ja was heisst das denn nu für den osx-fankreis?
ab sofort firewalls ohne ende?
mehr abwehrzauber entfachen als windows-eigner?
was denn nu genau tun?

"with various remote services"
was sagt uns das (hab den text bei zdnet nur überflogen)? der mac hat irgendwelche dienste im internet angeboten... nicht osx an sich ist unsicher, sondern die angebotenen dienste... da bringt keine firewall was, denn wenn ich die dienste anbieten will, lass ich die durch die firewall durch, und dann müssen die dienste "sicher" sein... deshalb lässt ja auch nicht jeder das websharing, ftp etc laufen, der es nicht braucht...

"siehe mtn meldung"

warum dann nicht auch da die kommentarfunktion nutzen frag ich mich. da steht ja schliesslich schon so einiges drin

chill
neulich war hier jemand mit über 750 Einträgen im Forum und der kannte die Kommentarfunktion gar nicht!

Also ich denke schon daß sich generell ein Thread rechtfertigen läßt. Zumal die Kommentarfunktion sehr unübersichtlich wird und KEINE email-Benachrichtigung ermöglicht. Und Ihr werdet sehen, der Thread WIRD VOLL werden…


Aber zum Thema:
Wenn ich den Rechner als Webserver einsetze 8und das hat dieser mensch doch getan, oder?), und sensible Daten draufpacke, dann muß man sich doch nicht wundern. oder? Ich meine keiner hier im Forum, oder sagen wir mal 99% benutzen Ihren Mac als Arbeitsrechner, welcher ab und an mal auf einen Server, Webseite oder ähnliches zugreift, oder?
Klärt mich auf, ich habe keine Ahnung...

Was nicht sein darf, kann nicht sein… zzz

@der_seppel
Die meisten Windowskisten werden auch als Arbeitsplatzrechner benutzt und dennoch gab es da grausame Dinge (insbesondere mit XP vor dem SP2). Ein heutiges Betriebsystem mit allen seinen Dienstprogrammen ist sehr komplex, da sind kritische Fehler vorprogrammiert.
Die einzige Abhilfe dagegen ist konsequentes Suchen und Schließen vorhandener Lücken. Nur, wessen Aufgabe ist das? Apple hat gezeigt, dass sie bekanntgewordene Lücken zwar schliessen, aber sich mitunter viel Zeit dazu lassen. Nur weil es sich bisher aufgrund der vergleichsweise geringen Verbreitung nicht 'lohnt' diese Lücken auszunutzen gibt es kaum Malware für OS X. Das kann sich aber jederzeit ändern. Auch ist die Monokultur auf Macs gefährlich, da doch die meisten User OS X Bordmittel wie Mail etc. verwenden. Zudem sind die Kenntnisse der Benutzer über ihr System doch recht gering (will mich da nicht ausnehmen). Wer kann schon bei einem Blick auf die laufenden Prozesse auf Anhieb sagen, was da wozu dient?

Meiner Meinung nach ist die einzige Abhilfe, dass sich der einzelne Benutzer genauer mit seinem System beschäftigt. Auch wenn es mich selbst wurmt (mit einem Schraubenzieher beschäftige ich mich schließlich auch nicht und ein Computer ist für mich auch nur ein Werkzeug) es ist wohl leider nötig.

Vielleicht können wir ja mal hier die Möglichkeiten diskutieren den Mac hart zu machen?

Mein Anfang:

1) Arbeite nie als Admin.

2) Setze einen Schreibschutz auf InputManagers bei jedem User.

3) Schalte nur die benötigten Dienste frei

4) Benutze die Firewall.

Wer weiß mehr?

JustDoIt:
Was heißt oder wie mache ich den zweiten Punkt?

Lass nicht hinz und kunz deine Konfig sehen…

1. deutschsprachiges Entwicklerforum wurde genauso schon gehackt wie MTN, auch wenn die es nicht zugeben…

Am einfachsten geht es halt immer noch mit "Nachschlüsseln"

Ja gut, der größte Unsicherheitsfaktor sitzt VOR dem Bildschirm

Wenn das kein Missverständnis ist, dann hat der Typ doch auf seiner Webseite geschrieben, daß er es jedem ermöglicht hat, sich selber einen Account auf dem Rechner anzulegen. Das ist zumindest KEIN normaler Betriebsmodus für einen Rechner der direkt im Internet hängt. Imho ist da entweder viel Trotteligkeit im Spiel oder der Typ hat es genau darauf angelegt, daß der Rechner in Windeseile geknackt wird.

der_seppel:

/Library/InputManagers/ und im Benutzerverzeichnis ~/Library/InputManagers/
schreibschützen.

Wenn die Verzeichnisse nicht da sind, dann anlegen.

Rantanplan:
zustimm. Wer installiert schon eine Software mit der remote Benutzer anlegbar sind?

Nur mal so am Rande: Die Texte, die man unter findet, lassen nicht gerade darauf schließen, dass der Contest ernst gemeint war (bzw. welche Intentionen der Urheber wohl hatte).

Rantanplan
Er läßt tatsächlich per Webserver beliebige User-Accounts anlegen.

Wenn man bedenkt, daß nur ein Admin User-Accounts anlegen darf, der Webserver aber als User "www" ohne jedes Recht auf irgendwas außerhalb seines Bereichs nichts darf, dann ist das schon der Hammer.

Man läßt doch keinen rechtlosen User wie den "www" System-Daten ändern! Der Knabe macht damit ein Scheunentor auf und installiert Beleuchtung für die Einflugschneise.

Das hat null mit OS X selbst zu tun. Der Junge hat sein OS X vollkommen absichtlich unsicher gemacht mit selbstgestalteten Sicherheitslücken.

Und hier ist das Photo des Rechners: Hochkant gesteller Mac mini neben WindowsNT-Entwickler-Buch. Das sagt doch alles (Zu finden in seinen FAQs)

*in meinen Audi steig*

*eine kurvige Serpentinen-Strecke aussuch*

*anfahr und einen Ziegelstein aufs Gaspedal leg*

*aus dem Auto spring*

*dem Audi beim 20fachen Überschlag zuseh*

*brief aufsetz*


An
AUDI AG
z. Hd. Hr. Pischetsrieder
85045 Ingolstadt


Betreff: HÖCHST UNSICHERER AUDI A4

Sehr geehrter Herr Pischetsrieder,

hiermit möchte ich mich über die Qualität des Audi A4 Avant beschweren, der in Ihrem Hause produziert wurde. Mit Entsetzen musste ich heute feststellen, wie unsicher dieses Fabrikat ist! Sämtliche Mängel aufzuzählen, würde den Rahmen dieses Briefes sprengen, aber lassen Sie mich auf einige Punkte eingehen.

1) Es gibt keine Sicherung, die das Verlassen des Wagens während der Fahrt verhindert!
2) Der Wagen ist nicht in der Lage, in Kurven die Spur zu halten!
3) Beim Abkommen von der Fahrbahn sind extreme Erschütterungen zu spüren!
4) Bei starkem Gefälle neigt der Wagen dazu, sich mehrfach zu überschlagen!
5) Anschließend ist der Wagen nicht mehr im Alltagsgebrauch einzusetzen!

Aus diesem Grund verlange ich, dass Sie dieses - höchst unsichere - Gefährt sofort vom Markt nehmen. Darüber hinaus verlange ich eine angemessene Entschädigung, Schmerzensgeld und eine Wiedergutmachung des entstandenen, seelischen Schadens.

In Erwartung einer baldigen Antwort verbleibe ich,

mit freundlichen Grüßen...

<klugscheiss>
Der Audi Chef heisst nicht Pischetsrieder, sondern Winterkorn
</klugscheiss>

Right, Pischetsrieder ist "nur" Aufsichtsratsvorsitzender.

nun mag man drüber streiten, wer letztendlich mehr zu sagen hat... ich tippe auf Pischetsrieder, da der auch noch Vorstandsvorsitzender des VW-Mutterkonzerns ist...

oefinger

Rudimentäre Kenntnisse über Bremsverhalten, etc. gehören zu den Grundkenntnissen des (motorisierten) Straßenverkehrs. Aber einem Autofahrer die Schuld an einem Unfall zu geben, weil er die Elektrik seines Einspritzsystems leider nicht erklären kann, ist jawohl etwas. ähm, kurios!

Klar gibt es leichtsinniges User-Verhalten. Aber die Grenze (bzgl. Verantwortbarkeit) verläuft m.E. gaaanz dicht bei den Entwicklern! Vielleicht wäre eine gewisse Verpflichtung zum Einstehen im Schadensfall der Sicherheit insgesamt nicht abträglich.

Also für mich ist dieses Thema schon längst über den Hut.
Ich reg mich doch nicht über etwas auf(oder habe angst davor) wenn absichtlich die Tore für Hacker geöffnet wurden etc.(sick)zzz



Also :macosx: ist immer noch gleich gut wie gestern, als Meldung noch nicht stand.:apple::-)

*Gähn*
Ich habe folgenden Link hier schon öfters gepostet, glaube ich...:


Ob die auch jemand in 6 Stunden hackt???

gaspode
Woher? Na, direkt von dem Fuzzi, der seinen Mac zum Cracken anbietet:

rm-my-mac.wideopenbsd.org
rm-my-mac.wideopenbsd.org/ssh
rm-my-mac.wideopenbsd.org/faq

Hier gibt es nun einen etwas besseren, wenn auch nicht normal eingestellten (SSH und Webserver sind aktiv) Mac mit OS X zu cracken:
test.doit.wisc.edu
"... in response to the woefully misleading ZDnet article ..." ZDnet ist ungefähr so schlecht wie MacGuardians

Dann haben sie auch noch einen sehr schönen Satz, der klingt als hätte jemand meine Meinung auf Englisch formuliert:

"However, the general architecture and design philosophy of Mac OS X, in addition to usage of open source components for most network-accessible services that receive intense peer scrutiny from the community, make Mac OS X a very secure operating system. There have been serious vulnerabilities in Mac OS X that could be taken advantage of; however, most Mac OS X "vulnerabilities" to date have relied on typical trojan social engineering tactics, not genuine vulnerabilities."

MacMark

Das ist schon ein etwas realistischeres Verfahren. Alleine die Tatsache, dass jemand einen SSH-Account auf dem Server hatte ist der Realität doch etwas fern. (Es sei denn man bietet Shell-Accounts an, aber dann hat man ja diesbezüglich auch etwas andere Sicherheitbeschränkungen.)

Ich hatte in der Vergangenheit auf meinen OS X Servern diverse Hackversuche. Allerdings meistens die "billigen" Varianten, wie Passwort raten und so. Wobei die meisten Skript-Kiddies schon mal dran scheiten den Port vom SSH (nein der liegt nicht auf 22) zu finden. Diverse Remote Exploits für die installierten Dienste (Apache, SSH, Exim, Courrier IMAP/POP3, pureftpd). Hält man die Dienste aber auf dem aktuellen Stand ist das nicht das große Problem.

Ich habe auf jeden Fall nicht mehr Angst um die Server als vor diesem "Test".

grüße markus

gaspode
Da hast du recht. Das mit dem Port ist auch mehr dazu da zu vermeiden, dass irgendwelche Leute versuchen auf Port 22 connecten egal, ob sie Erfolg haben. Die logfiles zeigen, dass es 98% der Versuche abhält. Echte Sicheit erreicht man natürlich nur durch Zertifikat. Aber beides zusammen ist eine ganz gute Kombination der andere Port um "dumme Versuche" schon am Ansatz zu unterbinden und das Zertifikat um den Dienst dann sicher zu halten.

grüße markus

MacMark
Ich nenne die auch schon seit vielen Jahren "Siff Davis". Meiner Ansicht nach waren die schon immer so ungefähr auf dem Niveau von Chip oder ComputerBILD gelegen. Siff halt

In meinen Programmen kenne ich fast jeden Shortcut, aber für die Sicherheit meines Rechners ist mein Supporter zuständig.
Trotzdem hätte ich gerne mehr Ahnung davon, was ich selber tun kann. Wenn ich mir eure Kommentare durchlese, merke ich, dass ich null Ahnung von Systemsachen habe.
Gibt es irgendwo OS X-Sicherheits-Tutorials für User, wie mich?

leichenschänder!

Sorry, aber habe diesen Thread über Google gefunden.
Gibt´s die Anleitungen auch auf deutsch?

nein, amis schreiben meist auf englisch.

Ja, aber ich suche keine Doktorarbeit, sondern einige prägnante kurze Tutorials, nach Möglichkeit in Deutsch.
Gibt es z.B. ein programm, das eine Meldung bringt, wenn sich jemand reinhackt?

@MacMark ?

nette seite. falls dich die einzelheiten nicht interessieren, das fazit von macmark unter 6.5.2 ist kurz und knapp:

"Man sollte nichts doppelklicken, was man nicht kennt."

und im übrigen die finger von deinem system lassen.

Danke für die Tips und den Link.
Das sieht interessant aus.
Viele Grüsse

MacMark Ack, ein Webserver hat außerhalb docroot nix zu schreiben.

Jetzt würde mich mal interessieren woher hast Du denn die Info das das so gelaufen ist?

Und es wäre ja noch denkbar, dass der Apache unter OS X ein Problem hat, das genau so etwas erlaubt. Ganz traue ich HFS in Zusammenhang mit normaler Unix-Software ja noch nicht über den Weg. Habe da ein paar alte Apache-Exploits aus OS X Anfangstagen im Kopf.

MacMark

OK, bin nach einmal drüber schlafen auch drauf gekommen.

Der Typ hat also

1. SSH aktiviert (und sein Netz so, dass übers Internet erreichbar)

2. Apache aktiviert

3. Ein Script in Apache laufen das das Anlegen von lokalen Usern erlaubt

4. Den User www für Apache so mit Rechten versehen, dass er außerhalb docroot schreiben kann

Nunja, das ist dann echt kein Hacken von OS X sondern Dummheit hoch 10. Die ersten zwei Schritte weichen schon von der Standardkonfig ab und sind somit nicht der Lieferzustand von OS X, aber noch ok. Dann aber die Punkte 3. und 4. sind aus dem Handbuch "Was ein Webmaster machen würde wenn er wirklick blöd wäre"...

Gut, lachen wir einmal über diese "Story" und all die Mac-Webseiten die den Quatsch auch noch unreflektiert und ohne weitere Forschung breit treten.

Also das Verschieben des SSH Ports halte ich nicht für eine Sicherheitsmaßnahme, das find ich nutzlos.

Anmeldung mit Passwort verbieten, nur Zertifikat zulassen. DAS ist Sicherheit!