[10.12 Sierra] ACHTUNG: Sicherheitslücke bei externen Speichern

Mondapfel · 16.07.17

Heute traf mich fast der Schlag. Ich habe an meinem iMac 3-4 externe Speicher direkt an den USB's angeschlossen. Fest hängt eine externe Festplatte immer am iMac. Darauf befinden sich zwei Partitionen. Eine für die TimeMachine und eine, wo ich alle persönlichen Dateien nochmal im Originalformat speichere. Die Platte ist verschlüsselt, wie fast alle externen Speicher sonst auch.

Nun habe ich mal wieder seit langem den Gastzugang aktiviert. Danach von meinem Benutzerkonto abgemeldet und ins Gastkonto rein. Und was soll ich sagen? Ich hatte vollen Zugriff auf die externen Medien. Man muss extra manuell für jedes externe Laufwerk in den Informationen -> Teilen & Zugriffsrechte -> Name: everyone: keine Rechte einrichten.

Vorher hat jeder, aber auch jeder, der sich physischen Zugang zu dem Apple Computer schafft und sich mit dem Gastzugang (ohne Kennwort) anmeldet, Zugriff auf die Daten auf den externen Speichern.

Das ist ein Unding Apple!!! Habt ihr noch solche tollen "Sicherheitshintertüren"?

lessthanmore · 16.07.17

Deswegen ist mein Gastaccount deaktiviert.
Warum muss er bei dir aktiviert sein?

Mondapfel · 16.07.17

Ja, ich habe ihn auch wieder ganz schnell deaktiviert. Aber ich bekomme immer Besuch aus Freunden und der Familie, die eben mal schnell das "Apfelding" mal ausprobieren wollen... Ich dachte immer bisher, dass eben genau für so etwas der Gastzugang da wäre. Auch wollte ich eigentlich etwas testen und keinen wirklich neuen Benutzer anlegen. Der Gastzugang hätte für den Test gereicht, zumal beim Abmelden ja angeblich alles gelöscht wird. Das ist mir nun aber auch gründlich vergangen.

lessthanmore · 16.07.17

Mondapfel schrieb:
Ja, ich habe ihn auch wieder ganz schnell deaktiviert. Aber ich bekomme immer Besuch aus Freunden und der Familie, die eben mal schnell das "Apfelding" mal ausprobieren wollen... Ich dachte immer bisher, dass eben genau für so etwas der Gastzugang da wäre. Auch wollte ich eigentlich etwas testen und keinen wirklich neuen Benutzer anlegen. Der Gastzugang hätte für den Test gereicht, zumal beim Abmelden ja angeblich alles gelöscht wird. Das ist mir nun aber auch gründlich vergangen.

Hast du Filevault aktiviert?
Wenn ja, dann sollte der Gast lediglich Safari nutzen können.
Wenn kein Filevault aktiviert ist, solltest du in der Lage sein über die Kindersicherung einstellen zu können, was erlaubt ist und was nicht.
Les dich doch erst einmal in das Thema ein.

ottomane · 16.07.17

Das ist aber doch ein generelles Problem, oder? Was ist, wenn man die Pllatte/den Stick an einen anderen Rechner anschließt, wo andere Nutzer darauf zugreifen sollen? Und wie ist das mit anderen Betriebssystemen, die andere Nutzungsrechtesysteme haben?

So lange man die Daten auf externen Datenträgern nicht verschlüsselt, gelten sie als vogelfrei. Das ist nicht Apple-spezifisch und das ist auch schon immer so.

Wuchtbrumme · 17.07.17

Mondapfel schrieb:
Vorher hat jeder, aber auch jeder, der sich physischen Zugang zu dem Apple Computer schafft und sich mit dem Gastzugang (ohne Kennwort) anmeldet, Zugriff auf die Daten auf den externen Speichern.

Und was ist daran neu? Und was ein Unding? Weil Dir das nicht gefällt?

Der Punkt ist doch: Wer "in" die Maschine kommt, kann auch drauf zugreifen. Das war meines Wissens noch nie anders. Und ist nebenbei gesagt einer der Gründe, warum der besorgte Administrator auch heute noch alle Computer vor seinen Benutzern wegschließt.

Also, kein Grund, die Neuentdeckung von alten "Sicherheitslücken" zu feiern!

Bitte, was sicher sein soll, unbedingt auch physisch sichern! Das kann nur heissen, bevor man jemanden ranlässt, trennen und wegschliessen. Verschlüsselte Partitionen haben auch nur den Vorteil, dass sie bei Verlust zunächst einmal nicht nutzbar sind.

