3 μηνύματα σε αυτό το θέμα

[giodis]

Ένα θέμα που ίσως πρέπει να απασχολήσει νέους χρήστες Mac computers κι όχι μόνο είναι η ασφάλεια του μηχανήματος, ιδιαίτερα σε χρήση του εκτός κατοικίας.

 

Πιο κάτω παρουσιάζονται οι διαθέσιμες διατάξεις ασφάλειας, όμως όπως και να έχει συνιστάται και λήψη των προληπτικών μέτρων·

 

α. Η καταγραφή των passwords εκτός μηχανήματος.

β. Η ενεργοποίηση του Time Machine backup. 

γ. Η ενεργοποίηση του Two factor authentication for Apple ID. 

δ. Η ενεργοποίηση του Find My Mac. 

 

1. FileVault

 

Μπορεί να χαρακτηρισθεί σαν η κορυφαία επιλογή μιας και φαίνεται να διασφαλίζει την απόλυτη προστασία του μηχανήματος, με χρήση XTS-AES-128 encryption με ένα 256-bit κλειδί. Για ενεργοποίηση του ανατρέχετε το support article·  Use FileVault to encrypt the startup disk on your Mac, εφ΄ όσον τρέχετε  την version 10.7 OS Χ Lion ή νεότερη.

 

▲ Στον αντίποδα υπάρχουν αναφορές για ψεγάδια, που ενδεικτικά μπορείτε να αναζητήσετε εδώ. 

 

2. Admin ή login password

 

Το καθορίζετε κατά το αρχικό setup του μηχανήματος, ενώ στη συνέχεια ζητείται σε κάθε άνοιγμα του.

 

 1&11.png   32,69KB   10 λήψεις

 

Ενώ απενεργοποιείται, όποτε το θελήσετε.

 

Πηγαίνετε  > System Preferences > Users & Groups, click το λουκέτο, πιστοποιηθείτε > Login Options, από την drop-down λίστα του "Automatic Login" επιλέγετε το admin account σας, πιστοποιηθείτε και ΟΚ.

 

 2.jpg   59,32KB   9 λήψεις

 

Αν τυχόν έχετε λησμονήσει το password·

 

α. Σε versions μέχρι και την 10.11 El Capitan

 

 Power on το μηχάνημα με πατημένα τα πλήκτρα command-R για boot στο Recovery Partition > Utilities > Terminal, 

 

 3.jpg   11,41KB   9 λήψεις

 

πληκτρολογείτε resetpassword και Enter.

 

 4.jpg   15,8KB   9 λήψεις

 

Επιλέγετε τον Macintosh HD και από την drop-down λίστα του "Select the user account" επιλέγετε το admin account σας. Πληκτρολογείτε ένα password της αρεσκείας σας, το επιβεβαιώνετε και Save.

 

 5.jpg   33,68KB   9 λήψεις

 

 > Restart οπότε ολοκληρώνεται η διαδικασία, ενώ μπορείτε πλέον να κάνετε login με το νέο password.

 

▲ Προφανώς, στις versions, το password δεν προσφέρει καμία προστασία.

 

β. Σε versions Sierra και νεότερες

 

Ακολουθείτε την ίδια διαδικασία, όμως μετά το resetpassword προκύπτει πλέον η οθόνη, επιλέγετε το admin account > Next.

 

 6.jpg   205,42KB   9 λήψεις

 

Πληκτρολογείτε την Apple ID σας και ακολουθείτε τις οδηγίες στην οθόνη.

 

 7.jpg   179,03KB   6 λήψεις

 

Ενδέχεται (σε συνάρτηση με την version) να αναδυθεί η επιβεβαίωση με παρατηρήσεις για το Keychain Access, click OK.

 

 8.jpg   73,88KB   3 λήψεις

 

Όμως, μπορεί στη συνέχεια να προκύψουν pop-ups της μορφής. Μπορείτε να ζητήσετε βοήθεια για αποκατάσταση.

