¿Remote Wipe borra de forma segura el contenido de la unidad?

Question

¿Remote Wipe borra de forma segura el contenido de la unidad?

Mac
privacidad
seguridad
Software
encontrar-mi-mac

terrance shaw

Con todo el alboroto que rodea la debacle de Mat Honan, tengo curiosidad: cuando limpias una Mac de forma remota, ¿es una limpieza segura o simplemente bloquea la máquina con un código?

Del artículo de Wired :

Cuando realiza un borrado remoto del disco duro en Find my Mac, el sistema le pide que cree un PIN de cuatro dígitos para que el proceso se pueda revertir. Pero aquí está la cosa: si alguien más realiza ese borrado, alguien que obtuvo acceso a su cuenta de iCloud a través de medios maliciosos, no hay forma de que ingrese ese PIN.

Eso es todo lo que profundizan, y la mayoría de los mejores resultados de Google tampoco van más allá.

Respuestas (2)

¿Remote Wipe borra de forma segura el contenido de la unidad?

Viejo profesional · Answer 1

Realicé un borrado remoto en una MacBook Pro con un SSD que ejecuta Mountain Lion porque no estaba seguro de cómo borrar el SSD de forma segura. Así que puedo responder a algunas de sus preguntas.

Para empezar, Mat Honan se equivocó cuando dijo que el propósito del PIN era que "el proceso se pueda revertir". Es para evitar que el ladrón use la computadora. Creo que la idea es que si la computadora debe llevarse a Apple para desbloquearla, entonces es mucho más probable que se recupere una computadora robada.

Sí, cuando borra la computadora de forma remota, se realiza un borrado seguro. Apple incluso te advierte que podría llevar hasta un día. Sin embargo, si su unidad fue encriptada con FileVault 2, entonces no es necesario borrar el disco. Es suficiente borrar de forma segura las claves de cifrado almacenadas en el disco, así que eso es lo que hacen. Es muy rápido y tan seguro como el sistema de cifrado subyacente, que por ahora es muy seguro. No puede recuperar la unidad con la clave de recuperación una vez que se hayan borrado las claves de cifrado.

Sin embargo, antes de comenzar a limpiar el disco, Apple instala algún tipo de bloqueo en el sistema que le impide iniciarlo desde la unidad interna o externa. No conozco los detalles de cómo funciona esto, solo sé que no encontré una forma obvia de evitarlo.

EDITAR

Hice esto por segunda vez y esta vez anoté los pasos.

Después de que la computadora portátil recibió la instrucción de borrado remoto, emitió 2 pitidos cortos y luego se congeló, mostrando la rueda giratoria (no una pelota de playa), y luego se reinició
Después de reiniciar, mostró una pantalla gris con el mensaje "Ingrese el código PIN de bloqueo de su sistema para desbloquear esta Mac" y opciones para suspender, reiniciar o apagar.
Ingresé el código PIN casi de inmediato
Después de un breve retraso, la computadora portátil se reinició en la partición de recuperación y preguntó sobre la instalación de un sistema (ya sea un sistema nuevo a través de Internet o un sistema antiguo a través de una copia de seguridad de Time Machine u otra computadora para clonar)
Luego reinicié la computadora en modo Disco de destino y examiné la unidad desde otra computadora. La unidad ya no se ve como una unidad encriptada y no pude encontrar signos de datos utilizables en la unidad, aunque para ser justos, no intenté nada demasiado elegante. Tengo fe en que la clave de encriptación fue borrada y que todo lo que encontraría son datos encriptados para los cuales ya no tenía la clave.

Ahora volvamos a nuestra historia original...

A continuación se muestra de memoria, por lo que podría estar ligeramente equivocado en algunos detalles. Puede leer el relato del proceso de otra persona desde MacObserver . (Pudieron recuperar archivos de su unidad mecánica sin cifrar, pero creo que fue porque ingresaron el código de acceso e interrumpieron el borrado antes de que terminara). Creo que después de que comenzó el borrado remoto y apareció la pantalla de bloqueo en la MacBook Pro No esperé mucho a que terminara de borrar el disco e ingresé el PIN para ver qué podía ver en el disco. (Nunca vi nada en el disco, pero tampoco lo saqué de la computadora y lo envié a DriveSavers para que lo revisaran). No recuerdo exactamente cómo llegué a apagar la máquina después de la limpieza.

De todos modos, después de limpiar y apagar, conecté una unidad externa de instalación de Mountain Lion y encendí la computadora. Recibí una carpeta intermitente con un signo de interrogación (lo que significa que no puede encontrar una unidad de arranque).

Reinicié, manteniendo presionada la tecla de opción para elegir los discos de arranque. Tuve la opción entre Macintosh HD (la unidad interna) y la unidad externa. Elegí la unidad externa y nuevamente obtuve la carpeta intermitente con un signo de interrogación.

