iMac gestohlen und wieder aufgetaucht

[Wia]

Hallo,
Ich bin neu hier und habe eine Frage:
Mir wurde vor einiger Zeit mein iMac mid 2011 gestohlen. Ich hatte iCloud aktiviert und sofort per "Mein iphone suchen" eine Sperrung und eine Botschaft auf dem Bildschirm, dass der Rechner mir gestohlen wurde, angefordert. Etwas später bekam ich per iMessage eine Nachricht, dass der Rechner aufgetaucht und gesperrt wurde. Vor ein paar Tagen stand nun ein Mann vor der Tür mit meinem Rechner unter dem Arm. Ich habe den Rechner wieder entsperrt und mich darauf umgesehen. Meine Accounts wurden gelöscht, ein neuer Account wurde angelegt, alle meine Daten gelöscht. Die Platte wurde aber offenbar nicht formatiert, es sind noch Logs von vor dem Diebstahl unter /var/log, der Hostname ist auch noch original. Ich hatte natürlich alle Accounts mit Passwörtern gesichert.
Meine Frage ist nun die:
Wie konnten die Diebe ohne mein Passwort die alten Accounts löschen und einen neuen anlegen? Geht das über eine Neuinstallation von OS X? Bleiben bei einer Neuinstallation ohne Formatierung der Platte Logs, aber keine Nutzerdaten auf der Platte?

 

[orcymmot]

Man kann das Userpasswort mit Hilfe von speziellen Befehlen zurücksetzen/umgehen.

Mögliches Szenario:
Diebe setzen dein PW zurück, haben Zugang zum Rechner und setzten es zurück bzw. legen neue Benutzer an.
Ich gehe mal davon aus, dass sie all dies offline getan haben.

Als der erste Online-Kontakt hergestellt wurde, kommt die iCloud Sicherheitssperre zum Zuge, sperrt das Gerät und macht es für die Diebe zunächst wertlos.
Ob der "Wiederbringer" was damit zu tun hatte oder lediglich ein gutgläubiger Käufer von Hehlerware war, lassen wir mal im Raum stehen.
Als er das Gerät in Betrieb nehmen möchte und es mit dem Netz verbindet, taucht deine Diebstahlnachricht auf und er ist so gut und bringt ihn zurück.

So zumindest meine Theorie.

 

[Wia]

Danke für die Antwort! Aber welche Befehle sind das, mit denen man das User-Passwort umgehen oder zurück setzen kann?! Die Passwörter sind dazu da, dass genau das nicht geht. Unter Linux kann man sowas machen, indem man von einem anderen Medium (z.B. CD) bootet und die betreffende Systempartition danach mountet. Erfordert aber schon gewisse Kenntnisse, nicht viel, aber mehr als nichts. Dagegen hilft nur, die Platte zu verschlüsseln. Läuft das bei OS X auch so, oder kann man die Passwörter wirklich ohne weiteres Hilfsmittel umgehen? Wenn ja, kann man das irgendwie abstellen?

 

[orcymmot]

Dass man die Methoden hier nicht direkt beschreibt ist doch klar, oder?
Man findet mit den richtigen Suchbegriffen so einiges mit Tante Google.

 

[SwissBigTwin]

Danke für die Antwort! Aber welche Befehle sind das, mit denen man das User-Passwort umgehen oder zurück setzen kann?

Kann es sein, dass du eine Anleitung dafür willst? Hier im Forum wird nix dergleichen gepostet, man will ja schliesslich keinen Diebstahl fördern!

 

[PiaggioX8]

Das ist kein grosses Geheimnis und wird auch auf den Apple-Supportseiten beschrieben.
Einen User zu löschen oder dessen Passwort zurückzusetzen ist die kleinste Übung wenn man physikalischen Zugriff auf den Rechner hat.
Brauchst du nicht mal spezielle Unixbefehle - Apple liefert das Werkzeug dafür gleich mit.
Einfach über die Recoverypartition starten und schon kriegt man das weg.
Bringt dem Dieb aber nicht viel. Denn für die installierten Programme brauch er die ursprüngliche Apple-ID um diese erneut installieren zu können.

 

[Wia]

@orcymmot und BigSwissTwin: Erstens versuche ich, zu verstehen, was da passiert ist. Unter Linux weiß ich, wie das geht und da weiß es jeder, der sich einigermaßen auskennt. Zweitens interessiert mich, ob ich irgendwas falsch gemacht habe und die Diebe Zugriff auf meine Daten hatten. Anscheinend ist es sehr einfach, ohne jedes Passwort an die Daten zu kommen und Accounts zu löschen oder neue zu erstellen. @PiaggioX8 : Kannst du die Supportseiten nennen? Ich habe sie nicht gefunden.

 

[orcymmot]

Das ist kein grosses Geheimnis und wird auch auf den Apple-Supportseiten beschrieben.

Dann muss @Wia es sich schon selbst heraussuchen, denn wie SwissBigTwin schrieb, soll hier keine Anleitung dazu gegeben werden.

... Zweitens interessiert mich, ob ich irgendwas falsch gemacht habe und die Diebe Zugriff auf meine Daten hatten. Anscheinend ist es sehr einfach, ohne jedes Passwort an die Daten zu kommen und Accounts zu löschen oder neue zu erstellen.

War das Laufwerk verschlüsselt, bspw. mit FileVault? Dann sollten sie keinen Zugriff auf deine Daten gehabt haben.
Wenn nicht, durchaus möglich.

