Sicherheit Mac OS

[RaRe]

Hallo!
ich habe eine Feststellung gemacht, die mich sehr beunruhigt. Ich konnte im Forum dazu keine Themen finden.

Meiner Meinung nach ist das 10er-?-System an einigen Stellen unsicher, die hier noch nicht angesprochen wurden:

Bekannte Sicherheitslecks:
- Ich kann mit einer Start-CD jeden Rechner komplett übernehmen, in dem ich die Passwörter änder, den Rechner neu starte und mich einlogge.
- Ich kann auch ohne CD selbiges tun, indem ich mit Apfel+S starte und die Daten auslese oder eben auch die Kennwörter änder, ohne sie zu kennen!

Nun glaube ich aber auch bei einem laufenden Rechner ihn komplett zu übernehmen. Ich habe bei mir einen User angelegt, der keine Adminrechte hat. Er ist auch sonst sehr eingeschränkt. Möchte ich am System etwas ändern muss ich sowohl Namen als auch Passwords eines Admins eingeben. Der Name dieses Users erscheint in dem entsprechenden Dialog gar nicht erst. Das war nichts neues. Wenn ich aber den NetInfo-Manager starte, dann kann ich mich dort identifizieren, ohne dass ich ein Kennwort eines Admins eingeben bräuchte!! Ich kann schlicht meinen nichts dürfenden User eingeben und sein PW. Sofort kann ich die Passwörter dort ändern, die Home-Verzeichnisse ändern, die User umbenennen, die Rechte ändern, die Gruppen ändern etc....

Das ist doch fatal?! Ich wollte mal nach euren Meinungen hören. Ist das bei euch auch so? Wenn ja wäre das doch eine Katastrophe!

Lieben Gruß

Raphael

 

[m00gy]

Mhmm. Interessanterweise steht im Authentifizierungsdialog des Netinfomanagers ausdrücklich, man bräuchte einen ADMINISTRATORkurznamen sowie -passwort. Trotzdem konnte ich mich mit meinem Testuser (welcher KEIN Admin ist) anmelden. Ob ich dann auch wirklich das Kennwort des Admins hätte ändern können (reinklicken konnte ich), hab ich nicht überprüft (weil ich nicht weiß, was ich da tue )... Das ist zumindest für mich als nicht-Freak MERKWÜRDIG...

 

[marcozingel]

Hallo Raphael

Schöne Grüße aus Ratzeburg nach Lübeck.
Hier auf Apfeltalk sind auch einige Lübecker vertreten;gibt es einen Mac Stammtisch in Lübeck oder Interesse daran?

 

[KayHH]

Moin RaRe,

man kann JEDEN Rechner auf den man physischen Zugriff hat übernehmen, das gilt nicht nur für Apple oder OS X.


Gruss KayHH

 

[RaRe]

man kann JEDEN Rechner auf den man physischen Zugriff hat übernehmen, das gilt nicht nur für Apple oder OS X.

Mir war klar, dass das einer schreiben würde. Ich hatte extra überlegt, Dir zuvorzukommen! Klar, ich kann den Rechner mitnehmen. Ich kann auch seine HD ausbauen, etc.

Ich würde aber noch einen Schritt weiter gehen. Stell Dir vor, der Rechner ist integriert oder es ist Peripherie vorhanden, die ich ebenfalls benutzen möchte. Habe ich mittels des Systems und allen installierten Komponenten (abgestimmt auf Peripherie etc) Zugriff auf die Daten, dann ist das noch mal eine Ebene weiter.

Was ich fragen wollte: IST ES NICHT EIN BUG, dass ich ohne Login per Admin diese Dinge ändern kann? Das muss doch ein Fehler sein...

 

[KayHH]

Moin RaRe,

deinen Beitrag mit den installierten Komponenten verstehe ich nicht.

Versuch mal nachdem du dich als normaler User beim Netinfo Manager identifiziert hast etwas zu ändern. Ich wette dir fehlen die Rechte dazu, es sei denn es sind deine eigenen Daten.


