Sicherheit unter Panther?

agro

Mitglied
Thread Starter
Mitglied seit
16.12.2004
Beiträge
612
Der Firewire Target Modus erlaubt jedem auch nur halbwegs kundigen (ab)-user, auf alles in panther zuzugreifen, ohne sich die Mühe machen zu müssen, irgendwelche Passwörter zu knacken. Der ganze Rechner liegt offen vor ihm und er kann schalten und walten wie er will: Kopieren, löschen, alles was das Herz begehrt. Das hat mich ganz schön geschockt, als ich das entdeckt habe. Alles, was er/sie braucht, ist ein Firewire-Kabel, einen anderen Mac und das Wissen, wie man den zu öffnenden Mac im Target Mode startet.
Weiß jemand, ob man diese Lücke (z. B. durch eine bestimmte Einstellung) schliessen kann?
 

xlqr

Aktives Mitglied
Mitglied seit
08.09.2003
Beiträge
1.920
systemeinstellungen > sicherheit
 

jokkel

Aktives Mitglied
Mitglied seit
24.09.2003
Beiträge
3.790
Du musst ein Openfirmware Passwort festlegen. Das verhindert dann das Booten im Targetmodus ohne Passwort. Siehe Suchfunktion bzw. Apple Seite.

Wenn jemand allerdings schon deinen Rechner in der Hand hat, dann kann er auch die Festplatte ausbauen und in einen anderen Rechner einbauen. Das dauert natürlich etwas länger.
 

?=?

Mitglied
Mitglied seit
09.02.2004
Beiträge
950
Ist schon schlimm, dass man bei jedem Rechner die HD (mehr oder weniger bequem) ausbauen und mit nem anderen Rechner auslesen kann :rolleyes:

Du kannst ihn natürlich auch in einen Tresor einschließen.


Gruß,

?=?
 

bebo

Aktives Mitglied
Mitglied seit
20.11.2003
Beiträge
3.714
Wenn die Daten schon so sensibel sind, dass man noch nicht mal denen traut, die physisch an den Rechner gelangen können, dann würde ich mir den Einsatz von FileVault überlegen.
 

Lua

Aktives Mitglied
Mitglied seit
27.05.2004
Beiträge
3.143
Ich würde mal sagen FileVault.
Ansonsten einfach aufs Book etwas aufpassen.
Gruss,
Lua
 

?=?

Mitglied
Mitglied seit
09.02.2004
Beiträge
950
bebo schrieb:
Wenn die Daten schon so sensibel sind, dass man noch nicht mal denen traut, die physisch an den Rechner gelangen können, dann würde ich mir den Einsatz von FileVault überlegen.
...oder etwas feingranularer: selbstdefinierte verschlüsselte Images.
edit: Beides bietet sich im übrigen auch an, wenn der Rechner mal zum Service geht.


Gruß,

?=?
 
Zuletzt bearbeitet:

agro

Mitglied
Thread Starter
Mitglied seit
16.12.2004
Beiträge
612
Erstmal vielen Dank für die Tips an alle, die sich die Mühe gemacht haben! Ich glaub' ich werde mir wohl einen Tresor kaufen ;-)
Mir fallen dazu noch ein paar Fragen ein:
Habt ihr File Vault schon benutzt? Läuft das alles rund und genauso schnell wie ohne? Sind die Daten wirklich unwiederbringlich verloren, wenn man das Passwort vergisst? Oder gibt's da noch Möglichkeiten, die man selber anwenden kann, ohne professionellen Wiederherstellungsservice?
Wie erstellt man selbstdefinierte verschlüsselte Images?

Gruß
agro
 

Ölch78

Mitglied
Mitglied seit
01.12.2004
Beiträge
249
ich denke wenn du schon file vault anwendest und eine passwort vergibst, dann sind sie weg sobald du das passwort verlierst bzw. vergisst. dazu ist es doch da, da "niemand" ran kann, ohne das passwort zu wissen.

ist aber nur ne vermutung.
 

belsazer

Mitglied
Mitglied seit
19.12.2003
Beiträge
122
agro schrieb:
Habt ihr File Vault schon benutzt?
ja.


agro schrieb:
Läuft das alles rund und genauso schnell wie ohne?
nein, zumindest nicht am ibook g4. imovie, idvd und garage band holpern. man sollte sein projekt dann "für alle user" speichern, dann geht's.


agro schrieb:
Sind die Daten wirklich unwiederbringlich verloren, wenn man das Passwort vergisst? Oder gibt's da noch Möglichkeiten, die man selber anwenden kann, ohne professionellen Wiederherstellungsservice?
nein, auch ein professioneller kann das dann nicht mehr, da 128bit-verschlüsselung zumindest nach heutigem standart (wahrscheinlich nur fast, aber nahezu) unknackbar ist (laut macLife).


hoffe, ich konnte mal helfen :D
 

?=?

