Hacking-Wettbewerbe gegen Mac OS X

[Pilzbauer]

Das habe ich gerade bei heise online lesen müssen...das macht mich jetzt schon ziemlich fertig:-c

Am 22. Februar ging der Hacking-Wettbewerb "rm-my-mac" online, dessen Ziel es war, root-Zugriff auf den als Server aufgestellten Mac mini zu erhalten – in nur einer halben Stunde war der Rechner mit Mac OS X 10.4.5 geknackt. Die Hürde zum Hacken des Rechners wurde vom Veranstalter allerdings etwas niedriger gelegt, da er einen LDAP-Server zum Einrichten eigener eingeschränkter Benutzer-Accounts eingerichtet hatte. Somit war ein lokaler Zugriff auf die Maschine möglich, die Teilnehmer konnten sich auf dem Server umsehen...

Mehr dazu auf:
http://www.heise.de/newsticker/meldung/70458

Was meint ihr dazu?

 

[Gute Kenny]

Schon hart, aber auf welchen Computer können proffessionelle Hacker nicht zugreifen?? Natürlich ist es erschreckend, dass es so einfach geht, aber ich denke kein Computer ist sicher genug, dass niemand auf ihn zugreifen kann - ein Mac LEIDER genauso wie ein PC :-[. Aber bis vor 2 Minuten wusste ich noch gar nicht, dass es sogenannte "Hacker-Wettbewerbe" überhaupt gibt

die gute Kenny

 

[bluejay]

Der Rechner hatte, soweit ich das verfolgt habe, wohl eine Unmenge an Ports offen.
Siehe dazu auch die Diskussion bei MTN.
Mittlerweilen gibt es auch einen neuen Hacker-Wettbewerb.

 

[Cyrics]

wenn man weiss was auf dem System läuft und welche Dienste installiert sind, dann ist doch jedes System relativ schnell geknackt...

und man sollte sich von so etwas nicht beunruhigen lassen. Jeder Rechner kann geknackt werden, und es bleibt immer nur die Frage, ob sich der Aufwand lohnt. Einzelne Privatcomputer sind sehr sehr selten das Ziel. Es sind eher irgendwelche Skripte, die nachts immer wieder einen IP-Bereich abscannen und nach Löchern suchen. Mit ein paar Tricks hat man diese Skripte schnell ausgetrickst. Uns betrifft das alles noch nicht... Windows wird damit schon seit längerem angegriffen, und die Linux-Systeme sind auch immer wieder ein Ziel. Bei Linux ist es schwieriger, weil hunderte verschiedener Distributionen unterwegs sind mit unterschiedlichen Diensten etc. Es muss schon eine sehr große Lücke im System sein, die auf einen der Grunddienste basiert. Aber dies ist doch eher selten...

also wer sich der Illusion hingibt, dass OSX nicht zu knacken ist, der ist da natürlich schief gewickelt. Aber wer nun denkt, dass er tag täglich von Hackern angegriffen wird, der brauch bloss mal in seine Logs vom Router oder dergleichen gucken und sich anschauen mit was die ankommen. Da ist es noch wirklich keine Zeit für Panik.

Aber irgendwie komm ich auch nicht so richtig auf den Punkt... der Test hat unter dämlichen Vorraussetzungen begonnen, denn jeder hatte ja Zugriff auf den Rechner, wenn auch nur einen sehr beschränkten.

 

[yjnthaar]

Moinsen,

Der Typ hat einfach die "Hardening OSX Guides" der NSA nicht gelesen.

Hier das Paper:

Mac OS X Security Configuration Guide (PDF, 3,1 MB)

Is leider nur für Panther.
Einfach auf der NSA-Site mal "OS X" in die Suche eingeben.

Salve,
Simon

 

[Wikinator]

also so weit ich das sehe, ist noch gar nicht klar, welche sicherheitslücke ausgenutzt wurde, somit auch nicht, ob es wirklich OS X spezifisch war.

Eine Frage: welche Rechte hatte der Benutzer, auf dem man sich einloggen konnte?

 

[Gunnar]

Eine Frage: welche Rechte hatte der Benutzer, auf dem man sich einloggen konnte?

