'OS X-kraak van buitenaf niet gelukt'

In de eerdere OS X Hacking Challenge werd een Mac Mini als server opgezet en kregen deelnemers lokale beperkte rechten. In het geval van de uitdaging van de systeembeheerder Dave Schroeder, krijgen de deelnemers geen lokale toegang. Dat schrijft CNet.

Schroeder, systeembeheerder van de University van Wisconsin, heeft een Mac Mini als webserver opgericht. Deze computer draait Mac OS X 10.4.5 met de meest recente beveiligingsupdates, daarnaast staan Secure Shell (ssh) en http open.

De test is een directe reactie op de OS X Hacking Challenge en de claim die er uit voort kwam. De winnaar van de Hacking Challenge stelt namelijk dat hij binnen dertig minuten het systeem kan overnemen. In het geval van de test van Schroeder is het niemand gelukt om binnen 38 uur het systeem over te nemen. Dit terwijl bij de meeste Mac-servers ssh en http niet eens open zullen staan, stelt de systeembeheerder.

"Bij de OS X Hacking Challenge hadden de deelnemers al een lokaal account waarmee ze via ssh verbinding konden maken. Dat is een groot verschil met mijn uitdaging. Als je namelijk al lokaal toegang hebt tot een computer, dan is het vanuit die positie veel makkelijker om een machine over te nemen", aldus Schroeder.

Media

Het steekt Schroeder dat veel media niet berichtten over het feit dat de deelnemers aan de OS X Hacking Challenge al lokale toegang hadden. Vandaar dat hij deze test heeft opgezet. Desondanks wil hij niet af doen aan het resultaat van de eerdere wedstrijd. Schroeder: "Ervan uitgaande dat de claim terecht is, dan gaat het om een tot op heden onbekende manier om priveleges te verhogen. Dat kan een serieus probleem zijn voor elke gedeelde computer, zoals die bijvoorbeeld in scholen aanwezig zijn."