Knapp $1000, uff.

Das ist nur für Firmen interessant.

sollte ja für Apple in einem Update nicht schwer sein die Schwachstelle zu stopfen

macmex

ich glaube nicht
Dieser "Fehler" ist schon seit langer langer Zeit bekannt. FireWire greift per DMA (DirectMemoryAccess) auf den Arbeitsspeicher zu ergo kann man damit die RAM auslesen. Das ist bei allen Systemen möglich die DMA bieten (Thunderbold).

Man kann aber auch so auf passwds zugreifen:

Rechner auf die jemand physikalisch zugreifen kann sind per se verwundbar, da bringt auch ein Mac OS X nix.

Man müsste schon einen extra Speicher verwenden der eben nicht per DMA angesprochen werden kann, der sich nach Spannungsausfall automatisch überschreibt etc. So etwas wird sicherlich noch kommen.

"Sobald dieses Kennwort bekannt ist, kann der Schlüsselbund von Mac OS X geöffnet werden"

Wenn das passwd vom Keychain identisch ist mit dem Systempasswort. Ist bei Apple ja default, aber änderbar.

Der Rechner muss angemeldet und ungesperrt sein, damit das funktioniert.

Ah ja.

An manchen Tagen überschlagen sich die Katastrophenmeldungen für die Mac-Security-Leute.

Ein paar Punkte:

Firewire und Thunderbolt haben prinzipiell dank DMA Zugriff auf den Speicher.

Und klar ist ja auch, wenn automatisches Anmelden aktiviert ist, dann muss das Passwort ja in entschlüsselter Form im Speicher sein. Wie sonst könnte sich das System sonst automatisch anmelden?

Insgesamt denke nicht, dass das ein besonders grosses Problem ist.

1. Man braucht man physichen Zugang zum Mac und zwar mindestens ein paar Minuten.

2. Wer seinen Mac unbeaufsichtigt (und anderen Zugriff darauf haben) im Ruhemodus lässt, legt eh keinen grossen Wert auf Sicherheit.

3. Wer automatisch anmelden aktiviert hat, der legt überhaupt keinen Wert auf Sicherheit.

4. Für alle privaten Macs also kein Problem, in Firmen immer abmelden, dann ist es auch kein Problem.

und warum sollte man für etwas geld ausgeben das apple auch bietet.

einfach mit install-disk hochfahren, adminpasswort zurücksetzen und schon hat man zugriff auf die files und alle gespeicherten passwörter....

In dieser News ist alles Käse. Und zwar:

• Firewire greift by design auf den Hauptspeicher zu. Das macht ihn schneller, weil man die CPU für die Transfers nicht benötigt.
• Das klappt nur, wenn man Auto-Login aktiv und physischen Zugriff auf den Rechner hat.
• In dem Fall kann man den Rechner auch direkt benutzen und braucht das Paßwort überhaupt nicht.

Da ist keine Sicherheitslücke, denn Auto-Login aktiv und physischer Zugriff, dann ist das System immer Toast.

spheric
Reboot und er ist Toast.

@Tunderbolt:
Insgesamt bin ich aber doch dankbar für die Meldung. Bisher bin ich (vielleicht naiverweise) davon ausgegangen, dass mein Mac mit FileVault und passwortgeschütztem Bildschirmschoner/Ruhezustand auch dann hinreichend gesichert ist, wenn er jemandem in die Hände fällt. Wieder was gelernt.

@gritsch: dies gilt aber nicht für das filevault passwort, dass man auch aus dem ram abgreifen kann.

Wer keine Automatische Anmeldung hat, hat auch kein Passwort.
Zum anderen muss das Passwort bekannt sein, damit mann es finden (sprich die Zeichenfolge identifizieren ) kann!!!!!

Wenn ich also am Rechner bin und das Kabel einstecken kann, komme ich auch so an alle Daten ran.
Das Passwort stehlen, ohne die Daten zu holen, was hat das für einen Sinn. Da wird wieder mal was konstruiert. Morgen stehst bestimm bei SPON!

