Das Script "Secure It" gegen Openfirmware-Loch??

morrow

Neues Mitglied
Thread Starter
Dabei seit
11.05.2006
Beiträge
11
Reaktionspunkte
0
guten morgen *seit 20 std am appel'n* :p

hat jemand erfahrung in http://www.mac.gwdg.de/index.php?id=16 ??

Startet man einen Mac mit der Tastenkombination Apfel + S, gelangt man in den Single-User Modus. Die grafische Oberfläche wird nicht gestartet, sondern der Bootvorgang ist abgebrochen und man hat ein Unixterminal vor sich. Und an diesem Terminal ist man automatisch als root angemeldet. Root hat, wie in jedem Unix und Linux üblich, in allen Verzeichnissen nicht nur Lese- sondern auch Schreibrechte. Mit diesem kleinen Trick, der nicht viel Aufwand bedeutet, hat man sehr einfachen, administrativen Zugang zu dem System und ist dadurch besonders gefährlich. Es ist mit dem weiter unten beschriebenen Openfirmware-Loch die größte Sicherheitslücke in Mac OS X.

hab nen mac mini mit intel und tiger.. und mhhja einfach mal so root zugang... komisch..

sollte man sich sorgen machen?

ich geh nun pennen.. die funkmaus brauch strom..

gruß chris
 
Also hör' mal... Sobald jemand physisch Zugang zu deinem Computer hat (also davor sitzt und in die Tasten greifen kann) hast du eh verloren. Einem versierten Crack fallen da hundert Möglichkeiten ein, wie er die Kontrolle übernehmen kann. Wie willst du dich da dagegen schützen? Du kannst es auch kompliziert machen und das Skript austesten - helfen wird es dir nicht, wenn ein böswilliger Hacker mal Finger an deine Tastatur legen kann - so wenig wie bei einem Linux- oder einem Win-PC.

Die so genannte "Apfel + s"-Sicherheitslücke ist deshalb im Übrigen ja gar keine, sondern ein bewusst gesetztes Feature für Unix-Experten, die damit schnell in die Tiefen des Systems abtauchen können.
 
morrow schrieb:
sollte man sich sorgen machen?

Nicht so lange man seinen Verstand einschaltet und nicht jeden x-Beliebigen an seinem Mac hantieren lässt! ;)
 
Schwach finde ich es aber dennoch. Ein User-Bereich muss vor den anderen geschützt sein. In DOS wie in WIN. So in UNIX wie in OS X. Das ist meine Meinung.

Schlimm ist ja nicht, dass man das Terminal starten kann. Das ist toll. Aber muss man gleich als root angemeldt sein? Ohne Passworteingabe?

Florian
 
Wenn du physikalischen Zugriff auf die Kiste hast,
ist fast jedes OS (besser der darunter liegene Rechner)
dir hilflos ausgeliefert
 
Jop das hat nichts mir Sicherheitsloch zu tun. Wenn du am Rechner bist kannst du auch genausogut den Rechner über eine Live-CD starten und hast keine Probleme mehr auf die Daten auf der Festplatte zuzugreifen.

Einzig eine komplette Verschlüsselung hilft da - Allerdings auch nicht wenn man die Daten einfach nur Löschen möchte.
 
flo_da_ho schrieb:
Schwach finde ich es aber dennoch. Ein User-Bereich muss vor den anderen geschützt sein. In DOS wie in WIN. So in UNIX wie in OS X. Das ist meine Meinung.

Schlimm ist ja nicht, dass man das Terminal starten kann. Das ist toll. Aber muss man gleich als root angemeldt sein? Ohne Passworteingabe?

Florian

Hmm... Also mal angenommen. Der extremste Fall in dieser Hinsicht wäre ja, dass ein Mac-Notebook gestohlen würde. Was hindert den Dieb, eine OSX-System-CD einzulegen und das Passwort neu zu setzen? Nur mal so als Frage... Ist das jetzt eine Sicherheitslücke? Soll dann das Passwort neusetzen auch unterbunden werden? Da wäre aber was los hier im Forum - die Verzweiflungsschreie wären groß, weil dann doch der eine oder andere dieses Feature mal benötigt.

