Passware: Entschlüsselungskit knackt Apples FileVault 2 Schutz

[Balkenende]

Gab es zuletzt nicht jemand, der lauthals die überragende Verschlüsselung bei FV2 gegenüber Win-Systemen lautstark proklamierte?

Muss ich nochmals in den Threads etwas suchen.

[iStationär]

Tja, sicher ist eben nicht sicher

[Bierhefe]

Müsste ein Firmware Passwort nicht eigentlich zuverlässig davor schützen...?

[Armpit]

Dein Firmware Passwort schützt nur vor Schreibzugriffen auf dein EFI... Lesen kann man dann immer noch - (außerdem vermutlich wird bei einer FireWire Schwachstelle auch kaum ein Kennwort schützen)

[Mac 2.2]

Es gab in der Tat einen ewig langen Thread zu dem Thema. Dort haben sich in der Tat mehr oder weniger nur 2 Gurus aus dem Forum ein Battle geliefert (will jetzt keine Namen nennen - finde es auch nicht verwerflich, dass sie darüber diskutiert haben - war ja ganz interessant), dass sich dann mehr oder weniger im Sande verlaufen hatte…
Aber gut, das mein MacBook Air kein Firewire- und kein Thunderbolt-Anschluss besitzt. Von daher sollte wenigstens ein Mac halbwegs sicher sein.
FileVault 1 wurde aber nie geknackt oder? Dafür bietet das 2er mehr Komfort und das nun auch gleich für Bösewichte - auch irgendwie nicht Sinn der Sache…

[aniSation]

Das ist schon übel. Sollte schnell ausgebessert werden. Obwohl man das Dateisystem wohl auf absehbare Zeit nicht so dicht bekommt, dass man unangemessen viele Ressourcen verbraten muss, um es aufzumachen. Ist halt ein Kompromiss zwischen „ausreicheichender“ Sicherheit und einigermaßen schnellem Zugriff.

[speckrippchen]

Das dürfte aber doch nur gehen wenn der Mac im Ruhezustand oder an ist, wenn er komplet runtergefahren ist dürfte das doch nicht mehr gehen, oder ?

[pti'Luc]

Eine wichtige Frage besteht noch: Funktioniert das noch, wenn der Mac ausgeschaltet war? Der Schlüssel dürfte ja nur im Hauptspeicher zu finden sein, wenn man den Mac schon mal entsperrt und hochgefahren hat. Da natürlich fast jeder den Mac nur in den Ruhezustand versetzt (z.B. das MacBook zuklappt), ist es natürlich ein wahrscheinliches Angriffsszenario. Die Pressemitteilung geht nur auf Szenarien Gesperrt oder Ruhezustand ein.

Generell ist ein System selten sicher, wenn jemand direkten Zugriff auf die Hardware hat und die Zeit, sich ausgiebig damit zu beschäftigen. Daran sollte man eh denken!

[XX5198]

So wie ich das verstehe muss der Mac an sein bzw zu mindestens im Standby sein damit die Sicherheitslücke nutzbar ist.
Da ich meinen Mac in der Regel aus mache (richtig runter fahre, kein Ruhezustand usw) mache ich mir auch keine Sorgen

[Ozelot]

Das allerdings ist ziemlich peinlich.

Jede AES 256 Bit Verschlüssung ist ja man kann wirklich sagen, beinahe unknackbar.

Da helfen nur spezielle HD/SSD`s, welche mit einer Hardwareverschlüsselung daher kommen und bei dreimaligen falschen Eingeben des PW die gesamten Daten löschen.
Wobei SSD`s vorzuziehen sind, die Daten nicht wie bei Festplatten paar mal überschrieben werden müssen.

[XX5198]

Das hat hier ja nichts mit der Verschlüsselungsstärke zu tun. Hier wird der Key aus dem Ram gelesen und dann hätte Apple auch eine 256000000kBit Verschlüsselung wählen können und das Problem wäre das selbe.
So weit ich weis sollte man auch bei anderen Verschlüsselungsverfahren (zb TrueCrypt) auf Nummer Sicher gehen und den Rechner ganz aus schalten, da der Key immer irgendwie aus dem Ram gelesen werden kann (mit größerem Aufwand).

[JvW]

benötigt physikalischen Zugriff - und noch dazu auf einen laufenden Rechner. OK. Ich denke daran, wenn ich das nächste Mal hochgeheime Daten auf einem Laptop habe: Vor dem Klauen-Lassen ausschalten ...

[naich]

Ohh Gott, die nächste Seite, die die News wiedergibt, wo sie doch schon vor einiger Zeit thematisiert wurde.

Und natürlich liegt der Schlüssel im RAM - wie soll das sonst gehen wenn der Benutzer nicht für jeden einzelnen Plattenzugriff sein Passwort erneut eingeben soll.

Scheinbar scheint es sogar schon die Lösung dafür zu geben:

destroyfvkeyonstandby - Destroy File Vault Key when going to standby
mode. By default File vault keys are retained even when system goes to
standby. If the keys are destroyed, user will be prompted to enter the
password while coming out of standby mode.(value: 1 - Destroy, 0 -
Retain)

(Quelle: man pmset)

Inwieweit das wirklich so funktioniert wie angegeben, kann ich natürlich nicht beurteilen.

[Dopi]

Das dürfte aber doch nur gehen wenn der Mac im Ruhezustand oder an ist, wenn er komplet runtergefahren ist dürfte das doch nicht mehr gehen, oder ?

Das Passwort zum Entschlüsseln liegt im RAM und wird hier ausgelesen. Wenn der Mac ausgeschaltet ist, ist das Passwort beim Einschalten nicht im RAM, also funktioniert der Hack nicht.

[PeterPaul]

Also das Szenario ist ja nichts neues. Schon als Firewire vorgestellt wurde, wurden Stimmen laut die sagten, dass man damit direkt auf den Arbeitsspeicher zugreifen kann, da Firewire DMA unterstützt. Bei Thunderbold ist das auch nicht anders, da PCIe ebenfalls direkt auf den RAM zugreifen kann.

Und dass der Schlüssen für FV im RAM liegen muss ist auch logisch.

Hier hat eine Firma nur 1 und 1 zusammen gezählt und ein Tool veröffentlicht.

[PeterPaul]

Das Passwort zum Entschlüsseln liegt im RAM und wird hier ausgelesen. Wenn der Mac ausgeschaltet ist, ist das Passwort beim Einschalten nicht im RAM, also funktioniert der Hack nicht.

Nicht ganz richtig. Nachdem der Rechner ausgeschaltet ist, kann der RAM noch wenige Minuten später ausgelesen werden, bevor sich die Daten verflüchtigen. Dazu ist aber einiges an Aufwand erforderlich.

[smoe]

benötigt physikalischen Zugriff - und noch dazu auf einen laufenden Rechner. OK. Ich denke daran, wenn ich das nächste Mal hochgeheime Daten auf einem Laptop habe: Vor dem Klauen-Lassen ausschalten ...

Tatsächlich ist gerade das beim Mac ein Problem. Viele Mac User haben es sich angewöhnt die Laptops nie auszuschalten, sondern immer nur in den Standby zu fahrn... Wäre natürlich schade wenn man diesen gewöhnten Komfort zu Gunsten der Sicherheit wieder aufgeben müsste...

[JvW]

naja - es ist halt ein ziemlicher Aufwand - da sehe ich durchaus eine Relation zwischen dem Wert der Daten und den erforderlichen Maßnahmen. Ich meine, OK - meine Urlaubsbilder? Die Kiste fällt dem Geheimdienst in die Hände und sie schauen auf das Panorama von Ibiza samt barbusigen Mädels - NA UND?
Aber wertvolle Dinge auf Laptops mit sich rumtragen (sowieso eine suboptimale Idee), sich das Ding klauen lassen und dann noch "aus Bequemlichkeit" nur Ruhezustand eingeschaltet - das ist etwas viel, für einen Profi.

[stonie10]

Was hier leider fehlt, ist die Tatsache, dass Apple diese Sicherheitslücke mit 10.7.2 dicht gemacht hat. Ab da lässt sich per DMA über Firewire der RAM nämlich nur noch dann auslesen, wenn der User auch wirklich *eingeloggt* ist, sprich: Ist der Rechner aus, im Standby, Hibernation, am Lockscreen oder wo auch immer, funktioniert der Trick mit dem DMA *nicht* mehr.

Verfügbar für: Mac OS X Lion 10.7 und 10.7.1, Mac OS X Lion Server 10.7 und 10.7.1
Auswirkung: Eine Person mit physischem Zugang kann auf das Kennwort des Benutzers zugreifen.
Beschreibung: Ein Logikfehler im DMA-Schutz des Kernel erlaubte einen Firewire-DMA am Anmeldefenster, beim Starten und Herunterfahren, jedoch nicht an der Bildschirmsperre. Diese Aktualisierung behebt das Problem, indem ein Firewire-DMA in allen Zuständen verhindert wird, in denen der Benutzer nicht angemeldet ist.
CVE-ID
CVE-2011-3215: Passware, Inc.

Quelle: http://support.apple.com/kb/HT5002?v...E&locale=de_DE

Da hat es sich dann mit dem Passware-Tool recht schnell erledigt...

[Mac 2.2]

Na dann! Ist ja alles im Lot. Mal sehen wie lange es dann überhaupt noch zum Verkauf angeboten wird^^.