Dan kwam ik een blog postje tegen:
https://medium.com/@brentonhenry/security-flaw-in-os-x-displays-all-keychain-passwords-in-plain-text-a530b246e960#.j40fz0ey6
ALLE paswoorden van je Mac zijn gewoon te exporteren met één simple Terminal commando!
Ik heb dit getest en het werkt. Het werkt niet alleen voor de paswoorden van bv. Safari, maar ook voor de paswoorden van het systeem. En dat inclusief de "onbreekbare" versleutelde partities, als je die hebt!
Ik moet dus niet alleen vaststellen dat dit geen bug is, maar opzettelijk. Ik heb nog niet veel tijd besteed aan het zoeken naar documentatie van het commando "security', maar zo op't eerste zicht stinkt dit grandioos.
De switch "-d" staat niet in "man security". Ook het commando "dump-keychain" niet.
De commentaar van naïeve Mac gebruikers dat dit "by design" is, slaat dus ook nergens op. Niet documenteren kan alleen gezien worden als slechte bedoelingen.
En wat ik interessant zou vinden, is dat iemand dit even test op iOS, want ik heb een gefundeerd vermoeden dat dat hetzelfde resultaat gaat geven, maar ik gebruik zelf geen iOS.
Gelukkig gebruik ik Chrome als browser, die slaat de paswoorden op in een eigen data bestand en niet in de Keychain.
Ik schrijf dit dan ook als een waarschuwing, want deze week zijn er nog enkele exploits boven gekomen die, in combinatie met dit gat, alle hoop de grond inboren. Degenen met kennis hiervan, kunnen elke Mac op afstand volledig compromitteren.
(Bewerkt door cyrano om 14:03, 10-07-2016)
Denk dat we hier een troll hebben.
Als de auteur van die trojan beter was geweest, was dit een ramp. Ik veronderstel dan ook dat het een simpele amateur was, of dat iemand aan het testen was of dit ging lukken met Mac gebruikers.
Veronderstel even dat de makers een server van een populaire tool kunnen kraken en deze code in, pakweg VLC droppen. VLC draait onder de context van de gebruiker. Iedereen die als admin draait (de meerderheid, dus), ziet z'n paswoorden meteen naar 't net verdwijnen de eerste keer dat hij VLC opent. Doe dit goed en geen kat merkt dat het gebeurt.
En met "goed" bedoel ik dat de transmissie traag en vertraagd gebeurt, onder de context van bv. automatische update, waardoor mensen geneigd gaan zijn om bv. Little Snitch toe te laten dat de trojan buiten kan...
MackeyV40 om 14:06, 10-07-2016Je kunt idd de hele keychain inderdaad exporten naar een tekstbestand, maar het is daarmee nog steeds niet bruikbaar omdat het salted is. Dus (nog) niet meteen bruikbaar...
De export is in PLAIN TEXT...
Probeer even, voor je met dit soort [PIEP]koek afkomt.
De enige dunne barrière is dat mensen die niet als admin draaien, een paswoord moeten intikken en zich misschien op dat moment realiseren dat er iets mis zou kunnen zijn. Maar hoevelen zijn er (mezelf incluis) die dat op een onbewaakt moment even doen zonder er over na te denken.
En voor diegenen die in plaats van hun hersens te gebruiken "troll" gaan roepen, ik ben hier al jaren geregistreerd en Mac gebruiker sinds 1989. Ik zou niet liever hebben dan dat ik verkeerd ben, maar vrees er voor. Ik heb dit overlegd met anderen en de reactie was overal dezelfde: dit is geen bug, maar "by design" en ongedocumenteerd. Denk even na wat dat kan betekenen...
(Bewerkt door bacon om 14:51, 10-07-2016)
bacon om 14:20, 10-07-2016Gelukkig sla ik doorgaans de uitnodiging van mijn sleutelhanger af, om een wachtwoord op te slaan. Ik heb al mijn wachtwoorden in een (versleuteld) mapje in Espionage staan ( https://goo.gl/zR9Vh1 ). Ik ben benieuwd of mijn redenering klopt.
Ik ben altijd zeer sceptisch geweest over 3rd party password managers. Dat onder het motto dat ze alleen maar het "atack surface" vergroten. Er zijn ook al enkele van die password managers waarvan gebleken is dat ze allesbehalve veilig zijn.
Maar misschien moet ik mijn mening maar herzien...
Ik hoop nog steeds dat iemand bewijst dat ik fout ben, maar na testen en met fundering.
Reacties: https://news.ycombinator.com/item?id=12054778
Ik heb het geprobeerd, maar bij mij worden geen van de commando's geaccepteerd. Dus...
Flix om 16:01, 10-07-2016Ik heb het geprobeerd, maar bij mij worden geen van de commando's geaccepteerd. Dus...
