Sicherheitslücke: FireWire - Targetmode

[glotis]

Hi
ich schliesse mich sgmelin an, der Target-Modus ist keine Sicherheitslücke. Apple beschreibt genau wie der Modus genutzt werden kann. Es erspart einfach den Ausbau der Platte. Will jemand die Daten schützen muss er verschlüsseln.

 

[xiron]

Ich sehe das genau so, dass der Target-Mode keine sicherheitslücke ist.
Denn wenn man die Platte ausbaut und in einen anderen Rechner hängt, entsteht das gleiche "Sicherheitsproblem".

 

[sgmelin]

Was glaubst du, was wir hier tun?

Meckern.

Du scheinst ja neunmalklug zu sein.

zehnmalklug, bitte...

Es geht doch nicht darum, ob mich die Diskussion stört. Vielmehr ist es so, dass mich die Polemik stört.
Der Target Mode und das OF Passwort ist im gedruckten Pamphlet des Macs beschrieben. Die Bewertung, inwieweit die Sicherheit davon beeinflusst wird ist dem Benutzer überlassen. Dies ist auch richtig so.

 

[morten]

Vielleicht hätte ich den Threadtitel anders wählen sollen. Ich will eigentlich nicht wissen, ob ihr den FW Targetmode für eine Sicherheitslücke haltet , sondern, auf welche Weise der "unbedarfte" Nutzer seinen Rechner absichern kann bzw müsste.

- Ich will meine Daten z.B. nicht auf ein externes Medium speichern, da es auch gestohlen werden oder verloren gehen kann.

- Ich, der sich intensiv mit seinem Rechner beschäftigt, kann ein OF Passwort vergeben. Jemand, der sich nicht sehr viel um die Sicherheit seines Rechners kümmert, wird dies nicht tun, da er gar nicht darauf hingewiesen wird.

- Das man die Platte ausbauen kann, um den Schutz zu umgehen ist mittlerweile auch klar

Mein Beispiel: (sehr unwahrscheinlich, aber trotzdem)

Ich sitze des Öfteren in einer öffentlichen Bibliothek, in der ich mein PB auch nicht in jeder Sekunde im Auge habe. Böse Menschen könnten jetzt theoretisch ein paar wichtige Systemdateien löschen und meinen Rechner lahmlegen. Ohne ein OF Passwort ist das sehr einfach zu bewerkstelligen. Das bereitet mir "Sorgen".

Deshalb halte ich beschriebenes Problem sehr wohl für eine Lücke in der Sicherheit, um es mal anders zu formulieren. Es wäre sehr sinnvoll, wenn die Passwortabfrage auch beim FW Targetmodus erfolgen würde. Dann müsste man sich nicht extra:

1. ein Programm herunterladen und
2. nochmals ein Passwort vergeben.

Wie gesagt, ich brauche keine Belehrungen, daß ich auf meinen Rechner aufpassen muss, das weiß ich selbst.

 

[celsius]

Böse Menschen könnten jetzt theoretisch ein paar wichtige Systemdateien löschen und meinen Rechner lahmlegen

diese aussage ist doch schwachsinn!

wenn dein rechner im taget modus gestartet wird und böse menschen system eigene datei löschen wollen, müssen die erstmal zugriffrechte für die dateien haben und um das zu ändern, brauchen die immerhin dein adminpasswort!

targetmodus ist keine sicherheitslücke!

 

[sgmelin]

Im Targetmode braucht man keine Recht. Bzw. da in Unix die Rechte auf Userids vergeben werden kann jeder, der die selbe UserID hat die Daten manipulieren.
Der erste User, den Du am System erstellst erhält die ID 501. Und damit kann jeder Primäre Benutzer diese Daten lesen.

 

[morten]

Was denn jetzt? Kann man Systemdateien löschen oder nicht?
Ich möchte das nur ungern ausprobieren...

Vielleicht stolpert ._ut mal über diesen Fred und klärt uns (mich) auf...

