[I]n der vergangene Woche habe ich mich einmal mit meinem neuen MBP (mit Lion 10.7) beschäftigt und bin durch Zufall auf eine Sicherheitslücke gestoßen – Resultat:

Freigabe der gesamten Macintosh-Platte im Netzwerk! Soll ja eigentlich gar nicht möglich sein!

Vorgehensweise:

1. Benutzer m. admin-Rechten angelegt (“Vorname Nachname”, Account wie vorgegeben “vornamenachname” übernommen), Freigabe via SMB erteilt
2. Benutzer gelöscht, aber User-Daten behalten
3. per root-Zugriff den Ordner auf anderen Namen (nur Vorname) umbenannt
4. Benutzer gleichen Namens wie bei 1), aber mit diesem neuen Accountnamen (nur Vorname) angelegt und Freigaben w.o. erteilt
5. Freigabe sieht jetzt wie folgt aus: Der Ordner namens “‘Vorname Nachname’s Öffentlicher Ordner” zeigt das Finder-Logo (!) und im rechten Feld einen Hinweistext, der Ordner “Öffentlich” wurde händisch via Informationen freigegeben und zeigt korrekt “/Users//Public” & rechts die Zugriffsrechte an.

Der Netzzugriff von XP eröffnet nun sagenhafte Möglichkeiten: s. PDF (Klarnamen sind gepixelt) […].

Vllt. kann das ja jemand reproduzieren? Anscheinend werden unter dem neu implementierten appleeigenen Samba-Clon SMBX (ist in heterogenen Netzwerken übrigens eine Zumutung!) im System hinterlegten Freigaben auf dem alten Namen belassen und nicht geändert.

Für andere Anwendungen und Verwendungen – beispielsweise die Kalender-Synchronisation auf dem iPhone – muss man so genannt anwendungsspezifische Passwörter generieren lassen und auf die Sicherheit von 2-Faktor-Authentifizierung verzichten:

Solche Passwörter bestehen aus 16 Kleinbuchstaben, im obigen Beispiel lautet das generierte Passwort «wgxoaqbasvbkfjlu». Ist ein solches Passwort sicher genug? In jedem Fall wünschte ich mir, ich könnte optional eigene Passwörter generieren.

«Anwendungsspezifisch» sind diese Passwörter übrigens nicht. Es handelt sich schlicht um von Google generierte Passwörter, denen man eine Bezeichnung verleiht. Man kann aber problemlos ein solches Passwort für alle Anwendungen nutzen. Sinnvoll ist aber zumindest, pro Gerät ein Passwort zu generieren – geht das Gerät verloren, kann man das Passwort dann sperren.

iCloud sichert Ihre Inhalte, indem sie verschlüsselt über das Internet gesendet, in verschlüsseltem Format gesichert und sichere Token zur Authentifizierung verwendet werden.

Nicht verschlüsselt gesichert werden allerdings unter anderem E-Mail und Notizen.

Weitere Informationen zur Sicherheit von iCloud wären wünschenswert, auch mit Blick auf den berühmt-berüchtigten laschen Umgang von Apple mit Sicherheitsfragen. Als aktuelles Beispiel sorgt gerade die Magnet-Sicherheitslücke im iPad 2 für Schlagzeilen …

Nach intensiven Protesten durch verärgerte Apple-Nutzer ist der Bundestrojaner ab demnächst endlich auch für Mac-Computer verfügbar. Der Bundestrojanerbeauftragte beteuerte, die App bereits zur Prüfung an den Appstore übermittelt zu haben. Dort werde überprüft, ob ggf. Urheberrechte verletzt würden oder unzulässige Worte wie “Fuck”, “Bitch” oder “Android” im Quelltext der Anwendung vorkämen. Die zuständigen Stellen der Ermittlungsbehörden erklärten, das erfahrene Entwicklerteam “h4xx0rz 1337″ – auf deren Seite bundeswarez.ru man die Software recht preisgünstig habe erwerben können – habe hoch und heilig versprochen, sich an alle im Chat vereinbarten Regeln gehalten zu haben.

Via saschalobo.com – mehr zum ernsten Hintergrund findet sich beim Chaos Computer Club (CCC).

