Filevalut ist das “Sicherheitspacket” das Apple seinen Usern beilegt, um die Daten mit einem *gähn* 128er Schlüssel zu verschlüsseln.
Doch, wie “Sicher” ist das überhaupt?
Die “Hints” sind allgemein nicht so bekannt, aber hier die kompletten Knackmöglichkeiten für Filevalut. Denn wir wollen, das ihre Daten sicher sind!
Anleitung:
Apfel + S beim Booten und schon landet man ohne vorherige Passwortabfrage im Single-User-Mode
Die Festplatte wird zwar im Read-Only Mode gemountet, aber für ganz Unbeholfene steht die Befehlszeile zum Read-Write mounten gleich mit dabei.
Nun lässt sich im Single-User Mode ganz einfach dass Passwort des Accounts zurücksetzen oder knacken und gewährt dem Dieb somit vollen Zugriff auf die Daten.
Auch das Open-Firmware-Password kann ganz einfach umgangen werden, indem man die Anzahl der RAM-Bausteine ändert und anschließend 3x einen PR-RAM Reset macht (Apfel + Alt + P + R beim booten gedrückt halten).
Natürlich wissen wir alle, das man auch einfach mit der Installations-CD oder DVD booten kann, und dann die Passwörter so zurückzusetzen.
Wir wollen nur aufzeigen, wie Unsicher Filevalut ist.
Noch mehr Unsicherheit gefällig?
sudo strings -8 /var/vm/swapfile* |grep -A 4 -i longname fördert die Passwörter zu tage!
All das kann im Internet über Google gefunden werden. Noch genauer mach ich die Anleitung nicht. Ein bisschen Denken muss man schon noch selbst!
Ich gehe nicht davon aus, dass Du es auch probiert hast. Sonst wüsstest Du, dass Du im Single User Mode oder ab der CD das Passwort für Login ändern kannst, jedoch nicht dasjenige von FileVault.
Mehr dazu in der entsprechenden Website bei Apple: http://docs.info.apple.com/article.html?path=Mac/10.4/en/mh1909.html
Das mit den Passwörtern im Swap war eine Diskussion vor gut einem Jahr auf den relevanten Securitylisten. Mittlerweile sind in diesem Bereich einige Fixes gekommen – ganz abgesehen davon, dass Du in den typischen Swapfiles tausende von potentiellen Passwörtern finden wirst und kaum alle probieren kannst.
Wenn bashen, dann bitte fundiert.
hm… ok ^^ war zwar von mir getestet, aber ja, nicht fundiert genug, offenbar
@Flupp: Das grundsätzliche Probleme an VileFault, ähmmm FileVault ist, dass nur das Home-Verzeichnis verschlüsselt wird, nicht aber all die temporären Dateien. Hinzu kommen einige weitere Schwächen.
Und was den sicheren virtuellen Speicher betrifft, so ist diese Funktion zwar in neueren OS X-Versionen verfügbar, aber standardmässig leider nicht aktiviert – selbst auf der offiziellen FileVault-Seite von Apple ist der sichere virtuelle Speicher leider nicht aktiviert (Screeshot vom heutigen 21. April 2007). Und selbstverständlich kann man alle Passwörter aus einer Auslagerungsdatei ausprobieren; man sammelt schlicht alle Wörter, fügt sie zu einem Wörterbuch hinzu – ein solches verwendet man für Brute Force ja sowieso – und los geht’s… wer den sicheren virtuellen Speicher bei der Verwendung von FileVault nicht aktiviert, kann gleich auf das Verschlüsseln mit all seinen Nachteilen verzichten.
Danke MDS
FileVault als solches ist nicht standardmässig aktiviert – von daher kann man Apple kaum Unterlassung vorwerfen. Die Probleme liegen letztendlich woanders – dass ein LoginWindow und vielen andere Applikationen keinen mlock() benutzen und das Passwort nach Ueberprüfung nicht mit memset() löschen.
