heise :"Mac OS X schlampt bei Passwörtern "

maceis · 12.12.2004

neolox schrieb:
...
(was könnte das für nachteile haben wenn ich das verhindere?)
...

Das liegt doch auf der Hand; wenn Du Dein Passwort vergisst kommst nimmer in die OF.
Zum Setzen des OF-Passwortes gibt es afair ein Progrämmchen auf der OS X CD.
Zum Absichern des SU-Modes gibt es ein Perl-Skript namens "secureit", welches die rc Dateien leicht erweitert.

Wer - noch dazu bei einem xBook - den Single-User Modus nicht deaktiviert, der sollte imho das Wort "Sicherheit" nicht in den Mund nehmen.
Im SU-Mode bist Du nämlich automatisch root (ohne swapfile-grepping etc.).
Ähnliches gilt, wenn das Booten von CD nicht abgesichert ist.

Plant the Seed! · 12.12.2004

maceis schrieb:
Meine direkte Frage an Plant the Seed! und revo
Habt ihr beide die o. g. Sicherheitsmaßnahmen alle beherzigt ?

Noch nicht, da ich noch keinen Mac nutze(ich warte noch auf ihn, nutze im Moment noch Linux)
Ich werde mir dann einmalig den Aufwand machen und das System soweit moeglich nach dem NSA-Guide konfigurieren.

maceis · 12.12.2004

Linux - hm ?
Wie verhinderst Du auf Deinem System, dass jemand von ner Knoppix o. ä. CD bootet und dann an Deine Daten kommt ?
Oder mit ner Windows Diskette und dann einfach Dein Laufwerk formatiert ?
Und noch was: Sicherheit und "einmalig den Aufwand machen" schliesst sich imho aus.
also; bleib auf´m Teppich

-Nuke- · 12.12.2004

Plant the Seed! schrieb:
Erstaunlich, wie viele hier - fast krankhaft - nicht wahrhaben wollen, dass es sich um einen schwerwiegenden Fehler handelt.

- Weil es bei mir nicht funktioniert?
- Weil die Swapfiles bei jedem Neustart neu angelegt wird?
- Weil jemand im laufenden Betrieb quasi meinen 17kg PowerMac wegtragen müsste?
- Weil man FileVault-Images anlegen kann, welche On-The-Fly sich öffnen und schließen lassen und nicht ständig entschlüsselt sind und dazu mit Wahlweisem Passwort ferab von allen anderem.
- ...

Bin ich deswegen misstrauisch? Du musst die Situation betrachten. Es ist nicht für jeden ein "schwerwiegender Fehler". Wer so wichtige Daten hat, der trifft generell andere Maßnahmen (siehe maceis) als nur ein FileVault-Home-Verzeichnis zu haben.

OS X und Apple-Software haben noch viel schlimmere Sicherheitslücken, als das da.

Stefan · 12.12.2004

Magicq99 schrieb:
Also ich habe das ganze gerade probiert und ich kann mein Passwort nicht finden.

Was genau muss man denn im Terminal eingeben?

Mit "sudo strings -8 /var/vm/swapfile* | grep -A 4 -i longname" finde ich nichts.
Auch wenn ich mit grep direkt nach meinem Passwort suchen lasse finde ich nichts.

Du musst als "longname" schon Deinen langen Benutzernamen eintragen, und nicht einfach den String "longname", es sei denn, Dein User heißt eben "longname".

Ciao,
Stefan

Magicq99 · 12.12.2004

Stefan schrieb:
Du musst als "longname" schon Deinen langen Benutzernamen eintragen, und nicht einfach den String "longname", es sei denn, Dein User heißt eben "longname".

Ciao,
Stefan

Ok, aber wenn ich statt "longname" direkt mein Passwort eingebe müsste es doch auch auftauchen, oder?
So konnte ich es aber auch nicht finden. Möglicherweise wird das Passwort nur unter bestimmten Umständen unverschlüsselt im Swap zu finden sein.

maceis · 12.12.2004

Stefan schrieb:
Du musst als "longname" schon Deinen langen Benutzernamen eintragen, und nicht einfach den String "longname", es sei denn, Dein User heißt eben "longname".
...

