Schützt FileVault auch vor betrügerischen oder schädlichen Inhalten aus dem Internet?

[Toomai]

Hallo,

Nützt FileVault nur gegen Diebe die mein MacBook klauen? oder schütze ich damit auch meine Dateien vor ungewollter Spionage- oder sogar Zerstörungs- Software ?

Und was ist der Unterschied zwischen einem Mac der durch ein Nutzerkennwort gesichert wurde und einem Mac der zusätzlich durch FileVault geschützt wurde? Kann man sich das so vorstellen, dass eine Art zweite Schutzschicht über den Dateien liegt?

Für mich wäre nur ein Grund dieses FileVault zu aktivieren, wenn ich damit mehr vor Spam-, Spionage- und Viren- Software aus dem Internet geschützt bin.

Danke,
Toomai

 

[MacMo]

Hallo Toomai,

die Antwort auf deine Frage ist ein klares nein.

FileVault 2 ist eine sogenannte "Full Disk Encryption", zu Deutsch ungefähr eine Gesamtverschlüsselung der Festplatte.
Das heißt, dass die Daten auf deiner Festplatte mit einem Verschlüsselungsalgorithmus verschlüsselt werden, und somit ohne dein Passwort nicht mehr ohne weiteres ausgelesen werden können.

FV2 hat nichts mit Internet zu tun und sobald dein Rechner angeschaltet ist und du eingeloggt bist, sind alle deine Daten entschlüsselt und jeder könnte im Prinzip wieder darauf zugreifen, ohne sich Gedanken über die Verschlüsselung zu machen.

Viele Grüße,
Moritz

 

[maecimacmac]

Und was ist der Unterschied zwischen einem Mac der durch ein Nutzerkennwort gesichert wurde und einem Mac der zusätzlich durch FileVault geschützt wurde? Kann man sich das so vorstellen, dass eine Art zweite Schutzschicht über den Dateien liegt?

Szenario: jemand hat Zugriff auf deinen Mac. Sei es, weil er gestohlen wurde, oder du ihn für wenige Minuten unbeobachtet lässt. Ob das Gerät läuft oder abgeschalten ist, spielt keine Rolle. Ist der Mac nun lediglich mit einem Nutzerkennwort gesichert, hat ein Angreifer alle Möglichkeiten. Er kann beispielsweise auf deine Daten zugreifen oder eine Hintertür einbauen.
Ist FileVault aktiv, funktioniert es wie es soll und ist das Passwort sicher, stehen dem Angreifer obrige Möglichkeiten nicht zur Verfügung.

 

[fdimmling]

Szenario: jemand hat Zugriff auf deinen Mac. Sei es, weil er gestohlen wurde, oder du ihn für wenige Minuten unbeobachtet lässt. Ob das Gerät läuft oder abgeschalten ist, spielt keine Rolle. Ist der Mac nun lediglich mit einem Nutzerkennwort gesichert, hat ein Angreifer alle Möglichkeiten. Er kann beispielsweise auf deine Daten zugreifen oder eine Hintertür einbauen. ...

Das ist IMHO so nicht ganz richtig. Wie soll der Angreifer denn die Daten auslesen oder eine Hintertür einbauen wenn er sich nicht anmelden kann? Er kann aber die Festplatte ausbauen und sie an einen anderen Rechner anschließen und auslesen. Das geht natürlich nicht mehr, wenn sie verschlüsselt ist.

 

[David X]

Wie soll der Angreifer denn die Daten auslesen oder eine Hintertür einbauen wenn er sich nicht anmelden kann?

Mit Linux-DVD oder -USB-Stick booten → Schwupps, alle unverschlüsselten Daten sind mir.
cmd-R und im Terminal neue Passwörter vergeben geht auch noch.

 

[enemykillerz]

Wenn ich die HDD die mit FileVault2 schütze und sie aber in ein USB-Gehäuse Einbau und dann anschließe, kann ich dann auf die Dateien zugreifen? Ich mein eigentlich sollte das ja nicht gehen, sonst würde FV2 ja keinen Sinn ergeben?

 

[maecimacmac]

Das ist IMHO so nicht ganz richtig. Wie soll der Angreifer denn die Daten auslesen oder eine Hintertür einbauen wenn er sich nicht anmelden kann?

Er meldet sich an. Und zwar als root. Ohne Passwort.

 

[maecimacmac]

cmd-R und im Terminal neue Passwörter vergeben geht auch noch.

Ich kann es zur Zeit nicht überprüfen, denke aber nicht, dass dies ohne weiteres über den recovery mode funktioniert. Dunkel habe ich in Erinnerung, dass der Recovery Mode abgeschottet läuft. Wie gesagt, ohne Garantie. (Nebenbei: das wäre fatal. Der recovery mode ist nicht passwortgeschützt.)
(Davon abgesehen braucht man keine neuen Passwörter, wenn man ohnehin root ist.)

