Apple se nepoučil z předchozího problému s hesly a hackerům nevědomky nabídl další možnost k páchání kybernetického zločinu. Nové bezpečnostní riziko se navíc dočkalo velkého ohlasu, a to i díky prvotnímu zveřejnění informaci na Twitteru.

Výchozí heslo uživatele root je…

Ve verzi MacOS (High Sierra, aktuálně 10.13.1), lze velmi snadno získat heslo uživatele root – tedy administrátora s nejvyššími oprávněními. Průměrný počet pokusů nutných k odhalení tohoto hesla je … JEDEN.

Ve skutečnosti vlastně není heslo vůbec nutné zjišťovat, protože v daný okamžik je už známé, je totiž prázdné. Postup ke zneužití uvedeného bezpečnostního problémů je velmi snadný – stačí se přihlásit jako uživatel root bez vyplněného hesla.

„Z dostupných informací lze předpokládat, že společnost Apple se vůbec neobtěžovala heslo pro uživatele root nastavit. Důvodem může být fakt, že při běžných aktivitách není tento účet využíván. Místo něj si majitelé počítače obvykle vytváří jeden nebo více běžných účtů s právy administrátora – v případě potřeby stačí zadat vlastní heslo a provést požadovanou činnost. Teoreticky jde o vcelku dobrý bezpečnostní mechanismus, protože jako administrátor nemusí být uživatel přihlášený po celou dobu práce s počítačem, není nutné sdílet jedno heslo mezi více správci a díky jasnému provázání provedených kroků s konkrétním uživatelem je zodpovědnost každého z administrátorů obvykle o něco větší,“ konstatuje Patrick Müller, Channel Account Executive pro Českou republiku a Slovensko ve společnosti Sophos.

Zneužití tohoto bezpečnostního incidentu je v praxi naštěstí složitější. Pokud je například účet root na počítač aktivní a má vyplněné heslo, bez jeho znalosti se neobejdete. Ideální je, pokud k nastavení hesla dojde již během instalace systému a má náhodnou podobu a nikdo jej tedy nezná. Výhodou tohoto přístupu je snadnější zamezení nežádoucím situacím, jako je například náhodné použití administrátorského hesla při běžné práci. Pokud uživatel root heslo nastavené nemá, je vhodné tento účet nastavit tak, aby neumožňoval přihlášení – bez ohledu na to, kolik a jaké způsoby kybernetičtí zločinci pro pokus o získání přístupu pod uživatelem root vyzkouší.

Existuje řešení?

Bezpečnostní problém MacOS je sice závažný, ale není nutné propadat panice. Stačí pro uživatele root nastavit dostatečně silné heslo, které nikdo jiný nezná a nelze jej odvodit nebo uhádnout. Samotná kontrola aktuálního stavu a zajištění nápravy je tak velmi snadná. Stačí otevřít Terminál, zadat passwd root a třikrát stisknout klávesu Enter. Není nutné mít z tohoto postupu obavy, pokud již nějaké heslo pro uživatel root existuje, k jeho změně nedojde.

$ passwd root

Old Password: [stiskněte Enter – žádné heslo nezadávejte]

New Password: [ještě jednou stiskněte Enter, opět bez zadání hesla]

Retype New Password: [a do třetice …]

Pokud již heslo existuje a není prázdné, bude o tom systém informovat hláškou:

passwd: authentication token failure

Tato zpráva je důkazem, že je vše v pořádku a popisovaný bezpečnostní problém se takového počítače netýká (protože účet root s heslem již existuje).

Pokud po třetím stisknutí klávesy Enter ke zobrazení uvedené zprávy nedojde, heslo pro uživatel root je prázdné a je nutné jej změnit. Opět to není nic těžkého, stačí zopakovat již vyzkoušený postup. Jen součástí druhého a třetího kroku je zadání nového – a dostatečně silného – hesla.

Nicméně, pokud žádnou zprávu nevidíte, vaše základní heslo bylo a stále je nevyplněné, což znamená, že je nutné jej změnit:

$ passwd root

Old Password: [stiskněte Enter – žádné heslo nezadávejte]

New Password: ****** [zadejte heslo a stiskněte Enter]

Retype New Password: ****** [zopakujte heslo a stiskněte Enter]

A to je vše, nyní již heslo pro účet root existuje.

Vlastně ani není nutné si nové heslo pamatovat. Nelze ale zadávat úplné nesmysly, heslo z druhého a třetího kroku se totiž musí shodovat. I nadále je možné počítač spravovat pomocí běžného účtu s administrátorskými oprávněními – samozřejmě až po zadání hesla spojeného právě s tímto „běžným“ účtem.

Autor: Petr Smolník, šéfredaktor