Benivak nos avisaba hoy de la publicación por parte de la web Defence in Depth sobre el problema de seguridad existente en la nueva versión de Mac OS X. El las versiones anteriores a la 10.7 (Snow Leopard, Leopard, Tiger, etc…) existía una método para conseguir las contraseñas de los usuarios. Este consistía en conseguir los ID de cada usuario para luego obtener la contraseña del archivo que las almacena. Para ello hacíamos uso de la consola de comandos y todo era cuestión de mas o menos tiempo.
El problema ahora es que OS X Lion trae una serie de modificaciones que parecen empeoran la situación por un simple motivo: no hace falta autenticación para cambiar la contraseña del usuario. Y esto sí puede suponer un riesgo en determinadas situaciones.
dscl localhost -passwd /Search/Users/USERNAME
Si ejecutamos dicho comando en el Terminal automáticamente nos aparece una nueva línea en la que introducir la nueva clave que queramos usar. Y repetimos, no se nos solicita la contraseña anterior para realizar la modificación.
Cómo proteger nuestro sistema
¿Es preocupante el fallo de seguridad? Pues como todo fallo de seguridad sí que lo es. Pero también es cierto que tenemos que ver todos los matices. Principalmente, para correr un riesgo real el “atacante” tendría que tener un acceso físico al equipo y esto limita parte del problema. Aún así también es cierto que el ataque remoto sería posible pero como comentan en Lifehacker depende también mucho del grado de conocimiento del usuario y la confianza que otorgue a cualquier petición que, por ejemplo, cree un Applet de Java.
¿Y cómo me protejo? En Lifehacker igualmente han listado una serie de recomendaciones para evitar problemas:
-
Desactivar el inicio automático
-
Desactivar la cuenta de invitados
-
Habilitar la opción: Solicitar contraseña de administrador para acceder a las preferencias del sistema con iconos de candado
Estas opciones están dentro del panel de Seguridad y Privacidad, dentro del panel de Preferencias del Sistema. Y para terminar, podemos hacer uso de los controles parentelas para autolimitarnos el acceso a las aplicaciones Terminal y X11.
Para hacerlo sólo debemos ir a la opción de Controles Parentales y establecer en todas las cuentas la misma política de control. Activamos la opción de Limitar Aplicaciones y nos aseguramos que Terminal y X11 están desmarcados para que sólo un administrador, previa introducción de su contraseña, pueda acceder a ellas.
De esta forma evitamos posibles riesgos. Para finalizar, el problema no es alarmante. Es evidente que un error de seguridad debe ser corregido y posiblemente Apple realice algo en breve para solucionarlo. Y aunque es cierto que la seguridad que siempre se ha presupuesto en Mac OS X parece quedar un poco en entredicho cabe recordar que con el disco de instalación también podemos recuperar/cambiar la contraseña.
Más información | Defence in depth
Más información | Lifehacker
En Applesfera | Cómo cambiar la contraseña de usuario de Mac OS X si la hemos olvidado
Ver 47 comentarios
47 comentarios
mende1
Para pegarse un tiro, porque es el bug más grande que he visto en mucho tiempo. Respecto a lo de la solución por parte de Apple, no las tengo todas conmigo sobre si saldrá alguna actualización para solventarlo, aunque espero y deseo que sí.
Saludos
ealarcon
Si el "intruso" tiene ACCESO FÍSICO al ordenador puede: -Coger todos tus archivos -Borrar lo que le dé la gana -Acceder al disco duro (con un live cd para verlo todo) -Reinstalar el SO
Esto es válido para windows, linux, y mac.
Es OBVIO que si tienes a alguien delante de tu ordenador puede hacer lo que le dé la gana. Incluso quemarlo. Oh! Dios mío, apple no hace los mac ignífugos, menudo fallo de seguridad!
Franz
no... NO es el bug más grande y tonto que he visto. El bug mas grande lo vi en el Final Cut Pro X, que se colgaba si escribias un acento, eso si era un fallo muy idiota para ser un programa de 200 y pico euros.
Al final va a resultar que la bandera insignia de apple (el software) ya no vale un pimiento
jorge.vegasanchez9
Lion no para de ser noticia por fallos.
Creo que salió con demasiado premura y que todavía está lejos de ser estable en un entorno de trabajo profesional. Es una pena y espero que solucionen estos errores por que cada día que pasa Lion se parece más a Vista.
jairomartinez97
Mac OSX Vista....
omarmty
Y digan también que la batería en Lion te dura 1 minuto.
oscarsanzlr
No, si ahora Snow Leopard va a ser de gafapastas.
mirecm
Yo desgraciadamene desde hoy soy una de las muchas personas que tenemos problemas con wifi. Después de la última actualización de Lion ya me empezó a hacer cosas raras, y ya hoy ha dejado de funcionar.
En fin, esperemos que saquen la actualización cuanto antes...
Jorge Puente Valero
Sé que no está relacionado con el tema, pero tengo un problema que persiste ya dos días y no soy capaz de solucionar y no sé a quién pedir ayuda. Me sucede sólo cuando abro Safari (tengo Lion instalado desde Julio) y nunca me había sucedido, me sale un mensaje de error: - Para ver esta página, debe iniciar una sesión en esta área de mail.google.com:443: -
En el cual se me pide un nombre y una contraseña, he probado con todos los nombres y contraseñas posibles y el mensaje vuelve a aparecer, siendo imposible la navegación por internet y cualquier cosa relacionada con Safari.
Pensé en borrar Safari directamente y descargarlo otra vez de la página de apple.com/es pero cómo no puedo acceder a las opciones no puedo guardar mis favoritos y tengo miedo de que se borren por completo.
Espero que alguien pueda ayudarme, muchas gracias!!
34039
Pues yo, sinceramente, no le dejo el ordenador a nadie y os aseguro que no me lo voy dejando por ahí tirado para que cualquier desconocido tenga acceso físico a mi ordenador...
Y para los más olvidadizos, instalad ialertU y por lo menos vuestro pequeño se pondrá a chillar si alguien lo toca.
cateye
Si quieres que tu Mac sea seguro:
- "sudo chmod 100 /usr/bin/dscl" (solo root puede ejecutar dscl)
- activa encriptación de disco completo con filevault
- desactiva login automático
- activa la petición de password al volver de sleep y salvapantallas
- no te apartes del mac sin bloquearlo primero
Cualquier sistema es inseguro por defecto, excepto las distribuciones orientadas a seguridad. Esto incluye Windows, Linux, etc. Por ejemplo, por defecto cualquiera puede cambiar el password de un usuario en cualquier sistema durante el arranque.
Permitir un cambio de password sin petición previa del password es una mala decisión, pero cambia muy poco las cosas. Por defecto cualquiera hace lo mismo en cualquier sistema reseteando el ordenador.
Lion es el OS X más seguro hasta la fecha. Es irritante que la gente lo tache de inestable, e inseguro, sin tener idea de lo que dicen.
60519
Nuevo BUG!!! Es bastante tonto y la vez imperdonable el fallo. Os explico, aunque igual le ha pasado a alguien más (no he buscado todavía). El BUG es bastante curioso y realmente molesto si lo que tenías abierto era importante y no has guardado.
Después de leer este artículo he desactivado la sesión automática, he activado la protección por contraseña al activar el salvapantallas, etc.. Todo funcionaba correctamente, pero se me ha ocurrido cambiar el nombre completo del equipo, el que aparece al solicitar la contraseña en la pantalla de autenticación (no me gustaba el que tenía, XD). Por lo que he cambiado el nombre completo en PREFERENCIAS > USUARIOS Y GRUPOS. La sorpresa es que cuando se ha activado el salvapantallas y me ha pedido la contraseña para volver al sistema esta ya no funcionaba. He tenido que apagar el equipo manteniendo pulsado el botón power y volver a encender.
Me parece que los amigos de OSX Lion no han probado esto, y con el simple hecho de cambiar el nombre del equipo y bloquearse el equipo con el salvapantallas tu contraseña ya no funciona y tienes que apagar el equipo por fuerza bruta, deduzco que el motivo es porque simplemente el usuario/alias ha cambiado y el bloqueo se realiza con el usuario anterior, cosa que no han contemplado.
Para reproducir esto es tan fácil como cambiar el nombre completo (sin usar el candado, el sistema te permite cambiarlo directamente en la casilla, el sistema te pide tu contraseña). Una vez cambiado activas el salvapantallas (yo lo activo con el ratón en una de las esquinas y así bloqueo el equipo de forma rápida). Cuando quieres desbloquear, te pide la contraseña y verás que el nombre es el anterior y tu contraseña no es aceptada. Tampoco te permite cambiar el nombre, sólo puedes poner la contraseña y está nunca funcionará hasta que apagues y enciendas.
Espero no ser al único al que le pasa en los dos equipos que tengo con Lion. Probarlo y espero vuestros comentarios.
hpinto.arq
Al introducir dscl localhost -passwd /Search/Users/USERNAME en la terminal, me pide el pass pero al escribirlo este no se ve, creo que es normal, el problema es que cuando le doy enter me sale error, me podrías decir donde esta el error ?? o cual es el paso a seguir para poder cambiarla, ya que leí en otros foros que se debe repetir la solicitud, algo que no me queda muy claro...
66775
Ya hice lo que dices y si llego a la linea New password: pero no me deja escribir el nuevo password me sale error 14009 me puedes echar la mano por favor necesito cambiar el password en OS X lion Gracias
68913
hace tiempo me encontré una macbook y descubrí que tenia windows xp instalado .... entonces accidentalmente no se como para configurarlo como disco de arranque y describir que solo tenia cuenta de "administrador" con contraseña y obviamente no me la se ... intente de varias formas entrar pero no lo logre ... alguien podría decirme como puedo recuperar dicha contraseña por favor .... escuche de algún programa llamado "ophcrack" pero no se mucho al respecto ... podría alguien ayudarme porfavor?
maencor
Tengo una duda...
La foto de mi perfil del ordenador... se ha cambiado sola! la foto del administrador... esto a que puede ser debido?
Gracias un saludo!
rafa
La solución: que nadie ajeno acceda al ordenador.
Si esto no es posible... cambiar los privilegios de acceso a ese fichero:
sudo chmod go-x /usr/bin/dscl
Aunque son restaurados si se "reparan los permisos" con lo que aún y todo hay que esperar que Apple saque actualización.