Permalink

0

Macs standardmässig ohne sicheren Passwortschutz

von M. Steiger | 05. August 2010

Gelesen im «Law Blog» des deutschen Rechtsanwalts Udo Vetter:

Rechner von Apple können wohl mit einem Passwort versehen werden. Allerdings kann man trotzdem an die gespeicherten Daten gelangen, ohne das Passwort zu kennen. Es genügt, die CD des Betriebssystems einzulegen und den Computer darüber zu starten. Also ein ganz normaler, zulässiger Vorgang.

Auf dem Mac ist das Zurücksetzen von Benutzerkennwörtern besonders komfortabel und auch ein etwaiges Firmware-Passwort bietet nur begrenzten Schutz. Grundsätzlich besteht das Problem aber auf allen Systemen, deren Daten nicht mit einem zusätzlichen Kennwort verschlüsselt wurden.

Ich bitte Sie um eine Bewertung dieses Artikels

Es gibt noch keine Bewertungen

0 Kommentare

  1. Nach der Beschreibung wäre ja so ziemlich jeder Rechner (ohne verschlüsselte Daten) heutzutage ohne sicheren Schutz. Einfach das O/S (kann auch ein anderes als das installierte sein) von CD booten und fröhlich die Daten lesen.

    Bedeutet das im Umkehrschluss, dass man diese Methode jetzt auf jeden Rechner anwenden kann, zu dem man physischen Zugang hat, ohne sich des “Ausspähens von Daten” oder einer anderen Straftat schuldig zu machen?

    • Nach der Beschreibung wäre ja so ziemlich jeder Rechner (ohne verschlüsselte Daten) heutzutage ohne sicheren Schutz. Einfach das O/S (kann auch ein anderes als das installierte sein) von CD booten und fröhlich die Daten lesen.

      Richtig.

      Bedeutet das im Umkehrschluss, dass man diese Methode jetzt auf jeden Rechner anwenden kann, zu dem man physischen Zugang hat, ohne sich des «Ausspähens von Daten» oder einer anderen Straftat schuldig zu machen?

      Grundsätzlich stellt sich die Frage, wie man «besonders gesichert» definiert – mehr dazu findet sich in der einschlägigen juristischen Literatur, per MacMacken-Kommentar ist leider keine Rechtsberatung möglich.

    • Übrigens sind auch Rechner mit Windows-Betriebssystem davor nicht sicher. Mit einer selbstbebauten Boot-CD mit Windows-drauf (“Bart PE”) kann man auch Einblick in die Verzeichnisstruktur der Windows-Festplatte haben, ohne dort angemeldet sein zu müssen. Sofern man an einen Rechner rankommt, kommt man auch recht leicht an die [unverschlüsselten] Daten.

    • Dazu braucht man nicht einmal eine gebastelte Windows-CD. Eine Ununtu-CD reicht da völlig.

    • Dein Weblink zu Heise Online verweist auf einen Artikel zum Thema «GnuPG-Plugin läuft endlich wieder auf Apple Mail» – damit auch andere MacMacken-Leser, worauf Du Dich beziehst. Merci für den Hinweis (dito an @ddeimeke)!

      Ich verwende GnuPG auf dem Mac inzwischen nicht mehr zur Verschlüsselung von E-Mail; das Verwenden von S/MIME ist komfortabler und wird von allen gängigen E-Mail-Anwendungen vergleichsweise komfortabel unterstützt. Wer aber GnuPG auf dem Mac zur E-Mail-Verschlüsselung nutzt, ist ohne Zweifel froh um diese längst fällige Aktualisierung.

  2. Wie sieht es in dem Fall mit FileVault-Schutz aus?

    Ich habe mich ehrlich gesagt noch nicht mit dem Thema Daten Krypto auseinander gesetzt, da ich auch keine sensiblen Daten auf meinem Mac habe. Würde mich aber Interessieren.

