Mac OS X Security Challenge

Die Mac OS X Security Challenge der University of Wisconsin ist eine wesentlich realisitischere Variante des doch eher zweifelhaften "30 Minuten Hacks", der derzeit durch die Presse und Blogs geistert. Denn auf der in 30 Minuten gehackten Kiste hatten die Angreifer einen Benutzeraccount - es handelte sich also um eine einfache Priviledge Escalation, nicht um einen Remote Hack. Letzterer ist deutlich anders anzulegen, da man ja überhaupt erstmal einen Zugriff auf die Maschine bekommen muss.

Trotzdem sollte Apple natürlich auch Priviledge Escalations ernst nehmen - denn z.B. auf allgemein zugänglichen Rechnern gibts schon einige Angriffsszenarien, die durchaus problematisch sind - gerade auch bei angeblichen Sicherheitsfeatures. Zum Beispiel das verschlüsselte Homeverzeichnis wird zur Farce, wenn auf dem Rechner mehrere Benutzer gleichzeitig eingeloggt sein können - das Homeverzeichnis wird beim Login des ersten Benutzers geöffnet und gemounted, der zweite Benutzer kann dann einfach reingucken. Apple sollte schon an solchen Stellen nachbessern, natürlich auch an den Stellen, an denen ein unpriviligierter Benutzer Root-Rechte kriegen kann - denn das sind Angriffsvektoren für Viren und Trojaner.

Hey, ich hab keinen Bock drauf auf Dauer ähnlichen Murks wie unter Windows zu habne, also seht zu, das ihr bei Apple die Löcher dicht kriegt!

tags: Mac OS X, Sysadmin