Filevault 2'yi maksimum düzeyde güvenli hale getirmek için hangi kullanıcı davranışı gereklidir?

15

Durum: Filevault 2 şifreleri çalınabilir

Passware, FireWire portu aracılığıyla bir DMA Saldırısı yaparak RAM'den FileVault 2 şifresini çalabilen Passware Kit Forensic 11.3'ü piyasaya sürdü .

Yazılımlarının:

  • Mac kullanıcı oturum açma parolalarını ve FileVault anahtarlarını bilgisayar belleğinden kurtarır ve
  • TrueCrypt ve FileVault birimlerinin dakikalar içinde şifresini çözer.

Filevault 2'li bir Mac'in böyle bir saldırıdan nasıl korunacağını açıklamaya çalışırken çeşitli önerilerde bulunuldu:

sudo pmset -a destroyfvkeyonstandby 1 hibernatemode 25

Bu, sistem uyku moduna alındığında tam birim şifreleme anahtarını RAM'den kaldıracak ve sistemi hemen RAM'e diske yazmaya ve uykudan sonra bellekten gücü çıkarmaya zorlayacaktır.

Soru:

Hangi kullanıcı davranışı gereklidir ve Mac'te FileVault 2 ile maksimum koruma için hangi adımlar atılmalıdır?

macos  security  encryption  filevault 
gentmatt
kaynak
NB başlangıcı ( github bağlantısı ) çeşitli hedeflere (OS X, Windows ve Linux) DMA saldırıları gerçekleştirebilir, bu nedenle bunun için Passware yazılımına ihtiyacınız yoktur.
Tim

Yanıtlar:

10

Sorunuz, bir dosyayı FileVault 2 korumalı Mac biriminden ödün vermek amacıyla motive olmuş bir saldırıya karşı korumak için gereken en önemli şeyi içeriyor.

  1. Dosya kasası anahtarları etkin bir hesapta oturum açarken FireWire'ı güvenmediğiniz veya güvenemediğiniz bir cihaza bağlamayın.
  2. FileVault şifrenizin güvenliğini düşürme riskini azaltmak için iyi tek kullanımlık şifreler seçin.
  3. 10.7.3 sürümüne güncelleyin sudo pmset -a destroyfvkeyonstandby 1 hibernatemode 25ve cihaz normalde "uykuda" olduğunda anahtarlarınızın güvenliğini tehlikeye atmak için hazırda bekleme modunu zorlayan güç yönetimi ayarlarını doğrulayın

Mac'lerin güvenliğini sağlamakla ilgili güzel bir yorum için blogunda güncel kalmak için Rich Trouton'u takip ediyorum . Gerçek bir dünya sistem yöneticisi olarak tecrübeyle tecrübeli güncel konuların karışımı, yazımı benim için çok değerli kılıyor.

Sorunun temel noktası, ayrıştırmanızdır Güvenlik için hangi kullanıcı davranışının gerekli olduğu. Güvenliği her zaman bir zihniyet ve planlamak, uygulamak, ölçmek ve adapte etmek için sürekli bir girişim olarak düşünmeyi seviyorum. Güvenlik, satın aldığınız veya "ayarladığınız" bir şey değildir ve kullanıcıları, kilit açma ifadelerini saklamak için kullandıkları şifreyi açıklamayacak şekilde eğitmek FileVault'un güvenlik katmanının en zayıf kısmıdır. Bu şifreyi tekrar kullanmamak - kullanıcılarınızın anahtarlık parolalarının neden benzersiz ve güvenli olması gerektiğini anlamalarını sağlayan bir sisteme sahip olmak çok daha zor ve başlangıçta dosya kasası uygulamak için bir plan oluşturmaktan çok daha uzun sürüyor. Güvenlik arayışınızda bol şans!

bmike
kaynak
2
Ayrıca, sizi korumak için yalnızca teknolojik önlemlere cevap vermeyin. Konfigürasyon ve benzerleri yoluyla güvenliği artırmak için yapabileceğiniz her şey saldırıya uğrayabilir. Bu saldırı vektörü yeni değil, Filevault'a özgü değildir ve her şeyden önce her şeyden önce makineniz açıkken makinenize fiziksel erişim gerektirdiği için aslında pratik değildir . Endişeleniyorsanız, asla uyku kullanmayın, asla hazırda bekleme kullanmayın. Uzun bir şifre seçin (monkeyrhubarbcatsunglasses hjsa £ 1KJh4 $ daha iyidir) ve kullanılmadığında kapatın.
stuffe
Cevabınız için teşekkürler bmike! Zihniyet olarak güvenlik - bu çok doğru. Endişelerimin çoğunu kapsadığını söyleyebilirim. Şimdiye kadar bilmediğim bir cevapta başka bir şeyin ortaya çıkacağını umuyordum. Görünüşe göre, söyleyecek başka bir şey yok :) Teşekkürler!
Gentmatt
@stuffe Parolaların uzunluğunun gücü tartışmalı, bu yüzden hem karmaşık hem de uzun bir parolam var. Bu soruyla ilgileniyor olabilirsiniz security.stackexchange: Kısa karmaşık parola mı yoksa uzun sözlük parolası mı?
Gentmatt
Makine uykudan önce ekranı kilitlediyse bu güvenlik açığı geçerli mi? Buradaki grafik , ekran kilitli makinelerin güvenli olduğunu gösteriyor, bu bir uyku makinesi için geçerli değil mi? Ayrıca bu , bir bellenim parolası ayarlamanın etkinleştirilmesinin sorunu çözdüğünü gösterir.
orome
2

Birisi makinenizi çalabilir mi? Elektronik erişimi önlemenin yanı sıra, kilidi kilit altında tutmanız gerekir.

Ciddi olarak, her adımda, en zayıf noktayı ele alarak en iyi gelişmeyi elde edersiniz; yazılım savunmanız fiziksel olandan daha iyiyse, daha iyi yazılım savunmaları hiçbir iyileşme sağlamaz.

JRobert
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.