ИТТ геи пользователи OS X обсуждают свою безопасность. Линухобогов нам не догнать, но это не повод сидеть сложа руки.
Никогда не любил мак (Нет, это не попытка срача, просто факт), но буду следить за тредом - пару раз меня спрашивали, а опыта нет.
Встроенная FDE FileVault 2
http://eprint.iacr.org/2012/374.pdf
Вкратце: AES-XTS, деривация ключа 41000 раз PBKDF2. Отсутствие бэкдора не доказать (закрытый код), но инцидентов, намекавших на его присутствие, еще не было. Эппл предложит перед шифрованием взять ключ на хранение если "забудешь", то надо звонить в суппорт, дать серийник мака и ответить на три секретных вопроса, ответы на которые заранее указываешь, но только долбоеб на это согласится.
Ключ деривируется из паролей привилегированных юзерских аккаунтов или рекавери пассфразы (24 знака, пикрелейтед), соответственно шифрование хорошо настолько, насколько хорош худший из паролей аккаунтов, которые могут вскрыть диск.
Опенсорсная библотека для Linux / OS X для маунтинга FileVault2 разделов: https://github.com/libyal/libfvde/
http://eprint.iacr.org/2012/374.pdf
Вкратце: AES-XTS, деривация ключа 41000 раз PBKDF2. Отсутствие бэкдора не доказать (закрытый код), но инцидентов, намекавших на его присутствие, еще не было. Эппл предложит перед шифрованием взять ключ на хранение если "забудешь", то надо звонить в суппорт, дать серийник мака и ответить на три секретных вопроса, ответы на которые заранее указываешь, но только долбоеб на это согласится.
Ключ деривируется из паролей привилегированных юзерских аккаунтов или рекавери пассфразы (24 знака, пикрелейтед), соответственно шифрование хорошо настолько, насколько хорош худший из паролей аккаунтов, которые могут вскрыть диск.
Опенсорсная библотека для Linux / OS X для маунтинга FileVault2 разделов: https://github.com/libyal/libfvde/
Пик отклеился
DMA атака на Filevault2 через FireWire и Thunderbolt
До 10.7.2 было приходи и бери (пикрелейтед), потом пофиксили: DMA отключается, если включен скринсейвер или юзер разлогинен. Попробуй сам с помощью libforensic1394.
Обязательно стоит включить выгружение ключей из памяти в слипе. Придется каждый раз вводить пассфразу, но если б ты не был готов это делать, то не пришел бы в этот раздел.
sudo pmset -a destroyfvkeyonstandby 1 hibernatemode 25
Важно! Одновременно придется отключить power nap, а то он начнет просыпаться без ключа (и соответственно без диска) и ждать, пока не сядет батарея. Может быть уже пофиксили.
До 10.7.2 было приходи и бери (пикрелейтед), потом пофиксили: DMA отключается, если включен скринсейвер или юзер разлогинен. Попробуй сам с помощью libforensic1394.
Обязательно стоит включить выгружение ключей из памяти в слипе. Придется каждый раз вводить пассфразу, но если б ты не был готов это делать, то не пришел бы в этот раздел.
sudo pmset -a destroyfvkeyonstandby 1 hibernatemode 25
Важно! Одновременно придется отключить power nap, а то он начнет просыпаться без ключа (и соответственно без диска) и ждать, пока не сядет батарея. Может быть уже пофиксили.
Перформанс брутфорса через Passware на цпу и гпу.
С 10.10 Yosemite дефолтно все введенное в Spotlight передается на поисковый сервер, чтобы включить веб в результаты поиска, обязательно отключаем.
https://fix-macosx.com/
https://fix-macosx.com/
Охуеть
И живем с этим.
Кто-нибудь делал похожее на mavericks?
Думаю не особо отличается, жаль не сделал тест на айклауд юзере с отключенной отправкой статистики.
Тактический бамп
Бампану
Пиздуй обратно в /бэ/. Это тематика.
