Яка поведінка користувача необхідна для максимального захисту Filevault 2?

14

Ситуація: паролі Filevault 2 можна вкрасти

Passware випустила Судовий пакет Passware Kit 11.3 який здатний викрасти пароль FileVault 2 з оперативної пам'яті, виконавши a Атака DMA через порт FireWire.

Вони стверджують, що їх програмне забезпечення:

  • відновлює паролі входу користувача Mac і ключі FileVault з пам'яті комп'ютера та
  • розшифровує томи TrueCrypt і FileVault за лічені хвилини.

Різні пропозиції були зроблені спроби описати, як захистити Mac від Filevault 2 від такої атаки: 

sudo pmset -a destroyfvkeyonstandby 1 hibernatemode 25

Це дозволить видалити ключ шифрування повного обсягу з оперативної пам'яті, коли система перейде в сплячий режим і змусить систему негайно записати RAM на диск і видалити живлення з пам'яті під час сну.

Питання:

Яка поведінка користувача потрібна і які кроки потрібно зробити для максимального захисту за допомогою FileVault 2 на Mac?

macos  security  encryption  filevault 
gentmatt
джерело
N.B. початок ( посилання github ) здатний виконувати атаки DMA на різні цілі (OS X, Windows і Linux), тому для цього не потрібно програмне забезпечення Passware.
Tim

Відповіді:

10

Ваше запитання містить найважливішу річ, необхідну для захисту комп'ютера від мотивованої атаки, щоб скомпрометувати об'єм Mac, захищений MacBook.

  1. Не підключайте FireWire до пристрою, якому ви не довіряєте або не можете довіряти під час входу до облікового запису, у якому активовані клавіші сховища файлів.
  2. Виберіть хороші паролі для одноразового використання, щоб зменшити ймовірність інших компромісів, які погіршують безпеку пароля FileVault.
  3. Оновлення до 10.7.3 та перевірка sudo pmset -a destroyfvkeyonstandby 1 hibernatemode 25 налаштування керування живленням, які примушують режим глибокого сну захищати ваші ключі від компромісу, коли пристрій зазвичай "спить"

Я слідую Rich Trouton оновлюватись його блог для хороших коментарів щодо забезпечення Mac. Поєднання актуальних тем, досвідчених у якості реального системного адміністратора, робить його написання дуже цінним для мене.

Суть проблеми полягає у вашому розборі Яка поведінка користувача необхідна мати безпеку. Мені завжди подобається думати про безпеку як про настрій і постійну спробу планувати, здійснювати, вимірювати і пристосовуватися. Безпека не є чимось, що ви купуєте, або щось, що ви "налаштували", а навчання користувачів фактично не розголошують код, який вони використовували для зберігання своєї фрази розблокування - найслабша частина шару безпеки FileVault. Не використовуючи повторно цей пароль - це система, в якій користувачі зможуть зрозуміти чому їх ключовий пароль повинен бути унікальним і безпечним, набагато складнішим і займає набагато більше часу, ніж просто налаштування плану для створення сховища файлів. Найкраща удача у ваших пошуках безпеки!

bmike
джерело
2
Крім того, не просто відповідайте на технічні заходи для захисту. Все, що ви можете зробити, щоб підвищити безпеку через конфігурацію і подібне, можна атакувати. Цей вектор атаки не є новим, не є унікальним для Filevault, а також насправді не є особливо практичним з огляду на те, що він вимагає, насамперед, всіх інших речей, фізичного доступу до вашої машини під час увімкнення . Якщо ви турбуєтеся про це, ніколи не використовуйте сон, ніколи не використовуйте сплячий режим. Виберіть довгий пароль (monkeyrhubarbcatsunglasses краще, ніж hjsa £ 1KJh4 $) і вимкніть його, коли він не використовується.
stuffe
Дякуємо за відповідь bmike! Безпека як мислення - Це дуже вірно. Я б сказав, що ви охоплюєте більшість моїх проблем. Я сподівався, що, можливо, щось ще з'явиться у відповіді, про яку я не знав дотепер. Мабуть, нічого більше сказати не можна :) Спасибі!
gentmatt
@stuffe Сила паролів за довжиною заперечується, тому у мене є як складний, так і довгий пароль. Ви можете зацікавитися цим запитанням на сайті security.stackexchange: Короткий складний пароль або довгий парольний словник?
gentmatt
Чи застосовується ця уразливість, якщо машина заблокувала екран перед сном? The діаграми тут припускає, що машини, заблоковані на екрані, безпечні, чи це не стосується спальної машини? Також, це припускає, що просто увімкнення налаштування пароля прошивки вирішує проблему.
orome
2

Чи може хтось вкрасти вашу машину? Окрім запобігання електронному доступу, вам доведеться тримати його під замком. .

Серйозно, на кожному кроці ви отримуєте найбільше поліпшення, охоплюючи тоді найслабшу точку; як тільки захист програмного забезпечення є кращим, ніж фізичні, краще захист програмного забезпечення не додасть жодного поліпшення.

JRobert
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.