Большинство пользователей Mac для защиты своих данных и файлов от несанкционированного доступа пользуются паролем для входа в систему. Однако так ли это безопасно, как принято считать? Как оказалось, не совсем. Есть много способов, которые позволяют сбросить пароль, предоставляя возможность получить доступ ко всей информации, которая хранится на вашем Mac. Впрочем, решение этой проблемы есть – FileVault. О нем мы сегодня и поговорим.
FileVault – это система шифрования данных, которая использует алгоритм XTS-AES-128 с длиной ключа 256 бит, что обеспечивает крайне высокий уровень безопасности. Сам ключ шифрования вырабатывается на основе пароля пользователя при помощи алгоритма PBKDF2. Вся информация в дальнейшем будет храниться фрагментами по 8 МБ.
Как ни странно, но функция работает достаточно просто – все данные копируются на зашифрованный образ диска, а затем удаляются из незащищенного пространства. После того как первичная обработка данных завершена, далее новые файлы будут шифроваться «на лету» в фоновом режиме. Есть поддержка Instant Wipe, которая позволяет безопасно затереть всю информацию на диске без возможности восстановления. Кроме того, этот инструмент предоставляет возможность шифрования резервных копий Time Machine.
Как работает FileVault
При первой настройке для защиты от утери пароля создается ключ восстановления, который необходимо обязательно запомнить, поскольку в случае утери кода восстановить данные будет нельзя. В качестве альтернативы можно настроить сброс пароля, используя учетную запись iCloud.
После того как мы активировали FileVault, процесс загрузки компьютера меняется для обеспечения безопасности. Если раньше пароль нужно было вводить после загрузки учетной записи, то теперь это происходит до, что исключает даже потенциальную возможность сброса пароля пользователя любым из известных способов (Single User Mode, загрузка с внешнего носителя и другие методы).
Почему стоит использовать FileVault
Пароля пользователя явно недостаточно для обеспечения полной безопасности и конфиденциальности. При наличии физического доступа к компьютеру сброс пароля – лишь вопрос времени. В случае же с шифрованием можно быть уверенным, что доступ к данным никто не получит. Кроме того, утилита разработана и уже встроена в систему, что говорит о полной интеграции с системой.
Еще плюсом можно отметить то, что объём данных до и после шифрования не меняется.
Какие есть недостатки
- Шифрование с помощью FileVault достаточно серьезно влияет на производительность Mac.
- Нельзя восстановить данные, если забыты пароль и ключ восстановления.
- В случае поломки накопителя данные также будут утеряны навсегда.
- Зашифрованные копии Time Machine не позволяют восстановить конкретный файл, а только копию целиком.
Как настроить FileVault
Осталось перегрузить наш Mac. Сразу после этого будет выполняться фоновое шифрование, при этом компьютером можно будет пользоваться без ограничений.
Доброго хабрадня!
Сегодня я расскажу вам, уважаемые хабралюди, о том, как хранить свои данные в облаке и не переживать за них. Точнее, я расскажу об интересной возможности сделать шифрованный образ диска в Mac OS X средствами самой системы.
Для опытных пользователей (коих прошу не судить слишком строго) в данном топике пользы нет, можете не отвлекаться. Но многим, я уверен, информация может пригодиться.
Итак, сейчас мы создадим зашифрованный образ с помощью Дисковой Утилиты и сохраним его на Яндекс.Диск (благо теперь он позволяет хранить шифрованные данные).
Для начала откроем Дисковую Утилиту. Для этого в лаунчере открываем папку «Утилиты» и находим там нужную программу. Теперь жмём «Новый образ».
Теперь настраиваем наш новый образ. Пусть он, для начала, будет иметь размер 500 метров. Мало? Ну так мы его сделаем растущим, дабы помещать туда данных сколько захотим. Кроме того (мы ведь шифровать хотим, да?), выбираем метод шифрования. Быстрый или надёжный. Ну и напоследок выбираем место хранения диска (то есть, папку Яндекс.Диска), имя для файла и имя для самого диска, которое будет отображаться в Finder.
Жмём кнопку «Создать» и вводим свою дату рождения свой хороший и надёжный пароль. Опционально, можем отключить запоминание этого пароля для улучшения секурности.
Всё! Образ диска готов, лежит в Яндексном облаке и зашифрован! Если Вы убрали галочку «Сохранить пароль» (или открыли свой Я.Диск на другом маке), то при попытке открыть файл mydata.sparseimage появится такой вот диалог ввода пароля:
Если пароль верен, то диск подключится и откроется в Finder.