Безопасность не для яблокооси и железок с ней. Пруф от анона:
/thread
Что там по следующей версии, появились новые анальные зонды, которые пора отключать?
[email protected]
-----BEGIN PGP PUBLIC KEY BLOCK-----
mQINBFGnHPIBEADLrDMwqoz1ZkmSJL7AYvdBq3djsWy1wIKQ1Xuw/OADoIen9Vdl
NOc21j0yUwffkihhneVN1zw7rTS/mOcj9hjr6IIJUa+HubD41AdNr6DdSmkFjiVs
38GcrDEB3vo1+o2fq1L++mHqTWn2MO53UY7WdxbsjSY5iakdquvzSOo+VEDaKto3
RzeQnad2kGFzGQQuuWEb1vj//Z0ap0aPGSTFrSEVvLUsrRe9DPbbMylA9B0nfOsn
PE13H9xLJh9RFMD/5B2/2AIaaP3DsLKsYGv1JhNtpSCYfCnLZkApOC4NkQFyy8AQ
xyTTcI8PIffvAtBpNho61oMu+Tjn+QHWPCUjb3uwo+Dgx/la0170tmRTf+RdS42n
ixPcuwHDVStPTu+85i7tOpQ4D/7jBSeED/EyhCyKabmr743vnZm4PGs08fFTZ1XK
Dkh1nBUCZRBooSqN40b2zA0fS1g0ZsuCPO2B8AVsuixyuoGy2sVTekTXl+J7Av7c
9k7OQTbTIoERmKkI9GkeS6pS0YKeVVlHvMZve3hqQYMgBbI4Jl756OmelkFoZehj
YnVjVSXTGRb25ZzHG7CS4Bx7LEN/zmtayO6WPu7zABeLjQXGmxr+z2m/U4MNI4hT
e36K7jvPlp3LC2cG8BtB2L0NgG5owkALh3djjYJhs7cuzMIolRvhL8xpawARAQAB
tC9kcmVhZCAobm8gY29tbWVudHMpIDxuZXZhbHlhc2hrYUBicmF1Y2hlbi5pbmZv
PokCOAQTAQIAIgIbIwYLCQgHAwIGFQgCCQoLBBYCAwECHgECF4AFAlGnI2cACgkQ
gT5x4CMoWHnPKQ//eDgHspWqhuOHOXZtdpZiGkRca2QPNyIynZLNqfVG0RQFvkhz
JlDC67Kwj6EYy8Ds5A0Ej5YudSY40bEXOOW6d4hcussYPfyN4lhakHydv5NNJXZ4
krQU5hP2Mw3njwV3o63MT+DiIXCnCsj9PpdQfXDS87t9r5GbK+vfSJCuqhZt3WKu
IvV7xTF3wGHYZdduT5dsDI+upDINxXumY63mQ/JCF1pc7hZD+otVf/By8BK3tU/V
CJPqcjo/x89OB29HlidvCn46Qa+ULp+S+O7GnqLv/OjXIl8u3smTFsi+dFPJ8BHK
hCE8ilkSIrpk7/mAAn/+GFHKOx7w47MVSUDZ/RX3/xCivxPXviRNoSfWy3xUQ4IP
TvgP3qQzveV7pfyXzH/5SORWefk0n/iUjNS3nOzqvUwmIfiiSvkKX/JvRFpBsLN0
0bD2vhhaCek57EMkq2u/Ol5rHEZGxxWyNkggfm8fnqdfLb6cQ/AIAktFORyRBaTc
wgSdM/rUkWvuxK0wxWG8VbEwOmNk1I3pzhqcKyEMJXewN9dHd4Lkq8t0MgHA3JAf
3QEs6g8FvQKzpdH95dq9IOk9aN3+IFV0ubjr7Y8wuspIEMtsTG3vEbKn011PiOgZ
