Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Szyfrowanie dysku uśpionego MacBooka można przełamać w 30 sekund…
Przynajmniej na systemie bez poprawki wydanej przez Apple w grudniu tego roku.
Problematyczne okazały się dwie rzeczy:
- Dostęp do pamięci (odczyt/zapis) poprzez port Thunderbolt
- Przechowywanie hasła do FDE w pamięci w formie plaintext
Odpowiednie narzędzie – PCILeech – można zobaczyć w akcji tutaj:
Wersja dłuższa w formie prezentacji z DEFCona:
Autor badania swój research kończy dość optymistycznie:
The solution Apple decided upon and rolled out is a complete one. At least to the extent that I have been able to confirm. It is no longer possible to access memory prior to macOS boot. The mac is now one of the most secure platforms with regards to this specific attack vector.
–ms
Taa, ludzki z sluzb specialnych pewnie az skacza z radosci teraz. Ciekawe jak dlugi (o ile) wiedzieli o tym zabezpieczeniu. W sumie ile bylo by ono warte na black market? Ten slynny milion czy jednak nie? Wybaczcie ze piep glupoty, ale laik ze mnie :)
stety, niestety pewnie dużo jeszcze tego typy „trupów” siedzi pod ziemią :/
Dzięki za link do tej prezentacji. Dowiedziałem się, że każda platforma Windows/Linux/Apple jest podatna w określonych warunkach ;-)
DMA tak się zawsze kończy. Kiedyś można było to samo zrobić za pomocą FireWire lub USB. Obecnie większość komputerów ma domyślnie wyłączone VT-d/IOMMU jak wyjeżdża z fabryki. Przeciętny Kowalski nie zmienia nigdy ustawień. Mając więc fizyczny dostęp do maszyny można zrobić praktycznie wszystko. No i narzędzia, które umożliwiają „zabawę”, są dostępne poniżej 1000 USD.
A w tej prezentacji to ciekawe rzeczy są, nie tylko o łamaniu MacBooka. Wersję PDF widziałem na GitHUBie autora (https://github.com/ufrisk/presentations)