Что ж, теперь можно открывать этот диск с любого мака, работать с его содержимым и не беспокоиться о безопасности данных. Единственное, что требует тестирования, это одновременная работа с образом из разных систем. Но, если учесть, что Я.Диск хранит файл только в облаке, больших проблем возникнуть не должно. То ли было бы с dropbox, хехе .
Ещё раз напоминаю: статья рассчитана на неопытных или нелюбознательных маководов и никак не претендует на инновационность. Посвящается облачной пятнице на хабре.
PS: У данного способа есть очевидный большой минус: работать с таким диском можно будет только на Mac OS X и точка. Никаких Windows/Linux/Android/iOS. Если Вы знаете хорошие кросплатформенные шифрованные диски - прошу отписаться.
Большинство пользователей Mac для защиты своих данных и файлов от несанкционированного доступа пользуются паролем для входа в систему. Однако так ли это безопасно, как принято считать? Как оказалось, не совсем. Есть много способов, которые позволяют сбросить пароль, предоставляя возможность получить доступ ко всей информации, которая хранится на вашем Mac. Впрочем, решение этой проблемы есть - FileVault. О нем мы сегодня и поговорим.
Что такое FileVault
FileVault - это система шифрования данных, которая использует алгоритм XTS-AES-128 с длиной ключа 256 бит, что обеспечивает крайне высокий уровень безопасности. Сам ключ шифрования вырабатывается на основе пароля пользователя при помощи алгоритма PBKDF2. Вся информация в дальнейшем будет храниться фрагментами по 8 МБ.
Как ни странно, но функция работает достаточно просто - все данные копируются на зашифрованный образ диска, а затем удаляются из незащищенного пространства. После того как первичная обработка данных завершена, далее новые файлы будут шифроваться «на лету» в фоновом режиме. Есть поддержка Instant Wipe, которая позволяет безопасно затереть всю информацию на диске без возможности восстановления. Кроме того, этот инструмент предоставляет возможность шифрования резервных копий Time Machine.
Как работает FileVault
При первой настройке для защиты от утери пароля создается ключ восстановления, который необходимо обязательно запомнить, поскольку в случае утери кода восстановить данные будет нельзя. В качестве альтернативы можно настроить сброс пароля, используя учетную запись iCloud.
После того как мы активировали FileVault, процесс загрузки компьютера меняется для обеспечения безопасности. Если раньше пароль нужно было вводить после загрузки учетной записи, то теперь это происходит до, что исключает даже потенциальную возможность сброса пароля пользователя любым из известных способов (Single User Mode, загрузка с внешнего носителя и другие методы).
Почему стоит использовать FileVault
Пароля пользователя явно недостаточно для обеспечения полной безопасности и конфиденциальности. При наличии физического доступа к компьютеру сброс пароля - лишь вопрос времени. В случае же с шифрованием можно быть уверенным, что доступ к данным никто не получит. Кроме того, утилита разработана Apple и уже встроена в систему, что говорит о полной интеграции с системой.
Еще плюсом можно отметить то, что объём данных до и после шифрования не меняется.
Какие есть недостатки
- Шифрование с помощью FileVault достаточно серьезно влияет на производительность Mac.
- Нельзя восстановить данные, если забыты пароль и ключ восстановления.
- В случае поломки накопителя данные также будут утеряны навсегда.
- Зашифрованные копии Time Machine не позволяют восстановить конкретный файл, а только копию целиком.
Как настроить FileVault
- Запускаем «Системные настройки».
- Заходим в пункт меню «Защита и безопасность», затем во вкладку «FileVault».
- Снимаем блокировку, нажав замочек в левом нижнем углу.
- Выбираем «Включить FileVault».
- Здесь мы должны выбрать подходящий нам вариант сброса пароля.
- В случае, если мы выбрали ключ восстановления, нам предоставят код, который обязательно нужно запомнить и сохранить в безопасном месте.
Осталось перегрузить наш Mac. Сразу после этого будет выполняться фоновое шифрование, при этом компьютером можно будет пользоваться без ограничений.
Сегодня мы представляем первую из цикла статей, посвященных подготовке «Мака
» для хакинга. Мы будем исходить из того, что у вас выполнена чистая установка системы Mac OS
(ранее называвшейся OS X
), потому что, в противном случае, ваши действия могут немного отличаться. Впрочем, и в этой ситуации особых сложностей возникнуть не должно.
