File Vault öffnen

mayo

mayo

Aktives Mitglied
Thread Starter
Dabei seit
21.11.2003
Beiträge
157
Reaktionspunkte
0
Ich bin Systemadministrator in einer kleinen Firma, hab das erste mal mit Mac OS X zu tun und gleich eein ganz kniffeliges Problem. Ein Mitarbeiter wurde gefeuert und weigert sich das Passwort für sein FileVault rauszurücken. Da der junge Mann der einzige User auf dem Rechner war und diesen auch selbst eingerichtet hat, hab ich auch nicht das Hauptkennwort, um den FileVault Schutz aufzuheben. Hat jemand Erfahrung mit so einem Problem und kann mir sagen, ob es einen Weg gibt, an die Daten zu kommen. Kann ich den Rechner vielleicht sogar bei Apple hacken lassen oder ähnliches?
 
Zuletzt bearbeitet:
Schwer zu Knacken! Aber wenn Du den Rechner in Classic hochfärst müßtest Du es schaffen. Probiert habe ich es noch nicht.
 
Ich hoffe mal, das es Firmendaten sind, an die du rankommen willst. Sonst könnte ich dein Vorhaben nicht gutheißen.
Eigentlich kannst du die AES-Verschlüsselung von FileVault nicht in realistischer Zeit oder mit zahlbaren Möglichkeiten knacken. Auch Apple nicht.
Aber vielleicht kannst du eine Sicherheitslücke ausnutzen; kuck mal den Thread durch:

https://www.macuser.de/forum/showthread.php?t=46460&highlight=filevault

cla
 
Benutzt eigentlich jemand hier FileVault? Ich hab da immer noch meine Bedenken. Schade, dass man sich nicht aussuchen kann, in welchen ordnern FileVault aktiviert ist. Denn meine MP3-Sammlung muss nicht unbedingt verschlüsselt sein.
 
bebo schrieb:
Benutzt eigentlich jemand hier FileVault? Ich hab da immer noch meine Bedenken. Schade, dass man sich nicht aussuchen kann, in welchen ordnern FileVault aktiviert ist. Denn meine MP3-Sammlung muss nicht unbedingt verschlüsselt sein.
Zum Vergrößern anklicken....

Ich benutze Filevault seit ca. 6 Monaten ohne Probleme. Meine großen und fetten Daten (alle unwichtig z.B. MP3-Sammlung, Filme&Schnittmaterial) habe ich ausgelagert. Die befinden sich nicht bei mir im Homedirectory, sondern in einem unverschlüsselten Directory auf der Platte.

cla
 
Ich habs mal aus Testzwecken benutzt. Ich kann nur sagen Finger weg der ist noch nicht Bug frei. Nach einiger Zeit hatt er meine Psswörter nicht mehr erkannt und ich konnte mich nicht einloggen. Die einzige rettende Geschichte war, das System zu aktualisieren. Zum Glück gehen dabei die Dateien nicht verloren, nur die Einstellungen.
 
Ist nicht sonderlich geschickt gelöst, gleich das ganze Home-Verzeichnis verschlüsseln zu müssen, ohne Auswahlmöglichkeit.

Hmm. ich dachte FileVault läuft stabil, wenn es bei dir anders ist Aquanaut, wann hast du es denn zuletzt benutzt?
 
@cla
wenn es keine Firmendaten wären, würde ich die Platte einfach neu formatieren.

@aquanaut
Wie sollte ich in der Classic Umgebung was machen können?
 
Man könnte das Filevault-Sparsefile auch noch mit Brute-Force attakieren.
Wenn der User kein allzu komplexes Passwort verwendet hat, ist dieser Weg durchaus erfolgsversprechend.
Müsste man bloss noch ein kleines Script schreiben, das einem die Arbeit abnimmt.

cla

@ bebo: Seit 10.3.2 gibt es eigentlich keine Negativmeldungen mehr. Ich würde es als stabil bezeichnen. Backups macht man ja sowieso immer :)
 
bebo soweit ich mich erinnern kann wie cla gesagt hat, war es mit der ersten Panther Version.
Und ich habe nur meinen Benutzer gesichert. Mit nem anderen oder neu eingerichteten konnte ich zwar rein aber wie es ja auch sein sollte konnte ich nicht auf meine Daten zugreifen. Deswegen bin ich damit etwas Vorsichtiger geworden.
 
Ich merk es schon: Sein lassen! :D
 
Ich hab´s geschafft. Jetzt weiß ich aber nicht, ob ich die Lösung hier posten sollte. Besonders sicher scheint das ganze nämlich wirklich nicht zu sein.
 
Interessant wäre es doch zu erfahren wie Du es angestellt hast. Nur in Groben Zügen.
 
Na gut, ich werde es mal in groben Zügen erklären:
1. Wie man das Admin Passwort ändert, sollte bekannt sein (von CD booten).
2. Jetzt kann ich mich als Admin einloggen
3. Im Ordner /Library/Keychains/FileVault den Master.keychain löschen
4. Jetzt kann ich das Hauptpasswort neu anlegen und so das FileVault deaktivieren

Hört sich einfach an, ist es auch.
 
Nicht schlecht Herr Specht! pepp pepp pepp
 
mayo schrieb:
3. Im Ordner /Library/Keychains/FileVault den Master.keychain löschen
4. Jetzt kann ich das Hauptpasswort neu anlegen und so das FileVault deaktivieren

Hört sich einfach an, ist es auch.
Zum Vergrößern anklicken....

Hört sich zu einfach an...wundert mich etwas...
Und damit hast du es geschaft, das verschlüsselte User-Sparseimage zu dekodieren, und bist an die gewünschten Daten gekommen?

cla
 
mayo schrieb:
Na gut, ich werde es mal in groben Zügen erklären:
1. Wie man das Admin Passwort ändert, sollte bekannt sein (von CD booten).
2. Jetzt kann ich mich als Admin einloggen
3. Im Ordner /Library/Keychains/FileVault den Master.keychain löschen
4. Jetzt kann ich das Hauptpasswort neu anlegen und so das FileVault deaktivieren

Hört sich einfach an, ist es auch.
Zum Vergrößern anklicken....

Das ist kein Geheimniss - wird sogar bei Apple beschrieben. FileVault hat ausser dem leicht zu knackenden Schutz auch den Nachteil, das Schreib/Lese Zugriffe auf die Platte verzoegert werden.

Wenn ein Mitarbeiter der gefeuert wurde sich weigert, das Passwort fuer den Firmenrechner zu nennen wuerde ich ihn verklagen und ihm die Kosten fuer data recovery auf's Auge druecken. Auch wenn persoenliche Daten auf dem Firmenrechner liegen kann sich ein Mitarbeiter nicht weigern, das Passwort zu nennen. Alle Daten auf dem Rechner gehoeren per Definition dem Arbeitgeber - es sei denn die private Nutzung des Rechners ist arbeitsvertraglich geregelt.

Cheers,
Lunde
 
Wenn ein Mitarbeiter der gefeuert wurde sich weigert, das Passwort fuer den Firmenrechner zu nennen wuerde ich ihn verklagen und ihm die Kosten fuer data recovery auf's Auge druecken.
Zum Vergrößern anklicken....

Ich denke man kann die Arbeitsgerichte auch anders beschäftigen.

Ich weiß jetzt nicht ganz, ob ich mich zu früh gefreut hab. Mit wurde angezeigt, dass FileVault entschlüsselt wird, was auch etwa 40 Minuten gedauert hat. Jetzt hab ich mich erneut eingeloggt und ich sehe immer noch das Sparseimage und keine offenen Daten. Hab jetzt von einem Kollegen den Tipp bekommen, VileFault wieder mit neuem Passwort zu aktivieren. Dann hätte ich dadaruf zugriff. Jetzt rödelt der iMac hier wieder zwei Stunden um das ganze zu verschlüsseln und ich weiß ehrlich gesagt nicht, ob das wirklich etwas bringt.
 
So, jetzt hab ich ein gesichertes Home Verzeichnis, in dem ein Sparseimage liegt, das ich mangels gültigen Passworts nicht öffnen kann. Das System scheint sicherer zu sein, als ich dachte. Aber meine Daten kann ich jetzt wohl abschreiben.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten