Neue Sicherheitslücke in Mac OS X aufgetaucht

[Kralle205]

Also bitte erschlagt mich net wenn ihr meinen Beitrag zu ende gelesen habt, ich weiß es wirklich nicht besser ich hab mein MB erst seit kurzen (3 Monate)

Also dieser Thread hat mich zum nachdenken über mein MB gebracht und ich hab mir meine User-Acc angeschaut.
Mir ist aufgefallen, ich arbeite sei beginn meiner MB-Zeit mit dem Admin-Acc den ich am Anfang erstellt habe.
Mein OSX hat mich nie darauf hingewiesen, dass ich einen normalen Nutzer-Acc erstellen soll, weswegen ich auch als Winswitcher nie auf die Idee gekommen bin.
Ich frage mich nun, wie sinnvoll ist es sich einen Nutzer-Acc mit eingeschränkten rechten anzulegen. Ich hab gerade einen erstellt uns muss feststellen, ich müsste ja tatsächlich alles individuelle neu machen, ja sogar Dashboard, iCall, iTunes etc.
Ich hab die Seite macmark gelesen und denke mir so, naja als Admin angemeldet zu sein ist vll doch net das Wahre und die Einschränkung als normaler User merkt man vermutlich nicht.
deswegen meine Frage, wie sinnvoll ist es, bzw. welche Vorteile bietet es?
Den für wichtige Entscheidungen muss ich ja nach wie vor das Kennwort eingeben.
Komme ich an meine "Admindaten" (Musik,Bilder etc.) ran ohne alles 2 mal aufm Rechner zu haben oder muss ich alles auf den User-Acc machen und dann beim Admin löschen.
Das fuchst mich jetzt ein bisl, da ich als Windowsswitcher natürlich nicht daran gedacht habe, dass man bei OSX nen Extra-Acc anlegen könnte/müsste.

 

[Zeisel]

Ich frage mich nun, wie sinnvoll ist es sich einen Nutzer-Acc mit eingeschränkten rechten anzulegen. Ich hab gerade einen erstellt uns muss feststellen, ich müsste ja tatsächlich alles individuelle neu machen, ja sogar Dashboard, iCall, iTunes etc.
Ich hab die Seite macmark gelesen und denke mir so, naja als Admin angemeldet zu sein ist vll doch net das Wahre und die Einschränkung als normaler User merkt man vermutlich nicht.
deswegen meine Frage, wie sinnvoll ist es, bzw. welche Vorteile bietet es?

Lege Dir einen neuen Nutzer an und nenne ihn Chef, Admin, gebe ihm Deinen Namen oder wie auch immer es Dir sinnvoll erscheint und gebe ihm Administrationsrechte (... darf diesen Computer verwalten)! Zu finden unter Systemeinstellungen - Benutzer.

Dann entziehe anschließend deinem "Alltags-Benutzer" die Administrationsrechte. Das war es schon. Alle Deine Einstellungen etc. hast Du dann unter Deinem jetzigen Benutzer, nur eben als "normaler" Benutzer.

Der Admin bekommt natürlich ein ANDERES Passwort, das brauche ich aber sicher nicht extra zu erwähnen...? Nur zur Vorsicht!

Brauchst Du jetzt, z.B. um ein Programm in den allgemeinen Programme-Ordner (für alle Benutzer, das ist ja die Regel) zu kopieren, Admin-Rechte, dann klickst Du im entsprechenden Hinweisfeld auf "Identifizieren" und gibst dort die Daten des Admin ein. Du brauchst Dich normal NIE als Admin einloggen, und Du brauchst dort auch nichts zu verändern.

Dann kannst Du noch einstellen, dass für geschützte Systemeinstellungen das Admin-Passwort erforderlich ist (Systemeinstellungen - Sicherheit).

 

[MacMark]

Offenbar geht es nicht um OS X, sondern um Hardware: "… a memory injection technique specific to Apple hardware …".
http://arstechnica.com/journals/app...vered-mac-exploit-to-be-detailed-at-black-hat

Was soll also dieser FUD:

Hm die Illusion des sicheren OSX geht sicherlich für die Vertreter dieses Aberglaubens langsam in die Brüche..

Mein Beileid!

Eventuell geht es um so etwas wie direkten Speicherzugriff (DMA) durch Firewire. Aber das wäre nicht neu.

Wir werden es am 16/17. Februar erfahren. Bis dahin ist ja noch genug Zeit ordentlich FUD zu produzieren, denn mehr als vage Andeutungen gibt es bisher nicht.

