Sicherheitsrisiko bei deaktivierten SIP

X

xxlkobold

Aktives Mitglied
Thread Starter
Dabei seit
19.08.2012
Beiträge
116
Reaktionspunkte
23
Hallo zusammen,

Frage in die Runde bei folgender Konstellation:

iMac Ende 2012, i5, 16GB RAM, SSD.

Das System läuft mit gepachtem Big Sur. Das heisst, das SIP deaktiviert ist und deaktiviert laufen muss, um das aktuelle System nutzen zu können.
Kann ich hier ohne große Sicherheitsbedenken (Online Banking, etc.) weiter nutzen oder, dann doch lieber auf ein aktuelles Hardware Variante wechseln (neuer MacMini)?
Wäre dankbar über eure Einschätzungen, danke.
 
Neuer Mac Mini
 
Oder zurück zu Catalina, SIP wieder an...und auf den neuen Imac warten ;)
 
Warum sollte die SIP Einfluss auf das Online Banking haben.
Eine Malware muss sich ja auch mit SIP installieren können.
 
  • Gefällt mir
Reaktionen: iPhill und WeDoTheRest
Ich hab bei mir SIP ausgeschaltet, weil manche Tools das benötigen (z.B. TotalSpaces). Ja, man lockert etwas die Sicherheit auf, ist aber IMHO (für mich) vertretbar. Das ist nicht unsicherer als ein älteres macOS, was noch kein SIP kannte. Ich will es nicht explizit empfehlen, she es aber auch nicht als großes Problem. Es ist wie immer, wenn es um Security vs. Convenience geht, eine persönliche Abwegung.
 
  • Gefällt mir
Reaktionen: electricdawn, Rasheth, dg2rbf und eine weitere Person
agrajag schrieb:
Ich hab bei mir SIP ausgeschaltet, weil manche Tools das benötigen (z.B. TotalSpaces). Ja, man lockert etwas die Sicherheit auf, ist aber IMHO (für mich) vertretbar. Das ist nicht unsicherer als ein älteres macOS, was noch kein SIP kannte. Ich will es nicht explizit empfehlen, she es aber auch nicht als großes Problem. Es ist wie immer, wenn es um Security vs. Convenience geht, eine persönliche Abwegung.
Zum Vergrößern anklicken....
Ja, wenn SIP aus ist, sollte man den Kopf wieder an haben. :noplan:
 
  • Gefällt mir
Reaktionen: herberthuber und dg2rbf
Den Kopf sollte man IMMER an haben :unterschreibe:
SIP ist bei mir auch aus... Was haben die User bloß gemacht, bevor es SIP gab?
 
  • Gefällt mir
Reaktionen: Rasheth und dg2rbf
redfootthefence schrieb:
Den Kopf sollte man IMMER an haben :unterschreibe:
SIP ist bei mir auch aus... Was haben die User bloß gemacht, bevor es SIP gab?
Zum Vergrößern anklicken....
Wurde aber SIP nicht gerade deswegen auch reingebaut?
Weil die Leute ihren Kopf "ausschalten" (können dürfen)?
Liegt ein bißchen nahe.
 
  • Gefällt mir
Reaktionen: dg2rbf
So wird es sein. Ähnlich dem Menüpunkt das man auch Software von anderen Anbietern starten kann.
Das funktioniert zwar immer noch, aber ein DAU kann so keinen Müll mehr installieren.
 
  • Gefällt mir
Reaktionen: dg2rbf
Difool schrieb:
Wurde aber SIP nicht gerade deswegen auch reingebaut?
Weil die Leute ihren Kopf "ausschalten" (können dürfen)?
Liegt ein bißchen nahe.
Zum Vergrößern anklicken....

Das kann natürlich sein, leider ist das aber nicht das Allheilmittel, denn jetzt müssen die Leute darüber nachdenken, wie sie (teilweise) bestimmte Software (z. B. TotalSpaces, TotalFinder) installieren müssen, und denen, die vorher nicht nachgedacht haben fällt es nun schwerer, weil sie eben nicht nachdenken. Wenn man dann noch erwähnt, sie sollen zur Installation SIP deaktivieren und sie sollen dazu ins Terminal in der Wiederherstellungskonsole, was dann die Sicherheit aber verringert, sind viele eh schon überfordert :zwinker:
 
  • Gefällt mir
Reaktionen: Schiffversenker und dg2rbf
:cool: (y)
 
Nur mal so aus Entwicklersicht: wenn eine Software es erfordert, dass SIP ausgeschaltet werden muss, dann nutzt sie Dinge bzw. APIs, die seit langem nicht mehr benutzt werden sollen. Oder sie installiert sich an Orte, die eindeutig nur dem System vorbehalten sind.

Daran erkennt man dann, dass der Entwickler die Software in diesen Punkten schlicht und einfach nicht pflegt oder keine Lust hat, sich auf dem aktuellen Stand der Software-Entwicklung zu halten. Wie man das nun bewertet, bleibt jedem selbst überlassen.
 
