Command+S -> Sicherheitsloch?

[c0la]

Hallo zusammen

Ich hatte gerade die Möglichkeit ein Macbook hacken zu dürfen. Alles auf Wunsch eines Kunden. Das Passwort war nicht mehr vorhanden und ich musste eine Lösung finden.
Und das ging einfacher als gedacht. Macbook starten, CMD+S drücken und schon ist man in der Console mit Root-Berechtigungen. Ein bis zwei Befehle eingeben und schon kommt das Macbook beim Neustart mit der Ersteinrichtung. Einen neuen Benutzer anlegen und man hat vollen Zugriff auf das Macbook.
In diesem Fall war das vom Benutzer gewollt. Was aber wenn mein Macbook mal geklaut oder verloren geht? Jemand der ein wenig Ahnung hat wie man im Internet sucht kommt schnell zu der Lösung und kann sich ungehindert Zugang zu meinen Daten veschaffen.

Gibt es eine Möglichkeit, das man mit CMD+S nicht sofort Root Berechtigungen hat? Das man vorher ein Passwort eingeben muss oder so etwas in die Richtung?

Bin ein wenig erschrocken, wie schnell das "sichere" Mac OS X zu knacken ist.

Grüsse, c0la

 

[Dadelu]

Hi

Hast du denn versucht, ob du auch wirklich Zugriff auf die Daten hattest?
Was du beschreibst, ist ja ein Weg um den Mac zu "reseten". Ich meine wenn du davon ausgehst,
dass dein MacBook geklaut wird, kann der Dieb auch einfach die HD auswechseln und dann kann
es ihm auch egal sein wieviel Passwörter du hattest zum Schutz

Gruss D.

 

[c0la]

Hoi Hoi

Ja, ich konnte mit dem neuen Admin Konto das Passwort vom alten Benutzer reseten und dann auf die jeweiligen Daten zugreifen. Mit der Methode die ich angewant habe, werden nämlich keine Daten gelöscht, sondern lediglich der Vorgang des Einrichtens zurückgesetzt.

Grüssr

 

[Macbeatnik]

Das ist doch kein sicherheitsloch, habe ich Zugriff auf einen Rechner interessiert mich irgendein benutzerpasswort nicht die Bohne, sondern ich habe immer Zugriff auf die Daten, es sei denn, die Daten sind verschlüsselt.
Ein kleiner zusätzlicher Schutz bietet sonst das firmwarepasswort, aber auch das kann leicht umgangen werden, sperrt aber die tastatureingaben beim Start.

 

[c0la]

Aber es geht mir doch darum meine Daten sichern zu können. Auch wenn ich meine HDD verschlüsseln würde hätte man immer noch mit der Methode Zugriff auf die Daten.
Theoretisch könnte ich mir jetzt irgendeinen Macbook schnappen und die Methode anwenden und zack habe ich sämtliche persönliche Daten des anderen Benutzers.

Das Passwort ist allerdings eine mögliche Lösung. Wenn man das aber auch leicht umgehen kann bringt das nicht viel. Ein Passwortabfrage für den Root User wäre da glaube ich hilfreicher.

 

[Macbeatnik]

Nein, wenn die Daten verschlüsselt sind kommst du nicht an die Daten, auch der Benutzer nicht mehr, wenn er sein Passwort vergessen hat.
Nochmal, ich verstehe nicht, wie man auf den Gedanken kommt, das Daten in einem nicht verschlüsselten Benutzer Account sicher sind.

 

[ImperatoR]

Wie Macbeatnik schon sagt, kann man zum Schutz der Daten FileVault aktivieren und ggf. das Firmware-Passwort setzen.

Das was du geschildert hast, ist ein "Fallback-Mechanismus", den es nur bei physischem Zugriff gibt (aber nicht bei entferntem Zugriff.)

 

[BerndderHeld]

Wenn du die Festplatte verschlüsselst (FileVault) stehen die Daten eben nicht automatisch zur Verfügung.

 

[c0la]

Ok, anscheinen muss ich mich mal ein wenig schlau machen über die FileVault. Gleich mal ausprobiere.

Danke für eure Antworten.

 

[smoe]

Das ist im Grunde nichts anders als am Windowsrechner von CD zu Booten, da kannst du dann auch direkt auf alle Daten zugreifen.

 

[joey23]

So ist es.

Du kannst auch mit einem Linux-Rechner per FireWire innerhalb von 2-3 Minuten das Account-Passwort umgehen. Bei Lion glaube ich nicht mehr, bei SL un L auf jeden Fall, genau wie bei Win7.

Und dann greift zB auch ein verschlüsseltes Diskimage nicht mehr, wenn der User dieses bereits gemountet hatte.

 

[Rastafari]

Und dann greift zB auch ein verschlüsseltes Diskimage nicht mehr, wenn der User dieses bereits gemountet hatte.

Selbstverständlich greift das noch. Schliesslich wird das Kennwort bei jedem weiteren Mountvorgang genauso benötigt.

 

[Rastafari]

Ein Passwortabfrage für den Root User wäre da glaube ich hilfreicher.

Die würde exakt überhaupt nichts bringen. (Anderes Startvolume gewählt --> umgangen)

 

[gKar]

Ergänzung: Die unter Lion erstmals verfügbare FileVault ist technisch etwas völlig anderes als die vorherige FileVault-Version und wird daher auch als FileVault 2 bezeichnet. Das nur als Hinweis zu FileVault-Recherchen.

Von FileVault 2 wird die gesamte Systempartition transparent verschlüsselt, und man kann sie nur lesen mit einer Art „Generalschlüssel“ (der für Notfälle und für Leute, die sowas zu verlieren neigen, optional auch bei Apple hinterlegt und aufbewahrt werden kann) oder mit einer Kombination aus Benutzernamen und Passwort für dafür aktivierte Benutzeraccounts.
Daher müssen bei aktivertem FileVault 2 auch Benutzername/Passwort schon zu Beginn des Bootvorgangs eingegeben werden.

In Verbindung mit iCloud gibt's dann noch ein Zusatzfeature: Man kann die gesamte Partition über icloud.com fernlöschen (m.W. wird dabei einfach der Schlüssel gelöscht, so dass innerhalb von Sekunden kein Zugriff mehr möglich ist). Da das Book dazu jedoch online sein muss, wird mit FileVault 2 gleich ein gewisser „Gast-Account“ eingerichtet, mit dem ohne Passwort (von einer anderen Partition) ein Mini-OS-X gebootet werden kann, das i.W. Webzugriffe, aber keinen Zugriff auf das verschlüsselte System erlaubt – und eben die Ortung und Fernlöschung ermöglicht.