    • FileVault ist grundsätzlich sicher, du musst allerdings mit dem z.T. massiven Geschwindigkeitseinbussen rechnen und der Tatsache dass nur dein Homeverzeichnis verschlüsselt wird. Einen Blogeintrag von Macmacken findest du hier.
      Leider setzt Apple bislang noch nicht FDE Hardware ein, dort sind die Geschwindigkeitseinbussen fast nicht bemerkbar, deshalb benutze ich als mobile Geräte auch nur “Thinkpads”.

    • FileVault ist grundsätzlich sicher, du musst allerdings mit dem z.T. massiven Geschwindigkeitseinbussen rechnen und der Tatsache dass nur dein Homeverzeichnis verschlüsselt wird. Einen Blogeintrag von Macmacken findest du hier.

      Merci fürs Verlinken – noch ein MacMacken-Artikel zum Thema findet sich unter http://www.macmacken.com/2007/12/09/10-schwaechen-von-filevault/.

      Hauptnachteil von FileVault ist aus meiner Sicht, dass «Time Machine» keine stündlichen Datensicherungen mehr durchführt.

      Leider setzt Apple bislang noch nicht FDE Hardware ein, dort sind die Geschwindigkeitseinbussen fast nicht bemerkbar, deshalb benutze ich als mobile Geräte auch nur «Thinkpads».

      Ich weiss nicht, ob Apple in der Lage wäre, solche Hardware korrekt zu implementieren … ;)

      Mit PGP WDE in der Mac-Version bin ich zufrieden, dank ausreichend Arbeitsspeicher halten sich die Geschwindigkeitseinbussen inzwischen in Grenzen. Eine Hardwarelösung wäre aber trotzdem erfreulich und eigentlich längst fällig, aber die Prioritäten von Apple liegen offensichtlich anderswo.

  3. FileVault sollte davon nicht betroffen sein, genauso wie PW gesicherte Images (so arbeite ich).

    Das mit den PW zurücksetzen hat mich vor einiger Zeit auch sehr stutzig gemacht, als ich für Bekannte ihren alten MacMini wieder flott machen sollte – keiner kannte jedoch das PW. Tiger CD eingelegt, gestartet, PW zurückgesetzt und schon war ich im System… Sehr sehr schwach von Apple! So hat eigentlich jeder Dieb, der sich ein wenig mit Macs auskennt, meine Daten, Programme usw. und kann mit meinem Gerät munter vor sich her arbeiten.

  4. Das wusste ich schon länger und habe mich selbst auch gefragt wie man das ohne Sicherheitsfrage oder ähnliches einfach so zurücksetzten kann.

  5. unverschlüsselte Daten sind bei physischem Zugang zum Rechner immer auslesbar. Ich finde es trotzdem einen Unterschied, ob man direkt das Passwort zurücksetzen und sich dann normal einloggen kann oder ob man auf anderem Weg auf die Daten der Festplatte zugreifen muss.
    z.B. lassen sich bei Firefox alle gespeicherten Logins inklusive Passwort anzeigen. Geht das auch ohne Login? Ich verwende die Internetbanking software Pecunia. Dieses Programm speichert (optional) alles in einer verschlüsselten Datei. Der Schlüssel dazu ist aus Bequemlichkeit im Schlüsselbund gespeichert. Hier macht es also definitiv einen Unterschied.
    Wirklich sensible Daten sollte man aber auf jeden Fall immer verschlüsselt speichern und das Passwort dazu nur im Kopf behalten.

    • Sobald Du beim Firefox ein Master-Passwort vergibst, sind alle gespeicherten Kennwörter 3DES-verschlüsselt. 3DES sollte für Privatnutzer noch eine ganze Weile ausreichen.

