele school doet dat.
Gewone gebruikers begrijpen 70% van jouw post niet en willen gewoon x en als ze daarvoor sudo/admin moeten doen dan doen ze dat.
https://discussions.apple.com/search.jspa?peopleEnabled=true&userID=&containerType=&container=&spotlight=false&q=sudo
http://www.youtube.com/watch?v=3_duMb8ffLw 8000+ views
Standard & admin account sudo-testje
Mac response :
$ systemsetup -setdate 01:01:1970
You need administrator access to run this tool... exiting!
Exiting!,
onder een admin lukt dat sudo command inderdaad wel, tòch een admin password invoeren.
Nog eens, en ja hoor weer een admin password invoeren.
Waarschijnlijk veroorzaakt door reeds veranderde keychain-voorkeur-settings,("Edit-menu" : Change Keychain settings):
* Lock after (...) minutes of inactivity
(zet het ipv 5 minuten op 0)
* Lock when sleeping
En in de algemene Keychain voorkeuren de optie ; "Keep Login Keychain unlocked" afvinken.
- - - - - - - - - - - - - - - - -
Dan nog eens een toelichting op dit issue (waarom ook niet)
&@N4ppy
- En omdat gewone gebruikers in de meerderheid zijn (aanname) en veel gebruikers basis zaken nog niet weten of begrijpen beginnen ze ook niet aan sudo, dat is echt veel te ingewikkeld en schrikt enorm af.
Inschatting op basis van ervaring met het helpen van die 70%-groep gewone basic Mac gebruikers.
- Mac is géén Android........
Ik zie overigens met plezier tegemoet wanneer de hele school aan de Apple gaat.
Zonder dollen ; op de Mac worden applicaties meestal in de vorm van een dmg-tje (disk-image) of zipje aangeboden die je na uitpakken gewoon naar je programmafolder kan slepen. Dat is de dagelijkse praktijk van het installeren van een programma.
Reden waarom voor 'veel' mensen (70% ?) de Mac zo'n aantrekkingskracht heeft : op het oog 'lekker makkelijk', geen bergen met meldingen waar ze niets van snappen.
En natuurlijk zijn er best applicaties te vinden waarvoor je een sudo install command nodig hebt, dat zijn dan programma's van bijvoorbeeld niet Mac ontwikkelaars
èn zijn er vele slimme neefjes of andere hele slimme mensen die ingewikkelde dingen met ingewikkelde programma's op de Mac uitvoeren.
#link - Ik zag er één n.a.v. / onder je discussions.apple-link* (( http://www.ill.eu/sites/fullprof/ ,.. "The FullProf Suite (for Windows and Linux) is formed by a set of crystallographic programs")), en daar dan vragen over stellen omdat je het wil installeren via sudo op je Mac.
#Youtube link - "Master osx 10.6 (titel is niet Basic osx 10.6).
Intro tekst : we're going to look at the sudo command, and with great power of the sudo command comes great responsebility, you must take great care,...
Ever never geen kost voor een gewone gebruiker, die is allang gevlucht.
! De Donalds en Katriens die een Mac bezitten doen dat niet (meerderheid? 70% ? Denk het wel, no offence), Donalds & Katriens mèt sudo vragen/interesse kom ik gewoon niet tegen.
! Zelfs veruit de meeste Donalds en Katriens die ik bijsta met Mac vragen gebruiken wachtwoorden.
Samengevat
Van een berg naar een hobbeltje (aannametje op basis van ervaring) :
Sudo is voor gevorderde users & gevorderde users gebruiken wachtwoorden
(hoge uitzonderingen en jonge honden die graag experimenteren daargelaten, dat maakt echt geen meerderheid maar hoe gaan we dat 'bewijzen'? Daar begin ik niet aan hoor., moet wel leuk blijven).
Vraag anders ook eens aan je neefjes of de meerderheid wèl of geen wachtwoorden gebruikt (vast wel, al geldt dat dan nog voor Android).
Van een hobbeltje naar een rimpeltje :
Klok truc werkt (?) alleen als
-> je géén wachtwoord hebt ingesteld
-> onder je admin account werkt of bent ingelogd onder je admin account en voldoende sudo rechten hebt
-> je fysieke toegang tot het apparaat hebt
Kans : 0,0000....% ?
