Немногие знают, что зашифровать компьютер с помощью FileVault2 для гарантии безопасности совершенно недостаточно — в ряде случаев взлом шифрования займет всего пару часов и злоумышленник получит доступ к вашим данным. Для гарантии того, что FileVault2 защищает вас надежно, требуется выполнить пару нехитрых дополнительных действий и соблюдать несколько правил при использовании компьютера. В каких же случаях взлом FileVault2 под силу специалисту средней квалификации с соответствующим программным обеспечением, а в каких ваши данные под надежной защитой?
Нагляднее всего будет следующая схема:
Из этой схемы следует, что, если ваш Mac находится в спящем режиме или загрузка системы находится на этапе выбора пользователя (вне зависимости от того, был уже осуществлен вход в учётную запись пользователя или нет, главное что на предзагрузочном экране уже был введен пароль доступа к диску), у злоумышленника есть возможность вскрыть Filevault2 и получить доступ к данным на вашем компьютере.
Чтобы уберечь себя от подобных неприятностей, много времени не потребуется, достаточно изменить всего три параметра.
- Откройте меню Системные настройки → Пользователи и группы, нажмите кнопку «Параметры входа» под списком пользователей и снимите галочку с пункта «Показывать меню быстрого переключения пользователей…»
- Запустите Терминал из папки «Утилиты» и введите следующую команду:
sudo pmset -a destroyfvkeyonstandby 1 hibernatemode 25
После этого введите пароль учётной записи с правами администратора (при вводе он не будет отображаться в окне Терминала) и нажмите клавишу ⏎Enter. Таким образом вы измените сразу два параметра, заставив систему, во-первых, удалять ключ шифрования Filevault2 из оперативной памяти при переходе устройства в режим гибернации, а во-вторых, сразу записывать данные из RAM на жёсткий диск и отключать питание оперативной памяти на время сна.
В результате, каждый раз при выводе устройства из режима сна вам придется вводить пароль от своей учётной записи дважды — для получения доступа к диску и для входа в систему, что может показаться немного неудобным, зато безопасно.
А раз уж зашла речь о повышении уровня безопасности, если у вас на компьютере несколько пользователей, стоит убедиться, что включить его (войти в систему после включения питания или разбудить после «глубокого» сна) смогут только те пользователи, которым это действительно нужно. Проверить список пользователей, которым разрешено это действие, можно командой sudo fdesetup list
Если же вы хотите удалить пользователя из списка, введите
sudo fdesetup remove -user Username
где Username — короткое имя пользователя, которого вы хотите удалить из списка.
Добавить пользователя можно, открыв меню Системные настройки → Защита и безопасность → FileVault и нажав кнопку «Вкл.пользователей». Вы также можете сделать это и через Терминал. Для этого введите команду sudo fdesetup add -usertoadd Username
где Username – короткое имя пользователя, которому вы хотите дать право на доступ к диску. Вам также понадобится ввести пароль от учётной записи пользователя, у которого доступ к диску уже есть (или ключ шифрования, если вы его создавали при включении FileVault2), а также пароль пользователя, которого вы хотите добавить.
Для дополнительной защиты вашего компьютера вы также можете установить пароль прошивки, который позволит запуск системы только с выбранного вами загрузочного диска. более подробно о том, зачем это делать и каким образом пароль прошивки поможет вам защитить данные на вашем Mac, вы можете прочитать в одной из наших предыдущих статей.
- Выключите компьютер и при следующем его включении зажмите сочетание клавиш ⌘Command + R, чтобы запустить его в режиме восстановления.
- Перейдите в меню Утилиты → Утилита пароля прошивки.
- В открывшемся окне нажмите кнопку «Включить пароль прошивки».
- Введите пароль, который вы хотите установить, затем введите его повторно в строке «Проверка».
- Нажмите кнопку «Задать пароль», завершите работу Утилиты пароля прошивки и перезагрузите компьютер.
В результате, при обычном запуске вашего Mac вам необходимо ввести только пароль от своей учётной записи пользователя, однако при попытках запустить систему с другого диска или в режиме восстановления процесс загрузки будет прерван экраном со значком блокировки и полем для ввода пароля прошивки.
При утере пароля прошивки разблокировать ваш Mac в большинстве случаев получится только с помощью официального сервисного центра Apple, поэтому желательно его не забывать, а лучше записать и хранить в надёжном месте.
Обновление OS X 10.7.2 отключает прямой доступ к памяти для Firewire при выходе пользователя из системы, что снижает риск взлома, однако, если вход осуществлен, компьютер остается уязвимым. Также на компьютерах с архитектурой процессора Ivy Bridge (выпускающиеся с 2012 года) и OS X версии 10.8.2 и выше используется аппаратная виртуализация VT-D, которая успешно блокирует прямой доступ к памяти, даже когда пользователь уже осуществил вход в учётную запись.
Однако, если верить источнику, по состоянию на март 2015 года около 70% используемых устройств всё еще уязвимы для подобных атак, поэтому, во избежание неприятных сюрпризов, стоит перестраховаться. Осторожность никогда не бывает излишней, особенно если речь идёт о защите конфиденциальных данных.
Благодарим Тодда Гаррисона за оригинальный материал и Алексея Кирьянова за участие в подготовке данной статьи.