DxmDcxZSPZXTDQDFePUaHJEtsFnbzkgavdZV03Nr8+tAVku0Jik7PKEnIWuwAgAD
uQENBFGnHPIBCADA7LHX2fnPazV4iBR8ECasWZZdjNcPpsn/bSy+1arbQ5FxG0uB
KaJuKm+IzDc9K0yBbGjTRti0YMCyjgud2VCnoXx6gvi/3MgnVYnRQCiu68u9eAMh
zuwviPIjkk5OHmmb3plr2kF9zMi1BfdiHN9MbAmve9KHT67SgHINlvXzT6nKNeXJ
zzWAxXFH1iB112MAzFHWdLdtrO6guEKtFELrD28yhv/rSzxAUtkGMWRwgqh+qOAf
eUP14HSKCMovS5zO/bTwd54bHCJeDWLnatPMrZAhgOiZ6XTs7jLhNbXUiy9HIMVK
+G/GuF+PuslCfPzNurw1U0fYe1TZDsy6YYmBABEBAAGJAh8EGAECAAkFAlGnHPIC
GwwACgkQgT5x4CMoWHnVKA//UhLlTSiFCoUwmUsyPB3VN34oI8wXHJLPTNXuj+24
UFKSG8frrIKsX1ljcUJ3q31hwKZSWoclvehjQqgTefEAEOl8WWuLMd+y02cStQ5H
mER34iZNZ52nx2q3wjlobn4P0AMu/TnB/p7JZx5qZKUEikFLJBi0GQJnAvovWaAN
HbsWE5kMTFP+HSGULMIRUk/0qXes8srZU/n8PGlLKbe4pQmwkOwZ3SOC/Dwp2SUi
QRhHWHzEdg0LBPm1oNnMj+zA49xI0yidPu8AlC6o7SlQJ5cV9qnmP0GoEYNTGhuG
cOu92P0Yi9eMWUleNAsvsYQpacvppvGOsB91quyo/yW+Idpwe60sFuT3bTdndkP6
z/7goyd5ZRE8YsPF/fAvNOffdK2vYA4oRpM6ByTo+0EZpUQaHT4TfLKvV1TUGdwm
DoECRx/ByPrBr/T441TYWFQCw+koacku3hs3TvVxOjQC+yL0M5rRu9B/mhEBtpQa
Uu/r+QOGqcuk7nd7leWpjy9rRmVeCx0L0ybZo9H3IMBOIeHfPwUzZKyDiDgZHDpP
ApZj7Rf9FdFUXLmtWC+EV8cTuNZPqmB6X841Yhoy5KOt9uUz51FZT7Rsv+P03w6V
QgSE7IxznRTaa6CkRx6Uky6YapflJqOZQ0VbzER4oH6w/PnEg+s8cuz5G3WWNV/h
dOiwAgAD
=pcT5
-----END PGP PUBLIC KEY BLOCK-----
-----BEGIN PGP PUBLIC KEY BLOCK-----
mQINBFGnHPIBEADLrDMwqoz1ZkmSJL7AYvdBq3djsWy1wIKQ1Xuw/OADoIen9Vdl
NOc21j0yUwffkihhneVN1zw7rTS/mOcj9hjr6IIJUa+HubD41AdNr6DdSmkFjiVs
38GcrDEB3vo1+o2fq1L++mHqTWn2MO53UY7WdxbsjSY5iakdquvzSOo+VEDaKto3
RzeQnad2kGFzGQQuuWEb1vj//Z0ap0aPGSTFrSEVvLUsrRe9DPbbMylA9B0nfOsn
PE13H9xLJh9RFMD/5B2/2AIaaP3DsLKsYGv1JhNtpSCYfCnLZkApOC4NkQFyy8AQ
xyTTcI8PIffvAtBpNho61oMu+Tjn+QHWPCUjb3uwo+Dgx/la0170tmRTf+RdS42n
ixPcuwHDVStPTu+85i7tOpQ4D/7jBSeED/EyhCyKabmr743vnZm4PGs08fFTZ1XK
