Anonymisierung SMBIOS

    Hallo Forum,


    ... kurze Nachfrage

    ... warum anonymisiert man die Werte von SMBIOS, wenn man beispielsweise eine config.plist weitergibt?

    ... oder im anderen Deutsch: wie kann man theoretisch/praktisch die eines anderen missbrauchen?

    ========

    Schützt unsere Kinder, das wichtigste, das die Menschheit hat.

    =====

    42

    (H2G2)

    We have the first snowflake. Now let's build a blizzard. - Douglas Adams

    Weil


    1. du froh sein kannst wenn du eine „gültige“ Nummernkobi hast die von iCloud akzeptiert wird


    2. damit dein Rechner als vertrauenswürdiges Gerät hinterlegt werden kann zu deinen Daten

    Es gibt im SMBIOS 4 neuralgische Werte die Apple verwendet um den Rechner an die AppleID zu binden (zu registrieren wenn man sich anmeldet). Neben der Seriennummer (SN) sind das die MainLogicBoard Nr (MLB), die Mac Adresse des EN0 Device (ROM) und die Hardware UUID. All diese Werte sind im Apple Universum eindeutig sprich es kann sie in der jeweiligen Kombination nur einmal geben (in der Theorie zumindest) was gleichbedeutend damit ist das eben diese Werte Kombination auch immer nur einer AppleID zugeordnet sein kann. Die Zuordnung eines Geräts zu einer AppleID ist die Basis für alle iCloud bezogenen Funktionen wie etwa iMessage, Facetime aber eben auch Universal Clipboard, Handoff und Continuity. Apple ist beim Check dieser Dinge ziemlich konservativ und kann das auch sein weil es unter normalen Umständen ausgeschlossen ist das sich an Apple Hardware einer dieser vier Werte zur Lebenszeit des Rechners ändert.


    Was die Frage nach dem Missbrauch der Werte angeht man kann sie nicht wirklich missbrauchen allerdings führt die Nutzung gleicher SMBIOS Werte auf unterschiedlichen Geräten die möglicherweise dann noch zeitgleich mit unterschiedlichen IP Adressen von unterschiedlichen Ecken der Welt mit unterschiedlichen AppleID's betrieben werden früher oder später dazu das alle AppleID's ausser der ersten auf die die Werte registriert wurden bei Apple auf der Blacklist landen und von der Nutzung bestimmter Dienste ausgeschlossen werden (ist zum Beispiel einer der Gründe für die Anzeige des SupportCodes bei iMessage).

    Haswell, Notebook

    Danke griven das war die ausführliche Version :-)

    • Danke für den Tipp!
    • Hab' bei Deinem Link auch nochmals nachgedacht, nachgeschaut und aufgefrischt.
    • Ist z.B.: für die iServices wichtig https://dortania.github.io/Ope…ices.html#using-macserial
    • Wenn zwei die gleiche SystemSerialNumber haben, dann wird es wohl nicht mehr klappen
    • Bei den Original-Macs ist die Nummer eindeutig (Hardware), wir "suchen" praktisch Lücken.
    • Übrigens die MAC-Adresse beispielsweise ist weltweit eindeutig, geht aber (im IP-Header) nicht über das Internet. - Man kann natürlich IP-Pakete verschicken, wo man in den Daten MAC-Adressen mitschickt, wenn man das will. (In den Daten kann man reinpacken was man will, dafür ist das Internet ja da ;-)).
    • Man kann auch an der MAC rummanipulieren, im eigenen Netz kann man machen was man will.
    • Im Firmennetz fällt das durch geeignete Maßnahmen Kombination Hardware/Software sofort auf. Von solchen Kindergarten-Versuchen lässt sich eine Firma nicht in die Suppe spucken.

    ... mit der ersten Hälfte komme ich zu spät, sorry hatte den Eintrag von griven noch nicht gelesen

    ... bleibt noch die zweite Hälfte mit der MAC

    ========

    Schützt unsere Kinder, das wichtigste, das die Menschheit hat.