 

 9.jpg   28,04KB   3 λήψεις

 

▲ Με την εμπλοκή της Apple ID και ιδιαίτερα σε ενεργοποίηση του "two factor authentication", το μηχάνημα είναι πλέον ασφαλές στον μέγιστο βαθμό.

 

3. Κλείδωμα (lock) της οθόνης

 

Είναι μια βολική επιλογή σε εργασιακό περιβάλλον, αφού σε επακόλουθο ξεκλείδωμα το σύστημα επανέρχεται στην οθόνη που το είχατε αφήσει. 

 

Πηγαίνετε  > System Preferences > Security & Privacy  > General, click το λουκέτο κάτω αριστερά και πιστοποιηθείτε. Τικάρετε το box "Require password", ενώ από την drop-down λίστα επιλέγετε τον χρόνο ενεργοποίησης κατά κρίση.

 

 10.jpg   58,05KB   2 λήψεις

 

Πάντα στα System Preferences > Mission Control > Hot Corners και από τις drop-down λίστες έχετε τις επιλογές > ΟΚ. Όταν στην συνέχεια πάτε τον κέρσορα στην επιλογή που εξυπηρετεί καλύτερα, η οθόνη κλειδώνει πλέον άμεσα.

 

 11.jpg   65,92KB   2 λήψεις

 

Όταν πατήσετε για παράδειγμα το space bar θα εμφανισθεί η οθόνη, πιστοποιηθείτε και επανέρχεστε στην τελευταία ενεργή οθόνη.

 

 1&11.png   32,69KB   2 λήψεις

 

Για κατάργηση του κλειδώματος, ξετικάρετε το box "Require password".

 

Click Turn Off Screen Lock.

 

 12.jpg   24,5KB   2 λήψεις

 

Click Keep Using Keychain.

 

 13.lpg.jpg   29,66KB   2 λήψεις

 

▲ Περιορίζεται μόνο στον αποκλεισμό "αδιάκριτων ματιών".

 

4. Firmware Password

 

Δεν επιτρέπει boot στο μηχάνημα από εξωτερικά media (flash drives, CDs, USB disks). Το ίδιο ισχύει και σε boot μέσω του Startup Manager, του Recovery Partition και του Internet Recovery.

 

Ακόμη δεν επιτρέπει boot σε safe mode, single-user mode, verbose-mode, target disk mode. Ενώ δεν μπορεί να τρέξει η ρουτίνα reset της NVRAM.

 

Όταν το password είναι  ενεργοποιημένο λοιπόν  και προσπαθήσει  κανείς για boot με μια από τις προαναφερόμενες πρακτικές, προκύπτει το λουκέτο.

 

 14.jpg   2,21KB   2 λήψεις

 

Για setup του, startup με πατημένα τα πλήκτρα command-R για boot στο Recovery Partition > Utilities > Boot Security Utility.

 

 15.jpg   11,52KB   2 λήψεις

 

Turn On Firmware Password.

 

 16.jpeg   13,19KB   2 λήψεις

 

Set Password.

 

 17.jpeg   15,31KB   2 λήψεις

 

Quit Boot Security Utility.

 

 18.jpeg   11,65KB   2 λήψεις

 

Για απενεργοποίηση·

 

 19.jpeg   13,17KB   2 λήψεις

.

 20.jpeg   13,19KB   2 λήψεις

 

✓ Επισημάνσεις:

 

α. Το μηχάνημα μπορεί να ξεκλειδωθεί -με πιστοποίηση κτήσης του- μόνο σε εξουσιοδοτημένο service με χρήση κωδικού της Apple.

