MacMacken

«FileVault nicht mehr sicher: Forscher knacken Festplatten-Verschlüsselung»

… schreibt Lars Schenk per Kommentar in seinem Weblog.

Zuerst einmal: Don’t panic! Bedauerlicherweise hat FileVault viele Schwächen, aber mangels Alternativen bleibt FileVault weiterhin empfehlenswert für alle Mac-Benutzer, die ihr Benutzerverzeichnis schützen möchten, insbesondere auch auf MacBooks. Das von Lars Schenk erwähnte neue Sicherheitsproblem ist zwar unerfreulich, doch werden FileVault und all die anderen davon betroffenen Verschlüsselungslösungen dadurch glücklicherweise nicht nutzlos.

(more…)

Beim Blick in den Mac OS X-Papierkorb ist nach einem Systemstart häufig ein Ordner «Recovered Files» zu sehen, insbesondere bei der Verwendung der FileVault-Verschlüsselung …

(more…)

Mac OS X bietet mit FileVault die Möglichkeit, die eigenen Benutzerdaten verschlüsseln zu lassen. Leider verwenden viele Mac-Benutzer FileVault nicht; einige glauben, sie hätten nichts zu verbergen, die meisten aber fürchten sich vor einem FileVault-bedingten Datenverlust oder lassen sich von den zahlreichen bestehenden FileVault-Schwächen abschrecken.

Bild: Flickr-Benutzer «96dotsperinch», BY-NC 2.0-Lizenz von Creative Commons

(more…)

FileVault ist seit «Panther» Bestandteil von Mac OS X und dient der sicheren Verschlüsselung der Benutzerdaten. Apple empfiehlt FileVault mit den folgenden Worten …

«Wenn Sie vertrauliche Informationen auf Ihrem Computer speichern, empfiehlt sich die Verwendung von FileVault. Wenn Sie beispielsweise die gesamten Finanzdaten Ihrer Firma auf Ihrem Mobilcomputer abgelegt haben, könnten Unbefugte im Falle eines Verlusts Ihres Computers Zugriff auf vertrauliche Daten erhalten und Ihrer Firma schaden. Sind Sie von Ihrem Account abgemeldet, wenn Ihr Computer verloren geht, und ist FileVault aktiviert, so sind Ihre Informationen geschützt.»

… im Blogeintrag zur Sicherheit von Mac OS X «Leopard» wurde die Verwendung von FileVault empfohlen, insbesondere auch für MacBook (Pro)-Benutzer. Gleichzeitig wurde angedeutet, dass FileVault unter einigen Schwächen leidet. Da FileVault auch in Kommentaren zu anderen Blogeinträgen immer wieder thematisiert wurde, finden sich nachfolgend die aus meiner Sicht zehn bedeutendsten Schwächen von FileVault in der Mac OS X «Leopard»-Version – wie immer mit dem Wunsch auf Rückmeldungen, Verbesserungsvorschläge, usw. (per E-Mail an macmacken@macmacken.com oder als Kommentar). Die Verwendung von FileVault bleibt dabei trotz allen Schwächen empfehlenswert, denn bislang gibt es auf dem Mac schlicht keine Alternativen!

1. Beschränkung der FileVault-Verschlüsselung auf Benutzerdaten

«[…] FileVault erstellt ein separates Volume für Ihren Benutzerordner und verschlüsselt dessen Inhalt. Die Daten in Ihrem Benutzerordner werden verschlüsselt und Ihre Informationen sind vor unbefugtem Zugriff geschützt, falls Ihr Computer verloren geht oder gestohlen wird. […]»

… so beschreibt Apple die Funktionsweise von FileVault, das heisst FileVault verschlüsselt ausschliesslich die Benutzerdaten im Benutzerverzeichnis /Benutzer/Benutzername/ – alle anderen Daten auf dem System werden von FileVault nicht erfasst. Damit kein Risiko besteht, dass zu schützende Daten unverschlüsselt gespeichert bleiben, wäre es wünschenswert, wenn FileVault die gesamte Festplatte verschlüsseln könnte. Leider bietet FileVault diesen Funktionsumfang bislang nicht und generell scheint es für den Mac im Gegensatz zu Microsoft Windows keine Lösungen für die Verschlüsselung der gesamten Festplatte zu geben.

(more…)

Weiterhin weiss ich nicht, ob Übersetzungsfehler auf dem Mac häufiger sind als auf anderen Systemen. Beim Arbeiten mit Mac OS X fällt mir mittlerweile aber auch auf, dass es manchmal an der notwendigen Sorgfalt bei der Lokalisierung fehlt. In den Systemeinstellungen für FileVault beispielsweise bleibt der Warnhinweis für den wichtigen Fall, dass man sich nicht mehr an die FileVault-Passwörter erinnern kann, unvollständig …

… wobei sich selbstverständlich jeder selbst denken kann, was geschieht, wenn man seine FileVault-Passwörter vergisst – eine Wiederherstellung der mit FileVault geschützten Benutzerdaten ohne Passwort wäre nicht im Sinn des Erfinders!

