Ungenügender Passwortschutz bei Mac OS X Lion

[Marc Freudenhammer]

Wie der Sicherheitsexperte Patrick Dunstan in seinem Blog berichtet, gibt es eine ernstzunehmende Sicherheitslücke im Bereich des Passwortschutzes unter Lion. Im Unterschied zu vorherigen Versionen von Apples Betriebssystem ist es nun für Benutzer ohne Administrator-Rechte möglich, die Passwort-Hashes aller anderen Benutzer auszulesen. Mithilfe dieses Hashes und unter Anwendung einer Crack-Software könnte ein Angreifer die Passwörter aller anderen Nutzer knacken und vollen Zugriff auf das System erhalten. [PRBREAK][/PRBREAK]Auch die Änderung des bestehenden Passwortes sei möglich, ohne das alte zu kennen, so Patrick Dunstan. Unter Snow Leopard ist für diesen Eingriff zumindest ein gekapertes Admin-Konto nötig. Für alle Lion-Nutzer bleibt vorerst nur die Hoffnung, dass Apple sich so schnell wie möglich um diese Lücke im Sicherheitssystem kümmert und ein Update bereitstellt.



Via Net-Security

 

[Armpit]

Neija die hälfte dieses Reports ist mittlerweile widerlegt (Das mit dem ändern des Passwortes, der Befehl funktioniert lediglich für den eingeloggten Nutzer) - Heise hatte dazu einen intressanten Artikel. Man kommt lediglich an die Hashes welche Gesalzen sind - also ist die einzige Möglichkeit Brute Force und Wörterbuchattacken, um das Passwort zu bekommen und bei einem ordentlichen Passwort kann man da lange probieren... Um Unfug zu treiben benötigt man immerhin einen Account. Wichtiger ist erst einmal das LDAP Server Freigaben wieder mit einem Passwort geschützt sein können...

 

[Apple User]

Lion, aka Vista auf dem Mac .

 

[Armpit]

Lion, aka Vista auf dem Mac .

Oder (leider) einfach nur ein typische neue Mac Version - denn leider ist das Apple typisch - die Sicherheitsprobleme werden nur heute durch steigende Beliebtheit immer schneller aufgedeckt.

 

[ken-wut]

Und anstatt ein Update währe es wohl sinnvoller, den User darauf hin zu weisen, das er doch bitte ein sicheres Passwort nehmen solle. Selbst wenn ein Update kommt, sicher ist es nie. Und wie der Kollege Armpit bereits sagte, anhand der Wörterbuch Attacke lassen sich gängige Passwörter so oder so raus finden.

 

[Skyee]

Ein Satz den ihr bestimmt schon oft gelesen habt, wenn ein neues OS raus kam: Deswegen warte ich auf das Update. Im Fall von Lion ist es die Version 7.2

 

[Paul_]

Fefe hat es schön auf den Punkt gebracht:

Nehmt Apple-Produkte, sagten sie. Weil Windows so unsicher ist, sagten sie. Ich persönlich finde das ja gut. Haltet diese Firma im Geschäft. Das wird mir den Lebensabend finanzieren. Ohne Apple hätten wir grandiose Bugs wie diesen hier nicht. m(

 

[RUN/DOS/RUN]

“Für jedes komplexe Problem gibt es eine einfache Lösung, und die ist die falsche.” - Umberto Eco, Das Foucaultsche Pendel

Apple bietet fürs Personal Computing seit Jahren sehr schöne einfache Lösungen.

 

[Chriis]

Und ich wette, das Problem wurde sicher schon vor Monaten gemeldet und ignoriert wie viele andere Fehler und Lücken in Lion!

 

[Slashwalker]

Naja, ich seh das jetzt mal nicht als so dramatisch an. Ein sicheres Passwort lässt sich mit so einem Cracker nicht mal eben in paar Minuten knacken. Es ist ja nicht so, das man solche Hashes decodieren kann, das geht nämlich nicht. Vielmehr werden "typische" Passwörter gehashed und die Hashes direkt verglichen. Klar, das eine Dictionary Attacke bei PW wie admin oder test oder 12345 sehr schnell den gewünschten Hash liefert.