Gruss KayHH

 

[RaRe]

deinen Beitrag mit den installierten Komponenten verstehe ich nicht.

Ich meine damit: Software, Treiber (für z.B. Peripherie), Zertifikate, Schlüsselbundeinträge für Webdienste, Kreditkarteninformationen, all das, was man möglicherweise nur in einem "running" system auslesen könnte, also nicht mit abmontierter Harddisk.

Versuch mal nachdem du dich als normaler User beim Netinfo Manager identifiziert hast etwas zu ändern. Ich wette dir fehlen die Rechte dazu, es sei denn es sind deine eigenen Daten.

Mmmh, stimmt! Ich muss das dann zurücknehmen. Erstaunlich ist, dass ich mich in diesem Fall (Mac untypisch) als standart user identifizieren kann und die Einträge in der Liste editieren kann. Es kommt sogar die Frage, ob ich mir sicher sei, dies zu speichern. Da klicke ich dann auf ja und ERST JETZT kommt die Meldung, dass das ohne die entsprechenden AdminRechte nicht ginge. Das gilt übrigens auch für mein eigenes UsrVerzeichnis. ...

Dann stimmt mein dritter Punkt also nicht, aber allein die Tatsache mit CD-Boot und Apfel+S finde ich schon schlimm genug... Gute Nacht!

 

[Cyrics]

Apfel + S soll ja deine Rettung sein im Notfall
für diejenigen, die empfindliche Daten besitzen, existiert ja dann die FileVault-Methode, womit das User-Verzeichnis ein verschlüsseltes Image ist. An dieses kommt auch root nicht ran. Er kann es höchstens löschen.
Ich selbst hab es noch nie mit Apfel + S ausprobiert. Reizt mich ja jetzt mal... aber ich muss noch einiges fertig machen... also morgen früh dann wohl erst

 

[saarmac]

ja, aber wie schon gesagt wenn ich auf einen computer egal welcher art physich zugriff habe, dann lege ich eine betriebssystem cd ein, setzte das system auf standard zurück oder installiere es neu und die daten sind dann immer noch auf der doch in den meisten fällen partitionierten platte. Ich kann auch einfach die fetplatte ausbauen und mit einem anderen system auslesen.. also.. interessant an osx ist das es so gut wie keine netzwerkataken gibt

so far...

 

[slartibartfast]

Man kann das OpenFirmware-Passwort setzen, um das "Problem" mit CD-Boot und Single-User-Mode zu verhindern.
Auf Laptops und Büro-Rechnern durchaus sinnvoll, auf dem Heim-Mac eher nicht.

Infos dazu:
http://docs.info.apple.com/article.html?artnum=106482

Generell gilt aber immer, dass man mit physischem Zugriff auf einen Rechner jeden, egal von welchem Hersteller, kleinkriegt.
Im Notfall kann man immer noch die Festplatte rausschrauben.

Aber den 5-Min-Angriffsversuch des Kollegen ohne Scharubenzieher wehrt das Open Firmware - Passwort ab.


Grüße
slartibartfast

 

[Cyrics]

ja, aber wie schon gesagt wenn ich auf einen computer egal welcher art physich zugriff habe, dann lege ich eine betriebssystem cd ein, setzte das system auf standard zurück oder installiere es neu und die daten sind dann immer noch auf der doch in den meisten fällen partitionierten platte. Ich kann auch einfach die fetplatte ausbauen und mit einem anderen system auslesen.. also.. interessant an osx ist das es so gut wie keine netzwerkataken gibt

so far...