Vincenzo kündigt es so an:
"…The talk is focused on an in memory injection technique. Specifically how it is possible to inject into a victim's machine any kind of binaries ranging from your own piece of code to real applications like Safari. This is accomplished without leaving traces on the hard disk and without creating a new process, since the whole exploitation is performed in memory. …"
http://www.blackhat.com/html/bh-dc-09/bh-dc-09-speakers.html#Iozzol

Er startet also keinen neuen Prozeß (Programm) und die Platte wird auch nicht verändert. Trotzdem will er in der Lage sein, beispielsweise Safari so laufen zu lassen. Safari muß jedoch System-Bibiliotheken nutzen, um zu funktionieren. Damit würde er Spuren im OS hinterlassen. Das ist widersprüchlich zu "keine Spuren hinterlassen". Zaubern wird auch er nicht können, ich bin also gespannt, was das wird.

… Trojaner und Würen gibt es seit langem für OS X…

Trojaner ja, "Würmer" keinen, der den Namen verdient hätte, da sich bislang keiner selbständig ohne Zutun der Benutzer über das Netz verbreiten kann. Wir hatten allerdings jede Menge Enten und Papiertiger

 

[Kralle205]

danke danke für den Hinweiß Zeisel

 

[Steffo]

Ich schicke dir auch eine PN.

Mir auch? Bitte!
Danke!

Liebe Grüße
Steff

 

[MacMark]

In einigen Interviews war Vincenzo etwas detaillierter, so daß ich nun weiß, um was es geht. Ich werde einen neuen Artikel auf meiner Seite darüber schreiben. Es ist allerdings folgendes klar geworden: Es ist keine Sicherheitslücke, wie es von einigen hingestellt wird, selbst Vincenzo sieht das nicht so dramatisch. Es ermöglicht keinen neuen Angriffsweg, sondern erlaubt, weniger Spuren zu hinterlassen, wenn man bereits eingebrochen ist.

 

[Zeisel]

Also mal wieder viel Wind um fast nichts, Hauptsache Schlagzeile...

 

[Nathraq]

Sorry MacMark könntest du den Link posten. Ich finds leider nicht (oder war ich einfach nur zu schnell?).

@MacMark:
So wie ich das jetzt verstanden habe kann ein Angreifer (sofern er den Zugriff auf den Rechner erlangt hat) seinen Code ausführen ohne das er erkannt wird. Das widerspricht aber dem was dugeschrieben hast. Bitte um Aufklärung.


Grüße

Nathraq

 

[MacMark]

Er kann erkannt werden
Wenn ich fertig bin (morgen Nachmittag), linke ich hier …

 

[cr4v3n]

Hoffe das bald ein Update kommt... Aber im Gegensatz zu Apple gibt es bei den anderen mehr als nur ein "Loch"

 

[MacMark]

Der arstechnica-Artikel ist irreführend, denn es hat definitiv nichts mit Hardware zu tun. Insofern muß ich meine obige Einschätzung korrigieren. Den Jungs von arstechnica kann man normalerweise mehr vertrauen

Die Schlagzeile hier auf apfeltalk ist auch nicht annähernd passend. Aber wir werden wohl die nächsten 4 Wochen über noch mehr solche Artikel bei anderen lesen

Hoffe das bald ein Update kommt... Aber im Gegensatz zu Apple gibt es bei den anderen mehr als nur ein "Loch"

Es ist kein Loch, es ist keine Sicherheitslücke. Es wird auch garantiert kein "Update" geben. Wenn Du das, worum es hier geht, verhindern willst, ist das ungefähr so, als wenn man Programme verbieten möchte, nur weil man neben Textverarbeitung auch Platten-Lösch-Programme schreiben kann. (Oder Küchenmesser, weil man damit nicht nur Äpfel kleinschneiden, sondern auch Schwiegermütter umbringen könnte.) [Das ist keine Aufforderung, bitte nicht nachmachen zuhause!]

In einem Punkt hast Du recht: Bei anderen UNIX-Systemen (auch GNU/Linux) und bei Windows gibt es entsprechende technische Lösungen schon länger.

Es ist auch kein Exploit, denn das würde das Ausnutzen einer Sicherheitslücke vorführen. Was er zeigen wird, ist eine wirklich interessante technische Lösung, die man gut und böse einsetzen kann. Wie es bei "Black Hat" heißt, ist es ein "Briefing und Training". Und das trifft es viel besser. [Taugt aber nicht als Schlagzeile, die "Einschalt-Quote" - Klicks meine ich - bringen soll ]

Mehr dazu heute Nachmittag auf meiner Seite, ich verlinke es dann hier.

Update:
"Einordnung von userland execve()"
http://www.macmark.de/osx_userland-execve.php

 

[SilentCry]

Dann würde es mich interessieren, wie du ohne das Passwort zu kennen, auf meinem MBP Admin wirst.

Ich bau Deine Platte aus und in ein externes Gehäuse ein. Danke, Anke.

