Sicherheitslücke: Apples Festplattenverschlüsselung FileVault angeblich in weniger als einer Stunde zu knacken
Die in Mac OS integrierte Systemerweiterung FileVault verschlüsselt den kompletten Inhalt der Festplatte eines Macs und soll so insbesondere für Notebook-Besitzer für zusätzliche Sicherheit sorgen. Bei einem Computerdiebstahl ist ein Zugriff auf die gespeicherten Daten nur mithilfe des zugehörigen Master-Kennworts möglich.
Die amerikanische Sicherheitsfirma Passware brüstet sich nun damit (PDF), den FileVault-Schutz mittels einer Speicheranalyse in weniger als 40 Minuten aushebeln zu können und gleichzeitig auch die im Mac OS Schlüsselbund gespeicherten Kennwörter auszulesen. Zugriff auf die Systemdaten erlange man dabei über eine FireWire-Verbindung.
Passware ist auf Schnüffelsoftware spezialisiert und vertreibt beispielsweise das knapp 1000 Dollar teure „Passware Kit Forensic„. Dementsprechend dürfen wir von Apple erwarten, dass die FileVault-Integration schleunigst auf entsprechende Sicherheitslücken geprüft und wenn nötig ein passendes Update für OS X hinterhergeschoben wird. (via CNET – Danke für eure Mails)
Da lobe ich mir doch die Bitlocker-Verschlüsselung von Microsoft.
du hast dir das pdf nicht angeguckt oder? cold boot attacken sind typische probleme von festplattenverschlüsselung. den bitlocker von ms kriegen sie mit dieser methode auch.
Dazu kann ich den Talk über TRESOR auf dem 28c3 empfehlen. Zu finden auf Youtube. Die Thematisieren diesen speziellen angriff dort. Der Ausweg ist die verschlüsselung nur auf den Registern durchzuführen, die nicht ausgelesen werden können.
jup, sehr interssant, ebenfalls der antiforensik talk vom tag 4 :)
Wer setzt den so etwas ein – wenn schon Truecrypt ;-)
du hast das pdf auch nicht gelesen?auch truecrypt so angreifbar.
TrueCrypt ist systemunabhängig und das man es bislang geknackt hat wurde auch noch nie etwas vermeldet. Filevault rühr ich nichtmehr an nachdem ich unter Snow Leo nach dem ersten Neustart nach der Aktivierung nichtmehr angemeldet werden konnte…. Hatte natürlich ein Backup aber was im ersten Test schon so unzuverlässig läuft…
Ja hab auch ne truecrypt externe, das du die hdd komplett verstecken kannst ist auch fein ;)
Naja, da lob ich mir das MacBook Air – das hat kein FireWire :)
Axo ja dann :) Das is in erwa so, als würde ein Bankräuber nach seinem Coup in der Bank die Hände vor die Augen tun, und ke
*grml* um sich vor der Polizei zu verstecken wollte ich noch sagen :) Platte ausbauen, woanders per Firewire auslesen und fertig xD
Dann bau‘ mal fleißig die Platte aus’m MBA aus und sag dann bitte Bescheid, wie’s geklappt hat! ;)
Nicht ganz so schlimm wie es klingt, die Jungs von Passware sind aber im Prinzip gut:
1) FileVault2 (also die Full DIsk Encryption in Lion) kann nur geknackt werden, wenn der Rechner an ist und das System hochgefahren wurde (der Login Bildschirm ggf. nach dem Aufwachen aus Sleep kann den Zugriff dann auch nicht mehr verhindern)
2) Im Moment werben sie nur damit, dass es per FireWire geht (liegt daran, dass kein Zugriffsschutz in dem Protokol drin ist). Theoretisch sollte es nicht über USB gehen, ob Thuderbold sicher ist, muss ggf. auch noch geprüft werden. Also sind vermuitlich die neuen Airs im Moment sicher vor dieser Angriffsmethode.
3) Das Problem hat auch meines Wissens auch Bitlocker, PGP-FDE und TrueCrtypt, wenn der Rechner einmal hochgefahren und die Festplatte in Laufzeit entchlüsselt wurde (siehe 1).
Was kann man also dagegen tun? Filevault2 aktivieren, gutes Passwort benutzen und Rechner nach Benutzung KOMPLETT herunterfahren und ausschalten. Dann kann aus dem aktiven Speicher auch nichts abgegriffen werden.
alternativ kann man auch den FireWire Port deaktivieren oder sogar ausbauen.
Aber nur im laufenden Betrieb. Von daher eher weniger tragisch afaik.
Zum glück hat mein MacBook kein Firewire Anschluss ;)
Dauert 5 Minuten. MBA-Deckel ab, SSD aus dem PCIe Steckplatz ziehen und in ein externes Gehäuse mit USB3-Anschluss stecken (kostet 40$).
Hat wunderbar geklappt. Hab so meine 64GB durch 256GB ersetzt.
Krass!
Ok dann ist aber die SSD nicht aktiv und somit wirkt der Hack nicht.