    • Man kann zwar das Passwort eines Accounts zurücksetzen, aber Zugang zum Schlüsselbund des Accounts hat man damit noch nicht, da der Schlüsselbund mit dem “alten” Passwort gesichert wurde. Ich würde empfehlen: 1Password fürs Surfen und sichere Notizen, separate Schlüsselbunde für Mail und andere Spezialaufgaben sowie ein z.B. mit dem Festplattendienstprg. selbst erstelltes verschlüsseltes Disk Image für sehr sensible Daten (Passwort im Kopf). Dann noch eine gute Host basierte Firewall, je nach Geschmack Virusbarrier (wenns einfach sein soll) oder eine, die die eingebaute ipfw nutzt (z.B. WaterRoof). Damit ist man schon mal gut gesichert.
      Als Privatnutzer muß man schon aufpassen, eine angemessene (=praktikable) Balance zwischen Sicherheit und Benutzerfreundlichkeit zu finden. Selbst wer die ganze Festplatte verschlüsselt, kann schließlich zur Herausgabe seines Passworts gezwungen werden (Auch der Trick mit dem versteckten Container wie bei TrueCrypt ist Spezialisten von der Computer Forensic nicht neu, ist für die nur ein wenig schwieriger…). Als Privatanwender interessiert mich vor allem der Schutz (und Zeitvorsprung) bei einem Diebstahl. Sind die Passwörter und sensiblen Daten geschützt, habe ich genug Zeit, neue Passwörter zu setzen und weiteren Schaden zu verhindern. Wenn der Dieb überhaupt am Inhalt des Computers interessiert ist, dann sieht er halt Programme, evt. einige persönliche Bilder, unwichtige Dokumente und kann sich vielleicht einiges über meine Surfgewohnheiten denken. Aber Filevault war mir – wie es hier schon erwähnt wurde – zu wenig komfortabl und zu langsam (Manchmal braucht man die volle Geschwindigkeit!).

      Was die Verschlüsselung der Mails betrifft (wenn man sie denn benötigt): Ich habe mal GPG/GnuPG getestet und war damit ganz zufrieden (Kann es nicht auch S/MIME handhaben?). Ich meine, es gab damals auch einen guten Grund, warum die in Apple Mail eingebaute Verschlüsselung nicht benutzt habe, sondern GnuPG gewählt habe, aber i.M. fällt er mir nicht ein. Aber zum Verschlüsseln gehören eben immer zwei Parteien und 99% der Emailpartner (auch geschäftlich) benutzt keine Verschlüsselung. Die sind sich allerdings wohl bewußt, daß alles, was in Emails geschrieben wird, prinzipiell mitgelesen werden könnte.

    • Vielen Dank für Deinen äusserst lesenswerten Kommentar, den ich in grossen Teilen so unterschreiben kann. Einige Anmerkungen:

      Ich würde empfehlen: 1Password fürs Surfen und sichere Notizen

      Ich verwende KeepassX anstelle von 1Password. Zu 1Password habe ich mindestens zwei Blogartikel veröffentlicht:

      http://www.macmacken.com/2010/02/08/1password-mit-zwang-zur-passwort-merkhilfe/
      http://www.macmacken.com/2010/02/13/1password-mit-klartext-statt-verschluesselung/

      1Password empfehle ich vor allem Benutzern, die etwas weniger erfahren sind, oder unbedingt per Web und auf iOS-Geräten auf ihre gespeicherten Benutzer- und sonstigen vertraulichen Daten zugreifen möchten.

      separate Schlüsselbunde für Mail und andere Spezialaufgaben

      Ein Schlüsselbund genügt aus meiner Sicht – wichtig ist diesbezüglich vor allem, dass man das Passwort für den Schlüsselbund nicht mit dem Benutzerpasswort verknüpft. Mehr zu diesem Thema findet sich unter anderem in meinem Blogartikel über Mac OS X «Snow Leopard»-Sicherheit für Anfänger:

      http://www.macmacken.com/2009/11/24/10-mac-os-x-snow-leopard-sicherheit-fuer-anfaenger/

      Dann noch eine gute Host basierte Firewall, je nach Geschmack Virusbarrier (wenns einfach sein soll) oder eine, die die eingebaute ipfw nutzt (z.B. WaterRoof). Damit ist man schon mal gut gesichert.

      Standardmässig genügt aus meiner Sicht die Mac OS X-Firewall.