Seine Lösung setzt den physischen Zugriff auf den Rechner voraus. Dann hat man sowieso schon verloren wenn die Platte nicht voll verschlüsselt ist..

Exact. Klassisch, wenn einem das Notebook geklaut wird. Wie, passiert nicht? Weihnachten 2007, Wohnungseinbruch bei einem meiner besten Freunde. Notebook weg. Und die Backupplatte vom Schreibtisch hat der Abschaum auch geklaut. Vorher belächelte er mich, wenn ich von meinen ausgelagerten Backups berichtete. Jetzt macht er es selbst.

Bei der Diskussion über Sicherheit gehe ich eigentlich immer davon aus, das ICH vor dem Rechner sitze.

Es wäre immer hilfreich, wenn man das immer im Vorfeld mit spezifizieren würde.

Wenn man den physischen Zugriff voraussetzt kann man im "Der Spion der aus der Kälte kam" Thread diskutieren.

OK, Hinweis verstanden. ;.)

sicher ist nur der Tod, denn wir sind geboren, um zu sterben, alles andere ist immer unsicher.

Wobei, einem aktuell lebenden Wesen kann man seine Sterblichkeit nicht hundertprozentig beweisen. Man kann nur aus Erfahrungswerten extrapolieren. :.)

Wenn Du das, worum es hier geht, verhindern willst, ist das ungefähr so, als wenn man Programme verbieten möchte, nur weil man neben Textverarbeitung auch Platten-Lösch-Programme schreiben kann.

Ich bin ja ein bekennender MacMark-Fan, aber jetzt verwirrst Du mich. Wie verstehe ich denn obiges und dann das da:

In einem Punkt hast Du recht: Bei anderen UNIX-Systemen (auch GNU/Linux) und bei Windows gibt es entsprechende technische Lösungen schon länger.

*Verwirrt bin*. Wenn es nichts zu verhindern gibt, worin besteht dann die techn. Lösung anderer Systeme?

Mehr dazu heute Nachmittag auf meiner Seite, ich verlinke es dann hier.

*gespannt bin*

 

[MacMark]

… Wenn es nichts zu verhindern gibt, worin besteht dann die techn. Lösung anderer Systeme? …

Mit "technischer Lösung" meine ich das, was er entwickelt hat. Entsprechendes gibt es bereits schon für andere Betriebssysteme. [Muß nun weitertippen …]

Update: Es wird wegen parallelem Babysitting doch noch Abend, bis ich den Artikel fertig habe.

Hier ist er:
"Einordnung von userland execve()"
http://www.macmark.de/osx_userland-execve.php

 

[pepi]

Dann würde es mich interessieren, wie du ohne das Passwort zu kennen, auf meinem MBP Admin wirst. Auch interessant wäre es zu erfahren, wie du zB an die Daten in meinem Schlüsselbund kommen willst, ohne das entsprechende Passwort. Du wirst schon daran scheitern, dich mit keinem Benutzer anmelden zu können, da du die Passwörter nicht kennst.


Führ das doch mal aus bitte.

Ich bau Deine Platte aus und in ein externes Gehäuse ein. Danke, Anke.

Wozu denn ausbauen? Ich bin auf 99,9% aller Macs in spätestens 5 Minuten Admin, ohne irgendein Passwort kennen zu müssen.


@Paganethos
Bloß weil Du Dir etwas nicht vorstellen kannst, heißt das nicht, daß es nicht möglich ist und auch nicht, daß ein anderer das nicht tun kann.
Gruß Pepi

 

[Ikezu Sennin]

Wozu denn ausbauen? Ich bin auf 99,9% aller Macs in spätestens 5 Minuten Admin, ohne irgendein Passwort kennen zu müssen.

Vorausgesetzt, du hast das passende Handwerkszeug

 

[Macbeatnik]

Vorausgesetzt, du hast das passende Handwerkszeug

Nun, das 12cm Teil sollte man dabei haben und 5min ist incl. Kaffeepause

 

[Ikezu Sennin]

Es braucht bei manchen Macs schon mehr als nur 12cm, um sie zu beeindrucken :-D
Die wollen da noch was kurzes dünnes Hartes mit charakteristischer Spitze dazu

 

[Macbeatnik]

Gut, dann fällt die Kaffeepause aus, aber es war ja von 99,9% die Rede

 

[MacMark]

"Einordnung von userland execve()"
http://www.macmark.de/osx_userland-execve.php

 

[Paganethos]

Wozu denn ausbauen? Ich bin auf 99,9% aller Macs in spätestens 5 Minuten Admin, ohne irgendein Passwort kennen zu müssen.

Was dir aber bei meinem MBP überhaupt nichts bringen wird, da alles was von Interesse ist in einem verschlüsselten Container aufbewahrt wird.

-> Der Sicherheit ist genügend Sorge getragen.