¿Cómo puedo usar el cifrado de FileVault y seguir rastreando mi computadora portátil si me la roban?

Después de jugar un poco, resulta que hay un mejor compromiso que no parece estar claramente documentado en ningún lugar obvio, así que pensé en compartirlo aquí. No creo que esto sea un duplicado, pero me complace ver que esta pregunta se cerró si me perdí algo.

El costo de la solución (que puede ser inaceptable para algunos) es que debe sacrificar alrededor de 14 G de su unidad a una partición trampa. Los pasos que tomé son:

1. Use la Utilidad de disco para cambiar el tamaño de su partición de arranque para crear al menos 14,3 G de espacio libre al final de la unidad. Si ya ha habilitado FileVault, creo que esto significa que tendrá que apagarlo y esperar a que termine de descifrarse primero.

2. Cree una partición vacía, Mac OS Extended, Journalled al final de su disco llenando el espacio libre.

3. Para hacer que las cosas se vean un poco más convincentes, asigne a su nueva partición un nombre que sea más plausible que Macintosh HD (2). El nombre de la mía es el nombre de mi host.

4. Reinicie su computadora e inicie el modo de recuperación manteniendo presionado Cmd-R mientras se inicia el sistema.

5. Seleccione reinstalar el sistema operativo en el menú de recuperación y continúe con la instalación. En algún lugar a lo largo de la línea, obtendrá la opción de seleccionar dónde instalar el sistema operativo. Quieres ponerlo en la nueva partición, obviamente. Debería ser lo suficientemente grande como para permitirle instalar Lion. Si no es así, tendrá que volver al menú principal de recuperación, iniciar la Utilidad de disco y cambiar el tamaño de las particiones nuevamente. Esto es un poco crapshoot porque no terminas con tanto espacio libre como el tamaño especificado de la partición, pero al final llegarás allí.

6. Complete la instalación de su nueva copia de Lion. Desea configurar esto como un honeypot, así que:

   • Habilite el inicio de sesión automático que inicia sesión en una cuenta no administrativa con el mismo nombre de usuario que usa en su partición principal (para mayor plausibilidad)
   • Asegúrese de que su cuenta de administrador tenga una contraseña decente para que al ladrón le resulte difícil meterse con su software de rastreo si lo encuentra.
   • No conectes nada a iCloud. Asumo que vas a usar un servicio alternativo como Undercover, Prey o LoJack para ayudar a la recuperación, por lo que es una mayor exposición potencial y es mejor evitarlo.
7. Instale el software de seguimiento de su elección en la partición del honeypot. Elegí Undercover al final porque es un costo único y Prey está escrito en bash <shudder>.

8. Evite que corestoraged intente montar particiones encriptadas al inicio, lo que arruinaría su cobertura:

   sudo mkdir -p /System/Library/LaunchDaemons.Disabled
   sudo mv /System/Library/LaunchDaemons/com.apple.corestorage.corestoraged.plist /System/Library/LaunchDaemons.Disabled/com.apple.corestorage.corestoraged.plist
   

   (Un poco de truco, pero es solo un honeypot. Un consejo para los contribuyentes aquí )

9. Reinicie su sistema. Deberá mantener presionada la tecla alt/opt mientras se inicia el sistema para que aparezca el menú de inicio. Seleccione su partición principal original para iniciar en su sistema principal.
10. (Re)Habilite FileVault para esta partición y permita que se complete.
11. Instale su software de seguimiento en esta partición también (esto funciona bien para Undercover, que identifica las máquinas por el número de serie de la dirección MAC, por lo que no le importa en qué partición inicie)
12. Establezca una contraseña de firmware. Si tiene una Mac anterior a 2011, esto es solo un gesto simbólico, pero supongo que todo ayuda. Si tiene una Mac más nueva, esta es una medida de seguridad seria, ya que las únicas opciones para eludirla AFAIK son llevársela a Apple o reemplazar físicamente un chip en la placa base.

Entonces, ahora, si apaga su Mac y la inicia desde frío, se iniciará en la partición del honeypot sin siquiera solicitar una contraseña. Para un ladrón poco sofisticado, parecerá que tiene acceso a su máquina con solo reiniciarla. Existe la gran posibilidad de que su software de seguimiento tenga la oportunidad de presentar un informe antes de que el ladrón se dé cuenta de que algo no está bien.

Cuando reinicie su máquina, deberá recordar mantener presionada la tecla alt/opción para ingresar a su sistema adecuado, momento en el que se le solicitará una contraseña para descifrarlo. Suponiendo que tiene habilitadas las configuraciones de bloqueo apropiadas para una seguridad sensible, su máquina es tolerablemente segura contra alguien que se apodere de datos privados confidenciales.

Si tiene una Mac reciente con la protección de firmware adecuada, el ladrón tendrá dificultades excepcionales para usar otra cosa que no sea la partición honeypot, y tendrá dificultades para hacer algo particularmente útil incluso con eso, ya que no tiene derechos administrativos. Con un poco de suerte, para cuando termine de frustrarse con eso, la policía ya estará llamando a su puerta :-)

Esto no funciona con las utilidades de seguimiento de terceros que menciona, pero si configura FileVault 2 y también el servicio Find My Mac de iCloud, habilita una opción de "Invitado" en la pantalla de autenticación previa al arranque de FV2. Si usa esta opción, se inicia en un modo exclusivo de Safari (ejecutándose desde la partición de recuperación, sin acceso al volumen de inicio cifrado). La idea aquí es que si alguien roba su Mac, intenta tentarlos a conectarlo a Internet para que pueda rastrear/borrar/etc. su Mac. Consulte este artículo de MacWorld para obtener más información .