Mac OS X in 30 Minuten geknackt

Neo · 07.03.2006, 11:49

Der ursprüngliche Wettbewerb (FUD):
http://rm-my-mac.wideopenbsd.org/

Der richtige Wettbewerb:
http://test.doit.wisc.edu/

Zitat:

The machine is a Mac mini (PowerPC) running Mac OS X 10.4.5 with Security Update 2006-001, has two local accounts, and has ssh and http open - a lot more than most Mac OS X machines will ever have open.

Moose · 07.03.2006, 12:35

War schon in mehreren News über die letzten paar Tage verteilt zu lesen und in den Foren drehen die Leute durch.

Was haben wir/Sie erwartet? Das MacOS eine uneinnehmbare Bastion ist und bleibt?

Neo · 07.03.2006, 12:52

Wollte mit meinem Posting vorallem auf den zweiten Link hinweisen, da dort sehr gut beschrieben ist, warum der erste Test nicht ernstzunehmen ist.

Weiters wollte ich mit dem Zitat aufzeigen, das auch der zweite Test, sollte das System gehackt werden, nicht als Hiobsbotschaft für alle Mac User zu werten ist, da fairerweise darauf hingeweisen wird, das ssh und http auf jeder normalen Mac Maschine normalerweise nicht aufgedreht sind.

Also - immer schön ruhig bleiben und alles doppelt hinterfragen!

http://de.wikipedia.org/wiki/Fear,_U...inty_and_Doubt

Moose · 07.03.2006, 13:48

Habs bis dato nicht näher verfolgt, werd mir aber heut Abend Zeit dazu nehmen

assignment · 08.03.2006, 03:51

Zitat:

Original geschrieben von Neo
Der ursprüngliche Wettbewerb (FUD):
http://rm-my-mac.wideopenbsd.org/

Der richtige Wettbewerb:
http://test.doit.wisc.edu/

Danke für die "vollständige" Verlinkung.
SSH Zugang+lokale Useraccounts,wirklich sehr realistische Umstände im ersten Fall.

Neo · 08.03.2006, 08:49

Der Test wurde beendet.

Zitat:

Traffic to the host spiked at over 30 Mbps.

Resultat:

Zitat:

There were no successful access attempts during the 38 hour duration of the test period.

ingomar · 08.03.2006, 09:37

ich frag mich nur folgendes: personal web sharing ist weit verbreitet, mittlerweile kommt jede knoppix mit dem "starte den webserver-button" daher ; detto sind ssh ( oder auf windowsseite -noch schlimmer-rdp) durchaus nicht wenig verbreitet.

wieso also das leugnen, das das nicht unrealistisch war ? mit dem "gegentest" macht sich erst der religiöse charakter bemerkbar, sorry...

ich mein, lokale accounts ging ein wenig weit ( wenn auch privilegien zu erhöhen nicht untrivial ist) , aber warum darauf herumreiten das der rest auch unrealistisch ist ?

übrigens "unrealistisch" - beim "richtigen" test habens klarerweise noch die apache updates mitgenommen, damits auch schön objektiv bleibt *lach*
wenns keiner verwendet, würde es doch wohl genauso oft gepatcht werden, oder ?

Neo · 08.03.2006, 10:30

Zitat:

Original geschrieben von ingomar
wieso also das leugnen, das das nicht unrealistisch war ? mit dem "gegentest" macht sich erst der religiöse charakter bemerkbar, sorry...

Ähem, beim zweiten Test war ssh ebenfalls offen.
Das "Unrealistische" war wie du schon ebenfalls schriebst die Möglichkeit, lokale Benutzer anzulegen. Das hat nichts mit Releigion zu tun, das ist einfach lächerlich.

Zitat:

Original geschrieben von ingomar
übrigens "unrealistisch" - beim "richtigen" test habens klarerweise noch die apache updates mitgenommen, damits auch schön objektiv bleibt *lach*

Aha, obwohl bei JEDER Software immer gepredigt wird sie immer am aktuellen Stand zu halten und für einen Hack-Wettbewerb soll ein ungepatchtes System herhalten? Hallo?

Was anderes wär gewesen, wenn Apache irgendwie händisch abgehärtet geworden wäre, aber einen Hersteller-Patch den jeder ganz offiziell herunterladen kann soll nicht eingespielt werden?

ingomar · 08.03.2006, 10:53

ich spreche dem ganzen ( hast du wohl nicht durchlesen) einen religiösen charakter zu, weil auf einen test gleich mal ein gegenbeispiel erfolgt, zusammen mit schlechtmachen der ersten ergebnisse.

die möglichkeit, einen lokalen account zu benutzen, ist ein wenig heikel - aber genau darin lag dann der hack, mit einer privilegienerhöhung lässt sich einiges machen ( sprich: für einen server doch eher kritisch).

zum anderen: bitte um eine entscheidung.

1, entweder wir reden von noobs, die nie was am rechner machen und jedes popup erstmal schliessen - die haben vielleicht das personal web am laufen aber patchen sicher nie. und wenn ich mich recht erinnere, bietet macos zwar die patches an, quittieren und installieren ( lassen) musst aber immer noch selbst.

diese art user spielt das OS von den datenträgern ein und tut nie wieder was dran (man sieht es bei windows am blaster und bei linux an den privaten webforen, die immer wieder heimgesucht werden)

2, oder wir reden von mündigen usern, die patches einspielen und auf ihren rechner aufpassen. dann ists allerdings egal, unter welcher plattform diese anwender beheimatet sind.

