Che cosa è accessibile a un utente malintenzionato che ha reimpostato la password di amministratore?

4

Comprendo che è possibile reimpostare la password dell'amministratore su un Mac, consentendo a qualcuno con accesso fisico a una macchina di creare una nuova password che dia accedono a tutti i file sbloccati dei file rimasti sulla macchina dopo il processo di ripristino.

Ma a cos'altro hanno accesso? In particolare:

  1. Sono ancora presenti tutti gli account utente?
  2. Tutti i portachiavi sono ancora presenti o vengono ripristinati o cancellati come parte del processo di creazione della password?
  3. Se i portachiavi sono ancora presenti, il (nuovo) amministratore ha accesso ai contenuti dei portachiavi esistenti.
  4. I file (diversi dai portachiavi) sono cancellati o ripristinati come parte del processo?

Suppongo che FileVault protegga dall'usare questa tecnica in un attacco; una password del firmware conferirebbe alcuna protezione?

    
posta orome 17.08.2012 - 22:41
fonte

3 risposte

2

Se FileVault è abilitato, l'avvio in modalità utente singolo richiede una password, quindi nessuno dei metodi per reimpostare la password in singolo modalità utente lavoro .

Come altri hanno già menzionato, il ripristino della password di accesso non reimposta la password del portachiavi di accesso. Ho provato a resettare la password di accesso alcuni mesi fa. Potrei accedere alla maggior parte dei file normalmente, ma non al mio account in Mail.app o alle password auto-compilate in Safari. Ma potrei accedere al mio account Gmail da Safari perché l'ho impostato per accedere automaticamente.

La password di accesso ( ma non la password del portachiavi di accesso ) può anche essere ripristinata con una Apple ID . C'è una casella per consentire che durante la creazione di un account. Penso che sia stato controllato di default. L'opzione può essere disabilitata in seguito in Utenti & Pannello delle preferenze dei gruppi. Se l'opzione è stata abilitata prima di attivare FileVault, non è possibile disabilitarla senza disattivare e riattivare FileVault. Vedi Michael Tsai - Blog - Backdoor ID Apple di FileVault 2 .

1. Are all user accounts still present?

Sì. E tutte le loro password possono essere cambiate separatamente, o dagli utenti & Raggruppa le preferenze dopo aver effettuato l'accesso (o creato) a un account amministratore.

2. Are all keychains still present, or are they reset or cleared as part of the password creation process?

I portachiavi non vengono rimossi, ma il portachiavi di accesso non viene sbloccato automaticamente dopo il reset della password di accesso.

3. If the keychains are still present, does the (new) administrator have access to the contents of existing keychains.

Non senza conoscere le loro password.

4. Are any files (other than keychains) erased or reset as part of the process?

Non lo so, ma puoi accedere normalmente alla maggior parte dei file.

    
risposta data 21.08.2012 - 12:51
fonte
6

Se qualcuno ha un account amministratore, tutto sul computer è accessibile a loro. Le persone nei circoli di sicurezza IT dicono "Accesso fisico = accesso totale".

I portachiavi possono essere sbloccati solo con la password del portachiavi. Se una password dell'account viene modificata / aggiornata senza essere registrata nell'account e avendo il portachiavi pertinente sbloccato , la password del portachiavi non cambia.

Significa che qualcuno potrebbe avere accesso al tuo account, forse, ma non al tuo portachiavi, senza la password originale. Le password dell'account e del portachiavi non sono sincronizzate tra loro.

La protezione di FileVault in modo simile rimarrà in vigore fino a quando non verrà sbloccata utilizzando la password corretta. Non credo che l'accesso root alla macchina ti consenta di sbloccare il portachiavi o l'account del vault senza le password pertinenti .. questo è il punto.

Ovviamente, in teoria un hacker con abilità, pazienza e conoscenza divine potrebbe modificare manualmente i file passwd rilevanti per essere qualsiasi cosa lui / lei volesse che fosse (se avessero accesso root), ma le probabilità di questo evento sono da qualche parte tra zero e nil.

    
risposta data 17.08.2012 - 23:22
fonte
-3

L'ho passato di recente con il computer di un amico. Una volta che la persona ha la password di amministratore, possono abilitare l'accesso root. Quindi tutto è disponibile. Penso che Root sovrascrive anche FileVault. (Questa è una domanda).

    
risposta data 18.08.2012 - 07:11
fonte

Leggi altre domande sui tag