Also gesundes Mißtrauen in allen Ehren. Wer mit dem Rechner in Kontakt kommt, sollte schon geklärt sein - ansonsten lagere ich keine sensiblen Daten drauf. Ist doch klar. :D
 
Am sichersten ist die Verschlüsselung des Userverzeichnisses mit File Vault.
 
flo_da_ho schrieb:
Schwach finde ich es aber dennoch. Ein User-Bereich muss vor den anderen geschützt sein. In DOS wie in WIN. So in UNIX wie in OS X. Das ist meine Meinung.
Florian

schon mal ein xp home installiert?

wenn nein, ne kurze erklaerung zur "sicherheit":

wenn du beim booten F8 drueckst und dann im abgesicherten modus startest, gibst du einfach "administrator" als benutzer ein und drueckst enter. genau das selbe ...

ps: bei prof und win 2k gehts net, aber fuer was gibs ne linux boot disk mit der man die pws loeschen kann ...
 
elf-eins schrieb:
Hmm... Also mal angenommen. Der extremste Fall in dieser Hinsicht wäre ja, dass ein Mac-Notebook gestohlen würde. Was hindert den Dieb, eine OSX-System-CD einzulegen und das Passwort neu zu setzen? Nur mal so als Frage... Ist das jetzt eine Sicherheitslücke? Soll dann das Passwort neusetzen auch unterbunden werden? Da wäre aber was los hier im Forum - die Verzweiflungsschreie wären groß, weil dann doch der eine oder andere dieses Feature mal benötigt.

Also gesundes Mißtrauen in allen Ehren. Wer mit dem Rechner in Kontakt kommt, sollte schon geklärt sein - ansonsten lagere ich keine sensiblen Daten drauf. Ist doch klar. :D

als gegenfrage kann man dann stellen: wenn man mit einem portablen mac im professionellen bereich -bei dem man sensible firmendaten auf dem rechner hat- arbeitet, sollte man den mac nicht lieber meiden?
bei meinem (nicht apple) firmenlaptop kann ich nicht einfach eine cd einlegen oder apfel+s drücken und komme an die daten...filevault ist vielleicht eine alternative, macht aber auch nur sinn mit zentral vergebenen passwörten
ansonsten hat der admin keine chance an deine daten zu kommen, falls du mal unabkömmlich (zb unfall) bist.

der punkt ist einfach das es beim mac im gegensatz zum pc nur 20 sekunden dauert und ich habe vollzugriff auf den rechner in jeder firma
einfach nur ne panther oder tiger cd einschieben...geht das bei win auch ?
ich sehe das als schwere sicherheitsluecke im professionellen bereich....
 
ostfriese schrieb:
als gegenfrage kann man dann stellen: wenn man mit einem portablen mac im professionellen bereich -bei dem man sensible firmendaten auf dem rechner hat- arbeitet, sollte man den mac nicht lieber meiden?
bei meinem (nicht apple) firmenlaptop kann ich nicht einfach eine cd einlegen oder apfel+s drücken und komme an die daten...filevault ist vielleicht eine alternative, macht aber auch nur sinn mit zentral vergebenen passwörten
ansonsten hat der admin keine chance an deine daten zu kommen, falls du mal unabkömmlich (zb unfall) bist.

der punkt ist einfach das es beim mac im gegensatz zum pc nur 20 sekunden dauert und ich habe vollzugriff auf den rechner in jeder firma
einfach nur ne panther oder tiger cd einschieben...geht das bei win auch ?
ich sehe das als schwere sicherheitsluecke im professionellen bereich....

siehe meinen post vorher, eine spezielle linux boot disk (gibs ganz legal zb bei wintotal.de zum dlen) und dein admin acc hat kein pw mehr, soviel zur sicherheit von win ...

und wie schon gesagt, ne live cd und deine daten sind geschichte ...

ps: ein bios pw bringt da schon die meiste sicherheit, aber mit batterie raus usw kann man auch das umgehn ...
 
Und vor allem bleibt immer noch das Open Firmware Kennwort.

Ich schließe mich da den meisten hier an: Wenn jemand vor dem Rechner sitzt hast Du verloren, da bringt NICHTS mehr was (ausser vielleicht das OF Kennwort/BIOS Kennwort).

Und ein Hacker muss man da nicht sein. Wie schon gesagt reicht da jede x-beliebige Live CD.

Die Geschichte mit dem Administrator geht bei XP Home übrigens auch ohne F8 zu drücken. XP Home fragt bei der Installation nicht nach der Eingabe eines Admin Kennworts. Das Konto ist aber trotzdem vorhanden, sprich: Du kannst Dich fast immer mit dem Namen "Admininstrator" und einem leeren Kennwort anmelden. Bei XP Pro ist die Eingabe eines Admin Kennworts bei der Installation auch keine Pflicht.

