Как я могу использовать шифрование FileVault и по-прежнему отслеживать свой ноутбук в случае кражи

11

За последние несколько дней я потратил довольно много времени, пытаясь понять, как я могу объединить очевидные преимущества безопасности данных, связанные с шифрованием моей машины с помощью FileVault 2 под Lion, и потенциал для восстановления от кражи таких программ, как Undercover, Prey или LoJack. , Общее мнение заключается в том, что это в основном либо компромисс, либо / или компромисс, потому что шифрование вашей системы предотвратит проникновение в нее вора и, следовательно, не позволит ему даже запустить программное обеспечение для отслеживания. В старом FileVault вы могли оставить незашифрованную гостевую учетную запись honeypot, но это привело к серьезным недостаткам безопасности данных, поскольку открыло путь к умному вору, обходящему ваше шифрование в однопользовательском режиме. Новое FileVault, очевидно, не дает такой возможности, хотя потенциально вы можете получить что-то с Find My Mac на iCloud,

Есть ли лучшее решение, чем вынужденный выбор между безопасностью данных и инструментами отслеживания?

hollandlef
источник

Ответы:

11

После небольшого перерыва выясняется, что есть лучший компромисс, который, кажется, нигде явно не задокументирован, поэтому я решил поделиться им здесь. Я не верю, что это дубликат, но я рад, что этот вопрос закрыт, если я что-то пропустил.

Стоимость решения (которое может быть неприемлемо для некоторых) заключается в том, что вам необходимо пожертвовать около 14 ГБ вашего диска в раздел honeypot. Я предпринял следующие шаги:

  1. Используйте Дисковую утилиту, чтобы изменить размер загрузочного раздела, чтобы создать не менее 14,3 ГБ свободного места на конце диска. Если вы уже включили FileVault, я думаю, это означает, что вам придется отключить его и дождаться, пока он завершит дешифрование первым.

  2. Создайте пустой раздел Mac OS Extended с журнализацией в конце диска, заполняя свободное место.

  3. Чтобы все выглядело несколько более убедительно, дайте вашему новому разделу более правдоподобное имя, чем Macintosh HD (2) - я называю мой по имени своего хоста.

  4. Перезагрузите компьютер и запустите режим восстановления, удерживая Cmd-R во время загрузки системы.

  5. Выберите «Переустановить ОС» в меню восстановления и выполните установку. Где-то вдоль линии вы получите возможность выбрать, куда установить ОС. Вы хотите поместить его в новый раздел, очевидно. Он должен быть достаточно большим, чтобы позволить вам установить Lion. Если это не так, вам придется вернуться в главное меню восстановления, запустить Дисковую утилиту и снова изменить размер разделов. Это немного глупо, потому что у вас не так много свободного места, как указанный размер раздела, но вы получите его в конце.

  6. Завершите установку вашей новой копии Lion. Вы хотите настроить это как honeypot, так что:

    • Включите автоматический вход, который входит в учетную запись без прав администратора с тем же именем пользователя, которое вы используете в своем основном разделе (для большей правдоподобности)
    • Убедитесь, что у вашей учетной записи администратора есть приличный пароль, чтобы вору было трудно связываться с вашим программным обеспечением для отслеживания, если он его найдет.
    • Не подключайте ничего к iCloud - я предполагаю, что вы будете использовать альтернативный сервис, такой как Undercover, Prey или LoJack, чтобы помочь восстановлению, так что это просто более потенциальное воздействие и его лучше избегать.
  7. Установите предпочитаемое программное обеспечение для отслеживания в разделе honeypot. В конце концов я пошел с Undercover, потому что это одноразовая плата, а Prey написана на bash <shudder>.
  8. Не допускайте, чтобы corestoraged пытался смонтировать зашифрованные разделы при запуске, тем самым разрушая ваши возможности:

    sudo mkdir -p /System/Library/LaunchDaemons.Disabled
    sudo mv /System/Library/LaunchDaemons/com.apple.corestorage.corestoraged.plist /System/Library/LaunchDaemons.Disabled/com.apple.corestorage.corestoraged.plist
    

    (Немного взлома, но это всего лишь приманка. Шляпа для участников здесь )

  9. Перезагрузите вашу систему. Вам нужно будет удерживать нажатой клавишу alt / opt во время загрузки системы, чтобы вызвать меню загрузки. Выберите исходный основной раздел для загрузки в основную систему.
  10. (Пере) Включите FileVault для этого раздела и дайте ему завершиться.
  11. Установите также программное обеспечение для отслеживания в этом разделе (это прекрасно работает для Undercover, которая идентифицирует машины по серийному номеру MAC-адреса, поэтому не имеет значения, в какой раздел вы загружаетесь)
  12. Установите пароль для прошивки. Если вы работаете с Mac до 2011 года, это всего лишь жест токена, но я полагаю, что все немного помогает. Если у вас новый Mac, это серьезная мера безопасности, так как AFAIK может обойти его единственной возможностью - передать его Apple или физически заменить чип на материнской плате.

Так что теперь, если вы выключите ваш Mac и загрузите его с холода, он загрузится в раздел honeypot даже без запроса пароля. Для неискушенного вора это будет выглядеть так, как будто он получил доступ к вашей машине, просто перезагрузив ее. Существует большая вероятность того, что ваша программа отслеживания сможет подать отчет, прежде чем вор поймет, что что-то не так.

Когда вы перезагружаете свой компьютер, вам нужно будет не забыть удерживать нажатой клавишу alt / option, чтобы войти в вашу надлежащую систему, после чего вам будет предложено ввести пароль для его расшифровки. Предполагая, что у вас включены соответствующие настройки блокировки для обеспечения разумной безопасности, ваша машина достаточно защищена от того, что кто-то завладеет конфиденциальными личными данными.

Если у вас недавно установлен Mac с надлежащей защитой встроенного программного обеспечения, вору будет чрезвычайно трудно использовать что-либо, кроме раздела honeypot, и он будет изо всех сил пытаться сделать что-то особенно полезное даже с этим, поскольку у него нет прав администратора. Если повезет, к тому времени, когда он закончит расстраиваться из-за этого, полиция уже постучит в его дверь :-)

hollandlef
источник
0

Это не работает со сторонними утилитами отслеживания, о которых вы упомянули, но если вы настроили FileVault 2, а также службу Find My Mac в iCloud, она включит опцию «Гость» на экране предварительной загрузки FV2. Если вы используете эту опцию, она загружается в режиме только Safari (работает с раздела восстановления, без доступа к зашифрованному загрузочному тому). Идея заключается в том, что если кто-то украл ваш Mac, он попытается соблазнить их подключить его к Интернету, чтобы вы могли отслеживать / стирать / и т.д. ваш Mac. Смотрите эту статью MacWorld для получения дополнительной информации .

Гордон Дэвиссон
источник