Tzunami
Aktives Mitglied
- Dabei seit
- 18.10.2003
- Beiträge
- 7.276
- Reaktionspunkte
- 1.615
Jup, hast recht, ich war zu dämlich. Der Rechner antwortet doch ^^
Jup, hast recht, ich war zu dämlich. Der Rechner antwortet doch ^^
benjii
Aktives Mitglied
- Dabei seit
- 02.03.2005
- Beiträge
- 2.485
- Reaktionspunkte
- 186
In der neuen c't 24/2007 ist jetzt auch ein Bericht drin - und endlich sind da mal alle zurzeit bekannten Fakten sachlich aufgeführt. Also: Apple nutzt Signaturen, die Dienste ermächtigen, durch die Firwall zu gelangen.
in2itiv
Aktives Mitglied
- Dabei seit
- 10.10.2003
- Beiträge
- 26.587
- Reaktionspunkte
- 1.640
S
sulu32
Aktives Mitglied
- Dabei seit
- 08.08.2007
- Beiträge
- 207
- Reaktionspunkte
- 2
Ich habe mein MacBook Pro noch nicht allzu lange.
Kenne mich um ehrlich zu sein, dort noch nicht so gut aus.
Bin zu sehr dosenverseucht.
Habe mir zum Start von Leopard dieses draufgespielt.
Was soll man denn nun Eurer Meinung alles zur Sicherheit tun.
Habe auch einen Router (dlink).
Hat jemand eine Seite wo diese Firewall-Einstellerei erklärt wird?
Und soll man sich auch einen Virenscanner zulegen?
Traue mich ehrlich nicht, irgendwelche Banking-Geschichten mit
diesem tollen Teil zu machen.
Kenne mich um ehrlich zu sein, dort noch nicht so gut aus.
Bin zu sehr dosenverseucht.
Habe mir zum Start von Leopard dieses draufgespielt.
Was soll man denn nun Eurer Meinung alles zur Sicherheit tun.
Habe auch einen Router (dlink).
Hat jemand eine Seite wo diese Firewall-Einstellerei erklärt wird?
Und soll man sich auch einen Virenscanner zulegen?
Traue mich ehrlich nicht, irgendwelche Banking-Geschichten mit
diesem tollen Teil zu machen.
in2itiv
Aktives Mitglied
- Dabei seit
- 10.10.2003
- Beiträge
- 26.587
- Reaktionspunkte
- 1.640
...schalte die FW (Systemeinstellungen > Sicherheit) das alle verbindungen blockiert sind.
...und dann mach dir keine weiteren gedanken. Die vorhandenen Lücken sind kein problem, über das man sich gedanken machen muss.
benjii
Aktives Mitglied
- Dabei seit
- 02.03.2005
- Beiträge
- 2.485
- Reaktionspunkte
- 186
Insgesamt finde das aber schon ein heftiges Stück, das sich die Fachpresse da leistet: Zuerst wird so getan, als ob wegen der neuen Leo-Firewall eine Virenflut a la Sasser beim Mac kurz bevor steht. Und zahlreiche Laien und Newbies kriegen es - was ja nachvollziehbar ist - mit der Angst zu tun.
Und dann stellt sich heraus, hoppla, Apple benutzt ja mit der applikationsbasierten Lösung und den Signaturen einen ganz neuen Ansatz. Es ist zwar alles anders, aber nicht schlimmer als vorher. Aber das wird dann eher in einem kleinen Artikel vermerkt.
Und dann stellt sich heraus, hoppla, Apple benutzt ja mit der applikationsbasierten Lösung und den Signaturen einen ganz neuen Ansatz. Es ist zwar alles anders, aber nicht schlimmer als vorher. Aber das wird dann eher in einem kleinen Artikel vermerkt.
Zuletzt bearbeitet:
below
Aktives Mitglied
- Dabei seit
- 15.03.2004
- Beiträge
- 13.565
- Reaktionspunkte
- 1.092
Ich habe es in einem anderen Thread schon gesagt.
Auch Microsoft war sicher überzeugt, dass die Systemdienste, die sie einfach so gestartet und für die Welt freigeschaltet haben, kein Sicherheitsrisiko darstellen. Der Rest ist bekannt.
