Schützt FileVault vor Ransomware?

Ich habe bereits eine Frage zu Ransomware unter OS X im Allgemeinen gestellt. Aber ich habe keine Antwort darauf erhalten, ob FileVault davor schützt. Darum geht es in dieser Frage. Mich interessiert auch, ob verschlüsselte Time Machine-Backups vor Ransomware sicher sind.

Ransomware wird hier als bösartige Software definiert, die die Daten des Benutzers gegen seinen Willen/Wissen verschlüsselt und im Austausch für den Verschlüsselungsschlüssel ein Lösegeld verlangt.

Wir sehen uns drei Beispiele an:

  1. Die Malware wird ohne Superuser-Rechte ausgeführt. Der unwissende Benutzer hat möglicherweise nur eine kompromittierte/bösartige App ausgeführt, von der er glaubte, dass sie etwas anderes sei, und sie dann lange genug im Hintergrund laufen lassen, um Schaden anzurichten.

  2. Die Malware wird mit Superuser-Rechten ausgeführt. Der Benutzer, der glaubt, dass die Software etwas anderes ist, hat ihr Root-Zugriff gewährt, indem er das Root-Passwort angegeben hat. Möglicherweise hat der Benutzer die Software sogar installiert, indem er das Root-Passwort angegeben hat.

  3. Der Benutzer hat überhaupt keine App ausgeführt, die Malware konnte auf andere Weise ausgeführt werden. (Ist das überhaupt unter OS X möglich?)

In den Fällen 1 und 2 hätte der Benutzer die Einstellung „Nur vertrauenswürdige Quellen“ von OS X deaktiviert. (Nebenfrage: Ist es überhaupt möglich, von Ransomware betroffen zu sein, während diese Einstellung aktiviert ist?)

Betrachtet man 1., 2. und 3. getrennt, kann die Malware:

A: Greifen Sie auf FileVault-geschützte Daten zu?

B: FileVault-geschützte Daten ändern/löschen?

C: (Eine Kombination aus A und B) FileVault-geschützte Daten verschlüsseln und die ursprünglichen FileVault-Daten überschreiben (sicher löschen))?

Gibt es einen Unterschied zwischen lokal gespeicherten FileVault-geschützten Daten und verschlüsselten Time Machine-Backups, die auf einem anderen Laufwerk gespeichert sind? Die Antwort zu letzterem interessiert mich auch.

Antworten (2)

Ransomware funktioniert, indem sie bestimmte Dateien auswählt (normalerweise nach Typ – wie Dokumente, Bitcoin-Geldbörsen usw.), diese einzelnen Dateien verschlüsselt und Sie dazu zwingt, für einen Schlüssel zu bezahlen, um sie zu entschlüsseln.

FileVault schützt Ihre Daten auf Ihrem Mac durch Verschlüsselung der gesamten Festplatte. Wenn Sie Ihren Mac hochfahren, geben Sie ein Passwort ein, das das Laufwerk effektiv „entschlüsselt“ und es ihm ermöglicht, so zu laufen, wie es ist. Das heißt, sobald Sie den Schlüssel sozusagen ins Schloss gesteckt haben, würde FileVault Sie nicht mehr vor Ransomware schützen. Sie wären immer noch genauso anfällig wie die Ransomware, nachdem FileVault entsperrt wurde.

Bei den Time Machine-Backups ist dies komplizierter. Diese Backups werden im Ruhezustand verschlüsselt gespeichert und nur entschlüsselt, wenn darauf zugegriffen wird. Das bedeutet, dass die Dateien in den Backups selbst für die laufende Ransomware nicht einzeln identifizierbar wären – das gesamte Backup könnte es jedoch sein. Die Ransomware könnte also das Ganze als Einheit verschlüsseln, anstatt nur die einzelnen Dateien.

Was die Einstellung „Vertrauenswürdige Quellen“ von OSX betrifft, so gab es in letzter Zeit mehrere Exploits gegen diese Funktion, und sie ist nicht so vertrauenswürdig, wie es scheint. Ich kann nicht mit Sicherheit sagen, dass es dich nicht schützen würde, aber ich würde mich nicht darauf verlassen.

