Habíamos estado hablando en otras ocasiones de OS X Lion como un orgulloso exponente de cómo debe ser un sistema operativo de escritorio que piensa en la seguridad de los usuarios, pues había incorporado numerosas características que lo hacían ir un paso por delante de Windows 7 y otros sistemas alternativos. Pues bien, al parecer no es oro todo lo que reluce y a los desarrolladores del león se les ha olvidado un pequeño detalle que permite a cualquier usuario modificar la contraseña de los demás usuarios del mismo Mac.
Comentarios
No es por nada, pero este agujero es nimio comparado con el famoso manzanita-s (o comando-s) al arranque. Sin pedirte permisos te da un terminal de administración al arrancar. Y ojo, que no es un agujero, es una feature:
La solución qeu me dieron los gurús de los foros oficiales de Apple fue que "el acceso físico rompe toda seguridad. Si no quieres que tengan acceso físico, pon la cpu en una habitación y usa cables muy largos para teclado, ratón y monitor."
Y que si se pone contraseña, tiene que ser la misma para todo modo de arranque (eligiendo disco, a disco óptico, modo seguro, verbose mode, modos de recuperación, etc). Vamos, lo qeu viene a ser,
Aquí la discusión:
https://discussions.apple.com/thread/2306672?start=0&tstart=0
Pero esto que es?
root@fidoserver:~# uname -a
Linux fidoserver 2.6.18-238.5.1.el5.028stab085.3 #1 SMP Mon Mar 21 20:05:12 MSK 2011 i686 GNU/Linux
root@fidoserver:~# passwd
Enter new UNIX password:
Retype new UNIX password:
passwd: password updated successfully
Oh dios mio! Linux tiene un bug crítico que permite cambiar la password sin poner la vieja si el ordenador está desbloqueado con la sesión iniciada, la de root nada menos!!!
A otra cosa..
Ah y #1, puedes:
a) poner una password en la EFI
b) cifrar las carpetas de los usuarios con filevault
c) cifrar todo el disco (nuevo en Lion)
Cualquiera de las 3 opciones deja abierta la posibilidad de usar el single user para lo que es, la recuperación de errores, sin que un posible atacante acceda a los datos.
En cuanto a lo de que el acceso físico rompe toda seguridad, es lo que hay, en cualquier sistema te vas a encontrar con lo mismo (y que pasa si arrancan desde un livecd? y que pasa si se llevan el disco duro? y que pasa si..)
Me acuerdo unos equipos de Cisco con los que trabajé que llevaban esto al extremo, los modelos con CatOS, que no son precisamente modelos caseros, en ese caso por ejemplo para recuperar la password de administración el procedimiento era este:
http://www.cisco.com/en/US/products/hw/switches/ps708/products_password_recovery09186a00801349aa.shtml
Es decir, reiniciabas y durante los primeros 30 segundos la contraseña de administración estaba en blanco, y es que el acceso físico.. eso:
Titular erróneo, yo creía que era un servidor situado en Lion, que tenía un fallo, y podían caer las contraseñas de muchísima gente (yo preguntándome... y que contraseñas mías tendré por ahí). Pues bien, resulta que es un tema de MAC. Pon el titular que los que están en riesgo so los de Mac.
#2 La verdad es que no me gusta tocar los titulares. Pero tienes razón podía haberle añadido un (Mac OS X).
Creí que se vería bien el OS X en mayúscula de la primera línea de la entradilla. Pero no ha sido suficiente.
Ya se me ha pasado el tiempo de edición...