Löscht Remote Wipe den Inhalt des Laufwerks sicher?

Bei all dem Aufruhr rund um das Debakel von Mat Honan bin ich neugierig: Wenn Sie einen Mac aus der Ferne löschen, ist es ein sicheres Löschen oder sperrt es den Computer nur mit einem Code?

Aus dem Wired-Artikel :

Wenn Sie in „Meinen Mac suchen“ eine Remote-Festplattenlöschung durchführen, werden Sie vom System aufgefordert, eine vierstellige PIN zu erstellen, damit der Vorgang rückgängig gemacht werden kann. Aber hier ist die Sache: Wenn jemand anderes diese Löschung durchführt – jemand, der sich auf böswillige Weise Zugriff auf Ihr iCloud-Konto verschafft hat – gibt es keine Möglichkeit für Sie, diese PIN einzugeben.

Das ist so weit, wie sie sich damit beschäftigen, und die meisten der besten Google-Ergebnisse gehen auch nicht weiter.

Antworten (2)

Ich habe auf einem MacBook Pro mit einer SSD, auf der Mountain Lion ausgeführt wird, eine Remote-Löschung durchgeführt, weil ich mir nicht sicher war, wie ich die SSD sonst sicher löschen könnte. So kann ich einige Ihrer Fragen beantworten.

Zunächst einmal irrte Mat Honan, als er sagte, der Zweck der PIN bestehe darin, dass „der Vorgang rückgängig gemacht werden kann“. Es soll den Dieb daran hindern, den Computer zu benutzen. Ich glaube, die Überlegung ist, dass, wenn der Computer zum Entsperren zu Apple gebracht werden muss, es viel wahrscheinlicher ist, dass ein gestohlener Computer wiedergefunden wird.

Ja, wenn Sie den Computer aus der Ferne löschen, wird ein sicheres Löschen durchgeführt. Apple warnt Sie sogar, dass es bis zu einem Tag dauern könnte. Wenn Ihr Laufwerk jedoch mit FileVault 2 verschlüsselt wurde, ist es nicht erforderlich, die Festplatte zu löschen. Es reicht aus, die auf der Festplatte gespeicherten Verschlüsselungsschlüssel sicher zu löschen, also tun sie das. Es ist sehr schnell und so sicher wie das zugrunde liegende Verschlüsselungssystem, das derzeit sehr sicher ist. Sie können das Laufwerk nicht mit dem Wiederherstellungsschlüssel wiederherstellen, nachdem der/die Verschlüsselungsschlüssel gelöscht wurden.

Bevor Sie jedoch mit dem Löschen der Festplatte beginnen, installiert Apple eine Art Sperre auf dem System, die Sie daran hindert, es vom internen oder externen Laufwerk zu starten. Ich weiß nicht, wie das im Detail funktioniert, ich weiß nur, dass ich keinen offensichtlichen Weg gefunden habe, es zu umgehen.

BEARBEITEN

Ich tat dies ein zweites Mal und dieses Mal schrieb ich die Schritte auf.

  • Nachdem der Laptop die Remote-Wipe-Anweisung erhalten hatte, gab er 2 kurze Pieptöne aus und fror dann ein, zeigte den Spinner (kein Wasserball) und startete dann neu
  • Nach dem Neustart wurde ein grauer Bildschirm mit der Meldung „Geben Sie Ihren PIN-Code für die Systemsperre ein, um diesen Mac zu entsperren“ und Optionen zum Schlafen, Neustarten oder Herunterfahren angezeigt.
  • Ich habe den PIN-Code ziemlich sofort eingegeben
  • Nach einer kurzen Verzögerung startete der Laptop neu in die Wiederherstellungspartition und fragte nach der Installation eines Systems (entweder ein neues System über das Internet oder ein altes System über ein Time Machine-Backup oder einen anderen Computer zum Klonen).
  • Ich habe dann den Computer im Zielfestplattenmodus neu gestartet und das Laufwerk von einem anderen Computer aus untersucht. Das Laufwerk wird nicht mehr als verschlüsseltes Laufwerk angesehen und ich konnte keine Anzeichen von verwendbaren Daten auf dem Laufwerk finden, obwohl ich ehrlich gesagt nichts zu Ausgefallenes versucht habe. Ich vertraue darauf, dass der Verschlüsselungsschlüssel gelöscht wurde und ich nur verschlüsselte Daten finden würde, für die ich den Schlüssel nicht mehr hatte.

Nun zurück zu unserer ursprünglichen Geschichte ...

Unten ist aus dem Gedächtnis, kann also in einigen Details leicht falsch sein. Sie können den Bericht einer anderen Person über den Prozess von MacObserver lesen . (Sie konnten Dateien von ihrem unverschlüsselten mechanischen Laufwerk wiederherstellen, aber ich glaube, das lag daran, dass sie den Passcode eingegeben und den Löschvorgang unterbrochen haben, bevor er abgeschlossen war.) Ich denke, dass nach dem Start des Remote-Löschvorgangs der Sperrbildschirm auf dem MacBook Pro angezeigt wurde Ich habe nicht sehr lange gewartet, bis das Löschen des Laufwerks abgeschlossen war, und die PIN eingegeben, um zu sehen, was ich auf dem Laufwerk sehen konnte. (Ich habe nie etwas auf dem Laufwerk gesehen, aber ich habe es auch nicht aus dem Computer genommen und an DriveSavers geschickt, damit sie es überprüfen.) Ich erinnere mich nicht genau, wie ich dazu kam, die Maschine nach dem Löschen herunterzufahren.

