08.03.06 08:27 Uhr
 15.208
 

Apple OSX: Hack-Wettbewerb - trotz Gast-User erst nach 30 Minuten geknackt

Der Hacking-Wettbewerb "rm-my-mac" sorgt zurzeit für Aufsehen in der Security-Szene. Der Veranstalter hatte dabei seinen Macintosh zum "Abschuss" freigegeben und Hacker aufgefordert, ihn zu knacken.

Um dies überhaupt möglich zu machen, durften die Hacker zunächst einen eingeschränkten Gast-Account anlegen. Zusätzlich wurden auf dem Mac noch nicht näher beschriebene Versionen von "fink", Apache, MySQL und PHP installiert.

Trotz dieser Möglichkeiten schaffte es nur ein Hacker namens Gwerdna nach über 30 Minuten, aus dem System heraus Administrator-Rechte zu bekommen. Unter realen Bedingungen wurde das auf Free-BSD basierende OS-X bisher noch nicht offiziell gehackt.


Videoplayer auf dieser Seite ausblenden
WebReporter: grassiness
Rubrik:   High Tech
Schlagworte: Apple, nackt, User, Minute, Wettbewerb, Gast, Hack
Quelle: www.heise.de

Jetzt Deinen
Kommentar abgeben!

DAS KÖNNTE DICH AUCH INTERESSIEREN

Österreich: Kanzler fordert von Facebook Offenlegung des Algorithmus
Nur sehr wenige Deutsche benutzen E-Mail-Verschlüsselungen
"Guardian" leakt Löschregeln von Facebook

Diese News zu meinen Favoriten hinzufügen Beitrag abgeben

22 User-Kommentare Alle Kommentare öffnen

Kommentar ansehen
07.03.2006 22:54 Uhr von grassiness
 
+0 | -0
 
ANZEIGEN
Da einige Mac-User die Wettbewerbsbedingungen für unseriös halten, wurde jetzt ein zweit Wettbewerb gestartet, der diesmal aber länger dauern dürfte.

Im Unterschied zu "rm-my-mac" gibt es hier nämlich keinen Gast-User Account.
Kommentar ansehen
08.03.2006 09:03 Uhr von AndreasDV
 
+0 | -0
 
ANZEIGEN
Naja, welcher Mac User: gibt denn auch ein Gast Account frei an Unbekannte ? Und hat
denn jeder Mac User Apache, MySQL und PHP installiert.?

Sehr unseriös dieser Wettbewerb
Kommentar ansehen
08.03.2006 10:04 Uhr von t.weuster
 
+0 | -0
 
ANZEIGEN
Gastaccount: Der Wettbewerb fand unter vereinfachten Bedingungen statt. Deshalb ist es sehr erstaunlich dass es erst nach 30 minuten einem profi gelang die Kiste zu hacken. Und laut news war es ja auch nur einer.
Ohne des Gastaccount hätte es bestimmt keine 30 minuten gedauert.

Mich würde interessieren wie lange es dauert einen windows Rechner mit Gastaccount zu hacken.
Kommentar ansehen
08.03.2006 10:07 Uhr von sbz
 
+0 | -0
 
ANZEIGEN
Falscher Eindruck: Aus der Quelle:

"– in nur einer halben Stunde war der Rechner mit Mac OS X 10.4.5 geknackt"

"Allerdings äußerte Gwerdna gegenüber australischen Medien, dass Mac OS X noch zahlreiche, leicht aufzufindende Schwachstellen enthalte. Nur aufgrund der geringen Verbreitung der Macs hätten Sicherheitsspezialisten noch keine intensiveren Untersuchungen an den Apple-Rechnern durchgeführt."

"Mit dieser Ansicht steht Gwerdna nicht alleine da: Auch der Sicherheitsexperte Neil Archibald von Suresec, der schon mehrere Schwachstellen in Mac OS X entdeckt und veröffentlicht hat, meinte gegenüber Medien aus "Down-Under", von mehreren bislang noch offenen Schwachstellen in Mac OS X zu wissen, die Angreifer zum Kompromittieren von Macs ausnutzen könnten."

Damit habe ich mehr als zwei Drittel der Quelle zitiert und das klingt völlig anders als die Darstellung hier.
Nichts gegen OS X, aber wenn ich eine News wiedergebe, sollte der Inhalt nicht durch bewußte Umformulierung völlig verdreht werden.