Zinnige inbreek methode actie?
Nee want andere wegen zijn korter of efficiënter.
(Tijdens een inbraak ga je ook niet lopend op je handen door een pand als dat niet nodig is, je bent namelijk al binnen, alarm staat uit en hebt die voordeur sleutel niet meer nodig!).
...
Ga ik nu weer even verder met betaald schrijven,
niet toevallig het uitwerken van een Mac tutorial: basics uitleggen voor een klant; wachtwoordgebruik, keychain gebruik, filevault protection, meerdere accounts gebruiken, je Mac veilig configureren, ...
De online proefwerktest wordt dan het begrijpen van mijn 19:42 post. ;-).
Vrgr 'Mac-Donald'
* het gebeurt vaker, naar aantallen op apple discussion groups verwijzen; over elk topic is daar wel wat te vinden.
Enig idee hoe ongelooflijk veel posts daarop staan (noem eens een aantal)?
Voor oplossingen prima, discussies gebaseerd op suggestie van aantallen posts aldaar ga ik verder niet aan.
Dat heeft ècht geen zin. Dat vereist namelijk dusdanig meer filters op selecties en vergelijkingen en dat is niet te doen.
Best mogelijk dat het voornamelijk ook nog eens bevolkt wordt door slimme experimenterende neefjes die al dan niet flink in de problemen zijn gekomen (slimme neefjes filter voor selectie ontbreekt).
Mac response :
$ systemsetup -setdate 01:01:1970
You need administrator access to run this tool... exiting!
Exiting!,
onder een admin lukt dat sudo command inderdaad wel, tòch een admin password invoeren.
Nog eens, en ja hoor weer een admin password invoeren.
Waarschijnlijk veroorzaakt door reeds veranderde keychain-voorkeur-settings,("Edit-menu" : Change Keychain settings):
* Lock after (...) minutes of inactivity
(zet het ipv 5 minuten op 0)
* Lock when sleeping
En in de algemene Keychain voorkeuren de optie ; "Keep Login Keychain unlocked" afvinken.
- - - - - - - - - - - - - - - - -
Dan nog eens een toelichting op dit issue (waarom ook niet)
&@N4ppy
"Gewone gebruikers begrijpen 70% van jouw post niet en willen gewoon x en als ze daarvoor sudo/admin moeten doen dan doen ze dat."
- En omdat gewone gebruikers in de meerderheid zijn (aanname) en veel gebruikers basis zaken nog niet weten of begrijpen beginnen ze ook niet aan sudo, dat is echt veel te ingewikkeld en schrikt enorm af.
Inschatting op basis van ervaring met het helpen van die 70%-groep gewone basic Mac gebruikers.
- Mac is géén Android........
Ik zie overigens met plezier tegemoet wanneer de hele school aan de Apple gaat.
Zonder dollen ; op de Mac worden applicaties meestal in de vorm van een dmg-tje (disk-image) of zipje aangeboden die je na uitpakken gewoon naar je programmafolder kan slepen. Dat is de dagelijkse praktijk van het installeren van een programma.
Reden waarom voor 'veel' mensen (70% ?) de Mac zo'n aantrekkingskracht heeft : op het oog 'lekker makkelijk', geen bergen met meldingen waar ze niets van snappen.
En natuurlijk zijn er best applicaties te vinden waarvoor je een sudo install command nodig hebt, dat zijn dan programma's van bijvoorbeeld niet Mac ontwikkelaars
èn zijn er vele slimme neefjes of andere hele slimme mensen die ingewikkelde dingen met ingewikkelde programma's op de Mac uitvoeren.
#link - Ik zag er één n.a.v. / onder je discussions.apple-link* (( http://www.ill.eu/sites/fullprof/ ,.. "The FullProf Suite (for Windows and Linux) is formed by a set of crystallographic programs")), en daar dan vragen over stellen omdat je het wil installeren via sudo op je Mac.
#Youtube link - "Master osx 10.6 (titel is niet Basic osx 10.6).
Intro tekst : we're going to look at the sudo command, and with great power of the sudo command comes great responsebility, you must take great care,...
Ever never geen kost voor een gewone gebruiker, die is allang gevlucht.