Ich frage mich allerdings, ob für den Mac angesichts von gravierenden Sicherheitslücken, wie sie regelmässig bekannt, aber nicht innert nützlicher Frist behoben werden, überhaupt ein Mac-Bundestrojaner notwendig ist … :roll:

Bei Tarsnap hingegen ist der Quelltext verfügbar und dank entsprechender Prämien besteht Anreiz zur Suche nach Fehlern im Tarsnap-Quelltext. Entwickler Colin Percival zog kürzlich eine diesbezügliche Bilanz:

So what does $1265 of bugs look like? A handful of serious bugs, and a handful more which are serious but sufficiently obscure that they would likely have gone for years without causing problems; sixty places where code was wrong but in ways which simply didn’t matter; and well over a hundred things which were wrong yet didn’t actually affect the compiled code.

But most importantly, $1265 of bugs gives me the peace of mind of knowing that I’m not the only person who has looked at the Tarsnap code, and if there are more critical bugs like the security bug I fixed in January, they’ve escaped more than just my eyeballs. Worth the money? Every penny.

Schade, dass die oben erwähnten Cloud-Backup-Anbieter auf Werbeversprechen anstelle von nachprüfbarer Sicherheit setzen …

(Genauso schade ist allerdings, dass Tarsnap bislang nicht über eine grafische Benutzeroberfläche verfügbar. Für die meisten Mac OS X-Benutzer dürfte Tarsnap ohne eine solche Benutzeroberfläche nicht in Frage kommen.)

Ein Fehler im Modul zur Authentifizierung via (Open)LDAP führt unter Mac OS X 10.7.x dazu, dass sich zur Anmeldung beliebige Passwörter angeben lassen – es genügt die Angabe eines gültigen Benutzernamens. Betroffen sind sowohl der grafische Login auf Clients als auch die Anmeldung über das Netz per SSH auf Servern.

Die Sicherheitslücke erinnert an Dropbox, wo kürzlich ebenfalls beliebige Passwörter akzeptiert wurden.

AVM hat in der Nacht auf Dienstag ein Firmware-Update auf die Version 84.05.05 für das Fritzbox-Modell Fon WLAN 7390 bereitgestellt. Es bringt nicht nur neue Funktionen wie einen sicheren DECT-Repeater und Erweiterungen wie Dual Stack Lite für vollständige IPv6-Unterstützung, sondern schließt auch ein kleines Loch in der Browser-Konfiguration. […]

… berichtete «Heise Security» Mitte dieser Woche. Leider weiss meine eigene Fritz!Box Fon WLAN 7390^* noch nichts von dieser Sicherheitsaktualisierung und findet keine neuere Firmware-Version als die installierte Version 84.04.88:

Partner-Weblinks bei MacMacken sind mit ^* gekennzeichnet.

Ich nutze die MacMacken-Sommerpause unter anderem um Software zum Synchronisieren von Macs auszuprobieren. In den letzten Wochen nutzte ich Wuala intensiv, nun probiere ich SpiderOak aus. SpiderOak verspricht wie Wuala ein hohes Mass an Sicherheit durch lokale Verschlüsselung, basiert aber nicht auf Java und läuft diskret im Hintergrund – leider vorläufig noch ohne Unterstützung aller Mac-Metadaten.

SpiderOak bietet kostenlos und standardmässig 2 GB verfügbaren Speicher. Wer SpiderOak selbst ausprobieren und ein zusätzliches GB Speicherplatz erhalten möchte, kann sich über folgenden kostenlos und unverbindlich Weblink anmelden – ich erhalte dann ebenfalls ein zusätzliches GB Speicherplatz:

https://spideroak.com/download/referral/0922a5b9bc5162a0597c4b141bfc23c7

+5 GB Speicherplatz für bestehende SpiderOak-Benutzer

Wer als Benutzer bei SpiderOak angemeldet ist, erhält mit dem Promocode «worldbackupday» weitere 5 GB Speicherplatz (in der Anwendung unten in der «Storage Bar» auf «BUY MORE SPACE» klicken und danach beim «Kauf» den obigen Promocode eingeben).

