(Bewerkt door macsiem om 23:51, 12-07-2016)
malpiet om 23:26, 12-07-2016Ik begrijp er ook helemaal niets meer van wat hier wordt geschreven, het lijkt wel een wedstrijdje verpissen. Nogmaals heren het is voor de leek een wirwar van retoriek geworden. Indien de experts van mening zijn dat dit forum enkel voor de kenner is dan graag dit beamen dan zoek ik mijn heil wel elders.
Nieuw forumlid cyrano wou Apple gebruikers waarschuwen voor de onveiligheid van keychain.Conclusie in deze retoriek voor de meesten is dat er niets te waarschuwen valt.cyrano de geek concludeert daaruit dat de forumleden hier niet geïnteresseerd zijn in security.Nou ja, misschien brengt hij het ver als vriendelijke nerd.Zie:
'geek', wat vaak wordt gezien als de vriendelijkere versie van nerd. Hoewel er neerbuigend wordt gedaan over nerds, zijn er verschillende stereotype nerds die het heel ver hebben gebracht. Zo werd Mark Zuckerberg jarenlang als nerd gezien, totdat hij de social network site Facebook oprichtte en hier miljoenen mee verdiende.bron: https://www.ensie.nl/redactie-ensie/nerd
bron: https://www.ensie.nl/redactie-ensie/nerd
malpiet om 23:26, 12-07-2016Deze dan :Oh, hen aanraden Crome als browser te gebruiken is de (tijdelijke) oplossing totdat Apple de zaak weer voor elkaar heeft? Sorry hoor maar wat heeft een browser met mijn keychain en die command line te maken?
malpiet om 23:26, 12-07-2016Mijn keychain is beveiligd met een password dezelfde die je moet intikken als de schermbeveiliging intreedt. Ik mag ervan uitgaan dat dit veilig is?
(Bewerkt door boni om 0:04, 13-07-2016)
MacFrankie om 23:42, 12-07-2016Slotje!
MacFrankie om 23:42, 12-07-2016Dit is geen probleem.Je hebt fysiek toegang tot een Mac nodig, met daarop een oude OS X versie (in El Capitan is dit "probleem" opgelost). Je moet met het (admin) wachtwoord ingelogd zijn of moet het wachtwoord weten. Het gaat om een gewoon command line programma, wat werkt zoals het ontworpen is!Slotje!
Je hebt fysiek toegang tot een Mac nodig, met daarop een oude OS X versie (in El Capitan is dit "probleem" opgelost). Je moet met het (admin) wachtwoord ingelogd zijn of moet het wachtwoord weten. Het gaat om een gewoon command line programma, wat werkt zoals het ontworpen is!
Slotje!
Dit is in EC net hetzelfde als in vorige OS'en.
De enige vraag blijft waarom het voor sommigen niet werkt en voor de meeste anderen wel. Daar heb ik geen zicht op, vermits het bij mij wel werkt en degenen waar het niet werkt, niet precies rapporteren wat hun setup is.
Het is "by design", maar dan is de vraag waarom de GUI om het master paswoord vraagt (logisch) en de CLI niet (onlogisch).
Chrome heeft er verder niks mee te maken, het was alleen maar een opmerking dat apps de Keychain niet persé MOETEN gebruiken.
En het blijft zorgwekkend, vermits er al één stukje malware gevonden is dat deze methode gebruikt. Dat heeft gelukkig zo goed als geen verspreiding gekend, dat wel. Maar de methode is bekend.
Hetgeen ik geleerd heb, is dat de meerderheid niet eens in staat is om dit op een betrouwbare manier te testen.
@Pieter: bedankt voor de link naar YC, die had ik gemist. Maar ook daar een aantal mensen die de boot missen.@mod: is dat woord ook al schuttingtaal? Het staat gewoon in Van Dale en wordt dagelijks gebruikt zonder dat iemand er aanstoot aan neemt.
(Bewerkt door ardie om 1:57, 13-07-2016)
ardie om 0:31, 13-07-2016Ik begrijp er ook niets meer van.
ardie om 0:31, 13-07-2016Worden wij macgebruikers nu allemaal massaal gehackt ook al hebben we wachtwoorden in gesteld?