Es geht mir nicht darum, ob der ntpd eine wirkliche Schwachstelle ist. Aber:
1) Warum wird der ntpd ÜBERHAUPT auf OS X Client gestartet? Welchen Zweck soll das haben?
Unnötige Dienste sollte man gar nicht erst starten.
2) Die Firewall tut nicht, was sie vorgibt zu tun. Da könnt ihr jetzt tausend Argumentationen bringen. Fragt mal irgendeinen IT Fachmann, was er unter "Alle eingehenden Verbindungen Blockieren" versteht. Es gibt keinen Zweifel, was das tun soll.
Das ist so, als wenn ein Auto als "Allrad" angepriesen wird, und dann nur zwei Räder betrieben sind. Würdet ihr dann auch sagen "Ja, sicher. Allrad meint halt, alle Räder der Vorderachse!"
3) Die Art und Weise, wie Apple und manche User mit diesem Problem umgehen macht mir Angst.
Apple legt hier erscheckend wenig Sorgfalt an den Tag, und das wird von manchen auch noch verteidigt oder schön geredet.
Wenn ihr den Mac so sicher behalten wollt, wie er ist, dann darf man solche Probleme nicht verharmlosen oder beschönigen.
Man muss sie lösen.
Alex
Auch Microsoft war sicher überzeugt, dass die Systemdienste, die sie einfach so gestartet und für die Welt freigeschaltet haben, kein Sicherheitsrisiko darstellen. Der Rest ist bekannt.
Es geht mir nicht darum, ob der ntpd eine wirkliche Schwachstelle ist. Aber:
1) Warum wird der ntpd ÜBERHAUPT auf OS X Client gestartet? Welchen Zweck soll das haben?
Unnötige Dienste sollte man gar nicht erst starten.
2) Die Firewall tut nicht, was sie vorgibt zu tun. Da könnt ihr jetzt tausend Argumentationen bringen. Fragt mal irgendeinen IT Fachmann, was er unter "Alle eingehenden Verbindungen Blockieren" versteht. Es gibt keinen Zweifel, was das tun soll.
Das ist so, als wenn ein Auto als "Allrad" angepriesen wird, und dann nur zwei Räder betrieben sind. Würdet ihr dann auch sagen "Ja, sicher. Allrad meint halt, alle Räder der Vorderachse!"
3) Die Art und Weise, wie Apple und manche User mit diesem Problem umgehen macht mir Angst.
Apple legt hier erscheckend wenig Sorgfalt an den Tag, und das wird von manchen auch noch verteidigt oder schön geredet.
Wenn ihr den Mac so sicher behalten wollt, wie er ist, dann darf man solche Probleme nicht verharmlosen oder beschönigen.
Man muss sie lösen.
Alex
below
Aktives Mitglied
- Dabei seit
- 15.03.2004
- Beiträge
- 13.565
- Reaktionspunkte
- 1.092
Doch, es ist schlimmer, weil es (noch?) nicht funktioniert wie es soll. Und der sorglose Umgang mit Systemdiensten ist damit auch noch nicht vom Tisch.
Und was machst Du mit Diensten auf Java, Perl oder Ruby Basis? Du kannst mit dem Applikationsbasierten Ansatz nur "Alle Ruby Dienste" pauschal freigeben oder blockieren.
Alex
in2itiv
Aktives Mitglied
- Dabei seit
- 10.10.2003
- Beiträge
- 26.587
- Reaktionspunkte
- 1.640
...bevor mir nicht jemand erklärt, wieso ntpd in der derzeitigen form eine wirkliche sicherheitslücke ist, denke ich nicht weiter darüber nach
...manchmal ist es theoretisch nicht praktisch, wenn ein trompeter in eine geige bliese!
below
Aktives Mitglied
- Dabei seit
- 15.03.2004
- Beiträge
- 13.565
- Reaktionspunkte
- 1.092
...bevor mir nicht jemand erklärt, wieso ntpd in der derzeitigen form eine wirkliche sicherheitslücke ist, denke ich nicht weiter darüber nach
Nochmal:
Erstens: Warum läuft dieser Dienst standardmässig? Kann mir DAS jemand erklären?
