Das war heute (08. Dezember 2004) bei heise zu lesen:




Allerdings ist diese Erkenntnis leider nicht wirklich neu – siehe dazu:


(27. Juni 2004)


(23. Juli 2004)


Habe es gerade selbst getestet und kann es leider nur bestätigen!!!

Wenn Ihr als Administrator angemeldet seid, genügt ein

sudo strings -8 /var/vm/swapfile? |grep -A 4 -i longname

im Terminal und schon werden alle Passwörter gelistet.


Ziemlich übel dass Apple offensichtlich seit gut 6 Monaten!!! kein Security-Update für dieses Problem bringt...


Was sagt ihr dazu?

Immerhin muss man sich ja noch als Admin anmelden, bevor man Zugriff hat.
Oder hab ich da was falsch verstanden?

@pele: ja, das ist schon richtig aber falls es mal ein rootkit oder eine andere Art Trojaner/Virus schafft, auf OS X zuzugreifen, wird es ihm durch diese "Schlamperei" nur noch einfacher gemacht...

In 10.4 soll dann "Virtual Memory Encryption" eingeführt werden - hoffen wir mal, dass das nicht heißt, dass es sich unter 10.3 und älter gar nicht fixen lässt...

Die Meldung auf heise.de ist vollkommen falsch und das wundert mich tatsächlich! Dort wird gesagt, dass das Problem unter Linux nicht existiert wegen /etc/shadow. Der Vergleich hinkt aber nicht, weil diese beiden sachen nichts miteinander zu tun haben. Hier mal der Versuch einer Richtigstellung. Auf heise.de geht das nicht, wegen der ganzen Trolle:

1. Wie bei jedem OS gibt es Programme, deren Speicher wird aus geswappt.
2. Wie bei jedem OS hat der root/Admin zugriff auf diesen Speicher.
3. FileVault und andere Programme fragen den User nach einem Passwort. Das ist auch in Ordnung.
4. Insbesondere FileVault legt dieses Passwort aber nicht verschlüsselt im Speicher ab.

Apple kann also nur die Programme patchen, die die Passwörter im Klartext im Speicher ablegen. Das geht natürlich nur bei von Apple entwickelter Software. Wenn euer Lieblingssharewareprogramm das macht, kann Apple nichts dafür.

Hatten wir schon mal im Forum.
Ist auf vielen *x systemen so.
Dazu braucht man aber Zugang zur Datei.

Allerdings wäre es wirklich gut wenn Passwörter so nicht abgelegt werrden, sondern wie Heise schreibt in etc/shadow als Hash.

Wie sieht das denn bei Tiger aus ?
Ist da schon was geändert worden ?

Don Quijote
Musst du als root machen, oder vorher mit
su
und deinem Admin-Passwort im Terminal machen.
Dann hast du Zugriff.

Frank
Aber unfein ist es schon wenn das ANMELDEPASSWORT, das ja im Normalfall, wie empfohlen, auch das vom Schlüsselbund ist, im swapfile steht.
Es würde mir schon reichen wenn alle Apple-Soft das kosequent macht.

Nochmal: /etc/shadow hat nichts damit zu tun.

Auch Macos hat sowas wie /etc/shadow. Heisst nur anders.

Na ja, wer schon root Zugriff haben muß um das Passwort auszulesen, kann doch sowieso überall dran!

Außer bei FileVault Verschlüsselung.
Wenn ich das richtig sehe, kommt auch der Root nicht an die per FileVault verschlüsselten Daten dran. Das er dann das Passwort des Users ermitteln kann ist nur deswegen schlecht.

Bei mir will er ein Passwort:

sudo strings -8 /var/vm/swapfile? |grep -A 4 -i longname
Password:
Sorry, try again.
Password:

Vielleicht mach ich ja was falsch?

Das Thema wurde schon hinreichend behandelt hier auf MTN:

@iMad:

1. Du musst als Benutzer mit Admin-Rechten angemeldet sein.
2. Dann muss das Passwort des Admins mit der UserID 501 eigegeben werden.

Um diese "Lücke" zu nutzen braucht man ein Adminpassword. Wenn man jedoch ein Adminpassword hat, dann kann man sich eh alles zugänglich machen auf der gesamten Platte. Die "Lücke" ist dafür überhaupt nicht notwendig.

Also bei mir funzt das au ned

Bei mir geht es auch nicht... Bin auch als Admin angemeldet, aber es wird wieder ein Passwort verlangt.:-/

An alle, bei denen es nicht so klappt:

guckt doch mal, ob bei Euch überhaupt schon Swap-Files angelegt wurden:

Finder/Gehe zu/Gehe zum Ordner: /var/vm


So lange alles in Euren Arbeitsspeicher passt, gibt es dazu nämlich keine Notwendigkeit.


Bei mir sind in /var/vm insg. schon 5 Swap-Files drin, habe das letzte mal vor knapp 2 Wochen rebootet und auch Cocktail/Xupport schon eine Weile nicht mehr angewendet - soll heißen die Swap-Files gelöscht.

