Jakie zachowanie użytkownika jest konieczne, aby maksymalnie zwiększyć bezpieczeństwo Filevault 2?

15

Sytuacja: Hasła Filevault 2 mogą zostać skradzione

Passware wydało Passware Kit Forensic 11.3, który może ukraść hasło FileVault 2 z pamięci RAM, wykonując atak DMA za pośrednictwem portu FireWire.

Oświadczają, że ich oprogramowanie:

  • odzyskuje hasła logowania użytkownika Mac i klucze FileVault z pamięci komputera i
  • odszyfrowuje woluminy TrueCrypt i FileVault w kilka minut.

Różne sugestie próbują opisać, jak chronić komputer Mac za pomocą Filevault 2 przed takim atakiem:

sudo pmset -a destroyfvkeyonstandby 1 hibernatemode 25

Spowoduje to usunięcie klucza szyfrowania pełnego woluminu z pamięci RAM, gdy system zostanie przełączony w tryb uśpienia i zmusi system do natychmiastowego zapisania pamięci RAM na dysku i odłączenia zasilania z pamięci po uśpieniu.

Pytanie:

Jakie zachowanie użytkownika jest konieczne i jakie kroki należy podjąć, aby uzyskać maksymalną ochronę dzięki FileVault 2 na komputerze Mac?

gentmatt
źródło
Początek NB ( link github ) może przeprowadzać ataki DMA na różne cele (OS X, Windows i Linux), więc nie potrzebujesz do tego oprogramowania Passware.
Tim

Odpowiedzi:

10

Twoje pytanie zawiera najważniejszą rzecz potrzebną do zabezpieczenia komputera przed zmotywowanym atakiem w celu naruszenia bezpieczeństwa wolumenu Mac chronionego przez FileVault 2.

  1. Nie podłączaj FireWire do urządzenia, któremu nie ufasz lub któremu nie możesz zaufać, gdy jesteś zalogowany do konta, na którym aktywne są klucze do przechowalni plików.
  2. Wybierz dobre hasła jednorazowego użytku, aby zmniejszyć ryzyko innych kompromisów obniżających bezpieczeństwo hasła do FileVault.
  3. Zaktualizuj do wersji 10.7.3 i sprawdź sudo pmset -a destroyfvkeyonstandby 1 hibernatemode 25ustawienia zarządzania energią, które wymuszają tryb hibernacji, aby zabezpieczyć klucze przed włamaniem, gdy urządzenie normalnie „uśpi”

Mam postępować Rich Trouton na bieżąco na swoim blogu za miły komentarz na zabezpieczeniu Mac. Mieszanka aktualnych tematów doprawionych doświadczeniem jako administrator systemu w świecie rzeczywistym sprawia, że ​​jego pisanie jest dla mnie bardzo cenne.

Sedno problemu polega na analizowaniu, jakie zachowanie użytkownika jest konieczne do zapewnienia bezpieczeństwa. Zawsze lubię myśleć o bezpieczeństwie jako sposobie myślenia i ciągłej próbie planowania, wdrażania, mierzenia i adaptacji. Bezpieczeństwo nie jest czymś, co kupujesz lub czymś, co „konfigurujesz”, a szkolenie użytkowników, by nie ujawniać kodu dostępu, którego użyli do przechowywania swojej frazy odblokowania, jest najsłabszą częścią warstwy bezpieczeństwa FileVault. Nieużywanie tego kodu dostępu - posiadanie systemu, w którym użytkownicy rozumieją, dlaczego hasło ich pęku kluczy musi być unikalne i bezpieczne, jest o wiele trudniejsze i zajmuje znacznie więcej czasu niż samo przygotowanie planu wdrożenia przechowalni plików. Powodzenia w poszukiwaniu bezpieczeństwa!

bmike
źródło
2
Ponadto nie udzielaj odpowiedzi tylko w sprawie środków technologicznych mających na celu ochronę. Wszystko, co możesz zrobić, aby zwiększyć bezpieczeństwo poprzez konfigurację itp., Może zostać zaatakowane. Ten wektor ataku nie jest nowy, nie jest unikalny dla Filevault, a także nie jest w rzeczywistości szczególnie praktyczny, ponieważ wymaga przede wszystkim fizycznego dostępu do komputera, gdy jest włączony . Jeśli martwisz się tym, nigdy nie używaj snu, nigdy nie używaj hibernacji. Wybierz długie hasło (okulary monkeyrhubarbcatsunglasses są lepsze niż hjsa 1KJh4 $) i wyłącz je, gdy nie jest używane.
farsz
Dziękuję za odpowiedź bmike! Bezpieczeństwo jako sposób myślenia - to bardzo prawda. Powiedziałbym, że obejmujesz większość moich obaw. Miałem nadzieję, że może pojawi się coś innego w odpowiedzi, której do tej pory nie znałem. Najwyraźniej nie ma nic więcej do powiedzenia :) Dzięki!
gentmatt
@stuffe Siła haseł pod względem długości jest kwestionowana, dlatego mam zarówno złożone, jak i długie hasło. To pytanie może Cię zainteresować na security.stackexchange: Krótkie złożone hasło lub długie hasło słownikowe?
gentmatt
Czy ta usterka ma zastosowanie, jeśli komputer zablokował ekran przed snem? Poniższa tabela sugeruje, że maszyny z blokadą ekranu są bezpieczne, czy to nie dotyczy maszyny sypialnej? Sugeruje to również, że samo włączenie hasła oprogramowania układowego rozwiązuje problem.
orome
2

Czy ktoś może ukraść twoją maszynę? Oprócz zapobiegania dostępowi elektronicznemu, musisz trzymać go pod kluczem.

Poważnie, na każdym kroku uzyskujesz największą poprawę, obejmując najsłabszy wówczas punkt; gdy zabezpieczenia twojego oprogramowania będą lepsze niż fizyczne, lepsze zabezpieczenia oprogramowania nie dodadzą żadnej (lub prawie żadnej) poprawy.

JRobert
źródło