SICUREZZA - CRIPTARE L’INTERO HD

[onelioo]

Ad oggi la miglior soluzione per la sicurezza dei dati è la criptazione dell’intero disco, sistema operativo compreso.
Non è sufficiente cancellare in modo sicuro dei files, alcuni programmi lasciano tracce di swap e/o backup in giro.
Inoltre può non essere sufficiente eliminare soltanto i dati: le tracce dell’attività svolta possono essere altrettanto riservate.
Criptando l’intero disco si evita l’accesso ad ogni cosa.

Rimangono comunque dei rischi.

Escludo dalla trattazione i casi in cui l’attaccante si procura la password con diversi sistemi; mi riferisco soltanto all’impiego di keylogger installati nella macchina via Internet.
In particolare mi riferisco al caso in cui l’attaccante installa da remoto un keylogger procurandosi la password e successivamente arriva ad avere accesso fisico alla macchina.
Per evitare il problema occorre un SW di criptazione del disco con anche una strong authentication (per esempio token USB). In questo modo l’attaccante, anche se entrato in possesso della password, non può accedere al disco, supponendo che il token sia custodito adeguatamente dal proprietario.

Sw di criptazione:
- PGP Whole Disk (commerciale)
- Check Point Full Disk Encryption (commerciale)
- True Crypt (gratuito)

PGP WD funziona perfettamente (lo utilizzo normalmente). Ahimè, prevede la possibilità di strong authentication soltanto per Windows, chissà perché.

Check Point FDE (fra l’altro è anche in italiano) prevede in teoria la strong authentication, ma il venditore italiano mi dice questo:
La soluzione FDE Workstation è compatibile con Mac OSX 10.5 e 10.6. Mi duole però informarla che non c'è il supporto per i Token USB, in quanto vengono accettati Token con lo standard ANSI X.9.9 del 1986. Tale standard prevede che sia usato il protocollo di crittografia DES, ormai superato e non più implementato dai principali produttori di Token.

True Crypt non cripta l’intero disco di sistema in OSX (in Windows sì, chissà perché).

Qualcuno conosce delle soluzioni per risolvere il problema?

[ndin]

Ciao. Ma FileVault non è sufficiente? (chiedo per avere chiarimenti sulle eventuali differenze).

[onelioo]

Ciao. Ma FileVault non è sufficiente? (chiedo per avere chiarimenti sulle eventuali differenze).

File Vault non l'ho mai usato perché so che da una serie di problemi e non mi fido della sua "inaccessibilità".
Comunque il problema è lo stesso: File Vault ha solo la psw, niente strong authentication.

La domanda era: conoscete dei sw di criptazione full disk con stong authentication per OSX?

[ndin]

Ti ringrazio per il chiarimento. Mi viene in mente, in mancanza d'altro, di una soluzione ibrida. Ovvero Filevault o altro SW per criptare il disco e un programma di accesso al mac che richieda un USB inserita con la chiave SW per effettuare il login. Ne avevo visto uno gratuito tempo fa. Se mi viene in mente il nome, lo posto.
Spero possa essere, almeno in parte, utile.

[ndin]

Eccolo. http://www.rohos.com/products/rohos-logon-key-for-mac/
Ricordavo male: non è gratis, ma sembra fare quel che dicevo. Spero sia anche utile a te.

[pierecall]

pensavo fulewault fosse sufficiente alla problematica

[onelioo]

Eccolo. http://www.rohos.com/products/rohos-logon-key-for-mac/
Ricordavo male: non è gratis, ma sembra fare quel che dicevo. Spero sia anche utile a te.

PGP ha uno startup suo che avviene prima dell'avvio di OSX. Questo dispositivo probabilmente serve ad autenticare l'avvio di OSX, ma per arrivarci bisogna prima autenticarsi nella schermata PGP. Sarebbe interessante se lo potessero fare per autenticare l'avvio di PGP; ho scritto loro facendo questa richiesta, vedremo.

Grazie comunque!