      Aber Filevault war mir – wie es hier schon erwähnt wurde – zu wenig komfortabl und zu langsam (Manchmal braucht man die volle Geschwindigkeit!).

      Bei FileVault sehe ich in der allenfalls fehlenden Geschwindigkeit nicht das grösste Problem. Aber man muss auf stündliche Datensicherungen mit «Time Machine» verzichten und ein regelmässiges Backup dürfte für die meisten Benutzer wesentlich wichtiger sein als der Datenschutz bei Diebstahl. Lösungen zur vollständigen Verschlüsselungen wie PGP WDE erlauben glücklicherweise weiterhin die Verwendung von «Time Machine» mit dem vollen Funktionsumfang zur Datensicherung.

      Was die Verschlüsselung der Mails betrifft (wenn man sie denn benötigt): Ich habe mal GPG/GnuPG getestet und war damit ganz zufrieden (Kann es nicht auch S/MIME handhaben?).

      Ich verwende fast nur noch S/MIME. OpenPGP ist kaum verbreitet und funktioniert nicht auf Anhieb, während alle gängigen Desktop-E-Mail-Anwendungen mit S/MIME umgehen können. Im mobilen Bereich und bei Webmail hingegen sieht es leider düster aus … :(

    • Daniel,

      ich sehe das insgesamt genauso wie du. Vielleicht noch einige Anmerkungen, wenn ich darf:

      Standardmässig genügt aus meiner Sicht die Mac OS X-Firewall.

      Ich habe mich vor einiger Zeit mal mit A. Oppenheimer unterhalten, der früher bei Apple gearbeitet hat. Ich zitiere mal kurz aus seinem eBook “Internet Security for Your Macintosh”:

      It’s important to understand the limitations of the firewalls built into Mac OS 10.4 and beyond, so you can determine if you should be using a third-party firewall instead. Here are some of the issues:
      • The firewall in OS 10.5 and later is a radically new implementation, not based on ipfw technology, which is mature and stable. It seems Apple is attempting to simplify the user interface by eliminating the concepts of ports and protocols. In doing so, however, they are potentially opening new, previously unknown security holes.
      • The firewall’s log in OS 10.5 and later can be viewed only in its raw, cryptic (and non-standard) format. The log in OS 10.4 can be viewed in a much more meaningful way with a log file analysis applications like Open Door’s Who’s
      There? Firewall Advisor.
      • The firewall in OS 10.5 and later cannot block access attempts to specific ports or ranges of ports. It can only block access to all ports used by a particular application, so you can’t block some services within an application but not others. iChat, for example, has multiple services on multiple ports. You also can’t block system services you want to limit access to, such as Bonjour or Kerberos.
      • In OS 10.4 and later, when you enable access to a service through the firewall (which often happens automatically when you enable that service through the Sharing Services tab), the firewall makes that service accessible by all machines on your local network and the Internet. In most cases full Internet access is exactly what the firewall should be protecting against.
      • The firewall in OS 10.4 and later is implemented as a Preference panel, placing severe limitations on its ease of use, thus making configuration errors more likely.
      • The firewall’s log in OS 10.4 and later is automatically archived and cleared by the system on a weekly basis. Only a limited number of archived files are retained, making some after-the-fact investigations impossible.
      • The 10.6 firewall log does not always log every access attempt. If you’ve checked “Block all incoming connections” (Figure 12.7), every access attempt is logged, otherwise only allowed access attempts are logged. The latter case would leave you unaware of unsuccessful access attempts to your machine. The log file does include the destination port number (critical for firewall log analysis).
      • The 10.5 firewall logs both allowed and denied connection attempts, but only to services and applications that are active. Most connection attempts in real life are to ports that are not used by an active process, and wouldn’t be logged,
      Page 260
      leaving you unaware of them. Also, the log doesn’t include the destination port number.
      • The 10.4 firewall logs only denied connection attempts. If a connection is permitted or otherwise gets through the firewall, there will be no record of it in the firewall log and there’s a good chance you will never be aware of it in any way.

      Natürlich muß man immer berücksichtigen, daß O. letzendlich auch die Softwareprodukte seiner Firma OpenDoor verkaufen möchte. Doch ich halte die Idee einer 3rd Party Firewall für plausibel. Doch surft man ohne eine solche sicher nicht gleich nackt im Internet.

      OpenPGP ist kaum verbreitet und funktioniert nicht auf Anhieb…

      Na ja… so schwierig ist das ja nun wirklich nicht. GnuPG installieren, GPG-Mail installieren und das Programm “GPG Schlüsselbund”. Dauert 5 Minuten. Mehr Software ist nicht erforderlich. Dann eigenen Schlüssel generieren und öffentliche Keys mit Emailpartnern austauschen. Bei S/MIME müssen schließlich auch Zertifikate installieren und getauscht werden… OpenPGP hat zudem den Vorteil, daß es beliebig viele Unterschriften und UserIDs enthalten kann. Auch ist jeder Schlüssel grundsätzlich durch sich selbst signiert, also mit dem dazugehörigen geheimen Schlüssel unterschrieben (Eigenzertifikat). Außerdem:

      The trusted third parties in S/MIME are both an advantage and disadvantage when we consider the security model. The advantage of the existence of the third party certification server is that individual users are throughly audited by the certifier before their identity is determined. The disadvantage is that you need to trust the third party certification server to do their job.

      (…) Peer-authentication allows users far more control over the security networks they inhabit. For this reason OpenPGP is more practical as a security method for both companies and goverments who need to keep email private.

      Aber hey, es geht mir nicht darum, S/MIME schlecht zu machen. Wenn man alle Infos kennt, ist es letztendlich fast eine Geschmacksfrage. Ich verschlüssele wirklich sehr selten Mails und nutze dann eben OpenPGP.

      Mich würde übrigens wirklich sehr interessieren, welche Art sensibler Daten du auf deiner HD speicherst, die eine Komplett-Verschlüsselung der HD notwendig machen bzw. dich die damit verbundenen Nachteile in Kauf nehmen lassen.

    • Nur ganz schnell vor dem Schlafengehen:

      Du bist ein Geek. Die grosse Mehrheit der Macianer und überhaupt Benutzer sind keine Geeks.

      Man kann ihnen nicht zumuten eine Extra-Firewall zu verwalten. Ausserdem hilft eine Firewall weniger als früher. Viele Angriffe kommen über den Browser und den blockiert man in der Firewall natürlich nicht.

      Und das Prinzip von PGP verstehen sie schlicht und einfach nicht. Ausserdem gibt es keine, wirklich keine benutzerfreundliche PGP-Software für Mac. GPG ist noch ein viel traurigeres Thema. Ausserdem muss man ein Web of Trust aufbauen. Das ist viel zu aufwendig. So sehr ich PGP mag, so sehr ist es im Alltag einfach nicht realistisch zu verwenden.

      SMIME funktioniert, wenn auch mit den beschriebenen Problemen. Aber man sendet einfach das Zertifikat als Attachment mit, fertig. Oder man überlässt die Sache mit den Zertifikaten einem Proxyserver. Diese können meistens auch mit PGP umgehen, falls es dann ein Benutzer möchte. SMIME ist leider teuer. Aber es kommt voran und immer mehr Staaten führen eigene Zertifikate ein, die dann auch vertrauenswürdig sind.

      Martin hat mal geschrieben, wieso er WDE braucht. Ich weiss es nicht mehr genau, hat etwas mit seinem Beruf zu tun.

    • Geek ist ne Beleidigung.

      Geek kann eine Beleidigung sein – ob dem so ist, muss jeder selbst entscheiden … ich fühle mich nicht beleidigt, wenn mich jemand als Geek bezeichnet.

    • Mich würde übrigens wirklich sehr interessieren, welche Art sensibler Daten du auf deiner HD speicherst, die eine Komplett-Verschlüsselung der HD notwendig machen bzw. dich die damit verbundenen Nachteile in Kauf nehmen lassen.

      Hauptgrund sind Daten aus meiner beruflichen Tätigkeit und die damit verbundenen Sorgfaltspflichten. Ich schätze aber auch den Schutz meiner eigenen Daten für den Fall, dass mein MacBook unterwegs gestohlen werden sollte.

  6. das eigentlich schlimme an macs ist:
    es geht auch ohne boot cd.

    man kannte das ja noch von windows xp home, dass man im “abgesicherten modus” auch als “Administrator” rein konnte.
    Beim mac drückt man beim starten command + s und ist admin. will man auch graphischa admin werden, dann ändert man die /etc/sudoers und schon können auch user als root terminal kommandos laufen lassen. Und mit denen legt man dann einen neuen admin account an.

    Schutz davor:
    Firmware Password setzen. Dann kann auch keiner von CD booten, es sei denn er hat das passwort.

    Hack dafür: einen ram-riegel ausbauen und pram reset machen.

    Ergo-> jeder computer ist mit direktem zugang knackbar. windows mit cd, macs leider auch ohne cd.
    Firmware passwort schützt vor beiden attacken “von außen”. öffnet man das ding ist eh alles möglich.

    FileVault macht zwar alles schön langsam, aber man kann es nicht knacken. selbst bei passwort resets aller art: hat man das master-filevault passwort nicht, kommt man nicht an die daten ran. :)

    • Ergo-> jeder computer ist mit direktem zugang knackbar. windows mit cd, macs leider auch ohne cd.
      Firmware passwort schützt vor beiden attacken «von außen». öffnet man das ding ist eh alles möglich.

      Kann ich so nicht ganz stehen lassen, an einem aktuellen und sicheren eingerichteten Computer wirst du sicherlich auch durch physischen Zugang nicht an die Daten und an ein nutzbares Gerät kommen.
      Dann mal eine kleine Beschreibung wie es hier auf einigen Notebooks welche kritische Daten enthalten eingerichtet ist:

      – Die erste Hürde stellt das Bootpasswort zum Gerät dar, zwar relativ einfach zu umgehen aber das ist bewusst so gewählt.
      – Die zweite Hürde stellt das Festplattenpasswort dar, wir benutzen Thinkpadgeräte die Hardwareverschlüsselung unterstützen -> Ohne dieses Passwort ist es nicht möglich an Daten von der Festplatte zu gelangen.

      Wenn das Gerät trotzdem entwendet wird gibt es für uns als kleines Gimmick noch einige Möglichkeiten:
      – Wir können das Gerät per SMS (SIM Karte ist eingebaut) komplett bricken.
      – Wir können den TPM Chip löschen.
      – Wir können die Festplatte per SMS komplett überschreiben lassen. (Was dank des TPM Chips eigentlich unnötig ist…)
      – Wir können uns über den eingebauten GPS Sender die Position übermitteln lassen.
      Das ganze lässt sich relativ einfach überComputrace regeln :)

      Dem mitdenkenden Leser wird aufgefallen sein dass die oben genannten Punkte allesamt nur funktionieren wenn die SIM Karte noch nicht ausgebaut wurde – aber selbst für diesen Fall steht ein “Notfallplan” bereit:
      – Sobald ein Rechner sich nicht innerhalb einer definierten Zeitperiode beim Server meldet wird es gebrickt und die TPM Daten etc. gelöscht :)

      Das ganze nennt sich “Intel Anti-Theft” und ist für Notebooks die auch “kritischere” Daten enthalten ein absolutes muss.

    • Korrekt, die genannte Lösung ist auf dem Mac nicht möglich, eine schwache Leistung von Apple die auch aufzeigt dass der Businessbereich keine Keyaccounts sind.
      In allen anderen gänigen Businessnoteboks sind solche Lösungen allerdings verfügbar. Ein Blick auf die aktuellen Thinkpads, Inspirons oder Vostros reicht dafür aus…

Hinterlasse eine Antwort

Pflichtfelder sind mit * markiert.