Dat Apple het lek niet fixt, tot daar aan toe. Ik ben het ondertussen al wel gewoon dat grote bedrijven schijt hebben aan security updates (bv Oracle met Java). Maar waarom heeft de Linux-gemeenschap na 5 maanden nog steeds geen patch voor het probleem??

Zag net het item op Webwereld en hoopte eerlijk gezegd dat security nl dit niet zou oppikken.

't is zo dom dat ik geen eens zin heb om uit te leggen waarom dit een onwaarschijnlijk overbodig non issue media-aandachtrekkerij-nieuwsbericht is.

Tjongejongejonge

OS 10.6 gebruikt een oudere sudo versie dan deze systemen, maar nog steeds een versie waar deze sudo bug in zit. Die zal er dus ook vatbaar voor zijn.

1-1-1970.00:00:00 (UTC) is de Unix Epoch, niet Unix time. Unix time is de signed integer die het aantal seconden weergeeft ten opzichte van Epoch.

Het is al lang gepatched en zit al in de officiële package sinds 27-02-2013...

Ehhh eens kijken, je moet ingelogd zijn, je moet admin rechten hebben, je moet sudo mogen doen, je moet de
klok in mogen stellen, en dan kun je root worden? Poepoe dat is heftig!

Straks vinden ze nog een bug waardoor je root kunt worden als je de disk eruit kunt schroeven. Dat zou helemaal
drama zijn.

De verbijstering nog niet helemaal voorbij (18:17),
en toch maar alsnog kiezend voor de uitleg.


Waarom dit mijns inziens een volkomen non issue is :

In maart stelt een journalist bij Webwereld : "Veel gewone gebruikers die applicaties installeren, doen dat via sudo."
http://webwereld.nl/beveiliging/59473-kloktruc-geeft-rootrechten-op-mac-os-x-en-ubuntu

In alle bescheidenheid en met alle respect denk ik dat dat een constatering is die werkelijk buiten elke redelijke realiteit valt.

In de afgelopen pakweg 24 jaar heb ik dat 1 a 2 keer gedaan (omdat het niet anders kon).
Daarnaast help ik regelmatig mensen met Mac zaken en heb ik het nog nooit hoeven hebben over Sudo. Eerst maar eens duidelijk maken dat je niet standaar onder je admin account moet werken, een wachtwoord wordt eigenlijk altijd wel gebruikt.
Mag ik daarna uitleggen dat dat nog niet veilig genoeg is, eenvoudig te illustreren met een ander werkstationnetje erbij, maar het is in ieder geval al wat.

snelle analyse

1) Gebruik van Sudo geschiedt door ervaren gebruikers (en dat is maar goed ook want het is niet zonder risico, bij voorkeur niet doen als je niet heel goed weet wat je aan het doen bent!).

2) Een ervaren gebruiker zal (mag ik hopen) gebruik maken van een inlog wachtwoord.

3) Een ervaren gebruiker zal (mag ik hopen) gebruik maken van meerdere accounts en werkt zelf ook standaard onder een 'standaard' account (met standaard rechten).

4) In de SysteemVoorkeuren kan je instellen dat voor elk voorkeurpaneel en de wijzigingen daarin een Admin-Wachtwoord dient te worden opgegeven.

5) Gebruik van Sudo dient plaats te vinden onder het admin account, moet je op dat moment als zodanig daarin ingelogd zijn terwijl je in de meeste gevallen ingelogd zal zijn onder een regulier account (waaronder een Sudo opdracht helemaal niet geaccepteerd wordt of in sommige gevallen om een admin wachtwoord vraagt.)

6) Wanneer een gebruiker FileVault protectie heeft ingeschakeld voor haar account zijn die account alleen benaderbaar (te decrypten) als je over het password beschikt.

7) Een ervaren gebruiker zal ook gebruikmaken van password beheer via keychain.
Dat betekent dat je een wachtwoord hebt voor je standaard account, je admin account en kan je ook nog eens een apart wachtwoord per account voor je keychain gebruiken waarbij deze niet automatisch unlocked (gesynced) is bij inlog account, danwel direct weer op slot gaat (die 5 minuten kan je minimaliseren).
En als je je root account al geactiveerd hebt (wat je als het goed is alleen tijdelijk doet) zit daar natuurlijk ook een sterk wachtwoord op.

8) Wanneer je fysieke toegang hebt tot een Mac zijn er diverse andere (al dan niet) eenvoudige manieren om één en ander te resetten of een schijf uit te lezen. Wat ik hier om nette redenen achterwege laat (dat vindt je zelf wel op het net).

