Взлом FileVault 2 – часть 4 — Обсуждение

OS X, Безопасность | Автор: Владислав Сикорский Оставить коментарий

В прошлых трех частях, которые находятся ниже, мы подробно рассказали про методы и различные способы взлома диска защищенного FileVault шифрованием. Также показали как защитить себя и какие шаги надо сделать чтобы на 99% ваша информация не попала в чужие руки. В этой статье мы расскажем наши наблюдение, неудачные способы и другие выводы которые мы сделали во время тестов.

Различие в оперативной памяти Mac OS

Старый  15-дюймовый MacBook Pro Core 2 Duo, который был использован для тестирования, сообщает свой объем оперативной памяти в 2048 байт при запросе через libforensic1394 библиотеки. iMac 27-дюймов, выпущенный в 2009 года сообщили свой размер оперативной памяти в 4096 байт. При попытке получить доступ к оперативной памяти iMac (4096 байт RAM)  она была недоступна. Однако, когда уменьшили объем до 2048 байт, то данные стали доступны. В результате Python скрипт, используемый для выполнения дампа памяти был модифицирован, чтобы использовать только 2048 байт, если не используется в SBP-2 режиме, и игнорировать значения которые ему выдавал хость компьютер.

Mountain Lion полное шифрование диска

FileVault 2 — решение от компании Apple которое реализует полное шифрование диска с использованием режима шифрования AES-XTS с 128-битным ключом. Дальнейшее изучение показывает, что система реализует во время загрузки схему аутентификации, которая использует отдельный раздел диска для хранения минимального загрузчика и ключей шифрования. Система сначала загружается с отформатированного в HFS + (разница в файловых системах Mac OS) раздела диска именуемого «Recovery HD.» Точные детали того, как происходит процесс загрузки нам не известны и нигде не задокументированны, но некоторую информацию можно получить из наблюдений. Зашифрованый файл «EncryptedRoot.plist.wipekey» в этом разделе, растет примерно на 300 килобайт каждый раз, когда добавляется новый пользователь. Это предполагает, что параметры загрузки и ключи шифрования хранятся в этом файле. Вполне вероятно, что в файле используется несколько уровней шифрования, потому что во время загрузки вы можете выбрать любого доступного пользователя, а не только одного. Вполне возможно, что есть методы взлома во время предварительной загрузки FileVault 2. Если, например, хэши паролей хранятся в файле можно было бы перехватить полномочия. Доступ к FireWire во время предварительно загрузки отключен на уровне ядра системы, поэтому маловероятно, что этот метод будет работать.

Thunderbolt 

В современных компьютерах Apple появился новый интерфейс Thunderbolt, отличный от FireWire (Apple — Thunderbolt: Следующее поколение высокоскоростных технологий ввода/вывода). Thunderbolt также, вероятно, предоставляет DMA доступ, но в другом виде. Вполне вероятно, что и Thunderbolt представляет аналогичные риски для IEEE 1394.  Thunderbolt обеспечивает доступ PCIe, защиты предусмотрены против атак Firewire могут быть не введены в новую технологию. Тестирование Thunderbolt выходит за рамки этой статьи, и в настоящее время не существует никаких известных инструментов для попытки взлома этим методом.

Тест Методологии которые не дали результатов

Несколько других теорий были протестированы, чтобы увидеть, можно ли обойти DMA ограничения . Эти методики не привели к успешному обходу блокировки управления DMA. Не все эти методы были полностью изучены, но они перечислены, тем не менее для полноты картины:Имитация aудио устройства FireWire

Инструменты Pythonraw1394 могут подражать другим устройствам IEEE 1394. Аудио устройство- Behringer FCA202 было эмулируемо без получения доступа. Это было проверено как до, так и после фактического подключения к системе собственно самого устройства . Также не имеет значения было ли использовано aудио устройство. Мы провели тест с реальным устройством в цепи между хост компьютером и компьютером назначения. Это не помогло обойти контроль доступа.

Использование оборудования для уменьшения контроля к доступу

Теория, по которой активное устройство, которое требует DMA может быть использовано для захвата оперативной памяти. Считалось, что контроль доступа может распространяться на всю шину, а не на конкретное устройства на шине. При подключении периферийных устройств Firewire в середине цепочки можно было бы обмануть хост компьютер и отключить DMA ограничения. Во время тестирования этой теории были некоторые  аномалии , но мы к сожалению не смогли их подтвердить. В какой-то момент показалось, что получилось обойти защиту  в операционной системе 10.8. К хост компьютеру с заблокированным экраном было подключено устройство Presonus Firepod между компьютером назначения и хост системой во время загрузки. Однако, из-за технических причин, нормальное тестирование не было произведено- при подключении кабелей и устройств для обеспечения захвата памяти, Presonus Firepod было физически повреждено. Вполне вероятно, но не подтвержденно, что эта аномалия может быть отнесена к другой переменной, которая не учитывается в ходе испытаний, таких как «Смена пользователя». Из-за сбоя оборудования не было возможности подтвердить результаты, и эту аномалию следует рассматривать как ложное срабатывание. Другие Firewire аудио устройства не дали аналогичные результаты.

Возможные проблемы для оборудования

Использование Firewire устройства, подключенного к двум компьютерам- не поддерживаемая конфигурация для всех устройств в этой цепочке. Кроме того, необходимо соблюдать осторожность, чтобы предотвратить короткое замыкание между двумя компьютерами. Можно повредить все компоненты цепочки путем соединения двух компьютеров кабелем Firewire через периферийные устройства. Когда два компьютера напрямую связаны этого риска нет, потому что активное питание будут автоматически отключаться, однако защита, препятствующая короткому замыканию не обязательно сработает, если есть устройство между двумя компьютерами. Спецификация Firewire позволяет компьютеру подавать питание на периферийные устройства. Есть по крайней мере четыре различных спецификаций кабеля для IEEE 1394 A / B. Из них один представляют интерес: 4 — контактный кабель. Этот кабель опускает напряжение которое идет от порта, чтобы создать меньший размер разъема. В случае, если надо соеденить два компьютера  6-контактным кабелем, соединение может быть безопасным только в случае отключение питания на портах FireWire у обоих устройств. Это достигается с помощью 6-пиновым папа и 4-пиновым папа кабелем + 4-пиновым мама и 6-пиновым папа адаптером. Это необходимо сделать только на одном из компьютеров.

Получение доступа к  образу оперативной памяти в предзагрузочном состоянии.

Как упоминалось выше, также интересено содержимое оперативной памяти до расшифровки диска и нами было предпринято несколько попыток для снятия таких образов. Это включает использование Parallels Desktop 7 для Mac (2011) — ПО виртуализации. Не похоже, что загрузчик Parallels поддерживает загрузочную область EFI, с которого загружается первичный загрузчик (извините за тавтологию)  FileVault 2 для аутентификации пользователей, и, как следствие, мы пытались создать образ RAM загрузившись и виртуально положив систему в сон. Но это привело к сбою. Этот метод не был протестирован и может представлять интерес позднее.

В заключение можем порекомендовать прочитать статьи по безопасности: 

Один отзыв к “Взлом FileVault 2 – часть 4 — Обсуждение”

  1. Grinternes Написал:

    Утречком напишу в google

Оставить коментарий

LiNX.net.ua by LiNX team
RSS канал RSS отзывы Войти