NAS gehackt. Mac in Gefahr ?

ProUser schrieb:
Und wie das mit kritischen Lücken bei Apple ausschaut, kannst Du dieser Tabelle von IBM entnehmen.
Zum Vergrößern anklicken....
Ich spreche hier von Lücken, die IBM logischerweise NICHT bekannt sind - sobald sie bekannt sind, sind die auf dem Schwarzmarkt genau nix mehr wert.
 
Du meinst also, dass es auf dem Schwarzmarkt eine Menge Sicherheitslücken oder gar fertiger Exploits für OS X geben soll - was verleitet Dich zu dieser Annahme bzw. wodurch begründest Du es?
 
ProUser schrieb:
Du meinst also, dass es auf dem Schwarzmarkt eine Menge Sicherheitslücken oder gar fertiger Exploits für OS X geben soll - was verleitet Dich zu dieser Annahme bzw. wodurch begründest Du es?
Zum Vergrößern anklicken....

Es wäre das einzige Betriebssystem bei dem das nicht so ist.
 
heaDrOOMx schrieb:
Eine Beweislastumkehr ist nicht mehr, wie ein Eingeständnis dessen, dass es nicht mal einen Hinweis eines Beweises gibt.
Zum Vergrößern anklicken....

In Sicherheitsfragen ist es aber im Allgemeinen so das die Sicherheit zu beweisen ist und nicht umgekehrt die Unsicherheit.

Ansonsten: OSX wird mit einer ganzen Reihe an Standard-Opensource Software ausgeliefert. Das viele Projekte immer wieder patches anbieten müssen ist ja nix neues.
 
magheinz schrieb:
In Sicherheitsfragen ist es aber im Allgemeinen so das die Sicherheit zu beweisen ist und nicht umgekehrt die Unsicherheit...
Zum Vergrößern anklicken....

Im Allgemeinen ist es so, dass sich die Nichtexistenz eines 30 Euro-Scheines nicht beweisen lässt, sondern nur die Existenz.
Die Nichtexistenz eines Exploits lässt sich ebensowenig beweisen.

Deine Argumentation ist nach dem Motto: "Die Russen kommen!" Die Russen sind 50 Jahre lang gekommen und immer noch nicht da! Sie werden vermutlich auch nicht kommen, jedenfalls nicht so, wie die Aussage immer unterstellt hat. Die kaufen uns vielleicht auf...

Ich kann auch argumentieren: "Die Viren kommen, wenn nicht heute, dann morgen!" So richtig toll ist es, wenn uns Anti-Viren-Software verkauft werden soll, die gegen etwas schützt, was noch keiner gesehen hat!

Aber ich bin auch tausendprozentig sicher, dass gefaltete Stanniolpyramiden auf dem Kopf gegen Außerirdische hilft, besonders die ganz bösen...
Würden alle so argumentieren wie du, könnte ich vom Verkauf von zusammenklappbaren Stanniolhütchen leben!
 
heaDrOOMx schrieb:
Im Allgemeinen ist es so, dass sich die Nichtexistenz eines 30 Euro-Scheines nicht beweisen lässt, sondern nur die Existenz.
Die Nichtexistenz eines Exploits lässt sich ebensowenig beweisen.
Zum Vergrößern anklicken....
Es lässt sich durchaus die Sicherheit und Korrektheit von Software beweisen.
Das ist nur sehr teuer und wird deswegen nur bei Spezialfällen gemacht.
Bei Sicherheitsfragen schränkt man grundsätzlich ein: Ist XYZ sicher gegen Bedrohung X. Wenn ja kann es da auch keinen Exploit geben wenn nein ist von der Existenz eines Exploits auszugehen.


heaDrOOMx schrieb:
Ich kann auch argumentieren: "Die Viren kommen, wenn nicht heute, dann morgen!" So richtig toll ist es, wenn uns Anti-Viren-Software verkauft werden soll, die gegen etwas schützt, was noch keiner gesehen hat!
Zum Vergrößern anklicken....

