@radneuerfinder: Da bist Du mir ein paar Minuten zuvor gekommen. Ich wollte auch darauf hinweisen.
Diese Lücke ist eigentlich keine FileVault-Lücke, sondern betrifft alle Verschlüsselungssysteme (FileVault, BitLocker in Windows, TrueCrypt) und ist eigentlich eine Firewire-Lücke, die so gewollt ist. Besser macht es das alles nicht.
Mal zusammenfassend:
- Man benutzt FileVault 2, BitLocker oder TrueCrypt ja deshalb, weil man möchte, dass die Daten keinem Unbefugten zugänglich sind. Das ist im Diebstahlfall oder auch bei unbemerktem physischen Zugang eines Unbefugtem zum Gerät. Bei abgeschaltetem Gerät sind diese nach bisherigem Kenntnisstand bei gutem Kennwort auch sicher und nur per Brute-force zu knacken.
- Wenn das System allerdings läuft, dann muss es ja irgendwie auf die Daten zugreifen können und benötigt dafür einen Schlüssel. Denn hat der Benutzer beim Starten eingegeben. Der Schlüssel muss im RAM gehalten werden, um benutzt zu werden.
- Normalerweise sollte und kann kein Prozess auf dem betreffenden Rechner den Schlüssel aus dem RAM extrahieren, denn dazu müsste der Prozess entsprechende Rechte haben. Ohne Sicherheitslücke im System ist das nicht drin.
- Die verlinkte Firma geht aber von einem anderen Rechner aus über eine Firewire-Verbindung aus vor und nutzt ein Feature von Firewire, was wir hier schon öfters kritisch angemerkt haben. Die Firewire-Schnittstelle kann per DMA direkt auf das RAM zugreifen völlig an der CPU und dem laufenden System vorbei. So kann der andere Rechner in Ruhe das komplette RAM auslesen und dort nach dem Kennwort suchen. Da das ganze ein Feature und kein "Fehler" von Firewire ist, kann es auch nicht einfach durch einen Patch behoben werden.
Fazit:
- Sind die Rechner ausgeschaltet, dann sind die Daten sicher vor diesem Angriff.
- Ist der Rechner eingeschaltet oder im Schlafmodus, dann sind die Daten nicht sicher.
- Abhilfe macht nur ein Abschalten der Firewire-Schnittstelle. Geht das auf einem Mac? Müsste wenn überhaupt im EFI passieren, oder?
