FileFault nutzlos?! (umgehbar?)

D

defa

Mitglied
Thread Starter
Dabei seit
11.05.2004
Beiträge
42
Reaktionspunkte
0
Hi!

ich habe gerade hier (http://reteam.org/board/showthread.php?t=877) folgendes gelesen:

Please anyone offer insight into this, i tested it myself but would like your thoughts on my work, as i only figured it out after playing on a mac for a couple weeks

tools: usb drive and two files, easily created with mac OS on any mac computer that is filevault capable.

the beauty of this fix is that it doesn't require you to enable anything on the computer, or look for anything, it just requires the placing of 2 small files on it, and you can successfully circumvent any filevault encryptions, account passwords and system keychains. so in essence, with this hack you get not only the users account and files, but access to any stored passwords they use, email, chat, everything.

the method:

there are two files that are created when enabling a master password on mac OS X

named:

FileVaultMaster.cer
FileVaultMaster.keychain

the placement of these files in the proper folder (either /Library/Keychains/ or /System/Library/Keychains) will enable a master password, overwrite an old one, or deleting them will disable master password. you would think that this is locked to only a single mac computer, but surprisingly it doesn't. all you need to do is boot to single user mode, mount your usb drive, cp the files to that location, reboot like normal, enter a password incorrectly 3-5 times and then use the master password to reset it, all while keeping the user's keychains intact and not causing the filevault encryption to lock the users files to be inaccessible.

i didn't walk through every step because it will depend on the filesystem of the USB drive you use, whether it's ntfs, hfs, ext3 or FAT

and this works across 10.4 and 10.5 (i tested both) and possible back to 10.0, whenever filevault master password was implemented, this should work

of course, you can also use the same method for user accounts, just create your own password, and then take the file that is the same name as the GUID of your user in the shadow hash folder (forgot the location) and replace any of the users, will work the same way, but i prefer the master password as it will keep keychains in effect, i.e. you have access to the emails, chat programs, and encrypted files/folders
Reply With Quote
Zum Vergrößern anklicken....

Kann das mal jemand verifizieren? Ich habe gerade keinen Mac hier. Wenn das stimmt wäre das extrem übel.

bye
defa
 
Nein, das funktioniert so nicht:

Durch Austauschen der beiden Dateien läßt sich zwar das Master-Paßwort ändern. Auch läßt sich dann mit dem neuen Kennwort das Benutzer-Paßwort zurücksetzen, jedoch nicht das Kennwort von FileVault. Letzteres ist nur mit dem Master-Kennwort möglich, das bei Anlegen des FileVaults gültig war. Folglich hat man am Ende der Aktion unterschiedliche Kennwörter für Benutzer und FileVault, weswegen ich davon abrate, das auszuprobieren.

Insofern ist FileVault nach wie vor als sicher zu betrachten, jedenfalls nicht so einfach umgehbar. Was die Schlüsselbunde angeht, die lassen sich ohne das gültige Paßwort niemals einsehen, auch nicht mit Master-Paßwort.
 
defa schrieb:
Kann das mal jemand verifizieren? Ich habe gerade keinen Mac hier. Wenn das stimmt wäre das extrem übel.
Zum Vergrößern anklicken....
FileVault hat viele Schwächen, aber die beschriebene zählt nicht dazu – es handelt sich um eine Falschinformation.

Martin
 
...

Hallo jkm,

Nein, das funktioniert so nicht:
Zum Vergrößern anklicken....

Was macht Dich da so sicher?

you would think that this is locked to only a single mac computer, but surprisingly it doesn't.
Zum Vergrößern anklicken....

So überraschend finde ich das gar nicht sonst würden bei jedem Festplattenclonen oder Festplattenwechsel die FileVault-Images nicht mehr zu öffnen sein falls man das Kennwort vergisst.

Es macht schon einen Unterschied ob ich über die Install-DVD das Kennwort zurücksetze oder den oben genannten Weg gehe.

Ich vermute neben der Umgehung des Login mit dem Hauptkennwort wird auch gleich der Schlüsselbund geöffnet und mit dem darin enthaltenen alten Kennwort das Image automatisch geöffnet.

Ich habe es jetzt nicht nachgeprüft - halte es jetzt aber per se nicht für unmöglich...

Gruß Andi
 
Andi schrieb:
Was macht Dich da so sicher?
Zum Vergrößern anklicken....