! De Donalds en Katriens die een Mac bezitten doen dat niet (meerderheid? 70% ? Denk het wel, no offence), Donalds & Katriens mèt sudo vragen/interesse kom ik gewoon niet tegen.
"Serieus probleem?
Ja! -> géén wachtwoorden gebruiken is inderdaad een serieus probleem.
Daar kan alleen niet Apple verantwoordelijk voor gehouden worden maar alleen de gebruiker zelf."
Ja! -> géén wachtwoorden gebruiken is inderdaad een serieus probleem.
Daar kan alleen niet Apple verantwoordelijk voor gehouden worden maar alleen de gebruiker zelf."
! Zelfs veruit de meeste Donalds en Katriens die ik bijsta met Mac vragen gebruiken wachtwoorden.
Samengevat
Van een berg naar een hobbeltje (aannametje op basis van ervaring) :
Sudo is voor gevorderde users & gevorderde users gebruiken wachtwoorden
(hoge uitzonderingen en jonge honden die graag experimenteren daargelaten, dat maakt echt geen meerderheid maar hoe gaan we dat 'bewijzen'? Daar begin ik niet aan hoor., moet wel leuk blijven).
Vraag anders ook eens aan je neefjes of de meerderheid wèl of geen wachtwoorden gebruikt (vast wel, al geldt dat dan nog voor Android).
Van een hobbeltje naar een rimpeltje :
Klok truc werkt (?) alleen als
-> je géén wachtwoord hebt ingesteld
-> onder je admin account werkt of bent ingelogd onder je admin account en voldoende sudo rechten hebt
-> je fysieke toegang tot het apparaat hebt
Kans : 0,0000....% ?
Zinnige inbreek methode actie?
Nee want andere wegen zijn korter of efficiënter.
(Tijdens een inbraak ga je ook niet lopend op je handen door een pand als dat niet nodig is, je bent namelijk al binnen, alarm staat uit en hebt die voordeur sleutel niet meer nodig!).
...
Ga ik nu weer even verder met betaald schrijven,
niet toevallig het uitwerken van een Mac tutorial: basics uitleggen voor een klant; wachtwoordgebruik, keychain gebruik, filevault protection, meerdere accounts gebruiken, je Mac veilig configureren, ...
De online proefwerktest wordt dan het begrijpen van mijn 19:42 post. ;-).
Vrgr 'Mac-Donald'
* het gebeurt vaker, naar aantallen op apple discussion groups verwijzen; over elk topic is daar wel wat te vinden.
Enig idee hoe ongelooflijk veel posts daarop staan (noem eens een aantal)?
Voor oplossingen prima, discussies gebaseerd op suggestie van aantallen posts aldaar ga ik verder niet aan.
Dat heeft ècht geen zin. Dat vereist namelijk dusdanig meer filters op selecties en vergelijkingen en dat is niet te doen.
Best mogelijk dat het voornamelijk ook nog eens bevolkt wordt door slimme experimenterende neefjes die al dan niet flink in de problemen zijn gekomen (slimme neefjes filter voor selectie ontbreekt).
Users die geen wachtwoorden gebruiken zijn over het algemeen leken-users, en die maken geen gebruik van de terminal.app/Sudo-functie, en mocht dat toch voorkomen denk ik (in alle bescheidenheid) dat dat een hoge hoge hoge uitzondering is waarvoor de Mac wereld niet in rep en roer gaat (ook Apple niet).
Een non issu gaat me te ver want een bekende bug hoor je aan te pakken, maar inderdaad een met heel lage prioriteit. De voorwaarden voor dit lek zijn gewoon te zeldzaam. De gewone gebruiker gebruikt geen sudo, er is hooguit een minderheid die een paar keer per jaar een nieuwe truc uit een forum overtikt waarbij sudo gebruikt wordt. En omdat deze bug dan ook nog fysiek of remote access vereist, zal geen hacker het geduld opbrengen een aantal computers zo lang te volgen totdat deze situatie zich eens voordoet.
En van de frequente sudo gebruikers mag je verwachten dat ze de beveiliging beter op orde hebben dan de gewone gebruiker. En een expert die vaak sudo gebruikt, kan ook zelf wel een bug vrije versie van sudo installeren, want die zijn er al.
