Right now, many OS X users still think their system is bulletproof, and some people are interested on making it look that way.
Erinnert sich noch jemand an diesen Ausspruch? Den gab es im letzten Dezember von einem Hacker namen LHM zum Start des Month of Apple Bugs. Seit dem Aufruf wurden zwar ein paar Sicherheitslecks gefunden, aber nichts Weltbewegendes. Habt ihr seit dem irgendwas an euren Sicherheitseinstellungen auf euren Macs geändert? Oder glaubt ihr noch immer, dass euer Mac kugelsicher ist?
Im folgenden mache ich ein paar Vorschläge, damit euer Mac eine Burg bleibt…
I recommend that Mac users make their primary user a non-admin account, use a separate keychain for important passwords, and store sensitive documents in a separate encrypted disk image. I think these are fairly straightforward steps that many users can take to better protect their sensitive information on their computer.
…so Dino Dai Zovi ein Hacker, dem es auf einer Sicherheitskonferenz gelang einen Mac zu knacken. Und das geht so:
1. Kein Admin sein
Folgt man seinen Ratschlägen, legt man unter Systemeinstellungen > Benutzer einen neuen Nutzer an und löscht bei dem bisherigen Standardnutzer den Haken bei: “Der Benutzer darf diesen Computer verwalten.” Danach muss man sich für Änderungen an den Systemeinstellungen das Admin-Login angeben. Außerdem ist der Programme-Ordner schreibgeschützt und man muss kann aber den lokalen Programme-Ordner nutzen.
2. Daten verschlüsseln
Wie man ein verschlüsseltes Disk Image anlegt hatte ich schon mal beschrieben.
3. Firewall aktivieren
Sogar Microsoft hat es mittlerweile geschafft eine Firewall bei Windows mitzuliefern. Die ist sogar bei XP standardmäßig aktiviert und hat so ein kleines Schild, mit dem es in der Taskleiste nervt. Was ist denn mit eurer Firewall? Hat der Mac eine? Ist die aktiviert?
…
Die Antworten lauten: ja und nein. Unter Systemeinstellungen > Sharing kann man seine Firewall finden und aktivieren. Jetzt kann man die Dienste die man zulassen will per Häkchen aktivieren. Zusätzlich sollte man unter weitere Optionen den Tarnmodus aktivieren und wenn man auf Firesharing verzichtet den UDP-Verkehr blockieren.
4. Netzwerkverkehr noch genauer verfolgen
…mittels Little Snitch, einem Programm welches die ausgehenden Netzwerkaufrufe kontrolliert. Es meldet sich zu Wort, wenn ein Programm versucht eine Adresse im Internet zu kontakten. Dann kann man bestimmen, ob das Programm {diese | alle | keine} Adresse (und den Port) {jetzt | immer | nie} aufrufen darf. Diese Einstellung merkt sich der kleine Verräter für die Zukunft und schenkt einem die Kontrolle darüber, wer welche Daten wohin schicken will.
5. Auto-Login deaktivieren
…ist bei Laptops ziemlich ratsam. Einfach den Haken bei Systemeinstellungen > Sicherheit > Kennwort verlangen beim Beenden des Ruhezustands oder des Bildschirmschoners setzen.
Habt ihr noch Vorschläge?
hier finden sich noch ein paar hilfreiche dinge…
vorsicht mit den verschlüsselten disk-images. wenn der mac einfriert/abstürzt (ja sowas gibt es) während ein verschlüsseltes disk-image gemountet ist, kann man das disk-image in die tonne treten. es lässt sich nicht mehr öffnen. da ist ein reproduzierbares problem. so toll ich die crypteted dmg mag ist das risiko des datenverlusts einfach zu hoch. leider…
Wieso sollte man harmlose Pings blockieren? Man kann ein Notebook damit nicht tarnen
Ja, dieses Problem kann ich bestätigen. Und man kann nicht ständig eine Datensicherung erstellen.
Leider kann man ohne Verschlüsselung ein Notebook aber kaum noch sinnvoll mobil nutzen. Ich hoffe deshalb, dass «Leopard» endlich eine stabile Verschlüsselungsfunktion enthält wie man’s macht, zeigt Microsoft mit den entsprechend ausgerüsteten Windows Vista-Versionen.
Leider erfährt man unter http://www.lennartgroetzbach.de/blog/2006/12/21/datensicherung-mit-dem-mac nach dem Absenden des Kommentars, dass gar keine Kommentare mehr möglich sind *argh* Deshalb mein entsprechender Kommentar an dieser Stelle:
Mac OS X 10.4 «Tiger» kann leider keine Ordner verschlüsseln, im Gegensatz etwa zu Microsoft Windows. Ich hoffe, dass ändert sich mit «Leopard», denn Deine Lösung funktioniert zwar, ist aber nicht allzu flexibel man sollte beliebige Dateien und Ordner sicher verschlüsseln können.
Klar kannst du mit der Lösung beliebige Dateien und ordner verschlüsseln, da du durch die Images ein virtuelles Laufwerk erhälst.
Aber das Problem scheint ja eher dass mit dem “Sicher” zu sein.
P.S. Und Du kannst hier so viel wie Du magst kommentieren, nur wennn du das erste Mal hier was einträgst wird dein Kommentar moderiert, oder wenn du Links in deinen Kommentaren hast. Das ist nicht toll, weiss ich, aber bei noch 500-600 Kommentar Spams pro Tag nötig…