MacAlzenau · 17.07.17

Mondapfel schrieb:
Darauf befinden sich zwei Partitionen. Eine für die TimeMachine und eine, wo ich alle persönlichen Dateien nochmal im Originalformat speichere.

Und was soll das bringen, die Daten doppelt auf der gleichen Platte vorzuhalten?

saw · 17.07.17

lessthanmore schrieb:
Deswegen ist mein Gastaccount deaktiviert.
Warum muss er bei dir aktiviert sein?

Auch um "find my Mac" nutzen zu können zum Beispiel.

Macbeatnik · 17.07.17

Wo ist überhaupt das Problem, mit physischen Zugriff auf deinem Rechner oder externen Platten interessieren mich keine benutzerpassworte, alle Daten die nicht verschlüsselt sind, sind zugänglich, sofern man das will/kann.
Die Änderung der Zugriffsrechte, die von dir vorgenommen wurde ist, das nur nebenbei erwähnt, eher ein Zeichen von Unkenntnis und führt zu einigen Einschränkungen bei der Nutzung der Platten.

Mondapfel · 17.07.17

lessthanmore schrieb:
Hast du Filevault aktiviert?

Nein, weil das bei mir zeitlich (ü 2 Tage) und auch ansonsten schonmal schief ging.

ottomane schrieb:
Das ist aber doch ein generelles Problem, oder? Was ist, wenn man die Pllatte/den Stick an einen anderen Rechner anschließt, wo andere Nutzer darauf zugreifen sollen? Und wie ist das mit anderen Betriebssystemen, die andere Nutzungsrechtesysteme haben?

Ja, das ist dann der Widerspruch in sich. Sicherheit oder plattformunabhängiger Zugriff.

ottomane schrieb:
So lange man die Daten auf externen Datenträgern nicht verschlüsselt, gelten sie als vogelfrei

Diem Laufwerke sind verschlüsselt. Und trotzdem.

MacAlzenau schrieb:
Und was soll das bringen, die Daten doppelt auf der gleichen Platte vorzuhalten?

einmal als normale Time Machine Sicherung und einmal für andere Plattformen. Außerdem traue ich Sicherungen im eigenen Format wie eben Time Machine und z.B. Acronis Formaten aus negativen Erfahrungen nicht.

Macbeatnik · 17.07.17

Wenn man dir dann zusätzlich noch sagen würde, das ein fremder Benutzer, jeden Ordner lesen kann, den du zusätzlich zu den vorinstallierten Ordnern im Benutzeraccount anlegst und nicht mit speziellen Rechten versiehst, dann würdest du bestimmt durch die Decke gehen.
Zu deinen verschlüsselten Ordnern/Laufwerken, hier solltest du mal deine Strategie überprüfen und es so verschlüsseln, das Bequemlichkeit nicht unbedingt zur Sicherheit beiträgt.
Das nutzen von Sicherungsplatten an verschiedenen Systemen ist auch nicht ganz ohne.

staettler · 17.07.17

Das eigentlich Problem ist damit nicht gelöst, aber ein Gast der bei dir nur mal den Apfel kennenlernen will, wird doch nicht gleich über den Finder dein externes Laufwerk durchforsten, oder?

Mondapfel · 17.07.17

Macbeatnik schrieb:
Wenn man dir dann zusätzlich noch sagen würde, das ein fremder Benutzer, jeden Ordner lesen kann, den du zusätzlich zu den vorinstallierten Ordnern im Benutzeraccount anlegst

Das habe ich auch schon länger festgestellt. Deshalb ist mein Benutzeraccount auch schon länger bzgl. der Rechte eingerichtet, weil ich eben viele "eigene" Ordner habe.

Macbeatnik schrieb:
Zu deinen verschlüsselten Ordnern/Laufwerken, hier solltest du mal deine Strategie überprüfen und es so verschlüsseln, das Bequemlichkeit nicht unbedingt zur Sicherheit beiträgt.

Verstehe ich jetzt nicht.

Macbeatnik schrieb:
Das nutzen von Sicherungsplatten an verschiedenen Systemen ist auch nicht ganz ohne.

Nicht ständig. Nur im Fall dessen, dass ich einmal zu Windows zurückkehren möchte.

Mondapfel · 17.07.17

staettler schrieb:
Das eigentlich Problem ist damit nicht gelöst, aber ein Gast der bei dir nur mal den Apfel kennenlernen will, wird doch nicht gleich über den Finder dein externes Laufwerk durchforsten, oder?

Das nicht unbedingt. Aber vielleicht jemand "offizielles" der den Mac mitgenommen hat... Nein, Spaß, es geht vielmehr darum, dass es eben absolut konträr ist, dass sonst überall an jeder Ecke Apple auf Sicherheit pocht und hier so eine Lücke vorhanden ist.