Dat is wel heel vreemd. Ik heb het geprobeerd op 10.6 tot Mavericks en het werkt altijd via de Terminal, tenzij die fout ingesteld is.
En wat bedoel je met "geen van de commando's"? Er is er nl. maar één.
De export is in PLAIN TEXT...Probeer even, voor je met dit soort [PIEP]koek afkomt.
Dude, denk jij nou echt dat ik dat niet zou hebben geprobeerd? Dus wel, en op elke mogelijke manier dan ook. Dus ja, ik weet echt wel waar ik over schrijf. En ik weet donders goed welke passwords ik gebruik en ik heb op nog geen enkele keer clear één van mijn passwords gelezen. Ja: het is plain text. Maar de keys zijn niet eenvoudig leesbaar. En dat bedoel ik ermee te zeggen (misschien zelf ook eerst nadenken vóór je reageert?).
Edit: Nog eens geprobeerd, en ja, ook onder EC zijn de passwords duidelijk leesbaar... On Error Go To Corner....
Helemaal met je eens. Daarom een extra reden dat ik mensen altijd een standaard account aanmaak op hun laptop of computer ipv dat ze met het admin-account gaan werken met alle risico's van dien.
Ik deel deze mening, en mij bekruipt het gevoel dat we hier als 'power-users' meer van doen zullen krijgen en aan ons om een passende oplossing te vinden...
(Bewerkt door MackeyV40 om 16:25, 10-07-2016)
(Bewerkt door MackeyV40 om 22:08, 10-07-2016)
cyrano om 16:15, 10-07-2016Dat is wel heel vreemd. Ik heb het geprobeerd op 10.6 tot Mavericks en het werkt altijd via de Terminal, tenzij die fout ingesteld is.En wat bedoel je met "geen van de commando's"? Er is er nl. maar één.
Wat is een 'fout ingestelde Terminal'?
Ik zie 2 opties: het terminal commando zelf en het stukje extra scripting om al die dialoogvensters te voorkomen. Die vensters krijg ik in beide gevallen (vele tientallen), maar vervolgens gebeurt er niks.EC 10.11.5
Onder EC is het een ander verhaal. Daar krijg ik het niet voor elkaar om het script te laten runnen en krijg ik hetzelfde als Flix te zien. Ook wanneer je het script de bevoegdheid geeft om de controle over je computer over te nemen in de systeemvoorkeuren. Daarbij moet je trouwens wel eerst je wachtwoord ingeven.
(Bewerkt door WaltervandeMeer om 20:26, 10-07-2016)
Flix om 16:42, 10-07-2016Citaatcyrano om 16:15, 10-07-2016Dat is wel heel vreemd. Ik heb het geprobeerd op 10.6 tot Mavericks en het werkt altijd via de Terminal, tenzij die fout ingesteld is.En wat bedoel je met "geen van de commando's"? Er is er nl. maar één.Wat is een 'fout ingestelde Terminal'?
Mensen die de Terminal nog nooit gebruikt hebben, hebben soms geen rechten (sudo werkt dan ook niet omdat je user niet in de sudo lijst staat). Hoe dat precies veroorzaakt wordt, weet ik ook niet. Ik zie het alleen wel eens als ik op een andere machine werk.
Het Apple script heb ik niet getest, want op mijn machines (Snow en Maveriscks) werd er om geen paswoord gevraagd, omdat ik ze als admin ingesteld had. Als ze geen admin zijn, wordt er één keer om het admin paswoord gevraagd, zoals ik zou verwachten. Yosemite en EC heb ik niet getest omdat die machined momenteel out is met een kapot SATA kabeltje...
Sudo gaat niet werken op El Capitan als je System Integrity Protection niet afzet, want anders draait die rootless. En SUDO gebruikt ROOT rechten.
Royal PITA.
http://osxdaily.com/2015/10/05/disable-rootless-system-integrity-protection-mac-os-x/
Het eerste codelijntje in Terminal zelfs zonder de rest van het script levert me al een griezelige hoeveelheid info op. (Jaja, daarvoor moest ik natuurlijk wél mijn wachtwoord invoeren).
Te zien wat je onder plain text verstaat, maar ik veronderstel dat de 1ste beste hacker wel gebaat is met cdat en mdat hashes.
Sommige wachtwoorden vindt ie zelfs helemaal in lekentaal tekst...
Niet pluis, ik huiver...
Laat dus de kreet "troll" maar achterwege voor Cyrano. Bedank hem/haar liever om ons te waarschuwen...
Ik bestudeer dit verder met argusogen...
Ik allerminst. En de dreiging is reëel.
Lijkt dit genoeg om er notie van te nemen? Voor mezelf in elk geval wél.