Dkh1nBUCZRBooSqN40b2zA0fS1g0ZsuCPO2B8AVsuixyuoGy2sVTekTXl+J7Av7c
9k7OQTbTIoERmKkI9GkeS6pS0YKeVVlHvMZve3hqQYMgBbI4Jl756OmelkFoZehj
YnVjVSXTGRb25ZzHG7CS4Bx7LEN/zmtayO6WPu7zABeLjQXGmxr+z2m/U4MNI4hT
e36K7jvPlp3LC2cG8BtB2L0NgG5owkALh3djjYJhs7cuzMIolRvhL8xpawARAQAB
tC9kcmVhZCAobm8gY29tbWVudHMpIDxuZXZhbHlhc2hrYUBicmF1Y2hlbi5pbmZv
PokCOAQTAQIAIgIbIwYLCQgHAwIGFQgCCQoLBBYCAwECHgECF4AFAlGnI2cACgkQ
gT5x4CMoWHnPKQ//eDgHspWqhuOHOXZtdpZiGkRca2QPNyIynZLNqfVG0RQFvkhz
JlDC67Kwj6EYy8Ds5A0Ej5YudSY40bEXOOW6d4hcussYPfyN4lhakHydv5NNJXZ4
krQU5hP2Mw3njwV3o63MT+DiIXCnCsj9PpdQfXDS87t9r5GbK+vfSJCuqhZt3WKu
IvV7xTF3wGHYZdduT5dsDI+upDINxXumY63mQ/JCF1pc7hZD+otVf/By8BK3tU/V
CJPqcjo/x89OB29HlidvCn46Qa+ULp+S+O7GnqLv/OjXIl8u3smTFsi+dFPJ8BHK
hCE8ilkSIrpk7/mAAn/+GFHKOx7w47MVSUDZ/RX3/xCivxPXviRNoSfWy3xUQ4IP
TvgP3qQzveV7pfyXzH/5SORWefk0n/iUjNS3nOzqvUwmIfiiSvkKX/JvRFpBsLN0
0bD2vhhaCek57EMkq2u/Ol5rHEZGxxWyNkggfm8fnqdfLb6cQ/AIAktFORyRBaTc
wgSdM/rUkWvuxK0wxWG8VbEwOmNk1I3pzhqcKyEMJXewN9dHd4Lkq8t0MgHA3JAf
3QEs6g8FvQKzpdH95dq9IOk9aN3+IFV0ubjr7Y8wuspIEMtsTG3vEbKn011PiOgZ
DxmDcxZSPZXTDQDFePUaHJEtsFnbzkgavdZV03Nr8+tAVku0Jik7PKEnIWuwAgAD
uQENBFGnHPIBCADA7LHX2fnPazV4iBR8ECasWZZdjNcPpsn/bSy+1arbQ5FxG0uB
KaJuKm+IzDc9K0yBbGjTRti0YMCyjgud2VCnoXx6gvi/3MgnVYnRQCiu68u9eAMh
zuwviPIjkk5OHmmb3plr2kF9zMi1BfdiHN9MbAmve9KHT67SgHINlvXzT6nKNeXJ
zzWAxXFH1iB112MAzFHWdLdtrO6guEKtFELrD28yhv/rSzxAUtkGMWRwgqh+qOAf
eUP14HSKCMovS5zO/bTwd54bHCJeDWLnatPMrZAhgOiZ6XTs7jLhNbXUiy9HIMVK
+G/GuF+PuslCfPzNurw1U0fYe1TZDsy6YYmBABEBAAGJAh8EGAECAAkFAlGnHPIC
GwwACgkQgT5x4CMoWHnVKA//UhLlTSiFCoUwmUsyPB3VN34oI8wXHJLPTNXuj+24
UFKSG8frrIKsX1ljcUJ3q31hwKZSWoclvehjQqgTefEAEOl8WWuLMd+y02cStQ5H
mER34iZNZ52nx2q3wjlobn4P0AMu/TnB/p7JZx5qZKUEikFLJBi0GQJnAvovWaAN