Ok, ich sehe schon, IT-Sicherheit ist nicht dein Ding...

Exploits für Samba, Popstfix, bash etc sind doch ständig im Umlauf. Was daran jetzt neu und besonders sein soll verstehe ich nicht.

Aber du willst OSX-Expolits:
http://osvdb.org/1743
http://www.securityfocus.com/bid/2293/exploit
http://osvdb.org/show/osvdb/68153

Es gibt sicherlich noch ne Menge mehr und es wird auch immer wieder welche geben.
 
Zuletzt bearbeitet:
magheinz schrieb:
...Exploits für Samba, Popstfix, bash etc sind doch ständig im Umlauf. Was daran jetzt neu und besonders sein soll verstehe ich nicht.
...
Zum Vergrößern anklicken....

Neu ist, dass ich als User Dinge wissen soll, die eigentlich der Programmierer/Betreiber wissen muss. Wenn ich mir also da etwas um die Ohren fliegt, dann hat der Betreiber/Programmierer seine Arbeit nicht nicht richtig gemacht. Wenn ich also etwas selbst betreibe, habe ich auch eine Sicherungspflicht, der ja auch die meisten Betreiber bemüht sind nachzukommen. Ich habe aber keinen Einfluss darauf, wenn ich nicht der Betreiber bin. Demzufolge kann es auch keinen Schutz für mich als User geben, der erkennt, wenn Samba gerade vergenusswerkelt wird. Das kann nur der Betreiber erkennen, er hat entsprechenden Zugang und Rechte.

Fazit: Du magst zwar absolut gesehen recht haben, nur spielt sich das partout nicht im Einflussbereich des Users ab.
 
heaDrOOMx schrieb:
Neu ist, dass ich als User Dinge wissen soll, die eigentlich der Programmierer/Betreiber wissen muss.
Zum Vergrößern anklicken....
Ich vermute mal stark das du als user zuhause auch der Betreiber bist oder etwa nicht. Und das ist nicht neu.

heaDrOOMx schrieb:
Wenn ich mir also da etwas um die Ohren fliegt, dann hat der Betreiber/Programmierer seine Arbeit nicht nicht richtig gemacht.
Zum Vergrößern anklicken....
DU bist der Betreiber


heaDrOOMx schrieb:
Fazit: Du magst zwar absolut gesehen recht haben, nur spielt sich das partout nicht im Einflussbereich des Users ab.
Zum Vergrößern anklicken....
Ich kann im Fall des Ottonormalusers zu hause keinen Unterschied zwischen dem Betreiber und dem User sehen. Daraus folgt für mich, genau wie du es schreibst, eine Sicherungspflicht und hoffentlich bald auch eine Haftbarkeit.

Vor allem die Haftbarkeit wäre schön für mich. Dann könnte ich den ganzen Spamschleudern endlich mal Traffic und Arbeitszeit in Rechnung Stellen.
 
magheinz schrieb:
I...Dann könnte ich den ganzen Spamschleudern endlich mal Traffic und Arbeitszeit in Rechnung Stellen.
Zum Vergrößern anklicken....

Es gäbe seit Jahren sichere Email Systeme. Die sind politisch anscheinend nicht gewollt.
Der User muss es ausbaden, in dem er mit allem Schiet zugemüllt wird...
...und Angebote bekommen längst nicht nur mehr die, die zu doof sind und auf entsprechenden Seiten verkehren...
...und solange es keinen gesetzlichen Rahmen gibt, ist Adressenhandel nicht strafbar. Das will man aber auch nicht, weil sonst die ganzen Gemeinden, LRAs und So nix mehr dazuverdienen!
 
heaDrOOMx schrieb:
Es gäbe seit Jahren sichere Email Systeme. Die sind politisch anscheinend nicht gewollt.
Der User muss es ausbaden, in dem er mit allem Schiet zugemüllt wird...
...und Angebote bekommen längst nicht nur mehr die, die zu doof sind und auf entsprechenden Seiten verkehren...
...und solange es keinen gesetzlichen Rahmen gibt, ist Adressenhandel nicht strafbar. Das will man aber auch nicht, weil sonst die ganzen Gemeinden, LRAs und So nix mehr dazuverdienen!
Zum Vergrößern anklicken....