Einen anderen Benutzer gab es wohl nicht. Aber man konnte sich relativ einfach per SSH Webinterface einen eigenen Benutzer anlegen.

Ich mein, wenn der Mensch da alles aufmacht was nur geht, dann muss man sich nicht wundern das nach 30 Minuten jemand drin ist. Ich lass meine Haustür ja auch nicht die ganze Zeit auf....

Gruss
Gunnar

 

[Cyrics]

der entscheidene Angriff kam auch nicht von außerhalb sondern aus dem internen Netz, wie viele Stimmen behaupten. Wenn das wirklich so ist, dann bin ich doch sehr gespannt auf den neuen hacker-Wettbewerb, und wie lange die Hacker für den brauchen. Denn da kalkuliere ich schon etwas viel höher.

 

[Wikinator]

sprich admin? Kann ja eigentlich nicht sein, der kann mit seinem Passwort Root werden

 

[Netzfloh]

Jetzt rückt der Mac halt etwas ins Licht der Öffentlichkeit, sicherlich vordergründig weil die Masse mit dem Namen 'Intel' was anfangen kann, vermutlich wird man auch über den iPod auf Mac aufmerksam, nicht zuletzt sind die Dinger endlich bezahlbar.

Kein Grund zum weinen. Ein paar Gedanken zur eigenen Sicherheit sollte sich auch ein Mac-User machen. Daß Macs nicht schon früher angegriffen wurden lag einfach daran daß es zu langweilig war. Die Dinger wurden (und werden) nicht flächendeckend eingesetzt, und schon gar nicht bei interessanten Zielen. Das wird sich sicher auch nicht so schnell ändern. Trotzdem mal ein kleiner Wink mit dem Zaunpfahl, die vorherrschende Meinung abzulegen ein Mac wäre irgendwas göttliches, nur kein normaler Rechner Der ist genauso angreifbar wie jeder andere auch, wer die Tür offen läßt - selber schuld.

 

[Cyrics]

das mit den Hackern stört wohl auch die Wenigsten. Das traurige ist bloss, dass man nicht mehr so unbeschwert durch das Internet surfen kann. Nun muss man hier und da auch mal aufpassen was man runterlädt, und muss sogar das schnelle Öffnen von Safari und Co. deaktivieren. Das ist alles ein großer Einschnitt wie ich finde, und das belastet mich zum Beispiel mehr als irgendein Hacker in Rumänien (dort kommt mein Hacker zumindestens her) oder sonst woher. Bisher hat noch keiner von uns einen solchen Trojaner gefunden, aber es soll sie geben... diese Hacker kratzen mich da nun wirklich nicht. Da blockt mein Router schon gut genug und dessen Logs sind auch immer mal wieder interessant.

 

[duderino]

Außerdem lief auf dem Mac PHP.
Das war ja auch ausschlaggebend für den schnellen Zugriff.

 

[bluejay]

Der zweite Test wurde wohl vorzeitig abgebrochen. Wie zu lesen war wegen des hohen Traffics. Mac OSX sei nicht geknackt worden. Also haben wir es jetzt mit dem wohl sichersten unsicheren System in der Geschichte der Rechenmaschine zu tun.

 

[pepi]

Der erfolgreiche "Angriff" auf diesen mini erfolge LOKAL auf der Maschine. Nachdem aber alle sehr reisserisch darüber berichten und die wenigen bekannten Tatsachen in einem völlig falschen Licht darstellen wird der Anschein erweckt, daß Mac OS X hier von aussen über einen Netzwerkzugriff (remote exploit) geknackt wurde. Dies ist aber nicht der Fall!

Wenn ich wildfremden Leuten ein Webinterface gebe welches Accounts auf meinem Server gibt und Ihnen dann noch SSH Zugriff einräume... Dann darf es nicht wundern wenn einer das propagierte Ziel des Wettbewerbes erreicht.

@Netzfloh
Zum Thema "endlich erschwingliche Macs" möchte ich entgegnen, daß alle intel Macs merklich teurer sind als Ihre PPC basierten Vorgänger!


Ich finde es irgendwie sogar amüsant, daß die ganze Welt auf die Mac User schaut weil innerhalb von 14 Tagen 2 Lücken bekannt werden. Die eine war schon lange geschlossen und die andere wurde von Apple mit dem Security Update 001-2006 bereits geschlossen. Trotzdem laufen alle schreiend rum und rufen Weltuntergang.

