War jemand an meinem Mac?

[Tzunami]

Ich bin zwar erst bei seite 6, aber du hast natürlich Beweise.

1. Login Protokoll kann man im Terminal abfragen: Last −20 zeig die letzten 20 Logins ein (ein und Auslogzeit)

2. Der Deckel war offen und Handschuhe hat derjenige welche bestimmt nicht getragen. Hast du den kein Fingerabdruckpulver? Das Gab es sogar im YPS-Heft

3. Mit Spotlight kannst du gucken was zuletzt geöffnet wurde.

Dir sollte allerdings klar sein, dass dein Rechner manipuliert sein könnte, z.B. durch einen Keylogger. Dadurch das du deinen Rechner mit runter gelassener Hose hast rumstehen lassen.

 

[Tzunami]

Hi, wie gesagt, um Programme zu installieren (auch Keylogger etc) muss ein Adminpasswort eingegeben werden, ist sonst nicht möglich.

Soll ich mal lachen? Bei so einem ungeschützten Rechner zauber ich dir da so einiges drauf.

Mit einem Trick einen neuen Admin anlegen, Zeug installieren, Admin wieder löschen.

 

[primelinus]

Ich bin zwar erst bei seite 6, aber du hast natürlich Beweise.

ja richtig. es sind beweise, dass jemand dran war, aber keine beweise, dass es besagte person gewesen sein muss.

 

[bikkuri]

...
2. Der Deckel war offen und Handschuhe hat derjenige welche bestimmt nicht getragen. Hast du den kein Fingerabdruckpulver? Das Gab es sogar im YPS-Heft

...

Klar, gleich neben dem Agentenradio und der chinesischen Fingerfessel hinten in der Schublade unter den Pornmags.

 

[LosDosos]

Aber nicht, wenn kein Passwort verwendet wird . . (?)

Admin Passwort gibt es immer, das hat nichts mit der automatischen Anmeldung zu tun.

Soll ich mal lachen? Bei so einem ungeschützten Rechner zauber ich dir da so einiges drauf.

Mit einem Trick einen neuen Admin anlegen, Zeug installieren, Admin wieder löschen.

Jetzt bin ich aber gespannt

 

[Illmind]

@LosDosos

Man kann auch noch unter 10.8 ein Admin anlegen ohne ein Passwort anzugeben, gerade getestet. Man wird zwar, wie schon immer, davor gewarnt, aber durch ein einfachen Klick auf Ok ist das Konto trotzdem angelegt.

 

[LosDosos]

Ja richtig, Du musst aber vorher das Admin-Passwort eingeben, um das Schloss zu öffnen und den neuen Benutzer anlegen zu können.

 

[darkwood]

Ich bin zwar erst bei seite 6, aber du hast natürlich Beweise.

1. Login Protokoll kann man im Terminal abfragen: Last −20 zeig die letzten 20 Logins ein (ein und Auslogzeit)

Das klappt nicht bei mir, ich bekomme da ein wtmp begins Mon Aug 27 16:05.

 

[andi42]

Ja richtig, Du musst aber vorher das Admin-Passwort eingeben, um das Schloss zu öffnen und den neuen Benutzer anlegen zu können.

Bei physischem Zugriff gibts genug Möglichkeiten, alles mit dem Rechner zu tun ohne das Adminpasswort zu kennen. Das einzige, was dir hilft ist eine Festplattenvollverschlüsselung.

 

[magheinz]

Ja richtig, Du musst aber vorher das Admin-Passwort eingeben, um das Schloss zu öffnen und den neuen Benutzer anlegen zu können.

Wenn ich die Maschine in den Händen habe und die Festplatte nicht verschlüsselt ist kann ich den user auch direkt in die entsprechenden Datenbanken eintragen.
Da brauch niemand irgendein Passwort für.

 

[LosDosos]

Wenn ich die Maschine in den Händen habe und die Festplatte nicht verschlüsselt ist kann ich den user auch direkt in die entsprechenden Datenbanken eintragen.
Da brauch niemand irgendein Passwort für.

Das mache ich wie genau?

 

[magheinz]

Das mache ich wie genau?

