Доброго хабрадня!
Сегодня я расскажу вам, уважаемые хабралюди, о том, как хранить свои данные в облаке и не переживать за них. Точнее, я расскажу об интересной возможности сделать шифрованный образ диска в Mac OS X средствами самой системы.
Для опытных пользователей (коих прошу не судить слишком строго) в данном топике пользы нет, можете не отвлекаться. Но многим, я уверен, информация может пригодиться.
Итак, сейчас мы создадим зашифрованный образ с помощью Дисковой Утилиты и сохраним его на Яндекс.Диск (благо теперь он позволяет хранить шифрованные данные).
Для начала откроем Дисковую Утилиту. Для этого в лаунчере открываем папку «Утилиты» и находим там нужную программу. Теперь жмём «Новый образ».
Теперь настраиваем наш новый образ. Пусть он, для начала, будет иметь размер 500 метров. Мало? Ну так мы его сделаем растущим, дабы помещать туда данных сколько захотим. Кроме того (мы ведь шифровать хотим, да?), выбираем метод шифрования. Быстрый или надёжный. Ну и напоследок выбираем место хранения диска (то есть, папку Яндекс.Диска), имя для файла и имя для самого диска, которое будет отображаться в Finder.
Жмём кнопку «Создать» и вводим свою дату рождения свой хороший и надёжный пароль. Опционально, можем отключить запоминание этого пароля для улучшения секурности.
Всё! Образ диска готов, лежит в Яндексном облаке и зашифрован! Если Вы убрали галочку «Сохранить пароль» (или открыли свой Я.Диск на другом маке), то при попытке открыть файл mydata.sparseimage появится такой вот диалог ввода пароля:
Если пароль верен, то диск подключится и откроется в Finder.
Что ж, теперь можно открывать этот диск с любого мака, работать с его содержимым и не беспокоиться о безопасности данных. Единственное, что требует тестирования, это одновременная работа с образом из разных систем. Но, если учесть, что Я.Диск хранит файл только в облаке, больших проблем возникнуть не должно. То ли было бы с dropbox, хехе .
Ещё раз напоминаю: статья рассчитана на неопытных или нелюбознательных маководов и никак не претендует на инновационность. Посвящается облачной пятнице на хабре.
PS: У данного способа есть очевидный большой минус: работать с таким диском можно будет только на Mac OS X и точка. Никаких Windows/Linux/Android/iOS. Если Вы знаете хорошие кросплатформенные шифрованные диски - прошу отписаться.
Немногие знают, что зашифровать компьютер с помощью FileVault2 для гарантии безопасности совершенно недостаточно - в ряде случаев взлом шифрования займет всего пару часов и злоумышленник получит доступ к вашим данным. Для гарантии того, что FileVault2 защищает вас надежно, требуется выполнить пару нехитрых дополнительных действий и соблюдать несколько правил при использовании компьютера. В каких же случаях взлом FileVault2 под силу специалисту средней квалификации с соответствующим программным обеспечением, а в каких ваши данные под надежной защитой?
Нагляднее всего будет следующая схема:
Из этой схемы следует, что, если ваш Mac находится в спящем режиме или загрузка системы находится на этапе выбора пользователя (вне зависимости от того, был уже осуществлен вход в учётную запись пользователя или нет, главное что на предзагрузочном экране уже был введен пароль доступа к диску), у злоумышленника есть возможность вскрыть Filevault2 и получить доступ к данным на вашем компьютере.
Чтобы уберечь себя от подобных неприятностей, много времени не потребуется, достаточно изменить всего три параметра.
В результате, каждый раз при выводе устройства из режима сна вам придется вводить пароль от своей учётной записи дважды - для получения доступа к диску и для входа в систему, что может показаться немного неудобным, зато безопасно.
А раз уж зашла речь о повышении уровня безопасности, если у вас на компьютере несколько пользователей, стоит убедиться, что включить его (войти в систему после включения питания или разбудить после «глубокого» сна) смогут только те пользователи, которым это действительно нужно. Проверить список пользователей, которым разрешено это действие, можно командой sudo fdesetup list
Если же вы хотите удалить пользователя из списка, введите
sudo fdesetup remove -user Username
где Username
- короткое имя пользователя, которого вы хотите удалить из списка.
Добавить пользователя можно, открыв меню Системные настройки → Защита и безопасность → FileVault и нажав кнопку «Вкл.пользователей».
Вы также можете сделать это и через Терминал
. Для этого введите команду sudo fdesetup add -usertoadd Username
где Username
— короткое имя пользователя, которому вы хотите дать право на доступ к диску. Вам также понадобится ввести пароль от учётной записи пользователя, у которого доступ к диску уже есть (или ключ шифрования, если вы его создавали при включении FileVault2
), а также пароль пользователя, которого вы хотите добавить.
