FileVault ist unsicher

[andreas-s]

Mac OS X trifft keinerlei Vorkehrungen um das Swappen von FileVault- oder anderen Passwörtern zu verhindern. Ein simples grep in /var/vm/swapfile? förderte bei mir z.B. alle Login- und FileVault-Passwörter zutage.

Also: Wenn euer iBook/Powerbook geklaut wird und der Dieb an euren Daten interessiert ist und Google bedienen kann, dann seid ihr am A****. Da kann Apple noch so sehr rumschwafeln wie viele Milliarden Jahre das Cracken von AES-128 dauert.

Die Tatsache dass dieser Bug seit Monaten bekannt ist und immer noch nichts unternommen wurde erlaubt Rückschlüsse auf die Sicherheitspolitik von Apple, weshalb ich zweimal überlegen würde bevor ich Apple-Produkte für irgend eine sicherheitskritische Anwendung einsetze.

Wenn man darin jetzt was gutes sehen will kann man sagen dass Apple einen Beitrag zum Kampf gegen den Terrorismus leistet kopfkratz:
opendarwin.org/pipermail/hackers/2004-July/004496.html

 

[TerminalX]

hallo,
Ich, als Macuser der kein Filevault braucht, finde das irgendwie witzig, obwohl es sicherlich nicht zum Lachen ist.

Das Ganze stellt ein großes Sicherheitsrisiko dar. Ich schlage vor, dass dieser Thread gelöscht oder so verändert wird, dass niemand hier gesagt bekommt wie man das anstellt.
Die FileVault-User sollen auf das Problem aufmerksam gemacht werden und vielleicht, wenn es eine Lösung zu diesem Problem gibt, gehört die auch in diesen Thread.

Gruß,
Dayzd

 

[maceis]

Das ist zwar übel, aber nicht ganz so kritisch wie Du es jetzt darstellst, da nur root die swapfiles lesen darf.
Wenn das *Book nicht völlig ungeschützt ist, ist´s also mit ein wenig googeln nicht getan.

 

[HAL]

@andreas-s

ich denke auch, dass du den befehl so nicht stehen lassen solltest.

 

[TerminalX]

Das ist zwar übel, aber nicht ganz so kritisch wie Du es jetzt darstellst, da nur root die swapfiles lesen darf.

Ich sag nur: "Einbenutzermodus".

 

[maceis]

Ich sag nur: "Einbenutzermodus".

Ich sag nur: "Absichern"
Wer das (noch dazu bei einem mobilen Rechner) nicht macht, sollte das Wort "Sicherheit" besser nicht benutzen.

 

[TerminalX]

Ich sag nur: "Absichern"
Wer das (noch dazu bei einem mobilen Rechner) nicht macht, sollte das Wort "Sicherheit" besser nicht benutzen.

rotfl

ich hab nur ne kleine Frage zum Einbenutzermodus:
Wie ändere ich das Tastaturlayout, also auf Darwinebene?

 

[andreas-s]

Das ist zwar übel, aber nicht ganz so kritisch wie Du es jetzt darstellst, da nur root die swapfiles lesen darf.

Wenn ich die Daten nur vor den anderen Mitbenutzern schützen möchte, dann brauche ich doch überhaupt kein FileVault! Der einzige Sinn von FV ist, die Daten im Falle eines Diebstahls vor dem Auslesen zu schützen.

 

[andreas-s]

Ich sag nur: "Absichern"

Was soll das heißen?

 

[maceis]

Wenn ich die Daten nur vor den anderen Mitbenutzern schützen möchte, dann brauche ich doch überhaupt kein FileVault! Der einzige Sinn von FV ist, die Daten im Falle eines Diebstahls vor dem Auslesen zu schützen.

Genau!
Aber um die swapfiles zu greppen benötigt der potentielle Dieb einen Zugang mit "root"-Rechten und den hat er zunächst einmal nicht.

Und außerdem: Werden die swapfiles nicht gelöscht bzw. neu angelegt, wenn man den Rechner ausschaltet bzw. neu startet (z. B. auch im SU-Mode, wenn er denn nicht abgesichert ist)?
Man müsste sich also einen laufenden Rechner klauen lassen, an dem man gerade mit root-Rechten angemeldet ist bevor es wirklich brenzlig wird.
Oder habe ich jetzt einen Denkfehler?

 

[andreas-s]

By popular demand:

sudo strings -8 /var/vm/swapfile* |grep -A 4 -i longname

In der 3. Zeile dürfte jetzt euer Login-Passwort stehen, mit dem ihr an die Keychain und damit in 99% aller Fälle an das FileVault-Passwort kommt. Bei mir steht es noch an einer anderen Stelle im Swapfile. Ach ja, und falls ihr statt "longname" eure Emailadresse, eure Straße oder sonstwas einsetzt solltet ihr noch haufenweise (ggf. vertrauliche) Emails finden, und beliebigen anderen Kram - der interessierte Notebookdieb findet in jedem Fall genug Lektüre für lange Winterabende.

Viel Spaß.

 

[maceis]

rotfl

ich hab nur ne kleine Frage zum Einbenutzermodus:
Wie ändere ich das Tastaturlayout, also auf Darwinebene?

Sorry, aber den Zusammenhang versteh ich jetzt leider nicht ganz.

 

[-Nuke-]

Die Swapfiles werden bei jedem Neustart neu angelegt. Das lässt sich daran erkennen das meines von heute morgen ist.

