Paßwort und Keychain aus RAM lesbar per Firewire

MacMark

MacMark

Aktives Mitglied
Thread Starter
Dabei seit
27.02.2005
Beiträge
540
Reaktionspunkte
67
Wenn man Zugriff auf die Hardware hat, ist der Rechner eh Toast, es sei denn die Daten sind brauchbar verschlüsselt. Offenbar werden Paßworte und Keychain-Daten unverschlüsselt im RAM gehalten bei Mac OS X. Wie machen das andere Betriebssysteme? Sind dort Paßworte im RAM verschlüsselt?

Aktueller Hintergrund:

Passware (lostpassword.com) bietet ein Tool an, mit dem man in der neuesten Version auch am Mac Anmeldepaßworte und Keychain-Inhalte per Firewire auslesen kann aus dem Hauptspeicher:
http://www.lostpassword.com/pdf/pr-110726.pdf
http://www.lostpassword.com/kit-forensic.htm

Manche Newsseiten schreiben, es ginge nur mit aktivem Autologin, aber das ist nicht so laut Passware. Egal wie man angemeldet ist, sie können es auslesen.

Ein Workaround wäre, wenn Mac OS X die Speicherseiten passend beschränkt, auf die Firewire Zugriff hat.
 
Wird bei Thunderbolt auch möglich sein.
Da hilft nur Sekundenkleber. :cool:
 
rdachs schrieb:
Da hilft nur Sekundenkleber. :cool:
Zum Vergrößern anklicken....
Da hilft nur möglichst viel Theater um die Sache zu machen und möglichst viele Medien aufhetzen. So wie man Apple kennt werden die nicht wirklich aktiv werden (wie auch die letzten Jahre nicht, dass FW-Problem ist ja nicht gerade neu …)
 
Mag sein.
Aber wenn selbst MS es nicht für nötig hält da nachzubessern, dann Apple doch erst recht nicht.
 
The security risk is easy to overcome by simply turning off the computer instead of putting it to sleep, and disabling the “Automatic Login” setting. This way, passwords will not be present in memory and cannot be recovered.
Zum Vergrößern anklicken....

So what?
 
Ja und? Schalt die kiste halt ab, bevor du sie dir klauen lässt. Wer seine daten als dermaßen vertraulich einstuft, der sollte sie in erster line garkeinem speichermedium anvertrauen, ob das nun ne HDD oder nen stück papier ist. Und selbst das ist nicht vollkommen sicher ;)
 
So eine Meldung gab es schon mal vor einigen Jahren, was mich halt stört ist, das so die ganze Verschlüsselung des System größtenteils unterminiert wird.

Ich erinnere mich noch das es damals auf dem Chaos Communication Congress einen Vortrag gab, wo am ende auch eine Firewire kext mit deaktivierten DMA zur Verfügung gestellt wurde. Ist zwar nur ein Notbehelf, aber besser als nix.

Leider kann ich den link nicht mehr finden und diese kext ist wohl mittlerweile nicht mehr lauffähig, hat vielleicht jemand was aktuelles?
 
dirkt schrieb:
Ja und? Schalt die kiste halt ab, bevor du sie dir klauen lässt. Wer seine daten als dermaßen vertraulich einstuft, der sollte sie in erster line garkeinem speichermedium anvertrauen, ob das nun ne HDD oder nen stück papier ist. Und selbst das ist nicht vollkommen sicher ;)
Zum Vergrößern anklicken....

Alles von Apple über den Klee zu loben und dann mit total unrentablen Lösungen für Probleme zu kommen, scheint irgendwie dein Steckenpferd zu sein, oder irre ich mich da?
 
Angeblich nicht laut dem Link am Anfang in meinem Artikel. Ausprobieren konnte ich es nicht, weil passende Hardware fehlt, um von diesem USB-Stick das spezielle System zu booten.
Firewire ist jedoch nicht allein: Es geht wohl auch über USB (wie beim Jailbreak), PCI, Thunderbolt und so weiter. Man muß die Wurzel beseitigen, nicht die Blätter: Paßworte im RAM löschen, die braucht das System nämlich nicht speichern, denn es speichert Credentials. Wenn doch im RAM, dann bitte verschlüsselt.
 
MacMark schrieb:
Angeblich nicht laut dem Link am Anfang in meinem Artikel. Ausprobieren konnte ich es nicht, weil passende Hardware fehlt, um von diesem USB-Stick das spezielle System zu booten.
Firewire ist jedoch nicht allein: Es geht wohl auch über USB (wie beim Jailbreak), PCI, Thunderbolt und so weiter. Man muß die Wurzel beseitigen, nicht die Blätter: Paßworte im RAM löschen, die braucht das System nämlich nicht speichern, denn es speichert Credentials. Wenn doch im RAM, dann bitte verschlüsselt.
Zum Vergrößern anklicken....

Sehe ich auch so, aber ob dieses Problem jemals von Apple beseitigt wird, bezweifle ich irgendwie.
 
Sie sagten mir, sie arbeiten daran.
 
MacMark schrieb:
Sie sagten mir, sie arbeiten daran.
Zum Vergrößern anklicken....

Die Nummer mit dem Speicher auslesen über Firewire gab es ja schon bei 10.4. Da hatte der CCC darauf aufmerksam gemacht. Da hat sich auch nix getan.
 
Das sind gleich zwei Fehler:

1) Der CCC ist ein ganz, ganz toller super Verein: Die haben sogar Leute, die Spezifikationen lesen können. Denn das Speicherauslesen ist ein Feature von Firewire, USB (wie beim Jailbreak), Thunderbolt, PCI und so weiter.

2) Apple hat schon lange vorher etwas getan: DMA ist per Firmware-Kennwort ausschaltbar.

Nachdem der CCC also mal die Spec gelesen hat, bestand genau gar kein Handlungsbedarf, außer den Kopf zu schütteln über die übliche Wichtigtuerei dieses Vereins.
 
Tzunami:Wie gesagt, Jahre nachher.
Spacemarine: Ist im Artikel verlinkt.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten