Tegen het veronderstelde veiligheidslek van dat 4 jaar oude (!) filmpje kun je je makkelijk beschermen door een Firmware Password in te stellen. En volgens mij is FileVault ook al voldoende om dit te voorkomen. Volgens mij heeft het weinig om het lijf.

Verder lopen veel zaken door elkaar hier, en is de titel van dit draadje wel leuk voor de clickbait, maar om nou te zeggen dat het de lading dekt?! Ook vreemd dat ik elders hier niks over kan vinden.

Malpiet, geen 'enorme zorgen'. Het klok-gehalte lijkt mij hier vooralsnog een stukje groter dan het klepel-gehalte.

Een 3th party sleutelhanger is zoals een beveiligingsfirma. Je moet die vertrouwen dat ze je huis bewaken, en het niet gaan leegroven, want ze kunnen namelijk perfect je huis in aangezien ze ook de sleutel hebben.

Ik ga er trouwens ook altijd vanuit dat wanneer iemand met slechte bedoelingen fysieke toegang heeft tot je computer de beveiliging er voor 99% aan is voor de moeite.

HEXDIY om 1:09, 11-07-2016
En even de resultaten van mijn eigen test met Snow Leopard (sorry, recenter kan ik momenteel niet bieden):

Het eerste codelijntje in Terminal zelfs zonder de rest van het script levert me al een griezelige hoeveelheid info op. (Jaja, daarvoor moest ik natuurlijk wél mijn wachtwoord invoeren).

Te zien wat je onder plain text verstaat, maar ik veronderstel dat de 1ste beste hacker wel gebaat is met cdat en mdat hashes.

Sommige wachtwoorden vindt ie zelfs helemaal in lekentaal tekst...

Niet pluis, ik huiver...

Laat dus de kreet "troll" maar achterwege voor Cyrano. Bedank hem/haar liever om ons te waarschuwen...

Ik bestudeer dit verder met argusogen...

Je kunt in sleutelhanger alle wachtwoorden zichtbaar maken als je het "master wachtwoord" intypt. Dat er een tooltje is die dat vanaf de command line doet, verbaast me niks; dat is niks anders dan op een andere manier de systeem API's aanroepen.

Laat je niet gek maken! Zolang jij de code van je sleutelkluis geheim houdt, is er niks aan de hand, dan zitten je sleutels veilig opgeborgen. Maar als jij bij alles, ook al verwacht je het niet, je root wachtwoord opgeeft, ja, dan ben je kwetsbaar. Maar dan ben je ook kwetsbaar voor mailtjes van je bank (je pas is geblokkeerd), je supermarkt (gefeliciteerd, je hebt voor 500 euro aan boodschappen gewonnen), ...

cyrano om 13:50, 10-07-2016

Ik heb nog niet veel tijd besteed aan het zoeken naar documentatie van het commando "security', maar zo op't eerste zicht stinkt dit grandioos.

De switch "-d" staat niet in "man security". Ook het commando "dump-keychain" niet.

Niet documenteren kan alleen gezien worden als slechte bedoelingen.

Als ik 'man security' geef in de Terminal (10.10.5) krijg ik een keurige uitleg van het commando, inclusief de -d en de dump-keychain. Wel even naar beneden scrollen want het is een flinke lap tekst.

Zie ook KeyChain Services op de Apple website.

Met andere woorden: dit hele onderwerp is een orkaan in een vingerhoedje.

Dit is geen probleem, en helemaal geen gigantisch securityprobleem. Dit is een tool die werkt zoals hij zou moeten werken. En inderdaad, tools kunnen soms krachtig zijn. Als ze dat niet zouden zijn, dan had Apple die ook niet mee hoeven leveren.

En je kunt een tool gebruiken zoals de maker had bedacht, of je kunt een tool misbruiken. Voor dat misbruik moet je overigens al wel toegang tot een Mac hebben, en je moet het systeemwachtwoord weten.

Goh, als ik van een willekeurige computer, waar ik fysiek toegang toe heb, de juiste wachtwoorden weet, dan kan ik veel meer dan alleen een keychain uitlezen!

Beste cyrano, ben je al eens bij het zwembad in jouw gemeente geweest? Dat zou ik maar snel gaan doen. Laat het bad onmiddellijk sluiten, men kan er verdrinken! O, en wat denk je van al die baden in alle badkamers bij de mensen thuis? PANIEK!!!

Er wordt door heel wat mensen wel eens een beroep gedaan op iemand die zegt het probleem wat je hebt wel even voor je op te lossen. Die is dan in staat om in zeer korte tijd al je wachtwoorden te oogsten nota bene terwijl je er naast staat en niet precies weet wat er is gebeurd. Toch ben je blij met die hulp want je probleem is verdwenen.

Is het een security breach? Ja en nee. Je breachet de security zelf, alleen doe je dat zonder het te weten omdat je iemand die niet te vertrouwen is vertrouwt. De fout van het OS is dan dat het een tool aanreikt aan die onbetrouwbare helper.

Als je dan kijkt naar de nieuwe inzichten bij met name Apple omtrent privacy en het lastig maken om daar mee aan de haal te gaan is deze tool iets dat niet meer van deze tijd is en niet in het OS thuishoort.

Zelf krijg ik het scriptje onder EC niet aan de praat. Dat kan aan mij liggen, ik ga dat niet verder uitproberen. Wanneer dat uberhaupt niet meer lukt dan heeft Apple dit relikwie uit het verleden afdoende gedicht. Is dat niet zo, dan is dat iets dat nog gefixed moet worden, denk ik zo.

(Bewerkt door WaltervandeMeer om 21:16, 11-07-2016)

WaltervandeMeer om 21:11, 11-07-2016

Is het een security breach? Ja en nee. Je breachet de security zelf, alleen doe je dat zonder het te weten omdat je iemand die niet te vertrouwen is vertrouwt. De fout van het OS is dan dat het een tool aanreikt aan die onbetrouwbare helper.

Bij je vergelijking met de huissleutel mis ik later wat spulletjes, dat is bij deze 'inbraak' ook niet eens het geval. Ik mis niks. Diefstal van wachtwoorden ofwel computercrime is niet te vergelijken met andere vormen van criminaliteit. Maar om toch maar wat in de vergelijking staande te houden: het breekijzer wordt door het OS zelf geleverd, de inbreker hoeft het niet van huis mee te nemen.

WaltervandeMeer om 21:11, 11-07-2016
Wat ik schrijf is toch niet zo heel erg wazig Flix?

WaltervandeMeer om 21:38, 11-07-2016
@MacFrankie, Het zou heel mooi zijn wanneer ik vantevoren weet wie ik wel en wie ik niet kan vertrouwen.

Maar vooral: denk na!

Flix om 22:41, 11-07-2016

Want als je het mapje Keychains uit de ~/Bibliotheek 'jat', heb je ook alle wachtwoorden. In 2 seconden.

Klopt niet helemaal, als je de map Keychains hebt, kun je nog niets met die bestanden, want zonder het wachtwoord van de gebruiker kun je deze niet openen.

Ik heb het net getest op mijn macbook (10.11.5). Met 'security dump-keychain -d login.keychain' krijg ik, zonder dat ik mijn wachtwoord hoef in te voeren, alle wachtwoorden die in de login keychain staan te zien. Moet daarvoor wel per wachtwoord op toestaan klikken in een beveiligingspopup.

Voor remote misbruik misschien niet nuttig, maar wel in de gevallen waarin iemand zegt: he, mag ik heel even achter je computer iets opzoeken op internet?
Ik waarschuw gebruikers altijd een wachtwoord op hun account te zetten (dus geen 'leeg' wachtwoord), omdat anders mensen die fysiek toegang hebben tot hun computer via Sleutelhangertoegang al hun opgeslagen wachtwoorden op kunnen vissen.
Met dit commando kan dit dus zonder dat je het wachtwoord weet.

Enige 'geluk' is dat OS X sinds 10.9(?) veel wachtwoorden in de Local Items keychain opslaat in plaats van de login keychain. Het lukt me niet deze uit te lezen met dump-keychain commando.

malpiet om 9:13, 11-07-2016
Ik denk dat heel veel mensen geen donder begrijpen wat jullie allemaal opschrijven. Ik als leek denk als je op deze simpele manier het wachtwoord op kinderlijk eenvoudige manier kan kraken zoals in het filmpje dan heeft het toch geen enkele zin om Filevault te nemen? Tevens als iemand het wachtwoord kan kraken zoals in het filmpje dan kan de hacker in een ruk je passwords in de sleutelhanger zo inzien?
Gaarne deze vraag op Yip en Janneke manier beantwoorden want ik weet 100 procent zeker dat veel mensen zich enorm zorgen gaan maken.

Ok: Yip en Janneke dan, veel gecompliceerder kan ikzelf toch ook niet aan:

Ik zeg niet dat je het admin wachtwoord kan kraken met de Terminal commando's
"resetpassword"
of
"applesetupdone".

Je kan ze resetten door c.q. een nieuw administrator wachtwoord aan te maken of een hele nieuwe admin account.

De sleutelhanger van de vorige eigenaar is daarmee niet leesbaar als je diens wachtwoord niet bezit.
Na bovenstaande actie dien je de sleutelhanger opnieuw op te bouwen of de oude te bevestigen met het oude wachtwoord.

Maar je hebt wél dat Macje effectief overgenomen, apps en vele persoonlijke data incluus.
Een active Dropbox, bv!

Ikzelf vind dat érg handige functies om "kapotte" Macjes/ HDDs nieuw leven in te blazen/ te recupereren, maar het roept toch wel de nodige vraagtekens op nietwaar?

(Bewerkt door HEXDIY om 23:25, 11-07-2016)

Flix om 23:09, 11-07-2016
Backspin, punt was juist dat je dat ww aan die 'helper' had gegeven, omdat ie dat nodig heeft als ie hulp verleent.

Ah. Dat had ik niet helemaal uit je bericht opgemaakt.
Overigens ging dat alleen over het kopiëren van de bestanden in de keychains map. De rest van het verhaal (over het zonder het wachtwoord te weten de keychain uit te kunnen lezen) is mijns inziens wel een securitylekje.
Als Apple dit 'by design' zo had gewild, dan hadden ze het ook wel zo gemaakt dat je bij 'Toon wachtwoord' in Sleutelhangertoegang geen wachtwoord in hoeft te voeren..

Flix om 11:22, 11-07-2016
HEXDIY, als je zo bezig bent met veiligheid, dan is het verbazingwekkend dat je nog draait op een oud OS als SL (10.6)!

Tegen het veronderstelde veiligheidslek van dat 4 jaar oude (!) filmpje kun je je makkelijk beschermen door een Firmware Password in te stellen. En volgens mij is FileVault ook al voldoende om dit te voorkomen. Volgens mij heeft het weinig om het lijf.

Verder lopen veel zaken door elkaar hier, en is de titel van dit draadje wel leuk voor de clickbait, maar om nou te zeggen dat het de lading dekt?! Ook vreemd dat ik elders hier niks over kan vinden.

Malpiet, geen 'enorme zorgen'. Het klok-gehalte lijkt mij hier vooralsnog een stukje groter dan het klepel-gehalte.

Het karakteristieke is die kleine "Kodak" burnin rechts 2/3 bovenaan.
Wat wat? Was dat geen boodschap van de Nazi's dan?

Trust no one.

(Bewerkt door HEXDIY om 0:02, 12-07-2016)

Backspin om 23:33, 11-07-2016

Citaat

Flix om 23:09, 11-07-2016
Backspin, punt was juist dat je dat ww aan die 'helper' had gegeven, omdat ie dat nodig heeft als ie hulp verleent.

Ah. Dat had ik niet helemaal uit je bericht opgemaakt.
Overigens ging dat alleen over het kopiëren van de bestanden in de keychains map. De rest van het verhaal (over het zonder het wachtwoord te weten de keychain uit te kunnen lezen) is mijns inziens wel een securitylekje.
Als Apple dit 'by design' zo had gewild, dan hadden ze het ook wel zo gemaakt dat je bij 'Toon wachtwoord' in Sleutelhangertoegang geen wachtwoord in hoeft te voeren..

WaltervandeMeer om 19:51, 11-07-2016
Die is afhankelijk van de kleinzoon, vage kennis, buurman of zoontje van de slager op de hoek. Die help je wel even van dat rare vraagteken in de iconenbalk af. Wat is uw wachtwoord? Ok, zie, nu is dat vraagteken weg. Dank u voor uw andere wachtwoorden en tot de volgende keer maar weer.

Verder: mij lukt het niet data te halen (exporteren, of hoe dan ook) uit de Keychai Access.app. zónder gebruik van het beh. ww.

Dus ik zie geen vooralsnog geen groot 'gat' of zo.

probeer eens in Text Wrangler of Smultron de 2 tekstcommando strings bij mekaar te plakken.

En probeer een andere shell dan BASH (Bourne Again Shell).

Weet je daarmee genoeg?

Flix om 0:16, 12-07-2016
HEXDIY: eens: leren is leuk.
Maar met dit soort zaken is over het algemeen de leercurve laag, en het roep-maar-wat-gehalte groot.
Net als bij complot-theorieën: je kunt nooit bewijzen dat iets niet gebeurt, of gebeurd is, als iemand beweerd dat het wel gebeurt (is).
Bovendien hebben wij met z'n allen hier ook te weinig kennis van om er zinnig over te praten, is mijn vermoeden.

Ik ben het er stevig mee eens dat het "roep maar wat" gehalte stevig naar omlaag moet, en zal dus in het vervolg mijn mond houden.

Mijn bedoeling was kennis uitlokken.

Over te weinig kennis hier ben ik je mening dus echter niet toegedaan.
Maar toch: my word is zip from now on.

Euuh, momenteel toch, tot ik het weer op mijn heupen krijg...

Als je echt serieus  bezig bent met een auto op water of koude kernfusie zul je minstens een Firmware wachtwoord moeten gebruiken samen met een hele zware stevige kluis voor je Mac. En met een pistool tegen je kop of die van een geliefde hoef je helemaal niet moeilijk te doen.

Las vandaag nog dat veel grote industriële enterprise systemen in fabrieken en nutsbedrijven gewoon online te benaderen zijn:  https://tweakers.net/nieuws/113427/veel-industriele-controlesystemen-zijn-via-internet-te-benaderen.html Dat lijkt me stukken ernstiger dan dit.