So what?
 
arona.at schrieb:
siehe meinen post vorher, eine spezielle linux boot disk (gibs ganz legal zb bei wintotal.de zum dlen) und dein admin acc hat kein pw mehr, soviel zur sicherheit von win ...

ps: ein bios pw bringt da schon die meiste sicherheit, aber mit batterie raus usw kann man auch das umgehn ...

...ist ja nett von apple, dass ich bei denen noch nicht einmal eine spezielle linux boot cd besorgen muss - apple liefert dieses feature frei haus

des weiteren sind zumindestens unsere firmenlaptops nicht von cd bootbar
dazu muss man erst ins bios welches passwortgeschuetzt ist

geht das bei apple auch ?? - ich denke nicht
 
Das ist kein Bug sondern ein echtes Feature.

Der SU Modus ist nicht auf Mac OS X beschränkt sondern in der Unix Welt üblich.
Entwickelt wurde er, weil es oft genug vorgekommen war, dass man z.B. in einer Universität irgendwo einen (laufenden) Rechner gefunden hatte, von dem niemand mehr wusste, welche Aufgabe er erfüllt geschweige denn, wer ihn eingerichtet hat und welches Passwort drauf ist.

Das heisst aber nicht, dass man den SU Modus hinnehmen muss, wenn man die Möglichkeit eines derartigen Zugriffs nicht haben möchte. Auf mobilen Rechner ist es z.B. schon zu hinterfragen, ob man einen solchen Zugriff tolerieren kann.

Das spezielle Problem von Mac OS X ist in diesem Zusammenhang, dass es einerseits von vielen Benutzern verwendet wird, die keine Unixkenntnisse besitzen und daher nicht in der Lage sind, den SU Modus abzuschalten und andereseits diese Benutzer mit dem SU Modus letztendlich gar nicht viel anfangen können.
 
ostfriese schrieb:
ich sehe das als schwere sicherheitsluecke im professionellen bereich....


wie du selber schon geschrieben hast - was spricht gegen die Lösung mit File Vault und zentral von der Firma vorgegebenen Passwörtern? Damit sind die Daten auf dem Mac hervorragend geschützt - womöglich noch besser als mit den Bios-Basteleien auf Win-Notebooks.

Die "schwere Sicherheitslücke" kann ich beim besten Willen nicht erkennen.

Im Übrigen: Dass die Passwort-Vergabe und der Single-User-Mode kein Problem sind, kannst du übrigens auch hier bei macuser.de feststellen - in keinem Thread wird erwähnt, dass das schon mal ausgenutzt wurde. Ich halte derartige Befürchtungen, ehrlich gesagt, für etwas überspannt.
 
elf-eins schrieb:
keinem Thread wird erwähnt, dass das schon mal ausgenutzt wurde. Ich halte derartige Befürchtungen, ehrlich gesagt, für etwas überspannt.

was vermutlich mit der verbreitung von macs im professionellen bereich zusammenhängt....pcs sind bei weitem weiter im alltäglichen firmen gebrauch verbreitet...und deshalb werden dort auch solche "bios basteleien" durchgeführt. das thema industriespionage in deutschland wird gerne runtergespielt...es sind aber gewaltige summen die dort sowohl investiert als auch "geklaut" werden und das nicht ohne grund....ich denke als apple laptop besitzer muss man sich da weniger sorgen machen, da die meisten leute sowieso denken man macht mit dem ding grafik oder musik....und nicht die alltägliche firmenarbeit...

ich muss mir mit meinem PB eigentlich sowieso keine sorgen machen, da es sich seit meinem kauf eigentlich nur in reparatur bedindet (jetzt in der 2ten)
...naja noch eine und ich bekomme mein geld zurück....gott sei dank
 
ostfriese schrieb:
was vermutlich mit der verbreitung von macs im professionellen bereich zusammenhängt....pcs sind bei weitem weiter im alltäglichen firmen gebrauch verbreitet...und deshalb werden dort auch solche "bios basteleien" durchgeführt. das thema industriespionage in deutschland wird gerne runtergespielt...es sind aber gewaltige summen die dort sowohl investiert als auch "geklaut" werden und das nicht ohne grund....ich denke als apple laptop besitzer muss man sich da weniger sorgen machen, da die meisten leute sowieso denken man macht mit dem ding grafik oder musik....und nicht die alltägliche firmenarbeit...

ich muss mir mit meinem PB eigentlich sowieso keine sorgen machen, da es sich seit meinem kauf eigentlich nur in reparatur bedindet (jetzt in der 2ten)
...naja noch eine und ich bekomme mein geld zurück....gott sei dank

Aua, das mit den dauernden Reparaturen ist bitter. Mein Beileid. Was fehlt dem guten Stück?

