¿Cómo puedo usar el cifrado FileVault y seguir rastreando mi computadora portátil si me la roban?

12

Durante los últimos días, he pasado bastante tiempo intentando descubrir cómo puedo combinar las claras ventajas de seguridad de los datos de cifrar mi máquina con FileVault 2 bajo Lion, y el potencial de recuperación de robo de programas como Undercover, Prey , o LoJack. El consenso general es que esto es básicamente un intercambio o una compensación, ya que cifrar su sistema evitará que un ladrón entre en él y, en consecuencia, evitar que incluso ejecute el software de seguimiento. Bajo el antiguo FileVault, podría haber dejado una cuenta de invitado de honeypot sin cifrar, pero eso tuvo algunos inconvenientes serios en la seguridad de los datos, ya que abrió la ruta a un ladrón inteligente que elude su cifrado en modo de usuario único. Obviamente, el nuevo FileVault no ofrece esa opción, aunque es posible que pueda encontrar un lugar con Find My Mac en iCloud, que aparentemente se ejecuta en la partición de recuperación.

¿Existe una solución mejor que verse obligado a elegir entre la seguridad de los datos y las herramientas de seguimiento?

    
pregunta hollandlef 05.02.2013 - 21:17

2 respuestas

12

Después de un poco de lío, resulta que hay un mejor compromiso que no parece estar claramente documentado en ningún lugar obvio, así que pensé que lo compartiría aquí. No creo que esto sea un duplicado, pero me complace ver que esta pregunta se ha cerrado si me he perdido algo.

El costo de la solución (que puede ser inaceptable para algunos) es que debe sacrificar aproximadamente 14 G de su unidad a una partición de honeypot. Los pasos que tomé son:

  1. Use la Utilidad de Discos para cambiar el tamaño de su partición de inicio para crear al menos 14.3G de espacio libre al final de la unidad. Si ya has habilitado FileVault, creo que esto significa que tendrás que apagarlo y esperar a que termine de descifrar primero.

  2. Cree una partición vacía, Mac OS Extendida, Revestida al final de su unidad, llenando el espacio libre.

  3. Para hacer que las cosas se vean un poco más convincentes, dale a tu nueva partición un nombre que sea más plausible que Macintosh HD (2): nombro el mío por mi nombre de host.

  4. Reinicia tu computadora y ejecuta el modo de recuperación manteniendo presionado Cmd-R mientras se inicia el sistema.

  5. Seleccione reinstalar el sistema operativo en el menú de recuperación y siga con la instalación. En algún lugar de la línea, tendrá la opción de seleccionar dónde instalar el sistema operativo. Usted quiere ponerlo en la nueva partición, obviamente. Debe ser solo lo suficientemente grande como para permitirle instalar Lion. Si no es así, tendrá que volver al menú de recuperación principal, reiniciar la Utilidad de Discos y cambiar el tamaño de las particiones nuevamente. Esto es un poco de mierda porque no terminas con tanto espacio libre como el tamaño especificado de la partición, pero al final llegarás.

  6. Completa la instalación de tu nueva copia de Lion. Desea configurar esto como un honeypot, por lo que:

    • Habilite el inicio de sesión automático que inicie sesión en una cuenta no administrativa con el mismo nombre de usuario que usa en su partición principal (para una mayor posibilidad)
    • Asegúrese de que su cuenta de administrador tenga una contraseña decente para que sea difícil que el ladrón se meta con su software de seguimiento si lo encuentra
    • No conecte nada a iCloud. Supongo que va a utilizar un servicio alternativo como Undercover, Prey o LoJack para ayudar a la recuperación, por lo que es una exposición más potencial y es mejor evitarlo.
  7. Instale el software de rastreo de su elección en la partición de honeypot. Fui con Undercover al final porque es un costo único y Prey está escrito en bash <shudder> .
  8. Evita que Corestoraged intente montar particiones cifradas en el inicio, por lo tanto sopla tu cubierta:

    sudo mkdir -p /System/Library/LaunchDaemons.Disabled
    sudo mv /System/Library/LaunchDaemons/com.apple.corestorage.corestoraged.plist /System/Library/LaunchDaemons.Disabled/com.apple.corestorage.corestoraged.plist
    

    (Un poco de pirateo, pero solo es un honeypot. Sugerencia de sombrero a los colaboradores aquí )

  9. Reinicia tu sistema. Deberá mantener presionada la tecla alt / opt mientras el sistema se inicia para abrir el menú de inicio. Seleccione su partición principal original para arrancar en su sistema principal.
  10. (Re) Habilite FileVault para esta partición y permita que se complete.
  11. Instale también su software de seguimiento en esta partición (esto funciona bien para Undercover, que identifica las máquinas por el número de serie de la dirección MAC, por lo que no importa en qué partición inicie)
  12. Establecer una contraseña de firmware. Si estás en un Mac anterior a 2011, este es solo un gesto simbólico, pero supongo que todo ayuda. Si tiene un Mac más nuevo, esta es una medida de seguridad seria, ya que las únicas opciones para evitarlo AFAIK es llevarlo a Apple o reemplazar físicamente un chip en la placa base.

Así que ahora, si apagas tu mac y lo arrancas desde frío, se iniciará en la partición de honeypot sin siquiera pedir una contraseña. Para un ladrón poco sofisticado, parecerá que tienen acceso a su máquina con solo reiniciarla. Existe la posibilidad de que su software de rastreo tenga la oportunidad de presentar un informe antes de que el ladrón se dé cuenta de que algo no está bien.

Cuando reinicies tu máquina, deberás recordar mantener presionada la tecla alt / opción para ingresar a tu sistema adecuado, en cuyo momento se te solicitará una contraseña para descifrarla. Suponiendo que tiene la configuración de bloqueo adecuada habilitada para una seguridad sensata, su máquina está bastante segura de que alguien pueda obtener datos privados confidenciales.

Si tiene un Mac reciente con la protección de firmware adecuada, el ladrón tendrá un tiempo excepcionalmente difícil al usar cualquier otra cosa que no sea la partición honeypot, y luchará para hacer algo particularmente útil incluso con eso, ya que no tiene derechos administrativos. Con un poco de suerte, cuando termine de frustrarse, la policía ya estará llamando a su puerta :-)

    
respondido por el hollandlef 05.02.2013 - 21:17
0

Esto no funciona con las utilidades de seguimiento de terceros que menciona, pero si configura FileVault 2 y también el servicio Find My Mac de iCloud, habilita la opción "Invitado" en la pantalla de autenticación previa al inicio de FV2. Si usa esta opción, se inicia en un modo solo de Safari (que se ejecuta desde la partición de recuperación, sin acceso al volumen de inicio cifrado). La idea aquí es que si alguien roba tu Mac, intenta tentarlos a que se conecten a Internet para que puedas rastrear / borrar / etc. tu Mac. Consulte este artículo de MacWorld para obtener más información .

    
respondido por el Gordon Davisson 24.05.2013 - 05:31

Lea otras preguntas en las etiquetas