Einloggen | Ausloggen

Archiv-Suche Newsletter News mobil

RSS

c't 10/04

StartupItems absichern

Ich habe auf heise Security von einer Schwachstelle bezüglich der StartupItems unter Mac OS X gelesen. Was verbirgt sich eigentlich hinter diesem Begriff und wie kann ich mich gegen diese Schwachstelle schützen?

Ein so genanntes StartupItem ist nichts weiter als ein Verzeichnis, in dem ein Shell-Skript (oder ein anderes Programm) mit gleichem Namen wie das Verzeichnis und einige Konfigurationsdateien liegen. Der System-Starter von Mac OS X durchsucht beim Systemstart alle Verzeichnisse in /System/Library/StartupItems/ und /Library/Start-upItems/, ob sie den Strukturanforderungen genügen, und führt gegebenenfalls das darin enthaltene Programm aus - mit den Rechten des Super-Users root. Die StartupItems darf man nicht mit den Startobjekten aus den Systemeinstellungen verwechseln.

Standardmäßig existiert nur das Verzeichnis /System/Library/StartupItems, das alle von Apple mit dem Betriebssystem mitgelieferten StartupItems enthält. Das Verzeichnis /Library/StartupItems/ gibt es nur, wenn mindestens ein StartupItem nachträglich eingerichtet wurde. Zahlreiche Anwendungen tun dies, insbesondere solche, die darauf angewiesen sind, auch ohne angemeldeten Benutzer aktiv zu sein, etwa Server-Dienste oder Treiber für Hardware-Erweiterungen.

Problematisch wird es, wenn ein Installer die Rechte des StartupItem, also eines Verzeichnisses in /Library/StartupItems/, nachlässig setzt. Statt solch einen Ordner nur root und den Mitgliedern der Gruppe wheel (das ist standardmäßig unter Mac OS X nur root) zugänglich zu machen, erlauben viele Installer dies auch den Angehörigen der Gruppe admin. Da standardmäßig viele Anwender mit dem bei der Installation angelegten Benutzer arbeiten, der zur admin-Gruppe gehört, hat bösartige Software unter Umständen ein leichtes Spiel. Sie kann dann ohne ein Passwort anfordern zu müssen, ein schlecht geschütztes StartupItem modifizieren und so ein Programm ins System einschleusen, das beim nächsten Systemstart mit root-Rechten Daten nach Lust und Laune ausspähen oder sogar löschen kann.

Da Apples Festplatten-Dienstprogramm von Mac OS X 10.3 über „Volume-Zugriffsrechte reparieren“ lediglich /Library/StartupItems/ selbst und nicht dessen Inhalt berücksichtigt, muss man im Terminal selbst Hand anlegen. Über

sudo chown -R root:wheel /Library/StartupItems/

Man gräbt bösen Programmen außerdem (zumindest etwas) das Wasser ab, indem man mit einem Benutzerkonto arbeitet, das nicht zur Gruppe der Administratoren gehört. Ein neues Konto legen Sie in den Systemeinstellungen unter Benutzer an. Deaktivieren Sie die Option „Der Benutzer darf diesen Computer verwalten“, um ein Konto aus der admin-Gruppe zu entfernen. Über den „Schnellen Benutzerwechsel“ in den Anmelde-Optionen kann man bei Bedarf dennoch schnell auf einen Admin-User umschalten.

Als weitere Sicherheitsmaßnahme versteht sich ferner von selbst, dass man keine Programme startet, die nicht aus einer zuverlässigen Quelle stammen. (adb)

Version zum Drucken | Per E-Mail versenden | Heft bestellen

Permalink: http://heise.de/-316504

Leserbrief schreiben

Das aktuelle Heft ist jetzt im Handel erhältlich.
Ältere Artikel können Sie über unser Zeitschriften-Archiv bestellen.

Von großen Brüdern und starken Kindern

Intel bringt neue, preiswertere Xeon-Prozessoren der E5-Familie, Nvidia stellt den gigantischen Chip Kepler 2 vor und AMD lässt Trinity vom Stapel – und verliert seinen Bulldozer-Chefentwickler. Mehr…

c't-Videos

c't-Pin: virtueller Flipper im echten Gehäuse Früher gab es keine Kneipe ohne Flipper, heute bilden Emulatoren die Kugelmaschinen originalgetreu nach – bis hin zu Rüttelsensor und Münzprüfer.

Gaming-Mäuse im Alltagseinsatz Wer den PC zur Bildbearbeitung, zum Videoschnitt, 3D-Modelling oder Musizieren nutzt, kann sich die zusätzlichen Fähigkeiten einer Gaming-Maus zunutze machen.

Revision 2012: Die Höhepunkte Auf der Revision 2012 zeigten Programmierer ihre audiovisuellen Kunstwerke. c't zeigt eine kurze Übersicht der gezeigten Highlights.

Worte und Winken statt Fernbedienung Samsungs aktueller Top-Fernseher UE46ES8090 gehorcht aufs Wort – theoretisch. Wir haben die Sprach- und Gestensteuerung ausprobiert.

Kopieren in 3D Mit Digitalkamera, Kinect oder Laser-Scanner kann man günstig Gegenstände in 3D-Modelle verwandeln. Wir zeigen verschiedene Methoden und deren Resultate.

Ubuntu 12.04 mit Long Term Support heise open Ubuntu 12.04 LTS Canonical garantiert jetzt auch für Desktop-Installationen fünf Jahre Updates.

Hardware Hacks Schrittmotorsteuerung aus China Eine luxuriöse 2,5A-Schrittmotorsteuerung mit modernen Toshiba-Chips, Optokoppler-Trennung und 3-Achs-Weganzeige für nicht mal 100 Euro: Klingt verlockend. Ob das ebay-Angebot nicht doch einen Haken hat?

heise Netze IPv6 durch die Hintertür Ein billiger Zusatz-Router versorgt das LAN mit IPv6 – sogar dann, wenn Provider und vorhandener Router davon nichts verstehen.

Software-Verzeichnis

Apps für iPhone und iPad 60 empfehlenswerte Anwendungen, die mehr aus den Mobilgeräten herausholen

Updates
Neuzugänge
Top-3
Bestbewertet

MailCheck 2 Überprüfung von POP3- und IMAP4-Postfächern mit SSL-Unterstützung; konfigurierbare Benachrichtigung bei neuen Mails, unerwünschte E-Mails können ...

Photosynth Mobile Panoramabild-Software für iOS-Geräte mit Kamera; bietet diverse Funktionen zum Erstellen, Bearbeiten, Veröffentlichen und Austauschen von ...

No Plugins Today Lässt alle Einträge vom Today-Screen des Pocket PC verschwinden und zeigt sie beim zweiten Start des Programms wieder an

Alle Updates

WSPPDE Portable Entwicklungsumgebung für Python mit Fokus auf wissenschaftliche Entwicklungen ...

Cliphist2 Zeigt die Historie des Textinhalts der Zwischenablage in einer Liste an; ermöglicht es unter anderem, die Listeneinträge zu bearbeitet und als ...

zeitzeuge Zeiterfassungs-Tool, das einzelnen Projekten Kunden und Stundensätze zuweisen kann sowie Berichte in Excel exportiert

Alle Neuzugänge

IrfanView Schneller Viewer für diverse Bildformate, spielt über Plug-ins auch andere Multimedia-Formate ab und kann unter anderem Bilder mit diversen Effekten ...

H2testw Integritätstest für Datenträger, vor allem zur Erkennung manipulierter USB-Sticks (siehe auch c't 1/08, S. 24) ...

GIMP Professionelle Bildbearbeitung, die alle dafür wichtigen Werkzeuge bietet, zahlreiche Filter und Effekte enthält sowie Ebenen unterstützt ...

Alle Top-Downloads

WSUS Offline Update (ehemals c't Offline Update) Skriptsammlung, die sämtliche Updates für Windows XP, Server 2003, Server 2008, Vista oder Windows 7 sowie für Office herunterlädt und daraus ...

TrueCrypt Legt verschlüsselte Festplattenpartitionen an, die nur unter Zuhilfenahme des richtigen Passworts gelesen und beschrieben werden können ...

PuTTY SSH-, Telnet- und Rlogin-Client mit einem xterm-Terminal-Emulator, Version für Symbian-Smartphones ebenfalls verfügbar

Alle am besten bewerteten Programme

Artikel | Hotline | Hilfe | Allgemein

Häufig diskutierte Themen

c't Digitale Fotografie Auf 194 Seiten: Test Kompakt- und Systemkameras, Fotoeffekte mit Rauch, Bildgestaltung, Studiolicht für zu Hause, Scanner als Makrokamera, iPad am Set; auf DVD: 2 Vollversionen, Video-Workshops, E-Book (280 Seiten)

c't > Hotline & FAQ

StartupItems absichern

Von großen Brüdern und starken Kindern

c't-Videos

Software-Verzeichnis

Häufig diskutierte Themen