Mein Rechner: PowerBook G4, 1024 MB RAM, 60 GB HD (96% voll)

Also ich finde nur das Passwort von meinem MTN Zugang, aber das liegt ja sowieso offen im Cookie.
Bei dieser Menge an Informationen muss man sich schon sehr gut auskennen.

Ein System sollte möglichst sicher sein, aber logischerweise kommt man in jedes System, wenn man einen Schlüssel hat. Ohne root geht hier also nichts.

Viel schlimmer ist, dass sich heise von Microsoft kaufen lassen hat. Jedesmal wenn man im heise-Forum über Linux/Unix/OS X einen Beitrag schreibt wird Microsoft Werbung eingeblendet.

heise ist schon lange nicht mehr gut.

@HR:

Aber auch an alle anderen die sich "sicher" fühlen durch das Argument "ohne root geht hier also nichts".

Der Befehl sudo gibt jedem Admin vorübergehende root-Rechte!

So kann man z.B. mit einem simplen

sudo passwd root

als Admin ein neues root-Passwort vergeben!!!

Ihr seht also, wenn man Admin ist, hat man auch problemlos root-Rechte (wenn man sie benötigt).

PS: eventuell muss man vor der Eingabe im Terminal noch den root-Benutzer über den NetInfoManager aktivieren, das weiß ich jetzt auch nicht mehr so genau, aber es klappt (leider) problemlos.
Allerdings ist das ein anderes Thema, lasst uns also bei der Problematik mit den Swap-Files und darin im KLARTEXT enthaltenen Passwörtern bleiben.

Marcel_75@work:
Das ist schon klar, aber ein Admin hat einen Schlüssel. Auf meinen Systemen bin nur ich Admin;-)

mhh schade, bei mir gehts auch nicht...

iBook:~ ibookfan$ sudo strings -8 /var/vm/swapfile? |grep -A 4 -i longname
Password:
iBook:~ ibookfan$

unter /var/vm hab ich ne swapfile0 mit 64mb und ne app_profile die aber gesperrt ist..

ich habe im terminal mein anmelde passwort eingegeben, er hat ein bischen gearbeitet und mir nichts zurückgegeben wie oben zu sehen ist...
komisches iBook mit 768 mb ram

@iBook.Fan:

am besten in ein paar Tagen noch einmal probieren, wenn Du auch ein wapfile1, swapfile2 usw. hast...

Die ersten beiden swapfiles swapfile0 und swapfile 1 haben immer nur 64MB, 2 schon 128MB, 3 hat 256MB, 4 sogar 512MB usw.

Wann dann auch die Passwörter "ausgelagert" werden kann ich auch nicht genau sagen, eventuell ist hier ja ein Unix-Experte im Forum, der uns diesbezüglich mal aufklären kann?

Noch einmal ein anderer Weg für alle, die über das Terminal nicht zum Ziel kommen:

Im Finder das Menü Gehe zu/Gehe zum Ordner... anwählen, dort dann

/var/vm

eingeben und "Start" drücken.

Bei mir erscheint dann folgendes

app_profile (Zugriff gesperrt)
swapfile0 (64 MB)
swapfile1 (64 MB)
swapfile2 (128 MB)
swapfile3 (256 MB)
swapfile4 (512 MB)
swapfile5 (1 GB)

Das swapfile0 wurde am 4. Dezember angelegt, ist also noch gar nicht so lang her.

Die swapfiles könnt ihr euch nun auf den Desktop kopieren, falls ihr als Benutzer ohne Admin-Rechte arbeitet, wird die Identifikation als Admin inkl. Passwort verlangt.

In TextEdit oder BBEdit könnt ihr die Files dann durchsuchen, schon beim swapfile0 stieß ich auf mein normales Benutzerkennwort, in swapfile2 "versteckte" sich dann auch mein Admin-Passwort (und wie gesagt alles im Klartext). Selbst die Merkhilfe habe ich gefunden und noch viele andere Sachen - wirklich erschreckend finde ich...

Wir können nur hoffen, dass sich Apple dieses Problems nicht erst mit 10.4 Tiger annimmt (mit der Einführung von "Encrypted Virtual Swap Files") sondern auch Abhilfe für 10.3 und älter schafft!

Immerhin ist dieses Problem schon mind. seit Juni 2004 bekannt – aber offensichtlich wird es bei Apple nicht als solches eingestuft...

Root ist zwar standardmäßig deaktiviert in OSX, aber mit dem Zusatz "sudo", superuser do, und dem genannten Befehl bekommt jeder Admin den Inhalt der Auslagerungsdatei zu sehen. Ich konnte das bei mir nachprüfen und bekam mein Klartextpaßwort zu sehen.

so, selbsttest ist beendet, ich habe mein ibook g4 1ghz bis zur kernel panic geschickt habe alle programme die ich im programme ordner habe geöffnet, der ram war fast komplett dicht (768mb eingebaut) und der virtuelle speicher bei 15gb... die cpu last war bei 100% und der lüfter ist auch angesprungen , im dock konnte ich nicht wirklich die icons der programme unterscheiden und für apfel & tab hat os x 15-30 sekunden benötigt zum anzeigen...
naja danach habe ich nocheinmal gesucht und auch gefunden... nun wollte ich direkt noch was hier rein schreiben, hat auch ganz gut funktioniert und als ich kurz vor dem klick auf abschicken war kam die kernelpanic aber jetzt läuft alles wieder wie es soll, die swap files sind wieder weg und auch der rest läuft wieder so wie er soll nun warte ich auf ein update seitens apple!

