10 replies to this topic

[h4ze]

http://projects.info-pull.com/moab/

[P. Stylez]

Oh ja, der liebgewonnene MoAB...

Einerseits muss ich sagen, dass ich die Aktion ziemlich cool finde, denn jedes Betriebssystem hat so seine Macken und EIGENTLICH hilft es Apple dabei das Mac OS X noch sicherer zu machen. Was ich allerdings sehr fraglich finde ist die Art und Weise wie viele Bugs präsentiert werden. Der ominöse LMH hat sich mittlerweile als gnadenlose Attention Whore geoutet, denn nur wenige von den vorgstellten Bugs sind wirklich kritisch.

Zu den fraglichen Bugs gehören:

- Bugs innerhalb von 3rd Party Software (Was hat Apple damit am Hut?)

- Bugs, die voraussetzen, dass ein normaler User mit Adminrechten arbeitet (das ist *ungefähr* damit vergleichbar, dass ich unter Unix/Linux/BSD ständig als root eingeloggt bin)

- Bugs rund um das DMG UFS (4 oder 5 Stück), die bereits im Rahmen des MoKB schon mal released wurden mit den dazugehörigen...

- ...Exploits, die höchstens eine Kernel Panic hervorrufen und bei denen nicht bewiesen werden konnte, dass die Ausführung von Schadcode möglich ist ("could be possible...")

- Bugs, die nur auf Windows- und Linuxsystemen reproduziert werden können (no comment)

- Bugs rund um obsolete Software / Protokolle wie z.B. AppleTalk, das noch ein Überbleibsel aus Mac OS9 Tagen ist und sowieso standardmäßig deaktiviert ist


Ich bin mal gespannt auf den Rest des Monats...
Wenn Mr. LMH nicht noch ein paar Knaller raushaut, könnte sich das für ihn in eine Lachnummer umkehren.


Prinzipiell bliebt zu sagen, dass wenn man einige grundlegenden Prinzipien beherzigt (Standard-User Adminrechte entziehzen und einen seperaten User für die administrativen Aufgaben anlegen) ist man zu 99% auf der sicheren Seite

[Gerd]

Prinzipiell bliebt zu sagen, dass wenn man einige grundlegenden Prinzipien beherzigt (Standard-User Adminrechte entziehzen und einen seperaten User für die administrativen Aufgaben anlegen) ist man zu 99% auf der sicheren Seite /public/style_emoticons/default/wink.gif...

Wie bei fast jedem System - das Problem sind halt zu 90 % die User

@Topic: Apple Software enthält genau soviel Schrott Code wie die von seinem großen Bruder - wieso sollte es anders sein? Auch da coden nur Menschen Um so mehr Verbreitung die neue Hype-Marke halt erfährt um so mehr Bugs und Sicherheitslücken werden auch bekannt!

[P. Stylez]

Prinzipiell bliebt zu sagen, dass wenn man einige grundlegenden Prinzipien beherzigt (Standard-User Adminrechte entziehzen und einen seperaten User für die administrativen Aufgaben anlegen) ist man zu 99% auf der sicheren Seite /public/style_emoticons/default/wink.gif...

Wie bei fast jedem System - das Problem sind halt zu 90 % die User /public/style_emoticons/default/lol.gif...

@Topic: Apple Software enthält genau soviel Schrott Code wie die von seinem großen Bruder - wieso sollte es anders sein? Auch da coden nur Menschen /public/style_emoticons/default/d.gif... Um so mehr Verbreitung die neue Hype-Marke halt erfährt um so mehr Bugs und Sicherheitslücken werden auch bekannt!

Naja... so'n bißchen anderer Meinung bin ich da schon.
Ich halte OS X mit dem BSD-Unterbau schon weitaus sicherer als Windows.

Man hat dort drei Sicherheitsinstanzen:
- normaler User
- Admin
- root

Der Mac OS X Standarduser ist per Default ein Admin (was natürlich eher suboptimal ist). Er darf zwar administrative Aufgaben erledigen, aber hat keine Schreibrechte in Verzeichnisse wie /etc, /usr und andere systemkritische Bereiche. Allerdings kann er durch sogenannte "Credentials" zeitweise Zugriff auf andere OS X spezifische Bereiche wie /Applications (Programme) oder /Library (Konfigurationsdateien, Frameworks etc.) erlangen. Dazu wird ein Credential ausgestellt, das mit einem Timeout (z.B. 300 Sek.) versehen wird, d.h. ein Zeitfenster, für das der Admin zum root wird, ohne dass die Eingabe eines PW verlangt wird.
Einige der MoAB Issues nutzen dies aus und greifen zusätzlich auf eine Schwachstelle im 'diskutil' Tool (Reparation von Dateirechten) zurück, indem z.B. irgendwelche BOM (Bill of materials) Files erstellt und in /Library gespeichert werden, welche dann von diskutil herangezogen werden, um Dateirechte zu manipulieren.