Also denke ich mal das, wenn man den Rechner aus schaltet, es kaum Gefahr besteht das Passwort zu bekommen. Und wenn man root-Zugang hat, dann ist eh alles vorbei. Da hilft nix.

edit:

Achja. Ich habe den Befehl mal getestet. Bei mir steht nirgends mein Login-Passwort. Oder funzt das nur mit FileVault?

 

[andreas-s]

Aber um die swapfiles zu greppen benötigt der potentielle Dieb einen Zugang mit "root"-Rechten und den hat er zunächst einmal nicht.

Mei, alles was er tun muss ist die System-CD einlegen und "Passwort zurücksetzen" anklicken, genau wie das der Support macht wenn du dein Powerbook zur Reperatur bringst! Natürlich kann er auch die Festplatte ausbauen und an einen anderen Rechner anschließen, von einer CD oder einer Firewire-Platte booten und dann die Platte auslesen, usw...

Und außerdem: Werden die swapfiles nicht gelöscht bzw. neu angelegt, wenn man den Rechner ausschaltet bzw. neu startet (z. B. auch im SU-Mode, wenn er denn nicht abgesichert ist)?

Wenn die Dateien einfach nur gelöscht werden bringt das nichts, da die Daten trotzdem noch physikalisch auf der Platte vorhanden sind. Statt /var/vm/swapfile* durchsucht man dann halt /dev/disk0s1 (oder wie die Platte gerade heißt) und bekommt EXAKT das gleiche Ergebnis. Um das zu verhindern müsste man die Dateien beim Ausschalten wirklich mit anderen Daten überschreiben.

Und mal ehrlich, wer schaltet sein Powerbook schon jedes Mal aus wenn er es woanders hin mitnimmt? Standby verbraucht kaum Strom und ist viel bequemer.

Man müsste sich also einen laufenden Rechner klauen lassen, an dem man gerade mit root-Rechten angemeldet ist bevor es wirklich brenzlig wird.

Ob mit Root-Rechten oder nicht ist völlig nebensächlich, siehe oben.

 

[maceis]

By popular demand:

sudo strings -8 /var/vm/swapfile* |grep -A 4 -i longname

...

Und das Admin-Passwort klebt vermutlich auf einem Zettelchen auf der Unterseite des *Books, das nie ausgeschaltet wird und dessen Ruhezustand nicht geschützt ist .
Da greift dann wirklich nur noch die pysikalische Sicherheit.

Mei, alles was er tun muss ist die System-CD einlegen und "Passwort zurücksetzen" anklicken
...

Wer auf einem *Book das Booten von CD nicht absichert kann ohnehin nicht von Sicherheit reden - also ehrlich!

Sicher wäre es besser, wenn diese Daten nicht geswappt werden, aber so heiss wie du es kochst ist es auch wieder nicht.

---
[edit]

Statt /var/vm/swapfile* durchsucht man dann halt /dev/disk0s1 (oder wie die Platte gerade heißt) und bekommt EXAKT das gleiche Ergebnis.

Schon versucht? Oder nur geredet ?
strings: can't open file: /dev/disk1s10 (Device busy)
[/edit]

 

[-Nuke-]

HALLO!!!! Hört mich jemand?

Wenn man den Rechner neu startet ist das Swapfile LEER! NIX DRIN!

Also nix mit "von CD booten".

Also müsste man das iBook kriegen wenn derjenige als root arbeitet. Ansonsten wird das GAR NIX!

 

[maceis]

HALLO!!!! Hört mich jemand?

Wenn man den Rechner neu startet ist das Swapfile LEER! NIX DRIN!

Also nix mit "von CD booten".

Also müsste man das iBook kriegen wenn derjenige als root arbeitet. Ansonsten wird das GAR NIX!

Meine Rede!

andreas-s behauptet aber jetzt, man könne auch die Gerätedatei der Systempartition mit dem selben Ergebnis durchsuchen, was ich aber nicht glaube.

 

[-Nuke-]

Meine Rede!

andreas-s behauptet aber jetzt, man könne auch die Gerätedatei der Systempartition mit dem selben Ergebnis durchsuchen, was ich aber nicht glaube.

Eigentlich nicht. Denn das die Passwörter liegen verschlüsselt auf der Platte in Text-Form. Dann steht da nur so etwas:

root:#a97w5#46#s!ß394zsdffl

Je nachdem welche Verschlüsselung angewendet wird.

Aber so oder so.

Wenn du lokal am Rechner sitzt sind nicht verschlüsselte Daten sowieso gefährdet.

Wichtige Daten packt man sowieso in ein verschlüsseltes Image und mounted es, wenn man es braucht und wenn man fertig ist, wieder unmounten.

 

[sgmelin]

In der 3. Zeile dürfte jetzt euer Login-Passwort stehen, mit dem ihr an die Keychain und damit in 99% aller Fälle an das FileVault-Passwort kommt.

Wenn Du password als Passwort nimmst bist Du selber schuld. Das steht nämlich bei mir an der dritten Stelle. Ich finde dort nirgends mein Passwort.

 

[maceis]

...mit dem ihr an die Keychain und damit in 99% aller Fälle an das FileVault-Passwort kommt...

Und noch was:
Wer ein (wichtiges ! ) Passwort mehrfach verwendet (login-Passwort=FileVault-Passwort),und damit elementare Sicherheitsregeln missachtet , sollte sich nicht über reduzierte Sicherheit beklagen.