Для дополнительной защиты вашего компьютера вы также можете установить пароль прошивки, который позволит запуск системы только с выбранного вами загрузочного диска. более подробно о том, зачем это делать и каким образом пароль прошивки поможет вам защитить данные на вашем Mac, вы можете прочитать в одной из наших .
В результате, при обычном запуске вашего Mac вам необходимо ввести только пароль от своей учётной записи пользователя, однако при попытках запустить систему с другого диска или в режиме восстановления процесс загрузки будет прерван экраном со значком блокировки и полем для ввода пароля прошивки.
При утере пароля прошивки разблокировать ваш Mac в большинстве случаев получится только с помощью официального сервисного центра Apple, поэтому желательно его не забывать, а лучше записать и хранить в надёжном месте.
Обновление OS X 10.7.2 отключает прямой доступ к памяти для Firewire при выходе пользователя из системы, что снижает риск взлома, однако, если вход осуществлен, компьютер остается уязвимым. Также на компьютерах с архитектурой процессора Ivy Bridge (выпускающиеся с 2012 года) и OS X версии 10.8.2 и выше используется аппаратная виртуализация VT-D, которая успешно блокирует прямой доступ к памяти, даже когда пользователь уже осуществил вход в учётную запись.
Однако, если верить , по состоянию на март 2015 года около 70% используемых устройств всё еще уязвимы для подобных атак, поэтому, во избежание неприятных сюрпризов, стоит перестраховаться. Осторожность никогда не бывает излишней, особенно если речь идёт о защите конфиденциальных данных.
Благодарим Тодда Гаррисона за оригинальный материал и за участие в подготовке данной статьи.
Я, как и у многие люди, связанные с системным администрированием, немного параноик. Я считаю, что мои данные хотят украсть. Пусть они реально никому, кроме меня (“и множества злоумышленников, которые спят и видят, как получить мои фотографии, подборку музыки и фильмов, и…”, — это слова моего внутреннего параноика) и не нужны, но защититься не помешает.
Что произойдёт, если ноутбук украдут?
Самый простой случай — вор сразу же переформатирует диск и поставит чистую версию операционной системы. Останется купить новый ноутбук, восстановиться из Time Machine и спокойно продолжить работу. Этот сценарий характерен для умного вора, который знает о функции ”Find My Mac ” и о системе Pray .
Но есть другой случай — вор или глуп, или любопытен. Если глуп, то начнёт пользоваться ноутбуком, не трогая систему. Недавняя история поимки такого вора описана в статье ”Why you don’t steal from a hacker ”. Всё закончилось плачевно для вора и отлично для владельца ноутбука.
Если вор любопытен и умён, то сразу же отключит сетевые интерфейсы, чтобы даже случайно система не вышла в Интернет, и начнёт изучать, чем бы можно поживиться.
Начнёт изучать документы, ключи доступа, попробует добраться до Keychain, посмотрит историю команд в shell и возможно наткнётся на пароль (в моей практике был случай, когда очень быстрый коллега в сессии излишне любопытного пользователя вбивал пароль администратора, но вбил не в поле запроса пароля, а просто в shell, и пароль администратора попал в.history). Пароль в клиническом случае может быть единым для системы и для базы 1Password. Можно дальше не продолжать. А дальше — или проникновение, или шантаж.
Надеюсь, вы не думаете, что запрос пароля при входе в систему кого-то остановит? Firmware Password (по крайней мере раньше) сбрасывался фокусом с вынимаем одной из нескольких планок памяти, а затем очисткой PRAM. Потом — single user mode, пара команд , и пароль изменён. Если же не хочется возиться с Firmware Password, то диск вынимается из ноутбука, подключается к другому компьютеру и доступ ко всем данным получен.
Для защиты от описанной ситуаций был реализован FileVault. В первой версии пользовательский домашний каталог помещался в зашифрованный контейнер (sparse bundle image), ключом к которому служил пользовательский пароль. Не зная пароля, контейнер невозможно было открыть. Не нужно исключать возможность угадывания пароля, но если пароль был сложным, то данные были в полной безопасности.
За безопасность нужно платить. Для того, чтобы сделать резервную копию данных в Time Machine, нужно было выйти из учётной записи. Сделать выборочное восстановление через интерфейс Time Machine было нельзя. Включение шифрования ухудшало производительность файловых операций порой на 50%. Были и другие мелкие сложности.
