Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Passware hilft nun auch beim Entschlüsseln von FileVault 2

Mit der neusten Version des Passware Kit hat das gleichnamige Unternehmen nun auch eine Lösung zur Entschlüsselung von FileVault 2 im Angebot. Wie schon bei der Wiederherstellung von Systemkennwörtern machen sich die Hacker auch bei der neuen FileVault-Entschlüsselung eine Schwachstelle von FireWire zunutze, mit der ein direkter Zugriff auf den unverschlüsselten Arbeitsspeicher (RAM) des Macs möglich ist. Besitzer eines Thunderbolt-Macs sollten sich nicht in Sicherheit wiegen, denn grundsätzlich ist der Angriff auch über PCI-Express und damit Thunderbolt denkbar. Für Passware-Hacker ist es nur wichtig, ein direktes Speicherabbild des laufenden Systems erstellen zu können, in dem anschließend nach dem FileVault-2-Schlüssel gesucht wird. Laut Passware soll die Entschlüsselung von FileVault 2 unabhängig von der Komplexität des Kennwortes maximal 40 Minuten dauern. Passware Kit Forensic 11.3 ist für Strafbehörden und Privatkunden erhältlich und kostet 995 US-Dollar. Auch wenn sich mit dem Kit Mac-Dateien entschlüsseln lassen, ist die Hacker-Software selbst nur unter Windows lauffähig. Da eine Entschlüsselung nur durch den direkten Zugriff auf den Mac möglich ist, stellt dies gleichzeitig auch den wirksamsten Schutz dar.

Weiterführende Links:
Gescheitert: iPhones von Robotern statt Arbeitern
Gescheitert: iPhones von Robotern statt Arbeite...
iOS 18 sorgt für Probleme bei Mail-Servern
iOS 18 sorgt für Probleme bei Mail-Servern
iPhone 16 Pro: Tippen oder Wischen ignoriert, Nutzer melden Touchscreen-Fehlverhalten
iPhone 16 Pro: Tippen oder Wischen ignoriert, N...
watchOS 11: Apple trennt sich von vier Zifferblättern
watchOS 11: Apple trennt sich von vier Zifferbl...
Kurz: Schon wieder neue AirPods-Firmware +++ Severance Staffel 2: Trailer erschienen
Kurz: Schon wieder neue AirPods-Firmware +++ Se...
Apple zieht iPadOS 18.0 für das iPad Pro M4 zurück
Apple zieht iPadOS 18.0 für das iPad Pro M4 zur...
AirPods Max: Warum so wenig Innovation?
AirPods Max: Warum so wenig Innovation?
iPhone 16 Pro in Einzelteilen – Details zum Aufbau und zum neuen Modem
iPhone 16 Pro in Einzelteilen – Details zum Auf...

Kommentare

vadderabraham03.02.12 17:21
Wunderbar.... Dann hat Apple ja jetzt einen Grund auch den Ram Inhalt zu scrambeln...
0
user_tron03.02.12 17:54
Deshalb... immer schön den Ram leeren
Ich erwarte von niemanden Zustimmung für meine persönlichen Ansichten ;-)
0
Accelerator
Accelerator03.02.12 18:08
Deshalb... immer schön den Ram leeren

Mach mal vor...
0
RealName
RealName03.02.12 18:20
Nach dem Herunterfahren sollte der RAM doch die Daten verlieren. Dann sollte doch alles sicher sein, oder?
0
zod198803.02.12 18:28
Jep, dann ist Ruhe.
0
Turboprinz
Turboprinz03.02.12 18:28
Soll das ein Witz sein?
Da muss Apple nun aber schleunigst Nachbessern!
0
Marcel Bresink03.02.12 18:50
Das lässt sich bei bestehenden Computern nicht nachbessern, denn dies ist ein Hardware-Problem im Design von FireWire (und möglicherweise auch Thunderbolt).
0
zod198803.02.12 18:52
Marcel:

Ich dachte das Problem des unauthorisierten Zugriffs über Firewire sei mit 10.7.2 behoben worden?
0
ricoh03.02.12 18:57
Wenn der Rechner einmal angemeldet und an ist, wofür soll man dann filevault entschlüsseln müssen. Dann hat man doch ohnehin Zugriff. Wenn der Rechner aus ist, funktioniert das Verfahren ohnehin nicht. Ist das nun eine Art Scherz?
0
Marcel Bresink03.02.12 18:59
zod1988
Das gilt meines Wissens nur für den Zugriff auf das Benutzerkennwort und nur wenn der jeweilige Benutzer eine Bildschirmsitzung laufen hat.
Hier geht es um das FileVault-Kennwort, auch wenn kein Benutzer angemeldet ist.
0
zod198803.02.12 19:01
Marcel:

Aber dann sollte das Passwort doch gar nicht im RAM sein, oder irre ich mich da?
0
Marcel Bresink03.02.12 19:13
zod1988
Aber das Betriebssystem muss doch laufen und auf die Platte zugreifen können.
0
user_tron03.02.12 19:31
Kann der Marcel nicht schnell ein Tool entwickeln?
Ich erwarte von niemanden Zustimmung für meine persönlichen Ansichten ;-)
0
zod198803.02.12 20:05
Marcel:

Ja, stimmt

Dummer Denkfehler
0
subjore03.02.12 20:41
Ich glaube das Password wird verschlüsselt in den Ram geladen, damit es mit dem Eingegebenen abgeglichen werden kann.
0
rambo300003.02.12 20:55
hoffentlich haben die zukünftigen mac's dann keinen firewire anschluss mehr
dann hat man wieder einen sicheren mac
0
zod198803.02.12 21:01
Thunderbolt kann das auch. (also zumindest Zugriff auf den RAM haben)
0
user_tron03.02.12 21:13
FireWire und Thunderbold und sogar USB kann auf den Ram zugreifen, wenn ein OS drüber läuft

Andererseits ist der Mac sicherer als manch einer denkt.

Ausserdem seh ich doch, wenn einer neben mir an meinen Mac will
Ich erwarte von niemanden Zustimmung für meine persönlichen Ansichten ;-)
0
Turboprinz
Turboprinz03.02.12 21:31
Muss man als Benützer eingeloggt sein oder genügt das Auslesen auch schon mit dem Anmeldebildschirm?
0
murmillo
murmillo03.02.12 21:49
Könnt ihr euch vorstellen, wie viel Staatsgelder(oder wer glaubt ihr, ist Abnehmer für den Kram?) in solche sch.... Firmen geht, damit diese, für die Liebe Sicherheit natürlich, unsere digitale Sicherheit knacken?

Wie sagte Thomas Jefferson: Wer bereit ist, seine Freiheit für Sicherheit zu opfern, wird beides verlieren.
0
strife03.02.12 22:27
Ein Angreifer muss ja erstmal physischen Zugriff bekommen, und dann noch das System darzubringen, das Passwort für längere Zeit im Klartext im Speicher liegen zu lassen.

Mir persönlich würde es gar nicht auffallen wenn ein FireWire Kabel von meinem Mac in einen mir unbekannten Rechner führen würde.
0
Turboprinz
Turboprinz03.02.12 22:45
strife
Das Problem ist doch, wenn dein Mac geklaut wird! Dann kannst du nicht kontrollieren, wer da welche Kabel reinsteckt! Und darum interessiert es mich schon, ob in einem solchen Fall meine Daten gelesen werden können.
0
gajarga03.02.12 23:15
Oder wenn man den Rechner auf dem Flughafen abgenommen bekommt. Soll ja schon vorgekommen sein.
0
starknights03.02.12 23:24
@Turboprinz:
http://www.tuaw.com/2012/02/03/apple-filevault-2-encryption-cracked-but-dont-panic/

Fortunately for Mac users, however, not only does the cracking require a relatively expensive piece of software, but it also requires that certain conditions be in place for the software to be able to extract the FileVault keys.

The Mac must be powered on and logged in; in other words, the FileVault keys must be in memory for Passware Kit Forensic to extract them.

Ich hoffe mal, dass das so richtig ist. allerdings scheinen mir die Jungs bei TUAW auch nicht so sicher zu sein. von daher noch was abwarten und gucken, was rauskommt.
0
user_tron04.02.12 00:32
Solange man sich nicht einloggt dürfte nichts passieren, da glaube ich aus dem Cache gelesen wird
Ich erwarte von niemanden Zustimmung für meine persönlichen Ansichten ;-)
0
teorema67
teorema6704.02.12 08:59
Da eine Entschlüsselung nur durch den direkten Zugriff auf den Mac möglich ist, stellt dies gleichzeitig auch den wirksamsten Schutz dar.
Muss ich das verstehen?

Der direkte Zugriff auf den Mac = der wirksamste Schutz?

Doch eher umgekehrt, der fehlende Zugriff auf den Mac = der wirksamste Schutz
Rassismus ist, überall Rassismus zu wittern, wo keiner ist, und damit echten Rassismus zu bagatellisieren. (Dieter Nuhr)
0
Erde-E04.02.12 09:03
Jaa, wo ist denn das FileVault-Passwort, wenn der Mac im Ruhezustand ist/war?
0
tranquillity
tranquillity04.02.12 09:33
Hier die Gegenmaßnahmen: http://www.frameloss.org/2011/09/18/firewire-attacks-against-mac-os-lion-filevault-2-encryption/
0
onicon
onicon04.02.12 09:56
• Firmware Passwort einschalten, dies unterbindet DMA für FireWire und Thunderbolt.
• Fast User Switching ausschalten.
• Passwort für den Bildschirmschoner einschalten.
0
cholesterin04.02.12 12:37
Firmware Passwort einschalten, dies unterbindet DMA für FireWire und Thunderbolt.
hast du da eine Quelle? Nichts gegen dich, aber wenn es um Sicherheit geht will ich mich nicht nur auf einen Kommentar bei MTN verlassen.
0
Weitere News-Kommentare anzeigen

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.