Wer hustet wenn es für Windows innerhalb von 5 Minuten wieder zwei neue Virenstränge gibt? Kein Schwein auf der Welt interessiert sich dafür. Weil es einfach normal geworden ist. Hier gibt es einen Radiosender der tatsächlich die Windows Viren/Würmer/sonstige Scheiße Nachrichten zwischen den News des Tages und dem Wetterbericht bringt. Die haben wirklich mehrmals am Tag was anderes und neues zu berichten.

Ich möchte nicht zur Blindheit aufrufen und dummem Verhalten, aber meine eigene Paranoia sagt mir, daß die momentane Berichterstattung vieler Medien und auch "meine Güte wir sind verloren" Postings in diesem und anderen Foren irgendwie weit übers Ziel hinausschiessen. Andererseits, auch Negativwerbung ist Werbung. Erst wenn man vergessen wird, sieht es wirklich düster aus.

Gruß Pepi

 

[Wikinator]

aber das Argument, Macs seien früher verschont, weil sie unlohnenswert seien, kann so nicht gelten, denn merklich große Erfolge gegen Linux-Systeme gab es auch noch nicht, obwohl sie ja als Bank-Server sehr lohnenswert sind.

 

[Netzfloh]

Ich meinte doch daß die Systeme überhaupt angegriffen wurden. Und daß das bei Banken erfolglos bleibt will ich ja mal schwer hoffen

@pepi: Ich finde die Macs schon erschwinglicher als früher, zumindest was die G4/G5 angeht. Die Preise für die Intel-Macs kenne ich nicht, meine Meinung bezog sich auf den Namen Intel als Zugpferd.

Wenn ich Ahnung vom /cracken/ hätte würde ich euch ja gerne beweisen daß man auch einen Mac penetrieren kann (Andererseits sehe ich aber auch keinen Sinn dahinter)

 

[solitud]

Ein ungutes Gefühl bleibt. Klar sagen manche, kein Wunder die gehackte Maschine war offen wie das besagte Scheunentor. Aber wenn man im Webbereich arbeitet bleibt einem doch keine Alternative. Logisch benutze ich Apache, PHP, Mysql, klar habe ich SSH am Start und die entsprechenden Firewall Ports geöffnet. Wenn ich den Rechner per Remote konfigurieren muss, kann ich ihm keinen Brief schreiben.
Ich denke mal Sicherheit muss und wird in den nächsten Jahren das beherschende Thema auch bei Apple werden (neben der neuen iTunes Version), und manch ein Apple User wird sich wünschen seine latent aggressiven Parolen "Macs sind sicher und kennen keinen Virus" nie ausgesprochen zu haben.

 

[MacMark]

Daß Root-Zugriff möglich war durch einen normalen Account, ist nicht bewiesen. Es gibt keinen Nachweis des angeblichen Root-Exploits.

Es wurde lediglich die Webseite "ge-defaced" also verändert.

Es war jede Menge Drittsoftware installiert, die mit suid (set user id) die entsprechende Sicherheitslücke reißen konnte.

Der Mac mini wurde von der hostenden BSD-Haß-Website entsprechend schlecht und offen konfiguriert. OS X gehört zur BSD-Familie. Die Haßseite behauptet sogar, daß OpenBSD, das anerkanntermaßen sicherste OS dieser Welt, unsicher wäre. Was erwartet man von so einer Website, wenn sie einen Crack-OSX-Wettbewerb startet?

Der Webserver darf normalerweise keine User anlegen. Die Witzbolde haben ihn so eingestellt, daß er sogar LDAP beherrschen durfte. Useranlegen erfordert Admin-Rechte. Offensichtlich hatte der Webserver also Adminrechte - er sollte aber unter einem relativ rechtlosen User namens "www" laufen. Wer dem Webserver Schreibrechte außerhalb seines Verzeichnisses gibt, ist selbst schuld.

Der Rechner war absichtlich durch die total falsche, schlechte Konfiguration schon vom Adminstrator vollkommen kompromittiert.

http://osx.realmacmark.de/osx_security.php