Ob man den letzten Satz so stehen lassen kann sei mal dahingestellt (Secunia Advisory:SA18963).
Kommentar ansehen
08.03.2006 10:25 Uhr von designkey
 
+0 | -0
 
ANZEIGEN
Völlig falsch wiedergegeben! Sorry aber hier werden doch eindeutig von einem Macfan die Fakten falsch wiedergegeben, ganz schlecht grassiness!
Lest euch lieber die Quelle durch...
Kommentar ansehen
08.03.2006 10:33 Uhr von AndreasDV
 
+0 | -0
 
ANZEIGEN
Wenn es andere: Lecks in OSX gibt, wieso hat dieser Hacker das dann nicht
darüber gemacht ? Und wieso hat er dann 30 Minuten dafür
gebraucht ?
Kommentar ansehen
08.03.2006 10:38 Uhr von designkey
 
+0 | -0
 
ANZEIGEN
AndreasDV: Lies dir mal den Heise Artikel durch!
Entgegen der Aussage von grassiness sind 30 Minuten ziemlich schnell und warum sollte man mehrere Sicherheitslücken nutzen wenn man bereits durch einen den Admin Zugriff erlangt?? Mehre Wege führen nach Rom, es reicht aber einen zu nehmen!
Kommentar ansehen
08.03.2006 10:48 Uhr von cozmixx
 
+0 | -0
 
ANZEIGEN
@AndreasDV: Ab OSX ist der Apache mit den Standard-Modulen von Haus aus beim OS dabei.

Und da der Mac nach wie vor überwiegend von DTPlern eingesetzt wird, macht der Apache im NonPrint-Bereich auf jeden Fall Sinn :-)

Ich bin mal auf das Ergebnis des Zweitwettbewerbs gespannt.
Kommentar ansehen
08.03.2006 11:13 Uhr von dannycool
 
+0 | -0
 
ANZEIGEN
Ich nehme an, dass da fink ausgenutzt wurde, das verleitet naemlich bei der Installation zu ziemlich fragwuerdigen Aktionen und kann bei der Defaultinstallation fuer diese Zwecke benutzt werden.

Allerdings ist das kein Bestandteil von Mac OS X, deshalb bin ich da auch etwas skeptisch.

Der andere Wettbewerb ist ebenso Murks, aber aus dem entgegengesetzten Grund: Da ist ein Apache und ein OpenSSH erreichbar und sonst nichts, wird also nur Apache und OpenSSH getestet... gaehn.
Kommentar ansehen
08.03.2006 11:13 Uhr von bueyuekt
 
+0 | -0
 
ANZEIGEN
@AndreasDV: und wer sagt dir, das der Gastaccount nicht
vorprepariert war und viele einschränkungen hatte??
Kommentar ansehen
08.03.2006 11:20 Uhr von Joeiiii
 
+0 | -0
 
ANZEIGEN
@ t.weuster: <<Mich würde interessieren wie lange es dauert einen windows Rechner mit Gastaccount zu hacken.>>

Das kann ich dir leider nicht beantworten, aber es gibt im Internet zahlreiche kleine Helferlein mit denen das in wenigen Sekunden geschehen ist. Ich habe mich mal sehr intensiv damit beschäftigt, und ich stellte fest das es kein Problem darstellt. Auch bei einem bestehendes Admin-Konto kann man kinderleicht das Passwort ändern (schaff ich in weniger als einer Minute). *angeb* ;-)

Wie schnell das jetzt ohne diese Programme geht weiß ich nicht, denn daß habe ich bisher nicht geschafft. Aber ich bin ja auch kein Hacker oder Cracker, sondern nur ein sehr interessierter PC-User.

Aber wenigstens schaffte man es auch den Mac zu knacken, ob die Bedingungen fair waren oder nicht sei mal dahingestellt. Gwerdna hat ja auch gesagt daß es noch zahlreiche andere Lücken gibt über die man hätte angreifen können. Diese Lücken im System gibt es es ausnahmslos bei ALLEN Betriebssystemen!!!! DOS, Windows, Mac, Linux, Solaris, Zeta,...usw.