Im dümmsten Fall nimmt man die von einem anderen Rechner. Das ist sogar bei apple dokumentiert:
http://support.apple.com/kb/HT2600?viewlocale=en_US

Man kann die Datenabank auch exportieren importieren, dazwischen bearbeiten.
Sind das tatsächlich XML-Files? Dann kann man die mit jedem editor bearbeiten. Man muss halt wissen wie.

 

[Veritas]

Was mir noch eingefallen ist: Welchen Browser benützt du? Wenn du nämlich nicht Safari benützt, kann man sich in den Einstellungen (zumindest bei Firefox und Chrome) ganz einfach die hinterlegten Passwörter von z.B. Facebook in Klartext ansehen. Dann wäre Passwortändern angesagt.

EDIT: Ok, gerade gesehen dass du Safari benützt. Dann besteht keine Gefahr

Zeigt Safari auch an!

 

[LosDosos]

Im dümmsten Fall nimmt man die von einem anderen Rechner. Das ist sogar bei apple dokumentiert:
http://support.apple.com/kb/HT2600?viewlocale=en_US

Man kann die Datenabank auch exportieren importieren, dazwischen bearbeiten.
Sind das tatsächlich XML-Files? Dann kann man die mit jedem editor bearbeiten. Man muss halt wissen wie.

Ok, ich hatte mich mit einem User per PM auch über rm /var/db/.AppleSetupDone unterhalten.

Aber kann man im Singleuser-mode den angelegten Admin auch wieder entfernen?
Sonst würde es wohl auffallen, wenn plötzlich ein neuer User eingetragen wurde.

Und zusätzlich müsste ein installierter Keylogger wohl in jedem Fall in der Aktivitätsanzeige auffallen.

Ich bin mir wohl bewusst, dass OS X ein paar Schwachstellen aufweist, die Diskussion hier ist aber doch eher theoretischer Natur.
Oder glaubst Du tatsächlich, der Nachbar wäre wie von Dir verlinkt vorgegangen (für normalsterbliche User schon sehr schwer verständlich), wo er schon zu dämlich war, den Lappi wieder zuzuklappen?

Festhalten kann man doch in jedem Fall, ohne tiefergehende Unix-Kenntnisse ist es unrealistisch, ohne Kenntnis des Admin-Passwortes eine Software installiert zu haben, oder siehst Du das anders?

 

[Rupp]

Im Single User Modus ist man root in der Unix-Shell. Da kannst du theoretisch die Platte löschen, wenn du wolltest. Kurz: Ja.

 

[LosDosos]

Und wie?

 

[magheinz]

Festhalten kann man doch in jedem Fall, ohne tiefergehende Unix-Kenntnisse ist es unrealistisch, ohne Kenntnis des Admin-Passwortes eine Software installiert zu haben, oder siehst Du das anders?

Ich bin sicher das es da fertige scripte für gibt.
Export und import der gesamten Datenbank ist z.B. keine wirkliche Hürde. Auch nicht für Unix-Laien. Es erfordert nur etwas bereitschaft sich was anzulesen und einen gehörigen Mangel an Skrupel.

Edith:
unter /var/db/shadow/hash oder wo der Krams jetzt liegt sollte man einfach per copy und paste einen passworthash austauschen können. Das kann ich jetzt aber leider nicht ausprobieren.

Wenn jemand physischen Zugang zu einer Maschine hat und keine gute Verschlüsselung im Spiel ist muss man davon ausgehen das man verloren hat. Das ist keine OSX-Schwachstelle sondern eher sowas wie ein Naturgesetz.

 

[magheinz]

Und wie?

rm -rf / sollte gehen.

 

[Miniscan]

Frage an den/die TE ersteller(in)
Was ist denn jetzt aus der Sache geworden, hast du deinen Nachbarn angesprochen, warst du bei der Polizei?

Würde mich und ich denke auch die anderen mal interessieren.

 

[macpomm]

Frage an den/die TE ersteller(in)
Was ist denn jetzt aus der Sache geworden, hast du deinen Nachbarn angesprochen, warst du bei der Polizei?

Würde mich und ich denke auch die anderen mal interessieren.

Ja fänd ich auch interessant zu wissen