Ich würde eine Art Cloud-basiertes oder Off-Computer-Backup empfehlen, wenn Sie Ihre Daten wirklich schützen möchten, die über eine Drittanbieteranwendung ausgeführt werden. Mit anderen Worten, verbinden Sie sich nicht mit einer Netzwerkfreigabe und sichern Sie Ihre Daten dort, verwenden Sie dafür eine Anwendung. Es ist unwahrscheinlich, dass Ransomware ausgefeilt und spezifisch genug ist, um über bestimmte Sicherungsanwendungen Bescheid zu wissen, wie sie sich mit ihrem Drittanbieterdienst verbinden und wie die Dateien auf diesem Dienst verschlüsselt werden. Dropbox ist hier ein einfaches Beispiel, wenn Sie für ihren Cloud-Backup-Service bezahlen – selbst wenn die Ransomware Ihre Dateien in Dropbox verschlüsselt hat, werden Versionen gesichert, damit Sie auf etwas zurückgreifen können.

Gute Antwort. In Windows habe ich von Ransomware gehört, die durch .docund andere nicht ausführbare Dateien eindringt. Ist das unter OS X möglich? Oder muss es über eine ausführbare App sein?
Ist es auch anders, wenn sich das Time Machine-Backup in einer Time Capsule befindet, die über WLAN verbunden ist, aber nicht physisch mit dem Mac verbunden ist?
Darauf gibt es keine wirklich gute Antwort. Ich würde sagen, es ist weniger wahrscheinlich durch eine .doc in OSX, da Dinge wie vbscript in OSX fehlen, aber alles, was von einer Anwendung geöffnet wird, könnte möglicherweise eine Sicherheitslücke in dieser Anwendung ausnutzen und etwas Bösartiges installieren. Die beste Verteidigung besteht darin, Ihre Daten regelmäßig auf etwas zu sichern, das für einen Angreifer kompliziert genug ist. Ich habe es auch nicht erwähnt - ich verwende Arq für Mac, um auf Amazon S3 zu sichern. Die Wahrscheinlichkeit, dass sich Ransomware einschleicht, ist meines Erachtens sehr gering.
Um Ihre andere Frage zu beantworten: Ich denke, OSX behandelt eine Zeitkapsel Time Machine genauso wie eine lokale, daher glaube ich nicht, dass es dort auf die eine oder andere Weise einen Vorteil gibt. Wenn Sie sie auf TC verschlüsseln, werden andere Benutzer dieses TC von Ihren Daten ferngehalten (da sie möglicherweise ein Netzwerk teilen) – aber keine Ransomware.
Okay, danke für den Input. Ich lebe im ländlichen Indien und habe eine sehr begrenzte Internetverbindung, bei der ich pro MB bezahle. Ich denke, die beste Option für mich ist es, auf eine externe Festplatte zu sichern, die nur während des Sicherungsvorgangs verbunden ist und ansonsten getrennt bleibt?
Wow - was für eine interessante Situation, an die ich nicht gedacht habe. Offline-Backups sind sicherlich Ihr Freund. Ich könnte mehrere Laufwerke haben, die ich rotiere, wenn ich etwas so Kritisches hätte. vielleicht 7 Fahrten, eine für jeden Wochentag. Wenn also etwas Schlimmes passiert, haben Sie bis zu 7 Tage Zeit für ein Backup und bis zu 7 Tage, um zu erkennen, dass Sie infiziert sind, bevor Sie möglicherweise Ihr letztes Backup beeinträchtigen.
Das ist eine großartige Idee.

Eine macOS-Funktion, die gegen Ransomware helfen kann, ist der Systemintegritätsschutz (SIP). Diese Funktion ist in neuen Versionen von macOS standardmäßig aktiviert. SIP verhindert Änderungen an Systemdateien, selbst wenn Sie root sind. Um dies zu deaktivieren, müssen Sie in die macOS-Wiederherstellung gehen (Neustart, dann Befehlstaste + R) und dann Dienstprogramme > Terminal auswählen. Sobald Sie sich im Terminal befinden, geben Sie csrutil disable. Um den Status zu überprüfen csrutil status(Sie können überprüfen, ob der Status macOS selbst ist). Zum Aktivieren csrutil enable(Sie müssen sich in der macOS-Wiederherstellung befinden). Beachten Sie, dass in macOS Catalina (10.15 und höher) Systemdateien in einem separaten APFS Ready Only gespeichert werden, sodass Sie selbst bei deaktiviertem SIP nicht in Systemdateien schreiben können.

Dies beantwortet nicht die gestellte Frage; Es geht um FileVault . Ihre ersten drei Sätze sind korrekt, aber ich verstehe nicht, warum Sie beschreiben würden, wie Sie die Funktion deaktivieren, die zumindest nicht gefragt wird und Sie meistens einer Menge Bedrohungen aussetzt. Bitte schaue dir How to Answer an , um eine Anleitung zum Schreiben guter Antworten zu erhalten.
Schützt FileVault vor Ransomware?
AntwortenHierDatenschutz-Bestimmungen1y, 1v