Precies!
en ook goed / mee eens
Reden waarom ik al eens wat feller (inclusief verontschuldiging overigens) reageerde op een eerder stukje over Root en Sudo gebruik.
https://www.security.nl/posting/40908/Security+Tip+van+de+Week%3A+log+niet+in+als+administrator
30-04-2013, 21:58 door Anoniem
"Werken met Sudo is Bepaald Niet Zonder Risico gezien de Destructieve Puinhoop die het oplevert wanneer er Fouten worden gemaakt.."
"...dit is een Error-gebied waar je een (Trial-) gebruiker niet in wil hebben en vereist verstand van zaken om dat weer recht te trekken (zijn ook wel dummie commando's voor, je bent er dan nog niet).
Wat dan nog het beste helpt (voor dummies) is een totale backup van je systeem om terug te kunnen zetten..."
Voorzag grote ellende waarvoor ik anderen wilde behoeden,
heb namelijk mijn Mac ervaring opgebouwd met o.a. experimenteerlust, en reken maar dat je dan onthoudt wat je voortaan maar beter niet meer kan doen (of anders en goed!).
oioioi...
=>>> Mijn dringend advies naar Mac gebruikers:
#1 Werk niet met Sudo of werk niet onder een speciaal ge-activeerd Root-account als je niet heel goed weet waar je mee bezig bent.
("Dat gaat echt veel te snel en makkelijk (te effectief!) met een verkeerd Sudo commando.."
Lees: wel te snel en niet effectief in geval van een fout, een commando overnemen is wat anders dat echt begrijpen wat er gebeurt).
Ben er zelf ook nog steeds wat huiverig voor want heb (echt waar) helemaal geen native connectie met ict, meeste wijzigingen gewoon met de hand met iets meer geduld.
M.i. Géén sudo werkzaamheden / wijzigingen als je niet over een volledige backup beschikt om op terug te vallen!!!
#2 Maak nou eens één (of meerdere) standaard account(s) aan en gebruik dat(die) voor dagelijkse werkzaamheden.
#3 Vrijwel alles is op te lossen en vrijwel alle Mac informatie is te vinden op het internet.
Het probleem van het internet is niet het vinden van informatie maar checken of het juiste informatie is (dat kost het meeste tijd).
Met name met sudo commando's komt het regelmatig voor dat er verkeerde commando's worden gepost door typefoutjes en dergelijke. Kom je het advies op meerdere (verschillende onafhankelijke) sites tegen, dan pas bestaat de kans dat er inderdaad sprake is van een mogelijk juist commando.
Dit geldt in zijn algemeenheid wel voor tips overigens.
Pas dus heel heel heel erg goed op voordat je met sudo bezig gaat en een commando uitvoert (de meeste zaken kan je ook op reguliere manieren, met de hand dus, uitvoeren).
Het voordeel is ook dat je dan meer inzicht krijgt in de directory structuur van de Mac en je tijd hebt stapje voor stapje zaken uit te voeren met de nodige bedenktijd of het wel slim is één en ander zelf of op deze wijze aan te pakken.
(#4 ten overvloede / aangaande instellen firmware password :
Denk dat dat een graad van beveiliging is die het echt niet waard is voor de meeste mensen. Vervelend hoor als je je password kwijt bent.
Ben er zelf nooit aan begonnen en weet eerlijk gezegd ook niet hoe dat nog op te lossen.)
en ook goed / mee eens
Door Briolet:
Een non issu gaat me te ver want een bekende bug hoor je aan te pakken, maar inderdaad een met heel lage prioriteit. De voorwaarden voor dit lek zijn gewoon te zeldzaam. De gewone gebruiker gebruikt geen sudo, er is hooguit een minderheid die een paar keer per jaar een nieuwe truc uit een forum overtikt waarbij sudo gebruikt wordt. En omdat deze bug dan ook nog fysiek of remote access vereist, zal geen hacker het geduld opbrengen een aantal computers zo lang te volgen totdat deze situatie zich eens voordoet.
En van de frequente sudo gebruikers mag je verwachten dat ze de beveiliging beter op orde hebben dan de gewone gebruiker. En een expert die vaak sudo gebruikt, kan ook zelf wel een bug vrije versie van sudo installeren, want die zijn er al.
