Kako upravljati luknjo v geslu FileVault v OS X 10.7.3

Nedavno je bila najdena varnostna luknja v najnovejši različici OS X 10.7.3, s katero lahko geslo uporabnika zapišete v datoteko dnevnika v obliki navadnega besedila, če ta oseba uporablja starejšo tehnologijo šifriranja podatkov FileVault iz preteklih različic OS X.

Medtem ko je luknja lahko težava za določeno skupino ljudi, ki še vedno uporabljajo zapuščeno šifrirno shemo, je nekaj stvari mogoče storiti glede tega.

Luknja se je zgodila, ko je Appleov inženir programske opreme očitno pustil zastavico za odpravljanje napak v produkcijski izdaji OS X 10.7.3, kar je omogočilo, da so bila gesla zabeležena za ljudi, ki uporabljajo podedovano šifriranje domačih map FileVault.

Starejša tehnologija FileVault v OS X je šifrirala domačo mapo uporabnika in preostali sistem pustila nezaščiteno, toda v različici operacijskega sistema Lion je Apple zamenjal FileVault z možnostjo šifriranja s polnim diskom, imenovano "FileVault 2." Vendar pa za združljivost Apple še vedno podpira podedovano datoteko FileVault, ki je bila omogočena na nadgrajenih računih, čeprav je za vsako novo omogočanje FileVault potrebna uporaba FileVault 2.

Ta varnostna luknja ne bo vplivala na nobenega uporabnika, ki je kupil nov sistem z Lionom na njem ali ki je formatiral njihov stari sistem in namestil Lion fresh. Varnostna luknja bo vplivala samo na ljudi, ki so nadgradili sistem Snow Leopard, ki je še naprej uporabljal svoje zastarele nastavitve za FileVault in so nato nadgradili na najnovejši OS X 10.7.3. Brez teh zahtev gesla ne beležijo gesel za uporabniške račune in so varna.

Če je vaš sistem eden od teh, potem lahko storite več, da bi odpravili ta napako:

  1. Preverite, ali je uporabljena datoteka FileVault

    V svojem računu pojdite na sistemske nastavitve »Varnost in zasebnost«. Če to storite, se bo prikazalo opozorilo, ki navaja »Uporabljate staro različico FileVault«, če vaš račun uporablja starejšo tehnologijo FileVault. Poleg tega lahko obiščete imenik Macintosh HD> Users in preverite, ali so domači imeniki za račune, ki niso vaši lastni, podobni slikovni datoteki na disku (v nasprotju z mapami). Tako boste vedeli, kateri računi v sistemu uporabljajo podedovano tehnologijo FileVault.

  2. Onemogoči ali posodobi datoteko FileVault

    Če kateri koli račun uporablja zapuščino FileVault, ga lahko onemogočite. To storite tako, da se prijavite z računom in dostopate do nastavitev varnostnega sistema, nato pa kliknete možnost, da onemogočite FileVault.

    Poleg tega, da onemogočite FileVault, ga lahko ponovno omogočite, da vklopite novo šifrirno shemo FileVault 2 podjetja Apple, na katero ta hrošč ne vpliva. FileVault 2 je tudi bolj stabilen in varnejši kot originalni FileVault.

    V sistemu lahko omogočite FileVault 2 s podedovanim FileVault, ki je omogočen za določene uporabniške račune; vendar to ne bo zagotovilo popolne zaščite pred tem hroščem. Medtem ko bo omogočanje FileVault 2 preprečil dostop do prijavljenih gesel iz zunanjih virov (kot je zagon sistema v način ciljnega diska ali odstranitev trdega diska), drugemu skrbniku sistema v sistemu ne bo onemogočen dostop do sistemskih dnevnikov in branje gesla. .

  3. Zamenjajte geslo

    Končni korak, ko ste zavarovali vaš sistem, bodisi samo tako, da onemogočite podedovano datoteko FileVault ali pa po želji omogočite FileVault 2, je spremeniti svoje geslo. Medtem ko lahko poskusite brskati po sistemskih dnevnikih za primer starega gesla in jih odstraniti, je najlažje preprosto spremeniti geslo.

    Dodaten pristop k temu je, da preprosto počistite vse sistemske dnevnike, saj so dnevniki začasne datoteke, ki se bodo zamenjale med uporabo sistema in ki niso potrebne za zagon sistema. To storite tako, da odprete pripomoček Terminal (v mapi / Applications / Utilities / mapa) in zaženete naslednje ukaze:

    sudo rm -rf / var / log / *

    sudo rm -rf / Knjižnica / Dnevniki / *

    Ta pristop bo odpravil vse dnevnike v sistemu, kar v nekaterih primerih ni zaželeno. Zato lahko podrobneje odstranite primerke datoteke »secure.log«, ki vsebujejo gesla, namesto tega:

    sudo rm -rf /var/log/secure.log

    sudo rm -rf /var/log/secure.log.*

    Ti koraki so tudi pogojno izbirni. Če ste omogočili FileVault 2 za zamenjavo starejše različice in ste edini skrbnik vašega računalnika, potem ni treba spreminjati gesla, saj bodo vse datoteke v njem (tudi tiste, ki shranjujejo gesla kot navadno besedilo) šifrirane. ko zaustavite sistem.

Upajmo, da bo Apple to vprašanje nemudoma rešil z varnostno posodobitvijo, ki zapre varnostno luknjo iz kode za odpravljanje napak, in tudi odstrani datoteke dnevnika, ki vsebujejo primerke uporabniških gesel.


 

Pustite Komentar