Bagaimana saya bisa menggunakan enkripsi FileVault dan masih melacak laptop saya jika dicuri

11

Saya telah menghabiskan beberapa waktu selama beberapa hari terakhir mencoba mencari cara bagaimana saya dapat menggabungkan keuntungan keamanan data yang jelas dari mengenkripsi mesin saya dengan FileVault 2 di bawah Lion, dan potensi pencurian-pemulihan program seperti Undercover, Prey, atau LoJack . Konsensus umum adalah bahwa ini pada dasarnya adalah salah satu atau salah satu tradeoff, karena mengenkripsi sistem Anda akan mencegah pencuri masuk ke dalamnya, dan akibatnya mencegahnya dari bahkan menjalankan perangkat lunak pelacakan. Di bawah FileVault lama, Anda bisa membiarkan akun tamu honeypot tidak terenkripsi, tetapi itu datang dengan beberapa kelemahan keamanan data yang serius, karena membuka rute ke pencuri pintar yang menghindari enkripsi Anda dalam mode pengguna tunggal. FileVault yang baru jelas tidak memberikan opsi itu, meskipun berpotensi Anda dapat pergi ke suatu tempat dengan Find My Mac di iCloud,

Apakah ada solusi yang lebih baik daripada dipaksa untuk memilih antara keamanan data dan alat pelacak?

hollandlef
sumber

Jawaban:

11

Setelah sedikit mengacau, ternyata ada kompromi yang lebih baik yang tampaknya tidak terdokumentasi dengan jelas di manapun, jadi saya pikir saya akan membagikannya di sini. Saya tidak percaya ini adalah duplikat tapi saya senang melihat pertanyaan ini ditutup jika saya melewatkan sesuatu.

Biaya solusi (yang mungkin tidak dapat diterima oleh sebagian orang) adalah Anda harus mengorbankan sekitar 14G drive Anda ke partisi honeypot. Langkah-langkah yang saya ambil adalah:

  1. Gunakan Disk Utility untuk mengubah ukuran partisi boot Anda untuk membuat setidaknya 14,3G ruang kosong di akhir drive. Jika Anda sudah mengaktifkan FileVault, saya yakin ini berarti Anda harus mematikannya dan menunggu sampai selesai mendekripsi terlebih dahulu.

  2. Buat partisi kosong, Mac OS Extended, Journalled di akhir drive Anda mengisi ruang kosong.

  3. Agar segalanya terlihat lebih meyakinkan, berikan nama baru pada partisi baru Anda yang lebih masuk akal daripada Macintosh HD (2) - Saya beri nama saya setelah nama host saya.

  4. Nyalakan kembali komputer Anda dan luncurkan ke mode pemulihan dengan menahan Cmd-R saat sistem melakukan booting.

  5. Pilih instal ulang OS dari menu pemulihan, dan ikuti instalasi. Di suatu tempat di sepanjang garis Anda akan mendapatkan opsi untuk memilih tempat menginstal OS. Anda ingin meletakkannya di partisi baru, tentu saja. Seharusnya cukup besar untuk membiarkan Anda menginstal Lion. Jika tidak, Anda harus keluar kembali ke menu pemulihan utama, jalankan Disk Utility dan ubah ukuran partisi lagi. Ini sedikit omong kosong karena Anda tidak berakhir dengan ruang kosong sebanyak ukuran partisi yang ditentukan, tetapi pada akhirnya Anda akan sampai di sana.

  6. Selesaikan pemasangan Lion baru Anda. Anda ingin mengatur ini sebagai honeypot, jadi:

    • Aktifkan login otomatis yang masuk ke akun non-administratif dengan nama pengguna yang sama seperti yang Anda gunakan pada partisi utama Anda (untuk masuk akal ditambahkan)
    • Pastikan akun admin Anda memiliki kata sandi yang layak untuk mempersulit pencuri mengacaukan perangkat lunak pelacakan Anda jika ia menemukannya
    • Jangan menghubungkan apa pun dengan iCloud - Saya berasumsi Anda akan menggunakan layanan alternatif seperti Undercover, Prey atau LoJack untuk membantu pemulihan, jadi itu hanya paparan yang lebih potensial dan sebaiknya dihindari.
  7. Instal perangkat lunak pelacakan pilihan Anda di partisi honeypot. Saya pergi dengan Undercover pada akhirnya karena itu biaya sekali pakai dan Prey ditulis dalam bash <shudder>.
  8. Cegah agar tidak mencoba untuk me-mount partisi terenkripsi pada startup, sehingga meniup penutup Anda:

    sudo mkdir -p /System/Library/LaunchDaemons.Disabled
    sudo mv /System/Library/LaunchDaemons/com.apple.corestorage.corestoraged.plist /System/Library/LaunchDaemons.Disabled/com.apple.corestorage.corestoraged.plist
    

    (Sedikit peretasan, tapi itu hanya honeypot. Tip untuk para kontributor di sini )

  9. Mulai ulang sistem Anda. Anda harus menahan alt / opt saat sistem melakukan boot untuk memunculkan menu boot. Pilih partisi utama asli Anda untuk boot ke sistem utama Anda.
  10. (Re) Aktifkan FileVault untuk partisi ini dan biarkan selesai.
  11. Instal perangkat lunak pelacakan Anda di partisi ini juga (ini berfungsi dengan baik untuk Undercover, yang mengidentifikasi mesin dengan nomor seri alamat MAC, sehingga tidak peduli dengan partisi mana Anda boot)
  12. Tetapkan kata sandi firmware. Jika Anda menggunakan mac pra-2011 ini hanya isyarat, tapi saya kira setiap sedikit membantu. Jika Anda memiliki mac yang lebih baru, ini adalah langkah pengamanan yang serius, karena satu-satunya pilihan untuk menghindarinya adalah AFAIK membawanya ke Apple atau secara fisik mengganti sebuah chip pada motherboard.

Jadi sekarang, jika Anda mematikan mac dan mem-boot-nya dari dingin, itu akan mem-boot ke partisi honeypot tanpa meminta kata sandi. Untuk pencuri yang tidak canggih, sepertinya mereka memiliki akses ke mesin Anda hanya dengan me-reboot-nya. Ada kemungkinan besar bahwa perangkat lunak pelacakan Anda akan memiliki kesempatan untuk mengajukan laporan sebelum pencuri menyadari bahwa ada sesuatu yang tidak beres.

Ketika Anda me-reboot mesin Anda, Anda harus ingat untuk menahan tombol alt / option untuk masuk ke sistem yang tepat, di mana Anda akan diminta kata sandi untuk mendekripsi. Dengan asumsi bahwa Anda memiliki pengaturan penguncian yang sesuai diaktifkan untuk keamanan yang masuk akal, mesin Anda cukup aman terhadap seseorang yang mendapatkan data pribadi yang sensitif.

Jika Anda memiliki mac baru-baru ini dengan perlindungan firmware yang tepat, pencuri akan memiliki waktu yang sangat sulit menggunakan apa pun selain partisi honeypot, dan akan berjuang untuk melakukan sesuatu yang sangat berguna bahkan dengan itu, karena ia tidak memiliki hak administratif. Dengan sedikit keberuntungan, pada saat dia selesai merasa frustrasi dengan itu polisi sudah akan mengetuk pintu :-)

hollandlef
sumber
0

Ini tidak berfungsi dengan utilitas pelacakan pihak ketiga yang Anda sebutkan, tetapi jika Anda mengatur FileVault 2 dan juga layanan Find My Mac iCloud, ini memungkinkan opsi "Tamu" di layar otentikasi preboot FV2. Jika Anda menggunakan opsi ini, ia melakukan booting ke mode khusus Safari (berjalan dari partisi Pemulihan, tanpa akses ke volume startup yang dienkripsi). Idenya di sini adalah bahwa jika seseorang mencuri Mac Anda, ia mencoba untuk menggoda mereka agar menghubungkannya ke internet sehingga Anda dapat melacak / menghapus / dll Mac Anda. Lihat artikel MacWorld ini untuk info lebih lanjut .

Gordon Davisson
sumber