Konto root bez hasła. Odkryto dziurę w macOS 10.13 High Sierra pozwalającą na zalogowanie się na konto użytkownika root bez hasła. Jak sprawdzić, czy jesteśmy zagrożeni i jak się zabezpieczyć.
UWAGA! Oficjalna aktualizacja bezpieczeństwa jest już dostępna! Szczegóły znajdziecie tu: APPLE ZAŁATAŁ POWAŻNY BŁĄD W HIGH SIERRA
Konto root bez hasła w High Sierra, co nam grozi?
Niestety kontrola jakości w Apple ostatnio szwankuje bardziej niż zwykle. Wpadka z aktywnym kontem roota, które nie posiada hasła, jest wyjątkowo paskudnym tego przykładem.
Root to użytkownik systemowy mający najwyższe przywileje. Może wszystko włącznie ze skasowaniem i modyfikacją plików systemowych, kont użytkowników, preferencji… jest jak wszechmogący użytkownik.
Jako root można się zalogować, mając bezpośrednio dostęp do komputera. Po prostu, gdy komputer pyta o użytkownika i hasło wpisujemy „root”, miejsce na hasło pozostawiamy puste i wciskamy enter lub return. W ten sposób można sprawdzić, czy nasz komputer i jego system ma ten problem. Najlepiej zrobić to klikając w Preferencjach systemowych w panelu Ochrona i prywatność, kłódkę.
Uwaga! Jeżeli mamy włączone zdalne logowanie za pomocą VNC lub Współdzielenia ekranu, lukę można wykorzystać do przejścia kontroli nad naszym komputerem, zdalnie.
Bezpieczni są tylko ci, którzy jak ja, już kiedyś włączyli konto użytkownika root i nadali mu hasło.
Standardowo w macOS konto roota jest wyłączone i nie można się na nie logować w żaden sposób. Niestety w High Sierra coś poszło nie tak i konto jest aktywne w dodatku bez hasła!
Jak się zabezpieczyć?
Jeżeli sprawdziliśmy, że konto roota w naszym komputerze jest aktywne i bez hasła [narastający odgłos werbli zakończony uderzeniem w gong — zgroza] to:
Uruchamiamy Narzędzie katalogowe, wpisując w Spotlight (to ta lupka w prawym górnym rogu ekranu, można też użyć skrótu Cmd-spacja) „Directory Utility” lub „Narzędzie katalogowe”.
Klikamy kłódkę w lewym dolnym rogu i podajemy nazwę i hasło do konta administratora (to zazwyczaj „nasze normalne”).
Z menu Edycja wybieramy „Zmień hasło root…” (jeżeli jest aktywne) lub „Włącz użytkownika root”.
Nadajemy silne hasło i nie zapominamy go na wszelki wypadek.
Od tego momentu, nawet na podatnych systemach logowanie się na konto roota wymaga uwierzytelnienia za pomocą naszego Nowego Silnego Hasła.
Wcześniejsze systemy przed macOS 10.13.x High Sierra nie mają problemu z kontem root nieposiadającym hasła, ale zawsze możecie to sprawdzić sami wyżej podaną metodą.
Można się spodziewać nagłej aktualizacji macOS 10.13 na dniach. Luka jest bardzo poważna.
Sluchajcie, mówimy o wirusach, fragmentacjach na innych systemach, chwaląc się przy okazji jak to Apple dba o nasze bezpieczeństwo, szyfruje dane, wprowadza nowe technologie identyfikacji, a następnie dostajemy w twarz wiadomościami, że albo system podpowiada hasło jak je nie znamy, albo uruchamia roota i pozwala się na niego zalogować. Naprawdę!? Przecież nie ma większej kompromitacji we współczesnym świecie it. Współcześnie system od Apple jest najbardziej niebezpiecznym OSem! Wygląda to jak zabawa studentów którym nikt kodu nie sprawdza, w którym liczą się emotki i tapety. To straszne.
Jeżeli jest jakiś użytkownik który myślał o zmianie platformy to niech nawet nie myśli o Apple. Wpadki na najwyższych poziomach bezpieczeństwa…
Nie siej paniki… po pierwsze to tylko jedna jego wersja i pierwszy raz. Po kolejne i tak 70% użytkowników nie ustawiało żadnego hasła dla konta admina (swojego).
Błąd jest poważny, ale nie popadajmy w histerią. inne firmy takie błędy mają z raz w miesiącu.
Problem został zgłoszony do Apple 9 dni temu – spieszą się bardzo jak widać. Jakie to firmy mają takie problemy co miesiąc? Możesz deprecjonować problem, tylko ja tego nie kupuję.
A tak przy okazji… to nie włączałeś zam konta roota? Dla mnie to podstawa! Jak raz włączysz to masz j¨ż po każdej aktualizacji. A włączając samodzielnie zawsze wymusza hasło. Mnie ta dziura nie dotknęła… trzeba myśleć czasem nawet za Apple!
Roota włączam od 10 lat zawsze
A system wymusza podczas instalacji hasło do roota, czy tylko pyta o admina? Jak ma zwykły użytkownik wiedzieć o tym co piszesz? Odpowiedzi znasz… Zwykłego śmiertelnika nie obchodzi jakieś schowane konto root. Ma swoje hasło, do swojego profilu. To nie są czasy win98 żebyśmy myśleli za producenta systemu. Tutaj nie ma usprawiedliwienia.
Dlatego jest ta instrukcja. Zwykły użytkownik często sam olewa hasło admina (nie mulić z rootem), ale za to zazwyczaj nie włącza dostępu zdalnego.
Czyli trzeba mieć dostęp do komputera.
Zwykły użytkownik też nie zabezpiecza komputera hasłem sprzętowym i szyfrowaniem, więc jak już masz się dostęp do kompa, to i bez roota można wiele z nim zdziałać.
Tą, i inne instrukcje, przeczyta jakiś tam procent użytkowników(oby jak najwięcej). Reszta jest narażona w sposób niewyobrażalny!
Co ciekawe w ten sam sposób można zalogować się do konta root bezpośrednio z ekranu logowania oraz zdalnie przy pomocy VNC/Apple Remote Desktop
Jak użytkownik nie czyta to ma problem. Komputer to nie zabawka. Trzeba wiedziec co się robi.
https://gist.github.com/ygini/6632b06a8761b4cc9fd86d271a00e2a8
Czy problem ten występuje też w becie 10.13.2?