Moderator om 16:02, 12-07-2016De titel van dit draadje is aangepast (was "Mac security compleet naar de haaien")
@Ardie: er is niets aan de hand joh.Computer gewoon verder en laat dit topic voorbijgaan.
Dit hele onderwerp zaait verwarring, en voor de argeloze bezoeker onnodig paniek.
Mijn punt was: een Mac is een duur ding waar we allemaal van houden. Dus als die gestolen wordt:
Als jij Filevault en een goed password gebruikt - en niet automatisch inlogt bij opstarten (!) zit je goed. En met een Firmware wachtwoord nog extra zelfs.
Verder is ongeoorloofde fysieke toegang tot de machine terwijl jij op de plee zit of bij de koffieautomaat natuurlijk je eigen schuld. Je kunt heel makkelijk instellen dat er een password gevraagd wordt als jij even weg moet. Als je werk zo belangrijk is dat niemand het mag weten, en je loopt zo weg bij je machine... dat is dan dom.
De mens zelf is de grootste belemmerende factor op het gebied van veiligheid.
Voor mij mag ie dicht, dit paniekdraadje.
Zoals ik het nu begrijp, en zoals het nog niet uit deze nodeloos verhitte discussie is uitgekomen spreken we hier over 2 zaken, laat ons dat nu eens zéér duidelijk stellen:
- Een Terminal commando:
security dump-keychain -d login.keychain > keychain.txt
- En een Automator of Applescript:
tell application "System Events" repeat while exists (processes where name is "SecurityAgent") tell process "SecurityAgent" click button "Allow" of group * of window * end tell delay 0.4 end repeatend tell
Dat zijn 2 erg verschillende zaken, maar samen schijnen ze een zéér giftige combinatie te kunnen vormen.
Beide draaien blijkbaar niet samen onder Terminal; de eerste Command Line onder Terminal, het shellscript mogelijk onder Finder. Mogelijk onder TextWrangler of Smultron oid.
Maar als dat shellscript op 1 of andere manier auto-executable kan worden, voorzie ik het ergste.
Dat is een zéér gegronde reden om de think tank hier bij die zaak te houden ipv. in nodeloos gekibbel te vervallen.
Zijn jullie nog mee?Sla ik de bal volledig mis? Tik me dan stevig op de vingers, ik kan het hebben.Maar stop de bullshit.
Keychain password?Waarom?Wat is daarvan de toegevoegde waarde?
Mijn inlog password is toch voldoende?Mijn logica zegt als dat niet zo is waarom hoor ik daar niemand over?Wat is volgens de experts de echte oplossing om je Mac zo goed mogelijk te beveiligen?Heeft een iPhone ook meerdere mogelijkheden ipv enkel de inlogcode?
Nog eentje dan maar, hoe zit het met de schijven die worden ingenomen door Apple als er iets kapot is. Wat gebeurt er eigenlijk met die dingen? Wie controleert de mensen die aan die Macs werken?
MacMiep om 1:28, 13-07-2016Als jij Filevault en een goed password gebruikt - en niet automatisch inlogt bij opstarten (!) zit je goed. En met een Firmware wachtwoord nog extra zelfs.
MacFrankie om 1:12, 13-07-2016SLOTJE!Dit hele onderwerp zaait verwarring, en voor de argeloze bezoeker onnodig paniek.Ik denk dan even hardop. Waarom? Ik heb toch een password en filevault? Niemand kan toch bij mijn gegevens zonder mijn password? "
Ik denk dan even hardop. Waarom? Ik heb toch een password en filevault? Niemand kan toch bij mijn gegevens zonder mijn password? "
Beide zijn helemaal buiten dienst eens je de paswoorden hebt. Ook het paswoord van FileVault of een daarmee beveiligde partitie staat er in. Zo, leesbaar, voor iedereen die er in slaagt aan je Mac te komen. Ter plaatse en mogelijk ook op afstand.
Je moet dus er van uitgaan dat iedereen die aan je Mac kan komen, aan je gegevens kan komen. Omdat:
- Auto login en draaien als admin op je Mac ervoor zorgen dat je sleutelhanger ongesloten is voor de command-line. Eender wie kan je Mac aanzetten met auto login.
- Malware vanuit je browser, loopt met jouw rechten. Admin dus en weer wat minder kans om iets te merken van die malware. Een webpagina die een gat in Flash/Java/Javascript... misbruikt om dat commando te draaien, heeft het wel heel simpel: AL je paswoorden in een net lijstje.
Mij geen been gebroken. Ik draai in principe niet als admin en heb auto-login af. Dat zou voldoende moeten zijn, want als je de login reset via de recovery partitie, maak je meteen ook het sleutelhanger paswoord ongeldig.
Massa's draaien echter wel als admin én met auto-login.
Flix om 7:11, 13-07-2016CitaatMacMiep om 1:28, 13-07-2016Als jij Filevault en een goed password gebruikt - en niet automatisch inlogt bij opstarten (!) zit je goed. En met een Firmware wachtwoord nog extra zelfs.Als FV aan staat (wat tegenwoordig standaard is), dan is automatisch inloggen uitgeschakeld en dus niet eens mogelijk.
Tenzij je een encrypted partitie hebt met alleen dat en je systeem op een andere partitie. Maar, toegegeven, dat is een randgevalletje.
cyrano om 12:59, 13-07-2016CitaatMacFrankie om 1:12, 13-07-2016SLOTJE!Dit hele onderwerp zaait verwarring, en voor de argeloze bezoeker onnodig paniek.Ik denk dan even hardop. Waarom? Ik heb toch een password en filevault? Niemand kan toch bij mijn gegevens zonder mijn password? " Beide zijn helemaal buiten dienst eens je de paswoorden hebt. Ook het paswoord van FileVault of een daarmee beveiligde partitie staat er in. Zo, leesbaar, voor iedereen die er in slaagt aan je Mac te komen. Ter plaatse en mogelijk ook op afstand.Je moet dus er van uitgaan dat iedereen die aan je Mac kan komen, aan je gegevens kan komen. Omdat:- Auto login en draaien als admin op je Mac ervoor zorgen dat je sleutelhanger ongesloten is voor de command-line. Eender wie kan je Mac aanzetten met auto login.- Malware vanuit je browser, loopt met jouw rechten. Admin dus en weer wat minder kans om iets te merken van die malware. Een webpagina die een gat in Flash/Java/Javascript... misbruikt om dat commando te draaien, heeft het wel heel simpel: AL je paswoorden in een net lijstje.Mij geen been gebroken. Ik draai in principe niet als admin en heb auto-login af. Dat zou voldoende moeten zijn, want als je de login reset via de recovery partitie, maak je meteen ook het sleutelhanger paswoord ongeldig.Massa's draaien echter wel als admin én met auto-login.
Ik heb het vele malen gelezen maar ik begrijp er echt niets van. Beide zijn helemaal buiten dienst eens je de paswoorden hebt?Auto login en draaien als admin op je Mac ervoor zorgen dat je sleutelhanger ongesloten is voor de command-line. Eender wie kan je Mac aanzetten met auto login.
Afijn ik wil je een voorstel doen. Ik wil bij jou of bij mij afspreken dan overhandig ik jou mijn Macbook en dan ben ik benieuwd of jij daadwerkelijk bij mijn wachtwoorden kan komen ( keychain ). Ook ben ik benieuwd of jij überhaupt mijn Macbook zomaar kan opstarten.
cyrano om 12:59, 13-07-2016Ik draai in principe niet als admin en heb auto-login af.
En wil je aub goed opletten met citeren, je hebt iets op mijn conto geschoven wat ik nooit gezegd of getypt heb!
Voor de goede orde, het onderstaande is niet van mij afkomstig:
Ik denk dan even hardop.Waarom? Ik heb toch een password en filevault?Niemand kan toch bij mijn gegevens zonder mijn password?
malpiet om 13:54, 13-07-2016Afijn ik wil je een voorstel doen. Ik wil bij jou of bij mij afspreken dan overhandig ik jou mijn Macbook en dan ben ik benieuwd of jij daadwerkelijk bij mijn wachtwoorden kan komen ( keychain ). Ook ben ik benieuwd of jij überhaupt mijn Macbook zomaar kan opstarten.
Mits genoeg tijd, kan je ook een firmware paswoord verwijderen. Iemand met FileVault op de hele schijf, is pretty safe bij verlies of diefstal.
Tijd om na te kijken welke Macbook het is en tijd om de EFI te reflashen. Maar dat is hardware niveau. Iets heel anders. Maar met een RPi goed te doen.
Het "security" commando, dat meer kan via de CLI heeft ongekende consequenties. Ik beschouwde FV als een bastion, terwijl het eigenlijk maar een muurtje is.
Met andere woorden: ik kan dat niet op een uurtje.
Maar denk dan eens aan hoe jouw Mac vermoedelijk ingesteld is en hoe open die van velen is. Ik verwacht ook niet dat degenen die zo dagelijks hun Mac gebruiken, gaan veranderen.
tell application "System Events" set maxAttemptsToClick to 200 repeat while exists (processes where name is "SecurityAgent") if maxAttemptsToClick = 0 then exit repeat set maxAttemptsToClick to maxAttemptsToClick - 1 tell process "SecurityAgent" try click button 2 of window 1 on error keystroke " " end try end tell delay 0.2 end repeatend tell
Even recalibreren!
Voor een technische write-up moeten we ook alweer even wat terug, naar 2012, van Juuso Salonen:
http://juusosalonen.com/post/30923743427/breaking-into-the-os-x-keychain
I want to clear up some misconceptions. This is not a security bug in OS X. Everything works as designed.
What unlocking actually does or how the unlocked passwords are accessed is not documented. This is security through lack-of-documentation.
Wat ik er van begrijp is dat verschillende gaatjes, die dit mogelijk maakten, in de loop van de tijd toe getimmerd zijn. Vandaar dat het onder EC niet werkt, ook al omdat er geen root meer is.
De enige fundamentele vraag blijft: Waarom werkt dit niet in Sleutelhanger toegang?
malpiet om 3:09, 13-07-2016Slotje slotje argeloze domme Macliefhebbers die zich zorgen maken? Wat een dédain om zo te reageren. Als leek is het gewoon niet meer te volgen, jullie buitelen over elkaar heen om je gelijk te halen. Ik lees verschillende passwords. Firmware password?Waarom?Wat is daarvan de toegevoegde waarde?Keychain password?Waarom?Wat is daarvan de toegevoegde waarde?Mijn inlog password is toch voldoende?Mijn logica zegt als dat niet zo is waarom hoor ik daar niemand over?Wat is volgens de experts de echte oplossing om je Mac zo goed mogelijk te beveiligen?Heeft een iPhone ook meerdere mogelijkheden ipv enkel de inlogcode?Nog eentje dan maar, hoe zit het met de schijven die worden ingenomen door Apple als er iets kapot is. Wat gebeurt er eigenlijk met die dingen? Wie controleert de mensen die aan die Macs werken?
Een paar goeie vragen hier, en ik ben slechts een amateurtje:
- een firmware wachtwoord kan ik niet omzeilen maar dat kan wel even snel je Mac in een baksteen veranderen bij een foute login poging of software glitch. Daarna mag je naar Apple lopen om dat weer te omzeilen...En betalen daarvoor. En originele aankoopfactuur tonen.Daarom sta ik huiverig tgo een firmware wachtwoord.
- een administrator wachtwoord kan ik als amateurtje in enkele minuten omzeilen, en wel op - zo uit het hoofd- op 2 manieren. Terwijl ik mezelf dan admin maak.Probleem is wél dat ik dan de Keychain van de originele admin onbruikbaar maak. Ik kan daar dus niet meer aan, tenzij ik zou beschikken over het originele wachtwoord.
- een gebruikersaccount met een normaal inlog wachtwoord is een extra barrière.
- een sleutelhanger/keychain met een wachtwoord anders dan je login of administrator wachtwoord is nog eens een extra.
- Filevault encrypteert daar nog eens bovenop wat je files HDDs/SSDs betreft.
- Over 2 traps verificatie weet ik niks, maar dat is wellicht vooral voor je iCloud bescherming. Terecht
Dit lijkt een enorme berg bescherming, maar is het niet echt:
Als je dus zonder een user account draait, maar als admin, zonder login code, zonder Filevault, zonder apart Sleutelhanger wachtwoord , en zonder 2 traps verificatie, dan heb je nauwelijks nog veiligheid van je data.
- Keychain/ Sleutelhanger heeft een master code, waarmee al je andere codes worden beveiligd.
En daar gaat het in dit topic om: als sleutelhanger niet meer veilig is...
Tja, doe ik allemaal zelf niet, hoor...
cyrano om 6:43, 14-07-2016 Vandaar dat het onder EC niet werkt, ook al omdat er geen root meer is.
Hoezo geen root meer? Moet ik het nog eens herhalen dan? http://osxdaily.com/2015/10/05/disable-rootless-system-integrity-protection-mac-os-x/
"Vermits er onder EC standaard geen root meer is".
Het is al dat soort dingen, die nergens helemaal gedocumenteerd zijn, dat niemand nog precies weet wat de stand van zaken precies is.
Ik heb even zitten proberen onder Tiger en daar lijkt het gedrag me logischer...
Verder klopt je analyse, denk ik.
HEXDIY om 2:43, 13-07-2016Zijn jullie nog mee?
HEXDIY om 2:43, 13-07-2016...stop de bullshit.
Als jullie beiden eruit zijn of het nu wel degelijk een beveligingsprobleem is waarvoor de Mac-gemeenschap gewaarschuwd moet worden lezen we het wel.Dan trekken we mee aan de alarmbel en verspreiden mee het Apple nieuws dat het beveiligingssysteem van apple compleet naar de haaien is.
Tot nader order Macceren wij rustig onbezorgd verder en komen af en toe is kijken hier hoe het met jullie analyses staat.
Zie topic van Pieterr: http://www.macfreak.nl/forums/topic/18/6667/nieuw-in-sierra-gatekeeper-path-randomization/
Pieterr om 18:30, 7-07-2016Kan preventief werken voor recente OS X veiligheidsproblemen:https://tweakers.net/nieuws/113307/onderzoekers-vinden-os-x-malware-die-gegevens-uit-keychain-steelt.html
Jan met de Mac-pet lijkt echter niet gewaarschuwd te moeten worden maak ik op uit deze zin in het artikel:
"...waardoor ESET aanneemt dat de malware is gericht op leden van de onderwereld of op beveiligingsonderzoekers. "
Nah ja, voor malware altijd oppassen.Nooit ondoordacht ergens zitten op klikken in websites, sex en goksites (onderwereld) vermijden etc.Gekende weetjes.
post van 7 juli 2016 14:13Dus eigenlijk is er helemaal niets aan de hand tenzij de gebruiker actief besluit de boel te vertrouwen en vrij veel 'werk' steekt in het tijdelijk uitschakelen van Gatekeeper en daarna moet men ook nog eens een gebruikersnaam en wachtwoord invullen voor het zijn ding kan doen.. Ik snap dat het een lek is en vooral het extensie gedeelte wat vreemd is en als bug kan gezien worden maar de nieuwswaardigheid is net zo groot als ieder Virus waar men besluit de virusscanner te negeren en tegen beter weten in te handelen.
Dus eigenlijk is er helemaal niets aan de hand tenzij de gebruiker actief besluit de boel te vertrouwen en vrij veel 'werk' steekt in het tijdelijk uitschakelen van Gatekeeper en daarna moet men ook nog eens een gebruikersnaam en wachtwoord invullen voor het zijn ding kan doen..
Ik snap dat het een lek is en vooral het extensie gedeelte wat vreemd is en als bug kan gezien worden maar de nieuwswaardigheid is net zo groot als ieder Virus waar men besluit de virusscanner te negeren en tegen beter weten in te handelen.
Klikgeiten blijven bestaan, bezoekers van onderwereld sites ook, die moeten bij herhaling wel gewaarschuwd worden zoals vanouds.