[onelioo]

pensavo fulewault fosse sufficiente alla problematica

Mac OS X 10.x -> 10.3.x versions all write plain test data to virtual memory swap files stored at /private/var/vm/ in the format: swapfile0, swapfile1, etc. Research has shown that swap files can contain passwords from File Vault, login and KeyChain - nullifying the protection they provide. Access to swapfiles can be made through admin access or via startup from an external drive, another partition, OS X or other startup CD. Full open firmware protection will not protect your computer from this if the attacker has physical access to the computer it can be quickly bypassed. Swap files are erased unsecurely at startup, and will leave traces of data over the entire start-up disk/partition.

http://hints.macworld.com/article.php?s ... 9191855264

[ndin]

Se hai esigenze di estrema sicurezza, e non come molti comuni mortali, di criptare solo dei files "delicati (carte di credito, documenti di lavoro, le foto con l'amante ecc...), ti consiglio vivamente di pensare a soluzioni con riconoscimento dell'impronta. Ne esistono di compatibili con mac. Se blocchi l'accesso ed hai attivato PGP non dovresti avere molti problemi. Rohos è sicuro ma è, almeno teoricamente, sbloccabile, visto il sistema misto password e chiavetta indipendenti.

[onelioo]

Se hai esigenze di estrema sicurezza, e non come molti comuni mortali, di criptare solo dei files "delicati (carte di credito, documenti di lavoro, le foto con l'amante ecc...), ti consiglio vivamente di pensare a soluzioni con riconoscimento dell'impronta. Ne esistono di compatibili con mac. Se blocchi l'accesso ed hai attivato PGP non dovresti avere molti problemi.

Quando hai PGP la prima cosa da fare è introdurre la sua password. Come ho già scritto, PGP non prevede una strong authentication. E' questo il punto. Il riconoscimento biometrico funziona a valle di PGP, non a monte.
Inoltre il sistema è meno sicuro, perché ti può sempre essere richiesto di dare la tua impronta; se l'autenticazione vuole un token, e il token non è a portata di mano (o è ben nascosto), il disco non parte.

[RickS]

Eccolo. http://www.rohos.com/products/rohos-logon-key-for-mac/
Ricordavo male: non è gratis, ma sembra fare quel che dicevo. Spero sia anche utile a te.

PGP ha uno startup suo che avviene prima dell'avvio di OSX. Questo dispositivo probabilmente serve ad autenticare l'avvio di OSX, ma per arrivarci bisogna prima autenticarsi nella schermata PGP. Sarebbe interessante se lo potessero fare per autenticare l'avvio di PGP; ho scritto loro facendo questa richiesta, vedremo.

Grazie comunque!

Non proprio, ne soenso che PGP non fa nessuna autenticazione su OSX.
PGP cripta l'intera partizione di OSX, quindi, aggiunge una sua partizione, dove installa il suo sistema di boot.
Da qual momento in poi il Mac fara` il boot dalla partizione di PGP, che proveddera` a decriptare al volo la partizione su cui risiede OSX, ovviemante dopo aver digitato la password di criptazione di PGP

[RickS]

Se hai esigenze di estrema sicurezza, e non come molti comuni mortali, di criptare solo dei files "delicati (carte di credito, documenti di lavoro, le foto con l'amante ecc...), ti consiglio vivamente di pensare a soluzioni con riconoscimento dell'impronta. Ne esistono di compatibili con mac. Se blocchi l'accesso ed hai attivato PGP non dovresti avere molti problemi.

Quando hai PGP la prima cosa da fare è introdurre la sua password. Come ho già scritto, PGP non prevede una strong authentication. E' questo il punto. Il riconoscimento biometrico funziona a valle di PGP, non a monte.
Inoltre il sistema è meno sicuro, perché ti può sempre essere richiesto di dare la tua impronta; se l'autenticazione vuole un token, e il token non è a portata di mano (o è ben nascosto), il disco non parte.

Sei sicuro riguardo alla strong authentication, perche` mi sembrava che una delle aggiunte alla ultima versione di PGP uscita poco fa` fosse proprio l'aggiunta della strong authentication con OSX.
L'altra grossa differenze rispetto alla versione rpecedente e che finalmente si puo usare il WDE anche si si ha gia` installata una partizione bootcamp.