Spartipp

Wer SpiderOak kostenpflichtig nutzen möchte – so weit bin ich noch nicht! – bezahlt mit dem Promocode «safetyfirst» für 100 GB SpiderOak-Speicherplatz pro Jahr nur 80 statt 100 Dollar (momentan rund 56 Euro) und mit dem Promocode «spring» sogar nur 75 statt 100 Dollar (momentan rund 52 Euro) – Letzterer Tipp stammt freundlicherweise von MacMacken-Leser Nico per E-Mail mit Hinweis auf sein Weblog.

Epicreal Team stellte mir unverbindlich eine kostenlose Lizenz zum Ausprobieren von ePic zur Verfügung.

Der Schweizer Evernote-Konkurrent Memonic geht gemeinsam mit «COMPUTER BILD» in die Offensive:

Herzstück der Kampagne ist eine Co-Promo mit der deutschen Computer Bild. Leser der morgen, am 4. Juni, am Kiosk liegenden Ausgabe erhalten einen lebenslangen Memonic-Account für 3,33 Euro. Der Deal kommt mit editorialer Begleitung im Heft und online, Memonic wird auf der Titelseite vertreten sein. Das reichenweitenstarke Magazin dürfte dem Online-Notizbuch einen markanten User-Pickup bescheren. […]

Nutzungsbedingungen

Grund genug für einen Blick auf die Mac-Version von Memonic zu werfen. Beim ersten Start von Memonic erscheint der so genannte «Titanium Installer», der darum bittet, die Nutzungsbedingungen genau zu lesen (Memonic wird mit dem gleichnamigen Framewerk entwickelt):

Mit gutem Grund, denn die Nutzungsbedingungen sind zwar erfreulich knapp behalten, beinhalten aber mindestens zwei Überraschungen (jeweils mit Hervorhebungen durch mich):

Communication over the Application which are accessible by the public at large (for example, with a web form) is made unencrypted over the Internet and may be read with simple technical means by third persons, and are clearly related not only to the sender but also to the recipient. The same applies to the delivery of an Email to the Service Provider. It is therefore strongly inadvisable to communicate confidential information to the Service Provider or to third parties over the Application or by Email.

Wieso nutzt Memonic keine verschlüsselten Verbindungen um die Privatsphäre der Memonic-Benutzer zu gewährleisten?

You grant to the Service Provider free of charge a non-exclusive, worldwide, and irrevocable right for commercial use and utilization in an anonymous form of the data submitted by you to the Service Provider in the context of this Application.

Wozu möchte Memonic die «anonymen» Daten der Memomic-Benutzer kommerziell nutzen und wie soll die anspruchsvolle (häufig unmögliche) Anonymisierung gewährleistet werden?

Beide Bestimmungen aus den Nutzungsbedingungen laden nicht dazu ein, Memonic auszuprobieren. Und ja, zumindest der Web-Zugriff auf Memonic erfolgt tatsächlich unverschlüsselt:

Auch noch aufgefallen ist mir, dass Memonic neue Notizen nicht zeitnah synchronisiert:

Fazit

Wieso gibt es immer noch Cloud-Dienste, die ihren Benutzern unverschlüsselte Verbindungen zumuten? Auch mit Verschüsselung gibt es noch genügend Potenzial für Sicherheitslücken …

Aber wie immer gilt: Selbst ausprobieren! Memonic ist für alle gängigen Plattformen und Systeme kostenlos erhältlich und kann entsprechend in aller Ausführlich ausprobiert werden.

Am Wochenende hat ein Partnerunternehmen von Skype die Auto-Update-Funktion der VoIP-Software genutzt, um ein Programm auf dem System zu installieren – und das auch gegen den ausdrücklichen Willen des Anwenders. Der Anbieter EasyBits ist seit 2006 für Onlinespiele auf der Skype-Plattform verantwortlich. […[

Zwar konnten die Nutzer die Installation auch abbrechen – installiert wurde das Programm aber trotzdem. Das unerwünschte Programm, das einen eigenen Programmordner anlegte, erwies sich auch bei der Deinstallation als hartnäckig. […]

(Via Heise Online, die Mac-Version von Skype war wohl nicht betroffen.)