Первый шаг по созданию рабочей среды для хакинга – это полное шифрование диска (FDE
). Данная процедура обеспечивает надежную защиту вашей информации от посторонних глаз, и является стандартной практикой – для хакеров и не только. Поскольку надежно зашифровать диск сегодня не проблема, нет никаких причин этого не сделать.
Мы будем использовать FileVault
– FDE
, встроенный в операционную систему Mac
, и выполняющий полное шифрование диска с помощью 128-битного
ключа шифрования XTS-AES
. Данная схема шифрования соответствует стандартам FIPS
и рекомендуется Национальным институтом стандартов и технологий (NIST
) для использования в регулируемых отраслях, таких как государственные органы и здравоохранение. В общем, это хорошая и надежная схема шифрования.
Шаг 1. Найдите FileVault
Зайдите в «Системные настройки» и найдите раздел «Защита и безопасность» в первом ряду. Как вариант, для той же цели можно использовать обозначенную ниже команду. Просто скопируйте ее и вставьте в Terminal , а затем нажмите «Ввод». Параметр -b (идентификатор пакета) укажет, что нужно открыть раздел «Защита и безопасность» в «Системных настройках».
Open -b com.apple.systempreferences /System/Library/PreferencePanes/Security.prefPane
Далее в разделе «Защита и безопасность» выберете вкладку FileVault . Чтобы вносить изменения, нажмите на значок замка в левом нижнем углу окна и введите имя и пароль администратора во всплывающем окне.
Шаг 2. Включите FileVault
Прежде чем кликнуть на кнопку «Включить FileVault », обязательно прочитайте предупреждение, которое появится на экране.
ПРЕДУПРЕЖДЕНИЕ
. Для доступа к вашим данным необходимо указывать пароль администратора или ключ восстановления. Ключ восстановления создается автоматически в процессе настройки. Если вы забудете и пароль администратора, и ключ восстановления, ваши данные будут потеряны.
А теперь прочитайте это еще раз. Это очень важно – ведь забыть и пароль, и ключ восстановления – это все равно что просто стереть все свои данные. Именно это вам и придется сделать, чтобы иметь возможность снова пользоваться своим «Маком».
Когда будете готовы, нажмите на кнопку «Включить FileVault
».
Если у вас активирован облачный сервис iCloud
(от версии «Мака» Yosemite
и выше), вы увидите диалоговое окно, спрашивающее, чем вы предпочтете воспользоваться, если забудете пароль администратора и вам придется создавать новый – вашим аккаунтом в iCloud
или ключом восстановления. (Если облако у вас не активировано, вы сможете сразу увидеть ключ восстановления). Поскольку облако – это, по сути, тоже чей-то компьютер, мы рекомендуем использовать ключ восстановления и хранить информацию о нем на бумажном носителе.
Определившись, как поступить с ключом восстановления, кликните на кнопку «Продолжить
».
Чтобы ваш ключ восстановления находился в безопасности и досягаемости, скопируйте его в текстовый редактор, распечатайте документ и храните в надежном месте. Не храните информацию о ключе на жестком диске вашего компьютера. Если вы забудете пароль, то не сможете войти в систему и, соответственно, доступа к ключу тоже не будет.
Убедившись, что с ключом все в порядке, нажмите «Продолжить
».
Если вы – не единственный пользователь вашего компьютера, откроется диалоговое окно, предлагающее ввести пароли всех пользователей, и тем самым «Разрешить » им доступ к расшифровке диска. Если своему аккаунту администратора вы, разумеется, разрешите доступ, то в отношении других этого делать необязательно – все зависит от того, хотите ли вы, чтобы другие пользователи могли расшифровать диск. Завершив этот этап, нажмите «Продолжить ».
Шаг 3. Перезагрузите компьютер
Далее вам будет предложено перезагрузить компьютер. Сохраните и закройте все приложения, с которыми работали, и нажмите «Перезагрузить
».
После перезагрузки FileVault
начнет в фоновом режиме шифровать диск, что может существенно замедлить работу компьютера, пока процесс не завершится. Количество времени, требующееся для шифрования, зависит от размера диска. Вы можете отслеживать прогресс в разделе FileVault
в «Системных настройках».
Примечание. Если у вас современный компьютер с SSD-диском , то процесс шифрования и расшифровки пройдет значительно быстрее, чем в случае с вращающимся HDD . Так что, если для вас важен быстрый запуск системы, имейте это в виду. А зашифровывать информацию придется в любом случае – хакеру нужно быть аккуратнее.
Шаг 4. Проверьте подлинность ключа!