was ist ein "sicheres emailsystem" und wogegen ist es sicher?

mir würde es vollkommen genügen wenn ich die betreiber von spam- und virenschleudern in die haftung nehmenm könnte und schadenersatz für zusätzliche arbeit und traffickosten kassieren könnte.

ansonsten hast du aber vollkommen recht wobei adresshandel hier nicht das problem ist.
 
Naja, ich bekam einmal auf einer sauberen Email-Adresse Werbung eines Möbelschreinermeisters aus Österreich. Daraufhin schrieb ich ihn an. Er sagte, er habe die Adressenliste "rechtlich einwandfrei" als Liste potenzieller Kunden erworben.
Wäre ja recht lustig, wenn ich nicht besagte Adresse nur bei Behördenangelegenheiten verwendet habe.
Frage: Wer hat nun, entgegen meinem ausdrücklichen Wunsch, meine Email Adresse verkauft und so es ermöglicht, dass sie auf irgendeiner Liste landet? der Provider (T-Online) oder doch Gemeinde, LRA oder FA?

Nun, erst die Existenz solcher Listen macht es möglich, massenhaft Spam zu versenden! Kein Empfänger, keine Spam!
Ich persönlich hätte keine Probleme damit, wenn eine Email, sagen wir mal, 1 Cent kosten würde. 100000 Spamm-Mails täglich wären dann eben schon ein Kostenfaktor. Ist aber so nicht durchsetzbar und der E-Brief der Post löst das Problem nur in Randbereichen.
Und solange jeder in den Mails Absender reinschreiben kann, wie er will, ist Missbrauch Tür und Tor geöffnet.
 
heaDrOOMx schrieb:
Frage: Wer hat nun, entgegen meinem ausdrücklichen Wunsch, meine Email Adresse verkauft und so es ermöglicht, dass sie auf irgendeiner Liste landet? der Provider (T-Online) oder doch Gemeinde, LRA oder FA?
Zum Vergrößern anklicken....
bei mir hat mindestens der ehemalige vermieter meine hausanschrift weitergegeben.
Meine Mutter Stand als Sicherheit mit im Mietvertrag. Sie war weder mit Wohnsitz gemeldet noch hat sie meine Adresse irgendwo angegeben. Auch nicht bei der Steuer o.ä. Trotzdem fanden wir Werbung genau an sie adressiert im Briefkasten. Am KAtsen selber stand nur der Nachname.

heaDrOOMx schrieb:
Nun, erst die Existenz solcher Listen macht es möglich, massenhaft Spam zu versenden! Kein Empfänger, keine Spam!
Zum Vergrößern anklicken....
das wäre schön wenns so wäre.
Die logfiles zeigen aber ganz eindeutig das die Listen einfach per Zufall generiert werden. Ich sehe hier Einlieferungsversuche die ganz eindeutig aus Wörterbuchlisten+Zufall erfolgen.

heaDrOOMx schrieb:
Ich persönlich hätte keine Probleme damit, wenn eine Email, sagen wir mal, 1 Cent kosten würde. 100000 Spamm-Mails täglich wären dann eben schon ein Kostenfaktor. Ist aber so nicht durchsetzbar und der E-Brief der Post löst das Problem nur in Randbereichen.
Zum Vergrößern anklicken....
Die dann der Betreiber des offen Servers oder einfach des schlecht gewarteten Botrechners bezahlen soll? Den Spammer interessiert der Preis einer email doch nicht. Der schickt ja nicht über seinen eigenen Rechner.

heaDrOOMx schrieb:
Und solange jeder in den Mails Absender reinschreiben kann, wie er will, ist Missbrauch Tür und Tor geöffnet.
Zum Vergrößern anklicken....
Um das zu ändern müsstest du ja Email komplett durch was anderes ersetzen.
Das sich der envelop-from vom header-from unterscheiden darf ist nunmal so.
Ansonsten würden Weiterleitungen, Mailinglisten, Urlaubsvertretungen etc nicht funktionieren.
Mehrere Adressen (Aliases) unter einem account wären auch kaum möglich.
Nein, das wäre eine unsinnige Einschränkung.