 

[celsius]

Im Targetmode braucht man keine Recht. Bzw. da in Unix die Rechte auf Userids vergeben werden kann jeder, der die selbe UserID hat die Daten manipulieren.
Der erste User, den Du am System erstellst erhält die ID 501. Und damit kann jeder Primäre Benutzer diese Daten lesen.

lesen vielleicht ja, und veränder bzw löschen?
wenn ich im tagetmodus starte und der rechner gehört nicht mir, sind alle ordner die ich manipulieren könnte, mit dem einbahnschild versehen, dass heisst, wenn ich hier was verändern möchte, brauche ich rechte dafür, ohne passwort keine recht und ohne rechte keine manipulation

 

[Magicq99]

Dies hier habe ich aus dem Security Bereich von Macintouch.com

It's worth repeating that security when it comes to a files on a computer is almost nonexistent when someone has *physical access to the computer.* The various security schemes in UNIX (and any OS) are primarily designed to keep people out over a network, but once someone is in the room with your Mac - target disk mode and a FireWire cable certainly will be able to lift off any files.

One possible solution to protecting files would be to keep files on an encrypted disk image, or maybe to use FileVault in Panther - I remember much discussion about the latter on MacInTouch in the Panther reader report.

Die ganzen Unix User IDs und Zugriffsrechte sind dafür ausgelegt die Daten der User im Betrieb zu trennen. Wenn man das OS beim Zugriff aber umgeht, wie z.B. durch Ausbau der Festplatte oder den Target Disk Mode, dann sind diese Rechte wirkungslos.

Und genau aus diesem Grund gibt es Tools wie Filevault. Denn auch wenn man im Target Disk Mode bootet kann man zwar auf das Filevault Disk Image zugreifen, aber nicht auf die darin befindlichen Daten.

Um physischen Zugriff auf Daten zu verhindern werden auch alle Server in Firmen in der Regel in speziellen Räumen eingeschlossen, zu denen dann nur bestimmte Berechtigte Personen Zugriff haben. Und das genau aus diesen Gründen. Man kann eben Daten auf einem Computer nicht vor jemandem schützen der physischen Zugang zu diesem Computer hat. Nur eine Verschlüsselung kann hier helfen, aber da gibt es sicher auch Möglichkeiten noch dran zu kommen.

 

[Lynhirr]

Nun ja, dann brauche ich ja keine Sorgen zu haben. Hier kommt mir keiner mit Kabel und Mac herein und in die Nähe meines iMac.

Also kann ich weiter ruhig schlafen

 

[morten]

Und wieder mal hab ich eine Frage:

Wie starte ich denn nun einen Rechner, der mit einem OpenFirmware Passwort geschützt ist, in den Targetmodus?

(Bei mir klappt das nicht mehr, ich bekomme immer nur das Startfenster.)

Eigentlich wollte ich den Targetmodus ja nicht deaktivieren, sondern nur mit einem Passwort schützen. Tut sich aber nix!

 

[celsius]

ich muss mich korigieren!

das einbahnschild trefft nur auf den benutzerordner zu!
alle systemdateien können verändert oder gelöscht werdem, habe es gerade mit zwei verschiedenen accouts getestet!

sorry an morten

 

[morten]

Kein Problem

Ich hatte das "Einbahnschild" auch erwartet, aber das erscheint nicht.
Das ist auch der Grund, warum ich diesen Fred überhaupt gestartet habe.

 

[Ebbi]

Sven, wenn dich diese Diskussion stört, dann halte dich einfach raus.
Du scheinst ja neunmalklug zu sein.
Was glaubst du, was wir hier tun?

Er hat einfach vollkommen recht mit dem was er schreibt - und das scheint eben einigen nicht zu gefallen.

Physikalischer Zugriff für Nichtberechtigte ist immer schlecht. Egal ob man sein Notebook liegen, oder die Tür zum Serverraum offen lässt.

 

[morten]

Er hat einfach vollkommen recht mit dem was er schreibt - und das scheint eben einigen nicht zu gefallen.