Zweitens: Es geht mir nicht um ntpd -- es geht mir darum, das Apple hier eine Laxheit an den Tag legt, die an Microsoft in den schlimmsten Tagen erninnert.
Es werden vollkommen unsinnige Dienste gestartet, und dann auch noch der Welt zur Verfügung gestellt ohne das der User etwas davon weiss
Ja, so kann man die Sicherheit von ntpd auch im Feldtest beweisen.
Um es klar zu sagen: Leopard ist sicher. Aber wir können froh sein, dass es nur ntpd, und nicht zum Beispiel sshd ist.
Alex
in2itiv
Aktives Mitglied
- Dabei seit
- 10.10.2003
- Beiträge
- 26.587
- Reaktionspunkte
- 1.640
...ich denke mal der zeitserver-dienst hängt mit der ganzen geschichte mit der indizierung der daten auf kernel-ebene zusammen. Nicht ganz unwichtig für das system. Warum der allerdings ein "loch" in der FW braucht versteh ich auch nicht.
below
Aktives Mitglied
- Dabei seit
- 15.03.2004
- Beiträge
- 13.565
- Reaktionspunkte
- 1.092
benjii
Aktives Mitglied
- Dabei seit
- 02.03.2005
- Beiträge
- 2.485
- Reaktionspunkte
- 186
@below
es schreibt ja keiner, dass der Mac auf ewig ungefährdet sei. Klar gibt es ein Gefahrenpotenzial, und zwar kein kleines.
Aber an der ursprünglichen Berichterstattung über die Leopard Firewall ("Sicherheitsstandard wie Microsoft wie vor vier Jahren") passt eben vieles nicht - der Autor hat die applikationsbasierten Ansätze einfach nicht erkannt. Das muss schon auch gesagt werden, damit Newbies das wahre Bild der Gefahrenlage abschätzen können.
ntpd ist im Übrigen nicht nur "einfach so" drin in OS X. Apple empfiehlt den Einsatz ausdrücklich als Sicherheitsmaßnahme unter dem Punkt "Simple Changes to Enhance the Security of Mac OS X":
"Turn on Network Time Synchronization. This is a good idea, particularly if you have a constant connection to either a local NTP (Network Time Protocol) server or the Internet. Ask your local systems or network administrator if you have a local NTP server. Keeping your clock synchronized to official time is helpful in coordinating forensics of an attack and detecting alterations to the system."
http://developer.apple.com/internet/security/securityintro.html
Das Ganze ist im Übrigen stark abgesichert:
"Authentication Support Authentication support allows the NTP client to verify that the server is in fact known and trusted and not an intruder intending accidentally or on purpose to masquerade as that server. The NTPv3 specification RFC-1305 defines a scheme which provides cryptographic authentication ofreceived NTP packets. Originally, this was done using the Data Encryp-tion Encryption Standard (DES) algorithm operating in Cipher Block Chaining (CBC) mode, commonly called DES-CBC. Subsequently, this was augmented by the RSA Message Digest 5 (MD5) algorithm using a private key, commonly called keyed-MD5. Either algorithm computes a message digest, or one-way hash, which can be used to verify the server has the correct private key and key identifier."
http://developer.apple.com/documentation/Darwin/Reference/ManPages/man5/ntp.conf.5.html
Im Übrigen hast du natürlich Recht: Die Benennung und Dokumentation der Leo-Firewall ist schlecht, da sind Verbesserungen nötig. Aber sie ist per se deshalb nicht unsicher, wie's geschrieben wurde.
es schreibt ja keiner, dass der Mac auf ewig ungefährdet sei. Klar gibt es ein Gefahrenpotenzial, und zwar kein kleines.