wie willst du denn verschlüsselte Daten einfach mal so auslesen?! Also nichts für ungut, aber ich glaub du unterschätzt das Ganze und setzt es mit einer Windows-Passwort oder WEP-Verschlüsselung gleich. Die ist nicht innerhalb von 5 Minuten geknackt. Die AES-128Bit Verschlüsselung wurde bisher noch gar nicht geknackt. Wenn die NSA sich ran setzt und da ein paar Monate dran tüffelt, dann schaffen sie es vielleicht irgendwann mit neumodischen Rechnern. Aber derzeit ist es nicht möglich. Da hilft dir auch kein Windows... (was überhaupt kein DMG-Image erkennen kann) oder Linux, welches noch nicht mal mit HFS+-Systemen klar kommt, bzw. die Implementierung mehr als schwierig ist. Ich hab es nie geschafft Webmin beizubringen HFS geschweige denn HFS+ zu formatieren oder Debian.
Also es ist mal schnell so hingeschriebe und gesagt, dass man ja hier und da etwas ausliest und dann hat man alles. Aber so ist es nicht... wenn man will, dann sind die Daten verschlüsselt und nur für einen selbst oder gar keinen. Man kann sich aber nie davor schützen, dass jemand die CD einlegt und Neuinstallation und Formatierung drückt. Dann sind die Daten alle weg. Physischer Angriff ist einfach unmöglich zu blockieren.

@slartibartfast
Apple schreibt selbst als ersten Satz:

Use the Open Firmware Password application to set up low-level password protection with Mac OS X 10.1 and later.

low-level password ist gar nichts. Das Passwort ist mit dem zurücksetzen des PRAMs (eine einfache Tastenkombination) bereits ausgetrickst. Genauso kann man das OpenFirmware-Passwort auslesen als Hex-Dump. Ich seh das sogar eher als Sicherheitslücke ein solches Passwort zu setzen.

Andere Idee:
man kann root den Zugriff auf alle ttys sperren. Funktioniert dies auch bei Apfel +S?

 

[slartibartfast]

low-level password ist gar nichts. Das Passwort ist mit dem zurücksetzen des PRAMs (eine einfache Tastenkombination) bereits ausgetrickst. Genauso kann man das OpenFirmware-Passwort auslesen als Hex-Dump. Ich seh das sogar eher als Sicherheitslücke ein solches Passwort zu setzen.

sorry, das ist falsch.
Lies mal weiter unten:

Blocks a reset of Parameter RAM (PRAM) by pressing the Command-Option-P-R key combination during startup.

[...]

The Open Firmware Password can be reset and changed by any one of the following:
- By any administrator user, as designated in the Accounts preferences (or in Server Admin).
- Via physical access to the inside of the computer.
- When the computer is started up in Mac OS 9.

An den Hex-Wert dürfte man auch nur als Admin/sudoer kommen, oder?


Grüße
slartibartfast

 

[moornebel]

Das OF-Passwort wird zurückgesetzt, indem man die RAM-Belegung ändert: Riegel raus (oder rein), Neustart und das PW ist weg.

Gruss
moornebel

 

[Cyrics]

ich gebe da nun auch nur vorherherrschende Meinungen von Leuten wieder, die sich seit längerem mit der Sicherheit auf OSX-Systemen beschäftigt haben. Auch der NSA-Bericht zum Thema-Sicherheit enthält einen solchen Hinweis, dass dreimaliges Rücksetzen des PRAMs das Passwort löscht.

Hier(PDF) ist es sonst von David Salamon nachzulesen.
Dabei spricht er den Befehl an, dass man nvram security-password eingeben soll. In welchem Zusammenhang weiss ich leider nicht.... bei mir funktioniert es logischerweise nicht, da ich keins gesetzt habe
Er liest die Variable, die dort gesetzt ist einfach nur aus. Das soll eine im ASCII-Code geschriebene HEX-Zeile sein. Ich hab mich damit nicht näher beschäftigt, weil es für mich einfach unsicher ist. Allein die Zeile, dass das Passwort nichtmal verschlüsselt wird, ist doch da schon alles sagend. Wenn dann noch jemand sein User-PW dort verwendet... ach egal! Wie gesagt, ich hab es nicht ausprobiert, aber es läuft mir nun ständig über den Weg, und es kommt ja nicht von irgendjemanden. Auch wenn ich jetzt gerade nicht den Bericht der NSA finde

 

[slartibartfast]

das stimmt in der Tat.