Sehr schön. Danke für deine Anteilnahme.

-----------------------------------------------------------

Features of Open Firmware Password Protection

When turned on, Open Firmware Password Protection:
Blocks the ability to use the "C" key to start up from a CD-ROM disc.
Blocks the ability to use the "N" key to start up from a NetBoot server.
Blocks the ability to use the "T" key to start up in Target Disk Mode (on computers that offer this feature).
Blocks the ability to start up in Verbose mode by pressing the Command-V key combination during startup.
Block the ability to start up a system in Single-user mode by depressing the Command-S key combination during startup.
Blocks a reset of Parameter RAM (PRAM) by pressing the Command-Option-P-R key combination during startup.
Requires the password to use the Startup Manager, accessed by pressing the Option key during startup (Figure 1).
Requires the password to enter commands after starting up in Open Firmware, which is done by depressing the Command-Option-O-F key combination during startup.

Leider habe ich mich vorher nicht genau informiert. Aus Fehlern lernt man ja bekanntlich.

Dank an Apple, wirklich eine wahnsinnig gute Verbesserung der Sicherheit.
Leider würde ich diese Features trotzdem gerne nutzen.
Also weg mit der Sicherheit. Sehr logisch.
So sehr ich Apple schätze, dieser Punkt ist wirklich der letzte Müll. :motz

 

[ratti]

Ich sitze des Öfteren in einer öffentlichen Bibliothek, in der ich mein PB auch nicht in jeder Sekunde im Auge habe. Böse Menschen könnten jetzt theoretisch ein paar wichtige Systemdateien löschen und meinen Rechner lahmlegen.

Theoretisch.

Praktisch werden sie dein PowerBook in ihre Tasche stecken, schnell weggehen und zuhause die (verschlüsselte) Festplatte an "ihrem schönen, neuen PowerBook" einfach plattmachen.

Deshalb halte ich beschriebenes Problem sehr wohl für eine Lücke in der Sicherheit, um es mal anders zu formulieren.

Die Lücke ist anderswo.
Zu dem Zeitpunkt, an dem ein ungefugter Zugang zu deinem Gerät hat, ist alles vorbei. Tschüß, aus, wech.

Ein Sicherheitskonzept besteht in dem Versuch, den Bösewicht von deinem Rechenr fernzuhalten. Per Netzwerk durch Paketfilter. Per "indirektem Zugriff" via Malware durch Dateisystemrechte und verschlüsselte Passwörter.


Warum verschlüsselt man nicht das Dateisystem?
Weil es für die Mehrzehl der Anwender kontraproduktiv ist.

1. Es verlangsamt das System erheblich
2. Es schützt nur vor Datendiebstahl, nicht aber Datensabotage
3. Bei einer Fehlfunktion sind die Daten einfacher verloren
4. I.d.R. besteht ein räumlicher Schutz vor dem Rechnerzugriff


Mit anderen Worten:
Du bemängelst mangelhafte Sicherheit bei deiner Klotür - fremde Leute könnten sie eintreten und dich beim Scheissen fotografieren, und Villeroy&Boch warnen nichtmal davor. Antwort: Lass V&B in Ruhe, kauf die eine anständige WOHNUNGStür und lass keine Leute in deine Wohnung, die sowas tun.

Wenn du zu der kleinen Minderheit der Leute gehörst, die eine einbruchssichere Klotür brauchen und die damit verbundenen Nachteile in Kauf nehmen - dann mußt du ein zusätzliches Produkt erwerben, sowas ist sehr teuer und bei einem normalen Arbeitsrechner für normale Ansprüche "not inclusive".

Als "sicher" gilt normalerweise ein Computersystem, bei dem der Aufwand für den Bösewicht unangemessen hoch ist, verglichen mit seinem Nutzen. Das ist bei deinem Rechner gegeben. Alles weitergehende erfordert Dinge wie Überwachungskameras, Bodyguards und redundante Hardware.