Een non issu gaat me te ver want een bekende bug hoor je aan te pakken, maar inderdaad een met heel lage prioriteit. De voorwaarden voor dit lek zijn gewoon te zeldzaam. De gewone gebruiker gebruikt geen sudo, er is hooguit een minderheid die een paar keer per jaar een nieuwe truc uit een forum overtikt waarbij sudo gebruikt wordt. En omdat deze bug dan ook nog fysiek of remote access vereist, zal geen hacker het geduld opbrengen een aantal computers zo lang te volgen totdat deze situatie zich eens voordoet.
En van de frequente sudo gebruikers mag je verwachten dat ze de beveiliging beter op orde hebben dan de gewone gebruiker. En een expert die vaak sudo gebruikt, kan ook zelf wel een bug vrije versie van sudo installeren, want die zijn er al.
Reden waarom ik al eens wat feller (inclusief verontschuldiging overigens) reageerde op een eerder stukje over Root en Sudo gebruik.
https://www.security.nl/posting/40908/Security+Tip+van+de+Week%3A+log+niet+in+als+administrator
30-04-2013, 21:58 door Anoniem
"Werken met Sudo is Bepaald Niet Zonder Risico gezien de Destructieve Puinhoop die het oplevert wanneer er Fouten worden gemaakt.."
"...dit is een Error-gebied waar je een (Trial-) gebruiker niet in wil hebben en vereist verstand van zaken om dat weer recht te trekken (zijn ook wel dummie commando's voor, je bent er dan nog niet).
Wat dan nog het beste helpt (voor dummies) is een totale backup van je systeem om terug te kunnen zetten..."
Voorzag grote ellende waarvoor ik anderen wilde behoeden,
heb namelijk mijn Mac ervaring opgebouwd met o.a. experimenteerlust, en reken maar dat je dan onthoudt wat je voortaan maar beter niet meer kan doen (of anders en goed!).
oioioi...
=>>> Mijn dringend advies naar Mac gebruikers:
#1 Werk niet met Sudo of werk niet onder een speciaal ge-activeerd Root-account als je niet heel goed weet waar je mee bezig bent.
("Dat gaat echt veel te snel en makkelijk (te effectief!) met een verkeerd Sudo commando.."
Lees: wel te snel en niet effectief in geval van een fout, een commando overnemen is wat anders dat echt begrijpen wat er gebeurt).
Ben er zelf ook nog steeds wat huiverig voor want heb (echt waar) helemaal geen native connectie met ict, meeste wijzigingen gewoon met de hand met iets meer geduld.
M.i. Géén sudo werkzaamheden / wijzigingen als je niet over een volledige backup beschikt om op terug te vallen!!!
#2 Maak nou eens één (of meerdere) standaard account(s) aan en gebruik dat(die) voor dagelijkse werkzaamheden.
#3 Vrijwel alles is op te lossen en vrijwel alle Mac informatie is te vinden op het internet.
Het probleem van het internet is niet het vinden van informatie maar checken of het juiste informatie is (dat kost het meeste tijd).
Met name met sudo commando's komt het regelmatig voor dat er verkeerde commando's worden gepost door typefoutjes en dergelijke. Kom je het advies op meerdere (verschillende onafhankelijke) sites tegen, dan pas bestaat de kans dat er inderdaad sprake is van een mogelijk juist commando.
Dit geldt in zijn algemeenheid wel voor tips overigens.
Pas dus heel heel heel erg goed op voordat je met sudo bezig gaat en een commando uitvoert (de meeste zaken kan je ook op reguliere manieren, met de hand dus, uitvoeren).
Het voordeel is ook dat je dan meer inzicht krijgt in de directory structuur van de Mac en je tijd hebt stapje voor stapje zaken uit te voeren met de nodige bedenktijd of het wel slim is één en ander zelf of op deze wijze aan te pakken.
(#4 ten overvloede / aangaande instellen firmware password :
Denk dat dat een graad van beveiliging is die het echt niet waard is voor de meeste mensen. Vervelend hoor als je je password kwijt bent.
Ben er zelf nooit aan begonnen en weet eerlijk gezegd ook niet hoe dat nog op te lossen.)
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
