MacBook in 10 Sekunden vollständig geknackt Einstellungen

[maxos]

Quelle winfuture:

Wettbewerb: MacBook in zehn Sekunden geknackt
von Christian Kahle für WinFuture.de
Beim Hacker-Wettbewerb Pwn2Own ist es dem Sicherheitsexperten Charlie Miller gelungen, binnen zehn Sekunden ein MacBook von Apple vollständig unter Kontrolle zu bekommen.

Er übertraf damit seinen eigenen Bestwert von zwei Minuten aus dem Vorjahr. Vom Veranstalter, dem Sicherheitsunternehmen TippingPoint, erhielt er als Gewinner des Wettbewerbs 5.000 Dollar in bar sowie das von ihm geknackte Gerät. Details über die ausgenutzte Sicherheitslücke wurden nicht bekannt gegeben.


Gemäß der Wettbewerbsregeln konnte Miller im Vorfeld bereits einen Exploit entwickeln und diesen als Schadcode in eine Webseite einbetten. Der Jury gab er zum Beginn der Veranstaltung den entsprechenden Link. Zehn Sekunden, nachdem dieser angeklickt wurde, hatte Miller vollständige Kontrolle über den Mac, was er mit mehreren Beispielaktionen demonstrierte.

Damit wurde eine durchaus reale Bedrohung simuliert. Das Einbetten von Codes in scheinbar harmlose Webseiten ist inzwischen eine der Hauptmethoden zur Verbreitung von Malware. Der Code des Exploits und weitere Informationen über die Sicherheitslücke wurden inzwischen an Apple übermittelt, um die Entwicklung eines Patches zu ermöglichen.

Wie Terri Forslof, Leiter des Security Response-Teams bei TippingPoint, ausführte, drang ein anderer Hacker kurz darauf in einen Sony-Laptop ein, der mit Windows 7 betrieben wurde. Dazu wurde eine Sicherheitslücke im Internet Explorer 8 ausgenutzt. Auch dieser Fehler wurde anschließend gegenüber Microsoft erläutert.

Pwn2Own wird regelmäßig durchgeführt und konzentriert sich auf Sicherheitslücken in Browsern, die zu Angriffen über das Internet ausgenutzt werden können. Erstmals lobte TippingPoint in diesem Jahr auch einen Preis von 10.000 Dollar für das Eindringen in eines der fünf verbreitetsten Smartphone-Betriebssystem aus: Windows Mobile, Symbian, Googles Android sowie die Systeme in Blackberries und iPhones.



Ja, so manche Websites können was......

Und da viele Mac User eben User sind, keineswegs alle, aber viele glauben halt immer noch, dass es bei Macs u. OSX keine wirksamen Schädlinge gibt, so könnte durch die Verbreitung u. der Unbedarftheit der Masse es da für manche noch so manche unliebsame Überraschung geben.

[blubber]

Und da viele Mac User eben User sind, keineswegs alle, aber viele glauben halt immer noch, dass es bei Macs u. OSX keine wirksamen Schädlinge gibt, so könnte durch die Verbreitung u. der Unbedarftheit der Masse es da für manche noch so manche unliebsame Überraschung geben.

Hach, der Bericht geht runter wie Öl. Werden auch mal die Macuser von ihrem hohen Ross heruntergeholt.... Jetzt fehlt nur noch Linux.

[aido]

@blubber

Miller ist ein Macianer der macht das schon seit Jahen mit dem Mac. Da dürfte es kein Problem sein den Expolit so zu platziieren. Ausserdem hat er dadurch schon einige Sicherheitslücken im Safari-Browser entdeckt. Diese Lücke existiert bereits schon seit einem Jahr, und obwohl das Apple bekannt ist, haben die bis jetzt noch nicht unternommen. Ist mir ehrlich gesagt ein Rätsel.
Dennoch bin überzeugt das Apple das sicherste System ist.

aido

Der Beitrag wurde von aido bearbeitet: 19.03.2009, 21:58

[dragonmale]

Hach, der Bericht geht runter wie Öl. [...] Jetzt fehlt nur noch Linux.

"Interessant" ... aber, auch wenn schon jemand aus der Frage "Welches OS bist du?" ein Online-Quiz gemacht hat, sollte man vielleicht nicht immer alles gleich so wörtlich nehmen ...

[...] Werden auch mal die Macuser von ihrem hohen Ross heruntergeholt.... [...]