Aber den 5-Min-Angriffsversuch des Kollegen ohne Scharubenzieher wehrt das Open Firmware - Passwort ab.

mehr soll es auch gar nicht können, weil es Unsinn ist. Wenn man ohne Probleme (vor Entdeckung etc.) einen Computer aufschrauben kann, gibt es nix, was deine Daten schützt außer einer guten Verschlüsselung.

EDIT: das war @moornebel. Dass zu so später Stunde auch noch so viele posten müssen...

Grüße
slartibartfast

 

[slartibartfast]

ich gebe da nun auch nur vorherherrschende Meinungen von Leuten wieder, die sich seit längerem mit der Sicherheit auf OSX-Systemen beschäftigt haben. Auch der NSA-Bericht zum Thema-Sicherheit enthält einen solchen Hinweis, dass dreimaliges Rücksetzen des PRAMs das Passwort löscht.

Hier(PDF) ist es sonst von David Salamon nachzulesen.
Dabei spricht er den Befehl an, dass man nvram security-password eingeben soll. In welchem Zusammenhang weiss ich leider nicht.... bei mir funktioniert es logischerweise nicht, da ich keins gesetzt habe
Er liest die Variable, die dort gesetzt ist einfach nur aus. Das soll eine im ASCII-Code geschriebene HEX-Zeile sein. Ich hab mich damit nicht näher beschäftigt, weil es für mich einfach unsicher ist. Allein die Zeile, dass das Passwort nichtmal verschlüsselt wird, ist doch da schon alles sagend. Wenn dann noch jemand sein User-PW dort verwendet... ach egal! Wie gesagt, ich hab es nicht ausprobiert, aber es läuft mir nun ständig über den Weg, und es kommt ja nicht von irgendjemanden. Auch wenn ich jetzt gerade nicht den Bericht der NSA finde

Dieses Paper von David Salomon kannte ich noch gar nicht, danke für den Tipp!
Das NSA-Paper gibt's übrigens hier.

Aber er und die NSA schreiben beide folgendes:

Change amount of RAM and reset PRAM three times (option-apple-p-r) to clear password.

Schraubendreher ist also doch erforderlich.

Die NSA empfiehlt in ihrem Paper übrigens auch den Einsatz des OF-Passworts.

Langer Rede, gar kein Sinn:
Open Firmware - Passwort macht durchaus Sinn, auch wenn es keine absolute Sicherheit bieten kann.


Grüße
slartibartfast

 

[Rastafari]

Auch der NSA-Bericht zum Thema-Sicherheit enthält einen solchen Hinweis, dass dreimaliges Rücksetzen des PRAMs das Passwort löscht.

Das ist erstens falsch und zweitens sowieso irrelevant, da du bei gesetztem OF-SecurityMode das "PRAM" gar nicht zurücksetzen kannst.

Dabei spricht er den Befehl an, dass man nvram security-password eingeben soll.Er liest die Variable, die dort gesetzt ist einfach nur aus. Das soll eine im ASCII-Code geschriebene HEX-Zeile sein.

nvram: Error (-1) getting variable - 'security-password'
Seeeeehr witzisch...

Allein die Zeile, dass das Passwort nichtmal verschlüsselt wird, ist doch da schon alles sagend.

Ahhh ja. Dazu fällt mir ein:
Es gibt da Leute, die behaupten es gäbe Flugzeuge aus Metall. Ich habe hier einen Schlüsselbund aus Metall, und wenn ich den loslasse, fliegt er nur schnurstracks zu Boden. Das ist doch da schon alles sagend..........

Wie gesagt, ich hab es nicht ausprobiert, aber es läuft mir nun ständig über den Weg, und es kommt ja nicht von irgendjemanden.

Nein. Nur von einem Troll.

 

[Rastafari]

low-level password ist gar nichts. Das Passwort ist mit dem zurücksetzen des PRAMs (eine einfache Tastenkombination) bereits ausgetrickst. Genauso kann man das OpenFirmware-Passwort auslesen als Hex-Dump.

Schwachfug.