- Registriert
- 01.01.05
- Beiträge
- 4.874
Meines Wissens werden für FIleVault die Login-Paßworte genutzt, also Toast. Habe leider keinen Firewire-PC, aber man kann ein Memory-Image auch anders erstellen.
-
Apfeltalk ändert einen Teil seiner Allgemeinen Geschäftsbedingungen (AGB), das Löschen von Useraccounts betreffend.
Näheres könnt Ihr hier nachlesen: AGB-Änderung -
Was gibt es Schöneres als den Mai draußen in der Natur mit allen Sinnen zu genießen? Lasst uns teilhaben an Euren Erlebnissen und macht mit beim Thema des Monats Da blüht uns was! ---> Klick
Paßwort aus RAM lesbar per Firewire
- Ersteller MacMark
- Erstellt am
- Registriert
- 01.01.05
- Beiträge
- 4.874
http://www.apfeltalk.de/forum/pa-wort-ram-t373339.html#post3457910Was hat Firewire-PC mit Firmware-Passwort zu tun?
- Registriert
- 01.01.05
- Beiträge
- 4.874
Bananenbieger
Golden Noble
- Registriert
- 14.08.05
- Beiträge
- 25.515
Natürlich muss das Passwort im RAM liegen. Schließlich wollen wir aus dem Schlüsselbund ja auch Informationen wieder auslesen.
ImperatoR
Roter Astrachan
- Registriert
- 02.12.06
- Beiträge
- 6.261
Oder man müsste halt ständig das Passwort eintippen.
Aber wohl die einfachste Lösung ist, dass Passwort zu verwerfen, sobald man den Benutzer wechselt bzw. nach Beginn des Ruhezustands/Bildschirmschoners (wobei der Bildschirmschoner dann abzuschalten ist, damit dieser nicht manipuliert werden kann) — weil so lange der Benutzer da ist, wird er es verhindern zu wissen, dass der Speicherinhalt geklaut wird oder es passiert wie in dem Comic von FrankR.
Sollte doch relativ fix implementierbar sein?
Aber wohl die einfachste Lösung ist, dass Passwort zu verwerfen, sobald man den Benutzer wechselt bzw. nach Beginn des Ruhezustands/Bildschirmschoners (wobei der Bildschirmschoner dann abzuschalten ist, damit dieser nicht manipuliert werden kann) — weil so lange der Benutzer da ist, wird er es verhindern zu wissen, dass der Speicherinhalt geklaut wird oder es passiert wie in dem Comic von FrankR.
Sollte doch relativ fix implementierbar sein?
Hmm... Mir fehlt das know how um die Bedeutung deiner Erfahrung richtig beurteilen zu können. Wie handhaben das andere OS, wie z.B. Linux und Windows? Wie kann man am sinnvollsten diese Lücke schließen, damit meine ich in erster Linie, wie kann ich sicher gehen, dass wenn ich an der Uni eine Vorlesung halte, in der Pause das MBP verlasse... ausloggen?
Ruhezustand unterbinden und lieber komplett ausschalten?
Ruhezustand unterbinden und lieber komplett ausschalten?
Mir erschließt sich momentan nicht, wieso nicht einfach nur ein Hash ausreichen würde.
Das macht natürlich Sinn, wenn die Software weiß, dass nach wiederaufwachen das Passwort erneut abgefragt wird. Allerdings wird man dann evt. mit der "erst nach x Min Ruhezustand erneute PW-Eingabe"-Funktion Probleme bekommen.
ImperatoR
Roter Astrachan
- Registriert
- 02.12.06
- Beiträge
- 6.261
Warum sollte das ein Problem sein? Dann wird halt erst nach X Minuten das Passwort erneut gefragt und wenn nicht, bleibt es einfach im Speicher — so will es ja der Benutzer. Oder wo siehst du genau das Problem?
Ich vermute mal stark, dass es dort auch nicht anders gehandhabt wird. Aber interessante Frage!
Laptop zuklappen und mitnehmen oder das Firmware Passwort setzen, somit sollte kein Zugriff auf den Hauptspeicher möglich sein.
Oder die Daten, die sehr wichtig sind in einen gesonderten Container (verschlüsseltes Diskimage) legen und das Passwort für diese natürlich nicht in den Schlüsselbund legen; dann musst du nur immer diesen Container auswerfen bzw. gar nicht erst mounten, wenn nicht benötigt.
Danke für die Hinweise! Also im Endeffekt wie gehabt..."MBP mitnehmen" und nicht unbeaufsichtigt stehen lassen.... das scheint der sicherster Schutz zu sein
- Registriert
- 01.01.05
- Beiträge
- 4.874
Dazu muß das Paßwort nicht gespeichert werden. Rechte für irgendwas (beispielsweise Zugriff auf Keychain) werden über eine Liste von dafür nötigen Credentials definiert. Die Credentials werden eventuell durch Paßworteingabe oder ähnliches überprüft. Das System merkt sich die Credentials über eine variable Zeit. Paßworte braucht es nur zur Erstellung der Credentials. Vergleiche http://developer.apple.com/library/mac/#qa/qa1277/_index.html
Wenn trotz alledem Paßworte im RAM sind, sollten sie verschlüsselt sein.
Bananenbieger
Golden Noble
- Registriert
- 14.08.05
- Beiträge
- 25.515
Einen Hash setze ich ein, wenn ich nur ein Passwort überprüfen will. Sobald ich mit dem Passwort arbeiten muss (sprich: Das Klartext-Passwort verarbeiten/senden/usw.), kann ich Hashes knicken.
Und wie willst Du die Passwörter aus dem Keychain wieder entschlüsseln? Hier müssen ja verschlüsselte Passworte (AFAIK DES) wieder in Klartext verwandelt werden!
Und mit welchem Schlüssel werden die dann verschlüsselt und entschlüsselt? Hast Du mal geprüft, ob das Tool wirklich das Login-Passwort oder das Keychain-Passwort abgreift (letzteres kannst Du separat ändern).
Andersherum hätte es besser gepasst: Das Passwort wird nur solange benötigt, bis daraus der gewünschte Hash erzeugt wurde. Und zur Prüfung muss nur noch neuer Hash mit gespeichertem Hash verglichen werden.
Mit dem im Keychain gesicherten Hash, der als eigentlicher Schlüssel dient.
Ich vermute (!) ganz was anderes. Ich fürchte, die greifen gespeicherte Tastenanschläge ab.
Wenn irgendeine der betroffenen Treiberschichten (USB/Blutooth/HID/Rattenschwanz...) das schon verbockt hat, dann ist später auf Verarbeitungsebene (dort wo ver/entschlüsselt wird) mit absolut gar nichts mehr ein Blumentopf zu gewinnen.
Und da wirds interessant, denn hier wirds hardwareabhängig.
Marc, ein nettes Experiment: Gib das Kennwort mal mittels Bildschirmtastatur ein, nicht am Mäuseklavier.
- Registriert
- 01.01.05
- Beiträge
- 4.874
Passware kann nichts abgreifen, weil sie in meinem Test gar keinen Zugriff auf den Opferrechner hatten:
• Ich habe mit dem MacMemoryReader (OS X-Freeware, nicht von Passware) das RAM gedumpt in eine Datei auf einen USB-Stick.
• Auf einem anderen Rechner, auf dem Passware lief, dann diese Datei auf dem Stick analysieren lassen.
Im Memory-Dump kann man kinderleicht die Daten per Hand finden: Eine Suche nach "password", "username" oder "SHA" bringt Dich unmittelbar neben Paßwort, Username oder Hash.
• Ich habe mit dem MacMemoryReader (OS X-Freeware, nicht von Passware) das RAM gedumpt in eine Datei auf einen USB-Stick.
• Auf einem anderen Rechner, auf dem Passware lief, dann diese Datei auf dem Stick analysieren lassen.
Im Memory-Dump kann man kinderleicht die Daten per Hand finden: Eine Suche nach "password", "username" oder "SHA" bringt Dich unmittelbar neben Paßwort, Username oder Hash.
ImperatoR
Roter Astrachan
- Registriert
- 02.12.06
- Beiträge
- 6.261
Ah, Mist, dann ist meine Lösung doch nicht ideal -- dann ist es leider doch nicht so trivial. Dann muss wohl irgendeine Hardwareeigenschaft des Macs als Schlüssel für die Passwörter herhalten, damit man sie verschlüsselt in den Hauptspeicher legen kann.
Eine Hardwareeigenschaft, die man natürlich ebenfalls auf diese Weise erfagen kann... ...sehr clever.
Bilden sie bitte jetzt einen ganzen Satz aus: "Schild", "Bürger", "See", "Boot" und "Glocke". Dürfte nicht schwer fallen.
Und wie glaubst du die lesen zu können ohne sie dazu im Arbeitsspeicher abzubilden?
Alles was deine Software weiss, weiss auch der entfernte Rechner. Kein einziges Bit bleibt verborgen.
(Ein Porno wirkt dagegen wie eine Modenschau der Winterkollektion - in Sibirien.)
Alles was deine Software weiss, weiss auch der entfernte Rechner. Kein einziges Bit bleibt verborgen.
(Ein Porno wirkt dagegen wie eine Modenschau der Winterkollektion - in Sibirien.)
2003-2024 Apfeltalk | Made on a Mac