Ich halte den Angriff über Swapfiles nach wie vor als technisch möglich, aber praktisch nicht gangbar. Aktuell habe ich 1.5G Swapfiles, da drinn befindet sich 8x mein Passwort. Versteckt unter 3.8 Millionen potentieller Passwörter. Rechnerisch musst Du verschlüsselten Key für das Volume gut 500’000 mal proben, um zu einem Resultat zu kommen – nicht nichts. Wenn Du aber dummerweise auch nur einmal das installierte OS gebootet hast, sind die Swapfiles gelöscht und Du hast einen “Datenhaufen” von mindestens 80GB , in dem das Passwort versteckt ist.
Die wirklichen Gefahren eines MacOS Benutzers stecken ganz woanders. In Programmen, die “Preview” Icons besitzen, den üblichen Problemen im Browser oder ganz einfach der extremen Naivität, die einem typischen Apple Benutzer eigen sind. Wie viel überlegt sich Sandra, wenn ein Passwortdialog auftaucht und nach dem Administratorenpasswort fragt? Ueberlegt sie sich was sie da tut, wenn sie das Passwort eintippt? Bzw. ist sie überhaupt in der Lage, abzuschätzen, was sie tut?
Sorry Sandra, dass ich gerade Dich als Beispiel missbraucht habe :-)
ahhhm.. hm.
Ich halte es für durchaus warscheinlich, dass der “Einbruch” in dein Computer keine grössere Hürde darstellt, als das betreten eines offenen ladens
Beat, das Problem ist nicht, dass FileVault standardmässig nicht aktiviert ist, sondern dass bei der Aktivierung von FileVault der sichere virtuelle Speicher nicht standardmässig aktiviert wird.
Die erwähnten 500’000 Passwörter durchzuprobieren ist kein Problem, man benötigt dafür nicht einmal zehn Minuten, je nach System noch weniger… sprich, wer FileVault nutzt, sollte unbedingt den sicheren virtuellen Speicher aktivieren. Leider betrachten Mac-Benutzer Sicherheit viel zu häufig wie Du, sprich sie reden die bestehenden Probleme klein und ignorieren, dass Mac OS X leider einige grundsätzliche Schwächen im Bereich der Sicherheit kennt.
P.S.: FileVault bei Wikipedia, allerdings noch ein bisschen mager…
Auch der Heise Artikel zeigt auf, dass das Hauptproblem bei den Benutzern liegt. Etwas anzuklicken, ein “OK” zu geben, vielleicht gar ein Admin Passwort einzutippen ist verdammt schnell geschehen. Und hier setzen auch die meisten Einbrüche an – egal auf welchem System.
Dass der Mac dann sich selbst nur minimal schützt, ist eine Folge der Entscheidung für Benutzerfreundlichkeit. Ich kann im Nu ein Programm per Drag & Drop in den Application Folder legen – nur öffne ich damit eben auch jedem Käfer diese Möglichkeit. All die netten Mach-Features sind ein anderes Gebiet. MacOS ist nun einmal kein BSD / UNIX / Linux sondern ein BSD Single Server auf einem Mach Microkernel. Das ganze Messagepassing ist bestechend, aber eben auch ein Scheunentor.
QuickTime ist auch ein Problem. Aber zum Glück installieren es auch viele Windows Benutzer und so ist es nicht nur ein MacOS Problem ;-)
Spass beiseite. Ich danke Dir für den Tip mit dem verschlüsselten Virtual Memory. Einmal mehr hat es sich für ich gelohnt, bei Sandra vorbeizugucken *michselbstandenohrennehm*
ui, froh bin, das ich abundzu nicht nur müll schreib
[...] http://www.sandrainfanger.com/archiv/filevalut-viel-zu-einfach-zu-knacken [...]
[...] sich unter Mac OS X zwar das Benutzerpasswort viel zu sehr einfach zurücksetzen lässt, nicht aber die Verschlüsselung mit FileVault. Ohne Benutzerpasswort oder Hauptpasswort ist ein Zugriff auf mit FileVault-geschützte [...]