Aber an der ursprünglichen Berichterstattung über die Leopard Firewall ("Sicherheitsstandard wie Microsoft wie vor vier Jahren") passt eben vieles nicht - der Autor hat die applikationsbasierten Ansätze einfach nicht erkannt. Das muss schon auch gesagt werden, damit Newbies das wahre Bild der Gefahrenlage abschätzen können.
ntpd ist im Übrigen nicht nur "einfach so" drin in OS X. Apple empfiehlt den Einsatz ausdrücklich als Sicherheitsmaßnahme unter dem Punkt "Simple Changes to Enhance the Security of Mac OS X":
"Turn on Network Time Synchronization. This is a good idea, particularly if you have a constant connection to either a local NTP (Network Time Protocol) server or the Internet. Ask your local systems or network administrator if you have a local NTP server. Keeping your clock synchronized to official time is helpful in coordinating forensics of an attack and detecting alterations to the system."
http://developer.apple.com/internet/security/securityintro.html
Das Ganze ist im Übrigen stark abgesichert:
"Authentication Support Authentication support allows the NTP client to verify that the server is in fact known and trusted and not an intruder intending accidentally or on purpose to masquerade as that server. The NTPv3 specification RFC-1305 defines a scheme which provides cryptographic authentication ofreceived NTP packets. Originally, this was done using the Data Encryp-tion Encryption Standard (DES) algorithm operating in Cipher Block Chaining (CBC) mode, commonly called DES-CBC. Subsequently, this was augmented by the RSA Message Digest 5 (MD5) algorithm using a private key, commonly called keyed-MD5. Either algorithm computes a message digest, or one-way hash, which can be used to verify the server has the correct private key and key identifier."
http://developer.apple.com/documentation/Darwin/Reference/ManPages/man5/ntp.conf.5.html
Im Übrigen hast du natürlich Recht: Die Benennung und Dokumentation der Leo-Firewall ist schlecht, da sind Verbesserungen nötig. Aber sie ist per se deshalb nicht unsicher, wie's geschrieben wurde.
Tronicus
Mitglied
- Dabei seit
- 26.06.2006
- Beiträge
- 25
- Reaktionspunkte
- 1
OMG! Da wechsle ich aus Sicherheitsgründen gleich zu Vista!
also davon kann ich abraten ^^ wenn mac dann auch osx und die anderen rechner sind auch nur unter linux zu gebrauchen
below
Aktives Mitglied
- Dabei seit
- 15.03.2004
- Beiträge
- 13.565
- Reaktionspunkte
- 1.092
Aber meiner Meinung nach passt auch einiges! Dieses "Hach, wir starten einfach einen Dienst und lassen die Welt darauf zugreifen", das IST wie Microsoft vor vier Jahren Und jeder hier im Forum weiss, was ich für ein Mac-Fanatiker bin.
Du verwechselst hier den ntp Client und den ntpd Server. Natürlich ist der Client sehr, sehr sinnvoll, den Nutze ich auch mit grosser Freude.
Aber warum auf meinem System ein ntpd Server per Default läuft, das will sich mir nicht erschliessen.
Leider habe ich nach der Reaktion von Apple Angst, dass auch Apple erst in den Brunnen fallen muss. Offenbar halten einige Leute in Cupertino OS X für gottgegeben sicher -- Aber wenn OS Xnoch ein paar Prozent mehr Marktanteil bekommt, dann muss Apple an der Sicherheitskultur dringend etwas tun.
Alex
benjii
Aktives Mitglied
- Dabei seit
- 02.03.2005
- Beiträge
- 2.485
- Reaktionspunkte
- 186
@ below
zur Gefährdung: ich halte die Berichterstattung trotzdem weiterhin für verfehlt. Da sind einfach wesentliche Punkte nicht beachtet worden - und Furcht, Unsicherheit und Schrecken bei den Usern erzeugt worden. Klar, muss weiter über Sicherheit bei OS X geredet werden, und zwar intensiv - aber unberechtigt Panik erzeugen hilft nicht.
du hast im Übrigen Recht, es geht um den ntpd Server - der aber anscheinend auch bei FreeBSD zum Einsatz kommt, also kein Apple-eigener Ansatz ist:
"FreeBSD ships with the ntpd(8) NTP server which can be used to query other NTP servers to set the clock on your machine or provide time services to others."