Let wel ; Dat werkt niet als je gebruik maakt van FileVault protectie of zelfs een Firmware password hebt ingesteld.
Dan wordt het hardcore kraakwerk denk ik (of phishing).

De voorwaarden en de vereiste combinatie van voorwaarden in het bericht maken het een totaal non issue.

Als je geen wachtwoord gebruikt, heb je waarschijnlijk ook maar één account, namelijk je admin account.
dan kan je van alles installeren zonder gebruik van Sudo (waarom?!) of zelfs het root account activeren (waarom?!)
En ja als je dat alles niet hebt heb je waarschijnlijk ook geen FireWall config en staan je ssl remote port acces en alle bijbehorende (sharing / bonjour) services open waarbij inderdaad dan bijvoorbeeld met de kennis van de naam van je User account danwel via een drive-by download of een java exploit de remote service kan worden geactiveerd en een ander toegang op afstand kan krijgen.

Users die geen wachtwoorden gebruiken zijn over het algemeen leken-users, en die maken geen gebruik van de terminal.app/Sudo-functie, en mocht dat toch voorkomen denk ik (in alle bescheidenheid) dat dat een hoge hoge hoge uitzondering is waarvoor de Mac wereld niet in rep en roer gaat (ook Apple niet).

Serieus probleem?
Ja! -> géén wachtwoorden gebruiken is inderdaad een serieus probleem.
Daar kan alleen niet Apple verantwoordelijk voor gehouden worden maar alleen de gebruiker zelf.

Tot slot begrijp ik best dat je als onderzoeker graag credits wil voor al het werk dat je gedaan hebt en uiteindelijk best een kwetsbaarheid tot een ander misbruik kan leiden. Leg dan je ontdekking op de plank, werk het verder uit of als je per se die credits wil, maak er dan een ander nieuwsbericht van.
Dit slaat echt alles (en dat vond ik in maart eigenlijk al, al was dat artikel op Webwereld wat intrigerender).


Heb ik iets over het hoofd gezien, ik hoor het graag!

(Dacht overigens wel altijd dat de eerste systeemtijd op een Mac iets van april 1976 was, dat is kennelijk niet zo.
Om de toegang op afstand uit te schakelen kan je overigens goed gebruik maken van de tips die in het ns&a pdf-je worden genoemd, uitschakelen van diverse opstart services, lees het zelf maar).

Misschien lost Apple dit probleem pas op in OSX Mavericks wat geloof ik ergens in Oktober verschijnt.
We zullen zien.

Ubuntu: http://www.ubuntu.com/usn/USN-1754-1/
Fedora: https://admin.fedoraproject.org/updates/FEDORA-2013-3297/sudo-1.8.6p7-1.fc18

Waarom niet, over Windows wordt ook zo vaak voor elke scheet een bericht geplaatst, ook veel media aandacht, kijk laatst naar dat IE lek dat zelfs RTL Hart van Nederland heft gehaald, dat was pas overdreven...

correctie bij reactie 19:42;

Het betreft geen ssl maar ssh connecties

ssh 22/udp # SSH Remote Login Protocol
ssh 22/tcp # SSH Remote Login Protocol

Bijvoorbeeld standaard poort 22 blocken met een extra firewall config kan dus ook helpen.

Of het uitschakelen van bepaalde services ; Apple Remote Desktop (ARD) - services : /System/Library/CoreServices/
RemoteManagement/...
(zie eerder aangehaalde pdf)

Ik zou sowieso maar eens overwegen een heleboel poorten dicht te gooien, de meeste van die 65535 heb je helemaal niet nodig.

@Anoniem 19:42 Ben jij wel eens een gewone gebruiker tegengekomen.

Je doet nogal een berg aannames. "Mag ik hopen", vergeet het maar.

Mijn neefjes hebben op android standaard unknown sources aangevinkt staan en downloaden apps vanuit elke vage bron die ze tegen komen. En de hele school doet dat.

Gewone gebruikers begrijpen 70% van jouw post niet en willen gewoon x en als ze daarvoor sudo/admin moeten doen dan doen ze dat.

https://discussions.apple.com/search.jspa?peopleEnabled=true&userID=&containerType=&container=&spotlight=false&q=sudo

http://www.youtube.com/watch?v=3_duMb8ffLw 8000+ views

Standard & admin account sudo-testje

Mac response :
$ systemsetup -setdate 01:01:1970
You need administrator access to run this tool... exiting!

Exiting!,
onder een admin lukt dat sudo command inderdaad wel, tòch een admin password invoeren.
Nog eens, en ja hoor weer een admin password invoeren.