Der einzige Grund warum Microsoft in dem Punkt die Arschkarte gezogen hat ist die Tatsache, daß sich wohl 99% aller Viren und Hacks gegen Windows richten, und zwar deshalb weil die Verbreitung weltweit am größten ist.

Der nächste Mac- oder Linuxhack kommt bestimmt :-)
Kommentar ansehen
08.03.2006 11:30 Uhr von bueyuekt
 
+0 | -0
 
ANZEIGEN
@joeiiii: Dadurch wird wohl auch ein Windowssytem
robuster...Muss halt viel mehr verkraften...und
daher überlebt halt nur der stärkere :)
Kommentar ansehen
08.03.2006 11:33 Uhr von electic
 
+0 | -0
 
ANZEIGEN
Gastaccount usw. Der Test ist durchaus interessant und zeigt sehr wohl ein gefährliches Verhalten. Alle reden immer davon, dass es mit einem Gastaccount ja nicht so schwierig oder realistisch ist.
Aber denkt man an folgendes Beispiel: Auf einem Server läuft irgendeine unsichere Web-Applikation. Wenn man über diese unerwünschten Code ausführt, läuft dieser mit den Rechten des Webservers (ergo einem eingeschränkten User-Account). An dieser Stelle interessiert es dann brennend, ob man über Schwachstellen auch zu Root-Rechten kommt.
Kommentar ansehen
08.03.2006 12:12 Uhr von AndreasDV
 
+0 | -0
 
ANZEIGEN
So der 2. Wettbewerb ist beendet und: OSX hat stand gehalten

Zweiter Hack-Wettbewerb beendet: Testrechner bleibt sicher
Wisconsin, 11.59 Uhr, 30 Megabyte pro Sekunde Traffic
beim Hack-Wettbewerb. Der Testrechner hält perfekt.
Zwischenstopp, 4000 Login-Versuche über SSH, der Mac
mini bleibt sicher. Fast eine halbe Million Seitenaufrufe,
ständig Denial-of-Service (DoS)-Attacken, die ipfw-Log-Datei
zeigt einen Traffic von 40 Megabyte pro Stunde an und
verzeichnet sechs Millionen Events. Perfekter Schutz dank
Mac OS X und Security Update 2006-001. Die 38 Stunden
sind vorbei, der Rechner hat allen Angriffen standgehalten.

Hier nach weiter zu lesen http://www.macnews.de/...
74565

Wo ist denn die Sicherheitslücke die gwerdna beschrieben
hat ?
Kommentar ansehen
08.03.2006 12:38 Uhr von Joeiiii
 
+0 | -0
 
ANZEIGEN
@ AndreasDV: Hat Gwerdna beim 2ten mal auch wieder mitgemacht?

Fakt ist ja, daß Hacker und Cracken nicht wirklich auf Macs spezialisiert sind. Da es ein grundlegend anderes BS ist kann man nicht gleich vorgehen wie bei einem Windowsrechner. Windows wird seit Jahrzehnten gehackt, und von daher hat man auch deutlich mehr Erfahrungswerte.

Ich will damit aber nicht die Standfestigkeit des Macs schlecht machen. Ist schon toll daß er so tapfer der Flut von Angreifern standgehalten hat. Andererseits: Im realen Leben hat man deutlich mehr Zeit als 38 Stunden um einen Rechner zu hacken. Außerdem hat man dabei keinen solchen Streß. Und im realen Leben gibt es auch deutlich mehr Bösewichte als die die an diesem Bewerb teilgenommen haben.

Absolut sichere und fehlerfreie Software wird es wohl nie geben. Nicht von Microsoft, nicht von Apple, nicht von Linux. Da hilft nur eines: Firewall, Virenscanner, und eine Portion Hirn. Ein Restrisiko wird aber immer bleiben.

Ansonsten: Internetverbindung trennen und Disketten- und CD/DVD-Laufwerke ausbauen, denn so kann kein Angreifer und kein Virus mehr dem Rechner Schaden zufügen.
Kommentar ansehen
08.03.2006 12:46 Uhr von AndreasDV
 
+0 | -0
 
ANZEIGEN
@Joeiiii: meinste nicht auch das es auch andere Hacker gibt und nicht
nur dieser andrewG ??? Die vielleicht sogar noch besser sind
als er ???
Kommentar ansehen
08.03.2006 16:25 Uhr von grassiness
 
+0 | -0
 
ANZEIGEN
Kurze Ergänzung: Mittlerweile ist nicht mal mehr klar, ob der Rechner
tatsächlich geknackt wurde. Der Hacker machte nämlich
lediglich ein defacement, welches keinen Root Account
benötigt.