Ich schmeiss mich weg!

nein, heute schon

Wie bereits hier geschrieben, geht der selbe Angriff auch über Thunderbolt. Über USB ist das hingegen nicht möglich, weil hier der USB Controller keinen direkten Speicherzugriff erlaubt.

Faktisch könnte aber Apple sich leicht davor schützen bei aktuellen Macs. Denn seit den Nehalem CPUs (die ersten Intel CPUs mit i5 oder i7 im Namen), und damit auch in Sandy Bridge, beherrschen Intel CPUs VT-d, Intels IOMMU Implementierung. Analog zu der MMU (Memory Management Unit), die verhindert, dass Prozese direkt Zugriff auf den physikalischen Arbeitsspeicher haben (nur auf die Bereiche, die der Kern dem Prozess zuvor "zugewiesen" hat), ist IOMMU eine MMU für I/O Schnittstellen, d.h. auch hier kontrolliert die CPU genau, welche Speicherseiten ein I/O Gerät "sehen" und "beschreiben" kann und welche nicht.

Der Kern muss diese Extension nur einschalten und dann eben immer dafür sorgen, dass nur die Speicherseiten, die wirklich für I/O Operationen gedacht sind per DMA zu Verfügung stehen. Zugriffsversuche auf andere Seiten würden eine CPU Exception auslösen, die der Kern dann abfangen und nach belieben handhaben kann.

Nur schaltet Apple VT-d derzeit nicht ein und kümmert sich somit auch nicht um die I/O Speicherverwaltung, was bedeutet, externe Geräte haben vollen Zugriff auf den gesamten physikalischen Speicher.

Da man per DMA auch in den Speicher schreiben kann, kann man diesen Angriff auch dazu verwenden, sich z.B. root Rechte zu erschleichen auf einem System, wo man sonst vielleicht nicht einmal admin Rechte hätte. Und dagegen hilft auch nicht Autologin oder den Ruhezustand abzuschalten.

Und wenn es einen Angreifer gelingt irgendwie per Remote an ein Firewire oder Thunderbolt Gerät zu kommen, dann kann er dieses vielleicht sogar hacken und dann so einen Angriff remote ausführen.

Wenn Apple also klug ist, dann arbeiten sie mit Hochdruck daran zumindest auf den neuen Macs unter Lion VT-d eingeschaltet zu bekommen. Denn vor 2 Jahren wurde über den Angriff noch geschmunzelt "ja, theoretisch... aber bitte, wie realistisch ist das schon in der Praxis?", doch jetzt gibt es schon ein fertiges Set zu kaufen. So viel zu "nur theoretisch".

Das ist so nicht ganz richtig. Erstens, wenn man das Passwort zurücksetzt ist das alte Passwort nicht mehr gültig. Das geht also nicht ohne es den Benutzer merken zu lassen.
Zweitens gilt das nicht für den Schlüsselbund. Es gilt nur für den Benutzeraccount. Und es geht auch nicht bei eingeschaltetem FileVault.

Apple bräuchte das Passwort nur in Nicht-Klartext abzulegen. Denjenigen will ich sehen, der dann noch in 1 oder mehr GByte RAM-Dump das Passwort findet.

Besser noch wäre eine systemeigene Verschlüsselung, wo das System das Passwort entschlüsseln kann, der Angreifer aber nicht. Das sollte prinzipiell möglich sein.

Ansonsten ist dieses Angriffsszenario ziemlich theoretisch und nicht praxisrelevant (außer vielleicht für Geheimdienste mit super super geheimen Dokumenten und ganz anderen technischen Möglichkeiten).

1. Wie willst du das "richtige" Passwort denn entschlüsseln wenn es nicht Klartext ist (Bsp. Filevault)? Mit einem anderen Passwort, das wieder Klartext im RAM liegt.
Dass das Passwort Klartext im RAM liegt ist ein Problem von allen verschlüsselten Volumen, aber genauso sind davon auch Systeme mit Pre-Boot Authentifizierung betroffen (z.B. Truecrypt). Das Verzichten auf externe Schnittstellen mit DMA ist aber auch keine Lösung. Schließlich lässt sich der RAM Riegel einfrieren entnehmen und auslesen vor die Daten verschwunden sind. Einzige Lösung ist das Abschalten und wegsperren um sicher zu sein.

2.Prinzipiell möglich. Damit hätte Apple aber einen Zentralschlüssel in der hand es würde diese Software also gar nicht mehr brauchen.

Das ist genau so ein Humbuk wie mit dem Virenangriff auf den MacBook Akku. Man kann Geld auch mit Sch... verdienen.

Und wieso ist dieses Programm nicht illegal? Ich kann mir keinen Zweck vorstellen, den dieses Programm hat, wenn man dazu angemeldet sein muss...

Ohne selber zu gucken was das Programm, unter welchen Bedingungen, kann, ist das Gefahrenpotential schlecht einzuschätzen.

Mal Gucken ob ich mir das Programm bei einem Bekannten mal antesten kann.

Und wie einfach ist der Vorgang wenn ein Open Firmware Passwort hinterlegt wurde? Dann bekommst du den Computer nämlich nicht von der CD / DVD gebootet, ohne zuvor das Passwort zu hinterlegen.

Allerdings muss man das Firmwarepasswort selbst festlegen und das geht wiederum nur wenn man von der System DVD gebootet hat bzw. unter Snow Leo vermutlich von der Systempartition.

Infos dazu http://support.apple.com/kb/HT1352?viewlocale=de_DE

Das Program ist nicht illegal, da Polizei, BND, FBI etc. auch gerne an deine Daten wollen, wenn sie deinen Mac konfiszieren.

Jaja, es ist ja auch so schwer das Firmwarepasswort zu resetten.

haemm0r: Apple könnte es mit einem Systemschlüssel, der nur Apple bekannt ist, verschlüsseln. Aber vielleicht geht das ja auch gar nicht. Ich bin kein Entwickler (mehr).

Zumindest eine Erwähnung hätte sich Windows schon verdient, das könnte auch die Flamewars zu der Meldung auf ein erträgliches Maß reduzieren.

Was für eine Sicherheitslücke...
Wenn irgendwer einfach mal ohne meine Zustimmung an meinen Firewireport ran kann, hab ich wohl ein anderes Problem...
Da ist wohl dann der Mac längst geklaut...

Mecki
Danke für Deine sehr gute Darstellung und ja, Apple könnte da locker noch was verbessern, so wie Du das beschrieben hast.

Warum klickt keiner auf "Gefällt mir"?

Love Laphroaig

Weil inzwischen alle angemeldeten MTN-User von der Möglichkeit Gebrauch machen, die "Social Network Buttons" auszublenden.

Lustig wird's erst, wenn die ersten Exploits für Thunderbolt auftauchen. Mit der Bandbreite geht so ein RAM-Abbild echt fix.

konnte noch 10.6 nicht noch den RAM verschlüsseln? in 10.7 habe ich es nicht gefunden.

Super dann besitze ich einen der sichersten Macs überhaupt
MacBook Air der letzten Generation ohne FW und ohne TB.
Dazu noch aufgelöteter RAM, damit ist selbst das Firmware Passwort relativ sicher

Finde jedoch den ganzen Bericht sehr theoretisch, weil sensible Daten auf einem mobilen Gerät an sich schon grenzwertig sind und man sich fragt wer dort für die Sicherheit zuständig ist. Dazu noch der Rechner muss angemeldet und nicht gesperrt sein?
Auch hier nur eine Frage der Administration und Erziehung der User die mit sensiblen Daten arbeiten.