В OS X Lion вошла улучшенная версия — FileVault 2 , система шифрования полного диска, использующая алгоритм XTS-AES 128.
В процессе изучения вопроса я обращался к статьям MacFixIt ”About FileVault 2 in OS X 10.7 Lion ” и ArsTechnica ”File system changes in Lion ”.
Желающие разобраться с математическими моделями могут прочитать документ ”IEEE P1619TM/D16 Standard for Cryptographic Protection of Data on Block-Oriented Storage Devices ” и ”Не такой уж ты и страшный, XTS-AES ”.
Незашифрованными остаются раздел с EFI и Recovery HD:
$ diskutil list /dev/disk0 #: TYPE NAME SIZE IDENTIFIER 0: GUID_partition_scheme *160.0 GB disk0 1: EFI 209.7 MB disk0s1 2: Apple_CoreStorage 159.2 GB disk0s2 3: Apple_Boot Recovery HD 650.0 MB disk0s3
- После инициализации “железа” EFI находит Recovery HD и передаёт управление загрузчику /System/Library/CoreServices/boot.efi, находящемуся на этом разделе.
- У загрузчика есть два варианта — запустить EfiLoginUI из com.apple.boot.x и показать стартовый экран с запросом пароля входа, или же, если была нажата комбинация Option-R — оболочку восстановления системы из com.apple.recovery.boot.
- Ключи для расшифровки диска хранится в файле EncryptedRoot.plist.wipekey в каталоге /com.apple.boot.x/System/Library/Caches/com.apple.corestorage. Пользовательский пароль расшифровывает ключи к диску, находящийся в этом файле. Дальше они хранится в памяти, расшифровка содержимого диска производится “на лету”. Каждый раз при изменении пользовательского пароля, добавлении нового пользователя и подобных операциях EncryptedRoot.plist.wipekey перегенерируется.
FileVault работает и для пользователей, входящих через OpenDirectory — их аттрибуты доступа кешируются на случай отсутствия соединения с сервером каталогов.
Производительность дисковых операций при включенном FileVault 2 согласно тестам Anandtech ухудшается не более, чем на 20-30%, что вполне приемлемо. Однако стоит учитывать, что есть зависимость от процессора и диска . Новые процессоры Intel используют наборы инструкций AES-NI для ускорения работы с AES Intel® Advanced Encryption Standard Instructions (AES-NI) и с шифрованием диска справляются лучше, чем старые процессоры Core 2 Duo. Решение каждый принимает сам на основании собственного железа.
При краже Mac’а получить доступ к данным будет практически невозможно (при условии сложного пароля и неочевидных ответов на вопросы восстановления ключа в Apple). Придётся просто купить новый Mac и особо не беспокоиться о компрометации паролей и использовании данных.
Time Machine работает теперь без необходимости выхода из учётной записи. Теперь нужно беречь данные Time Machine, а лучше размещать их в зашифрованном разделе (как это сделать, описано в статье Mac OS X Lion FileVault 2 and Time Machine External Drive Encryption).
Из “особенностей” нужно помнить, что при загрузке с зажатым Option раздел “Recovery HD” будет недоступен, для загрузки с него нужно удерживать комбинацию клавиш Command-R.
Активация
Активация FileVault 2 проста. System Preferences/Security & Privacy/FileVault, Click the lock to make changes, Turn On FileVault. Обязательно нужно в надёжном и обязательно зашифрованном месте сохранить ключ и ответы на вопросы восстановления ключа (если выбрали его сохранение в Apple). Система предложит перезагрузиться. Сразу же при загрузке будет запрошен ваш пароль и после входа вы сразу же сможете работать. Ждать часами завершения шифрования раздела не нужно, эта операция производится в фоновом режиме пока вы полноценно работаете:
С запуском iCloud появится возможность “Find My Mac”, в которой по аналогии с “Find My iPhone/iPad” при появлении Mac в сети можно отобразить сообщение с воспроизведением звукового сигнала, заблокировать Mac или даже уничтожить содержимое зашифрованного диска (могу предположить, что удаляются ключи шифрования и диск становится бесполезным массивом данных).
Большинство пользователей Mac для защиты своих данных и файлов от несанкционированного доступа пользуются паролем для входа в систему. Однако так ли это безопасно, как принято считать? Как оказалось, не совсем. Есть много способов, которые позволяют сбросить пароль, предоставляя возможность получить доступ ко всей информации, которая хранится на вашем Mac. Впрочем, решение этой проблемы есть - FileVault. О нем мы сегодня и поговорим.
Что такое FileVault
FileVault - это система шифрования данных, которая использует алгоритм XTS-AES-128 с длиной ключа 256 бит, что обеспечивает крайне высокий уровень безопасности. Сам ключ шифрования вырабатывается на основе пароля пользователя при помощи алгоритма PBKDF2. Вся информация в дальнейшем будет храниться фрагментами по 8 МБ.
Как ни странно, но функция работает достаточно просто - все данные копируются на зашифрованный образ диска, а затем удаляются из незащищенного пространства. После того как первичная обработка данных завершена, далее новые файлы будут шифроваться «на лету» в фоновом режиме. Есть поддержка Instant Wipe, которая позволяет безопасно затереть всю информацию на диске без возможности восстановления. Кроме того, этот инструмент предоставляет возможность шифрования резервных копий Time Machine.
Как работает FileVault
При первой настройке для защиты от утери пароля создается ключ восстановления, который необходимо обязательно запомнить, поскольку в случае утери кода восстановить данные будет нельзя. В качестве альтернативы можно настроить сброс пароля, используя учетную запись iCloud.
После того как мы активировали FileVault, процесс загрузки компьютера меняется для обеспечения безопасности. Если раньше пароль нужно было вводить после загрузки учетной записи, то теперь это происходит до, что исключает даже потенциальную возможность сброса пароля пользователя любым из известных способов (Single User Mode, загрузка с внешнего носителя и другие методы).
Почему стоит использовать FileVault
Пароля пользователя явно недостаточно для обеспечения полной безопасности и конфиденциальности. При наличии физического доступа к компьютеру сброс пароля - лишь вопрос времени. В случае же с шифрованием можно быть уверенным, что доступ к данным никто не получит. Кроме того, утилита разработана Apple и уже встроена в систему, что говорит о полной интеграции с системой.
Еще плюсом можно отметить то, что объём данных до и после шифрования не меняется.
Какие есть недостатки
Шифрование с помощью FileVault достаточно серьезно влияет на производительность Mac.
Нельзя восстановить данные, если забыты пароль и ключ восстановления.
В случае поломки накопителя данные также будут утеряны навсегда.
Повышенная безопасность данных в Apple Mac - один из важных критериев, по которым пользователи выбирают данную технику, по сравнению с аналогами. Хотя в последнее время все больше говорят о том, что для macOS появляются новые вредоносные программы, все же по сравнению с устройствами на Windows - показатель взломов и заражения вирусами на порядок ниже. Кроме того, MacBook, iMac, Mac mini и другие компьютеры намного лучше защищены от несанкционированного входа, взлома, подбора пароля и др.
FileVault включать или нет?
Для защиты данных на диске в системе macOS встроена специальная утилита шифрования FileVault (на данный момент версия 2). Работу программы можно упрощенно описать так: пароль входа шифруется алгоритмом XTS-AES-128 с 256-битным ключом, то есть вся информация хранится небольшими фрагментами по 8 Мб. Таким образом, подобрать пароль, даже имея физический доступ к Мак просто невозможно. В истории существовали прецеденты когда даже специализированные службы не могли получить доступ к информации, используя огромные вычислительные мощности.
Данная функция будет полезна всем, кто хранит на компьютере конфиденциальные данные, личную секретную информацию и др. В новых Mac оснащенных , безопасность входа еще более повышается, так как процедура входа обрабатывается без подключения к диску.
Как включить FileVault на Мак?
Для включения шифрования перейдите в «Системные настройки» - «Защита и безопасность» - «FileVault». Нажимаем замочек, чтоб разблокировать, включаем функцию и выбираем вариант сброса пароля. По умолчанию их всего два: с помощью Apple ID через iCloud, или с помощью сгенерированного ключа восстановления, который нужно обязательно запомнить/записать. После перезагрузки компьютера диск будет шифроваться «на лету».
Как отключить (остановить) FileVault? Опасность и недостатки шифрования
Для отключения FileVault перейдите в «Системные настройки» - «Защита и безопасность» - «FileVault». Разблокируйте настройку нажатием на замочек. Выберите «Выключить FileVault». Необходимо выждать некоторое время для дешифровки (не отключайте компьютер).
В случае с шифрованием данных, существует и обратная сторона медали. Несмотря на высокую безопасность, будьте готовы столкнуться и с недостатками данного вида защиты. Из самых безобидных - система может начать работать несколько медленнее. Второе, - если вы забудете, потеряете ключ восстановления пароля (и сам пароль) - войти в систему уже будет невозможно. Тоже самое произойдет, если диск повредится, в таком случае восстановить данные не получится. Ну и напоследок, при восстановлении системы из Time Machine, отдельный файл не получится восстановить, только полностью всю систему.
Выводы