Heise-Autor Tobias Engler hat sich Anfang 2011 einige Artikel bezüglich Sicherheit von OS X in der c’t, der Mac&i und online geleistet […]. Der grundlegende Fehler, den Tobias begeht, ist, die wirklich wichtigen Sicherheitsaspekte außer acht zu lassen und sich nur mit ein paar unwichtigen Randerscheinungen zu beschäftigen. […] Seine Artikel über die von ihm überbewerteten Sicherheits-Beilagen enthalten darüber hinaus auch noch diverse sachliche Fehler, die entweder auf schlampiger Recherche oder purer Unkenntnis des Systems beruhen – oder beidem. Erschreckenderweise gilt das zum Teil auch für die interviewten Hacker.

Tobias schließt in bester Switcher-Manier von dem anders funktionierendem Windows auf OS X. Er rätselt, warum das gesund entworfene OS X ohne die Krücken überleben kann, auf die ein architekturmäßig verbocktes Windows angewiesen ist. Er tut das in einer Weise, wie ein Longhorn sich darüber wundern würde, daß Leoparden und Löwen weder Gras noch Klee fressen müssen, um zu überleben.

In den folgenden Abschnitten schreibe ich über reale und vorgetäuschte Sicherheit. Anschließend durchleuchte ich vor diesem Hintergrund die verschiedenen Heise-Artikel. Bei dort wiederholt gemachten Fehlern kann ich dann auf diese Absätze verweisen ohne alles mehrfach schreiben zu müssen.

[…] Der Sicherheitsexperte Joshua Long weist in einem Blog-Eintrag nun darauf hin, dass sich Apple offenbar zu viel Zeit lässt mit dem Nachpflegen von Updates. Opera-Anwender, die den alternativen Browser über den Mac App Store geladen haben, haben deswegen möglicherweise ein Sicherheitsproblem.

Opera ist im Mac App Store mit Version 11.01 gelistet, das entspricht dem Stand vom 27. Januar 2011. Wer sich über diesen Weg den Browser besorgt hat, verpasste am 12. April die Version 11.10 mit einigen neuen Features und Verbesserungen, aber auch die vorgestern veröffentlichte Version 11.11 mit Beseitigung einer kritischen Schwachstelle: Präparierte Webseiten könnten eine Schwäche in Opera bei der Behandlung von Framesets ausnutzen und Schadcode ausführen. Nach Longs Aussage erstreckt sich dieses Problem auch auf die Version 11.01 im Mac App Store.

(Via Heise Online und «The Joshmeister on Security».)

Viel Hilfe dürfen sich die Scareware-Opfer von Apple allerdings nicht erhoffen: Wie aus einem … apple-internen Dokument hervorgeht, dürfen Apples Supportmitarbeiter weder bestätigen noch dementieren, dass der Mac mit der Schadsoftware infiziert ist. Auch Hilfestellung beim Entfernen des Schädlings hat Apple seinen Mitarbeitern ausdrücklich untersagt.

(Gelesen bei Heise Online.)

Internally, Apple’s [IT] department mandates the use of Norton Antivirus on company machines.”

Auf der eigenen Website hingegen betont Apple, Mac OS X benötige keine Antivirus-Software:

PC-Viren sind für Mac OS X kein Thema und die integrierten Sicherheitsmechanismen schützen vor Malware – ohne ständige Warnmeldungen. […] Mac OS X bietet ein mehrschichtiges System von Mechanismen zum Schutz vor Viren und anderer bösartiger Malware, ohne dass du etwas dazu tun musst. […]

Erst wenn man ganz nach unten scrollt, entdeckt man folgenden Hinweis:

Der Mac ist mit integrierten Technologien ausgestattet, die das System vor bösartiger Software und Sicherheitsbedrohungen schützen – direkt nach dem Auspacken. Da jedoch kein System zu 100 Prozent immun gegen jede Bedrohung ist, kann Antivirensoftware zusätzlichen Schutz bieten.

In seiner Beschwerde verweist Soghoian unter anderem auf die Dropbox-Konkurrenten SpiderOak und Wuala:

Dropbox’s use and storage of encryption keys does not follow best practices for the “cloud” backup industry. Several competing services, such as SpiderOak and Wuala, encrypt users’ data, by default, with a key only known to each user. These competing companies do not have the ability to access their customers’ unencrypted data.

Leider unterstützen beide Dienste bislang keine Mac OS X-Metadaten wie beispielsweise Farbmarkierungen im «Finder». Mit solcher Metadaten-Unterstützung wären SpiderOak und Wuala valable Dropbox-Konkurrenten auf dem Mac.

(Via TidBITS.)

