¿Qué comportamiento del usuario es necesario para que Filevault 2 sea lo más seguro posible?

Situación: Las contraseñas de Filevault 2 pueden ser robadas

Passware ha lanzado el Passware Kit Forensic 11.3 que puede robar la contraseña de FileVault 2 de la RAM realizando un ataque DMA a través del puerto FireWire.

Afirman que su software:

  • recupera las contraseñas de inicio de sesión de usuario de Mac y las claves de FileVault de la memoria de la computadora y
  • descifra volúmenes TrueCrypt y FileVault en minutos.

Se han hecho varias sugerencias tratando de describir cómo proteger una Mac con Filevault 2 de tal ataque:

sudo pmset -a destroyfvkeyonstandby 1 hibernatemode 25

Esto eliminará la clave de cifrado de volumen completo de la RAM cuando el sistema se ponga en modo de suspensión y obligará al sistema a escribir inmediatamente la RAM en el disco y desconectar la alimentación de la memoria al suspender.

Pregunta:

¿Qué comportamiento del usuario es necesario y qué pasos hay que seguir para obtener la máxima protección con FileVault 2 en la Mac?

NB inception ( enlace github ) puede realizar ataques DMA en una variedad de objetivos (OS X, Windows y Linux), por lo que no necesita el software Passware para eso.

Respuestas (2)

Su pregunta contiene lo más importante que se necesita para proteger una computadora contra un ataque motivado para comprometer un volumen de Mac protegido por FileVault 2.

  1. No conecte FireWire a un dispositivo en el que no confíe o en el que no pueda confiar mientras esté conectado a una cuenta que tenga activas las claves de la bóveda de archivos.
  2. Elija buenas contraseñas de un solo uso para reducir la posibilidad de que otros compromisos degraden la seguridad de su contraseña de FileVault.
  3. Actualice a 10.7.3 y verifique sudo pmset -a destroyfvkeyonstandby 1 hibernatemode 25la configuración de administración de energía que fuerza el modo de hibernación para proteger sus claves del compromiso cuando el dispositivo normalmente "suspende"

Sigo a Rich Trouton para mantenerme actualizado en su blog para obtener buenos comentarios sobre cómo asegurar Macs. La combinación de temas actualizados sazonados con experiencia como administrador de sistemas del mundo real hace que sus escritos sean muy valiosos para mí.

El quid de la cuestión es su análisis Qué comportamiento del usuario es necesario para tener seguridad. Siempre me ha gustado pensar en la seguridad como una mentalidad y un intento constante de planificar, implementar, medir y adaptar. La seguridad no es algo que compras o algo que "configuras" y capacitar a los usuarios para que no divulguen el código de acceso que han usado para almacenar su frase de desbloqueo es la parte más débil de la capa de seguridad de FileVault. No reutilizar ese código de acceso: tener un sistema en el que haga que sus usuarios entiendan por qué su contraseña de llavero debe ser única y segura es mucho, mucho más difícil y lleva mucho más tiempo que simplemente configurar un plan para implementar el almacén de archivos inicialmente. ¡La mejor de las suertes en su búsqueda de seguridad!

Además, no se limite a responder sobre las medidas tecnológicas para protegerlo. Cualquier cosa que pueda hacer para aumentar la seguridad a través de la configuración y similares puede ser atacada. Este vector de ataque no es nuevo, no es exclusivo de Filevault y tampoco es particularmente práctico dado que requiere, ante todo y sobre todo, acceso físico a su máquina mientras está encendida . Si le preocupa, nunca use el modo de suspensión, nunca use la hibernación. Elige una contraseña larga (monkeyrhubarbcatsunglasses es mejor que hjsa£1KJh4$) y desactívala cuando no esté en uso.
Gracias por tu respuesta bmike! La seguridad como mentalidad , eso es muy cierto. Diría que cubres la mayoría de mis preocupaciones. Esperaba que tal vez apareciera algo más en una respuesta que no conocía hasta ahora. Aparentemente, no hay nada más que decir :) ¡Gracias!
@stuffe Se discute la solidez de las contraseñas solo por su longitud, por lo que tengo una contraseña compleja y larga. Es posible que le interese esta pregunta sobre security.stackexchange: ¿contraseña corta y compleja o frase de contraseña larga del diccionario?
¿Se aplica esta vulnerabilidad si la máquina ha bloqueado la pantalla antes de dormir? El cuadro aquí sugiere que las máquinas con bloqueo de pantalla son seguras, ¿eso no se aplica a una máquina para dormir? Además, esto sugiere que simplemente habilitar la configuración de una contraseña de firmware resuelve el problema.

¿Podría alguien robar su máquina? Además de evitar el acceso electrónico, deberá mantenerlo bajo llave.

En serio, en cada paso, obtienes la mayor mejora al cubrir el punto más débil; una vez que sus defensas de software son mejores que las físicas, las mejores defensas de software no agregan (o casi ninguna) mejora.

¿Qué comportamiento del usuario es necesario para que Filevault 2 sea lo más seguro posible?
RespuestasAquíPolítica de privacidad1y, 0v