Neo · 08.03.2006, 11:43

Zitat:

Original geschrieben von ingomar
entweder wir reden von noobs, die nie was am rechner machen und jedes popup erstmal schliessen - die haben vielleicht das personal web am laufen aber patchen sicher nie.

Popups sind in Safari standarmäßig deaktiviert.

Zitat:

Original geschrieben von ingomar
und wenn ich mich recht erinnere, bietet macos zwar die patches an, quittieren und installieren ( lassen) musst aber immer noch selbst.

Weis ich jetzt auch nicht mehr ob das standarmäßig aktiviert ist (bild mir ein 1x wöchentlich ist voreingestellt), aber die Softwareaktualisierung kann man durchaus so einstellen, das alles automatisch läuft.

07.03.2006, 12:35	#2
Moose Inventar Registriert seit: 03.10.2000 Alter: 43 Beiträge: 5.083	War schon in mehreren News über die letzten paar Tage verteilt zu lesen und in den Foren drehen die Leute durch. Was haben wir/Sie erwartet? Das MacOS eine uneinnehmbare Bastion ist und bleibt? ____________________________________ -- http://www.cargal.org GnuPG-key-ID: 0xB479D3C4 \"Dumm ist der der Dummes tut\" -Forrest Gump Jabber-ID:moose[AT]cargal[DOT]org

07.03.2006, 12:52	#3
Neo Inventar Registriert seit: 12.12.1999 Beiträge: 3.662	Wollte mit meinem Posting vorallem auf den zweiten Link hinweisen, da dort sehr gut beschrieben ist, warum der erste Test nicht ernstzunehmen ist. Weiters wollte ich mit dem Zitat aufzeigen, das auch der zweite Test, sollte das System gehackt werden, nicht als Hiobsbotschaft für alle Mac User zu werten ist, da fairerweise darauf hingeweisen wird, das ssh und http auf jeder normalen Mac Maschine normalerweise nicht aufgedreht sind. Also - immer schön ruhig bleiben und alles doppelt hinterfragen! http://de.wikipedia.org/wiki/Fear,_U...inty_and_Doubt ____________________________________ "I would buy a Mac today if I was not working at Microsoft." - Jim Allchin, Co-President, Platforms & Services Division, Microsoft Corporation

07.03.2006, 13:48	#4
Moose Inventar Registriert seit: 03.10.2000 Alter: 43 Beiträge: 5.083	Habs bis dato nicht näher verfolgt, werd mir aber heut Abend Zeit dazu nehmen ____________________________________ -- http://www.cargal.org GnuPG-key-ID: 0xB479D3C4 \"Dumm ist der der Dummes tut\" -Forrest Gump Jabber-ID:moose[AT]cargal[DOT]org

08.03.2006, 09:37	#7
ingomar rh 805007434729099 Registriert seit: 03.09.2003 Ort: wien Alter: 55 Beiträge: 710	ich frag mich nur folgendes: personal web sharing ist weit verbreitet, mittlerweile kommt jede knoppix mit dem "starte den webserver-button" daher ; detto sind ssh ( oder auf windowsseite -noch schlimmer-rdp) durchaus nicht wenig verbreitet. wieso also das leugnen, das das nicht unrealistisch war ? mit dem "gegentest" macht sich erst der religiöse charakter bemerkbar, sorry... ich mein, lokale accounts ging ein wenig weit ( wenn auch privilegien zu erhöhen nicht untrivial ist) , aber warum darauf herumreiten das der rest auch unrealistisch ist ? übrigens "unrealistisch" - beim "richtigen" test habens klarerweise noch die apache updates mitgenommen, damits auch schön objektiv bleibt lach wenns keiner verwendet, würde es doch wohl genauso oft gepatcht werden, oder ?

08.03.2006, 10:53	#9
ingomar rh 805007434729099 Registriert seit: 03.09.2003 Ort: wien Alter: 55 Beiträge: 710	ich spreche dem ganzen ( hast du wohl nicht durchlesen) einen religiösen charakter zu, weil auf einen test gleich mal ein gegenbeispiel erfolgt, zusammen mit schlechtmachen der ersten ergebnisse. die möglichkeit, einen lokalen account zu benutzen, ist ein wenig heikel - aber genau darin lag dann der hack, mit einer privilegienerhöhung lässt sich einiges machen ( sprich: für einen server doch eher kritisch). zum anderen: bitte um eine entscheidung. 1, entweder wir reden von noobs, die nie was am rechner machen und jedes popup erstmal schliessen - die haben vielleicht das personal web am laufen aber patchen sicher nie. und wenn ich mich recht erinnere, bietet macos zwar die patches an, quittieren und installieren ( lassen) musst aber immer noch selbst. diese art user spielt das OS von den datenträgern ein und tut nie wieder was dran (man sieht es bei windows am blaster und bei linux an den privaten webforen, die immer wieder heimgesucht werden) 2, oder wir reden von mündigen usern, die patches einspielen und auf ihren rechner aufpassen. dann ists allerdings egal, unter welcher plattform diese anwender beheimatet sind.

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)