 

[terz3]

@orcymmotZweitens interessiert mich, ob ich irgendwas falsch gemacht habe und die Diebe Zugriff auf meine Daten hatten. Anscheinend ist es sehr einfach, ohne jedes Passwort an die Daten zu kommen und Accounts zu löschen oder neue zu erstellen.

Ich denke mal die meisten User interessiert noch mehr, wie der "Mann" deine Adresse hatte so dass er einfach so vor deiner Tür stand mit dem Rechner unter dem Arm. Was hast du dann gemacht? Wie wurde dein iMac einfach so gestohlen? Es ist ja immerhin kein kleines Gerät das man einfach so mal mitnehmen kann und das würde den meisten Usern mit iMac wirklich helfen.

Neu angemeldet mit dubioser Geschichte und der wiederholten Anfrage wie man ein Passwort umgeht. Interessant.

 

[orcymmot]

Wia schreibt:

... sofort per "Mein iphone suchen" eine Sperrung und eine Botschaft auf dem Bildschirm

Wenn diese Botschaft nun seine Adresse und/oder TelNr. enthielt, dann wäre ein Besuch der Person möglich.
Aber auch ich finde die Story ein wenig dubios, wenn auch denkbar und daher würde ich mich freuen, wenn keine Anleitung zum Umgehen des Passwortes gepostet würde.

 

[terz3]

Ein Besuch einfach so ohne vorher anzurufen etc? Oder wurde nur die Adresse angegeben? Ich persönlich würde bei einem gestohlenen Gerät sicher keine Adresse sondern nur eine Handynummer oder besser noch email-Adresse angeben.

PiaggioX8 hat doch schon fast die komplette Anleitung gepostet.

 

[NoVisper]

Ende 2012 wurde mein iMac Mitte 2009 gestohlen, ebenfalls sofort gesperrt und ferngelöscht. Nie wieder etwas von der Kiste gehört oder gesehen .....

 

[terz3]

Wie? Stand nicht plötzlich ein Mann mit dem iMac in der Hand vor deiner Tür?

 

[NoVisper]

Ne nun wirklich nicht, die Herren der Kripo nahmen nur die Seriennummer auf und das war es ...

 

[Fotostudio]

Wie? Stand nicht plötzlich ein Mann mit dem iMac in der Hand vor deiner Tür?

und jetzt wissen wir warum die NSA gut ist, also für so was....

 

[terz3]

und jetzt wissen wir warum die NSA gut ist, also für so was....

Ich unterstelle der NSA ziemlich, Selbstlosigkeit zum Wohle eines Bestohlenen gehört definitiv nicht dazu.

 

[Wia]

Hallo terz3,die Lösung war wirklich so einfach, wie ocrymmot es schrieb: Meine Botschaft, die auf dem Bildschirm des Rechners nach dem booten auftauchte, hieß: "Dieser iMac wurde $MEIN_NAME, $MEINE_ADRESSE gestohlen.". Der Diebstahl selbst lief ab, wie eine Wohnungseinbruch halt so abläuft: Nachts Haustür geknackt und Rechner eingesackt (ich habe geschlafen). Ich gebe zu, die Story ist etwas irre, aber was soll, der Rechner steht jetzt wieder auf meinem Schreibtisch. Ich kann euer Misstrauen verstehen und finde es eigentlich auch gut.
Zum Thema Passwort umgehen: Kurzes googlen mit den Stichworten "Datenrettung live cd" bringen jede Menge Anleitungen. Dagegen hilft nur verschlüsseln. Das sollte bekannt sein und kann auch ruhig auf einer Sicherheitsliste gepostet werden, damit den Leuten klar wird, wozu die Verschlüsselung gut ist. Ich wollte wissen, ob diese Methoden 1:1 von PCs auf Macs übertragen werden können, oder ob es da sonst etwas Ähnliches gibt. Das ist nicht besonderes, Anmelde-Passwörter schützen die Daten nicht, wenn der Angreifer physischen Zugriff auf den Rechner hat. Daher finde ich meine Frage überhaupt nicht verdächtig. Mich interessiert nur, wie hoch die Hürde unter OS X ist. Dass sie relativ leicht überwindbar ist, ist völlig klar. Offenbar gibt es unter OS X die "cmd-R"-Möglichkeit, die aber anscheinend eben nicht so ganz einfach Zugriff auf die komplette Platte gibt, habe noch nicht ganz verstanden. Ich werde mir wohl doch mal ein Buch über OS-X Administration kaufen müssen.

 

[PiaggioX8]

Alter Schwede - schon mal was von Google gehört? 112.000 Ergebnisse in 0,45 Sek.

 

[terz3]

Zum Thema Passwort umgehen: Kurzes googlen mit den Stichworten "Datenrettung live cd" bringen jede Menge Anleitungen.

Da sieht man dass Halbwissen schadet. Ich hatte doch geschrieben dass PiaggioX8 schon die Lösung verraten hat. Und generell gilt es Suchen mit wenigen Schlüsselwörtern zu beginnen. Sprich in deinem Fall würde ich mit "passwort" und "os x" anfangen. Dann kann man evtl. noch "vergessen" oder ähnliches probieren.

Und natürlich schützt das Passwort auf dem Mac nicht viel wenn du die Festplatte nicht mit FileVault verschlüsselst.