Mac OS X i (ne)sigurnost podataka
Objavljeno 27.04.2010. Objavio/la: Darko Kontin
U sekciji Tips & tricks, Škola | 39 Komentara
Mac nudi mnogo prednosti u odnosu na konkurenciju, a većina prednosti koje su utjecale na moju odluku o kupnji (a pretpostavljam i vašu) se nalazi u sistemu Mac OS X bez kojeg Appleov kvalitetan hardware ne bi imao smisla.
Mac OS X se reklamira kao brz, stabilan, otporan na viruse i ostalu “gamad” te siguran sistem. I premda smatram da su prve tri tvrdnje točne (korisnici sa problemima na Snow Leopardu se slobodno ne trebaju složiti sa tim) za ovu zadnju tvrdnju od danas više nisam toliko siguran.
Naime administratorsku šifru koja je “alfa i omega” sigurnosti cijelog sistema, i koja čuva sistem od neovlaštenih upada i korištenja vaših podataka, svatko (doslovno svatko) može promijeniti u manje od pola minute.
Dovoljno je ubaciti instalacijski DVD u Mac, prilikom startanja računala držat “C” tipku te iz Utilities izbornika pokrenut Reset Password postupak. Nakon što upišete i potvrdite novi password Vi, ili onaj koji vam neovlašteno upada u računalo, imate nove administratorske podatke za taj Mac.
No budite bez brige jer postoji riješenje a to je zaštita Firmwarea šifrom što će rezultirati nemogućnošću startanja računala sa bilo kojeg drugog diska (hard diska, DVD/CD medija, target disk moda, itd.) osim glavnog bez unosa te šifre. Znači ni ovaj trik gore neće biti od koristi ako aktivirate ovu šifru.
Za aktiviranje Firmware šifre:
- ubacite instalacijski DVD u Mac
- u Finderu otiđite na Go->Go to folder
- utipkajte /Volumes/Mac OS X Install DVD/Applications/Utilities
- i pokrenite Firmware Password Utility te slijedite daljne upute.
Naravno budite sigurno da to želite učiniti jer ako zaboravite ovu šifru Apple vam više neće na pladnju ponuditi zamjenu stare šifre kao što je slučaj sa administratorskom šifrom.
I premda će stariji Mac korisnici najvjerojatnije bit upoznati sa ovom mogućnošću, neki noviji switcheri poput mene koji nisu imali potrebe za reinstaliranjem sistema (a budimo realni takvi su skoro svi jer Mac jednostavno “radi”) za ovu opciju nemaju pojma.
Nemojte me krivo shvatiti, ne smeta meni što postoji takva opcija jer sigurno postoji dobra primjena za nju, ali me smeta što se sistem reklamira kao siguran “out of the box”, a on to nije. I većina korisnika će postavljanjem administratorske šifre misliti da su riješili problem sigurnosti što nije istina. Da je bar stavljena neka obavijest kod prvog pokretanja sistema da administratorska šifra ne vrijedi baš ništa pa da se korisnik uputi ako želi ovu “dodatnu” (po meni osnovnu) sigurnost svojih podataka gdje i kako je može aktivirati.
Eto nakon 2 i nešto godine kako sam Mac korisnik napokon mi je Mac OS X pošteno digao tlak s ovom glupošću 
.
NAPOMENA: Premda sam već naglasio u tekstu da prije aktiviranja firmware šifre na svom Macu trebate biti sigurni da to stvarno želite učiniti, predlažem da prije toga prođete i komentare ispod ovog teksta (pogotovo Ivanove) i tek ako ste tada 100% sigurni da to želite učiniti postavite tu šifru. Jer ispostavilo se da ni od te šifre nema velike koristi ako vam netko stvarno želi doći do podataka, pa da si ne stvarate nepotrebnog posla.
Tagovi: Ovaj članak nije označen ni jednim tagom.
Komentari:
39 komentara na “Mac OS X i (ne)sigurnost podataka”
Ostavi komentar
Tagcloud:
Anketa
Loading ...Top komentari
-
0 (0) Marin: U googleu jos uvik ne vladaju tom tehnologijom na zadovoljavajucoj razini? Korisnik sam... - 0 (0) miki: Da li je moguče da se raspravlja o nečemu što se nije proučilo i da se toliko uporno...
- 0 (0) miki: Što se tiče ovih što trkeljaju o budučnosti smartfona i za što bi se trebali koristiti,...
- 0 (0) te-nej: Pa baš mi je milo da ipod slavi 10-ti rođendan, ali evo zašto ipak neću doći na tulum....
- 0 (0) triska: Kao prvo, svaka čast Dottore, već sam pomislio da si odustao od MacKorisnika. Što se...
-
Copyright
RSS
Newsletter
Loading ...
Neznanje nije isprika …. to (tj. slično) riješenje postoji još od Sistema 7 ….
Naravno da ne znanje nije isprika ali ovakve stvari bi se IMO definitivno trebale naglasiti. Jer ponavljam da u sistemu koliko god tko htio kopat i informirat se ne moze naici na ovu informaciju. A sumnjam da korisnici kad krenu koristiti Mac prvo u google ukucaju “hoelw to jack my mac”
Daj Piko pohvali momka na odličnom članku a ne besmisleno pametovat! To što ti znaš za rješenje problema, neznaći da mi ostali znamo!
Bravo Darko!
Ne znam čemu ovakvo čuđenje… na svim OS-ovima ako se ima fizički pristup računalu moguće je promjeniti administratorski pass u roku minuta…
A ako toliko držiš do sigurnosti računala da ga se netko drugi može fizički dočepati to dovoljno govori o osjetljivosti podataka i štaliveć.
Tnx Darko,
ovo bi mi bilo pametno napraviti barem na laptopu.
Pohvala za članak i drago mi je da ima novih članaka na MacKorisniku.
Kad ti se netko dočepa kompa (mac, linux, windows, unix…) pozdravi se sa sigurnošću podataka. Nema sigurnog Os-a.
@QuadMachine: pa ako je stvarno tako onda je to veliki problem ne samo Mac OS x sistema. Čemu onda bilo kakve šifre na sistemu ako svatko tko sjedne za računalo može lako pristupiti tim podacima ?
Shvatio bi da je možda potrebno posebno znanje pa da se hakira sustav da se dođe do te informacije… ali ovo je lagano poput instalacije aplikacija na Macu. A tako nešto ne bi trebalo biti svima dostupno.
@Mapet: ma jasno mi je da ako dođe u profi ruke da nema tog sistema koji će zaštiti moje podatke… ali barem bi ih od obitelji, prijatelja i običnih lopova trebao moći zaštiti
to je zapravo ono što me muči što bez ikakvog znanja možeš mijenjat
@Darko Aha. Znači radi se o pornografiji…
Šalim se. Mislim da ti to nitko od obitelji i prijatelja ne bi napravio jer bi morao resetirati lozinku, a ti bi to onda doznao. Kod windoza i linuxa je drukčije, jer je hackirati lozinku pre lako, pa ti i ne znaš da ti netko kopa po kompu.
Ali, svaka čast na članku, toga se nisam dosjetio.
Ma ne bi ulazio u sve mogućnosti zašto, kako i tko bi htio iskoristiti ovu mogućnost… jednom kad se dođe do podataka slaba mi je utjeha to što vidim da je netko prčkao po sistemu kad je već sve “vani”.
Premda nemam toliko važnih stvari za zaštiti ipak mi se ne sviđa ideja da netko do tih podataka može doći bez truda. S razlogom su neke stvari privatne
I naravno da nije riječ o pornografiji… to se drži na eksternom disku odvojenom od sistema
Malo je bzvz što si članak napisao u tom n00b stilu: “Ljudi, danas sam ukucao format C: i nema mi više sistema, ste znali za to?”
Ako ništa drugo, utiče na sliku MK, koji zbog ovakvih članaka može steći glas “klinci istražuju” bloga.
Darko, sasvim je logično da Apple očekuje da oni kojima to zaista treba, samo “otkriju” postojanje dodatne, ozbilje sigurnosne razine.
Da se prilikom prvog pokretanja računala odmah ponudi zaštita firmware šifrom, siguran sam da bi dobar dio ljudi, kojima to uopće ne treba računalo i na taj način zaštitili, a dobar dio njih, jer je većina naprosto takva, bi tu šifru zaboravilo. Ili bi odabrali šifru “šifra” ili tako nešto.
Ovako je ovo ostavljeno za napredne, koji u roku 5 minuta nađu informacije o ovoj postavci i kojima stroža zaštita zaista treba.
Ajd to stoji i ima mi smisla.. samo eto ja kroz dosadašnji radi nisam nigdje naišao na tu informaciju u samom sistemu i stvarno mi nikad nije palo na pamet potražiti kako zaobići admin šifru pa da me google upozori na ovo i da tako dođem do te informacije.
Učiš dok si živ
Rijecima Zvone Radikala: momak, omasio si ceo fudbal.
Danasnja definicija sigurnosti ne podrazumijeva da ti netko tko ima fizicki pristup stroju nemoze upasti.
Ako malo razmislis o tome sto si napisao, reci mi tocno sto bi nekoga tko ocito ima pristup stroju sprijecilo da izvadi tvoj disk i ubaci ga u drugi mac na kojem nema sifre na firmwareu?
Takve situacije se rjesavaju normalnim medjuljudskim odnosima sa ljudima s kojima dijelis zivotni prostor.
Pozdrav
Ovo nije bug vec feature
Ako zelis zastiti neke privatne podatke Os X nudi to out of box u Disk Utilityu. dovoljno je otici na new>Disk Image i odabrati size i enkripciju. Mislim da ce ti 256bit AES biti dovoljan
Naknadno ga jos mozes uciniti nevidljivim (mislim da ce cak i trick sa tockom ispred filenamea posluziti ali nisam 100%) i voila imas poprilicno dobar sigurnosni sistem
Yep, koristim to i super jednostavno rješenje za zaštitu dokumenata… samo se nadam da ne postoji neki easy way kako i to zaobići za koji još ne znam
Bilo koji disk commander može prikazati skrivene fajlove (. ispred imena)
Osiguravanje bilo kojeg OSa bez neke luđačke enkripcije… a-a. Ne bu išlo
Ako recimo pretpostavimo da se neće vaditi disk, onda BIOS/firmware password može biti dosta, no inače:
1. Linux
Ubaci live-cd, montiraj particiju, i deri brate.
2. Windows
Ubaci Linux live-cd, montiraj particiju, i deri brate.
3. Mac OS X
Već pogađate… Ubaci Linux live-cd, montiraj particiju, i deri brate.
Na Unixoidima, “su -c chroot /path/” iz terminala, “passwd”, novi password… deri brate.
Jedino nekakvom enkripcijom root particije koja bi se otključala passphraseom + passwordom na BIOSu/firmwareu, a u slučaju nekih laptopa i passwordom na disku, može se donekle osigurati podatke od “normalnih” napasnika. Ali, želi li se svaki put kad se otvori računalo iz standbyja upisivati HDD password? Ne govorim o Macu nego o svom starom Dell Inspironu. Također, kakva korist od passworda na firmwareu ako se MacBook stavlja u standby? A koliko ja shvaćam, ideja je da se MacBook tako koristi — zato se i destandbyjizira tako brzo, a boota relativno sporije?
Sad — najveći problem, kolega, je da se zalažete za veću proširenost informacije o firmware passwordu. E da — kao da nije dovoljno često bilo potrebe za resetiranjem passworda (hence password reset utility) nego treba ljude zaspamati sa potrebom postavljanja passworda koji, ako zaborave, mogu slobodno nositi računalo na servis? Želi li Apple ipak toliko brinuti za kupca?
Security vs convenience.
Iskreno, nije li Mac OS X baš najsigurniji po tome što u par klikova čovjek može kriptirati cijeli home folder? Sad reć da je nesiguran jer se, eto, možda nekako može uletiti u podatke koji nisu na kriptiranom home folderu, nego u onom nekriptiranom, jel…
Dodatno, @Mario:
U bilo kojem programu pod Snow Leopardom, File->Open, i zatim Command+Shift+. (dakle komend-šift-točka)
Fino, zar ne?
(A hiper-korisno programerima)
Također, finder se može natjerati da prikazuje dot-fajle, ali to je ružno i iritantno jer ih ima doslovce svagdje…
Na kraju je ovo ispao kontroverzan tekst. LOL. E Darko, stvarno si se usosio!
Uglavnom, slažem se s mnogo stručnijima od mene: firmware password je gotovo paradoks na Mac-u, kojeg Apple preporuča da se stavlja u sleep, a ne da ga se gasi.
Ako se netko i dočepa računala na dovoljno vremena da može bootati sistemski disk i resetirati admin password (dakle zna za tu mogućnost), onda taj valjda zna da i firmware password može zaobići na način kako je naveo Ivan Vučica.
Što više o tome razmišljam, čini se da je taj feature jedna od nepotrebnih nebuloza OS X-a jer pruža samo mrvicu veću zaštitu od običnog admin passworda, a ionako nema smisla ako se radi o uključenom računalu.
Mislim da je čak i štetno ovako “reklamirati” tu opciju, zbog razloga koje sam već naveo: ljudi passworde zaboravljaju, a reset firmware passworda nije trivijalan poput reset admin lozinke pa je bolje da se u to petljaju samo oni koji znaju što rade.
@Rope: ma zašt bi se usosio… više bi rekao da sam imao krivo stajalište u startu koje se lijepo demantiralo kroz (večinom) konstruktivnu i kulturnu raspravu.
Budem javio Toniju da doda onda još jednu napomenu na kraj teksta da ljudi obrate pozornost na Ivan-ov a i druge komentare
Ovo je po meni više članak za forum, a ne za portal. Kako je netko već spomenuo, možda bi ovo išlo na štetu MK. Puno se više nauči iz komentara nego is samog članka, što po meni nije neki plus za neki poznati portal poput ovog. NHF Darko.
Pohvale Darko za članak! Ne mogu se složiti sa ovima što kažu da “ovo nije članak za forum”.. čak dapače, trebao bi bit netko tko će pisati članke iz kuta jednog switchera.. o najbanalnijim stvarima, od samih kratica koje se koriste do nekih zgodnih hints&tricks..
Nije da je ovo portal za magistarske radove i doktorate.. nego za korisnike Mac računala (bili oni višegodišnji ili se tek switchali)..
da ispravim sam sebe, u drugoj rečenici treba ić “ovo nije članak za portal”
@switcher:
Ma daleko od tog da ne treba ljude naučiti da to postoji! Svakako da treba znati što postoji. Po tom pitanju članak je super.
Problem nastaje u tome da se prezentira Mac OS X kao nešto što nije po defaultu sigurnije od drugih OSova, i da treba zapatchati to s nečime što bi prouzročilo inače bespotrebne odlaske na servis, a uz relativno malo koristi (jer je kriptiranje home direktorija bolje rješenje koje se afaik neće probiti resetom passworda).
I zatim se prigovara na firmware password nije dovoljno razglašen.
Opet, članak je dobar kao tutorial, i po tom pitanju je kul za ovakav blog, no opinion koji se iznosi malo zeznut. Istaknuo bih da ovo nisu osobni napadi ni išta takvoga — samo moje mišljenje (koje naravno ne mora biti točno — slobodno argumentirajte svoje mišljenje, it’s a free web).
I da, @Darko: Keep up the good work!
@switcher Izvini, ali tvoja definicija ispada da je switcher onaj ko nikad nije reinstalirao OS X ili izvadio HDD.
Ja sam switcher (od 2006.) i stvari koje je Darko napisao u članku su mi banalne, ali detalj koji je napisao Ivica (Cmd+Shift+.) mi je nov.
Switcher ne znači da neka osoba ne zna više od nekog ko radi sa Macovima duže od switchera.
Dajte ljudi, skinite se Darku s grbe. Dečko se potrudio napisati članak i zaslužio je pohvalu. Ovdje bi trebali biti članci za sve Mac Korisnike, n00b i l337
Tako da, Darko, svaka ti dala, a Vi ostali koji negodujete, izvolite napisati nešto bolje.
Pozdrav iz Osijeka.
Pazi Stipe, publika ima pravo da se čuje. Nije rečeno (barem ja nisam, ali nije ni neko drugi), da je Darko nepismen, da ne zna šta piše ili o čemu piše. Nekome se tema dopala, nekome to što je naučio nešto novo, a nekome se nije dopala ideja za članak, pristup i sl.
A da li neko od ljudi koji ga hvale ili kritikuju nešto pišu je potpuno irelevantna stvar. Ovde svi učestvujemo kao čitalačka publika, a ne kao lektori ili učitelji.
@Mario – tebi banalne, nekome drugome nisu banalne.. Ponavljam, nije portal samo za “magistarske radove il doktorate”, portal je za ‘sve’. Dapače, portal je i za korisnike drugih OS-a da se pobliže informiraju od Mac OS-u pa na ovaj način i ovakvi članci možda doprinesu switchanju/ne switchanju. Pa i ovakvim popratnim komentarima čitatelja.