Waarschijnlijk veroorzaakt door reeds veranderde keychain-voorkeur-settings,("Edit-menu" : Change Keychain settings):

* Lock after (...) minutes of inactivity
(zet het ipv 5 minuten op 0)
* Lock when sleeping

En in de algemene Keychain voorkeuren de optie ; "Keep Login Keychain unlocked" afvinken.


- - - - - - - - - - - - - - - - -


Dan nog eens een toelichting op dit issue (waarom ook niet)

&@N4ppy


- En omdat gewone gebruikers in de meerderheid zijn (aanname) en veel gebruikers basis zaken nog niet weten of begrijpen beginnen ze ook niet aan sudo, dat is echt veel te ingewikkeld en schrikt enorm af.
Inschatting op basis van ervaring met het helpen van die 70%-groep gewone basic Mac gebruikers.

- Mac is géén Android........
Ik zie overigens met plezier tegemoet wanneer de hele school aan de Apple gaat.

Zonder dollen ; op de Mac worden applicaties meestal in de vorm van een dmg-tje (disk-image) of zipje aangeboden die je na uitpakken gewoon naar je programmafolder kan slepen. Dat is de dagelijkse praktijk van het installeren van een programma.
Reden waarom voor 'veel' mensen (70% ?) de Mac zo'n aantrekkingskracht heeft : op het oog 'lekker makkelijk', geen bergen met meldingen waar ze niets van snappen.

En natuurlijk zijn er best applicaties te vinden waarvoor je een sudo install command nodig hebt, dat zijn dan programma's van bijvoorbeeld niet Mac ontwikkelaars
èn zijn er vele slimme neefjes of andere hele slimme mensen die ingewikkelde dingen met ingewikkelde programma's op de Mac uitvoeren.

#link - Ik zag er één n.a.v. / onder je discussions.apple-link* (( http://www.ill.eu/sites/fullprof/ ,.. "The FullProf Suite (for Windows and Linux) is formed by a set of crystallographic programs")), en daar dan vragen over stellen omdat je het wil installeren via sudo op je Mac.

#Youtube link - "Master osx 10.6 (titel is niet Basic osx 10.6).
Intro tekst : we're going to look at the sudo command, and with great power of the sudo command comes great responsebility, you must take great care,...
Ever never geen kost voor een gewone gebruiker, die is allang gevlucht.

! De Donalds en Katriens die een Mac bezitten doen dat niet (meerderheid? 70% ? Denk het wel, no offence), Donalds & Katriens mèt sudo vragen/interesse kom ik gewoon niet tegen.


! Zelfs veruit de meeste Donalds en Katriens die ik bijsta met Mac vragen gebruiken wachtwoorden.

Samengevat

Van een berg naar een hobbeltje (aannametje op basis van ervaring) :

Sudo is voor gevorderde users & gevorderde users gebruiken wachtwoorden
(hoge uitzonderingen en jonge honden die graag experimenteren daargelaten, dat maakt echt geen meerderheid maar hoe gaan we dat 'bewijzen'? Daar begin ik niet aan hoor., moet wel leuk blijven).

Vraag anders ook eens aan je neefjes of de meerderheid wèl of geen wachtwoorden gebruikt (vast wel, al geldt dat dan nog voor Android).

Van een hobbeltje naar een rimpeltje :

Klok truc werkt (?) alleen als
-> je géén wachtwoord hebt ingesteld
-> onder je admin account werkt of bent ingelogd onder je admin account en voldoende sudo rechten hebt
-> je fysieke toegang tot het apparaat hebt

Kans : 0,0000....% ?

Zinnige inbreek methode actie?
Nee want andere wegen zijn korter of efficiënter.
(Tijdens een inbraak ga je ook niet lopend op je handen door een pand als dat niet nodig is, je bent namelijk al binnen, alarm staat uit en hebt die voordeur sleutel niet meer nodig!).

...

Ga ik nu weer even verder met betaald schrijven,
niet toevallig het uitwerken van een Mac tutorial: basics uitleggen voor een klant; wachtwoordgebruik, keychain gebruik, filevault protection, meerdere accounts gebruiken, je Mac veilig configureren, ...
De online proefwerktest wordt dan het begrijpen van mijn 19:42 post. ;-).

Vrgr 'Mac-Donald'



* het gebeurt vaker, naar aantallen op apple discussion groups verwijzen; over elk topic is daar wel wat te vinden.
Enig idee hoe ongelooflijk veel posts daarop staan (noem eens een aantal)?
Voor oplossingen prima, discussies gebaseerd op suggestie van aantallen posts aldaar ga ik verder niet aan.