Ich bin dafür eine Haftung für Rechnerbetreiber einzuführen. Dann zahlen die die das Verursachen: Die Admins ohne Ahnung und die User die keine Lust auf patches haben.
Von mir aus sollte einfach zu jedem Internetanschluss eine Haftpflichtversicherung Zwang sein. Genau wie beim Autofahren.
Das ganze dann nicht nur auf email beschränkt sondern allgemein. Dann hätten wir auch endlich mal die Kosten die die ganzen Würmer verursachen irgendwie geregelt.

Wer dann halt keine Ahnung hat und trotzdem seinen Rechner im Internet haben will der muss sich jemanden holen der sich damit auskennt. Ist beim Autofahren ja nicht anders.
 
magheinz schrieb:
Die dann der Betreiber des offen Servers oder einfach des schlecht gewarteten Botrechners bezahlen soll? Den Spammer interessiert der Preis einer email doch nicht. Der schickt ja nicht über seinen eigenen Rechner.
....
Ich bin dafür eine Haftung für Rechnerbetreiber einzuführen. Dann zahlen die die das Verursachen: Die Admins ohne Ahnung und die User die keine Lust auf patches haben.
Von mir aus sollte einfach zu jedem Internetanschluss eine Haftpflichtversicherung Zwang sein.
...
Wer dann halt keine Ahnung hat und trotzdem seinen Rechner im Internet haben will der muss sich jemanden holen der sich damit auskennt. Ist beim Autofahren ja nicht anders.
Zum Vergrößern anklicken....

Ja wenn ein Spammer einen Botrechner nutzt und der Betreiber 1000 Euro an Email-Kosten zahlen muss, wird er zukünftig alles unternehmen, was zu tun ist, damit ihm das nicht nochmal passiert. Beispielsweise die Wartung verbessern.
Insofern wäre es ja gerade die Haftbarmachung des Betreibers, in dem er dann eben die aufgelaufenen Emailkosten trägt (sozusagen als Strafe).

Da man in D fast alles versichern kann (mein Schwiegervater hat mal einen Holzvollernter gegen Motorschaden versichert!?), könnte man auch dieses Risiko absichern. Dann sind wir aber sofort wieder bei fahrlässig und grob fahrlässig, bzw. die Definition dessen, was denn fahrlässig sei...

Der Durchschnittsuser kauft ein System X (ob Win oder OSX oder Sapetuko) und will damit seiner Beschäftigung nachgehen. Er verlässt sich auch auf den Hersteller, dass dieser Systeme liefert, die dem Unbill des Alltags gewachsen sind. Ich persönlich habe nicht das Riesenhintergrundwissen von OSX, aber ich mache wenigstens regelmäßig meine Aktualisierungen. Sollte ein, wie auch immer gearteter Virenschutz nötig sein, erwarte ich, das dies in einem BS implementiert ist, denn der Durchschnittsuser erwartet einfach ein betriebsbereites System. Autos werden auch mit Schlössern geliefert!
Mein Vater selig hatte irgendeinen Virenscannervertrag abgeschlossen, war allerdings nicht mal in der Lage, das blöde Ding (unter WinXP) zum Laufen zu bekommen. Und die 3-Minütlich auftauchenden Fragen, ob er denn beispielsweise die Verknurzung der Kontraminyse mit dem 3 Arm seiner Festplatte zulassen wolle und wenn ja ob einmalig oder dauerhaft oder doch lieber ganz anders, konnte mein Vater eh nicht beantworten. Ein paar mal falsch geklickt und schon ist entweder alles offen oder das System tut, ausser Emails abholen, im Internet gar nichts mehr.
Ein DAU angepasstes System wäre hilfreicher.