Vielleicht ist hier auch der Grund angegeben:
"In a local area network environment, it is essential that computers sharing files from the same file server have synchronized clocks so that file timestamps stay consistent."
http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/network-ntp.html
zur Gefährdung: ich halte die Berichterstattung trotzdem weiterhin für verfehlt. Da sind einfach wesentliche Punkte nicht beachtet worden - und Furcht, Unsicherheit und Schrecken bei den Usern erzeugt worden. Klar, muss weiter über Sicherheit bei OS X geredet werden, und zwar intensiv - aber unberechtigt Panik erzeugen hilft nicht.
du hast im Übrigen Recht, es geht um den ntpd Server - der aber anscheinend auch bei FreeBSD zum Einsatz kommt, also kein Apple-eigener Ansatz ist:
"FreeBSD ships with the ntpd(8) NTP server which can be used to query other NTP servers to set the clock on your machine or provide time services to others."
Vielleicht ist hier auch der Grund angegeben:
"In a local area network environment, it is essential that computers sharing files from the same file server have synchronized clocks so that file timestamps stay consistent."
http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/network-ntp.html
maceis
Aktives Mitglied
- Dabei seit
- 24.09.2003
- Beiträge
- 16.880
- Reaktionspunkte
- 626
Da kann ich nur zustimmen.
Leider verläuft die gesamte Diskussion - angeheizt durch die Medien - sehr unsachlich, dass solche wesentlichen Details gar nicht mehr ernsthaft beachtet werden. Hätte heise zu dem Thema eine ordertlich rechechierten und fachlich kompetenten Artikel publiziert, hätte das vielleicht nicht ganz so hohe Wellen geschlagen. Auf der anderen Seite hätte man dann aber ein Basis, auf der man die Problematik sinnvoll hätte erörtern können.
Schade um die verschwendete Chance.
Und wer sich selbst noch nie mit dem ntp Dienst beschäftigt hat, der sollte sich vielleicht erst einmal informieren, bevor er einfach was nachplappert, was er nicht verstanden hat.
below
Aktives Mitglied
- Dabei seit
- 15.03.2004
- Beiträge
- 13.565
- Reaktionspunkte
- 1.092
Rischtisch. Und ich erwarte morgen auch keinen Exploit für ntpd.
Nee, redet Euch mal nicht um Kopf und Kragen. Gerade dazu wäre es sinnvoll, einen ntpd auf genau einem Rechner im Netzwerk laufen zu haben -- wenn er auf jedem Client läuft, dann ist dass vollkommener Unsinn.
Im übrigen hat OS X schon lange ein wunderbares Interface, um sich mit tollen, öffentlich verfügbaren ntp Servern zu verbinden, es heisst "Datum & Uhrzeit automatisch einstellen". Das konnte auch schon Tiger.
Einen eigenen ntpd zu fahren ist eine Sache von Systemadministratoren -- nicht für ganz normale Anwender. Und wir machen das in der Firma zum Beispiel auch nicht, sondern nutzen öffentliche ntpds.
Alex
B
bioMac
Aktives Mitglied
- Dabei seit
- 03.11.2007
- Beiträge
- 324
- Reaktionspunkte
- 2
Ich sehe schon, hier gibt es eine hitzige Diskussion. Aber - auch wenn die Leopard Firewall lange nicht so schlecht zu sein scheint wie die Medien behaupten - was muss man denn tun, um sich als neuer Macuser mit noch wenig Erfahrung richtig zu verhalten? Firewall aktivieren oder nicht? Was an zusätzlicher Sicherheit?
Wäre über Tipps dankbar.
Wäre über Tipps dankbar.
benjii
Aktives Mitglied
- Dabei seit
- 02.03.2005
- Beiträge
- 2.485
- Reaktionspunkte
- 186
Nun ja, ich bin auch noch in der Phase der Erkenntnisfindung, wie wohl viele User hier – und versuche, andere durch das Veröffentlichen von Links zu Quellenmaterial bei der Erkenntnisfindung zu helfen. Ich meine nicht, dass das schlimm ist - eher gut.
@ below: du hast dir ja etliche Gedanken gemacht, was den ntpd-Server betrifft. Gar keine Vermutungen?