|
Mac OS X in 30 Minuten geknackt
Der ursprüngliche Wettbewerb (FUD):
http://rm-my-mac.wideopenbsd.org/ Der richtige Wettbewerb: http://test.doit.wisc.edu/ Zitat:
|
War schon in mehreren News über die letzten paar Tage verteilt zu lesen und in den Foren drehen die Leute durch.
Was haben wir/Sie erwartet? Das MacOS eine uneinnehmbare Bastion ist und bleibt? ;) |
Wollte mit meinem Posting vorallem auf den zweiten Link hinweisen, da dort sehr gut beschrieben ist, warum der erste Test nicht ernstzunehmen ist.
Weiters wollte ich mit dem Zitat aufzeigen, das auch der zweite Test, sollte das System gehackt werden, nicht als Hiobsbotschaft für alle Mac User zu werten ist, da fairerweise darauf hingeweisen wird, das ssh und http auf jeder normalen Mac Maschine normalerweise nicht aufgedreht sind. Also - immer schön ruhig bleiben und alles doppelt hinterfragen! ;) http://de.wikipedia.org/wiki/Fear,_U...inty_and_Doubt |
Habs bis dato nicht näher verfolgt, werd mir aber heut Abend Zeit dazu nehmen :-)
|
Re: Mac OS X in 30 Minuten geknackt
Zitat:
SSH Zugang+lokale Useraccounts,wirklich sehr realistische Umstände im ersten Fall. :mad: |
Der Test wurde beendet.
Zitat:
Zitat:
|
ich frag mich nur folgendes: personal web sharing ist weit verbreitet, mittlerweile kommt jede knoppix mit dem "starte den webserver-button" daher ; detto sind ssh ( oder auf windowsseite -noch schlimmer-rdp) durchaus nicht wenig verbreitet.
wieso also das leugnen, das das nicht unrealistisch war ? mit dem "gegentest" macht sich erst der religiöse charakter bemerkbar, sorry... ich mein, lokale accounts ging ein wenig weit ( wenn auch privilegien zu erhöhen nicht untrivial ist) , aber warum darauf herumreiten das der rest auch unrealistisch ist ? übrigens "unrealistisch" - beim "richtigen" test habens klarerweise noch die apache updates mitgenommen, damits auch schön objektiv bleibt *lach* wenns keiner verwendet, würde es doch wohl genauso oft gepatcht werden, oder ? |
Zitat:
Das "Unrealistische" war wie du schon ebenfalls schriebst die Möglichkeit, lokale Benutzer anzulegen. Das hat nichts mit Releigion zu tun, das ist einfach lächerlich. Zitat:
Was anderes wär gewesen, wenn Apache irgendwie händisch abgehärtet geworden wäre, aber einen Hersteller-Patch den jeder ganz offiziell herunterladen kann soll nicht eingespielt werden? |
ich spreche dem ganzen ( hast du wohl nicht durchlesen) einen religiösen charakter zu, weil auf einen test gleich mal ein gegenbeispiel erfolgt, zusammen mit schlechtmachen der ersten ergebnisse.
die möglichkeit, einen lokalen account zu benutzen, ist ein wenig heikel - aber genau darin lag dann der hack, mit einer privilegienerhöhung lässt sich einiges machen ( sprich: für einen server doch eher kritisch). zum anderen: bitte um eine entscheidung. 1, entweder wir reden von noobs, die nie was am rechner machen und jedes popup erstmal schliessen - die haben vielleicht das personal web am laufen aber patchen sicher nie. und wenn ich mich recht erinnere, bietet macos zwar die patches an, quittieren und installieren ( lassen) musst aber immer noch selbst. diese art user spielt das OS von den datenträgern ein und tut nie wieder was dran (man sieht es bei windows am blaster und bei linux an den privaten webforen, die immer wieder heimgesucht werden) 2, oder wir reden von mündigen usern, die patches einspielen und auf ihren rechner aufpassen. dann ists allerdings egal, unter welcher plattform diese anwender beheimatet sind. |
Zitat:
Zitat:
|
mit popups meinte ich auch die systemmeldungen ;)
( und nicht nur den safari) standardmässig ist zumindest bis 10.3 bestenfalls das downloaden- nicht aber die installation; und wenn man es erst wieder umstellen muss, ist es wohl kaum anwenderkompatibel, oder ? .... (standard nach neuinstall ist "check for updates-weekly" mit anschliessender benachrichtigung... die kaum einer liest) wie gesagt, einstellen kann man auch unter windows linux oder bsd vieles... :D |
Welcher ONU hat einen Apache oder SSH laufen? :confused:
|
onus haben unter macos die möglichkeit, über personal web sharing gleich mit bordmitteln httpd´s zu starten...
etwa für das familiäre photoalbum oder so... http://www.apple.com/macosx/features/websharing/ und ssh dazu ist rackzack mit remote login freigeschaltet. und unter windows gehts genauso leicht, etwa mit abyss oder IIS... |
Also ich kann mir nicht vorstellen dass ONU das aktiviert in der Systemeinstellung und dann nichts von Software Updates weiß.
Irgendwie nicht schlüssig Deine Argumentation ;) |
Irgendwie diskutiern wir hier im Kreis.