Aber wie gesagt - das ist in etwa vergleichbar damit, dass ich mich in Linux als root einlogge und dann irgendwelche zweifelhaften Scripts ausführe, von denen ich nicht weiss, was sie tun.


Ich stimme Dir allerdings zu, dass OS X durch seine wachsende Beliebtheit immer mehr ins Focus von Hackern rückt... Der MoAB dürfte da nur der Anfang sein, aber jetzt liegts halt an Apple zu beweisen, dass sie sich von Microsoft abzuheben wissen, indem sie das Fixing von Sicherheitslücken nicht unnötig lang vor sich herschieben (Stichwort: Patchday).

Allerdings sind ja schon einige nette Details zum Leopard (10.5) durchgesickert, die sich um ein erweitertes Rechtemanagement drehen und somit mehr Sicherheit versprechen als das alte.

[Gerd]

Ich höre immer "sicher"! Sicher ist in der IT nur eins, nämlich dass eben nichts sicher ist!

Ich kann nur aus meiner Erfahrung sprechen, das Problem sind zu 90 % nicht die Systeme sondern die User. Jemand der sein eingesetztes System (welches auch immer) einzurichten, handhaben und zu pflegen weiß, der sollte mit der Sicherheit wohl die geringsten Probleme haben!

Zu Apple ansich kann ich derzeit leider nichts positives sagen, seitdem sie mit dem I-Pod seit 350 Jahren endlich mal Geld verdient haben sind sie leider auf den Geschmack gekommen und seit dem bin ich kein Freund mehr deren Firmenpolitik. Aber das is nen anderes Thema und gehört hier net hin

[P. Stylez]

Bislang bleibt der Month of Apple Bugs hinter den Erwartungen zurück. Zwar zeigt der MOAB, dass auch Software von und für Apple nicht fehlerfrei ist, allerdings fehlt bislang eine kritische Sicherheitslücke in Apples Betriebssystem, die für eine Vielzahl von Rechnern eine Bedrohung darstellen könnte. Widerwärtiges Detail am Rande: Wer versucht, auf eine URL eines noch kommenden MOAB-Fehlerberichtes zuzugreifen, bekommt eine Seite mit zahlreichen, äußerst geschmacklosen Pornobildern zu sehen. Zudem versucht die Seite, einen möglicherweise installierten IRC-Client zu öffnen und in einem Mac-Entwickler-Channel anzumelden. Darüber hinaus öffnen sich zahlreiche Mail-Fenster, die als Adressaten Rosyna Keller enthalten, eines der Mitglieder der MOAB-Fix-Gruppe und Mitentwicklerin des Application Enhancers (APE).



Die Initiatoren des MOAB, LMH und Kevin Finisterre dürften damit weiterhin Kritikern in die Hände arbeiten, die ihnen kindisches Verhalten vorwerfen. Die Veröffentlichung der Fehler diene demnach ohnehin nur der eigenen Profilsucht und weniger dem Anliegen, auf Sicherheitsprobleme aufmerksam zu machen, wie es etwa H. D. Moore noch mit seinem Month of Browser Bugs tat. Andere Entwickler, die versuchten die Probleme zu lösen, würden angegriffen oder lächerlich gemacht

Quelle: http://www.heise.de/...s/meldung/83949

[axis]

oh ein p style (linux) vs staatsfeind (windows) thread

[Gerd]

oh ein p style (linux) vs staatsfeind (windows) thread /public/style_emoticons/default/popcorn....


/public/style_emoticons/default/d.gif...

hau ab

@topic: naja, so is das halt wenn man mehr in den fokus der öffentlichkeit gerät. andere firmen kämpfen mit diesen problemem schon seit jahren

[Bine]

oh ein p style (linux) vs staatsfeind (windows) thread /public/style_emoticons/default/popcorn....


/public/style_emoticons/default/d.gif...

Du weißt schon, dass es hier um Mac geht

Mac != Linux

[axis]

ich kann schon lesen...

ums detail gings bei meiner aussage auch nicht

so und nun raus axis wenn du zum thread nix zu sagen hast

[P. Stylez]

oh ein p style (linux) vs staatsfeind (windows) thread /public/style_emoticons/default/popcorn....


/public/style_emoticons/default/d.gif...

Du weißt schon, dass es hier um Mac geht /public/style_emoticons/default/question...

Mac != Linux /public/style_emoticons/default/hello.gi...

Erstens das und zweitens, warum "vs."?

Der Gerd hat Recht, mit dem was er sagt.
Sobald eine Softwarefirma mehr in den Focus der Öffentlichkeit rückt, interessieren sich immer mehr Leute für Schwachstellen und Sicherheitslücken.
Kein Betriebssystem ist 100% wasserdicht, nicht mal Linux (Stichwort Rootkit).

Aber trotzdem:
Der MoAB ist bisher ein Schuss in den Ofen.
Der ganze Wind, der im Vorfeld seitens der beiden "Hacker" gemacht wurde verwandelt sich momentan immer mehr in einen lauwarmen Furz.