Das ist nicht korrekt.
Und wenn, dann wäre das ja schon wieder gut, denn welcher Mac-Dieb kennt schon den longname des Benutzers ?
Und nochwas; es wird beim greppen in den swapfiles zunächst keine Benutzername <-> Passwort Kombination ausgegeben.
Auch damit relativiert sich das "Problem" noch einmal.

Erstaunlich finde ich übrigens, dass die stärksten Kritiker dieser schwerwiegenden Sicherheitslücke Ihre eigenen Systeme von Benutzerseite her offensichtich maximal abgesichert haben

.

Stefan · 12.12.2004

Bei mir ging es auch ein paar Mal nicht (vor allem, als diese Lücke bei O´Reilly publiziert wurde), aber vor ein paar Tagen, als es bei heise stand, hab ichs nochmal versucht, und schwupp, war mein Passwort im Terminal gestanden. Und seitdem läuten die Alarmglocken

. Also muss es wohl nicht immer gehen, aber schon die Möglichkeit, dass es manchmal geht, ist schon zuviel.

Ciao,
Stefan

Stefan · 12.12.2004

maceis schrieb:
Das ist nicht korrekt.
Und wenn, dann wäre das ja schon wieder gut, denn welcher Mac-Dieb kennt schon den longname des Benutzers ?
Und nochwas; es wird beim greppen in den swapfiles zunächst keine Benutzername <-> Passwort Kombination ausgegeben.
Auch damit relativiert sich das "Problem" noch einmal.

Also, wenn Du so groß damit auftrumpfst, wie gut Du in Sicherheitsfragen bist: Alleine dieser Gedankengang sollte bei Dir die Alarmglocken schrillen lassen. Denn wer sagt Dir nicht, dass der Dieb Deines geliebten *Books nicht Deinen Benutzernamen kennt? Natürlich, dem Flinkfinger mit Seitenschneider in der Bib hilft das natürlich wenig, aber falls Dir jemand auch nur kurz über die Schulter geschaut hat, und Du hast den schnellen Benutzerwechsel an, sieht er Deinen Namen z.B. oben rechts. Zum Kern der Sache: mit Wahrscheinlichkeiten bei Sicherheitsaspekten zu argumentieren ist schon zumindest fragwürdig.

Ciao,
Stefan

maceis · 12.12.2004

Stefan schrieb:
... und Du hast den schnellen Benutzerwechsel an
...

Schneller Benutzerwechsel und Sicherheit - brrrrr!
Abgesehen davon, wird hier mW der shortname und nicht der longname angezeigt (kann aber sein, dass ich mich hier täusche, das ich den schnellen Benutzerwechsel nicht benutze).

Außerdem "trumpfe" ich nicht auf, ich bemühe mich nur um Sachlichkeit.

Stefan schrieb:
Also muss es wohl nicht immer gehen, aber schon die Möglichkeit, dass es manchmal geht, ist schon zuviel.

Was ist denn gegeangen ?
Dass Du mit "sudo" und nach Eingabe Deines Adminpasswortes Dein Adminpasswort auslesen konntest? - Was soll´s ?

Wie schon weiter oben von anderen richtig dargestellt, muss da ein "Fremder" schon weit mehr Aufwand betreiben (z. B Rechner nicht einmal ein mal booten, Festplatte umbauen usw.)

Und noch ein - imho nicht ganz unbedeutender - Hinweis:
Würdet Ihr nicht immer von Haus aus als Admin-User arbeiten, stünde auch nicht das Admin-Passwort in den swapfiles.
Da hat Apple wirklich richtig gepfuscht

.

glotis · 12.12.2004

Hi
der Sicherheitsfehler wird dann bei Unternehmen ein Sicherheitsrisiko, wenn sie streng vertrauchliche Daten mit FileVault verschlüsselt ablegen und deren Rechner nicht ausgeschaltet werden sondern in den Sleep-Modus gehen. Die Admins dieser Rechner könnten dort an kritische Informationen kommen. Man muss auch bedenken das manche Unternehmen ihre Rechner auch extern warten bzw administrieren lassen.
Für Single-User ist es eher unkritisch aber ärgerlich.

maceis · 12.12.2004

hallo glotis,

das ist sachlich sicher richtig, was Du da schreibst.

