Feltörték a FileVault 2 titkosítását
A FileVault a Panther megjelenése óta működik a Mac OS X-en. Az OS X Lion megjelenésével viszont tavaly továbblépett az Apple, és az első generáció után megérkezett a FileVault 2 – új titkosítási technikákkal.
Az új FileVault segítségével egy teljes meghajtót titkosíthatunk, és egyetlen mester-jelszóval megvédhetjük a fájljainkat, a kulcstartónkon elhelyezett jelszavainkat és minden egyéb információt. Sőt, a FileVault 2 segítségével külön partíción tároljuk a FileVault bejelentkezési adatainkat is.
Úgy látszott tehát, hogy a Mac felhasználóknak nincs félnivalójuk, könnyen meg tudjuk védeni az adatainkat, amikhez ezentúl senki nem férhet hozzá.
A Passware szerint azonban mégsem ilyen egyértelmű a helyzet. A cég azt állítja, hogy a FileVault 2 titkosítását 40 percen belül fel tudták törni. Ha az állítás igaz, akkor ez nyilván nem túl jó hír azoknak a felhasználóknak, akik minden egyes fontos adatukat rábízták a FileVault titkosítására.
A Passware csapata a FireWire kapun keresztül keresztül érte el a rendszert (működés közben?), majd élő memória elemzést használva kibontották a titkosítási kulcsot a FileVault partícióról.
Innentől természetesen már hozzáfértek a kulcstartón levő jelszavakhoz, és a bejelentkezési információkhoz, tehát gyakorlatilag a teljes merevlemezhez.
A cég PassWare Kit Forensic 11.3 elnevezésű szoftverével ugyanezt bárki megcsinálhatja. A szoftver ára 995 dollár, és elviekben bűnüldözési célokra készítik a fejlesztők.
Valószínűleg a nyilvánosságra kerülés után az Apple hamarosan orvosolni fogja a problémát.
Ezt gondolták mások
Én ugyanezt már évek óta csinálom:
bejelentkezek a gépembe, és bármilyen adatot elérek, pedig minden FileVault titkosítás alatt áll... :-)))
Most akkor a titkosítást törték fel, vagy a jelszóhoz fértek hozzá?
Mert ha a jelszóhoz, ahogy olvasom máshol, akkor nem kell már semmit feltörni... és a hír nem is hír.
Mert ugye a FireWire hozzáférésről meg mit tudunk? Kicsit be van határolva távban is, ugye.
Ha odaviszem ennek a cégnek a gépemet, lerakom az asztalukra, bejelentkezve adminként, akkor onnantól Ők 1000 dolcsiért meg tudják mondani a jelszavamat??? :-)))))))
Nyugodtan használhatja mindenki, a jelszót meg nem az adott gépen kell tárolni.
Erre amúgy az Apple fel iks hívja a figyelmet, évek óta, és azt is felajánlja hogy nála is tárolhatod.
A Passware csapata a FireWire kapun keresztül keresztül érte el a rendszert (működés közben?), majd élő memória elemzést használva kibontották a titkosítási kulcsot a FileVault partícióról.
Ha ez igaz, akkor az Apple nem fogja orvosolni a hibát, ugyanis ez az ieee1934 működési sajátosságából fakad.
Mert ugye a FireWire hozzáférésről meg mit tudunk? Kicsit be van határolva távban is, ugye.
Ha odaviszem ennek a cégnek a gépemet, lerakom az asztalukra, bejelentkezve adminként, akkor onnantól Ők 1000 dolcsiért meg tudják mondani a jelszavamat??? :-)))))))
Igen. A suspendbe rakott géped ellopják, a firewiren keresztül csinálnak egy memória dumpot és máris megvan a hdd decrypt key az összes adatoddal együtt. (Megtörtént eset alapján.)
Nincs tragédia, csak egy újabb intő jel arra, hogy ésszel tessék használni a gépeket/telefonokat. Adott esetben az eszköz többet érhet, mint a lakáskulcsod.
Szóval ezerért eladja a szoftvert, ami hamarosan nem ér semmit, hiszen befoltozzák a lyukat… akkor a vevő vagy hülye, vagy a hírnek csak a fele igaz.
Szóval ezerért eladja a szoftvert, ami hamarosan nem ér semmit, hiszen befoltozzák a lyukat…
A firewire "hiba" évek óta ismert, javítás még sinc, mert nem lehet. Ez egy deffect by design, amit az Apple lassan két évtizede feature formájában rakott bele az ieee1934-be.
És ha nem suspend, hanem shut down?
Ha van preboot auth, akkor ez egy jó megoldás.
ez így nagyon sántít... suspend alatti memo tartalom?
Hogy is van az amikor a FileVault-os gép elmegy aludni?
És ha nincs FireWire, akkor megáll a tudomány?
Bírom ezeket a laborkörülmények közötti rendszer töréseket.
ez így nagyon sántít... suspend alatti memo tartalom?
Mi sántit? Ha lecsukod a gépet, attol az még megy tovább, benne mindennel amit addig elindítottál. Ha meg nálad van a gép felnyitod és amen. Be sem kell jelentkezni.
És ha nincs FireWire, akkor megáll a tudomány?
Akkor jöhet az a trükk, hogy ha kivétel előtt mély fagyasztod a ramokat, majd utána egy célhardverrel lemented a tartalmát és ugyanott vagy.
pret512: Ha valaki fel akarja törni a gépedet (miután sikerült ellopnia, vagy elég sokáig nem vagy a közelében), laborkörülményeket teremt. Pl. előkap egy FireWire kábelt meg egy másik gépet a szoftverrel.
De persze nyilván a dolognak akkor van jelentősége hogy ha elég értékes valakinek az, amit a gépen találhat, ez pedig majdnem senkire sem áll, mivel senki nem akarja pont az én gépemet feltörni ilyen kémfilmekbe illő áldozatok árán (senki vagyok én ahhoz... ja, mint Neo a Mátrixban.. :D), szóval nyugodtan használható a titkosítás.
firmwarenak adsz jelszot, akkor elvileg tiltja firewiren dma-t.
Nagyon regota tudott "hiba", amivel apple nem akart foglalkozni.
Tehát akkor csak azt az időt kell elcsípni, (kézben készenlétben egy firewire kábellel, és az okosított másik géppel),
amikor a gépét már nem használja az áldozat, tehát a gép már alszik, de még nem hibernált állapotban, mert akkor meg már cseszhetem a memo-tartalmat.
Jól értem?
nem lehet letiltani a firewire -t? úgyse használom semmire!
sudo su -
mv /System/Library/Extensions/IOFireWireFamily.kext ~
reboot
na. ennyi.
en is arra gondoltam hogy a firewirwet kellene kikapcsolni vagy valami ilyesmi hogy ne mukodjon manualisan lehetne ezt intezni ha meglehetne oldani mint pl wifi blueooth be vagy ki es ha kell mert melozol bemyomod a firewiret... :D
mondjuk most kíváncsi lennék, hogy ha elmove-oltam onnan azt a file -t és rádugok egy firewire eszközt (ami azóta nem fordult elő, mióta megvan :D), akkor mi történne... gondolom nem ismerné fel..