    =====

    42

    (H2G2)

    We have the first snowflake. Now let's build a blizzard. - Douglas Adams

    Naja Apple wertet die MAC Adresse auch nicht über den Http Header aus bzw. überträgt sie nicht darüber sondern sammelt die Informationen auf andere Weise. Die Crux an der Stelle ist auch nicht jeder Wert für sich genommen sondern halt die Kombination aller vier Werte die als solche eindeutig und stimmig sein muss (SN und MLB müssen zumindest logisch korrekt und nicht vergeben sein). Was die MAC und die UUID angeht kann man im Normalfall die Werte der vorhandenen Hardware verwenden da im Idealfall auch hier eine Eindeutigkeit zumindest theoretisch gegeben sein sollte. In der Praxis sind auch MAC Adresse nicht eindeutig (schon lange nicht mehr) und Apple weiß das natürlich daher geht in die Checks (unbestätigt, aber wahrscheinlich) auch eine gewisse Gewichtung mit ein...


    Was die iCloud Services angeht scheint es bei Apple nicht nur eine Blacklist zu geben sondern auch eine Art Whitelist denn es gibt AppleID's denen die Nutzung aller Services auf egal welcher Nummern Kombination erlaubt ist hier scheinen entweder gar keine oder nur sehr lasche Checks stattzufinden.

    Haswell, Notebook

    Ich könnte mir vorstellen, dass eine "wohlwollende" (oder keine?) Prüfung stattfindet wenn unter der ID bereits diverse andere, original Apple Geräte registriert sind und ein gewisser Umsatz über die ID generiert wird. Ich habe die von mir genutzte Seriennummer kürzlich auch mal überprüft, ist ungültig. Dennoch funktionieren alle iServices und haben auch sonst immer funktioniert.

    Grüße, MacDream

    Meine Hardware

    In Apples Welt werden auch die Serien-Nummern sehr direkt aus der Hardware generiert. Zahlen und Buchstaben zeigen Herstellungsort (früher auch Montage-Ort), Herstellungsdatum und eine ungefähre Angabe der Hardware, die MLB-Nummer ist im Prinzip sehr ähnlich aufgebaut, aber das eingebaute Datum muss natürlich vor dem Montage-Datum liegen. Die ROM-Nummer war ursprünglich ein Abschnitt der ID des ersten FW-Anschlusses, aber den gibt‘s ja eigentlich nicht mehr. So ist es jetzt im Original die En-0-Netzwerk-id. Und die beiden von Apple verwendeten langen UUIDs sind direkt voneinander mathematisch abhängig (ich kenn aber die Formel nicht..).
    Da kann man also viele Fehler gegenüber dem Original einbauen, aber so lange die Nummern nicht schon gelistet sind, bekommt man die Freigabe von Apple-Diensten schlimmstenfalls verzögert. Ne Woche warten ist zwar nicht schön, aber ..

    Meine Rechner


    :hackintosh:

    HAI leider muss ich dich enttäuschen. Eine MAC kann man durchaus so verändern das diese als die Originale gilt.

    Das ganze nennt sich MAC Spoofing.

    Da die MAC Adresse auf Layer 2a des OSI Modells agiert, hast du lediglich eine eingeschränkte (work as designed) möglichkeit das ab zu sichern.

    Ist ein Netzwerkgerät nicht vorhanden und wird durch ein gespooftes Gerät ersetzt geht der ganze ärger schon los.

    Denn nur bestimmte Hardware ist davor gefeit (bestimmte Router / Switche), jeder Client mit einer MAC Adresse (NICs, Blutooth Adapter) kann demnach gespooft werden.


    Beispiel: ein ziemlich aktuelles verfahren bei Mobilgeräten generiert bei jeder verbindung im Wifi eine neue MAC, ist im endeffekt nichts anderes als Spoofing da die richtige MAC nicht übertragen sondern vorher randomisiert wird.

    Warum macht man das? Nun das dient der Anonymisierung der Geräte, da die MAC ohne Probleme kopiert werden könnte (Wifi Spoofing als beispiel).
    Deswegen sollte man Öffentliche Hotspots auch nicht ohne sichere Verfahren nutzen (MAC Randomisierung in verbindung mit VPN z.b.).

    Kannst du alles mit boradmitteln prüfen, am mac mit netstat oder arp -a.

    Daher ist die MAC zwar normalerweise eingebrannt in der Firmware des Controllers, hat allerdings keine wirkliche aussagekraft über die sicherheit.