@iBook.Fan

Na da hast Du es ja wirklich auf die "ganz harte Tour" getestet...

man muß ja auch mal an die schmerzgrenze gehen

ALLOE: sagt mal habt ihr überlesen dass : Zwar benötigt ein menschlicher Angreifer oder ein eingeschmuggelter Trojaner mindestens ein gültiges Administrator-Passwort ?????? man kanns auch übertreiben...... oder?

ich würde allen die sich bei dieser meldung "nass machen" empfehlen: mac vom internet trennen und am besten den mac nicht mehr einschalten.....O:-):-|;-)

es geht nicht um das insternet es geht darum wenn der mac in die falschen hände (ist auslegungssache wer das sein kann ) gelangt... ich möchte nicht das jemand meine dateien lesen kann, ohne das ich davon weiß... deshalb ja auch filevault... und ein passwort braucht man dann nicht, wenn mn die hdd in einen anderen rechner hängt oder mit linux bootet...

@Rasta

Sich ein Administrator-Passwort (und damit dann auch ein root-Passwort) zu verschaffen ist gar nicht so schwer wie Du vielleicht glaubst...

Außerdem finde ich es ehrlich gesagt traurig, wenn z.B. bei neu entdeckten Windows-Sicherheitslücken munter drauf los gelästert wird, bei MacOS X Problemen aber immer nur abgewunken wird – frei nach dem Motto: ein Mac MUSS sicher sein und ist sowieso viel besser als alles andere...

Das meine ich nicht gegen Dich (Rasta) sondern ganz allgemein - fakt ist, dass das unverschlüsselte ablegen von Passwörtern ein schwerwiegendes Sicherheitsproblem ist – wer das nicht einsehen will, dem kann wohl nicht mehr geholfen werden...

Zumal die ersten OS X Rootkits (osxrk & weaponX z.B.) in der Szene munter weiterentwickelt werden – da ist jede noch so kleine Sicherheitslücke eben ein sehr großes Risiko!

Marcel_75@work
HALLOOOO, MTN-ADMINS: AUFWACHEN!!!!! GILT AUCH FÜR EURE COOKIES!!!!

gruss
camaso

wie schauts aus? gibts schon nen work around?? kann man die swap nicht "per hand" nachverschlüsseln oder sowas??

Hm. Ich verstehe nur nicht, warum Apple das nicht bereits gefixt hat. Sonst sind sie ja auch immer recht schnell mit dem Stopfen von Sicherheitslöchern. Gehört doch nur ein Funktionsaufruf dazu: mlock()

Bitte aufhören,
seit der gestrigen Heise Schlammschlacht gehts jetzt hier und in allen anderen Mac Foren weiter. Mag vielleicht ein ärgerlicher Fehler sein, ganz klar, aber wenn FileVault mit Panther gar nicht mitgekommen wäre hätte es doch niemanden gejuckt. Dass man den Rechner mit etlichen anderen Methoden viel leichter erobern kann, ist zu Genüge bekannt.
Nach verschiedenen Warnungen bezüglich File Vault habe ich eh die Finger davon gelassen, weil es mir nicht ausgereift schien, sozusagen Baustelle, wie auch sonst noch einiges. Im übrigen: wirklich vertrauliche Daten gehören nicht auf den frei herumstehenden Rechner oder aufs am Fluhafen vergessene Notebook, sondern in den Safe.
BvK

wichtige daten habe ich auf meiner externen hdd in nem 80gb großen verschlüsselten dmg mit 256 stelligem passwort, das passwort ist in einem schlüsselbund organisiert und liegt in einem verschlüsselten dmg (auch 256 stelliges passwort) auf meinem usb stick, der key für das usb - dmg hat mein iBook

Bei mir wird kein einziges Passwort gelistet…"failure".

Der wahre Cityhunter
<br>
<br>Unter Admin, einfach den string kopiert und im Terminal eingesetzt, wurde nach Passwort gefragt(klar bei sudo) und dann leere Outputs, bzw. failure, allerdings habe ich auch kein VileVault laufen, die Benutzer / Admin Passwörter listet er auf jeden Fall nicht, das war es was ich befürchtet hatte, aber das trifft den Thread ja sowieso nicht…mein Fehler…

Bei mir gibt er zwar die infostrings aus, longname, psswd, usw, allerdings leer, ohne wert.

Selbst wenn ich statt longname, den ausführlichen Adminnamen angebe, kommt zwar alles mögliche aber nicht das Password im Klartext.

Marcel_75@work
<br>
<br>das war´s, werde mal bei Gelegenheit nachschauen auf anderen Rechner…