Auf unserem PC können wir Apps noch einigermassen kontrollieren. Aber Smartphone-Apps schränken die Handlungsmöglichkeiten der Nutzer viel stärker ein, weil sie tief ins Handy-Betriebssystem eingreifen. Gehen Sie, wenn immer möglich, Apps aus dem Weg.

Die Dropbox-Entwickler haben das experimentelle Update 1.2.0 für Windows, Mac OS X und Linux zum Testen bereitgestellt, das das kürzlich gemeldete Sicherheitsproblem beseitigen soll. […]

Darüber hinaus führt die Version 1.2.0 ein neues, verschlüsseltes Format für die lokal verwendete SQLite-Datenbank ein, um den unberechtigten Zugriff auf Inhalte zu verwehren. Leider führt das nach Angaben der Entwickler dazu, dass einige Anwendungen mit Dropbox-Unterstützung nicht mehr funktionieren. Konkret sind unter anderem 1Password und KFilebox betroffen.

(Via «Apfelkraft» und Heise Online.)

Nachtrag

MacMacken-Leser Rafael beantwortet die Frage abschlägig:

Das betrifft nur Neuinstallationen von 1Password nachdem die neue Beta von Dropbox bereits installiert wurde.

[F]ür mich gewinnt das Konzept von Wuala gegenüber Dropbox, aber im Komfort verliert es.

Ich mag Wuala aufgrund der integrierten Verschlüsselung, aber Dropbox hat in Sachen Benutzerfreundlichkeit ohne Zweifel die Nase deutlich vorn. Schade, dass Wuala trotz LaCie im Rücken bislang keine sichtbaren Verbesserungen in diesem Bereich erzielen konnte …

Trotz UMTS und LTE ist GSM immer noch der in weiten Teilen der Welt dominierende Standard im Mobilfunkbereich – und wird diese Rolle auch so schnell nicht abgebeben. Die GSM zugrunde liegenden Kryptografie-Standards sind über 20 Jahre alt und wurden in den letzten Jahren Stück für Stück zerlegt, analysiert und auch weitgehend geknackt. Dabei ist nicht nur die Privatsphäre der Nutzer bedroht: die gesamte Infrastruktur kann durch Protokollfehler und gezielte Attacken in Geiselhaft genommen werden, so dass systemkritische, auf GSM basierende Dienste, in Gefahr sind. Aber auch die Telefone selbst sind in Gefahr, da dort unbemerkt Software installiert werden kann. […]

Download: Direkt als MP3-Datei / via BitTorrent.

«Deine Dateien sind sicher aufbewahrt» – so werden Bedenken von Dropbox-Benutzern ^{(Referral-Link)} im Bezug auf die Sicherheit ihrer bei Dropbox gespeicherten Daten duzenderweise beruhigt. Auf der gleichen «Features»-Seite und auch anderswo bewirbt Dropbox die Verschlüsselung beim Übertragen und Speichern aller Daten und behauptet darüber hinaus:

Dropbox-Mitarbeiter haben keinen Zugriff auf Benutzerdateien.

Diese Behauptung ist falsch, wie ein Blick in die englischsprachige «Privacy Policy» von Dropbox zeigt:

If we provide your Dropbox files to a law enforcement agency as set forth above, we will remove Dropbox’s encryption from the files before providing them to law enforcement.

Dropbox stellt Strafverfolgungsbehörden demnach nicht nur Daten von Dropbox-Benutzern zur Verfügung, sondern entschlüsselt diese dabei auch — und wer, wenn nicht Dropbox-Mitarbeiter, haben dabei Zugriff auf Benutzerdateien?

In der deutschen Version der «Privacy Policy« fehlt diese Information übrigens bislang, nachfolgend der entsprechend Abschnitt «Beachtung der Gesetze und Strafverfolgung» beziehungsweise «Compliance with Laws and Law Enforcement Requests; Protection of Dropbox’s Rights» im Vergleich (mit Hervorhebung in der englischsprachigen Version):

Dropbox arbeitet mit der Regierung und den Behörden sowie privaten Entitäten zusammen, um die Gesetze einzuhalten. Wir werden nach unserem eigenen Ermessen dies im Verlauf von rechtlichen Ansprüchen oder Verfahren (einschl. aber nicht begrenzt auf Vorladungen) Information über Sie der Regierung oder den Strafverfolgungsbehörden bekannt geben, um die Rechte von Dropbox oder Dritten zu schützen, die Sicherheit der Öffentlichkeit oder von Personen zu wahren oder um Aktivitäten zu stoppen oder vorzubeugen, von denen wir meinen, dass Sie illegal, unethisch, unangemessen oder rechtlich fragwürdig sein könnten.

