FileVault protegge contro il ransomware?

3

Ho già chiesto una domanda su ransomware su OS X in generale. Ma non sono riuscito a ottenere una risposta sul fatto che FileVault proteggesse da questo. Questo è ciò di cui tratta questa domanda. Mi interessa anche sapere se i backup di crittografati di Time Machine sono al sicuro da ransomware.

Il ransomware qui è definito come software dannoso che crittografa i dati dell'utente contro la loro volontà / conoscenza e richiede un riscatto in cambio della chiave di crittografia.

Vedremo tre esempi:

  1. Il malware esegue privilegi di superutente senza . L'utente inconsapevole potrebbe aver appena eseguito un app compromessa / malevola che credevano fosse qualcos'altro, quindi lasciatelo scorrere sullo sfondo per il tempo necessario a fare danni.

  2. Il malware esegue privilegi di superutente con . L'utente, ritenendo che il software sia qualcos'altro, gli ha concesso l'accesso come root fornendo la password di root. L'utente potrebbe persino aver installato il software fornendo la password di root.

  3. L'utente non ha eseguito alcuna app, il malware è riuscito a funzionare in qualche altro modo. (È possibile anche su OS X?)

Nei casi 1 e 2 l'utente avrebbe disattivato l'impostazione "Solo fonti attendibili" di OS X. (Domanda a margine: è possibile che il ransomware sia influenzato mentre questa impostazione è attiva?)

Se osservi 1., 2. e 3. separatamente, può il malware:

A: accedi ai dati protetti da FileVault?

B: Modifica / Elimina i dati protetti da FileVault?

C: (Una combinazione di A e B) Cifra i dati protetti da FileVault e sovrascrivi (cancella in modo sicuro) i dati FileVault originali)?

C'è qualche differenza tra i dati protetti da FileVault memorizzati localmente e i backup crittografati di Time Machine memorizzati su un'altra unità? Mi interessa anche la risposta a quest'ultimo.

    
posta Revetahw 13.04.2016 - 17:36
fonte

1 risposta

2

Il ransomware funziona selezionando determinati file (normalmente per tipo - come documenti, portafogli bitcoin, ecc.), crittografando quei singoli file e costringendo a pagare per una chiave per decrittografarli.

FileVault protegge i tuoi dati sul tuo Mac crittografando l'intero disco. Quando avvii il tuo Mac, inserisci una password che "decrittografa" l'unità in modo efficace e le consente di funzionare così com'è. Detto questo, una volta inserita la chiave nella serratura, per così dire, FileVault non ti proteggerà dal ransomware. Saresti comunque vulnerabile quanto il ransomware sarebbe in esecuzione dopo FileVault è stato sbloccato.

Per quanto riguarda i backup di Time Machine, questo è più complicato. Questi backup vengono archiviati crittografati a riposo e decodificati solo al momento dell'accesso. Ciò significa che i file all'interno dei backup stessi non sarebbero individualmente identificabili per il ransomware in esecuzione, tuttavia l'intero backup potrebbe essere. Quindi il ransomware potrebbe crittografare l'intera cosa come un'unità, anziché solo i singoli file.

Per quanto riguarda l'impostazione delle "fonti attendibili" di OSX, ci sono stati più exploit contro questa funzione ultimamente e non è affidabile come sembra. Non potrei dire per certo che non ti proteggerà, ma non ci conterei.

Suggerirei una sorta di backup basato sul cloud o fuori dal computer se si vuole veramente proteggere i dati che eseguono un'applicazione di terze parti. In altre parole, non connettersi a una condivisione di rete e eseguire il backup dei dati lì, utilizzare un'applicazione per farlo. È improbabile che il ransomware sia abbastanza sofisticato e specifico da sapere su specifiche applicazioni di backup, su come si connettono al servizio di terze parti e su come crittografare i file su quel servizio. Dropbox è un semplice esempio qui se paghi per il loro servizio di cloud backup - anche se il ransomware ha crittografato i tuoi file in Dropbox, essi mantengono il backup delle versioni in modo da avere qualcosa da ripristinare.

    
risposta data 13.04.2016 - 18:00
fonte

Leggi altre domande sui tag