Последний шаг – это проверка подлинности ключа. Нужно убедиться, что с его помощью вы действительно сможете расшифровать ваш Mac , когда потребуется (для версии Mavericks и выше). Для этого мы будем использовать приложение Terminal – оно находится в разделе «Утилиты» в папке Программы».
В окне приложения Terminal введите следующую команду:
Sudo fdesetup validaterecovery
Нажмите «Ввод ». Далее потребуется ввести пароль администратора. Во время ввода пароль отображаться не будет – пусть это вас не смущает. Закончив, нажмите «Продолжить ». Затем вас попросят ввести код восстановления в формате xxxx-xxxx-xxxx-xxxx-xxxx-xxxx . Как и в случае с паролем администратора, в процессе ввода ключ отображаться не будет, так что будьте внимательны и не торопитесь. Как вариант, можете набрать пароль в текстовом документе, а потом скопировать, вставить в Terminal и нажать «Ввод ». Если ключ подлинный, командный интерпретатор это подтвердит.
Если ключ не подлинный, значит, вы неправильно его ввели, или некорректно скопировали из документа, или же он оказался каким-то образом поврежден. Если вы уверены, что все сделали правильно, и новая попытка ввести ключ привела к тому же результату, вам придется вернуться в раздел FileVault
в «Системных настройках», отключить FileVault
, а затем повторить все шаги, начиная со второго.
Ваш диск готов для хакинга
Завершив все предыдущие шаги, вы получите зашифрованный диск. Но не забывайте, что полное шифрование диска (FDE
) защищает только хранимые данные.
Росс Уильям Ульбрихт, известный владелец площадки для анонимной торговли Silk Road
, использовал FDE
для безопасности своих данных, но правила OPSEC
толком не соблюдал. Сотрудники ФБР дождались, пока Ульбрихт войдет в систему, и арестовали его в тот момент, когда диск еще не был зашифрован. Он даже не успел закрыть крышку ноутбука.
В итоге Ульбрихт получил пожизненный срок. Не повторяйте его ошибку!
Не пропустите новых статей
Итак, ваш диск полностью зашифрован, и первый шаг по подготовке «Мака» к хакингу завершен. В следующих статьях мы расскажем о шифровании образа диска, использовании KeePass
, Terminal
и многом другом.
Я, как и у многие люди, связанные с системным администрированием, немного параноик. Я считаю, что мои данные хотят украсть. Пусть они реально никому, кроме меня (“и множества злоумышленников, которые спят и видят, как получить мои фотографии, подборку музыки и фильмов, и…”, — это слова моего внутреннего параноика) и не нужны, но защититься не помешает.
Что произойдёт, если ноутбук украдут?
Самый простой случай — вор сразу же переформатирует диск и поставит чистую версию операционной системы. Останется купить новый ноутбук, восстановиться из Time Machine и спокойно продолжить работу. Этот сценарий характерен для умного вора, который знает о функции ”Find My Mac ” и о системе Pray .
Но есть другой случай — вор или глуп, или любопытен. Если глуп, то начнёт пользоваться ноутбуком, не трогая систему. Недавняя история поимки такого вора описана в статье ”Why you don’t steal from a hacker ”. Всё закончилось плачевно для вора и отлично для владельца ноутбука.
Если вор любопытен и умён, то сразу же отключит сетевые интерфейсы, чтобы даже случайно система не вышла в Интернет, и начнёт изучать, чем бы можно поживиться.
Начнёт изучать документы, ключи доступа, попробует добраться до Keychain, посмотрит историю команд в shell и возможно наткнётся на пароль (в моей практике был случай, когда очень быстрый коллега в сессии излишне любопытного пользователя вбивал пароль администратора, но вбил не в поле запроса пароля, а просто в shell, и пароль администратора попал в.history). Пароль в клиническом случае может быть единым для системы и для базы 1Password. Можно дальше не продолжать. А дальше — или проникновение, или шантаж.
Надеюсь, вы не думаете, что запрос пароля при входе в систему кого-то остановит? Firmware Password (по крайней мере раньше) сбрасывался фокусом с вынимаем одной из нескольких планок памяти, а затем очисткой PRAM. Потом — single user mode, пара команд , и пароль изменён. Если же не хочется возиться с Firmware Password, то диск вынимается из ноутбука, подключается к другому компьютеру и доступ ко всем данным получен.
Для защиты от описанной ситуаций был реализован FileVault. В первой версии пользовательский домашний каталог помещался в зашифрованный контейнер (sparse bundle image), ключом к которому служил пользовательский пароль. Не зная пароля, контейнер невозможно было открыть. Не нужно исключать возможность угадывания пароля, но если пароль был сложным, то данные были в полной безопасности.