In den allermeisten Fällen ist es aber nach meiner Erfahrung so, dass die Admins ohnehin Vollzugriff auf vertrauliche Informationen haben - und auch haben müssen, da diejenigen die diese Informationen bearbeiten, meist gar nicht in der Lage sind, diese adäquat zu schützen (Ausnahmen bestätigen die Regel).

In den eher seltenen Bereichen, wo man damit nicht leben kann oder möchte, bedarf es nach meiner Meinung einer physikalischen Zugriffskontrolle.
Oder anders ausgedrückt: Man muss sich dann schon sehr genau überlegen, wo man diese hochsensiblen Daten speichert - sicher nicht auf nem xBook mit dem man ständig unterwegs ist und sicher auch nicht auf einem zentralen Server, der im Unternehmensnetz eingebunden ist.

Das führt aber jetzt eigentlich schon wieder ein wenig von der Hauptdiskussion weg.
Nach meiner Ansicht ist es so, dass hier viel Wind um eine zweifellos vorhandene Sicherheitslücke gemacht wird, die aber von den allerwenigsten ausgenutzt werden kann.
Dabei wird ignoriert, dass offener SU-Mode, Booten von CD etc. viel einfacher auszunutzen sind, aber von den wenigsten Benutzern auch nur halb so Ernst wie unverschlüsselte swapfiles genommen werden.
Ich hoffe nur, dass Apple jetzt nicht auf die Idee kommt, die gesamten swapfiles verschüsseln zu müssen

.

Stefan · 12.12.2004

maceis schrieb:
Ich hoffe nur, dass Apple jetzt nicht auf die Idee kommt, die gesamten swapfiles verschüsseln zu müssen .

Was ich so gelesen habe, wird das in Tiger definitv so möglich sein. Aber auch wenn Du nicht als Admin unterwegst bist, weden die Passwörter (evtl, s.o.) im Swap abgelegt. Wenn der FileVault-User sich anmeldet, wird das Passwort geswapt. Ob der Admin ist oder nicht, ist eigentlich egal. Aber nur root kann die Swapfiles auslesen. Und mit physikalischem Zugriff kann ja jeder root werden. Und ich will doch genau das verhindern, dass man mit physikalischem Zugriff meine Daten lesen kann (siehe den chändlichen Dieb). Bleibt wohl nur der Umweg, sensible Daten in nem verschlüsseltem DMG auszubewahren, und FileVault ein gutes Ding sein zu lassen.

Ciao,
Stefan

maceis · 12.12.2004

Stefan schrieb:
...
Aber auch wenn Du nicht als Admin unterwegst bist, weden die Passwörter (evtl, s.o.) im Swap abgelegt.
...

Schon, aber mit einem Benutzerpasswort hab ich noch keinen Vollzugriff auf den gesamten Rechner. Im Ernstfall kann ein Dieb noch nichtmal von der CD (oder einem anderen Volume) booten und damit auch nicht sein eigenes System aufspielen um die Hardware zu nutzen.

Stefan schrieb:
...
Und mit physikalischem Zugriff kann ja jeder root werden.
...

Ganz so einfach ist das ja nun auch wieder nicht, und außerdem:
Ohne physikalischen Zugriff kommt normalerweise niemand an Deine swapfiles, oder ?
Es sei denn, er hat einen remote-root-Zugriff erobert, dann muss er aber keine swapfiles mehr abgreppen. oder ?
Irgendwie drehen wir uns im Kreis oder die "Sicherheitslücke" ist doch nicht ganz so eklatant, wie es auf den ersten Blick aussieht

glotis · 12.12.2004

Hi Maceis
ich bin voll deiner Meinung

TerminalX · 12.12.2004

dylan schrieb:
https://www.macuser.de/forum/showthread.php?t=46460

Genau! Das haben wir hier schon vor 6 Monaten diskutiert! Heise ist mal wieder sehr schnell!

Magicq99 · 12.12.2004

Stefan schrieb:
Bleibt wohl nur der Umweg, sensible Daten in nem verschlüsseltem DMG auszubewahren, und FileVault ein gutes Ding sein zu lassen.