Dat heeft ècht geen zin. Dat vereist namelijk dusdanig meer filters op selecties en vergelijkingen en dat is niet te doen.

Best mogelijk dat het voornamelijk ook nog eens bevolkt wordt door slimme experimenterende neefjes die al dan niet flink in de problemen zijn gekomen (slimme neefjes filter voor selectie ontbreekt).

Een non issu gaat me te ver want een bekende bug hoor je aan te pakken, maar inderdaad een met heel lage prioriteit. De voorwaarden voor dit lek zijn gewoon te zeldzaam. De gewone gebruiker gebruikt geen sudo, er is hooguit een minderheid die een paar keer per jaar een nieuwe truc uit een forum overtikt waarbij sudo gebruikt wordt. En omdat deze bug dan ook nog fysiek of remote access vereist, zal geen hacker het geduld opbrengen een aantal computers zo lang te volgen totdat deze situatie zich eens voordoet.

En van de frequente sudo gebruikers mag je verwachten dat ze de beveiliging beter op orde hebben dan de gewone gebruiker. En een expert die vaak sudo gebruikt, kan ook zelf wel een bug vrije versie van sudo installeren, want die zijn er al.

Precies!
en ook goed / mee eens



Reden waarom ik al eens wat feller (inclusief verontschuldiging overigens) reageerde op een eerder stukje over Root en Sudo gebruik.

https://www.security.nl/posting/40908/Security+Tip+van+de+Week%3A+log+niet+in+als+administrator
30-04-2013, 21:58 door Anoniem

"Werken met Sudo is Bepaald Niet Zonder Risico gezien de Destructieve Puinhoop die het oplevert wanneer er Fouten worden gemaakt.."

"...dit is een Error-gebied waar je een (Trial-) gebruiker niet in wil hebben en vereist verstand van zaken om dat weer recht te trekken (zijn ook wel dummie commando's voor, je bent er dan nog niet).

Wat dan nog het beste helpt (voor dummies) is een totale backup van je systeem om terug te kunnen zetten..."

Voorzag grote ellende waarvoor ik anderen wilde behoeden,
heb namelijk mijn Mac ervaring opgebouwd met o.a. experimenteerlust, en reken maar dat je dan onthoudt wat je voortaan maar beter niet meer kan doen (of anders en goed!).
oioioi...


=>>> Mijn dringend advies naar Mac gebruikers:

#1 Werk niet met Sudo of werk niet onder een speciaal ge-activeerd Root-account als je niet heel goed weet waar je mee bezig bent.
("Dat gaat echt veel te snel en makkelijk (te effectief!) met een verkeerd Sudo commando.."
Lees: wel te snel en niet effectief in geval van een fout, een commando overnemen is wat anders dat echt begrijpen wat er gebeurt).

Ben er zelf ook nog steeds wat huiverig voor want heb (echt waar) helemaal geen native connectie met ict, meeste wijzigingen gewoon met de hand met iets meer geduld.
M.i. Géén sudo werkzaamheden / wijzigingen als je niet over een volledige backup beschikt om op terug te vallen!!!

#2 Maak nou eens één (of meerdere) standaard account(s) aan en gebruik dat(die) voor dagelijkse werkzaamheden.

#3 Vrijwel alles is op te lossen en vrijwel alle Mac informatie is te vinden op het internet.
Het probleem van het internet is niet het vinden van informatie maar checken of het juiste informatie is (dat kost het meeste tijd).

Met name met sudo commando's komt het regelmatig voor dat er verkeerde commando's worden gepost door typefoutjes en dergelijke. Kom je het advies op meerdere (verschillende onafhankelijke) sites tegen, dan pas bestaat de kans dat er inderdaad sprake is van een mogelijk juist commando.
Dit geldt in zijn algemeenheid wel voor tips overigens.

Pas dus heel heel heel erg goed op voordat je met sudo bezig gaat en een commando uitvoert (de meeste zaken kan je ook op reguliere manieren, met de hand dus, uitvoeren).
Het voordeel is ook dat je dan meer inzicht krijgt in de directory structuur van de Mac en je tijd hebt stapje voor stapje zaken uit te voeren met de nodige bedenktijd of het wel slim is één en ander zelf of op deze wijze aan te pakken.

(#4 ten overvloede / aangaande instellen firmware password :

Denk dat dat een graad van beveiliging is die het echt niet waard is voor de meeste mensen. Vervelend hoor als je je password kwijt bent.
Ben er zelf nooit aan begonnen en weet eerlijk gezegd ook niet hoe dat nog op te lossen.)