Hacking-Wettbewerbe gegen Mac OS X
Ziel des Hacking-Wettbewerbs "rm-my-mac" war es, root-Zugriff auf einen Mac-mini-Server zu erhalten. In nur einer halben Stunde war der Rechner mit Mac OS X 10.4.5 gehackt.
Am 22. Februar ging der Hacking-Wettbewerb "rm-my-mac" online, dessen Ziel es war, root-Zugriff auf den als Server aufgestellten Mac mini zu erhalten – in nur einer halben Stunde war der Rechner mit Mac OS X 10.4.5 geknackt. Die Hürde zum Hacken des Rechners wurde vom Veranstalter allerdings etwas niedriger gelegt, da er einen LDAP-Server zum Einrichten eigener eingeschränkter Benutzer-Accounts eingerichtet hatte. Somit war ein lokaler Zugriff auf die Maschine möglich, die Teilnehmer konnten sich auf dem Server umsehen.
So suchte der Gewinner mit dem Pseudonym Gwerdna nach eigenen Angaben zwischen 10 und 20 Minuten nach ausnutzbaren Fehlkonfigurationen, bis er sich entschloss, einen bisher unveröffentlichten Exploit anzuwenden und so seine Zugriffsrechte zu erhöhen. Weitere Details nannte er bisher nicht. Allerdings äußerte Gwerdna gegenüber australischen Medien, dass Mac OS X noch zahlreiche, leicht aufzufindende Schwachstellen enthalte. Nur aufgrund der geringen Verbreitung der Macs hätten Sicherheitsspezialisten noch keine intensiveren Untersuchungen an den Apple-Rechnern durchgeführt.
Mit dieser Ansicht steht Gwerdna nicht alleine da: Auch der Sicherheitsexperte Neil Archibald von Suresec, der schon mehrere Schwachstellen in Mac OS X entdeckt und veröffentlicht hat, meinte gegenüber Medien aus "Down-Under", von mehreren bislang noch offenen Schwachstellen in Mac OS X zu wissen, die Angreifer zum Kompromittieren von Macs ausnutzen könnten. Er schränkte aber ein, dass Macs ziemlich sicher seien, da ihr Marktanteil zu gering sei. Wäre dies anders, sähe laut Archibald die Situation für Mac OS X weitaus schlimmer aus als für Windows oder Unix.
Da einige Mac-Nutzer den "rm-my-mac"-Wettbewerb für unseriös halten, haben sie einen ihrer Meinung nach fairen Wettbewerb mit dem Titel "Mac OS X Security Challenge" gestartet, der ohne lokale Zugriffsmöglichkeiten die Sicherheit des Systems beweisen soll. Der neue Wettbewerb endet am 10. März.
Siehe dazu auch: (dmk)
- Homepage zum "rm-my-mac"-Wettbewerb
- Mac OS X Security Challenge der Universität Wisconsin