 

[maecimacmac]

Wenn ich die HDD die mit FileVault2 schütze und sie aber in ein USB-Gehäuse Einbau und dann anschließe, kann ich dann auf die Dateien zugreifen?

In dem Kontext: Nein.

 

[David X]

Wenn der Mac nicht mit FileVault2 oder einem Tool wie z.B. Truecrypt verschlüsselt ist und auch kein Firmware-Kennwort gesetzt wurde, gibt es folgende Möglichkeiten an die Daten zu kommen (ohne Anspruch auf Vollständigkeit):

- Linux booten (USB oder CD/DVD) → wird, wenn man es richtig macht, vom Nutzer nicht bemerkt
- Passwörter in der Recovery neu vergeben (Terminal → resetpassword) → wird vom Nutzer später bemerkt
- Root-Account in der Recovery aktivieren (ebenfalls per resetpassword im Terminal) → wird vom Nutzer evtl. bemerkt
- Single-User-Mode booten → wird nicht bemerkt
- Mac im Target-Modus mit einem anderen Mac verbinden und die Accounts mit dem Migrationsassistenten importieren → fällt auch nicht auf

Dass der Angreifer weiss, wie man Logfiles manipuliert, wird hier jetzt mal vorrausgesetzt.

Sollte ein Firmwarepasswort gesetzt sein, hilft nur Ausbau des RAM um das Passwort zurückzusetzen oder Ausbau der HDD (MacBook Airs und die Retinas haben hier Vorteile).
Bei aktiviertem FileVault2 und ausgeschaltetem Rechner ist bis jetzt keine funktionierende Methode bekannt, mit der man an die Daten auf dem verschlüsselten Teil der HDD kommt.

 

[Schiffversenker]

Ich habe mal gelesen, das Umgehen des FW-Paßwortes durch RAM-Ausbau ginge nur bei älteren Modellen.
Verhindert aber natürlich sowieso nur das Starten des Rechners, nicht den Zugriff auf die ausgebaute Festplatte.

 

[maecimacmac]

@David X: Truecrypt unterstützt keine FDE auf einem Mac. D.h. mehr potenzielle Angriffsvektoren. Darum sollte man es nicht gleichsetzen.
Dass man mittels Recovery mode User Passwörter zurücksetzen kann, war mir neu. Ich habe die Partition allerdings nie verwendet, sondern sie sofort entfernt, denn sie liegt unverschlüsselt auf der Platte. Das könnte man mit einigem Aufwand aber auch sauberer lösen, sofern man die Funktionalität beibehalten möchte. Aber das Thema ist für die wenigsten Benutzer interessant.

 

[David X]

Und welche FDE benutzt Du dann mit Macs?

 

[Trey]

Wenn ich die HDD die mit FileVault2 schütze und sie aber in ein USB-Gehäuse Einbau und dann anschließe, kann ich dann auf die Dateien zugreifen? Ich mein eigentlich sollte das ja nicht gehen, sonst würde FV2 ja keinen Sinn ergeben?

Du kannst auf die Daten zugreifen, OSX fragt dich aber vorher nach dem Passwort.

 

[maecimacmac]

Und welche FDE benutzt Du dann mit Macs?

Ich verstehe die Frage nicht ganz (dann?). Aber ich verwende FV2, um meine Daten vor normalen Strassenkriminellen (Diebstall) zu schuetzen. Wie du geschrieben hast, es gibt keinen weit bekannten Weg, um FV2 zu umgehen.
Ausserdem gibt es keine einzige quelloffene Loesung fuer den Mac, folglich ist meine Motivation mich nach Neuem umzusehen, gering.

 

[David X]

Aha, dann hast DU FV über den Terminal und nicht über die GUI aktiviert. Welchen nicht weit bekannten Weg gibt es denn, FV2 zu umgehen?

 

[dg2rbf]

hi..
es gibt keinen Weg, FV2 zu umgehen, no Password, no Way !!!

 

[David X]

Naja, bei Lion wurde eine Lücke in FileVault2 bzw. DMA per Firewire erst mit 10.7.2 gefixt. Könnte ja sein, dass es mittlerweile noch was Neues (nicht so bekanntes) gibt.

 

[Kaito]

Man kann es nie wissen, Lücken können (und sind!) jederzeit auftauchen.
Die von David X angesprochene hat auch ziemlich lange auf einen Fix warten dürfen...

 

[maecimacmac]

Welchen nicht weit bekannten Weg gibt es denn, FV2 zu umgehen?

Ob FV zur Zeit direkt umgangen werden kann, weiss ich nicht. Mein Punkt: Solange keine Hinweise darauf zu finden sind, erfuellt FV meiner Meinung nach - für einen normalen User - seinen Job. Und wenn man fuerchtet, dass jemand hier jemand einen zero day exploit anwendet (wohlmoeglich noch unbemerkt), dann muss man ohnehin auf andere Methoden zurückgreifen.