HbsWE5kMTFP+HSGULMIRUk/0qXes8srZU/n8PGlLKbe4pQmwkOwZ3SOC/Dwp2SUi
QRhHWHzEdg0LBPm1oNnMj+zA49xI0yidPu8AlC6o7SlQJ5cV9qnmP0GoEYNTGhuG
cOu92P0Yi9eMWUleNAsvsYQpacvppvGOsB91quyo/yW+Idpwe60sFuT3bTdndkP6
z/7goyd5ZRE8YsPF/fAvNOffdK2vYA4oRpM6ByTo+0EZpUQaHT4TfLKvV1TUGdwm
DoECRx/ByPrBr/T441TYWFQCw+koacku3hs3TvVxOjQC+yL0M5rRu9B/mhEBtpQa
Uu/r+QOGqcuk7nd7leWpjy9rRmVeCx0L0ybZo9H3IMBOIeHfPwUzZKyDiDgZHDpP
ApZj7Rf9FdFUXLmtWC+EV8cTuNZPqmB6X841Yhoy5KOt9uUz51FZT7Rsv+P03w6V
QgSE7IxznRTaa6CkRx6Uky6YapflJqOZQ0VbzER4oH6w/PnEg+s8cuz5G3WWNV/h
dOiwAgAD
=pcT5
-----END PGP PUBLIC KEY BLOCK-----
Тред живи.
-----BEGIN PGP MESSAGE-----
Version: GnuPG v1
hQEMAxAbQuD5tO+HAQgAp7aWql056imbdId5c43YwsIKerAfZlr9TDiLQLxEgLGl
xTX5I+/1lWdiZ0vYHn/ZgUTvJXOro2v80XLkl4u3SF+SBQi9TScTee3t+u2VSiws
E69XD94QeMMluzI87Nt7Z/I/DJJ6qGrMG2kP6tFzKnettaWmg3wDfULW9p+eeJK9
gV7WCIQG7kDF6LVyVknDNGRT6rIcYfQbfNvwZBVrUqq8m+Xv3K+sgDDLDa5SimTT
pfwK2HhUOkAcPJj13cux3HT2ysdBzXH/sjdhkyvz54K9a1gNaRFrVhIM/XOyWLlT
mYbsngvq6QZGd+YPE8ntLZURnBss2ZJF7i1H5IPNwtJjATvSZnvWIrV2p2qM6wGZ
8/G44gyytuBsm9Ty/suQvWDeZWUmWCONJ7sckjTT8RlU2TUXt7xC68DGIs7Khw2z
fqqUy+w3HGIz5/mMw7QdLzBHCi5SK/QwBWTbnmXAHwGDnqfX
=EkoO
-----END PGP MESSAGE-----
-----BEGIN PGP MESSAGE-----
Version: GnuPG v1
hQEMAxAbQuD5tO+HAQf7BXI0gBBGYRTAoumFC31XIK5g95QUGqN8fR3AYtVLesP1
dz+W0SDM7cubdcqXZk5zXxntrThtTTgZpKwXvnlG3xpAl2wfAJsIC3eFMc5lr4l4
fWxMBbCIcrC22d2KsOMgNe49nl54AmGym8TI7sFg+yeZgeMTa5Y/hGuiMBBPcweo
wl7Mtvbxb7h6dzb1I9ut8vYk46SdtQk4FxGWrZ8dM2b2gvpiJmYPMJzgnvoPxxgs
sG9CxB/eMLuItjINjLNqNuQcsoGWSH1CgB003K4G6rZnWiro4/78kAuI37n/Ad/e
kDSABwa/j37AC60Ov+cnG+cwbWsxTdtmzrzdYK4qedJOAZtvDcZM/UcTX4jEaZip
QJFX1C92eD2d9VslReDJkR63Ou1EYBkKsfELwsyX3ncyXcpjag02DLY4tJ/9TIvG
qA1pqMVNv4doLXaaMuRl
=1AA3
-----END PGP MESSAGE-----