We may disclose to parties outside Dropbox files stored in your Dropbox and information about you that we collect when we have a good faith belief that disclosure is reasonably necessary to (a) comply with a law, regulation or compulsory legal request; (b) protect the safety of any person from death or serious bodily injury; (c) prevent fraud or abuse of Dropbox or its users; or (d) to protect Dropbox’s property rights. If we provide your Dropbox files to a law enforcement agency as set forth above, we will remove Dropbox’s encryption from the files before providing them to law enforcement. However, Dropbox will not be able to decrypt any files that you encrypted prior to storing them on Dropbox.

Dropbox-Sicherheit bleibt Benutzersache, denn «Verschlüsselung» à la Dropbox ist letztlich Schlangenöl — und Cloud-Speicherdienste mit integrierter lokaler Verschlüsselung bleiben rar. Unter den gängigen Cloud-Speicherdiensten ist Wuala der einzige mir bekannte, der Daten lokal und vor der Datenübertragung verschlüsselt. Gibt es allenfalls noch andere solche Anbieter?

[…] Bei Untersuchungen des Windows-Clients stieß Newton auf eine schwerwiegende Sicherheitslücke, die die Handhabung der Zugangsdaten des Dropbox-Accounts betrifft. Diese Daten muss man nur einmal während der Installation eingeben; sie werden dann in der Datei config.db auf der lokalen Festplatte im Verzeichnis %APPDATA%\Dropbox gespeichert. Laut Newton ist die Datei nicht an das System gebunden und lässt sich folglich auf jedes andere System übertragen. Ein Trojaner könnte also die config.db an sich reißen und sich Zugang zu den in Dropbox gespeicherten Dateien verschaffen. Diese Zugriffe seien nicht als zusätzliche Geräte zu erkennen, da dieses neue, unberechtigte System als das ursprüngliche Gerät erscheint. Ein Ändern des Passworts durch den ursprünglichen Nutzer habe keine Auswirkung, da die in der Konfigurationsdatei gespeicherte ID weiterhin gültig bleibt und Dropbox die Login-Daten nicht erneut abfragt. […]

Worin liegt nun also das Problem? Der Zugriff auf ein Dropbox-Benutzerkonto ist nicht von einem Passwort abhängig, sondern jeder mit Zugriff auf die erwähnte config.db-Datei hat Zugriff — selbst wenn das Passwort für ein Dropbox-Benutzerkonto geändert wurde. Wie wenig Wert Dropbox auf Sicherheit legt, zeigt in diesem Zusammenhang auch, dass die config.db-Datei für alle Benutzer, unter Mac OS X beispielsweise auch für Gäste, frei zugänglich ist … :roll:

Aus Sicht der Sicherheit stört mich persönlich ausserdem an Dropbox, dass keine lokale Verschlüsselung der eigenen Daten möglich ist und dass sich der «Schutz» des Benutzerkontos bei Dropbox auf ein simples Passwort beschränkt, anders als beispielsweise bei Google.

[…]

Impact: Multiple vulnerabilities in ClamAV

Description: Multiple vulnerabilities exist in ClamAV, the most serious of which may lead to arbitrary code execution. This update addresses the issues by updating ClamAV to version 0.96.5. ClamAV is distributed only with Mac OS X Server systems. […]

Ohne Antivirus-Software bietet ein Mac in vielen Fällen mehr Sicherheit als mit Antivirus-Software.

SSL-Verschlüsselung für die Verbindung zur FRITZ!Box scheint auch optional nicht verfügbar zu sein:

Einige weitere Macken, denen ich begegnet bin, sind die langen Neustart-Zeiten nach Änderungen der Konfiguration, die fehlende Konfigurationsmöglichkeit für DNS-Server und der fehlende Reset-Knopf am Gerät – Zurücksetzen kann man die FRITZ!Box nur über ein angeschlossenes Telefon.