‘FileVault in 40 minuten te kraken’

Door: Koen van Tongeren - 14 reacties

In 2003 introduceerde Apple FileVault. Deze encryptietechniek schermt data van Mac-gebruikers af voor kwaadwillenden. Alleen met een speciaal wachtwoord wordt de data ontsleuteld.¬†In Mac OS X Lion is FileVault 2 ge√Įntroduceerd dat dankzij¬†XTS-AESW 128 encryptie n√≥g veiliger moet zijn. Praktisch moet het zelfs voor de grootste experts onmogelijk zijn om data van een FileVault-schijf te kunnen ontcijferen. Des te verontrustender is het dan ook dat een beveiligingsbedrijf nu beweert FileVault-schijven binnen 40 minuten te kunnen ontsleutelen.

Het bedrijf Passware zegt een methode bedacht te om FileVault-schijven te kunnen kraken. Het ontcijferen van de encryptie blijft weliswaar onmogelijk maar het achterhalen van het wachtwoord om te ‘decrypten’ is het bedrijf naar eigen zeggen wel gelukt. Wat je nodigt hebt naast de Mac in kwestie is een firewire-kabel en een Windows-PC waar het programma Passware Kit Forensic 11.3 op is ge√Įnstalleerd. In Maximaal 40 minuten achterhaalt de software vervolgens het benodigde wachtwoord, volgens de makers.

Screenshot van Passware Kit Forensic 11.3

Wellicht levert dit nieuws enig gezichtsverlies voor Apple op. Toch kan FileVault nu nog niet afgedaan worden als ‘onveilig’. Om te beginnen werkt de methode niet op afstand. De kraker moet dus toegang hebben tot de Mac in kwestie om het wachtwoord te achterhalen. Daarnaast valt te verwachten dat Apple de methode van Passware onmogelijk maakt in een toekomstige update van Mac OS X.

Waarschijnlijk hoef je ook niet erg bang te zijn dat je vervelende broertje/zusje, huisgenoot of collega in een ongemerkt ogenblik zich toegang gaat verschaffen tot jouw versleutelde data, want hoe pikant je vakantiefoto’s en hoe onthullend je autobiografie in progress ook zullen zijn, waarschijnlijk is het niemand de duizend dollar waard die neergeteld moet worden voor PassWare Kit Forensic.

Reacties

14 reacties
  • Profielfoto
    apenstaartje

    Ik kan me herinneren dat de Firewire DMA (direct memory access) uitgeschakeld wordt wanneer je een firmware password instelt, dan zou dit toch ook niet meer werken?
    Helaas een beetje te kostbaar om het uit te proberen:)

    (Een firmware password is hoe dan ook aan te raden, dan moet er een wachtwoord ingegeven worden wanneer je met een andere disk of cd wilt opstarten of de mac in target disk mode wil zetten)

  • Profielfoto
    iekozz

    @apenstaartje Het haalt de gegevens uit het RAM geheugen als de mac in slaapstand staat.

    Hierin wordt dus alles tijdelijk opgeslagen en die gegevens zijn niet beveiligd.

  • Profielfoto
    johnkeates

    @lekozz: fout! FireWire DMA werkt alleen als de computer AAN staat. Stand-by of Uit dus niet.

    En verder: Mac OS X 10.7.2 is voorzien van een update die FireWire DMA alleen toestaat als er een gebruiker actief ingelogd is.

    Wat je dus hebt is een situatie waarbij je dit stuk software moet hebben, een persoon moet FileVault gebruiken en ingelogd zijn, de Mac moet FireWire hebben (en niet alle Macs hebben dat) en de computer moet fysiek toegankelijk zijn tegelijkertijd.

    Kortom: een situatie die je niet snel tegen komt.

    Ik kan me wel voorstellen dat een recherche team hier wat aan heeft, je zou bijv. een verdachte kunnen aanhouden, en zijn computer in de ‘aan’ stand kunnen vinden terwijl hij/zij ingelogd is. Natuurlijk kun je nu gewoon de bestanden kopieren, maar je kan dus ook via FireWire het FileVault wachtwoord achterhalen! Er is vast een toepassing voor.

    Niks is onkraakbaar:)

    Daarnaast: waarschijnlijk gaat Apple hetzelfde doen als wat met Linux (ja, de kernel) gedaan is: encryption keys in CPU registers stoppen, die kan je met DMA of bevroren RAM niet stelen.

  • Profielfoto
    Kobes

    en met de reactie van iekozz wordt ook meteen duidelijk dat een prima bescherming kan worden geboden als je simpelweg je Mac uitzet als je weg bent.
    Dan moet Apple het nog wel repareren, want het is woest onhandig, maar als je daadwerkelijk gevoelige data hebt is het een zeer werkbare tijdelijke oplossing. Zeker sinds er er resume bestaat in Lion. Komen in ieder geval je apps terug.

  • Profielfoto
    kerelvent

    Dan zit ik veilig met m’n FW-loze unibody MacBook:razz:

  • Profielfoto
    Xcode

    De echte privacy fanaat zet z’n gegevens tegenwoordig op een floppy.:-)

  • Profielfoto
    dirkuijt

    waarschijnlijk is het niemand de duizend dollar waard die neergeteld moet worden voor PassWare Kit Forensic

    pak een willekeurige warez site, en hij staat er bij hoor.
    Ik zal de links maar niet posten…

  • Profielfoto
    bugboy

    Ik vind dat het helemaal niet zo meevalt met de gevolgen hiervan. Je gaat er vanuit dat kritische gegevens veilig zijn met FileVault, maar voor $1000 en een uurtje tijd is een laptop gekraakt. Dat is dus gewoon niet veilig. Vooral het valse gevoel van veiligheid is een probleem.

    Als het dan veilig moet, doe mij dan maar TrueCrypt. Het hele zedendrama rondom Robert M. heeft aangetoond wat de kwaliteiten zijn van dit programma. Geloof maar dat ze er daar meer geld en tijd tegenaan gegooid hebben.

  • Profielfoto
    Joshanegreefs

    Ik heb de indruk dat APPLE op dit moment te veel met hun ego bezig zijn,en daar lijd de techniek onder . research heren!!!!

  • Profielfoto
    Applezone

    Er staat alleen nergens of het over FileVault 1 of 2 gaat…

  • Profielfoto
    apenstaartje

    Als de computer ingelogd moet zijn, dan kan je daar net zo goed toch direct bij… moest trouwens nog even hieraan denken:

  • Profielfoto
    iNanc

    Kom maar op, wie wilt het proberen ? Mijn MBA heeft geen Firewire, FileVault staat aan.

  • Profielfoto
    toineenzo

    Fail……..

  • Profielfoto
    pnnkroon

    Wat door mensen gemaakt is, kan door mensen gekraakt worden. Pretenderen dat je een besturingssysteem schrijft dat “niet-te-kraken” is is gewoonweg niet re√ęel. FileVault is en blijft echter wel √©√©n van de betere encryptie methoden.