Bei FileVault handelt es sich um ein AES-128-verschlüsseltes Disk-Image. Das kann nicht ohne Eingabe des Paßworts entschlüsselt werden, mit dem es verschlüsselt wurde. Sonst gäbe es noch zig weitere Wege, an FileVault ohne Kennwort heranzukommen.

EDIT:
Im FileVault-Schlüsselbund werden die Kennworte der User-Images abgespeichert, dieser wiederum mit dem Master-Kennwort verschlüsselt. Bei Eingabe des Masterkennworts hat man dann Zugriff auf die Kennwörter und kann FileVault für die User deaktivieren.
Insofern nützt es nicht, aber auch garnichts, wenn man einen fremden FileVault-Schlüsselbund auf die Festplatte kopiert. Diesen kann man zwar regulär öffnen, aber hat ein falsches Kennwort für Filevault.
 
...

Hallo jkm,

Im FileVault-Schlüsselbund werden die Kennworte der User-Images abgespeichert, dieser wiederum mit dem Master-Kennwort verschlüsselt.
Zum Vergrößern anklicken....

man muss doch gar kein Hauptkennwort setzen. Mit was ist dann der Schlüsselbund gesichert? Wohl mit dem Login-Kennwort welches ja mit einem Hauptkennwort im Beispiel umgangen wird.

Das Hauptkennwort ist ja explizit für den Fall, dass das Kennwort vergessen wird. Das FileVault-Image wird mit dem Login-Kennwort verschlüsselt. Wenn der Login umgangen wird wird auch der Schlüsselbund geöffnet. Wie sollten sonst die Leute an ihre Daten kommen.

Dass man das Hauptkennwort so einfach überschreiben kann will ich auch nicht so recht glauben. Ich halte es aber wie gesagt nicht für unmöglich weil ich es nicht selbst versucht habe...

Gruß Andi
 
Andi schrieb:
man muss doch gar kein Hauptkennwort setzen. Mit was ist dann der Schlüsselbund gesichert? Wohl mit dem Login-Kennwort welches ja mit einem Hauptkennwort im Beispiel umgangen wird.
Zum Vergrößern anklicken....

Wenn man kein Masterkennwort setzt, existiert überhaupt kein FileVault-Schlüsselbund.
 
...

Hallo jkm,

Zitat jkm: Durch Austauschen der beiden Dateien läßt sich zwar das Master-Paßwort ändern.
Zum Vergrößern anklicken....

Zitat jkm: Im FileVault-Schlüsselbund werden die Kennworte der User-Images abgespeichert, dieser wiederum mit dem Master-Kennwort verschlüsselt.
Zum Vergrößern anklicken....

Zitat jkm: Wenn man kein Masterkennwort setzt, existiert überhaupt kein FileVault-Schlüsselbund.
Zum Vergrößern anklicken....

Zitat jkm: Nein, das funktioniert so nicht:
Zum Vergrößern anklicken....

irgendwie bin ich noch nicht überzeugt. Ich halte das nach wie vor für denkbar. Eventuell war in dem Beispiel auch gar kein Hauptkennwort gesetzt. Falls man jetzt relativ einfach dem System ein Hauptkennwort unterjuckeln kann und damit den Login umgehen kann halte ich es für möglich dass das FileVault-Image irgendwie geöffnet wird...

Gruß Andi
 
Andi schrieb:
Dass man das Hauptkennwort so einfach überschreiben kann will ich auch nicht so recht glauben. Ich halte es aber wie gesagt nicht für unmöglich weil ich es nicht selbst versucht habe...
Zum Vergrößern anklicken....
Es funktioniert nicht, man hat danach schlicht gar kein Hauptkennwort mehr und damit funktioniert auch der FileVault-Zugriff nicht mehr – die «Geschichte» wird alle paar Monate thematisiert – ein Beispiel dafür ist http://www.bloggerin.com/archiv/filevalut-viel-zu-einfach-zu-knacken –, wahr wird sie dadurch nicht. Passend dazu auch noch ein entsprechendes Support-Dokument von Apple: Official Apple Support.

Wer es selbst ausprobieren möchte, kann sich einen Test-Benutzer inklusive FileVault einrichten – dauert ein paar Minuten, fertig.
 
Zuletzt bearbeitet von einem Moderator:
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten