Mein Macbook, meine Festung

MeroDesigns

Mitglied
Thread Starter
Dabei seit
28.08.2016
Beiträge
35
Reaktionspunkte
10
Servus Leute,

ich möchte mein Mac so sicher wie möglich machen. Wie stelle ich das an?

Passwort ist mMn stark, Firmware Passwort wurde gesetzt, FileVault ist aktiv.

Lohnt sich die Anschaffung eines Yubikeys?

Was kann ich noch "sicherer" machen?

Beste Grüße und Prost!
 
Niemals ein Passwort für mehrere Dienste nutzen. Noch besser: 2 Faktor-Auth bei Online-Diensten, die es anbieten.
SSH: Überall per key anmelden und folgendes in /etc/ssh/sshd_config setzen:
Code:
PasswordAuthentication no
ChallengeResponseAuthentication no
edit: ...aber immer xkcd im Hinterkopf behalten!
 
Mein Passwort meiner Rechner sind genau 2 Zahlen. Wozu ein „sichereres“ Passwort?
Ganz sicher bekommt man es nie. Es reicht ein Neustart/Neuistallation mit Zurücksetzen des Passworts.
Da hilft nur ständig alles zu verschlüsseln.
 
Bietet Sophies nicht auch Antiviren-Schlangenöl an?
Wenn ja, wäre ich da sehr skeptisch.

Brain hilft natürlich immer. Schon bei niedrigen Versionen.
 
ich möchte mein Mac so sicher wie möglich machen. Wie stelle ich das an?

Die Frage ist viel zu allgemein. Was verstehst du unter "so sicher wie möglich" und in welchen Umgebungen bewegst du dich?

Sicherheit kann heißen, dass du einfach nur das machst, was du bereits gemacht hattest (Zugangspasswort, Verschlüsselung), es kann aber auch heißen, dass du sämtliche Ports ausbaust, über die man irgendwie an deine Daten rankommen könnte, dass du nie ins Internet gehst und den Rechner abends in den Tresor stellst.

100% Sicherheit gibt es ohnehin nicht, das ist immer eine relative Angelegenheit. Was genau stellst dir also unter "Sicherheit" vor. Wenn du aus beruflich Gründen einem hohen Sicherheitslevel genügen musst, lass dich professionell beraten - das sind einfach zu viele Faktoren, die du berücksichtigen musst.
 
Zuletzt bearbeitet:
Wie du siehst, brauchst du solch eine Frage hier nicht stellen. Du hast nur 1 sinnvolle Antwort bekommen, mind. 4 Trollposts.

Schau im Internet, da gibt es genügend Informationen. Du kannst auch Sachen über Server/Linux hardening lesen, da die Sachen oft auch für OS X gelten. Wäge ab was du davon brauchst, was nicht. Das musst du bei Sicherheit eh immer. Es ist immer ein Kompromiss zwischen Konfort/Sicherheit und wie viel du davon in deinen Augen umsetzen musst/willst. Deshalb ist solch eine Frage wie deine auch meistens nicht zielführend.

Hier ist eine Sammlung von Links für den Anfang: https://neverendingsecurity.wordpress.com/2015/02/13/mac-os-x-hardening-tips/
 
@bin_ichs?

Danke für deine Antwort. Mir geht nur darum, dass niemand meine Festplatte entschlüsseln kann und meine Daten auch bei Verlust sicher sind.

Worst Case Fall für mich wäre - MacBook gestohlen- hochsensible Daten in Fremden Händen.
 
Die Frage ist, welches Sicherheitsniveau du gegen welche Angriffe erreichen willst. Für den Gelegenheitsdieb reichen FileVault, Firmwarepasswort und ein anständiges Benutzerpasswort aus.
Zusätzliche Sicherheit:
  • Rechner unterwegs immer herunterfahren (Filevault-PW kann sonst je nach Modell und OS über DMA aus dem RAM ausgelesen werden)
  • Nur vertrauenswürdige Geräte anschließen
  • Nur vertrauenswürdige Software installieren
  • Software auf dem aktuellen Stand halten
  • Firewall aktivieren
 
Worst Case Fall für mich wäre - MacBook gestohlen- hochsensible Daten in Fremden Händen.
Bei hochsensiblen Daten würde ich - nur so als Idee - doppelgleisig fahren und neben einer Komplettverschlüsselung per FileVault oder TrueCrypt (bzw. dem Nachfolgeprogramm) die sensiblen Daten jeweils zusätzlich verschlüsseln. Je nach der Art per Passwort, das im Erstellungsprogramm vergeben wurde, oder indem ich sie in eine pw-geschütztes Image lege.
FileVault und Co. haben das Risiko, daß sie nur nützen, wenn das Gerät beim Diebstahl ausgeschaltet war. Und normalerweise schickt man Macs eher in den Tiefschlaf, um schnell bequem weiterarbeiten zu können.
Die sensiblen Dateien dann immer vorher zu schließen, gehrt schon einfacher.
 
Rechner unterwegs immer herunterfahren (Filevault-PW kann sonst je nach Modell und OS über DMA aus dem RAM ausgelesen werden)
Nach meinem Wissensstand - der aber total überholt oder falsch sein kann - ist ein schlafender Rechner nicht geschützt, außer durch das leicht auszuhebeldne Benutezrpasswort, das FV- oder FW-Passwort nützt nur bei einem Neustart.
Laß mich aber wirklich gerne belehren.
Früher wurde öfter mal erwähnt, daß man den RAM einschließlich Passwörtern & Co. auslesen könnte, wenn man schnell genug Kältespray einsetzt und den RAM unterkühlt. Keine Ahnung, was da dran ist, und der Forumsteilnehmer, der darauf spezialisiert war, hat sich mittlerweile zurückgezogen (ich glaube, das war auch in einem anderen Forum).
  • Nur vertrauenswürdige Geräte anschließen
  • Nur vertrauenswürdige Software installieren
Softwarefirewalls sind wohl nicht das Gelbe vom Ei, man sollte auf die Firewall des Routers zugreifen. Hab ich jedenfalls gelesen.

Sorry for das Formatierungschaos, aber mit Listen und dicken Punkten klappt das irgendwie nicht korrekt.
 
Nach meinem Wissensstand - der aber total überholt oder falsch sein kann - ist ein schlafender Rechner nicht geschützt, außer durch das leicht auszuhebeldne Benutezrpasswort, das FV- oder FW-Passwort nützt nur bei einem Neustart.
Jein, solange der Mac läuft ist die Festplatte im Klartext zugreifbar, allerdings sind dann auch die Schutzmaßnahmen des Betriebssystems aktiv. Wie geschrieben besteht die Gefahr, dass über Direct Memory Access (DMA) zugegriffen werden kann.

Früher wurde öfter mal erwähnt, daß man den RAM einschließlich Passwörtern & Co. auslesen könnte, wenn man schnell genug Kältespray einsetzt und den RAM unterkühlt.

So ist es... Wobei die aktuellen Macbooks hier den "Vorteil" haben, dass der RAM verlötet ist, somit ist runterkühlen und ausbauen keine Option.

Das sehe ich differenzierter, wobei es auch Sicherheitsgründen vielleicht sogar sinnvoll ist. Leider wird Apple-Software mit Aktualisierungen mittlerweile keineswegs immer besser benutzbar. Da muß man abwägen.

Hab mich nur auf die Sicherheitssicht bezogen, aktuelle Securityfixes sind wichtig. Dass so manche Hersteller ihre Software verschlimmbessern, ist eine andere Sache ;)

Softwarefirewalls sind wohl nicht das Gelbe vom Ei, man sollte auf die Firewall des Routers zugreifen. Hab ich jedenfalls gelesen.

Eine Hardware-Firewall, die unabhängig vom zu schützenden Gerät läuft, kann besser schützen und bietet je nach Modell auch mehr Möglichkeiten bis zur Filterung auf Applikationsebene... Aber bei einem Notebook eher unpraktisch zum Mitschleppen :)
 
So ist es... Wobei die aktuellen Macbooks hier den "Vorteil" haben, dass der RAM verlötet ist, somit ist runterkühlen und ausbauen keine Option.
Ah, daß man ausbauen muß, hatte ich nicht bedacht.
Unterkühlt auslöten ist vermutlich recht schwierig.