    Bei der eindeutigkeit hast du insoweit recht, das diese zwar vorhanden ist, aber es gab auch schon fälle wo diese auf zwei baugleichen geräten genutzt und daher zu lustigen fehlern im system führen konnte.

    griven und den Rest.


    Zu der weltweiten Eindeutigkeit habe ich noch eine Ergänzung: Sie sind immer noch eindeutig und werden es noch sehr sehr viele Jahre sein.


    (Schätzungen "wie lange die noch reichen" werden oft getätigt, ohne die Grundlagen der Schätzung darzulegen, sowas ist so gut wie nichts wert (an einer Stelle wurde beispielsweise das Jahr 2100 benannt))


    https://www.heise.de/ct/hotlin…n-auch-knapp-1183242.html



    Ich musste auch kurz nachdenken, die Rechnung ist selbstverständlich korrekt. (c't ist seit Jahrzehnten Referenz, wo anders muss man dann üblicherweise nicht schauen, Internet ist geduldig)


    48-2=46 (2 Bits sind reserviert) sind eben die 70 Billionen. Jetzt kommt wahrscheinlich der Einwand, das die ersten doch für den Hersteller reserviert sind. Ist irrelevant, da diese 3 Byte selbstverständlich ebenso alle Möglichkeiten haben (alle 0/1 Kombinationen in 3-Byte). Damit ist 46 hoch 2 korrekt.


    Anm: Es sind natürlich noch nicht alle 3-Byte Werte für Hersteller vergeben.


    Genau darauf bezieht sich folgender Satz:



    Summa summarum am Ende des Artikels: Für das Ethernet müssen 70 Billionen reichen.


    "Das reicht für rund 10.000 Geräte pro Person der Weltbevölkerung."


    Hoffe, ich konnte das gut rüberbringen.

    Bei Rückfragen, immer wieder gerne.

    Harry.

    ========

    Schützt unsere Kinder, das wichtigste, das die Menschheit hat.

    =====

    42

    (H2G2)

    We have the first snowflake. Now let's build a blizzard. - Douglas Adams

    Hä? Eben noch bei MAC Adressen nun der Unterschied bzw. die Notwendigkeit von IPv6 gegenüber IPv4???


    Ich komme bei diesen ausufernden Darlegungen in denen in Themen gesprungen wird nicht gut mit, bzw. will es nicht -.-

    ozw00d

    Zitat

    Im Firmennetz fällt das durch geeignete Maßnahmen Kombination Hardware/Software sofort auf. Von solchen Kindergarten-Versuchen lässt sich eine Firma nicht in die Suppe spucken.

    Hatte ich oben geschrieben, d.h., daß Du in deinem Heimnetz oder in anderen "kleinen" Netzen machen kannst, was Du willst (halt nicht erwischen lassen). In einem Firmennetz ist solcher Kindergarten nicht möglich. (Einen Einwand, dass das eine Menge kostet, kann ich nicht gelten lassen.)


    VPN, wie Du sagst, ist schon einmal ein sehr guter Anfang von Allem, da es ein sehr gutes Produkt ist.


    Dann gebe ich hier noch einen Tip zu Wlan:


    Fast jede Billigbox hat einen "Gastzugang":



    Dazu sind Freunde Kollegen (das können natürlich insbesondere auch Forums-Teilnehmer sein) da, um dieses Wissen zum Beispiel auch an Otto-Normal-Verbraucher zu transportieren.


    Habe nicht nachgeschaut, ist wahrscheinlich so implementiert:


    Die zwei Netze haben eine unterschiedliche Netzwerkwerkkennung. Dann muss der Router nur nicht ins Privatnetz routen. Das ist Netzwerk-Standard. (Wenn ich das einen Otto-Normal-Verbraucher erklären würde, würde ich sagen, das ist eine Firewall. Mit einem Techniker kann ich mich anders unterhalten).


    Im MAC-Bereich kann dann machen was man will (Spoofen/Groofen/...), da ist nix zu holen.


    ==

    Ergänzung:

    Unter /Diagnose/Sicherheit


    hat man eine Zusammenfassung der sicherheitsrelevanten Parameter und Hinweise.


    Dies kann man per "Push Mail" versenden, oder auch zu AVM schicken. Push habe ich noch nicht gefunden.


    Schnelle Lösung:


    Drucken nach PDF (möglich), dann kann man sich das vom Kumpel schicken lassen, ohne, dass man vor Ort sein muss.