Ich glaube nicht das dies einen großen Unterschied macht. Denn zum öffnen des DMG benötigst du ja auch wieder ein Passwort und vielleicht wird das ja auch mal ins swap gelegt?
Außerdem ist Filevault ja auch nichts anderes als ein verschlüsseltes DMG das Dein gesamtes Home Verzeichnis beinhaltet.

Das Swap file ist ja eine Auslagerung von Daten aus dem RAM. Deshalb wird ein Passwort wahrscheinlich immer irgendwann im swap file landen solange eine Anwendung geöffnet ist die dieses Passwort verwendet.
Eine Anwendung müsste das Passwort dann wohl verschlüsselt im RAM speichern, aber um es dann auch zu verwenden muss es ja entschlüsselt werden. Und da der RAM ja das Gedächtnis des Computers ist MUSS ein Passwort im RAM irgendwann entschlüsselt sein um es überhaupt verwenden zu werden. Dadurch wird es, so wie auch alle anderen sensiblen Daten von geöffneten Programmen, irgendwann seinen Weg ins swap finden.

Mich würde es nicht überraschen wenn dieses Problem auch bei anderen Betriebssystemen besteht. Es könnte imho eine prinzipielle Lücke bei der Verwendung von Swap files sein, aber ich kenne mich in der Materie nicht so gut aus um das richtig beurteilen zu können.

TerminalX · 12.12.2004

Soweit ich weiß benutzen andere Betriebsysteme(Windows&Linux) sogenannte Hash-Werte und somit wird das richtige Passwort nur einmal benutzt und dann ist Schluss. Danach wird nur noch der Hash-Wert benutzt. Hoffen wir das Apple dieses Problem bei Tiger behebt.

Wird bei DMG-Dateien das Passwort auch in die Swap-Datei verlagert? Nein, oder?! Es wird doch nur einmal gebraucht um die dmg-datei zu entpacken und zu mounten?! Danach braucht man das Passwort doch nicht mehr.

maceis · 12.12.2004

Magicq99 schrieb:
...
Mich würde es nicht überraschen wenn dieses Problem auch bei anderen Betriebssystemen besteht. Es könnte imho eine prinzipielle Lücke bei der Verwendung von Swap files sein,
...

Nicht prinzipiell; bei OpenBSD werden zB swapfiles verschlüsselt.
Nachzulesen u. a. hier (ziemlich weit unten).

Und wer jetzt voll die Panik bekommen hat, der verschlüsselt halt ab sofort auch unter Panther seine swapfiles.
Hier steht wie´s gemacht wird.
Ich bin mir sicher, Plant the Seed! und revo sind die ersten, die uns hier mit Ihren Erfahrungsberichten beglücken

.

Magicq99 · 12.12.2004

TerminalX schrieb:
Wird bei DMG-Dateien das Passwort auch in die Swap-Datei verlagert? Nein, oder?! Es wird doch nur einmal gebraucht um die dmg-datei zu entpacken und zu mounten?! Danach braucht man das Passwort doch nicht mehr.

Man muss es aber trotzdem eintippen und wenn man Filevault nicht traut warum sollte man dann einem anderen dmg trauen? Bei Filevault benötigt man es ja auch nur einmal.

@maceis:
wie gesagt kenne ich mich in der Materie nicht so gut aus, aber überraschen würde es mich nicht wenn man auch bei manchen anderen OS eine solche Lücke findet.

heise :"Mac OS X schlampt bei Passwörtern "

maceis

Aktives Mitglied

Plant the Seed!

Aktives Mitglied

maceis

Aktives Mitglied

-Nuke-

Aktives Mitglied

Stefan

Aktives Mitglied

Magicq99

Aktives Mitglied

maceis

Aktives Mitglied

Stefan

Aktives Mitglied

Stefan

Aktives Mitglied

maceis

Aktives Mitglied

glotis

Aktives Mitglied

maceis

Aktives Mitglied

Stefan

Aktives Mitglied

maceis

Aktives Mitglied

glotis

Aktives Mitglied

TerminalX

Aktives Mitglied

Magicq99

Aktives Mitglied

TerminalX

Aktives Mitglied

maceis

Aktives Mitglied

Magicq99

Aktives Mitglied