Hab mich nur auf die Sicherheitssicht bezogen, aktuelle Securityfixes sind wichtig. Dass so manche Hersteller ihre Software verschlimmbessern, ist eine andere Sache ;)
Seh ich genauso. Je nachdem, was man macht, muß man dann halt abwägen. Und ganz grundsätzlich müssen ältere Systeme, auch wenn ohne Sicherheitsupdates, nicht angreifbarer sein. Weiß man halt meistens nicht.
Zum einen können Sicherheitslücken erst bei neueren Systemen auftreten, zum anderen kann es bei recht alten Lücken sein, daß kein Schwein da einen Angriff produziert, ausgehend davon, daß damit eh niemand mehr unterwegs ist. Ist aber nicht vorhersagbar.. Mit meinem Atari hätte ich da aber wenig Angst - falls ich heute überhaupt noch ins Internet käme oder eine Webseite aufrufen könnte.
Man könnte auch überlegen, mit alten Systemen, oder für alte Programme, eine eigene Umgebung einzurichten, ohne Internetzugang. Umständlich, aber man muß alt abwägen.[/QUOTE]


Eine Hardware-Firewall, die unabhängig vom zu schützenden Gerät läuft, kann besser schützen und bietet je nach Modell auch mehr Möglichkeiten bis zur Filterung auf Applikationsebene... Aber bei einem Notebook eher unpraktisch zum Mitschleppen
Ja, da hast du natürlich recht. Ich weiß nicht mal, ob es nützen würde, seinen Router mitzuschleppen und sich dann in ein Hotelnetzwerk einzuklinken. Ich hatte das nur erwähnt, weil ich als Laie auf diesem Gebiet immer wieder mal gelesen habe, daß Software-Firewalls total überschätzt würden.
 
Ah, daß man ausbauen muß, hatte ich nicht bedacht.
Unterkühlt auslöten ist vermutlich recht schwierig.
RAM ausbauen musste man auch nicht bei tools, wie z.b. inception.
daß Software-Firewalls total überschätzt würden.
naja, jede firewall ist eine softwarefirewall. die unterscheidung sollte eigentlich sein, läuft sie auf dem zu schützenden rechner (nicht sinnvoll) oder davor (sinnvoll). der markt der sicherheitsbedürftigen endanwender wurde nur leider von der, im gleichen segment operierenden, schlangenölbranche im schlechtestmöglichen sinne manipuliert.
 
https://github.com/carmaa/inception
[OS X > 10.7.2] 6 and [Windows > 8.1] 7 disables FireWire DMA when the user has locked the OS and thus prevents inception. The tool will still work while a user is logged on. However, this is a less probable attack scenario IRL.

In addition, [OS X Mavericks > 10.8.2 on Ivy Bridge (>= 2012 Macs)] 8 have enabled VT-D, effectively blocking DMA requests and thwarting all inception modules even when the user is logged in. Look for vtd[0] fault entries in your log/console.

http://blog.frizk.net/2016/12/filevault-password-retrieval.html
The disclosure timeline is as follows:
  • End of July: Issue found.
  • August 5th: PCILeech presented and released at DEF CON 24. (FileVault issue not mentioned).
  • August 15th: Apple notified.
  • August 16th: Apple confirmed issue and asked to hold off disclosure.
  • December 13th: Apple released macOS 10.12.2 which contains the security update. At least for some hardware - like my MacBook Air.

Conclusion
The solution Apple decided upon and rolled out is a complete one. At least to the extent that I have been able to confirm. It is no longer possible to access memory prior to macOS boot. The mac is now one of the most secure platforms with regards to this specific attack vector
.

Zusätzlich (wer auf Nummer Sicher gehen will):
Terminal → sudo pmset destroyfvkeyonstandby 1 ← Dadurch wird der Filevaultkey im RAM im Standby-Modus gelöscht und ist damit auch nicht mehr auslesbar.
Terminal → sudo pmset hibernatemode 25 ← Hiermit wird der RAM während Sleep auf die Harddisk kopiert und dann geleert.

Danach muss man natürlich beim Beenden vom Standby die HD durch Eingabe des PW wieder entschlüsseln.

Mehr Details: Terminal → man pmset
 
Zurück
Oben Unten