Jak se dostat do účtu jiného přihlášeného uživatele na stejném počítači

6. 01. 2006, 15:06 · Nakousnutá jabka · Bleskovka

ikonkaPřiznám se, že nevím, zda to je úmysl, nebo bezpečnostní chyba, ale rozhodně mě tento “objev” rozhodil. Nepřišel jsem na to osobně, upozornila mě Péťa, která svého současného přítele “konvertuje” z Linuxu na Maca a který to objevil. Tímto tedy představa o bezpečnosti Mac OS X dostala trochu na frak. (Samozřejmě je možné, že objevuji objevené, krátké hledání na Google Mac mi nic nenašlo, ale kdo ví.)

Problém se podle provedených testů týká Mac OS X 10.3.x (testováno na 10.3.9) i 10.4.x (testováno 10.4.2 a 10.4.3).

Předpoklady:
• uživatel (útočník) má na počítači účet s administrátorskými právy
• uživatel (útočník) má fyzický přístup ke stroji
• přihlášený uživatel (oběť) má nastavenou ochranu heslem při usnutí nebo zobrazení spořiče obrazovky a je přihlášený – je jedno, zda je to běžný uživatelský účet, administrátorský nebo dokonce root!
• nemá vliv zda je aktivní Fast Users Switching

V případě uspání počítače nebo zobrazení screensaveru se po probuzení nebo nějaké aktivitě klávesnice/myši zobrazí dialog pro vložení jména/hesla. V tento okamžik je možné vložit jméno/heslo uživatele s admin právy a ten se tak dostane do aktivního účtu přihlášeného uživatele!

To znamená, že lze zneužít nejen veškerá data uživatele (což lze při fyzickém přístupu k počítači i tak poměrně snadno přes Terminal a sudo), ale především se útočník dostane ke spuštěným aplikacím, které mohou obsahovat citlivá data (například odemčená “peněženka” na hesla, přístup k bankovnímu účtu, jiná soukromá data). A samozřejmě pokud se někdo neoprávněně dostane k root uživateli, je to ještě nepříjemnější.

Chyba je velice snadno zneužitelná v prostředí, kde admin sítě má na každém stroji účet a tak si běžný uživatel nemůže být jist, zda někdo při jeho nepřítomnosti nebude jakkoliv zasahovat do jeho účtu a jeho soukromých dat. Jedinou ochranou je pak buď vypínat aplikace, které mohou obsahovat citlivé informace, nebo se odhlašovat.

Zajímá mě váš názor na tento problém, osobně to považuji za docela těžkou chybu Mac OS X. Zdá mi, že to je úmysl, tedy výsledek návrhu, ale osobně mi přijde, že to může znamenat velmi nepříjemnou kompromitaci soukromých dat uživatelů.

· Trvalý odkaz na tento příspěvěk · Linkuj.cz · Jagg.cz

  1. Dle mého to je chyba—respektive není to domyšlené, protože pak by přece nemělo smysl specifické nastavení práv u jiných uživatelů (složky v home)—do těch složek se jako admin nedostaneš.

    Ochrana je asi jediná—nastavit auto. odhlášení při nečinnosti…

    ...stejně je mi to divné…

    — agent    6.1.2006 15:30    #

  2. To vypada jako problem ve screen saveru, nic co by neslo snadno opravit. Jinak pristup k souborum neni problem ani na jinych systemech, pokud je utocnik admin :-)

    Milanek    6.1.2006 15:32    #

  3. PS: pokud vím, tak na cizí účet se přes sudo nedostaneš…

    — agent    6.1.2006 15:34    #

  4. No chyba to asi je nicmene pokud je aktivni ucet ROOT a odejdu si na obed….. ale myslim ze neco s tim screen saverem se uz resilo pred rokem… a zaver byl ze screensaver neni ochrana pocitace. byl kolem toho docela humbuk…

    — ED    6.1.2006 15:47    #

  5. [2]jestli se nepletu, tak s adminem se k cizim souborum tak jednoduse nedostanes. Musel bys uzivateli zrusit ucet a domovskou slozku “prevest” na sebe. Nebo, samozrejme, povolit roota.

    Obavam se, ze to neni bug, ale zamer. Modelova situace: dva kolegove v praci, jeden pocitac (nebo 30 studentu – 1 pocitac ;) ). Jeden kolega odejde a pocitac uspi. Druhy kolega na nem potrebuje pracovat, co ted – restartovat natvrdo pocitac?. Ne, prijde admin, zada heslo, prepne uzivatele a jede se dal. Prvni uzivatel neprijde o rozdelanou praci, druhy muze delat.

    Takze se obavam ze je to “intended behaviour”, ale mohlo by to byt nekde jasne uvedene…nebo treba je, ale kdesi hluboko v anglicke dokumentaci, kam bezny uzivatel neprijde.

    — hroch32    6.1.2006 15:54    #

  6. [4]tenkrat slo tusim o delku hesla, to se k tomu mohl dostat kazdy, ted aspon jenom admin. On screensaver rozhodne neni zadne poradne zabezpeceni, ale co treba zbyva studentum v pocitacovych ucebnach – odhlasit se nemuzou, to by si nekdo sedl misto nich. Pravdou je, ze tam asi nebude mit druhy student admin heslo. Proto si myslim, ze minula situace byl bug, zatimco tohle je tam umyslne. Ona tam ta moznost totiz musi byt IMHO naprogramovana, dost pochybuji, ze by se tam neco takoveho dostalo jako vedlejsi produkt. S tim uz ale varim z vody.

    — hroch32    6.1.2006 15:59    #

  7. Mam za to, ze se admin dostane vsude, kam chce. Pletu se? Staci zmenit pristupova prava a zadat heslo. Kdyz je mu jedno, ze bude objeven, tak muze resetnout heslo, cokoliv… Nakonec kdyz nejsi admin a chces byt, tak neni nic jednodussiho, nez najit nejake systemove DVD. To je IMHO nejvetsi problem – kdokoli je za pet minut root s neomezenym pristupem ke vsemu. Postupu je cela rada a majitel pocitace na to nemusi nidky prijit.

    — Petr Hrncir    6.1.2006 16:05    #

  8. Je rozdil se dostat K DATUM, je rozdil nalogovat se do uctu. Jinak tohle NESOUVISI se screensaverem, klidne si ho vypnete, je to proste ochrana po probuzeni.

    ad skola a podobne – pro podobne ucely je Fast User Switching, pri existenci teto funkce neni jediny duvod, aby bylo mozne se prihlasit takto snadno do uctu jineho uzivatele. chyba je to :(

    Martin Ler    6.1.2006 16:19    #

  9. tohle je asi vec znama, ale neznepokojuje me to tolik jako to, ze se k datum dostanes VZDYCKY pres instalacni cd. Tuhle v praci vyhodili jednoho kolegu a jsem potreboval admin ucet na jeho G5. Tak jsem vzal instalacni cd, zrestaroval comp a v instalacnim menu nastavil reset poassword, kde se me to bez optani na puvodni heslo dovolilo zadat nove. restart, login a oujeee, vse funguje jako normalne. Pravda obet se pak se svym starym heslem uz nenaloguje, ale data jsou vase. OS X NENI bezpecna platforma pokud nepouzivate File Vaul s Master heslem.

    — Ezekiel    6.1.2006 16:19    #

  10. sakra, koukam, ze uz to tu nekdo postnul. neva :-)

    — Ezekiel    6.1.2006 16:20    #

  11. [8]kdyz je zapnute Fast User Switching a pocitac se uspi, tak co se stane pri opetovnem probuzeni? Omlouvam se za blby dotaz, ale nemuzu si to ted vyzkouset.

    — hroch32    6.1.2006 16:29    #

  12. Petr Hrncir : Nedostanete se všude (ani přes SUDO ne)...

    Ezekiel: To co popisujete, nesouvisí s bezpečností systému, ale s bezpečnostní uvnitř nějaké organizace… Mac OS X JE z tohoto pohledu bezpečný...

    — agent    6.1.2006 16:30    #

  13. [7] to je jen otazkou zabezpeceni hesly, ja mam zaheslovane vsechny klicove preferences a tim padem i “startup disk”, dale mam zadane Open FW heslo, takze u mne nenabootujete ani s podrzenim C pri bootu, PRAM take nevyresetujete… v podstate jediny zpusob je otevrit pocitac fyzicky a manualne vyresetovat board… (a tam se da dat zamecek – visaci)
    teda aspon doufam :)

    [5] na 10.3.9. jsem to ted testoval (na 10.4.3. mam jen jeden admin ucet a tak jsem to netestoval, na 10.3.9. jeden admin a jeden user) a pro situaci, kdy se chce zalogovat dalsi user staci mit povoleno fast user switching a v login okne pri pokusu o vypnuti screensaveru je moznost “switch user”.

    Imo by se mel admin po tom zalogovani dostat na svuj ucet, ne na ten uzivatelsky… nejak nevydim duvod, proc by se mel potrebovat dostat na uzivatelsky (napada nekoho duvod?)

    — Kichi    6.1.2006 16:31    #

  14. Kichi: proto je to chyba. NIKDO se nema dostat do zalohovaneho CIZIHO uctu.

    Martin Ler    6.1.2006 16:35    #

  15. [13]hm, tak v tom pripade je to tedy skutecne nesmysl a omlouvam se, tohle mi nejak nedoslo. Ja doma FUS nejak nepouzivam.

    Stejne si ale nedovedu predstavit, jak by se to tam dostalo nahodou, nemuzu se zbavit dojmu, ze to tam dal Apple schvalne…ted me uz ovsem nenapada duvod

    — hroch32    6.1.2006 16:36    #

  16. [14]to je jasne, ja to odzacatku nemyslel tak, ze je to v poradku. Jen si proste neumim predstavit, ze by to tam bylo nahodou ci jako omyl. Asi mam malou predstavivost :)

    — hroch32    6.1.2006 16:38    #

  17. agent: A kam se nedostanu? Do slozky uzivatele, knihovny atp. ano. Jedine, k cemu se admin bez resetu hesla nedostane, je IMHO Keychain.

    — Petr Hrncir    6.1.2006 16:48    #

  18. ...a jak se dostaneš z admin účtu k datum v jiném účtu?

    — agent    6.1.2006 16:59    #

  19. agent: a kde jsou umistena? Vzdycky muzes dat informace o slozce a nastavit tam prava na 777 nebo cokoliv, abys k tomu mohl… Ani nemusis do terminalu. Je to opravdu az prilis jednoduche.

    — Petr Hrncir    6.1.2006 17:03    #

  20. agent: pres sudo UPLNE v pohode

    Petr Hrncir: keychain IMHO nevyresetujes.

    Martin Ler    6.1.2006 17:32    #

  21. Jestli to dobre chapu, tak sudo nahrazuje docasne zalogovani pod rootem….
    A co se vlastne stane, kdyz je root heslo odlisne od admin hesla a admin, ktery nezna root heslo zada sudo a pak svoje heslo? Necha ho to provest sudo?

    Myslim tim teoretickou situaci, kdy je nekolik useru a nekolik adminu s tim, ze jen jeden z adminu je “super” admin a ten se muze zalogovat jako root (zna heslo). Nebo jsem mimo?

    — Kichi    6.1.2006 17:46    #

  22. Kichi: sudo necha provest prikazy s pravy superusera (roota) kazdeho admina. pro sudo pouzivas prave sve admin heslo.

    Martin Ler    6.1.2006 18:06    #

  23. Windows to maji osetreno – odloguji uzivatele ktery je prihlaseny a pak se misto odemceni prihlasi admin.

    Modrak    6.1.2006 18:20    #

  24. Ehm tady je někdo objevil Ameriku. Pokud jsem admin, tak můžu zavést kext (kernel extension) (device driver pod Win nebo driver pod Linuxem) a ten může zcela bez problémů zaznamenávat každou stisknutou klávesu popř. dělat screenshoty obrazovky a ty mi jednou denně mailovat. Prostě pokud je někdo admin (Administrátor, root), tak mi může provést naprosto cokoliv. A pokud pustím někoho cizího bez dozoru k počítači, tak se ten cizinec obvykle je schopen stát adminem (reset hesla z install CD, nabootování nějakého live Linuxu a podívání se kam chce, reset Win hesla pomocí speciální boot diskety, ... a pokud to udělám dobře, tak budu schopen obnovit původní heslo).
    Zaheslování souborů dost pomůže ale proti odchytávání klávesnice (aneb zaznamenání hesla) pomocí kext to stejně nefunguje.

    — Petr Baláš    6.1.2006 20:34    #

  25. Maler: tak jak si třeba prohlédneš soubory v domovské složce nějakého uživatele? (standardně nemáš uživatele root aktivního—z toho vycházej)

    — agent    6.1.2006 21:09    #

  26. Ja tomu moc nerozumim, ale mam OS X 4.2 a protoze jsem na nem sam, pouzivam jen admin. A pokud se pocitac vzbudi, chce po me heslo. Ale pokud pocitac restartuji, ci zapnu, zadne heslo to po me nechce…

    — jt    6.1.2006 21:42    #

  27. Ne, neni to bezpecnostni dira, mozna to jen neni idealni volba (bylo by hezke mit moznost to vypnout). Predstav si totiz analogickou situaci, kdyby tato domnela dira neexistovala (pri probuzeni je akceptovano jen heslo prihlaseneho uzivatele): Je prihlaseny nejaky uzivatel s otevrenym svazkem klicu a citlivymi daty na obrazovce. Jeho kolega administrator se prihlasi pres SSH (to muze jako administrator kdykoli predtim povolit) a muze tak ziskat superuzivatelska prava – vidi vse, co je v pameti, na obrazovce, a nakonec i shodi setric obrazovky nebo proces vyzadujici po probuzeni heslo a ma vyhrano. Zadny podstatny rozdil. To je aspon muj nazor.

    agent: [25] Sudo spravci (tomu, kdo zna jeho heslo) dovoluje ziskat prava libovolneho uzivatele. (A i kdyz to neni dulezite: Administrator muze kdykoli aktivovat implicitne neaktivni ucet superuzivatele.)

    jt: [26] Vypni si automaticke prihlasovani.

    Ezekiel: [9] Lze si nastavit OpenFirmware heslo a tak tomu zamezit. Fyzicky pristup k pocitaci ale bez ohledu na to znamena absolutni pristup k (nezasifrovanym) datum (vyndat disk, pripojit jinam). S tim se neda nic delat.

    Adam Nohejl    6.1.2006 23:00    #

  28. Adam, Petr Balas: jiste, to vsechno jde, napadnou pocitac pri fyzickem pristupu k nemu je samozrejme trivialni a de to mnoha zpusoby. Tento je hloupy v tom, ze je EXTREMNE trivialni!

    Martin Ler    7.1.2006 00:23    #

  29. Zda se mi to lehce vykonstruovane (co realna situace?) a zvelicene (skutecny vyznam oproti tomu, kdyby spravce takhle odemnout pocitac nemohl).

    Chci-li pocitac skutecne chranit, neprihlasim se a nenecham ho nestrezeny spat (pokud tedy podeziram spravce, mam duvody byt paranoidni atd.) – bez ohledu na to, zda je prihlaseni spravce o trochu slozitejsi nebo snazsi.

    Je to i vec nazoru, ale vadi mi ten senzacni titulek clanku – i kdyz to pozdeji pises, neni v nem, ze musis mit spravcovske heslo. Kdyby to v titulku bylo uvedene, nikoho by to nijak zvlast neprekvapilo, natoz aby v tom videl nejakou bezpecnostni diru. Spravce ma totiz nad pocitacem v podstate absolutni moc, zbytek jsou detaily.

    Adam Nohejl    7.1.2006 00:45    #

  30. Adam: sorry, ale je ROZDIL kdyz k tomu potrebujes nejake specialni nastroje a znalosti, a je rozdil, kdyz to muzes udelat kdykoliv, behem nekolika vterin. i chyby maji sve “hodnoty” a tohle je pro me docela zavazna chyba, snadno bezne zneuzitelna. Snadne zneuziti me dost zarazi a opravdu bych to nebagatelizoval.

    Martin Ler    7.1.2006 02:19    #

  31. a realna situace je VELMI snadna – v libovolnem grafickem studiu, kde pouzivaji vice accountu a kde je na vsech jednotny spracovsky account – pomerne bezna konfigurace. zajima te co si tva kolegyne pise v ICQ? sup, behem vteriny to vis. ses zvedavej kolik kolega bere plat a vidis ze si nechal otevreny vypis z banky? Lup. Jej, ma sporku? to si muzes previst penize na vlastni ucet, nez prijde ze zachoda.

    Obavam se ze zbytene to trivializujes a podcenujes. Sestup z programatorskych vysin, kde si muzes hrat na dumpovani pameti, odchytavani klaves pres kernel extenzny a podobne ptakoviny, do realneho zivota, kde muzes takhle snadno nekomu skodit, vedet co vedet nemas a podobne.

    Martin Ler    7.1.2006 02:23    #

  32. 1) Pokud ma clovek admin prava, muze se dostat ke vsem datum na pocitaci a libovolne s nimi manipulovat, jak uz tu bylo receno. Jedine reseni je FileVault.

    2) MaLer ma pravdu, ze jde hlavne o zneuziti zamcene session, jejich spustenych aplikaci (napriklad prihlaseny web browser v eBance – do niz by se jinak nikdo nedostal ani kdyby si precetl vsechny moje data na disku). To je myslim dost velky problem.

    3) ALE – je iluzorni si predstavovat, ze admin u vas na pocitaci neco nemuze. Napriklad se muze ve vyse zminene firemni siti pripojit na pocitac pres SSH a screensaver proste zabit, ze ano…

    Vysledek: Taky si nemyslim, ze to je ve screensaveru nahodou – je to feature a ne bug. Chyba Apple je hlavne v tom, ze dava obcas uzivatelum pocit, ze nektera jejich data/programy jsou na pocitaci bezpecna i pred adminem. Nejsou. Nikdy.

    — zzen    7.1.2006 07:05    #

  33. Upresneni: A druhy problem je v tom, ze na pocitaci sice pred adminem neni NIC utajene, nicmene Apple k tomu nemusi vyzyvat takhle dosiroka otevrenou dirou, kterou clovek pohodlne proklouzne v GUI, aniz by se patlal s nejakym hackovanim.

    agent: Prestan prosimte delat rozdil mezi adminem a rootem. Je to v praxi to samy – i kdyz Apple se obcas snazi nam namlouvat neco jinyho.

    — zzen    7.1.2006 07:06    #

  34. Tak si tedy dejte pozor i na linux. Pri zapnutem screensaveru se kdokoliv prepne ko konzole a pusti ps. Pokud jde o spravce, klidne Vam zabije screensaver a prepne zpet do X.
    Je to asi o 10 vterin zdlouhavejsi, ale vysledek stejny jako u toho maca.

    Opravdu bych to povazoval za normalni vlastnost.

    Nebo ma linux strasny bezpecnostni problem rovnou v navrhu?

    — nm    7.1.2006 07:21    #

  35. zzen:tak nejak jsem to myslel, jen jsem to nedokazal tak pekne formulovat.

    Taky si myslim, ze to tam je umyslne. Myslim ale, ze by Apple mel 1)na to rozumne upozornit, 2)predevsim umoznit to vypnout – pripad, co popisuje MaLer, mi prijde docela realny. Proste mam nekdy dojem, ze v ramci marketingu obcas Apple presvedcuje lidi o bezbecnosti, ktera je pouze iluzorni. Vysledek je – budme aspon trochu paranoidni. Rozhodne neodchazet od kompu spojenho s bankou.

    — hroch32    7.1.2006 08:59    #

  36. no, tak stále mi nikdo neřekl, jak si rychle, bez nějakých dalších nastavení, prohlédnu soubory v domovské složce jiného uživatele… hlavně, že jsou všichni moc chytří co se bezpečnosti týče… ;-)

    — agent    7.1.2006 10:15    #

  37. Napadá někoho důvod proč mít v práci otevřený soukromý bankový účet, nebo provozovat soukromou korespondenci jakymkoliv způsobem a s kýmkoliv?

    Není to tak trochu proti pracovní smlouvě a neměl by být dotyčný patřične postižen – za zneužívání pracovní doby?

    Pokud jsem někde zaměstnaný, tak v práci mé soukromé věci nemají co dělat. Každý zaměstnavatel musí být radostí bez sebe, když si jeho zaměstnanci posílají v pracovní době příkazy za svoje soukromé faktury a pod.

    Když jsem doma, tak tam k počítači nikoho s bootovacím CD nepustím, pokud se tam někdo vloupá, tak to si rovnou může odnést celý počítač.

    Martin Sluka

    — Martin Sluka    7.1.2006 10:50    #

  38. nm (34): na Linuxu lze zablokovat přepínání do konzole (volba v xorg.conf).
    A nebo nakonfigurovat selinux (http://www.nsa.gov/selinux/) a věřím, že to půjde nakonfigurovat tak, že to bude bezpečné. Ale bude to otravovat uživatele.

    — Petr Baláš    7.1.2006 11:38    #

  39. Maler (31): zkus zadat do googla “apple mac keylogger”. Na první zběžný pohled to něco našlo.

    — Petr Baláš    7.1.2006 11:47    #

  40. agent (36): konzola, subo bash a už si kopíruji co chci kam chci. Kde je problém?

    — Petr Baláš    7.1.2006 11:52    #

  41. Martin: konecne rozumnej nazor! :))) Hlavne si myslim, ze je blbost rikat,ze to je chyba, chyba to neni, myslim, ze je to tak spravne a dobre!KDyz je prece nekdo admin, tak ma mit nad tim pocitacem moc a ma ho spravovat. A aby ho mohl poradne spravovat, tak musi mit pristup vsude. A normalni uzivatel prece musi pocitat s tim, ze se Admin muze dostat vsude, od toho je to admin, aby ten pocitac mohl administrovat! Myslim, ze tady se blbe uvadej priklady z nasich malinkejch firmicek – grafickej studii, kde je 5a pul cloveka a vsichni si tam delaj vsechno sami, nemaj zadnyho specialistu administratora, kazdej zna heslo toho druhyho atd. S timhle neni pocitany! A ani se s tim hlavne pocitat nemuze! Predstavte si jak by to dopadlo, kdyby tahle moznost v Masoxu nebyla. Ja bych treba byl uzivatel, kterej si odesel z prace domu a nechal zapnutej komp jen se sporicem. A admin ve firme by potreboval neco udelat s mojim pocitacem – treba upgradovat system nebo nainstalovat novy antivir atd. Kdyby se nemohl se svym adminackym heslem dostat ke mne na ucet, tak by si ani neuprdnul, musel by pockat, az ja druhej den nebo po vikendu prijdu zase do prace a pocitac mu odhesluju – to je prece uplna kravina. Jasne muzes rict, ze na nainstalovani neceho se muze dostat k sobe na ucet a delat to odtamtud, to je pravda, ale co kdyz pak bude muset komp restartovat?!? kdyz se nedostane ke me na uzivatelskej ucet, tak jak si bude jistej, jestli ten komp muze restartovat anebo ne? Co kdyz ja tam budu mit treba rozdelanou nejakou praci v Shopu, na ktery makam celej den a jste jsem si to neulozil?!? Tim ze by on restartoval pocitac, tak bych mel celou praci v prdeli anebo on by zase,musel pockat az ja prijdu a zadam svoje heslo. Ale to by tam potom ten admin nebyl potreba, to by sis mohl vsechny upgrady delat sam!!! Jasne ze v tech malejch firmickach si to vetsinou kazdej sam dela, ale to je prave to, s cim se nepocita. Admin je adminem proto, ze se ma a musi dostat vsude, aby se o ten pocitac mohl dobre starat se vsim vsudy a kazdej s tim musi pocitat, ze admin se dostane vsude, od toho je to admin a ne normalni user! A normalni uzivatele nemaj mit o adminskym hesle vubec poneti, takze takovy reci, ze se kolegovi podivam na ucet atd, tak to je hovadina, protoze ja vubec nemam adminsky heslo znat jakozto radovej zamestnanec. A jako takovej se pak taky nikam nedostanu! Zdar a mejte se :)

    — koko    7.1.2006 11:53    #

  42. A jeste dodatek, kdyz se tady ohanite sudem, rootem atd. tak to uz musite byt prave bud admin, ktery o tom neco vi protoze je to jeho prace anebo byt norm. uzivatel, ale pocitacove hodne gramotny, aby jste tyhle vsechny prikazy ovladali. A kdyz uz je nekdo takhle schopnej, tak je jakykoliv zabezpeceni jedno, kdo chce se vsude dostane!!! A screen saver je spis jen pro nahodny kolemjdouci, aby treba navstevnik ve firme nevidel to co nema a nedostal se k citlivym datum v kompu, kdyz nahodou prochazi okolo, ale rozhodne to neni poradna ochrana!

    — koko    7.1.2006 11:59    #

  43. *(38)* Nevedel jsem, ze to lze zakazat (diky za informaci), ale neprekvapuje me to. V praxi je to ale dokonale jedno, protoze zakazat to musi admin, ja s tim nemuzu delat nic.
    Navic admin to nezakaze, plni to funkci “fast user switching” na macu. Taky by musel vypnout sshd!

    Proste “branit se” pred pristupem admina je podle me nepochopeni rozdeleni roli.

    Jina vec je treba ten Keychain. Ten mam i ja nastaveny tak, aby se automaticky zamykal. Ze v me bance clovek nevyridi prikaz bez meho telefonu a hesel snad netreba pripominat, stejne jako to, ze takove veci clovek opravdu nenechava bezet, kdyz od stroje odchazi a ze bezny pracovni stroj prece neni “bezpecny”.

    — nm    7.1.2006 12:44    #

  44. Teda tomu říkám hoax… Už jenom ten základní předpoklad : “Ăštočník do počítače musí být jeho adminem”... To je fakt dobrej fór, muehehe :)))

    — pixy    7.1.2006 12:46    #

  45. jo presne tak, naprosto souhlasim s pixim :))) kdyz si to prectu ted z5ne, tak je to vlastne totalni kravina ;) ...ale ze jsme se nechali vsichni strhnout! :)

    — koko    7.1.2006 16:49    #

  46. Narazil jsem na dalsi “problem?” v zabezpeceni.
    Na XSERVu se pri zobrazeni okna s accountama
    pro zalogovani na pozadi objevi tabulka internet connect a na ni kdyz se klikne tak se zobrazi hlavni horni lista systemu…tam si v pohode potencionalni
    utocnik muze v system pref. zalozit vlastni ucet
    treba i admin. Nevim jak se to stalo [nejaka chyba]..ale neni to taky zrovna prijemny zjisteni.

    — vlasata    7.1.2006 20:30    #

  47. Martin Ler: Abych to zrekapituloval: Tvrdis, ze je docela zavazna chyba, ze spravce pocitace (a nikdo jiny) muze snadno vstoupit do probihajici session jineho uzivatele, ktery nechal pocitac bez dozoru “zabezpeceny” uspanim nebo setricem? A navic rikas, ze je nejaky zavazny rozdil mezi tim, kdyz na to onen spravce potrebuje specialni znalost toho, jak se ukoncuji procesy, a specialni nastroj ssh a toho, a kdyz pocitac odemkne svym heslem (musi ovsem vedet, ze to jde)?

    Pro me je to asi jako, kdyby nekomu vadilo, ze mobily se zamcenou klavesnici nevyzaduji vyreseni hlavolamu, ale pouhe stisknuti dvou klaves. Ovsem tezko Ti to muzu vyvratit argumenty, me to prijde banalni a Tobe ne, asi nema cenu to dal resit.

    agent [36] napriklad:

    sudo cp -R ~/Users/jrandom .

    nebo chces-li se mermomoci vyhnout superuzivatelskemu pristupu:

    sudo -u jrandom cp -R ~/Users/jrandom .

    Adam Nohejl    7.1.2006 20:52    #

  48. Nemyslim si, ze by to byl bug v systemu. Pokud admin chce ziskat neci data ulozena na HDD, bude-li chtit se k nim stejne dostane(nepouzivame-li FileValut).

    Uz to tady padlo… prijde mi to spis jako Feature, ktera dokaze v jistem smyslu “ochranit data” uzivatelu. Mame u nas 2 pocitacove ucebny, na kterych probiha podle rozvrhu vyuka (uzivatele maji data ulozena na serveru). Uzivatel si treba na chvili odskoci, zamkne si screensaver a najednou ma zacit hodina. Administrator potrebuje stroj uvolnit, jelikoz system neumoznuje prihlasit 2 sitove uzivatele najednou (tedy FUS by nebyl k nicemu), odemkne screensaver, podiva se zda ma uzivatel vsechna data ulozena a teprve pak jej korektne odhlasi.

    Jasne, jsou extremy kdy muze byt clovek zalogovany v e-benkovnictvi, nebo si nezamyka keychain. Ale to je vec uzivatele, jak moc si ceni svych penez, hesel apod. Kdyby neexistovalo zamknuti screensaveru, tak by si na to musel taky davat pozor… Je to jen ochrana pred nahodnym kolemjdoucim.

    Pred casem jsem prisel na jinou zajimavou vec. Jeste do nedavna fungovalo to, ze se clovek se znalosti admin(root) hesla serveru dokazal pripojit na sitoveho uzivatele. Pouze do LoginWindow napsal jeho jmeno, sve heslo a HUPS … byl tam!
    Mam za to, ze to fungovalo cca na server i cilent OS 10.3.5 (mozna i driv uz si na podrobnosti moc nevzpominam), ale 10.3.9 to jiz neumoznuje.

    — A.R.    7.1.2006 21:17    #

  49. Zajímavá fetaure je také zamykání předvoleb, akorát nevím proč se objeví po odlogování/přilogování vždy odemčené, tedy alespoň u primárního admin účtu, možná u jiných to funguje. Nedá se to nějak udělat, aby zůstávaly stále zamčené?

    — Jan Volf    7.1.2006 22:35    #

  50. [49] Jan Volf: obavam se, ze tohle neni standartni chovani zamknutych predvoleb, alespon u mne na 10.4.3. zustavaji samozrejme po odlogovani a zalogovani / restartu stale zamknute.

    — Kichi    7.1.2006 23:04    #

  51. Ah, takze vlastne soukromi je vec iluzorni, predlud, a kdo na nej spoleha, je hloupej. presne takovyto dojem jsem si odnel z prispevku vsech nohejlu, pixu, balasu a dalsi. diky!

    Martin Ler    8.1.2006 03:27    #

  52. Soukromí není věc iluzorní ale musím se chovat zodpovědně. Pokud má domovník univerzální klíč od mého bytu, tak bych neměl spoléhat na to, že se mi do bytu nikdo nedostane. Obdobně pokud má někdo admin heslo od mého počítače (nebo k němu má fyzický přístup) tak by mě taky nemělo překvapit, že se do něj dostane. Situace u počítačů je navíc horší o riziko bezpečnostních děr a rychlosti jejich oprav (popř. ještě vydávání lokalizovaných verzí) a tím, že mnoho uživatelé okamžitě spustí cokoliv, co mu kdo zamailuje (bohužel spuštění může být i jen otevření dokumentu s makry).

    — Petr Baláš    8.1.2006 04:35    #

  53. Petr Baláš : mě to připadá v této analogii, jako když má domovník universální klíč od tvého bytu, a když jdeš na oběd, tak se ti jde podívat do bytu co tam máš nového…

    sranda je totiž v tom, že přes terminál vidí pouze soubory, kdežto takto může plnohodnotně PRACOVAT v tvém účtu—posílat zprávy, mít přístup k chatu apod.—jistě, to vše lze zfalšovat i jinak, ale tohle je celkem dobré usnadnění...

    — agent    8.1.2006 10:32    #

  54. Stejně tad domovník může telefonovat z mého čísla.
    BTW zfalšovat odesilatele mailové zprávy je triviální.

    — Petr Baláš    8.1.2006 11:12    #

  55. Pochopitelně jsem tím myslel odeslání z daného počítače (tedy shodné IP, shodné směrování, atd.)—tudíž zneužití, které by se jen těžko zjišťovalo… (a to nemluvě o pohodlném přístupu k privátnímu seznamu adres apod. napadeného)... opravdu bych si netroufl to takto zveličovat…

    — agent    8.1.2006 13:09    #

  56. 1) Vy kontroluje IP adresu odesilatele? Vy znáte tu správnou IP adresu pro své známé?
    2) co když je odesilatel na dialupu?

    — Petr Baláš    8.1.2006 15:29    #

  57. Zajimave … rozhdodne to funguje. Jako administrator se muzu prihlasit na jakemkoliv pocitadle, kde bezi screen saver, password pro jehoz ukonceni po mne chtejici :-)

    Nevim, proc tomu tak je. Ani nevim, jesti je to chyba. Preci jen Admin je Admin a ten se holt muze pripojit pokazde a vsude … dulezite je, ze to funguje pouze pro administratora. Jiny uzivatel se takto neprihlasi.

    :-)

    Martin Blaha    8.1.2006 16:19    #

  58. V pripade, ze se VI ze domovnik MA me univerzalni klic, fajn. Ovsem v tomto pripade to trosku kulha na obe nozky, nebot to neni publikovana a znama vec.

    Martin Ler    8.1.2006 20:54    #

  59. Kamarád (a kolega) to tu už psal (48), ale docela to zapadlo, takže: Martine, tvrdíš, že pokud něco potřebuje na počítači správce, řešením je fast user switch. Není, pokud se uživatelé přihlašují síťově. Ke kontům na serveru. Přes FUS se mohou současně připojit všichni lokální uživatelé, ale síťový jen jeden.
    Vzorová situace viz příspěvek 48. (A používáme to dlouho, novinka to není).

    — Špendl    8.1.2006 23:47    #

  60. Spendl: o omezeni sitoveho FUS vim a diky tomu jsme v jedne zakazce nemohli nasadit domenu :(. Kazdopadne to nic nemeni na tom, ze danou funkci povazuji za bezpecnostni chybu. Korektni by bylo, aby Apple umoznil napriklad prihlaseni ukoncit, ale nikoliv do aktivniho accountu proniknout.

    Martin Ler    9.1.2006 00:42    #

  61. Pokud o tom víš, tak Tvá argumentace ve druhém odstavci 8. příspěvku ztrácí smysl.:-)

    — Špendl    9.1.2006 03:50    #

  62. [8]: No, napriklad u nas v skole boli nuteny funkciu FUS vypnut. Problem bol v tom, ze mame ucebnu, kde je viacero platforiem a uzivelia neznalí Mac OS X sa jednoducho nevedeli spravne odlogovat. Vacsina sa iba “prepla”. A kedze mnohy iba zistovali, co zac tie pocitace su, tak sa uz nikdy viac opat neprihlasili. Preto bolo uplne bezne, ze som sa prihlasil a na danom kompe viselo 5 a viac uzivatelov, co ho spomalovalo.

    Podla mna je normalne, ze ak sa administrator snazi prihlasit, tak mu je to umoznene (aj ked je to screen saver ineho uzivatela). Riesenie, kedy by to admina najprv “switchlo” a potom normalne nalogovalo do jeho uctu sa mi tiez nezda vhodne.
    Problem je v tom, ze admin by mal mat nad pocitacom uplnu kontrolu a mal by byt schopny skontrolovat, co sa na danom pocitaci robi. Co obcas moze znamenat aj prihlasenie sa do aktualneho “sedenia” a kontroly, co tam uzivatel naozaj robi.

    [31] Situacia, ked administratorske heslo koluje po okoli by nemala byt bezna! Lebo uz len samotny fakt, ze ho pozna kazdy je nebezpecny a chyba je v bezpecnostnej politike danej firmy. Akonahle v danej kancelarii sedia iba uzivatelia, je tento “bug” bezpredmetny.
    A v pripade admina, ktory chodi z kancelarie do kancelarie a ked najde locknuty pocitac, tak spehuje jeho uzivatela, si treba urychlene najst ineho (teda ak to nema v naplni prace :-).

    PS: Ono by slusne bolo, keby sa to dalo nastavit.

    — tomas1284    9.1.2006 16:53    #

  63. [62] “Preto bolo uplne bezne, ze som sa prihlasil a na danom kompe viselo 5 a viac uzivatelov, co ho spomalovalo.”

    Mam tomu rozumet tak, ze mate pocitacovou ucebnu a uzivatele, kteri se na ni hlasi maji ?vsichni? lokalni konta?
    FUS totiz nedovoluje prihlasit 2 sitove uzivatele soucasne (pokud ano, tak nemam poneti jak)

    I na nasich ucebnach jsme FUS byli nuceni vypnout z toho duvodu, ze se nam uzivatele misto odhlaseni pouze prepinali:-(

    — A.R.    9.1.2006 19:09    #

Související články


Zákazníci O2 s Apple iPhone budou moct využívat tethering [U]
Listopad: měsíc Apple obchodů
Odkazy k prezentaci na Apple Forum
Jsou Things to pravé ořechové?
Apple má konečně oficiální český web
O arogantní a neakceptovatelné petici
CDS se přebarvuje na Apcom
Gigabitová síťovka pro Power Mac G4/G5/Xserve
Pokusy s Twitterem
MacHeist potřetí - a nakonec jim to zase zaplatím