    (Bitte nicht den Sicherheitsaspekt mit Senden E-Mails ansprechen, es gibt genügend "sichere E-Mail" - Verfahren. Bruce Schneier, anerkannter Sicherheits-/Crypto Experte, war am berühmten keepass zumindest beteiligt hat wohl mal gesagt, dass der sicherste Rechner kein Internet hat und auf einer Insel 10 Meter vergraben ist)). Wenn man "online" gehen will hat glaube ich OSX schon was eingebaut, ansonsten halt VNC bzw TeamViewer etc auch eine Alternative.


    Viele Fernzugänge auf Fritzboxen lehne ich ab, da ein Fehler auf meinem Rechner zur Öffnung aller Fritz-Boxen führen kann. Ich sehe auch keine "Verwaltung", d.h. man hat wohl keine Oberfläche, wo man über eine Übersicht dann die einzelnen Boxen anspringen kann.


    Zum Thema "Gastzugang" habe ich nach der obigen Diagnose nochmals nachgeschaut. In der Hilfe meiner Fritz!Box "6490 Cable" steht, wie man den Gastzugang einrichtet, noch weiter die Anforderung mindestens Fritz!OS 7.25 und man soll einen Update machen. Wird bei mir aber abgelehnt, da die OS-Version angeblich aktuell ist. (weiterhin die Empfehlung "Gastzugang" aktivieren, wo es geht).


    Die aktuellen Fritz!Boxen sollten aber dieses Feature haben. Im anderen Fall, können wir noch überlegen (ausarbeiten) was wohl mit diesen Vorgaben die "sicherste Lösung" ist.


    Telekom-Boxen sind (häufig auch AVM Boxen, wie auch bei 1&1 (sehr sicher da steht das Logo drauf)). Deshalb kann man da auch schauen, ob es dieses Sicherheits-Feature gibt.


    Anm:


    Das wird hier ziemlich lang, ist aber, wie man sieht, kein einfaches Thema, wenn man es "gesamt" betrachtet. Deshalb ist letztendlich der Benutzerkreis eingeschränkt auf die, die sich damit auskennen. Das ist überall so. Löst sich wahrscheinlich von alleine, weil man selbst "filtert" und dann "aussteigt". (tl;dr)


    Habe bei "AVM" ein Ticket am Laufen, da der Zugang im lokalen Netz über http und nicht über einen https Zugang (Fritz!Box) erfolgt. Damit läuft im lokalen Netz das Passwort im Klartext über die Leitung. Eines der Grundprinzipien eines erfahrenen Netzwerkers heisst:

    Der grösste Feind ist der von innen.


    Hier bin ich mir sehr sicher und auch dass dies eine leicht zu behebende Sicherheits-Lücke ist.


    ... siehe dazu auch als Beleg folgendes Bild

    ... und eindeutig in der Beschreibung



    Wie immer, auch ich lerne noch gern dazu.

    Ein "Like" reicht prinzipiell aus, dann sehe ich, dass ich keinen "Schmarrn" erzähle und habe ein Feedback.

    Feedback, Rückfragen immer willkommen.


    Danke

    Harry.


    Ausblick:


    Wenn einer glaubt sein Rechner ist sicher, egal welches OS. Sobald DDR-RAM (schliesst auch ECC-RAM ein) installiert ist, kann man von innen und von außen ein OS zum Abstürzen und/oder auch "root" werden, mit "root" kann man es dann auch letztendlich komplett zerstören.


    Für Otto-Normal-User:

    Man "hämmert" (man braucht die gar nicht zu schreiben) solange auf eine Speicher-Adresse ein, bis Bits in Nachbar-Adressen umkippen. Das ist ein Fehler im D-RAM (Hardware-Fehler).


    Das ist natürlich insbesondere auch für alle Cloud-Anbieter (AMAZON/SAP/MICROSOFT/GOOGLE/APPLE) ein Riesen-Problem, drum wird hier eifrig geforscht.


    Einstieg:

    https://de.wikipedia.org/wiki/Rowhammer

    HAI zu dem Picture mit der "unsicheren" verbindung:
    Ist easy und aht nichts mit unsicher im sinne von unsicher zu schaffen.