Is dit echt zo simpel?
Jules om 1:56, 11-07-2016Als iemand nu nog even kan uitleggen hoe dit in een alledaags scenario misbruikt kan worden en waarom we er dus notie van moeten nemen, is het verhaal eindelijk rond.
Stel dat iemand met slechte bedoelingen z'n code verbergt in een populaire tool. Als dat open source is, kan hij de source misbruiken om er zijn code in onder te brengen.
Jij downloadt dat tool en draait het. Je krijgt de melding van GateKeeper dat het van een onbekende developer komt en natuurlijk passeer je die, want je vertrouwt dat tool.
Dan vraagt de malware, vanuit het tool, om je admin paswoord. Heel veel mensen zullen dat zonder achterdocht ingeven, want ze zien het vaak bij een nieuw programma.
Het tool werkt ook gewoon, maar draait de malware in de achtergrond. Dat tool kan evenwel niet aan al je paswoorden, want die zitten versleuteld in je Sleutelhanger. En als de malware toegang zou vragen, zou je dat allicht verdacht vinden.
De malware zou ook je complete Sleutelhanger bestand kunnen kopiëren, maar dan moeten de paswoorden nog gedoceerd worden. Dat kost heel veel tijd.
Met dit Terminal commando, kan die tool al je paswoorden uitlezen in plain text. Geen tijdverlies meer. Afhankelijk van de processing power die de aanvaller er kan tegenaan gooien, praten we over maanden tot jaren tijd. De NSA ligt er niet wakker van, natuurlijk. En ook wie bereid is genoeg Google compute of Amazon AWS instances te huren, kan het op redelijk korte tijd (uren per paswoord).
Maar als je de paswoorden als plain text hebt, hoef je dat allemaal niet te doen, want ze zijn al leesbaar.
En de enige reden van bestaan van dit commando is om je paswoorden te importeren in een andere paswoord manager. Hoeveel mensen doen dat effectief?
De power user gaat er niet veel last van hebben. De gewone gebruiker, die vertrouwt op de sleutelhanger, des te meer. Die weet niks van dit commando en voelt zich veilig omdat al z'n paswoorden in de sleutelhanger zitten. Je kan ook het gebruik van de sleutelhanger niet vermijden, want je account paswoorden zitten er in en die kan je nergens anders kwijt.
En dat omvat ook accounts bij de appstore en de itunes store, die mogelijk Credit card info bevatten. Dat leidt dan naar het motief om de malware te gaan maken.
Het is maar één stap in het geheel, maar een belangrijke. En eentje waarvan ik verwachtte dat Apple dat wel zou dichtgetimmerd hebben.
Ook de applicatie "Sleutelhanger toegang", heeft een export mogelijkheid. Maar die is niet beschikbaar, tenzij voor systeem sleutels. Je paswoorden voor bv. websites kan je dus niet exporteren, maar die van je systeem wel. Wie dat begrijpt, mag het even uitleggen, want ik snap het niet.
Ik ben is gaan googlen Is dit echt zo simpel?
Yep.
Over de "Applesetupdone" exploit heb ik gister al gepost.Dat vereist wel fysieke toegang tot je Mac.
En er is nog een detail dat ik je niet ga verklappen, zoals, alweer, gister reeds gepost.
That simple.
Ik weet niet of dat moeilijker is bij iOS, maar waar al die heisa laatst vandaan kwam vanwege FBI?
(Bewerkt door HEXDIY om 4:26, 11-07-2016)
cyrano om 4:13, 11-07-2016(knip)Ook de applicatie "Sleutelhanger toegang", heeft een export mogelijkheid. Maar die is niet beschikbaar, tenzij voor systeem sleutels. Je paswoorden voor bv. websites kan je dus niet exporteren, maar die van je systeem wel. Wie dat begrijpt, mag het even uitleggen, want ik snap het niet.
Dit riekt naar een heftige back door. Laat dat niet waar zijn...
HEXDIY om 4:22, 11-07-2016
Dit is een oud en gekend Terminal commando om een net geïnstalleerde en geconfigureerde Mac terug te zetten naar "maagdelijk". Niet echt een exploit.
En als je aan de Mac aankan, is er geen enkel paswoord dat je beveiligt. In single user mode opstarten kan iedereen. Je bent dan root en kan het paswoord wissen, maar niet uitlezen. En dan is meteen je Sleutelhanger onbruikbaar voor derden, tenzij ze je oude admin paswoord moesten kennen.
Combineer dat met het "secutrity" Terminal commando en al je paswoorden liggen op straat als je Mac gestolen wordt, bv.
Maar dat is inderdaad een nog simpelere toepassing dan ik bedacht had die in de praktijk misschien nog eerder zal voorkomen...
Gast