"Es gibt überall solche und solche" -> trotzdem, sollte man vielleicht auch mal etwas näher beleuchten, was hier eigentlich wie "gehackt" wurde:

2009-03-18-01:00:00 PWN2OWN Final Rules

Well after much discussion and deliberation here is the final cut at scenarios for the PWN2OWN competitions.
[...]
What is owned? - code execution within context of application

Quelle: CanSecWest

[...]Konkret riefen die Tester vom Angreifer vorgegebene URLs auf. Gewonnen hat der Hacker, wenn es ihm gelang, dabei eigenen Code einzuschleusen und im Context des Browsers auszuführen. Das ist quasi die Grundvoraussetzung für eine Übernahme des Systems – im Hacker-Slang wurde es damit ge-pwned
[...]

Quelle: Heise - Pwn2own-Wettbewerb: Safari, IE8 und Firefox gehackt

Hinzu kommt:

[...]
Die noch unbekannte Lücke erfordert wie schon im letzten Jahr physischen Zugang zu Safari mit Administrator-Rechten [...]

Quelle: MacTechNews - Erneut Mac auf der CanSecWest über Exploit in Safari geknackt

Ich denke mal, mit einem realen Hack hat dies so nichts zu tun, denn, auch wenn eine entsprechende Lücke, im Safari-Browser, existiert, so wird doch eine entsprechende Interaktion, vom User, benötigt und ich möchte den Mac-User mal sehen, der diesem Teil, bzw., seinem Safari-Browser, dann auch noch freiwillig die entsprechenden Rechte einräumt ....

Der Beitrag wurde von dragonmale bearbeitet: 20.03.2009, 01:05

[Voyager]

Ich denke mal, mit einem realen Hack hat dies so nichts zu tun, denn, auch wenn eine entsprechende Lücke, im Safari-Browser, existiert, so wird doch eine entsprechende Interaktion, vom User, benötigt und ich möchte den Mac-User mal sehen, der diesem Teil, bzw., seinem Safari-Browser, dann auch noch freiwillig die entsprechenden Rechte einräumt ....

funktioniert millionenfach und ganz prima in der Windowswelt , vor einem Mac sitzen auch nur Menschen und die sind sicher noch nicht so erfahren bei Social Engineering Attacken „soziale Manipulation“ von daher dürfte das ein leichtes sein die Jungs zu infizieren wenn man nur will.
und Nein ich denke nicht das die Jungs vor einem Mac oder Linux automatisch oberschlau sind , vorallem wenn man bedenkt das Sie möglicherweise nur am Windows gescheitert sind

[dragonmale]

funktioniert millionenfach und ganz prima in der Windowswelt , vor einem Mac sitzen auch nur Menschen und die sind sicher noch nicht so erfahren bei Social Engineering Attacken „soziale Manipulation“ von daher dürfte das ein leichtes sein die Jungs zu infizieren wenn man nur will.

@Voyager,
leicht ist relativ und natürlich ist nichts unmöglich -> nur darauf war dies eigentlich gar nicht bezogen …
Im Übrigen, ist ein Windows-Admin nicht gleichzusetzen mit einem Mac-Admin. Du kannst von daher nicht die vielen XP-(standardmäßig, als Admin)Surfer, mit einem Mac-Admin vergleichen. Auf einem XP z.B. hat ein Admin quasi uneingeschränkte Rechte, aber bei einem Mac nicht, denn diese hätte nur (der standardmäßig nicht aktivierte) Superuser/root -> was aber z.B. dazu führt, dass auch ein Admin nicht einfach so alles (tiefergreifende Systemänderungen z.B.) darf, bzw., es dann eventuell einer zusätzlichen Authentifizierung bedarf...
... und meine entsprechende Bemerkung bezog sich ausschließlich auf dieses o.g. Beispiel hier und wenn man als normaler Benutzer unterwegs ist und dann bei der normalen Nutzung des Browsers plötzlich, in einem Popup, der Name und das Passwort des Admin, bzw., sogar des Superuser verlangt wird ... ja nee ne, is klar... mal abgesehen davon: "Warum sollte man einem Browser überhaupt Admin-Rechte geben? -> insofern habe ich mich wohl etwas undeutlich ausgedrückt ..
Im o.g. Beispiel (bei Windows wahrscheinlich wohl auch)war der Benutzer (Link-Klicker) offensichtlich direkt als Admin unterwegs -> stellt sich doch die Frage, nach dem Warum ... wobei natürlich auch mit normalen User-Rechten, bei einem Mac, ohne weiteres z.B. Daten ausgelesen werden könnten -> aber den Rechner wirklich übernehmen? Na ja … Safari ist für mich momentan eh ein Zustand, aber kein Browser

und Nein ich denke nicht das die Jungs vor einem Mac oder Linux automatisch oberschlau sind , vorallem wenn man bedenkt das Sie möglicherweise nur am Windows gescheitert sind

Den Sinn, dieser Anspielung, verstehe ich nicht wirklich ... aber wie schon gesagt: "Welches OS bist du?"