Sicherheit von FileVault 2

F

Forevforev

Neues Mitglied
Thread Starter
Dabei seit
27.07.2015
Beiträge
15
Reaktionspunkte
0
Hallo,

meine Frage bezieht sich auf FileVault. Ich habe ein MBP aus dem Jahre 2015 mit High Sierra installiert und habe die Option FileVault aktiviert. Wie sicher ist das System, wenn ich das Macbook zuklappe und ein anderer an das Gerät kommt und aufklappt (Passwordabfrage erscheint)?
 
So sicher wie Dein Passwort. Ausser bei RAM Injektion. Wenn jemand mit einem Eisspray Dein RAM freezt, rausnimmt und dann irgendwo mit seiner 100'000$ Hardware ausliest, dann kann es sein das er ein Teil Deiner Daten hat.
 
Atalantia schrieb:
So sicher wie Dein Passwort.
Zum Vergrößern anklicken....
So ist es. Logisch oder? Filevault verschlüsselt die Daten mit deinem Kennwort, wenn nun einer das Notebook findet und aufklappt ist Filevault genau so sicher, wie das Kennwort, das du dir ausgesucht hast. Ein Wort aus dem Duden ist leicht zu knacken, mehrere beliebige Wörter mit Gesamtlänge >20 Zeichen ist sehr sicher. (Stichwort Entropie) https://xkcd.com/936/

PS: Interessante Links zum Thema
https://blog.elcomsoft.com/2016/07/mac-os-forensics-attacking-filevault-2/
https://books.google.de/books?id=4U...6AEIMTAB#v=onepage&q=filevault attack&f=false
 
Zuletzt bearbeitet:
Generell ist FileVault erst mal gar nicht mehr sicher sobald der Rechner gebootet hat.
Auch das Zuklappen ändert nichts daran.
Da braucht es gar nicht mal eine 100000$-Hardware.
Im Zweifel reicht dafür schon ein BadUSB-Stick, ein manipulierter Thunderbold-Stecker oder jetzt auch ganz 'neu' ein manipuliertes USB-C-Ladekabel.
 
Schattentanz schrieb:
Generell ist FileVault erst mal gar nicht mehr sicher sobald der Rechner gebootet hat.
Auch das Zuklappen ändert nichts daran.
Da braucht es gar nicht mal eine 100000$-Hardware.
Im Zweifel reicht dafür schon ein BadUSB-Stick, ein manipulierter Thunderbold-Stecker oder jetzt auch ganz 'neu' ein manipuliertes USB-C-Ladekabel.
Zum Vergrößern anklicken....
Ai caramba!
 
Schattentanz schrieb:
Generell ist FileVault erst mal gar nicht mehr sicher sobald der Rechner gebootet hat.
Auch das Zuklappen ändert nichts daran.
Da braucht es gar nicht mal eine 100000$-Hardware.
Im Zweifel reicht dafür schon ein BadUSB-Stick, ein manipulierter Thunderbold-Stecker oder jetzt auch ganz 'neu' ein manipuliertes USB-C-Ladekabel.
Zum Vergrößern anklicken....

Wie funktioniert das denn? Habe auf Youtube mal nach Videos geguckt, aber nichts gefunden dementsprechend. Kann man das "so einfach" aushebeln? Wozu sollte ich denn dann die Option aktivieren, wenn ich denn immer den Mac herunterfahren muss?
 
Das hat nichts mit aushebeln zu tun - eine Festplattenverschluesselung ist dazu gedacht die Daten zu schützen wenn jemand anders physischen Zugriff auf das Speichermedium bekommt ... Diebstahl bei Notebooks zb. Ein laufendes System muss mit anderen Mitteln geschützt werden
 
roedert schrieb:
Das hat nichts mit aushebeln zu tun - eine Festplattenverschluesselung ist dazu gedacht die Daten zu schützen wenn jemand anders physischen Zugriff auf das Speichermedium bekommt ... Diebstahl bei Notebooks zb. Ein laufendes System muss mit anderen Mitteln geschützt werden
Zum Vergrößern anklicken....

Wie denn?
 
Ein laufendes System ist über Benutzeraccounts und deren Passwörter vor Zugriffen geschützt.
 
roedert schrieb:
Ein laufendes System ist über Benutzeraccounts und deren Passwörter vor Zugriffen geschützt.
Zum Vergrößern anklicken....

Danke für Deine Antwort. Aktuell bin ich halt etwas verwirrt, weil ich teilweise im Internet lese, dass man den sogenannten FileVault Key löschen kann, wenn man das Laptop schließt. Wofür sollte man das machen, wenn die Abfrage des Passwortes ja im laufendem System schützt?
 
Schattentanz schrieb:
Generell ist FileVault erst mal gar nicht mehr sicher sobald der Rechner gebootet hat.
Auch das Zuklappen ändert nichts daran.
Da braucht es gar nicht mal eine 100000$-Hardware.
Im Zweifel reicht dafür schon ein BadUSB-Stick, ein manipulierter Thunderbold-Stecker oder jetzt auch ganz 'neu' ein manipuliertes USB-C-Ladekabel.
Zum Vergrößern anklicken....

... ach komm'! Quatsch.

Dann erkläre das doch mal, wenn es so einfach ist. Beziehe dich dabei aber nicht auf den bug der Ende 2016 bekannt wurde, denn der ist seit 10.12.2 behoben.
 
und was hat jetzt ein _entsperrtes_ MacBook damit zu tun?

Es ging hier um die Aussage, dass FileVault nach dem booten nicht mehr sicher sei, und das auch ein Zuklappen (=Ruhezustand incl. Passortabfrage nach dem Aufklappen, wie es der TE beschrieb) nichts daran ändern solle.

Also, wie soll das gehen?

Der Tweet zeigt lediglich, dass ein USB-Gerät an einem _entsperrten_ Mac was manipulieren kann. Das ist jetzt aber nichts sonderlich Welt bewegendes in Bezug auf die Frage nach FileVault hier.
 
Grundsätzlich halte ich FV2 für sicher.
Ein mittelbegabter Angreifer wird vermutlich nicht viel ausrichten können.
 
Der Vollständigkeit halber:

Vor 10.12.2 war das FileVault-Passwort durch einen Angriff über ein Thunderbolt-Gerät (sollte so auch mit USB-C gehen) durch direkten Speicherzugriff im Klartext auslesbar, auch nachdem ein MacBook wieder aus dem Ruhezustand aufgeweckt wurde.

Mit 10.12.2 wurde dies behoben. Das Passwort wird beim Aktivieren des Ruhezustandes aus dem Speicher entfernt und ist daher durch die beschriebene Attacke nicht mehr zu erlangen.

Wer mehr darüber lesen möchte (letzen beiden Absätze reichen) -> http://blog.frizk.net/2016/12/filevault-password-retrieval.html
 
Zitieren
  • Gefällt mir
Reaktionen: Sharptype, iPhill, FelixMacintosh und eine weitere Person
Also wenn ich das richtig verstanden habe, dann reicht es wohl aus, wenn man das Macbook einfach nur zuklappt ohne weitere Änderungen vornehmen.
 
Zurück
Oben Unten