Und du hast Recht, Macs sind wohl weitaus häufiger privat als bei Firmen im Einsatz.

Trotzdem - das mit File Vault in OSX ist keine schlechte Lösung, finde ich. Wer Wert auf Sicherheit legt, kann damit seine Daten schützen - wer so unkomplizierte Bedienung wie möglich will, lässt File Vault weg, muss aber dafür in Kauf nehmen, dass jemand an seine Daten kommt, wenn das Book geklaut wird.
 
arona.at schrieb:
schon mal ein xp home installiert?

wenn nein, ne kurze erklaerung zur "sicherheit":

wenn du beim booten F8 drueckst und dann im abgesicherten modus startest, gibst du einfach "administrator" als benutzer ein und drueckst enter. genau das selbe ...

morgen..

das ist falsch, man hat die möglichkeit für den Administrator ein kennwort festzulegen.. damit ist der zugang schon versperrt

zum anderen:
auf der webseitesteht darunter noch was von "penfirmware Passwort setzen"

> Das von Apple entwickelte Programm Openfirmware Password verhindert das einfache Starten von anderen Laufwerken, außer dem eingestellten Startvolume. Der Openfirmware-Modus wird durch das Programm passwortgeschützt. <

heißt soviel wie: wenn ich von der CD starte wird ein passwort benötigt..


im großen und ganzen geht es nicht den mac vor profis zu schützen.. die wissen eh wie man sich zugang erschafft

> sondern eher von diebstahl, sowas gibts auch... der dieb wird zu 80 % scheitern, gibts auf und löscht die platte... das backup liegt in einer anderen wohnung und die versicherung zahlt einen neuen mac = jeder ist zufrieden..


gruß chris
 
ostfriese schrieb:
...ist ja nett von apple, dass ich bei denen noch nicht einmal eine spezielle linux boot cd besorgen muss - apple liefert dieses feature frei haus

des weiteren sind zumindestens unsere firmenlaptops nicht von cd bootbar
dazu muss man erst ins bios welches passwortgeschuetzt ist

geht das bei apple auch ?? - ich denke nicht

Doch. Ist aber auch nicht sicher. BIOS Batterie raus und tada er bootet von CD und ein Passwort ist auch nichtmehr vorhanden. Ausserdem gibt es für jedes BIOS Masterpasswörter.

Und FileVault ist hier sowieso der 100mal bessere Schutz als jede BIOS Bastelei weil es Sicherheit aufgrund des Prinzips bietet.
 
ostfriese schrieb:
was vermutlich mit der verbreitung von macs im professionellen bereich zusammenhängt....pcs sind bei weitem weiter im alltäglichen firmen gebrauch verbreitet...und deshalb werden dort auch solche "bios basteleien" durchgeführt. das thema industriespionage in deutschland wird gerne runtergespielt...es sind aber gewaltige summen die dort sowohl investiert als auch "geklaut" werden und das nicht ohne grund....ich denke als apple laptop besitzer muss man sich da weniger sorgen machen, da die meisten leute sowieso denken man macht mit dem ding grafik oder musik....und nicht die alltägliche firmenarbeit...

ich muss mir mit meinem PB eigentlich sowieso keine sorgen machen, da es sich seit meinem kauf eigentlich nur in reparatur bedindet (jetzt in der 2ten)
...naja noch eine und ich bekomme mein geld zurück....gott sei dank

Ich denke mal auch im Bereich Industriespionage sitzt der Unsicherheitsfaktor vor dem Bildschirm.
Ich vermute mal vorsichtig dass eher ein Mitarbeiter Daten verkauft oder mitnimmt wenn er geht bzw gegangen wird, als das Spione mit hochgeklappten Krägen (und Sonnenbrille am besten noch) sich Nachts Zugang zum Server verschaffen. ;)

Man kann auch einzelne Ordner nit sensiblen Daten verschlüsseln. Die Passworte können dann entweder zentral vergeben werden oder meinetwegen auch auf Papier irgendwo lagern. Das ist imho immer noch sicherer als jedes andere Gebastel.
 
Zurück
Oben Unten