Apple Mac má problém s bezpečností účtu root – řešení je naštěstí poměrně snadné

Je možná až s podivem, s jak moc rozsáhlými a vážnými bezpečnostními incidenty a problémy se v letošním roce setkáváme. Pomyslné stupně vítězů za poslední tři měsíce by mohly vypadat takto:

  • Společnost Uber: hackerům se podařilo odcizit značné množství údajů alternativní taxislužby. Pozornost si v tomto případě zaslouží fakt, že firma kybernetickým zločincům zaplatila za jejich mlčení a smazání ukradených dat a celou událost se snažila maximálně utajit. K bezpečnostnímu incidentu přitom došlo již na podzim roku 2016.
  • Společnost Equifax: počítačovým zločincům se podařilo získat osobní data – a to včetně tak důležitých informací, jakými jsou čísla sociálního zabezpečení – zhruba poloviny dospělé populace Spojených států amerických.
  • Společnost Apple: prosté kliknutí na tlačítko „Show password hint“ zobrazí místo nápovědy samotné heslo k zašifrovanému zařízení.

Apple se ale nepoučil a hackerům nevědomky nabídl další možnost k páchání kybernetického zločinu. Jde o bezpečnostní problém, který je snad ještě pozoruhodnější, než ten z „oceněné trojice“. Společnost by si tak možná zasloužila medaili zlatou. Nové bezpečnostní riziko se navíc dočkalo velkého ohlasu, a to i díky prvotnímu zveřejnění informaci na Twitteru.

Výchozí heslo uživatele root je…

Ve verzi operačního systému MacOS (High Sierra, aktuálně 10.13.1), lze velmi snadno získat heslo uživatele root – tedy administrátora s nejvyššími oprávněními. Průměrný počet pokusů nutných k odhalení tohoto hesla je … JEDEN.

Překvapivé je, že ve skutečnosti vlastně není heslo vůbec nutné zjišťovat, protože v daný okamžik je už známé, je totiž prázdné. Postup ke zneužití uvedeného bezpečnostního problémů je velmi snadný – stačí se přihlásit jako uživatel root bez vyplněného hesla.

Z dostupných informací lze předpokládat, že společnost Apple se vůbec neobtěžovala heslo pro uživatele root nastavit. Důvodem může být fakt, že při běžných aktivitách není tento účet využíván. Místo něj si majitelé počítače obvykle vytváří jeden nebo více běžných účtů s právy administrátora – v případě potřeby stačí zadat vlastní heslo a provést požadovanou činnost. Teoreticky jde o vcelku dobrý bezpečnostní mechanismus, protože jako administrátor nemusí být uživatel přihlášený po celou dobu práce s počítačem, není nutné sdílet jedno heslo mezi více správci a díky jasnému provázání provedených kroků s konkrétním uživatelem je zodpovědnost každého z administrátorů obvykle o něco větší,“ konstatuje Patrick Müller, Channel Account Executive pro Českou republiku a Slovensko ve společnosti Sophos.

Zneužití tohoto bezpečnostního incidentu je v praxi naštěstí složitější. Pokud je například účet root na počítač aktivní a má vyplněné heslo, bez jeho znalosti se neobejdete. Ideální je, pokud k nastavení hesla dojde již během instalace systému a má náhodnou podobu a nikdo jej tedy nezná. Výhodou tohoto přístupu je snadnější zamezení nežádoucím situacím, jako je například náhodné použití administrátorského hesla při běžné práci. Pokud uživatel root heslo nastavené nemá, je vhodné tento účet nastavit tak, aby neumožňoval přihlášení – bez ohledu na to, kolik a jaké způsoby kybernetičtí zločinci pro pokus o získání přístupu pod uživatelem root vyzkouší.  

Existuje řešení?

Bezpečnostní problém operačního systému MacOS je sice závažný, ale není nutné propadat panice. Jednoduše stačí pro uživatele root nastavit dostatečně silné heslo, které nikdo jiný nezná a nelze jej odvodit nebo uhádnout. Samotná kontrola aktuálního stavu a zajištění nápravy je tak velmi snadná. Stačí otevřít Terminál, zadat passwd root a třikrát stisknout klávesu Enter. Není nutné mít z tohoto postupu obavy, pokud již nějaké heslo pro uživatel root existuje, k jeho změně nedojde.

$ passwd root

Old Password: [stiskněte Enter – žádné heslo nezadávejte]

New Password: [ještě jednou stiskněte Enter, opět bez zadání hesla]

Retype New Password: [a do třetice …]

Pokud již heslo existuje a není prázdné, bude o tom systém informovat hláškou:

passwd: authentication token failure

Tato zpráva je důkazem, že je vše v pořádku a popisovaný bezpečnostní problém se takového počítače netýká (protože účet root s heslem již existuje).

Nicméně pokud po třetím stisknutí klávesy Enter ke zobrazení uvedené zprávy nedojde, heslo pro uživatel root je prázdné a je nutné jej změnit. Opět to není nic těžkého, stačí zopakovat již vyzkoušený postup. Jen součástí druhého a třetího kroku je zadání nového – a dostatečně silného – hesla.

Nicméně, pokud žádnou zprávu nevidíte, vaše základní heslo bylo a stále je nevyplněné, což znamená, že je nutné jej změnit:

$ passwd root

Old Password: [stiskněte Enter – žádné heslo nezadávejte]

New Password: ****** [zadejte heslo a stiskněte Enter]

Retype New Password: ****** [zopakujte heslo a stiskněte Enter]

A to je vše, nyní již heslo pro účet root existuje.

Technicky vzato není nutné si nové heslo pamatovat. Nelze ale zadávat úplné nesmysly, heslo z druhého a třetího kroku se totiž musí shodovat. I nadále je možné počítač spravovat pomocí běžného účtu s administrátorskými oprávněními – samozřejmě až po zadání hesla spojeného právě s tímto „běžným“ účtem.

 

Reklamy