  • Gefällt mir
Reaktionen: stepi0, Schiffversenker und herberthuber
lisanet schrieb:
Nur mal so aus Entwicklersicht: wenn eine Software es erfordert, dass SIP ausgeschaltet werden muss, dann nutzt sie Dinge bzw. APIs, die seit langem nicht mehr benutzt werden sollen. Oder sie installiert sich an Orte, die eindeutig nur dem System vorbehalten sind.

Daran erkennt man dann, dass der Entwickler die Software in diesen Punkten schlicht und einfach nicht pflegt oder keine Lust hat, sich auf dem aktuellen Stand der Software-Entwicklung zu halten. Wie man das nun bewertet, bleibt jedem selbst überlassen.
Zum Vergrößern anklicken....
Oder sie wollen halt Dinge ermöglichen, die nur so möglich sind. ;)
 
  • Gefällt mir
Reaktionen: WeDoTheRest
walfreiheit schrieb:
Oder sie wollen halt Dinge ermöglichen, die nur so möglich sind.
Zum Vergrößern anklicken....
und was soll das sein? Kernel-Extensions, weil die angeblich nicht mit Driver-Kit möglich sind? Gibt's da noch welche, die nur als kext realisierbar sind?

Edit:
Auch kext muss man nicht in Verzeichnissen installieren, die mit SIP geschützt sind. Das geht anders. Muss man halt auch so machen.
 
  • Gefällt mir
Reaktionen: dg2rbf
Vorher musste SIP ja nicht deaktiviert werden, da es das ja nicht gab. Die Codeinjection, die Binaryage genutzt hat um den Finder zu erweitern, wurde bis dahin zumindest geduldet. Eine Erweiterung des Finders ohne SIP-Deaktivierung wäre unmöglich und es müsste eine eigene App als Finder Alternative entwickelt werden. Wie gut sowas funktioniert sieht man an PathFinder... denn zwischendurch kommt dann doch wieder der Finder hoch. Was soll man mit dem inkonsequenten Kuddelmuddel?
Solange es geht SIP zu deaktivieren, werde ich das so tun und ja, es ist gut, dass diese Dinge der User noch selbst entscheiden kann.
 
  • Gefällt mir
Reaktionen: agrajag und dg2rbf
Gut, stimmt. Das ist ein Fall fürs deaktiveren. Codeinjection ist ja auch genau der Punkt, den SIP verhindern soll, da es ein extrem guter Angriffsvektor für Schadsoftware ist.

Wenn man Systemdateien ändert, weil man keinen anderen Weg als Entwickler findet, naja, ich würde dem Entwickler nicht vertrauen. Es ist ein Leichtes, einfach mal von Usern zu fordern, dass man erlauben soll, Systembinaries zu verändern. Aber wie gesagt, wer das jederzeit zulassen will, kann es ja gerne tun.
 
  • Gefällt mir
Reaktionen: herberthuber und dg2rbf
Ja, man muss dem Entwickler vertrauen. Es ist aber auch leicht, bei einer normalen Installation nach dem Adminpasswort zu fragen...
 
  • Gefällt mir
Reaktionen: dg2rbf
lisanet schrieb:
Nur mal so aus Entwicklersicht: wenn eine Software es erfordert, dass SIP ausgeschaltet werden muss, dann nutzt sie Dinge bzw. APIs, die seit langem nicht mehr benutzt werden sollen. Oder sie installiert sich an Orte, die eindeutig nur dem System vorbehalten sind.

Daran erkennt man dann, dass der Entwickler die Software in diesen Punkten schlicht und einfach nicht pflegt oder keine Lust hat, sich auf dem aktuellen Stand der Software-Entwicklung zu halten. Wie man das nun bewertet, bleibt jedem selbst überlassen.
Zum Vergrößern anklicken....


Was ist mit den Audio-Interfaces bzw. deren Software?! Also Audiospuren, die ab bzw. zugeschalten werden können und in der Regel eben systemweite Rechte brauchen. Bin aber nicht so tief im Thema als dass ich es gut erklären könnte. :D
 
Es ist auch mit SIP relativ leicht ein System zu korrumpieren. Man muß nur dafür sorgen, daß der Nutzer sein Admin-Passwort eingibt. Dann hat das Programm alle Möglichkeiten. Es ist ja schön, wenn das eigentliche Betriebssystem nicht angefasst werden kann. Nur leider sind die interessanten Daten (zumindest auf einem von nur von 1-2 Personen genutzen Systems) eh die Nutzerdaten. Da muß man als Angreifer nicht unbedingt so tief ins System.

Ich muß aber auch gestehen, daß nicht weiß, wie die Sicherheitsarchitektur genau ausschaut. Vielleicht übersehe ich da ja einen interessanten Punkt?
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: dg2rbf
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten