Como posso usar a criptografia do FileVault e ainda rastrear meu laptop se for roubado

11

Passei bastante tempo nos últimos dias tentando descobrir como combinar as vantagens claras de segurança de dados da criptografia de minha máquina com o FileVault 2 no Lion e o potencial de recuperação de roubo de programas como Undercover, Prey ou LoJack . O consenso geral é que isso é basicamente uma troca ou não, porque criptografar o sistema impedirá a entrada de um ladrão e, consequentemente, impedi-lo de executar o software de rastreamento. Sob o antigo FileVault, você poderia ter deixado uma conta de convidado honeypot não criptografada, mas isso veio com algumas desvantagens graves de segurança de dados, porque abriu o caminho para um ladrão inteligente que contornava sua criptografia no modo de usuário único. O novo FileVault obviamente não oferece essa opção, embora você possa chegar a algum lugar com o Find My Mac no iCloud,

Existe uma solução melhor do que ser forçado a escolher entre ferramentas de segurança e rastreamento de dados?

hollandlef
fonte

Respostas:

11

Depois de um pouco de confusão, verifica-se que há um compromisso melhor que não parece claramente documentado em qualquer lugar óbvio, então pensei em compartilhá-lo aqui. Não acredito que seja uma duplicata, mas fico feliz em ver essa pergunta encerrada, se perdi alguma coisa.

O custo da solução (que pode ser inaceitável para alguns) é que você precisa sacrificar cerca de 14G de sua unidade em uma partição honeypot. Os passos que tomei são:

  1. Use o Disk Utility para redimensionar sua partição de inicialização e criar pelo menos 14,3G de espaço livre no final da unidade. Se você já ativou o FileVault, acredito que isso significa que você precisará desativá-lo e esperar que ele termine de descriptografar primeiro.

  2. Crie uma partição vazia, com diário estendido do Mac OS, no final da sua unidade, preenchendo o espaço livre.

  3. Para tornar as coisas um pouco mais convincentes, dê à sua nova partição um nome que seja mais plausível que o Macintosh HD (2) - eu nomeio meu como meu nome de host.

  4. Reinicie o computador e inicie o modo de recuperação pressionando Cmd-R enquanto o sistema é inicializado.

  5. Selecione reinstalar o SO no menu de recuperação e prossiga com a instalação. Em algum lugar ao longo da linha, você terá a opção de selecionar onde instalar o sistema operacional. Você deseja colocá-lo na nova partição, obviamente. Deve ser apenas grande o suficiente para deixá-lo instalar Lion. Se não for, você precisará voltar ao menu principal de recuperação, inicie o Utilitário de Disco e redimensione as partições novamente. Isso é um pouco de crapshoot porque você não acaba com tanto espaço livre quanto o tamanho especificado da partição, mas chegará lá no final.

  6. Conclua a instalação da sua nova cópia do Lion. Você deseja configurar isso como um honeypot, portanto:

    • Habilite o login automático que faça login em uma conta não administrativa com o mesmo nome de usuário que você usa na partição principal (para maior plausibilidade)
    • Verifique se a sua conta de administrador tem uma senha decente para dificultar o ladrão mexer com o seu software de rastreamento, se ele a encontrar.
    • Não conecte nada ao iCloud - suponho que você esteja usando um serviço alternativo como Undercover, Prey ou LoJack para ajudar na recuperação, por isso é apenas mais exposição potencial e é melhor evitar.
  7. Instale o software de rastreamento de sua escolha na partição honeypot. Eu fui com Undercover no final, porque é um custo único e Prey é escrito em bash <shudder>.
  8. Impedir que o corestoraged tente montar partições criptografadas na inicialização, expondo sua cobertura:

    sudo mkdir -p /System/Library/LaunchDaemons.Disabled
    sudo mv /System/Library/LaunchDaemons/com.apple.corestorage.corestoraged.plist /System/Library/LaunchDaemons.Disabled/com.apple.corestorage.corestoraged.plist
    

    (Um pouco de hack, mas é apenas um honeypot. Dica de chapéu para os contribuidores aqui )

  9. Reinicie seu sistema. Você precisará pressionar alt / opt enquanto o sistema é inicializado para abrir o menu de inicialização. Selecione sua partição principal original para inicializar no seu sistema principal.
  10. (Re) Habilite o FileVault para esta partição e permita que ela seja concluída.
  11. Instale também o seu software de rastreamento nessa partição (isso funciona bem para o Undercover, que identifica máquinas pelo número de série do endereço MAC, por isso não importa em qual partição você inicializa)
  12. Defina uma senha de firmware. Se você usa um Mac pré-2011, isso é apenas um gesto simbólico, mas suponho que toda pequena ajuda. Se você possui um Mac mais recente, esta é uma medida de segurança séria, pois as únicas opções para contornar o AFAIK são levá-lo à Apple ou substituir fisicamente um chip na placa-mãe.

Então agora, se você desligar o seu Mac e inicializá-lo a frio, ele será inicializado na partição honeypot sem nem mesmo pedir uma senha. Para um ladrão não sofisticado, parece que eles têm acesso à sua máquina apenas reinicializando-a. Há uma chance de que seu software de rastreamento tenha a chance de registrar um relatório antes que o ladrão perceba que algo não está certo.

Ao reiniciar sua máquina, lembre-se de manter pressionada a tecla alt / option para entrar no sistema adequado; nesse momento, você será solicitado a fornecer uma senha para descriptografá-la. Supondo que você tenha as configurações de bloqueio apropriadas habilitadas para segurança sensata, sua máquina é razoavelmente segura contra alguém que tenha acesso a dados particulares confidenciais.

Se você tiver um Mac recente com proteção de firmware adequada, o ladrão terá um tempo excepcionalmente difícil usando qualquer coisa que não seja a partição honeypot e se esforçará para fazer algo particularmente útil, mesmo com isso, já que ele não tem direitos administrativos. Com alguma sorte, quando terminar de ficar frustrado, a polícia já estará batendo à sua porta :-)

hollandlef
fonte
0

Isso não funciona com os utilitários de rastreamento de terceiros mencionados, mas se você configurar o FileVault 2 e também o serviço Find My Mac do iCloud, habilitará a opção "Convidado" na tela de autenticação de pré-inicialização do FV2. Se você usar esta opção, ela inicializará no modo somente Safari (em execução na partição de recuperação, sem acesso ao volume de inicialização criptografado). A idéia aqui é que, se alguém rouba o seu Mac, ele tenta tentá-lo a conectá-lo à Internet para que você possa rastrear / limpar / etc o seu Mac. Veja este artigo da MacWorld para mais informações .

Gordon Davisson
fonte