Wie auch immer, nach dem Löschen und Herunterfahren habe ich ein externes Mountain Lion-Installationslaufwerk angeschlossen und den Computer hochgefahren. Ich habe einen blinkenden Ordner mit einem Fragezeichen (was bedeutet, dass kein Startlaufwerk gefunden werden kann).

Ich startete neu und hielt die Optionstaste gedrückt, um eine Auswahl an Bootdisketten zu erhalten. Ich hatte die Wahl zwischen Macintosh HD (dem internen Laufwerk) und dem externen Laufwerk. Ich wählte das externe Laufwerk und bekam wieder den blinkenden Ordner mit einem Fragezeichen.

Ich startete erneut und hielt die Optionstaste erneut gedrückt, wählte diesmal jedoch "Macintosh HD". Dann wurde mir ein Bildschirm zur Eingabe der Entsperr-PIN angezeigt. Was ich tat. Ich war dann wieder auf dem Bildschirm, wo ich ein Startlaufwerk auswählen konnte, aber dieses Mal war das interne Laufwerk mit "10.8 Recovery HD" oder so ähnlich beschriftet. Ich habe wieder das externe Laufwerk gewählt und es hat gut gebootet. Ich konnte dann das Betriebssystem neu installieren und von da an war alles normal.

Ich habe nicht daran gedacht, den Computer in den Zielfestplattenmodus zu versetzen, aber Apple ist ziemlich versiert in Bezug auf Verschlüsselung und Sicherheit, daher gehe ich davon aus, dass die PIN-Code-Sperre in der Firmware enthalten ist und der Computer einfach nichts tut, bis er entsperrt ist. Ich vermute auch, dass Apple den Computer mit einem geheimen Verfahren entsperren kann, aber das würde den Computer nur wieder in den normalen Betrieb versetzen: Was auch immer auf der Festplatte war, wäre immer noch in dem Maße verschwunden, wie der Computer es löschen konnte, bevor Sie es zu Apple brachten . (Der MacObserver-Artikel besagt, dass sie den Computer nicht in den Zielfestplattenmodus versetzen konnten, bis sie ihn entsperrten, als er nur per Fernzugriff gesperrt war. Mat Honanerklärte in einem Follow-up zu seinem ursprünglichen Artikel über das Hacken, dass das Apple Genius, das er schließlich bekam, um ihm zu helfen, „in der Lage war, das Firmware-Passwort zurückzusetzen“, obwohl er „die PIN nicht knacken konnte“.) Was macht die verschlüsselt Laufwerke sind so sicher, dass Sie wahrscheinlich nur einen Dateisystemblock löschen müssen, der den/die Verschlüsselungsschlüssel enthält, sodass dies in weniger als einer Sekunde erledigt ist.

Feuerprobe, genial. Vielen Dank für diese ausführliche Antwort!

Nein, es ist kein sicheres Löschen, und technisch gesehen ist es nicht einmal ein "Wischen" gemäß Apples Technical White Paper "OS X Security":

„FileVault 2 bietet IT-Abteilungen die Möglichkeit, den Verschlüsselungsschlüssel jederzeit von einem bestimmten Mac zu löschen, um sicherzustellen, dass weder durch die Benutzeranmeldung noch durch Datenwiederherstellungstools auf verschlüsselte Daten zugegriffen werden kann. Dieser Vorgang wird als Remote-Wipe bezeichnet.“

Quelle: Apple Technical White Paper OS X Security (März 2012)

Davon abgesehen gehe ich davon aus, dass Sie Apple kontaktieren könnten, um den Verschlüsselungsschlüssel (gegen Gebühr) abzurufen und den Inhalt Ihres Laufwerks abzurufen? Und wenn das der Fall ist , warum nicht einfach abschließen?
@TerranceShaw, Soweit ich weiß, löscht die "Fernlöschung" die Verschlüsselungsschlüssel, die normalerweise das Laufwerk mit dem Betriebssystem und seinem Inhalt sperren / entsperren würden. Ob Apple die Möglichkeit hat, die „gelöschten“ Verschlüsselungsschlüssel wiederherzustellen, ist unklar. Da die Daten jedoch anscheinend nicht vom Laufwerk gelöscht werden, könnten sie möglicherweise trotzdem wiederhergestellt werden.
Eine weitere (unbestätigte) Sache, die Sie beachten sollten: Wenn Sie Ihren Mac per Fernzugriff sperren, können Sie die Fernlöschung nicht verwenden. :-Ö
@l'L'l in dem es sogar jemand schafft, AES-256 zu brechen, meinst du?
@LucasKauffman, in zehn Jahren wird jemand darauf zurückblicken und denken: "Haben sie wirklich geglaubt, das sei sicher?" – wahrscheinlich beim Kichern.
@l'L'l das bezweifle ich sehr. AES-256 wird nicht innerhalb von 10 Jahren gebrochen werden. Nicht einmal Qubit-Prozessoren, die auf unsere Standard-Rechengeschwindigkeiten optimiert sind (was noch Jahre, wahrscheinlich sogar Jahrzehnte entfernt ist). Außerdem gibt es keine praktischen Kryptoanalyse-Angriffe auf AES, und die einzigen bekannten praktikablen Angriffe sind Seitenkanalangriffe während der Schlüsselgenerierung.
@LucasKauffman, ich meinte die Art und Weise, wie Apple "sicheres Löschen" definiert hat. Was AES-256 betrifft, ja, es ist ziemlich sicher und Menschen werden es niemals brechen. Quantencomputing könnte eine bessere Chance haben, aber es gibt keine Möglichkeit zu sagen, was über das hinausgeht, was wir derzeit (meinen) zu wissen.
Löscht Remote Wipe den Inhalt des Laufwerks sicher?
AntwortenHierDatenschutz-Bestimmungen1y, 0v