Reinicié nuevamente, manteniendo presionada la tecla de opción nuevamente, pero esta vez elegí "Macintosh HD". Luego se me presentó una pantalla para ingresar el PIN de desbloqueo. Lo cual hice. Luego volví a la pantalla donde podía elegir una unidad de arranque, pero esta vez la unidad interna estaba etiquetada como "10.8 Recovery HD" o algo así. Nuevamente elegí la unidad externa y arrancó bien. Luego pude reinstalar el sistema operativo y todo fue normal desde allí.

No pensé en intentar poner la computadora en el modo de disco de destino, pero Apple es bastante inteligente con el cifrado y la seguridad, por lo que espero que el bloqueo del código PIN esté en el firmware y que la computadora no haga nada hasta que esté desbloqueada. También sospecho que Apple puede desbloquear la computadora con algún procedimiento secreto, pero eso solo restauraría la computadora a su funcionamiento normal: lo que sea que haya en el disco desaparecerá en la medida en que la computadora pueda borrarlo antes de que se lo entregues a Apple. . (El artículo de MacObserver afirma que no pudieron poner la computadora en el modo de disco de destino hasta que la desbloquearon cuando solo estaba bloqueada de forma remota. Mat Honandeclaró en un seguimiento de su artículo original sobre cómo fue pirateado que el Apple Genius que finalmente consiguió para ayudarlo "había podido restablecer la contraseña del firmware" a pesar de que "no pudo descifrar el PIN".) Lo que hace que el cifrado Las unidades son tan seguras que todo lo que necesita borrar es probablemente solo un bloque del sistema de archivos que contiene la(s) clave(s) de encriptación, por lo que se hace en menos de un segundo.

Prueba de fuego, impresionante. ¡Gracias por esa profunda respuesta!

l'L'l · Answer 2

l'L'l

No, no es un borrado seguro y, técnicamente, ni siquiera es un "borrado" según el documento técnico de Apple "OS X Security":

"FileVault 2 brinda a los departamentos de TI la capacidad de borrar la clave de cifrado de una Mac determinada en cualquier momento para garantizar que no se pueda acceder a los datos cifrados mediante el inicio de sesión del usuario o las herramientas de recuperación de datos. Este proceso se conoce como borrado remoto".

Fuente: Documento técnico de Apple Seguridad OS X (marzo de 2012)

terrance shaw

Dicho esto, asumo que podría ponerse en contacto con Apple para recuperar la clave de cifrado (por una tarifa) y recuperar el contenido de su disco. Y si ese es el caso, ¿por qué no simplemente bloquearlo?

l'L'l

@TerranceShaw, por lo que entiendo, el "borrado remoto" borra las claves de cifrado que normalmente bloquearían/desbloquearían la unidad que contiene el sistema operativo y su contenido. No está claro si Apple tiene la capacidad de recuperar las claves de cifrado "borradas". Sin embargo, dado que los datos aparentemente no se borran de la unidad, podrían recuperarse de todos modos.

l'L'l

Una cosa más (no confirmada) a tener en cuenta: si bloquea su Mac de forma remota, no podrá usar el borrado remoto. :-o

lucas kauffmann

@l'L'l incluso si alguien logra romper AES-256, ¿quieres decir?

l'L'l

@LucasKauffman, en diez años alguien mirará hacia atrás y pensará "¿Realmente creyeron que eso era seguro?" - probablemente mientras se ríe.

lucas kauffmann

@l'L'l lo dudo mucho. AES-256 no se romperá dentro de 10 años. Ni siquiera los procesadores qubit están optimizados para nuestras velocidades informáticas estándar (que todavía faltan años, probablemente incluso décadas). Además, no existen ataques prácticos de análisis criptográfico en AES y los únicos ataques viables conocidos son los ataques de canal lateral durante la generación de claves.

l'L'l

@LucasKauffman, me refería a la forma en que Apple definió "borrado seguro". En cuanto a AES-256, sí, es bastante seguro y los humanos nunca lo romperán. La computación cuántica podría tener una mejor oportunidad, sin embargo, no hay forma de saber qué es posible más allá de lo que actualmente (creemos que) sabemos.

¿Remote Wipe borra de forma segura el contenido de la unidad?

terrance shaw

Respuestas (2)

Viejo profesional

EDITAR

terrance shaw

l'L'l

terrance shaw

l'L'l

l'L'l

lucas kauffmann

l'L'l

lucas kauffmann

l'L'l

Chat seguro de mensajería instantánea en línea: conversación única

Encuentra mi Mac: "En línea, no hay ubicación disponible"

¿Cómo me aseguro de que mi Mac no envíe datos a Apple o programadores?

¿Punto de acceso WiFi sin que el proveedor de Internet lo sepa?

¿Cortafuegos fácil de usar para Windows 10 para filtrar/bloquear el tráfico saliente?

¿Cómo saber si una aplicación de iOS no accede a Internet a través de Wi-Fi o celular?

¿Cómo implementó NordVPN el interruptor de emergencia en su aplicación para iOS?

¿Qué nivel de acceso tiene una aplicación de administrador de contraseñas en iOS?

Transferencia de archivos de código abierto a través de Internet

¿Se puede acceder a los datos de un teléfono bloqueado cuando se está reparando?