Das Erscheinen von Mac OS X 10.5 «Leopard» war für zahlreiche Microsoft Windows-Benutzer Anlass für den Umstieg auf einen Bildschirmspiegel Computer von Apple und in der Folge gehen bei MacMacken immer wieder E-Mail-Anfragen zur sicheren Konfiguration von Mac OS X «Leopard» ein. Aus diesem Grund finden sich nachfolgend einige der die zehn wichtigsten Anfängertipps für ein sicheres Mac OS X «Leopard» – ohne Anspruch auf Vollständigkeit und mit dem Wunsch auf Rückmeldungen, Verbesserungsvorschläge, usw. (per E-Mail an macmacken@macmacken.com oder als Kommentar) …

1. Arbeit als Benutzer statt Administrator

Beim alltäglichen Arbeiten mit einem Mac sollte man sich immer als Benutzer und nicht als Administrator anmelden, denn umfassende administrative Befugnisse werden nur selten benötigt und stellen beim alltäglichen Arbeiten ein unnötiges Sicherheitsrisiko dar. Man sollte sich deshalb nur bei tatsächlichem Bedarf als Administrator anmelden beziehungsweise sich nur dann als Administrator identifizieren, wenn die eigenen Benutzerrechte ausnahmsweise nicht genügen und Mac OS X «Leopard» entsprechend die Anmeldung als Administrator fordert.

(more…)

Kaum ist Mac OS X «Leopard» erschienen, behebt Apple auch schon die ersten Macken, vorläufig im Zusammenhang mit Anmeldung und Schlüsselbund …

The Login & Keychain Update 1.0 for Mac OS X 10.5 Leopard is recommended for all Leopard installations. It addresses issues you may encounter when:

* Logging in with an account originally created in Mac OS X 10.1 or earlier that has a password of 8 or more characters.
* Connecting to some 802.11b/g wireless networks.
* Changing the password of a FileVault-protected account.

… die Aktualisierung kann man unter wie gewohnt direkt bei Apple oder über die Softwareaktualisierung downloaden; nach der Installation ist ein Neustart des Systems notwendig.

Apropos Mac und Sicherheit: Wann endlich gibt es auch für den Mac die Möglichkeit, ein System vollständig zu verschlüsseln, so dass man auch ein Notebook ohne Sorgen um die eigenen Daten unterwegs nutzen kann?

Klar, es gibt FileVault, aber damit kann man leider nur das Benutzerverzeichnis verschlüsseln und die Verwendung von FileVault führt zu Problemen mit Spotlight, unter anderem… hat Steve Jobs auf seinem Notebook etwa keine Daten, die schützenswert sind?

FileVault – Mac OS X «Tiger»-Benutzer können damit ihr Benutzerverzeichnis halbwegs sicher verschlüsseln – blockiert nicht nur die Suche per Spotlight, sondern lässt sich häufig schlicht nicht installieren, mangels Speicherplatz auf der Festplatte!

(more…)

Mit Spotlight verfügt Mac OS X über eine komfortable Suchfunktion für Dateien, E-Mail und sonstige Daten auf dem Mac… mit FileVault haben Benutzer von Mac OS X ausserdem die Möglichkeit, ihr Benutzerverzeichnis zu verschlüsseln. Daran sollte bei mobilen Macs eigentlich kein Weg vorbei führen, auch wenn FileVault wie erwähnt nur das Benutzerverzeichnis verschlüsseln kann und ausserdem einige sicherheitsrelevante Schwächen aufweist.

«Eigentlich», denn bedauerlicherweise funktioniert Spotlight bei aktiviertem FileVault nicht mehr korrekt, jedenfalls bei meinem vierwöchigen Versuch mit FileVault im Juli und August 2007: Spotlight stand zwar grundsätzlich noch zur Verfügung, aber die Suchergebnisse waren äusserst dürftig – der Suchindex umfasste auch lediglich einige 100 KBs – und in Apple Mail war nur noch die Suche nach einzelnen E-Mail-Feldern (zum Beispiel «Absender») möglich. Teilweise meldete Spotlight, es sei noch für Stunden mit Indexieren beschäftigt und war während dieser Zeit dann gar nicht mehr verfügbar. In der Folge war ich gezwungen, FileVault wieder zu deaktivieren.

Ich hoffe nun, dass Spotlight wenigstens im neuen Mac OS X «Leopard» auch bei aktiviertem FileVault korrekt arbeiten wird, ganz abgesehen davon, dass Apple dem Mac endlich zeitgemässe Funktionen für die Verschlüsselung der Benutzerdaten «spendieren» sollte…