header banner
Default

OCLP: Installeer Sonoma op een Mac die daarvoor niet geschikt was Veiligheid NL


Table of Contents

    Voor lezers : 'Sonoma' is de naam van de laatste versie van MacOS .

    Apple support installatie niet meer op oudere Macs, maar er zijn handige hackers die zorgen dat het toch kan door de delen van het OS die hardware support controlere eruit te patchen.

    Voor de vraag : dat kan niemand voorspellen, hoe dat balletje gaat rollen *als* het misgaat bij een bankier gebruik op een dergelijk OS platform .

    Je moet bedenken dat praktisch alles wat er de laatste tijd 'gehacked' werd aan bankier zaken helemaal NIETS te maken had met 'technische hacks van het platform' en alles met "overtuig de eindgebruiker om een remote management tool te installeren op z'n systeem waarna de criminelen zelf het geld overmaakten".

    Of nog botter : "overtuig de eindgebruiker om met al z'n veilige codes en apps zelf geld over te maken naar een bepaalde rekening , met het lulverhaal dat dat een kluisrekening is, of de rekening van de geldbehoevende dochter die zelfs niet kan videobellen" .

    De Kifid zaken die we hier zo af en toe langs zien komen - waarbij de schade bij de klant bleef liggen - was dat allemaal op die gronden (remote tool installeren en controle overgeven) .

    Maar je vraag is in zoverre al de verkeerde richting op : je desktop is NIET het beste platform om op te bankieren. Ook niet als het macos Sonoma op wel gesupporte hardware is.
    Je smartfoon is beter .

    Voor zover je toch je desktop gebruikt willen erg veel banken dat je de transactie bevestigd met je smartphone. En ja - dat IS veiliger.
    Juist omdat desktop platformen (met name Windows) erg gevoelig zijn voor malware - banking trojans die transacties maken/onderscheppen e.d.
    We horen er veel minder over nu de installed base naar de smartphone gegaan is.

    Uiteindelijk is het doel van de twee-factor modellen (calcalutor stijl of smartphone app) - een (extra) betrouwbaar endpoint zijn dat de transactie zoals de bank die ziet laat bevestigen door de gebruiker .
    Als je primair met een minder betrouwbaar platform (zoals een desktop os, al dan niet gepatched) werkt is de laatste barriere tegen technische hacks het controleren van de transactie op de app (cq het model van je calculatortje echt snappen).

    Ik gebruik OpenCore Legacy Patcher al een tijdje op een MacBookPro 9.1 uit 2012. Op dit moment bezig om MacOS 14 erop te knallen.
    Werkt als een zonnetje (ja met 14 moet ik dus nog testen).

    Wat de bank ervan vindt interesseert me niet. Denk je dat het risico groter is dan een oude Mac te gebruiken met een oud OS?

    Dit voelt toch een beetje of je een 2CV rijd, dan een EV-motor erin zet, dat verder niet bij je verzekeraar of RDW aangeeft en nog op een oude APK rondrijd.

    Tja, als je dan schade veroorzaakt (die ook nog voortkomt uit het hoge nieuwe vermogen), wat zal de verzekeraar dan zeggen?

    Ik zou het bij hobby houden op zo een systeem. Geen persoonsdata erop, geen shopping/bankzaken.

    Een simpel wel ondersteund mobieltje kan veiliger zijn. Of zet er gewoon een ondersteunde (bootcamp) windows op.

    Het risoco wordt niet groter door oude hardware. Het risico wordt groter door de beveiligingsmaatregelen die MacOS veiliger maker uit te zetten, wat nodig is om het op oude hardware te installeren

    Door Anoniem: Dit voelt toch een beetje of je een 2CV rijd, dan een EV-motor erin zet, dat verder niet bij je verzekeraar of RDW aangeeft en nog op een oude APK rondrijd.

    Tja, als je dan schade veroorzaakt (die ook nog voortkomt uit het hoge nieuwe vermogen), wat zal de verzekeraar dan zeggen?

    Ik zou het bij hobby houden op zo een systeem. Geen persoonsdata erop, geen shopping/bankzaken.

    Een simpel wel ondersteund mobieltje kan veiliger zijn. Of zet er gewoon een ondersteunde (bootcamp) windows op.

