¿Cómo puedo usar el cifrado de FileVault y seguir mi computadora portátil si me la roban?

11

He pasado bastante tiempo en los últimos días tratando de descubrir cómo puedo combinar las ventajas claras de seguridad de datos de cifrar mi máquina con FileVault 2 en Lion, y el potencial de recuperación de robo de programas como Undercover, Prey o LoJack . El consenso general es que esto es básicamente una o una compensación, ya que cifrar su sistema evitará que un ladrón entre en él y, en consecuencia, evitará que incluso ejecute el software de seguimiento. Bajo el antiguo FileVault, podría haber dejado una cuenta de invitado honeypot sin cifrar, pero eso vino con algunas desventajas serias de seguridad de datos, porque abrió la ruta a un ladrón inteligente que eludió su cifrado en modo de usuario único. Obviamente, la nueva FileVault no ofrece esa opción, aunque potencialmente puede llegar a algún lugar con Find My Mac en iCloud,

¿Existe una solución mejor que verse obligado a elegir entre seguridad de datos y herramientas de seguimiento?

hollandlef
fuente

Respuestas:

11

Después de jugar un poco, resulta que hay un mejor compromiso que no parece estar claramente documentado en ningún lugar obvio, así que pensé en compartirlo aquí. No creo que esto sea un duplicado, pero estoy feliz de ver esta pregunta cerrada si me he perdido algo.

El costo de la solución (que puede ser inaceptable para algunos) es que debe sacrificar aproximadamente 14G de su unidad a una partición honeypot. Los pasos que tomé son:

  1. Use la Utilidad de Discos para cambiar el tamaño de su partición de arranque para crear al menos 14.3G de espacio libre al final de la unidad. Si ya ha habilitado FileVault, creo que esto significa que tendrá que apagarlo y esperar a que termine de descifrar primero.

  2. Cree una partición vacía, con registro extendido y Mac OS al final de la unidad que ocupa el espacio libre.

  3. Para que las cosas se vean un poco más convincentes, dale a tu nueva partición un nombre que sea más plausible que Macintosh HD (2): nombro el mío después de mi nombre de host.

  4. Reinicie su computadora e inicie en modo de recuperación manteniendo presionado Cmd-R mientras se inicia el sistema.

  5. Seleccione reinstalar el SO en el menú de recuperación y continúe con la instalación. En algún lugar a lo largo de la línea, tendrá la opción de seleccionar dónde instalar el sistema operativo. Desea ponerlo en la nueva partición, obviamente. Debería ser lo suficientemente grande como para permitirle instalar Lion. Si no es así, tendrá que volver al menú principal de recuperación, inicie Disk Utility y cambie el tamaño de las particiones nuevamente. Esto es un poco complicado porque no terminas con tanto espacio libre como el tamaño especificado de la partición, pero al final llegarás allí.

  6. Complete la instalación de su nueva copia de Lion. Desea configurar esto como un honeypot, entonces:

    • Habilite el inicio de sesión automático que inicia sesión en una cuenta no administrativa con el mismo nombre de usuario que usa en su partición principal (para mayor plausibilidad)
    • Asegúrese de que su cuenta de administrador tenga una contraseña decente para que sea difícil para el ladrón meterse con su software de rastreo si lo encuentra
    • No conecte nada a iCloud: supongo que va a usar un servicio alternativo como Undercover, Prey o LoJack para ayudar a la recuperación, por lo que es más exposición potencial y es mejor evitarlo.
  7. Instale el software de seguimiento de su elección en la partición honeypot. Fui con Undercover al final porque es un costo único y Prey está escrito en bash <shudder>.
  8. Evite que corestoraged intente montar particiones cifradas en el inicio, lo que arruina su cobertura:

    sudo mkdir -p /System/Library/LaunchDaemons.Disabled
    sudo mv /System/Library/LaunchDaemons/com.apple.corestorage.corestoraged.plist /System/Library/LaunchDaemons.Disabled/com.apple.corestorage.corestoraged.plist
    

    (Un poco hack, pero es solo un honeypot. Hat tip para los contribuyentes aquí )

  9. Reinicie su sistema. Deberá mantener presionada la tecla alt / opt mientras el sistema arranca para que aparezca el menú de arranque. Seleccione su partición principal original para iniciar en su sistema principal.
  10. (Re) Habilite FileVault para esta partición y permita que se complete.
  11. Instale también su software de seguimiento en esta partición (esto funciona bien para Undercover, que identifica las máquinas por el número de serie de la dirección MAC, por lo que no le importa en qué partición arranque)
  12. Establecer una contraseña de firmware. Si está en una Mac anterior a 2011, esto es solo un gesto simbólico, pero supongo que cada pequeña ayuda. Si tiene una Mac más nueva, esta es una medida de seguridad seria, ya que las únicas opciones para eludirla AFAIK son llevarla a Apple o reemplazar físicamente un chip en la placa base.

Entonces, si apaga su Mac y lo inicia desde frío, se iniciará en la partición honeypot sin siquiera pedir una contraseña. Para un ladrón poco sofisticado, parecerá que tienen acceso a su máquina simplemente reiniciando. Existe la posibilidad de que su software de rastreo tenga la oportunidad de presentar un informe antes de que el ladrón se dé cuenta de que algo no está bien.

Cuando reinicie su máquina, deberá recordar mantener presionada la tecla alt / opción para ingresar a su sistema adecuado, en ese momento se le pedirá una contraseña para descifrarla. Suponiendo que tiene la configuración de bloqueo adecuada habilitada para una seguridad sensible, su máquina es tolerablemente segura contra alguien que se apodera de datos privados confidenciales.

Si tiene una Mac reciente con la protección de firmware adecuada, el ladrón tendrá un tiempo excepcionalmente difícil para usar cualquier otra cosa que no sea la partición honeypot, y tendrá dificultades para hacer algo particularmente útil incluso con eso, ya que no tiene derechos administrativos. Con suerte, para cuando termine de frustrarse, la policía ya estará llamando a su puerta :-)

hollandlef
fuente
0

Esto no funciona con las utilidades de seguimiento de terceros que menciona, pero si configura FileVault 2 y también el servicio Find My Mac de iCloud, habilita la opción "Invitado" en la pantalla de autenticación previa al arranque de FV2. Si usa esta opción, se inicia en un modo exclusivo de Safari (que se ejecuta desde la partición de recuperación, sin acceso al volumen de inicio cifrado). La idea aquí es que si alguien roba su Mac, intenta tentarlo para que se conecte a Internet para que pueda rastrear / borrar / etc. su Mac. Vea este artículo de MacWorld para más información .

Gordon Davisson
fuente