 

• MacBook Air (Late 2010 and later)

• MacBook Pro (Early 2011 and later)

• MacBook Pro with Retina display (all models)

• iMac (Mid 2011 and later)

• Mac mini (Mid 2011 and later)

• Mac Pro (Late 2013)

• MacBook (Retina, 12-inch, Early 2015 and later)

 

▲ Αποτελεσματική προστασία, αφού ζητείται πιστοποίηση κτήσης του μηχανήματος.

 

β.  Σε μηχανήματα που δεν αναφέρονται στην λίστα, με αφαίρεση ενός RAM module ώστε να μεταβληθεί ο όγκος της φυσικής μνήμης, το επακόλουθο reset της NVRAM απενεργοποιεί το password.

 

• Κλείνετε το μηχάνημα και αφαιρείτε ένα από τα RAM modules (ή το μοναδικό).

• Ανοίγετε το μηχάνημα και μόλις ακούσετε το “bong” κρατάτε πατημένα τα πλήκτρα command-alt-P-R  και περιμένετε να ακουστεί για δύο ακόμη φορές.

• Αφήνετε τότε τα πλήκτρα ώστε το Mac να ξεκινήσει πλέον κανονικά.

• Κλείνετε το μηχάνημα και επαναφέρετε το module στη θέση του.

 

▲ Προφανώς, σ' αυτά τα μηχανήματα, το password δεν προσφέρει καμία προστασία.

[CryptoCSM01]

Επίσης μπορεί κάποιος να δημιουργήσει εικονικούς δίσκους, μέσα στους οποίους να αποθηκεύει δεδομένα τα οποία δεν θα ήθελε ποτέ να πέσουν ποτέ σε ξένα χέρια.

Ακόμα δηλαδή κι αν καταφέρει κάποιος να ξεκλειδώσει το μηχάνημα, να μην καταφέρει να βρει ποτέ τίποτα.

Μιλάω για το Sparse Disk Image και το Sparse Bundle Disk Image με κρυπτογράφηση είτε 128-bit AES είτε 256-bit AES.

[giodis]

Κατά βάση το sparce disk είναι μια πολύ καλή επιλογή,  όμως σε παραβίαση του FileVault που έχει το ίδιο πρωτόκολλο κρυπτογράφησης δεν την γλιτώνει πλέον κανείς. 

 

Με αυτή την ευκαιρία ας  δούμε λοιπόν και την περίπτωση  χρήσης admin password σε versions  Sierra & High Sierra παράλληλα με χρήση firmware password σε μηχάνημα που απαιτείται ξεκλείδωμα του από το service. 

 

Αν υποθέσουμε ότι το firmware password θα μπορούσε  να απενεργοποιηθεί κάτω από "περίεργες συνθήκες", τότε τα πράγματα δεν δείχνουν καθόλου καλά.

 

Κάνοντας boot σε ένα φλασάκι όπου έχει εγκατασταθεί το High Sierra ή όποια άλλη version, έχει κανείς πλέον πρόσβαση στα αρχεία. Μπορεί δε να διαγράψει τον δίσκο, να στήσει το δικό του σύστημα,  να ιδιοποιηθεί δηλαδή το μηχάνημα.

 

Κοντολογίς· μην χάσεις το μηχάνημα !.

Τελευταία επεξεργασία από: giodis, 16/01/2018 - 22:26

[CryptoCSM01]

Εάν δημιουργήσεις ένα Sparse Bundle Disk Image με κρυπτογράφηση 256-bit AES και ένα αρκετά πολύπλοκο κωδικό το να το σπάσει κάποιος, αυτό είναι σχεδόν ανέφικτο!

Λέω σχεδόν γιατί δεν μπου αρέσει το απόλυτο σε τίποτα.

Η κρυπτογράφηση 192-bit AES και 256-bit AES χρησιμοποιείται σε Top Secret δεδομένα.

Ένα είναι πάντως σίγουρο, ότι αυτά τα πράγματα δεν παραβιάζονται από τον καθένα. Πόσο μάλλον από τον κάθε τυχάρπαστο ψευτοχακερά.