[onelioo]

Non proprio, ne soenso che PGP non fa nessuna autenticazione su OSX.
PGP cripta l'intera partizione di OSX, quindi, aggiunge una sua partizione, dove installa il suo sistema di boot.
Da qual momento in poi il Mac fara` il boot dalla partizione di PGP, che proveddera` a decriptare al volo la partizione su cui risiede OSX, ovviemante dopo aver digitato la password di criptazione di PGP

Correttissimo. Mi sono espresso male.

[onelioo]

Sei sicuro riguardo alla strong authentication, perche` mi sembrava che una delle aggiunte alla ultima versione di PGP uscita poco fa` fosse proprio l'aggiunta della strong authentication con OSX.
L'altra grossa differenze rispetto alla versione rpecedente e che finalmente si puo usare il WDE anche si si ha gia` installata una partizione bootcamp.

Non ne ho notizia, le note agli aggiornamenti che mi hanno mandato non ne parlano. Gli ultimi aggiornamenti riguardano soprattutto una risoluzione di un grave problema a seguito degli ultimi upgrade di 10.6 (grave: l'upgrade di apple non metteva più in condizione PGP di decrittare il disco... ahi ahi questi continui aggiornamenti... per fortuna mi sono ben guardato, sinora, di usare 10.6).
Se fosse come dici tu avrei risolto il mio problema; puoi darmi indicazioni più precise per favore?

[RickS]

Sei sicuro riguardo alla strong authentication, perche` mi sembrava che una delle aggiunte alla ultima versione di PGP uscita poco fa` fosse proprio l'aggiunta della strong authentication con OSX.
L'altra grossa differenze rispetto alla versione rpecedente e che finalmente si puo usare il WDE anche si si ha gia` installata una partizione bootcamp.

Non ne ho notizia, le note agli aggiornamenti che mi hanno mandato non ne parlano. Gli ultimi aggiornamenti riguardano soprattutto una risoluzione di un grave problema a seguito degli ultimi upgrade di 10.6 (grave: l'upgrade di apple non metteva più in condizione PGP di decrittare il disco... ahi ahi questi continui aggiornamenti... per fortuna mi sono ben guardato, sinora, di usare 10.6).
/quote]

In realtà il problema e` del software WDE di PGP che ha sempre avuto un sacco di problemi, oltre ad essere stato sempre in ritardo con gli update di OS X, per windows sono molto piu` celeri, Apple rilascia un sacco di beta per gli sviluppatori prima di rilasciare la versione finale, solo che quelli di PGP in molti casi se ne fregano, tardano a rilasciare i loro update.
Non e` la prima volta che accadono di questi problemi, ne sono accaduti anche al tempo di OSx 10.5 e 10.4 sia con il WDE sia con il software normale di PGP, ad esempio con la prima versione non dissero subito dei problemi a cui si poteva andare incontro nel caso si fossero avuta piu` di una partizione.
E` una delle ragioni per cui alla fine o preferito rimuovere il WDE dal mio Mac.

Se fosse come dici tu avrei risolto il mio problema; puoi darmi indicazioni più precise per favore?

Be l'unica e` guardare direttamente sul loro sito e sul forum, io mi ricordo che poco prima che uscisse l'ultima versione si diceva che avrebbe incluso anche il supporto alle chiavette USB come sistema di accesso al posto della Password.

comunque prova anche a guardare qui:
http://www.safenet-inc.com/sentinelhasp/

In alternativa l'unica soluzione e` quella di utilizzare yubico

http://www.yubico.com/

In pratica si tratta di una specie di tokens usb dove tu poi salvare le chiavi che vuoi, anche solo una, oppure od una serie chiavi diverse soggette a determinate regole, che verranno inviate quando l'utente premerà il pulsante presente sulla chiave yubico, in pratica tu ti crei una password bella lunga quindi la dividi in due parti una parte breve la impari a memoria mentre l'altra lunga la carichi su yubico, al moneto di fare il boot dal mac quando PGP o un qualunque altro sistema ti chiede la password, tu prima digita la tua parte di password, quindi premi il pulsante sulla chiave yubico e lei immetterà l'altra parte, visto che il mac la vede come una normale periferica di input.
Certo non e` proprio una Strong authentication ma ci si avvicina abbastanza.