Macのクラックコンテスト。30分でroot権限

Computer, Security 3月 8, 2006 #Apple
(Last Updated On: )

Macのクラックコンテストが行われ30分でroot権限を取得された事が報道されていますが、それに対する反論。

Anyone that wanted to hack the machine was given access to the machine through a local account (which could be accessed via SSH), so the Mac mini wasn’t hacked from outside — root access was actually gained from a local user account.

“That is a huge distinction,” said Schroeder.

SSHアクセスが許可されていたことは重要だ、との主張です。

確かにそうなのですが、Web, Mail, LDAP, etcの外部向けサービスからroot権限が取得できるのであればサーバアプリのセキュリティホールなので「Macのクラックコンテスト」とは言いがたくなります。ローカルアクセスもできないのに「クラックできる?」とコンテストされてもやる気がおきません。

しかし、一般的なユーザは報道だけみると「Mac=危険」と思ってしまうかも知れません。確かにローカルアクセスができる場合、危険度は高いと思いますが、全体として安全性はそれほど悪くないと思います。

LinuxでもWindowsでもローカルユーザ権限があれば管理者権限を取得できてしまうセキュリティホールは沢山報告されています。今回利用されたセキュリティホールがどのような物だったか公開されていないので詳細は分らないですがが、Macだけが特別危険と言うことでは無いです。Macは今までクラッカーに相手にされていなかった(?)のでまだまだ問題が沢山(?)あるのかも知れません。

Windowsの場合、普通に使うためには管理者権限をを持っていないと困る場面が多くあります。アプリケーションが管理者権限を持っていないと動作しない、などというケースも少なくありません。普通のユーザは普通に管理者権限を持つアカウントでログインしてPCを利用しています。

Mac OS Xでは通常権限のユーザでログインしても普通に利用でき、普通のユーザは通常のユーザ権限を持つアカウントを使用しています。Windowsに比べればOS Xの方が比べものにならないくらいセキュリティ上まし、と言えると思います。

投稿者: yohgaki