    Das liegt einzig und allein an dem von der Fritzbox erstellen ( ja das wird durch diese erstellt) Zertifikat.

    Wenn du dieses als .pem zb selbst generierst oder durch ein letsencrypt zertifikat ersetzt (voraussetzung du teilst dieses in dem entsprechendem zertifikatsspeicher deiner clients mit) dann poppt die meldung nicht mehr auf.


    Die meldung schmeisst normalerweise jeder halbwegs sichere browser aus, einfach aus dem Grund weil dem client/browser store das zertifikat nicht bekannt ist ;)

    Hi ozw00d , Danke für Deine Info.


    Deine Vorgehensweise scheint mir sehr plausibel, da ich mich im Umfeld Zertifikate auch ein bischen auskenne.


    Da die "richtige" Vorgehensweise mit lokaler "Administration" verbunden ist, müsste jeder mit Fritz!Box diese Aktionen auf seiner Kiste durchführen.


    Da ich diese händischen Aktionen von Null anderen "https" kenne, gehe ich davon aus, dass das AVM regeln muss.


    Folgende Angaben finde ich bzgl. des Zertifikats:



    Ich meine, ich hätte obiges Owner: This website does not supply ownership information schon mal im Web gesehen.


    Wie Du richtig gesagt hast, ist es sicher im Thema Zertifikat.


    Habe auch zusätzlich "Safari! getestet, da Firefox auch irgendwo bemerkt, ich hätte irgendwelche "Exceptions".


    Safari ohne Extensions verhält sich dabei auch nicht augenscheinlich anders.



    Spuckt aber kompaktere Ausgaben, die Deine Aussage auch wieder zu 100% belegen. Prima.


    Folgende Anzeige im "Safari" zeigt, dass das "root certificate is not trusted"


    Obiger "Common Name" ist wohl der "Common Name" in der Spezifikation von "X.509".


    (Reverse Engineering: Wenn man das selbst regeln müsste, damit niemand meckert und man dann sorgenlos und ohne Meldungen/Error sauber reinkommt, müsste das dann doch mindestens bei AVM dokumentiert werden.)


    Macht die letzte Aussage Deiner Meinung nach Sinn?

    Harry

    HAI

    Ich bin tatsächlich überrascht wie du deinen eigenen Thread von "Kuchen backen" nach "Ars**backen" selbstständig ins Off-Topic führst.


    Was haben

    • das Anonymisieren eines SMBIOS,
    • die Frage nach "Werden MAC-Adressen auch knapp"
    • und die Zertifikate einer Fritz-Box

    miteinander zu tun, dass sie gemeinsam in diesem einen Thread, im Bereich "Installation Allgemein", so unnötig breit getreten werden?


    Es handelt sich weder um einen geordneten Beitrag für den allgemeinen Punkt der Hackintoh-Installation, noch schafft man hier den Fokus auf ein Thema des Bereichs.


    Nimm dir die Zeit und sortiere deine Gedanken bevor du einen Beitrag postest und das Forum mit deinen Ansichten überschüttest.

    Das erspart dir auch das immer wieder auftretende Editieren und Ergänzen deiner Beiträge.


    Danke im Voraus.

    Gruß
    Al6042

    Zeug mit dem ich so rum hantiere...

    Keine Unterstützung per PN oder Pinnwand... Eure Anfragen gehören ins Forum, nicht in mein Postfach!

    al6042


    Sorry, hier habe ich wohl einen Fehler gemacht und das Ganze verbockt. Deshalb habe ich hier versucht, diesen Knoten aufzulösen.

    Zu dem Beitrag weltweite MAC-Adresse. Hatte weiter oben gelesen, dass die MAC nicht mehr eindeutig ist. Deshalb wollte ich hierzu was beitragen.


    MAC


    In neues Thema "MAC Adresse". o.ä.



    ========


    folgende Beiträge


    sec01


    sec02


    sec03


    sec04



    Nach neuen Thema "FritzBox Zugang, Sicherheit," bringen.


    ozw00d hat hier folgendes Ergebnis erarbeitet:


    https://avm.de/service/wissens…-am-Computer-importieren/



    Harry

    ========

    Schützt unsere Kinder, das wichtigste, das die Menschheit hat.

    =====

    42

    (H2G2)

    We have the first snowflake. Now let's build a blizzard. - Douglas Adams