Con todo el alboroto que rodea la debacle de Mat Honan, tengo curiosidad: cuando limpias una Mac de forma remota, ¿es una limpieza segura o simplemente bloquea la máquina con un código?
Cuando realiza un borrado remoto del disco duro en Find my Mac, el sistema le pide que cree un PIN de cuatro dígitos para que el proceso se pueda revertir. Pero aquí está la cosa: si alguien más realiza ese borrado, alguien que obtuvo acceso a su cuenta de iCloud a través de medios maliciosos, no hay forma de que ingrese ese PIN.
Eso es todo lo que profundizan, y la mayoría de los mejores resultados de Google tampoco van más allá.
Realicé un borrado remoto en una MacBook Pro con un SSD que ejecuta Mountain Lion porque no estaba seguro de cómo borrar el SSD de forma segura. Así que puedo responder a algunas de sus preguntas.
Para empezar, Mat Honan se equivocó cuando dijo que el propósito del PIN era que "el proceso se pueda revertir". Es para evitar que el ladrón use la computadora. Creo que la idea es que si la computadora debe llevarse a Apple para desbloquearla, entonces es mucho más probable que se recupere una computadora robada.
Sí, cuando borra la computadora de forma remota, se realiza un borrado seguro. Apple incluso te advierte que podría llevar hasta un día. Sin embargo, si su unidad fue encriptada con FileVault 2, entonces no es necesario borrar el disco. Es suficiente borrar de forma segura las claves de cifrado almacenadas en el disco, así que eso es lo que hacen. Es muy rápido y tan seguro como el sistema de cifrado subyacente, que por ahora es muy seguro. No puede recuperar la unidad con la clave de recuperación una vez que se hayan borrado las claves de cifrado.
Sin embargo, antes de comenzar a limpiar el disco, Apple instala algún tipo de bloqueo en el sistema que le impide iniciarlo desde la unidad interna o externa. No conozco los detalles de cómo funciona esto, solo sé que no encontré una forma obvia de evitarlo.
Hice esto por segunda vez y esta vez anoté los pasos.
Ahora volvamos a nuestra historia original...
A continuación se muestra de memoria, por lo que podría estar ligeramente equivocado en algunos detalles. Puede leer el relato del proceso de otra persona desde MacObserver . (Pudieron recuperar archivos de su unidad mecánica sin cifrar, pero creo que fue porque ingresaron el código de acceso e interrumpieron el borrado antes de que terminara). Creo que después de que comenzó el borrado remoto y apareció la pantalla de bloqueo en la MacBook Pro No esperé mucho a que terminara de borrar el disco e ingresé el PIN para ver qué podía ver en el disco. (Nunca vi nada en el disco, pero tampoco lo saqué de la computadora y lo envié a DriveSavers para que lo revisaran). No recuerdo exactamente cómo llegué a apagar la máquina después de la limpieza.
De todos modos, después de limpiar y apagar, conecté una unidad externa de instalación de Mountain Lion y encendí la computadora. Recibí una carpeta intermitente con un signo de interrogación (lo que significa que no puede encontrar una unidad de arranque).
Reinicié, manteniendo presionada la tecla de opción para elegir los discos de arranque. Tuve la opción entre Macintosh HD (la unidad interna) y la unidad externa. Elegí la unidad externa y nuevamente obtuve la carpeta intermitente con un signo de interrogación.
Reinicié nuevamente, manteniendo presionada la tecla de opción nuevamente, pero esta vez elegí "Macintosh HD". Luego se me presentó una pantalla para ingresar el PIN de desbloqueo. Lo cual hice. Luego volví a la pantalla donde podía elegir una unidad de arranque, pero esta vez la unidad interna estaba etiquetada como "10.8 Recovery HD" o algo así. Nuevamente elegí la unidad externa y arrancó bien. Luego pude reinstalar el sistema operativo y todo fue normal desde allí.
No pensé en intentar poner la computadora en el modo de disco de destino, pero Apple es bastante inteligente con el cifrado y la seguridad, por lo que espero que el bloqueo del código PIN esté en el firmware y que la computadora no haga nada hasta que esté desbloqueada. También sospecho que Apple puede desbloquear la computadora con algún procedimiento secreto, pero eso solo restauraría la computadora a su funcionamiento normal: lo que sea que haya en el disco desaparecerá en la medida en que la computadora pueda borrarlo antes de que se lo entregues a Apple. . (El artículo de MacObserver afirma que no pudieron poner la computadora en el modo de disco de destino hasta que la desbloquearon cuando solo estaba bloqueada de forma remota. Mat Honandeclaró en un seguimiento de su artículo original sobre cómo fue pirateado que el Apple Genius que finalmente consiguió para ayudarlo "había podido restablecer la contraseña del firmware" a pesar de que "no pudo descifrar el PIN".) Lo que hace que el cifrado Las unidades son tan seguras que todo lo que necesita borrar es probablemente solo un bloque del sistema de archivos que contiene la(s) clave(s) de encriptación, por lo que se hace en menos de un segundo.
No, no es un borrado seguro y, técnicamente, ni siquiera es un "borrado" según el documento técnico de Apple "OS X Security":
"FileVault 2 brinda a los departamentos de TI la capacidad de borrar la clave de cifrado de una Mac determinada en cualquier momento para garantizar que no se pueda acceder a los datos cifrados mediante el inicio de sesión del usuario o las herramientas de recuperación de datos. Este proceso se conoce como borrado remoto".
Fuente: Documento técnico de Apple Seguridad OS X (marzo de 2012)
terrance shaw