Darüber hinaus ist die Seite des Initiators auch als eine
Seite bekannt, die gnadenloses BSD-Bashing betreibt.

Erschwerend kommt noch hinzu, dass auf dem Rechner
PHP, MySQL und Apache installiert wurden, aber keine
genauen Versionsangaben genannt werden.

Aufgrund dieser und weiterer Unklarheiten wurde der
Wettbewerb nun unter Realen Bedingungen von einer
Universität wiederholt.

Hier gelang es innerhalb von 30 Stunden nicht, den Rechner
zu hacken.

Entgegen der reißerischen Heise Meldung habe ich das
Thema so formuliert, da es z.B. problemlos möglich ist,
einen Windows XP Rehcner unter gleichen Bedingungen in
etwa 3 Minuten zu hacken.

Im Vergleich dazu hat sich der Mac Mini mit 30 Minuten
sehr gut geschlagen.
Kommentar ansehen
08.03.2006 16:33 Uhr von grassiness
 
+0 | -0
 
ANZEIGEN
@joeiii: verbreitung und sicherheit hängen nicht z: Hi,

du schriebst

"Der einzige Grund warum Microsoft in dem Punkt die
Arschkarte gezogen hat ist die Tatsache, daß sich wohl
99% aller Viren und Hacks gegen Windows richten, und
zwar deshalb weil die Verbreitung weltweit am größten ist."

Das ist aber nicht so. Wenn dem so wäre, würde z.B. der
witverbreitete Apache Server viel mehr Sicherheitslücken
haben als IIS. Aber das Gegenteil ist der Fall.

Ist jetzt nur ein Beispiel.
Kommentar ansehen
08.03.2006 19:21 Uhr von vsporzellan
 
+0 | -0
 
ANZEIGEN
Ziemlich fehlerhaft: Mal von den genannten fehler wollte ich noch sagen, das der bsd-kernel seit OS X raus ist, mittlerweile läuft das ganze auf UNIX- Basis.
lg
Kommentar ansehen
08.03.2006 19:26 Uhr von grassiness
 
+0 | -0
 
ANZEIGEN
vsporzellan: lol, bsd ist ein unix.: Wo hast Du denn den schrott gelesen?

Hier kannst Du Dich schlau machen:

http://de.wikipedia.org/...
Kommentar ansehen
08.03.2006 23:17 Uhr von MainframeOSX
 
+0 | -0
 
ANZEIGEN
War wohl nicht der zweite Wettbewerb war ne pleite, derjenige der den
MacMINI installiert hatte, hatte die Sicherheitsrichtlinien nicht
beachtet, der Webserver war löchrig wie ein Schweizer Käse.
Der Neu installierte konnte nicht gehackt werden.
Kommentar ansehen
09.03.2006 03:20 Uhr von shadow#
 
+0 | -0
 
ANZEIGEN
Der zweite Wettbewerb ist auch vorbei Allerdings ist der Mac nicht gehackt worden, den Jungs wurde nur der Stecker rausgezogen, ehe der Traffic das komplette Uni-Netzwerk lahmlegt. Hätten wohl besser mal vorher die Chefin gefragt ;-)
OS X ist also nach wie vor sicher.

Refresh |<-- <-   1-22/22   -> -->|
Diese News zu meinen Favoriten hinzufügen Beitrag abgeben


Copyright ©1999-2017 ShortNews GmbH & Co. KG

Die News auf dieser Website werden eigenverantwortlich von Nutzern erstellt. Die Shortnews GmbH & Co. KG nimmt keinen redaktionellen Einfluss auf die Inhalte.

impressum | agb | archiv | usenet | zur mobilen Ansicht
SCHLIESSEN

Willst Du die Seite wirklich verlassen?


DAS KÖNNTE DICH AUCH INTERESSIEREN

Plisting: Flitzer lässt Glied blitzen und kolbt sich einen ab
Hanf: Mann verliert Kontrolle und baut Unfall
Achim: Junger Mann fuhr unter Drogeneinfluss


...oder unseren und keine aktuellen News mehr verpassen?