Mitglied
Mitglied seit
09.02.2004
Beiträge
950
agro schrieb:
Habt ihr File Vault schon benutzt?
Nein.

agro schrieb:
Läuft das alles rund und genauso schnell wie ohne?
Jein.
Die transparente Ver- und Entschlüsselung kostet natürlich Zeit.
Bei "normalen" Dateien wirst du das nicht/kaum spüren.
Merkbar wird's bei richtig großen Datenmengen, wie z.B. Filmen, die iMovie ja gerne unterhalb des Homedirectories anlegt . . .
Und afaik kannst du das Kennwort für FileVault nicht einfach mal ändern.

agro schrieb:
Sind die Daten wirklich unwiederbringlich verloren, wenn man das Passwort vergisst?
Ja.

agro schrieb:
Oder gibt's da noch Möglichkeiten, die man selber anwenden kann, ohne professionellen Wiederherstellungsservice?
Nein.

agro schrieb:
Wie erstellt man selbstdefinierte verschlüsselte Images?
Festplattendienstprogramm > Neues Image
Dann (Maximal-)Größe angeben, Verschlüsselung AES auswählen, Format "einfaches Image".
Damit erhältst du ein verschlüsseltes SparseImage, das anfänglich recht klein ist und mit zunehmender Füllung bis zur Maximalgröße anwachsen kann.
Das Image kannst du ganz normal per Doppelklick einbinden. Es wird dann das Kennwort abgefragt.

FileVault ist im wesentlichen auch nix anderes, außer das das Image bei deiner Anmeldung automatisch eingebunden wird.
Daher gelten bei einem selbsterstellten Image grundsätzlich die gleichen Vor- und Nachteile. Nur eben ohne Automatik bei der Einbindung aber dafür mit feinerer Auswahl, was verschlüsselt werden soll.


Gruß,

?=?
 

ratti

Aktives Mitglied
Mitglied seit
09.05.2004
Beiträge
1.521
agro schrieb:
Der Firewire Target Modus erlaubt jedem auch nur halbwegs kundigen (ab)-user, auf alles in panther zuzugreifen, ohne sich die Mühe machen zu müssen, irgendwelche Passwörter zu knacken. Der ganze Rechner liegt offen vor ihm und er kann schalten und walten wie er will: Kopieren, löschen, alles was das Herz begehrt. Das hat mich ganz schön geschockt, als ich das entdeckt habe.
Sicherheit endet dort, wo Leute physisch Zugang zum Rechner haben. Punkt.

Unter jedem OS. Nochmal Punkt.

Du brauchst nichtmal Firewire. Du bootest von einer eigenen CD. Fertig. Unter Windows, Linux, Mac OS.


Du kannst es "schwerer" machen:
Biospasswort. Dann bau ich eben die Platte in meinen Rechner ein.

Gehäusealarm. Naja. In einer Welt, in der Geldautomaten geknackt werden, sollte auch das mit ein wenig Feinmechanik zu schaffen sein.

Verschlüsseltes Dateisystem. Prima Sache, aber nicht bombensicher. Zum einen kann ich es mir immer noch kopieren und einen Keylogger in dein System schummeln (Das System selbsr ist ja nicht verschlüsselt, nur Datenpartitionen).
Und es schützt vor Datendiebstahl, aber nicht vor Sabotage durch Datenzerstörung.

Und das sind jetzt nur die offensichtlichen Sachen. Es gibt noch abstrusere wie das Anwenden eines leistungsstarken Magneten, das Plazieren einer MiniCam hinter deiner Topfpflanze, das verstecken einer mitsniffenden Playstation mit Linux drauf im Maschinenraum, ...

Alles Security through obscurity. Wenn deine Daten wichtig sind, gehören sie auf einen Server in einem verschlossenen Raum, der mit deinem Terminal nur über verschlüsselte Protokolle kommuniziert in einem Netzwerk, welches physikalisch nicht mit dem Web verbunden ist.

Alles andere ist Gelalle von "Sicherheitsfirmen", die vom Verkauf von Dummzeug leben.

Gruß, Ratti