 

[Armpit]

Naja, ich seh das jetzt mal nicht als so dramatisch an. Ein sicheres Passwort lässt sich mit so einem Cracker nicht mal eben in paar Minuten knacken. Es ist ja nicht so, das man solche Hashes decodieren kann, das geht nämlich nicht. Vielmehr werden "typische" Passwörter gehashed und die Hashes direkt verglichen. Klar, das eine Dictionary Attacke bei PW wie admin oder test oder 12345 sehr schnell den gewünschten Hash liefert.

Die Passwörter sind gesalzen also dürftest du erst noch deine Rainbow Table erweiternbevor du einfach nur abgleichst - aber das Problem betrifft hier auch nicht unbedingt den 0815-Benutzer sondern Produktionssysteme mit Mehrbenutzerbetrieb. Wenn genug Kriminelleenergie vorhanden ist - hat man meist auch genug Rechenpower (Beispielsweise verwendet man gerne die Amazon Cloud) - deshalb sollte eben der Zugriff auf die Hashes nur für Admins gestattet sein, was die Gefahr deutlich verringert.

 

[MacbookPro@Olli]

Fefe hat es schön auf den Punkt gebracht:

Was istn sein Job? Wenn ich ihn richtig einschätze ist er Linuxer. Die sollten sich ganz zurückhalten, ein System das noch vor nen paar Jahren Passwörter im Klartext gespeichert hat...Und die Architektur von OSX ist immer noch sicherer als Win NT von außen.

 

[Pansenjoe]

Mac OS X: Das unsicherste Betriebssystem der Welt. Oder wie war nochmal Apples Werbespruch?

 

[karolherbst]

was hier niemand sagt, ist komischerweise, dass man sich einen eigenen Darwin kernel machen kann, wenn man wirklich Sicherheitskritisch denkt Und weiter was niemand sagt: man hat als jeder Nutzer dieser Welt Zugriff auf die Daten jeglichen Speichers, ich weiß ja nicht, ob es Linux Usern bekannt ist, aber über/dev/festplattendatei kann man jeden Byte ansprechen (ohne Beachtung von irgendwelchen Rechten). Die Passwortdatei ist glücklicherweise klein genug, dass diese niemals fragmentiert wird (und wird auch zu wenig geschrieben, als das jemals nötig sein würde). Also was tut man? Man sucht nach dem String der als Kommentar in dieser Datei steht oder nach andere auffälligen Mustern.Also, wenn Apple dies für kleine Scriptkiddies vlt etwas einfacher gemacht hat, so kennen die Profis schon direkte und präzisere Methoden Passwörter herauszufinden. (Und dies ist kein Mac, sondern ein POSIX spezifisches Problem, was unter Linux und BSD und anderen UNIX Systemen genauso geht)

 

[Kojak19]

Interessanter Beitrag von macmark dazu:
Klick

 

[Blackrider]

Ein Satz den ihr bestimmt schon oft gelesen habt, wenn ein neues OS raus kam: Deswegen warte ich auf das Update. Im Fall von Lion ist es die Version 7.2

Es wird immer Fehler in Betriebssystemen geben, unter anderem auch in Snow Leopard. Sicherheitsprobleme sind nie gut, aber man wartet ja Ewigkeiten auf ein System welches perfekt ist...

 

[eyePH0NE]

Und anstatt ein Update währe es wohl sinnvoller

Wie meinen?

Interessanter Beitrag von macmark dazu:
Klick

Sorry, aber wenn ich im ersten Satz schon "Klartext-Paßworte" lese, fällt es mir ziemlich schwer, einen Artikel wirklich ernst zu nehmen.

 

[Walli]

Fefe hat es schön auf den Punkt gebracht:

Tut mir leid, aber derartiges Getrolle kann ich nicht ernst nehmen. Wenn der Fehler nach Bekanntwerden nicht mit dem nächsten Update gefixt wird, dann ist derartige Häme angebracht, aber so? Hat der sich mal die Bugreports seines Lieblingssystems der letzten Jahre angeschaut? Außerdem trifft es wieder einmal nur die 'early adopter', also im Endeffekt zu 90% neugierige Privatanwender und Switcher. Auf Linux würde auch niemand auf die Idee kommen, kritische Anwendungen mit einem 'bleeding edge' System zu betreiben. Warum sollte das auf einem Mac anders sein?

 

[Kojak19]

@ eyePHONE: klick

Ich wusste doch dass ich davon hier auch schon mal gelesen hab...

 

[drzoidberg]

Werden schon Wetten angenommen, ob und wann es einen Patch gibt?