    Voor de goede orde : Wat eruit gepatched wordt zijn bijvoorbeeld het gebruik van security chips (Apple's versie van TPM) die in nieuwere Apple hardware zit . (En daarnaast dan de minder geavanceerde video kaarten e.d.)
    Die "ondersteunde bootcamp Windows" gebruikt die typisch _toch al niet_ .
    Normale OS/applicatie updates krijg je weer mee.
    Qua basis security zit je met een Sonoma-op-oude-hardware echt niet slechter dan met een gebruikelijke Windows desktop installatie .
    Je zit alleen - voor sommige threat models - wat slechter dan Sonoma op nieuwe Apple hardware .

    Inderdaad ( idem mijn posting van 3 oc 18:31 ) zit je uberhaupt beter met een mobiel device dan een desktop.

    Wat gebeurt er als je de veiligheidsrailing weghaalt van een hoog balkon.
    Mischien niks, mischien valt iemand ter pletter. Maar je verhoogt wel de kans dat het mis kan gaan.

    Het zelfde geldt voor software.

    Infectie via smartdevice is gigantisch toegenomen omdat juist banken en andere diensten steeds meer inzetten op app gebruik. Kortom bigger landscape en doelwitten voor criminelen. En omdat juist smartphones veel minder inzicht geven naar gebruikers toe kan het dus voorkomen dat *jaren* apparaten besmet zijn voor iemand er achter komt.
    https://www.securityweek.com/millions-of-smartphones-distributed-worldwide-with-preinstalled-guerrilla-malware/

    Het risico van oude hardware ten opzichte van nieuwe hardware kan absoluut ook groter zijn, Zeker omtrent firmware releases die *geen* updates meer ontvangen van hun fabrikant. Spectre en Meltdown een goed voorbeeld uit verleden waar menig beheerder nog wel van weet.
    https://arxiv.org/abs/1801.01207
    https://arxiv.org/abs/1801.01203

    Je ziet het ook voornamelijk bij het gebruik van oude switches, routers en modems die extreme populaire doelwitten zijn.
    Hoe vaak die dingen wel niet vergeten worden in normaal goed beveiligde infrastructuur is om te huilen. Daar zit je dan met een omgeving die endpoint protection heeft IDS en vervolgens alle data lekt omdat iemand een oude Cisco router is vergeten mee te nemen in vervangings traject of patching schedule.

    Een relatief veilige setup is een geisoleerde of wel sandboxed gevirtualiseerde up to date OS instance aanmaken waar enkel bankzaken vanaf gedaan worden in combinatie met een hardware token voor authenticatie doel einden. Als je nog stapje verder wilt gaan sluit je alle hosts connectie mogelijkheden af behalve die expliciet van je bank zaken uit nodig zijn. Ik heb een virtualisatie image voor specifieke doelen afhankelijk van hoe belangrijk en gevoelig ik diensten beschouw.

    Of je zover wilt gaan is natuurlijk de vraag maar als we het hebben over *relatief* veilig dan is dat een goed begin.

    Maar de meeste zullen toch echt willen gaan voor gemak en beschikbaarheid over veiligheid is mijn praktijk ervaring.
    Wil je dan toch zaken regelen via Smartdevices dan ten alle tijden de authenticatie (2FA, MFA) buiten het apparaat om laat gaan waar je vanaf de aanvraag hebt gedaan ofwel Out-of-Band Authentication (OOBA) en de gebruikte apparaten minimaal 1 keer per week geheel uitzetten en als je de mogelijkheid hebt door accu fysiek eruit te halen.

    Tsja, wat is veiliger? Een oude mobiel met andriod 8 of iOS 14 of een oude macbook met MacOS 14 en een up-to-date browser?

    Voor het installeren van de Rabo App is minimaal iOS vanaf versie 14.0 of Android vanaf 8.0 nodig.

    Bron: https://www.rabobank.nl/particulieren/service/online-bankieren/rabo-app-installeren

    Ga ik toch voor dat up-to-date OS met dito browser op oude hardware.

    Je vergeet dat de ene software uit betrouwbare bron komt, de ander niet.
    Deze kun je dus niet vergelijken. Dat is *hihi* Appel met Peren.

    Denk aan alle crack tools van vroeger van spelletjes, die deden soms ook stiekem net wat meer dan het eigenlijk moest doen (en kwam dan pas stuk later aan het licht nadat je virusscanner ineens hele vreemde dingen begon te melden).

    Windows op een macbook kun je wel netjes updaten. Hooguit een driver van Apple niet, maar dan kun je terugvallen op standaarddrivers.