ONUs haben durchaus Apache und ssh laufen, wenn sie Sharing aktiviert haben. Dies wurde im zweiten Test aber berücksichtigt - Ergebnis: dicht! ONUs haben aber sicher kein Webformular eingerichtet, mit dem sich jeder x-Beliebige Internet User einen lokalen Account einrichten kann. Profis schon gar nicht. Ich gehe davon aus, das jeder Benutzer jedes Betriebssystems regelmäßig sein System patcht. Wer dies nicht tut hat entweder die letzten Jahre verpennt oder im Internet nichts zu verloren. |
ich sage nur, das es überhaupt kein problem ist, ohne grosse fehler ein exponiertes system zu erstellen ( btw, bei 10.3 ist firewall default "off").
vielleicht solltest übrigens du eine argumentation aufbauen - nur, weil du es dir bei dir nicht vorstellen kannst und es sowieso generell immer unmöglich ist, und ausserdem ist es ein apple, und ein onu kann nicht... ;) @neo spannend bleibts auf jeden fall... wie sieht es eigentlich bei sachen wie itunes aus ? das habens scheinbar deaktiviert... |
Zitat:
Du ignorierst im Gegensatz den 38 Stunden langen Test, bei dem der Mac mini trotz DDoS weder vom Netz ging, noch gehackt wurde. |
Zitat:
|
Zitat:
|
das war vom timing her genau so knapp, das meine antwort auf den moose quasi an dich ging. ;)
was ist "ein DDOS" ? - wenn 3 rechner oder 300.000 auf einen webserver losgehen ? im endeffekt könnte es den stack abstürzen lassen, aber ob es damit leichter wird, hineinzukommen ? da würde vorher der webserver wohl delays einschalten, und soooo viele leute hängen da auch nicht dran (bei den pagehits von etwa heise wärs interessanter) ;) interessant sind in der tat die statistiken (falls die daten stimmen): 4000 login attempts with ssh - das sind satte 100 login-versuche in der stunde :) 2600 events jeglicher art pro minute werden geloggt ( die disk wird glühen, aber sonst..) ich hätt mir ja gewünscht, das es ein wenig weiter geht - mit methode wäre es sicher interessant geworden. aber da hätte man sehen können, was man nicht sehen will. |
Zitat:
Meine Argumentation überlass nur mir selbst – aber Danke für den Hinweis. Ich betreue doch einige ONU PCs (noch keinen Mac), aber das Verlangen einen Webserver zu starten hatte noch keiner von ihnen ;). Aber wir gehen hier von verschiedenen Wissensständen von ONUs aus wies aussieht. |
dem akkusativ ist den dativ sein tod ;)
*SCNR* :engel: ich betreue nebenberuflich doch einige pcs jeglicher couleurs, und hauptberuflich einige maschinchen (wobei eher server)... das schlimmste, was passieren kann, ist imho praktisches denken... etwa, wie toll es nicht wäre, über die ach so schnelle firmenleitung mp3s zu saugen ( virenschleuder vorprogrammiert, mal von performance abgesehn). dann wäre es ja auch noch schön, die dinger nach hause zu schicken ( ergo ftp auf und geht schon, so der gedanke). solcherlei hab ich ein paar mal erlebt,das ist, wenn die leute keine 100%-DAUs sind, sondern bereits wissen, wie man ein programm installiert. oder schwiegereltern - wie schön, nicht eine eigene webseite haben... abyss drauf, firewall deaktiviert ( weils zerst ned geht), und hoppauf im chello-netzwerk ( wo nebenbei gesagt alles unterwegs ist, was gott verboten hat). -> schwein gehabt, das der router noch dazwischenhing, aber knapp wars... :) vielleicht hat es doch seine gründe, das ich privat mehrere netzwerke hab und den webserver, vpn und test gesichert auf vm´s fahre...*lol* |
Zitat:
Aber man kanns so stehen lassen dass einfach alles unsicher ist und man am Besten Niemandem einen Computer in die Hand gibt. |
Zitat:
|
was verstehst du unter einem dedicated server ?
- eine maschine/virtual machine im netz, mit rootzugriff usw, die von einem profi up-to-date gehalten und gewartet/überwacht wird... - einen rechner, den ONU kauft, und in einem rechenzentrum mit ordentlicher anbindung unterstellt - software ist von a-z des users verantwortung... :rolleyes: ich würde mal bei methode 2 nicht so voller freude sein, ehrlich gesagt... :D und ja, das internet ist superfein, ich hab bei chello alleine gestern etwa 500 portscans gehabt ( wahrscheinlich irgendein gezeugs, das wieder mal was unfeines versucht). *grinns* |
Ich rede von umgangssprachl. Root Servern. Ob die Hardware nun angemietet wurde (Version 1) oder ob ich vom Server Housing (Version 2) Gebrauch mache, ist unerheblich.
Und solange jeder Hampel, für ein moderates Entgelt, Root sein kann, bleibt es kritisch. Egal ob da ein Linux, Mac OS oder Windows auf dem Server eingespielt ist. |
| Alle Zeitangaben in WEZ +2. Es ist jetzt 01:56 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
© 2009 FSL Verlag