I apsolutno si u pravu, publika se ima pravo čuti, ti sa svojim mišljenjem, ja sa svojim.
…iskreno… ovo je za forum a ne za portal
…kao da je netko otkrio BIOS password na standardnim PCima (koje se usput može jednostavno resetirati na svakoj matičnoj ploči)
…kod Mac-a se makne ili doda jedan keks RAM-a i resetira PRAM 3 puta na PPC strojevima (OpenFirmware), a na IntelMacovima (EFI) bi trebalo biti isto, … a ako se stroj može bootati password se makne sa Install DVDom preko terminala (treba Admin acc za uklanjanje EFI passworda)) …. toliko o sigurnosti
eh, da, …. i Mac OS X je out-of-the-box najsigurniji jer ima sistemsku enikripciju home foldera bez ikakvog dodatnog softwarea, to što to nije i po defaultu uključeno je sasvim drugi par rukava …. onaj kome to treba će si to uključiti pa niti fizički pristup stroju neće pomoći da se dođe do podataka…
@Darko
“Usosio” si se jer si tekst napisao bez ikakve ili bez dovoljne pripreme (čitanja, razmišljanja).
Aktivnost i trud je za svaku pohvalu, naravno, ali te dobronamjerne kritike ne bi trebale ljutiti, pogotovo ako imaš novinarskih aspiracija (a da nemaš, ne bi povremeno ovdje objavljivao).
Firmware password u smislu apsolutne zaštite podataka od, kako si naveo “obitelji, prijatelja i običnih lopova” nema neke prevelike koristi. Ionak Mac držiš u sleepu, a ako ti netko ukradne laptop i zna resetirati admin password, onda će se snaći i s firmware passwordom, ili će u roku 5 minuta rješenje pronaći na google-u.
Recimo, zanimljiv i poučan svima bi bio tekst o sigurnosti OS X-a u cjelini, o svim ovim opcijama, zamkama i smislu pojedinih zaštita. Samo to je dosta posla…
Fulana je poanta i u clanku i u komentarima. Firmware password je tu prvenstveno da stiti MacBook od bootanja s neceg drugog osim odabrne particije. Dakle u slucaju da vam netko ukrade MacBook, moze on izvadit disk i od tamo podatke da ih ne znam kako zastitite, al kad taj disk formatira il stavi novi, MacBook nece bootat s njega bez passworda.
Takoder, ovo sto je Ivan Vucica spomenuo s Live CD distrama Linuxa, ne vrijedi za MacBook s postavljenim firmware passwordom. Odnosno vrijedi za njegov disk koji je izvaden i na neki nacin spojen/stavljen na/u drugi komp s kojeg se moze bootat Live CD. Al MacBook ostaje neupotrebljiv bez passworda, osim ako lopov promijeni maticnu koja kosta otprilike kao polovni stroj
Dakle, firmware pass je tu da štiti RAČUNALO, a ne podatke… Ima logike.
Podatke se štiti enkripcijom foldera ugrađenom u sam sustav ili nekim third party rješenjem!
@rope
@Filip Radelić
Pitali ste kako mislim bootati Live-CD dok je firmware password aktivan…
Rečenica:
“Ako recimo pretpostavimo da se neće vaditi disk, onda BIOS/firmware password može biti dosta, no inače:”
Doduše tad nije ni bitan live-cd. Ali dobro.
@rope: ah da… malo pred rudo je bilo :/ bit će bolje next time I promise
Sorry Ivane, zaletio sam se malo s tim pitanjem bez da sam procitao sve. Kao sto vidis, komentar sam odmah preformulirao, al tebi je vjerojatno na mail doslo ono sto sam prvo napisao
jako koristan članak. naročito pri slanju stroja u servis
Nema ljutnje, ali ovo je ipak malo nooberski ispalo! I nisam neki hacker baš, i novi sam na macu, pa sam ovo znao i čudim se čemu se Darko toliko čudi!? Mislio sam da je našao zbilja nekakav propust, ali ovo je sve taman kako treba biti, pa dobro jutro da se to može na svakom računalu kojem imaš fizički pristup!
A ono za firmware password isto svi znaju, pa čemu toliko čuđenje!
Još jednom, bez ljutnje, samo kažem kako mislim, ali okej ima sigurno i ljudi koji to ne znaju, pa im je ovo dobro došlo kao informacija!!!