Beispiel Datensicherung: Wer einmal den SuperGAU erlebt hat, sichert seine Daten. Gut gemeinte Ratschläge an andere User werden regelmäßig nicht beachtet. Wenn man dann hier liest "FP kaputt, ogottogottogott... meine Lieder, mein Bilder meine...", dann hält sich das Mitleid in Grenzen.
Wer um Geld würfelt, sollte sich das Verlieren leisten können, sonst darf nicht spielen, wer sich den Datenverlust nicht leisten kann, muss eben Vorsorge treffen (TM o.ä.) und wer für über seine Adresse abgewickelte Spam bezahlen muss, wird (a) seinem Provider in den Allerwertesten treten und (b) zukünftig Sorge tragen, dass das nicht mehr passiert!
 
Ein interessanter Gedanke ist, eine Mail grundsätzlich mit einer Empfangsbestätigung zu koppeln (wie etwa beim Telefon, nicht abstellbar, bzw. unterdrückte Nummer kommt gar nicht zum Zug…), dass würde beim SpamSender einen netten Auflauf verursachen… und wenn es sich um einen gehackten Rechner handelt, wüsste der User, dass er etwas ändern müsste ;)

Wir haben mal durchgerechnet, dass der email traffic sich anfangs verdoppeln würde (Grundrechenarten ;)), aber wenn man in die Rechnung einbezieht, dass mehr als 90% des email Verkehrs durch Spam (aber auch gestattete Werbung) entsteht, sollte es sich bereits nach 4-5 Wochen wieder auf dem alten Niveau befinden (abgeschaltete oder gesicherte Bots…), danach würde der Traffic zurückgehen. Es ist klar, dass durch den ersten Ansturm einige Server "aus der Kurve fliegen" weil sie dem Ansturm nicht gewachsen sind, aber dies wäre ein temporäres Problem… Zur Zeit dürfte dies aber politisch nicht durch zu setzen sein, vor allem auch weil nicht gerade wenige gekaperts bots sich nicht im privaten Besitz befinden.

Zum Thema noch: bisher ist mir kein Mac-Hack bekannt, der ohne die Mithilfe (bzw. physischen Zugriff auf den Rechner) erfolgreich war. Sollte jemand einen Hinweis (einen ECHTEN Link etwa, keine Verschwörungstheorien…) haben, wäre ich dankbar für diesen Tipp. Aber wie gesagt, es sollte etwas handfestes nicht etwas spekulatives sein, und es sollte sich nicht um einen DAU handeln, der einen Keylogger selbst installiert… Der TE hat jedenfalls sicher nicht SPAM ins Auge gefasst bei seinen Befürchtungen eines Hacks…
Interessant ist auch die Technik des evercookies (bitte mal tante google fragen) in diesem Zusammenhang.
 
Zuletzt bearbeitet:
Mich würde mal interessieren wie du die Ports weitergeleitet hast das die auf deinen Router kommen. Und was für ein Software wurde als Server benutzt :). Es scheint ja als ob dein Netz offen wie ein Scheunentor war wenn man von außen auf das Router Interface kommt.

Zum Passwort, war da nicht was mit Groß + Kleinschreibung, Sonderzeichen + Zahlen und 13+ stellen ?!
 
Ist zwar ganz nett was ihr hier schreibt, hat aber mit dem ursprünglichen Thema nicht wirklich was zu tun.

Gruß

win2mac
 
heaDrOOMx schrieb:
Es gäbe seit Jahren sichere Email Systeme. Die sind politisch anscheinend nicht gewollt.
Zum Vergrößern anklicken....
Willst du mich auf den Arm nehmen?
Dir ist doch das Thema Sicherheit offenbar völlig egal. Ansonsten hättest du auch jahrelang kein mobileme ohne SSL genutzt. Das war dir damals in unserer Diskussion zu mobileme völlig egal ;)
(mittlerweile kann mobileme SSL)
 
Zurück
Oben Unten