    Je zou zelfs in je oude MacOS gevirtualiseerd het nieuwste systeem volledig uit Apple bron kunnen laden. Zolang je je host niet actief gebruikt is dat een redelijk alternatief. (Of het snel werkt is een ander verhaal).

    Door Anoniem:

    Je vergeet dat de ene software uit betrouwbare bron komt, de ander niet.
    Deze kun je dus niet vergelijken. Dat is *hihi* Appel met Peren.

    Denk aan alle crack tools van vroeger van spelletjes, die deden soms ook stiekem net wat meer dan het eigenlijk moest doen (en kwam dan pas stuk later aan het licht nadat je virusscanner ineens hele vreemde dingen begon te melden).

    Windows op een macbook kun je wel netjes updaten. Hooguit een driver van Apple niet, maar dan kun je terugvallen op standaarddrivers.

    Je zou zelfs in je oude MacOS gevirtualiseerd het nieuwste systeem volledig uit Apple bron kunnen laden. Zolang je je host niet actief gebruikt is dat een redelijk alternatief. (Of het snel werkt is een ander verhaal).

    Ja goed verhaal. Je begrijpt denk ik niet hoe dit werkt. Het heeft niks met cracktools te maken. De software komt uit een betrouwbare bron. Het OS wordt netjes ge-update.
    En Windows? Nog niet misschien. Als er dan een ander OS op moet wordt het toch echt een linux variant.

    Door Anoniem:

    Je vergeet dat de ene software uit betrouwbare bron komt, de ander niet.
    Deze kun je dus niet vergelijken. Dat is *hihi* Appel met Peren.

    Denk aan alle crack tools van vroeger van spelletjes, die deden soms ook stiekem net wat meer dan het eigenlijk moest doen (en kwam dan pas stuk later aan het licht nadat je virusscanner ineens hele vreemde dingen begon te melden).

    Windows op een macbook kun je wel netjes updaten. Hooguit een driver van Apple niet, maar dan kun je terugvallen op standaarddrivers.

    Je zou zelfs in je oude MacOS gevirtualiseerd het nieuwste systeem volledig uit Apple bron kunnen laden. Zolang je je host niet actief gebruikt is dat een redelijk alternatief. (Of het snel werkt is een ander verhaal).

    Geen enkele bron is vertrouwd tenzij je dit per aanvraag geheel kan controleren. Kan je dat niet dan weet je niet eens of je appels met peren bent aan het vergelijken.

    Het komt vaak genoeg voor dat repositories van bedrijven gehackt worden en dan signed besmette patches uitbrengen.
    Dat het Apple nog niet gebeurd is wil niet zeggen dat het niet kan gebeuren. Vervang betrouwbare bron dus maar met een ingecalculeerd risico.

    Tja, wil je liever met een oud, niet meer up to date, OS blijven zitten? OCLP is open source tool die heel duidelijk beschrijft wat ze wel en niet doen. Eigenlijk is het gewoon crimineel wat Apple doet door oudere hardware niet meer te ondersteunen, al dan niet met 'support' (toch al niet relevant voor consumenten), zeker niet als je kijkt hoe goed ventura en sonoma draaien op oudere hardware. (zelf ventura op een MBP uit 2014)

    Dat mobiele platforme veiliger zijn betwijfel ik. Android gebasserde telefoons hebben een beroerde ondersteuning wbt updates. Lenie uit de Takkestraat gaat echt haar 2020 samsung niet weg doen als Android geen security patches meer krijgt.

    Door Anoniem: Eigenlijk is het gewoon crimineel wat Apple doet door oudere hardware niet meer te ondersteunen,

    Als je geinteresseerd bent in een nog tragere computer, dan moet je vooral oude hardware gebruiken met een spiksplinter nieuwe Operating System.

    Sources


    Article information

    Author: Willie Anderson

    Last Updated: 1700147161

    Views: 1220

    Rating: 4.3 / 5 (66 voted)

    Reviews: 91% of readers found this page helpful

    Author information

    Name: Willie Anderson

    Birthday: 1910-03-23

    Address: 09210 Vasquez Corners Apt. 816, Rileyview, KS 15165

    Phone: +4165650019747545

    Job: Meteorologist

    Hobby: Stargazing, Playing Chess, Beekeeping, Surfing, Golf, Skiing, Hiking

    Introduction: My name is Willie Anderson, I am a variegated, persistent, capable, artistic, strong-willed, bold, risk-taking person who loves writing and wants to share my knowledge and understanding with you.