Macbeatnik · 17.07.17

Mondapfel schrieb:
Das habe ich auch schon länger festgestellt. Deshalb ist mein Benutzeraccount auch schon länger bzgl. der Rechte eingerichtet, weil ich eben viele "eigene" Ordner habe.

Nur als Hinweis nocheinmal, bei physischen Zugriff auf deinen Rechner, sind Benutzerpassworte der einzelnen Benutzer kein grossartiger Schutz der Daten, wenn man es will, sind diese Daten einsehbar, nur wenn sie verschlüsselt sind, dann eben nicht oder wenn du weitere Massnahmen triffst, wie zum Beispiel Firmwarpasswort etc.

Macbeatnik · 17.07.17

Mondapfel schrieb:
dass sonst überall an jeder Ecke Apple auf Sicherheit pocht und hier so eine Lücke vorhanden ist.

Es ist keine Sicherheitslücke, es ist immer so und auch gewünscht, gut von dir nicht. Es liegt in der Hand des Nutzers das zu verhindern.
Man stelle sich vor, Datenaustausch per Festplatte oder usb Stick und der Empfänger muss diverse Mittel und Wege finden, an diese Daten zu kommen.

Mondapfel · 17.07.17

Macbeatnik schrieb:
Nur als Hinweis nocheinmal, bei physischen Zugriff auf deinen Rechner, sind Benutzerpassworte der einzelnen Benutzer kein grossartiger Schutz der Daten, wenn man es will, sind diese Daten einsehbar, nur wenn sie verschlüsselt sind, dann eben nicht oder wenn du weitere Massnahmen triffst, wie zum Beispiel Firmwarpasswort etc.

Ja, dass ist mir schon klar. Es geht eigentlich nur der Schutz vor den üblichen Anwendern, die mehr oder weniger versiert sind. Und gerade mein Sohn oder Enkel (alles noch Windows User) entwickeln da schon heftige Aktivitäten, wenn es sein muss.

Habe noch etwas feststellen können. Wenn man die externen Speicher verschlüsselt und die Eingangs vorhandenen Grundeinstellungen sind, dann kann auch nur Zugriff erfolgen, wenn vorher der Benutzer angemeldet war und sich nur abmeldet. Nach einem Neustart mit sofortigen Aufrufen des Gastzuganges besteht kein Zugang. Nur in diesem Fall werden die Passwörter der Verschlüsselung abgefragt.

staettler · 17.07.17

Mondapfel schrieb:
Das nicht unbedingt. Aber vielleicht jemand "offizielles" der den Mac mitgenommen hat... Nein, Spaß, es geht vielmehr darum, dass es eben absolut konträr ist, dass sonst überall an jeder Ecke Apple auf Sicherheit pocht und hier so eine Lücke vorhanden ist.

Ok, nachdem Lesen & Lauschen jetzt offline ist, kann ich das verstehen.

Alternativ die externe verschlüsseln und das Kennwort nicht im Schlüsselbund ablegen.

Macbeatnik · 17.07.17

Mondapfel schrieb:
Wenn man die externen Speicher verschlüsselt und die Eingangs vorhandenen Grundeinstellungen sind, dann kann auch nur Zugriff erfolgen, wenn vorher der Benutzer angemeldet war und sich nur abmeldet....

Ja, so soll es sein, aber das ist doch kein Sicherheitsproblem, das ist gewollt und "bequem", die Platte wird "freigegeben" und steht dann allen Nutzern zur Verfügung.

Mondapfel · 17.07.17

lessthanmore schrieb:
Wenn kein Filevault aktiviert ist, solltest du in der Lage sein über die Kindersicherung einstellen zu können, was erlaubt ist und was nicht.

Das ist es! Hätte nie gedacht, dass sich hinter der "Kindersicherung" solche Vielzahl an Optionen befindet. Danke!

[10.12 Sierra] ACHTUNG: Sicherheitslücke bei externen Speichern

deaktivierter Benutzer

deaktivierter Benutzer

deaktivierter Benutzer

deaktivierter Benutzer

Golden Noble

Golden Noble

Golden Noble

Sondergleichen von Welford Park

Golden Noble

deaktivierter Benutzer

Golden Noble

Juwel aus Kirchwerder

deaktivierter Benutzer

deaktivierter Benutzer

Golden Noble

Golden Noble

deaktivierter Benutzer

Juwel aus Kirchwerder

Golden Noble

deaktivierter Benutzer

Wir schützen Ihre Privatsphäre

Informationen auf einem Gerät speichern und/oder abrufen

Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen (Optionale Cookies)

Datenübermittlung an Partner in anderen Staaten (Drittanbieter-Cookies)