Woensdag 8 maart 2006
In de wereld om ons heen bestaan allerlei wedstrijden: een van die wedstrijden was een wedstrijd ‘Mac Hacken’, uitgeschreven door een Zweed nog niet zo lang geleden. Die wedstrijd was ook snel afgelopen: de winnaar had niet meer dan een half uur nodig om de computer binnen te dringen. Dave Schroeder, een systeembeheerder van de Universiteit van Wisconsin, was echter de mening toegedaan dat die ‘hack’ geen ‘hack’ was. De winnaar had namelijk van de Zweed toegang gekregen tot een werkende account op de gekraakte machine. Het is inderdaad niet echt ‘hacken’ als de hacker zo’n toegang al heeft. Schroeder ging van het juiste idee uit dat een systeem waartoe een hacker geen toegang toe heeft aanzienlijk moeilijker te kraken zou zijn. Dus: hij schreef zelf een nieuwe wedstrijd uit ! Dit leverde zijns inziens twee voordelen op: Apple zou informatie krijgen over de beveiliging van het besturingssysteem, en de berichtgeving over de ‘geslaagde’ kraak kon worden genuanceerd.
‘Mac OS X is not invulnerable. Like any other operating system, it has security deficiencies in various aspects of the software’, zo stelde Schroeder. ‘However, the general architecture and design philosophy of Mac OS X, in addition to the use of open source components for most network-accessible services that receive intense peer scrutiny from the community, make Mac OS X a very secure operating system’. Schroeder is als systeembeheerder gespecialiseerd in Mac OS en Unix. Schroeder reageerde op de Zweedse poging: ‘A hacker by the name of ‘Gwerdna’ claimed to ZDNet Australia that he won the competition, boasting that the operating system was ‘easy pickings’ and that it took him no more than 30 minutes. It is incorrectly presented as a ‘genuine hack’ when it should have been described as a ‘privilege escalation for a legitimate user’. This is similar to breaking into a different user account while sitting behind a computer and is significantly easier then hacking into a fully protected system over the internet. The failure to make this difference makes the ZDNet Australia report woefully misleading’. Helaas is de wedstrijd alweer voorbij. De wedstrijd is na 38 uur beindigd, drie dagen eerder dan gepland. Daar is geen reden voor gegeven, maar ‘There were no successful access attempts of any kind, including during the 38 hour duration of the test period, nor have their been any claims of success. The host is still the same host and configuration used for the test’. Wel werd tot 30Mbps aan verkeer gemeten, wat niet alleen verband hield met de twee denial of service-aanvallen die (tevergeefs) werden uitgevoerd, maar ook met vermelding van het verhaal op Slashdot. Ondanks de weinig wetenschappelijke opzet (wat door Schroeder volmondig wordt erkend) is nu in elk geval duidelijk dat een Apple voor een buitenstaander aanzienlijk moeilijker te hacken is dan voor iemand die toch al legale toegang tot een machine heeft. Dat was ook te verwachten: het ging Schroeder ook veel meer om het rechtzetten van het verhaal in ZDNet Australia, waar iets te ‘losjes’ met het feitenmateriaal is omgegaan. Volgens Schroeder is het verhaal daar geupdated, maar is de uitleg volstrekt onvoldoende.