Gruß, Ratti

 

[ratti]

lesen vielleicht ja, und veränder bzw löschen?
wenn ich im tagetmodus starte und der rechner gehört nicht mir, sind alle ordner die ich manipulieren könnte, mit dem einbahnschild versehen, dass heisst, wenn ich hier was verändern möchte, brauche ich rechte dafür, ohne passwort keine recht und ohne rechte keine manipulation

Mausschubser.

Deinen Rechner im Targetmodus mounten, "sudo su" in der Konsole und ALLES gehört mir. Kann auch nicht anders sein.

GRuß, Ratti

 

[Andi]

...

Hallo morten,

auf welchem Firmware security level steht denn Dein Password?
none, command oder full?

Mal davon abgesehen, dass es IP over Firewire gibt, würde ich mal auto-boot auf false setzen und nach Eingabe des Passwords in der OF nach mac-boot die t-Taste halten, ob er nicht doch in den Targetmodus bootet.

Gruß Andi

 

[morten]

auf welchem Firmware security level steht denn Dein Password?
none, command oder full?

Wo bzw. wie stelle ich das ein?

 

[ratti]

So sehr ich Apple schätze, dieser Punkt ist wirklich der letzte Müll.

Man muß einfach verstehen, was man tut. Kiste aufgeschraubt, Batterie rausgenommen, Kondensator überbrückt, damit hat sich das Firmwarepasswort erledigt.

Ja, man kann die Kiste abschliessen. Dann dauert es eben 30 Minuten länger.
Ja, man kann einen Gehäusealarm anbringen. Nochmal 30 Minuten länger. Und spätestens jetzt ist der Laptop so schwer wie eine volle Bierkiste.


Manche haben einfach nicht begriffen, dass sie jetzt ein UNIX verwenden. UNIX! Repeat: UNIX!
Die Features unter solchen Systemen werden nicht von Marketinghanseln implementiert, die dann animiert Bilder von plattenputzenden Doktoren auf den Bildschirm bringen, sondern von TECHNIKERN, die was von der Sache verstehen. Und das heisst: Keine "security through obscurity". Googlelt das. Bitte.

Das heisst im Klartext: Wenn ihr Sicherheits für eine bestimmte Situation braucht, müsst ihr euch drum kümmern und ein entsprechendes Werkezeug implementieren. Für DIESES Szenario.

Das Usermanagement, so wie es Apple von anderen Unices übernommen hat, schützt weitgehend den ganzen Rechner vor Angriffen aus dem Netz. Es schützt andere User auf dem gleichen Gerät vor einem User der (versehentlich oder absichtlich) Malware installiert.

Verschüsselte Dateisysteme wie CryptoFS oder FileVault geben eine RELATIVE Sicherheit, ebenso wie Bildschirmschoner mit Passwort oder dergleichen. Das hilft gegen den schnellen Klau nebenbei.

Jedes weitere rumfrickeln bedeutet nichts anderes, als EIN Loch eines Siebes zu schliessen! Wer sich darum sorgt, ob sein Rechner bei physischem Zugriff durch Bösewichte noch sicher ist, der braucht eine abgeschirmte Telefonleitung, ein Minicam- und Wanzenspürgerät am Arbeitsplatz, ein baulich verplombtes Netzwerk.

Das macht einfach Sinn. Wenn jemand wirklich die kriminelle Energie aufbringt, dein Hombanking-Passwort zu besorgen und es tatsächlich zu verwenden, dann macht er das für 100€ mit einer Minicam in deinen Petunien.
Wer bei "Sicherheit" nur innerhalb des Rechners denkt, der denkt zu kurz, und deswegen ist sowas in Unices gar nicht implementiert. Wozu die Tür abschliessen, wenn die zweite ohnehin offen bleiben muss? Marketing.


Die NSA verwendet übrigens zwei Rechner pro Mitarbeiter. Der eine ist rein intern verdrahtet, der andere rein extern. Da hat jemand nachgedacht.

Gruß,
Ratti