За безопасность нужно платить. Для того, чтобы сделать резервную копию данных в Time Machine, нужно было выйти из учётной записи. Сделать выборочное восстановление через интерфейс Time Machine было нельзя. Включение шифрования ухудшало производительность файловых операций порой на 50%. Были и другие мелкие сложности.
В OS X Lion вошла улучшенная версия — FileVault 2 , система шифрования полного диска, использующая алгоритм XTS-AES 128.
В процессе изучения вопроса я обращался к статьям MacFixIt ”About FileVault 2 in OS X 10.7 Lion ” и ArsTechnica ”File system changes in Lion ”.
Желающие разобраться с математическими моделями могут прочитать документ ”IEEE P1619TM/D16 Standard for Cryptographic Protection of Data on Block-Oriented Storage Devices ” и ”Не такой уж ты и страшный, XTS-AES ”.
Незашифрованными остаются раздел с EFI и Recovery HD:
$ diskutil list /dev/disk0 #: TYPE NAME SIZE IDENTIFIER 0: GUID_partition_scheme *160.0 GB disk0 1: EFI 209.7 MB disk0s1 2: Apple_CoreStorage 159.2 GB disk0s2 3: Apple_Boot Recovery HD 650.0 MB disk0s3
- После инициализации “железа” EFI находит Recovery HD и передаёт управление загрузчику /System/Library/CoreServices/boot.efi, находящемуся на этом разделе.
- У загрузчика есть два варианта — запустить EfiLoginUI из com.apple.boot.x и показать стартовый экран с запросом пароля входа, или же, если была нажата комбинация Option-R — оболочку восстановления системы из com.apple.recovery.boot.
- Ключи для расшифровки диска хранится в файле EncryptedRoot.plist.wipekey в каталоге /com.apple.boot.x/System/Library/Caches/com.apple.corestorage. Пользовательский пароль расшифровывает ключи к диску, находящийся в этом файле. Дальше они хранится в памяти, расшифровка содержимого диска производится “на лету”. Каждый раз при изменении пользовательского пароля, добавлении нового пользователя и подобных операциях EncryptedRoot.plist.wipekey перегенерируется.
FileVault работает и для пользователей, входящих через OpenDirectory — их аттрибуты доступа кешируются на случай отсутствия соединения с сервером каталогов.
Производительность дисковых операций при включенном FileVault 2 согласно тестам Anandtech ухудшается не более, чем на 20-30%, что вполне приемлемо. Однако стоит учитывать, что есть зависимость от процессора и диска . Новые процессоры Intel используют наборы инструкций AES-NI для ускорения работы с AES Intel® Advanced Encryption Standard Instructions (AES-NI) и с шифрованием диска справляются лучше, чем старые процессоры Core 2 Duo. Решение каждый принимает сам на основании собственного железа.
При краже Mac’а получить доступ к данным будет практически невозможно (при условии сложного пароля и неочевидных ответов на вопросы восстановления ключа в Apple). Придётся просто купить новый Mac и особо не беспокоиться о компрометации паролей и использовании данных.
Time Machine работает теперь без необходимости выхода из учётной записи. Теперь нужно беречь данные Time Machine, а лучше размещать их в зашифрованном разделе (как это сделать, описано в статье Mac OS X Lion FileVault 2 and Time Machine External Drive Encryption).
Из “особенностей” нужно помнить, что при загрузке с зажатым Option раздел “Recovery HD” будет недоступен, для загрузки с него нужно удерживать комбинацию клавиш Command-R.
Активация
Активация FileVault 2 проста. System Preferences/Security & Privacy/FileVault, Click the lock to make changes, Turn On FileVault. Обязательно нужно в надёжном и обязательно зашифрованном месте сохранить ключ и ответы на вопросы восстановления ключа (если выбрали его сохранение в Apple). Система предложит перезагрузиться. Сразу же при загрузке будет запрошен ваш пароль и после входа вы сразу же сможете работать. Ждать часами завершения шифрования раздела не нужно, эта операция производится в фоновом режиме пока вы полноценно работаете:
С запуском iCloud появится возможность “Find My Mac”, в которой по аналогии с “Find My iPhone/iPad” при появлении Mac в сети можно отобразить сообщение с воспроизведением звукового сигнала, заблокировать Mac или даже уничтожить содержимое зашифрованного диска (могу предположить, что удаляются ключи шифрования и диск становится бесполезным массивом данных).
