¡Buena habradnya!

Hoy te contaré, querido habralyudi, cómo almacenar tus datos en la nube y no preocuparte por ellos. Más precisamente, hablaré de una oportunidad interesante para crear una imagen de disco cifrada en Mac OS X utilizando el propio sistema.

Para los usuarios experimentados (a quienes les pido que no juzguen demasiado duramente), no hay ningún beneficio en este tema, no pueden distraerse. Pero estoy seguro de que a muchos la información les puede resultar útil.

Entonces, ahora crearemos una imagen cifrada usando la Utilidad de Discos y la guardaremos en Yandex.Disk (afortunadamente, ahora le permite almacenar datos cifrados).

Primero, abramos la Utilidad de Discos. Para hacer esto, abra la carpeta "Utilidades" en el iniciador y busque allí el programa deseado. Ahora haga clic en "Nueva imagen".

Ahora configuremos nuestra nueva imagen. Para empezar, que tenga un tamaño de 500 metros. ¿Pocos? Bueno, lo haremos crecer para poner allí tantos datos como queramos. Además (queremos cifrar, ¿no?), seleccionamos el método de cifrado. Rápido o confiable. Y finalmente, seleccionamos la ubicación de almacenamiento del disco (es decir, la carpeta Yandex.Disk), el nombre del archivo y el nombre del disco en sí, que se mostrará en el Finder.

Haga clic en el botón "Crear" e ingrese su fecha de nacimiento, su contraseña buena y segura. Opcionalmente, podemos desactivar recordar esta contraseña para mejorar la seguridad.

¡Todo! ¡La imagen del disco está lista, se encuentra en la nube de Yandex y está encriptada! Si desmarcó la casilla de verificación "Guardar contraseña" (o abrió su Y.Disk en otra amapola), cuando intente abrir el archivo mydata.sparseimage, aparecerá el siguiente cuadro de diálogo para ingresar la contraseña:

Si la contraseña es correcta, la unidad se conectará y se abrirá en Finder.

Bueno, ahora puedes abrir esta unidad desde cualquier Mac, trabajar con su contenido y no preocuparte por la seguridad de los datos. Lo único que requiere pruebas es el trabajo simultáneo con una imagen de diferentes sistemas. Pero, dado que Ya.Disk almacena el archivo sólo en la nube, no debería haber grandes problemas. Ya sea con dropbox, jeje.

Os lo recuerdo de nuevo: El artículo está diseñado para conductores de amapola inexpertos o curiosos y no pretende ser innovador de ninguna manera. Dedicado al viernes nublado en Habré.

PD: Este método tiene una gran desventaja obvia: será posible trabajar con un disco de este tipo sólo en Mac OS X, punto. Sin Windows/Linux/Android/iOS. Si conoce buenos discos cifrados multiplataforma, cancele su suscripción.

A medida que la capacidad de almacenamiento sigue aumentando y los precios bajan, las unidades flash están ganando popularidad. Particularmente atractiva es su capacidad para transferir cantidades significativas de datos en unidades USB portátiles. Sin embargo, su portabilidad tiene un inconveniente: es muy fácil perderlos. Esta receta le indica cómo proteger sus datos confidenciales del acceso no autorizado si pierde su unidad flash USB. Hoy en día, casi nadie cuestionaría la conveniencia de transferir datos de una computadora a otra en unidades flash USB portátiles regrabables. Sin embargo, esta comodidad tiene un inconveniente: un riesgo para la seguridad de los datos confidenciales. La capacidad de los medios portátiles está creciendo y ellos mismos se están miniaturizando cada vez más. Pero cuanto más pequeño es el dispositivo, más fácil es perderlo. Si esto sucede, no sólo perderá el dispositivo y los datos almacenados en él. De hecho, si estos datos son valiosos para usted o son confidenciales, está filtrando información.

En realidad, si pierde su unidad flash USB, en la mayoría de los casos, quien encuentre este pequeño milagro estará menos interesado en sus datos que en el propio dispositivo, para poder almacenar sus propios datos en él. Y aquí es necesario señalar un punto más. Estás usando tu unidad flash USB en una Mac y la mayoría de los usuarios están en Windows de todos modos. Si conecta su unidad USB a una computadora con Windows, Windows le pedirá inmediatamente que la formatee, por lo que es poco probable que los usuarios de Windows puedan leer sus archivos, incluso si están interesados ​​en lo que está almacenado en el medio que ha perdido. .

Pero aquí está el problema si el buscador está realmente interesado en el contenido de su unidad flash y, al mismo tiempo, tiene una Mac a su disposición. Por otro lado, también existe la posibilidad de que deje (olvide) su disco literalmente al lado de la Mac; entonces, cualquier usuario que pase accidentalmente podrá conectarlo a esta Mac y, por ejemplo, incluso tomar y copiar. sus datos a ellos mismos. Este es un escenario muy desafortunado y, para evitar que las cosas sucedan de esta manera, no basta con cuidar su unidad USB. Todos somos personas y las personas nos caracterizamos por la distracción y el olvido. En otras palabras, no tiene garantía de que no perderá los medios con sus valiosos datos. Evidentemente, en este caso, los datos deben protegerse del acceso no autorizado mediante una contraseña. Puedes hacer esto usando la aplicación Utilidad de Discos.

Cifrar una unidad USB

La primera decisión que debe tomar es determinar cuánto espacio en su unidad USB debe asignar para los datos protegidos con contraseña. Como regla general, una buena solución es proteger todos los datos. En este caso, cree una copia de seguridad de su unidad USB en su escritorio (simplemente arrastre y suelte todos los archivos y carpetas almacenados en ella en una carpeta separada). Es necesaria una copia de seguridad ya que deberá borrar todos los datos de su unidad flash para lograr su objetivo.

Después de crear una copia de seguridad, ejecute el programa Utilidad de Discos (ubicado en la carpeta /Aplicaciones/Utilidades) y utilícelo para reformatear la unidad USB. Después de reformatear, Mac OS X creará automáticamente un nuevo volumen y lo llamará Sin título. Puede dejar este nombre sin cambios o darle el nombre que desee.

Ahora el disco debería estar cifrado. En este paso, creará un archivo .dmg cifrado que se verá como un disco almacenado en un disco (esto puede parecer un poco desalentador). Para realizar esta tarea, regrese a la ventana del programa Utilidad de Discos y haga clic en el botón Nueva imagen. Inmediatamente después de hacer clic en el botón Nueva imagen, aparecerá un cuadro de diálogo que le permitirá configurar varias opciones para crear el archivo .dmg. Lo primero que debe tener en cuenta es elegir una ubicación para su nuevo archivo .dmg. Puede crear este archivo en su escritorio y luego moverlo a una memoria USB, pero también puede crearlo directamente en la unidad de destino.

Una vez configurada la ubicación del archivo .dmg, también puede configurar su tamaño. Aunque la Utilidad de Discos proporciona una serie de opciones para crear archivos .dmg predefinidos que se ajusten a las capacidades estándar de los medios típicos (CD, DVD, etc.), existe una alta probabilidad de que no encuentre una opción que coincida con el tamaño de su Unidad USB. Por lo tanto, seleccione la opción Personalizado en la lista desplegable Tamaño del volumen. Obviamente, debe especificar un tamaño menor que el tamaño real del disco físico, pero también debe tener en cuenta la sobrecarga que supone formatear el disco. Por ejemplo, en una unidad flash USB de 2 GB, el tamaño máximo de archivo de imagen era 1,7 GB.

Una vez establecidos la ubicación y el tamaño del archivo .dmg, deberá especificar el tipo de imagen que desea crear. En este caso la imagen debe permitir tanto la lectura como la escritura y al mismo tiempo estar cifrada. En la fig. se muestra un ejemplo de opciones de configuración para crear una imagen cifrada. 3.41.

EVITAR CONFUSION: Al crear una imagen cifrada, primero asegúrese de que cuando haga clic en el botón Nueva imagen, ninguno de los discos esté resaltado (es decir, no seleccionado). Si alguna unidad está resaltada, la Utilidad de Discos intentará crear una imagen de la unidad seleccionada en lugar de crear una imagen nueva e intacta. Sin embargo, si comete este error, no sucederá nada terrible, salvo que reciba un mensaje de error de recurso ocupado.

Haga clic en el botón Crear y su tarea casi estará terminada. Mac OS X le pedirá que ingrese y confirme una contraseña, después de lo cual se creará una nueva imagen de disco cifrada en su unidad USB.

CONFÍE EN LA AYUDA DE MAC OS X PARA CREAR CONTRASEÑAS Nota: Mac OS X incluye una útil utilidad para generar contraseñas: Asistente de contraseña (Fig. 3.42). Mac OS X no sólo puede evaluar la contraseña que ingresa, sino que también puede generar contraseñas con diversos grados de resistencia al descifrado. Haga clic en el botón de llave a la derecha del campo Contraseña y Mac OS X evaluará su contraseña. Haga clic en el botón con la imagen de dos flechas triangulares a la derecha del campo Tipo. Se abrirá una lista de opciones entre las que podrá seleccionar un tipo de contraseña.

Usando la nueva imagen

Entonces, todo el trabajo preparatorio ya está hecho y ahora todo lo que queda es comenzar a usar su nueva unidad USB cifrada. Su archivo .dmg está anidado en la memoria USB como una muñeca anidada, pero en el escritorio parecen dos volúmenes separados. Para colocar un archivo en un área cifrada del disco, arrástrelo allí con el mouse, después de lo cual podrá viajar de forma segura a cualquier lugar con datos cifrados. Cuando necesite copiar datos de un disco cifrado, conecte una unidad USB a su computadora, abra el archivo .dmg adjunto, ingrese la contraseña (Fig. 3.43) y podrá trabajar con archivos cifrados.

Para evitar el acceso no autorizado y las miradas indiscretas, OS X, como todos los sistemas operativos modernos, utiliza contraseñas de usuario. La mayoría de los controladores de Mac lo utilizan de forma natural, lo que garantiza la seguridad de su cuenta, en la que no se iniciará sesión hasta que introduzca la contraseña de usuario. Lamentablemente, existen varias formas que le permiten restablecer la contraseña de administrador y obtener acceso a toda la información almacenada en su computadora.

Los usuarios para quienes la seguridad de los datos es una prioridad absoluta seguramente querrán asegurarse contra tales cosas y evitar la posibilidad de acceso no autorizado a su información personal. Esto se puede hacer utilizando el motor de cifrado FileVault integrado.

La esencia de este método es que cuando habilita FileVault, será necesario ingresar la contraseña antes de cargar la cuenta y esto, a su vez, hará que sea inaccesible el uso de métodos conocidos para restablecer la contraseña (modo de usuario único, arranque desde un dispositivo externo). conducir, etcétera). Usar FileVault es quizás la forma más fácil de evitar todos estos intentos, ya que además de cifrar los datos en el disco, necesariamente requiere ingresar una contraseña en las primeras etapas del inicio del sistema. ¡Y eso es exactamente lo que necesitamos!

Para mayor claridad, simplifiquemos todo lo anterior y veamos cómo se ve encender la Mac antes y después de activar FileVault:

• Antes. Arranque > Modo de usuario único > Restablecer contraseña > Inicio de sesión raíz
• Después. Descargar > Solicitar contraseña de FileVault para obtener acceso

FileVault es extremadamente fácil de configurar y está habilitado en la configuración del sistema OS X:

1. Abierto Ajustes y ve a la sección Protección y seguridad, a la pestaña Bóveda de archivos.

2. Haga clic en el icono de candado e ingrese la contraseña requerida para habilitar el cifrado.

3. Si tiene varias cuentas, seleccione cuál de ellas utilizará cifrado.

4. Guarde de forma segura la clave de recuperación: si olvida su contraseña, será imposible acceder a sus datos sin la clave.

5. Elija si desea almacenar (cifrar) la clave de recuperación en los servidores de Apple o no. En caso afirmativo, elija tres preguntas e indique las respuestas. Según ellos, Apple te identifica si te comunicas con ellos cuando pierdes la clave.

6. Reinicie la computadora para aplicar los cambios y habilitar el cifrado.

Sin embargo, es importante comprender los riesgos y limitaciones que implicará el cifrado completo del disco. Esto se refiere a una posible caída en la velocidad de lectura del disco y la imposibilidad de recuperar tus datos por parte de cualquier persona, en caso de pérdida de la contraseña. Pero creo que esto no es un problema si decide dar un paso tan serio como habilitar el cifrado de disco; por definición, debe ser un usuario prudente y almacenar sus contraseñas de forma segura. Por lo tanto, difícilmente se puede recomendar el uso de FileVault al usuario medio, a diferencia de las unidades Mac, que tienen requisitos de seguridad especiales. Si es uno de estos últimos, le recomendaría habilitar FileVault y aprovechar al máximo el cifrado. Además, es muy útil desarrollar el hábito de bloquear siempre tu Mac, incluso si sales del lugar de trabajo durante unos minutos.

El cifrado primario de mi SSD de 120 GB, que estaba lleno a poco más de la mitad, tardó unos 40 minutos.

Por razones de rendimiento, el cifrado FileVault se utiliza mejor en Mac con SSD, aunque también funciona bastante bien con discos duros normales (pero aún así algunos usuarios informan una caída significativa en la velocidad de lectura/escritura en este caso).

Como ves, Apple vuelve a confirmar la viabilidad de su sistema operativo, que incluye todas las herramientas necesarias. FileVault es un excelente servicio de cifrado de datos con beneficios de seguridad adicionales.

Si tiene alguna pregunta, no dude en preguntar en los comentarios. ¡Siempre estaré feliz de escuchar tu opinión!

Yo, como muchas personas involucradas en la administración de sistemas, estoy un poco paranoico. Creo que me están robando mis datos. Que nadie los necesite excepto yo ("y muchos intrusos que duermen y ven cómo conseguir mis fotos, una selección de música y películas, y ...", estas son las palabras de mi paranoico interior) y no son necesario, pero no estará de más protegerse.

¿Qué pasa si roban la computadora portátil?

El caso más simple es que el ladrón reformateará inmediatamente el disco e instalará una versión limpia del sistema operativo. Queda por comprar una computadora portátil nueva, recuperarse de Time Machine y seguir trabajando tranquilamente. Este escenario es típico de un ladrón inteligente que conoce la función "Buscar mi Mac" y el sistema Pray.

Pero hay otro caso: el ladrón es estúpido o curioso. Si es estúpido, empezará a utilizar el portátil sin tocar el sistema. La historia reciente de la captura de un ladrón así se describe en el artículo "¿Por qué no le robas a un hacker?". Todo acabó mal para el ladrón y genial para el dueño del portátil.

Si el ladrón es curioso e inteligente, inmediatamente apagará las interfaces de red para que, incluso por casualidad, el sistema no se conecte y comenzará a estudiar de qué puede sacar provecho.

Comenzará a estudiar documentos, accederá a las claves, intentará acceder al llavero, mirará el historial de comandos en el shell y posiblemente encontrará una contraseña (en mi práctica hubo un caso en el que un colega muy rápido en una sesión de un un usuario curioso ingresó la contraseña del administrador, pero no la ingresó en el campo de solicitud de contraseña, sino solo en el shell, y la contraseña del administrador entró en .history). La contraseña en un caso clínico puede ser la misma para el sistema y para la base de datos 1Password. No puedes ir más lejos. Y luego, o penetración, o chantaje.

Espero que no creas que pedir una contraseña al iniciar sesión detendrá a alguien. La contraseña del firmware (al menos antes) se restableció enfocándose en quitar una de varias tarjetas de memoria y luego borrando la PRAM. Luego, modo de usuario único, un par de comandos y se cambió la contraseña. Si no quiere meterse con la contraseña del firmware, entonces se retira el disco de la computadora portátil, se conecta a otra computadora y se obtiene acceso a todos los datos.

Para protegerse contra las situaciones descritas, se implementó FileVault. En la primera versión, el directorio de inicio del usuario se colocaba en un contenedor cifrado (imagen de paquete disperso), cuya clave era la contraseña del usuario. Sin conocer la contraseña, no se pudo abrir el contenedor. No es necesario descartar la posibilidad de adivinar la contraseña, pero si la contraseña era compleja, entonces los datos estaban completamente seguros.

Tienes que pagar por la seguridad. Para hacer una copia de seguridad de los datos en Time Machine, debía cerrar sesión en su cuenta. Fue imposible realizar una restauración selectiva a través de la interfaz de Time Machine. Habilitar el cifrado empeoró el rendimiento de las operaciones con archivos, a veces en un 50%. También hubo otras complicaciones menores.

OS X Lion presentó una versión mejorada: FileVault 2, un sistema de cifrado de disco completo que utiliza el algoritmo XTS-AES 128.

Mientras investigaba el problema, recurrí a los artículos de MacFixIt "Acerca de FileVault 2 en OS X 10.7 Lion" y ArsTechnica "Cambios en el sistema de archivos en Lion".

Aquellos que deseen comprender los modelos matemáticos pueden leer el documento "Estándar IEEE P1619TM / D16 para la protección criptográfica de datos en dispositivos de almacenamiento orientados a bloques" y "No tan aterrador, XTS-AES".

La partición con EFI y Recovery HD permanece sin cifrar:

$ diskutil list /dev/disk0 #: TIPO NOMBRE TAMAÑO IDENTIFICADOR 0: GUID_partition_scheme *160,0 GB disk0 1: EFI 209,7 MB disk0s1 2: Apple_CoreStorage 159,2 GB disk0s2 3: Apple_Boot Recovery HD 650,0 MB disk0s3

1. Una vez inicializado el hardware, EFI encuentra el Recovery HD y transfiere el control al gestor de arranque /System/Library/CoreServices/boot.efi ubicado en esta partición.
2. El gestor de arranque tiene dos opciones: iniciar EfiLoginUI desde com.apple.boot.x y mostrar la pantalla de inicio solicitando una contraseña de inicio de sesión o, si se presionó la combinación Opción-R, el shell de recuperación del sistema desde com.apple.recovery.boot. .
3. Las claves para descifrar la unidad se almacenan en el archivo EncryptedRoot.plist.wipekey en el directorio /com.apple.boot.x/System/Library/Caches/com.apple.corestorage. La contraseña del usuario descifra las claves del disco contenidas en este archivo. Luego se almacenan en la memoria y el contenido del disco se descifra sobre la marcha. Cada vez que se cambia la contraseña de un usuario, se agrega un nuevo usuario y operaciones similares, se regenera EncryptedRoot.plist.wipekey.

FileVault también funciona para usuarios que inician sesión a través de OpenDirectory: sus atributos de acceso se almacenan en caché en caso de que no estén conectados al servidor de directorio.

El rendimiento de las operaciones de disco con FileVault 2 habilitado, según las pruebas de Anandtech, se deteriora no más del 20-30%, lo cual es bastante aceptable. Sin embargo, hay que tener en cuenta que existe una dependencia del procesador y del disco. Los nuevos procesadores Intel utilizan conjuntos de instrucciones AES-NI para acelerar las Instrucciones estándar de cifrado avanzado Intel® (AES-NI) AES y realizar un mejor trabajo de cifrado de disco que los procesadores Core 2 Duo más antiguos. Cada uno toma una decisión en función de su propio hardware.

Si roban la Mac, será casi imposible acceder a los datos (suponiendo una contraseña compleja y respuestas no obvias a las preguntas clave de recuperación de Apple). Sólo tienes que comprar una Mac nueva y no preocuparte demasiado por la vulneración de contraseñas y el uso de datos.

Time Machine ahora funciona sin tener que cerrar sesión en su cuenta. Ahora necesita guardar los datos de Time Machine, pero es mejor colocarlos en una partición cifrada (cómo hacerlo se describe en el artículo Mac OS X Lion FileVault 2 y Time Machine External Drive Encryption).

De las "características", debe recordar que al iniciar con la opción presionada, la sección "Recuperación HD" será inaccesible; para iniciar desde allí, debe mantener presionada la combinación de teclas Comando-R.

Activación

Activar FileVault 2 es fácil. Preferencias del sistema/Seguridad y privacidad/FileVault, haga clic en el candado para realizar cambios, active FileVault. Asegúrese de guardar la clave y las respuestas a las preguntas de recuperación de claves en un lugar seguro y necesariamente cifrado (si elige guardarla en Apple). El sistema le pedirá que reinicie. Inmediatamente después de la carga, se le solicitará su contraseña y después de iniciar sesión, podrá trabajar inmediatamente. No necesitas esperar horas para que se cifre la partición, esta operación se realiza en segundo plano mientras estás trabajando a pleno rendimiento:

Con el lanzamiento de iCloud, aparecerá la función "Buscar mi Mac", en la que, por analogía con "Buscar mi iPhone / iPad", cuando aparece una Mac en la red, puede mostrar un mensaje con una señal sonora, bloquear el Mac, o incluso destruir el contenido de un disco cifrado (puedo suponer que las claves de cifrado y el disco se convierten en una matriz de datos inútil).

La mayoría de los usuarios de Mac utilizan una contraseña de inicio de sesión para proteger sus datos y archivos del acceso no autorizado. Sin embargo, ¿es tan seguro como comúnmente se cree? Al final resultó que, en realidad no. Hay muchas formas de restablecer su contraseña, brindándole acceso a toda la información almacenada en su Mac. Sin embargo, existe una solución a este problema: FileVault. Hablaremos de ello hoy.

¿Qué es la bóveda de archivos?

FileVault es un sistema de cifrado de datos que utiliza el algoritmo XTS-AES-128 con una longitud de clave de 256 bits, lo que proporciona un nivel de seguridad extremadamente alto. La clave de cifrado en sí se genera en función de la contraseña del usuario mediante el algoritmo PBKDF2. Toda la información en el futuro se almacenará en fragmentos de 8 MB.

Por extraño que parezca, la función funciona de forma bastante sencilla: todos los datos se copian en una imagen de disco cifrada y luego se eliminan del espacio desprotegido. Una vez completado el procesamiento de datos inicial, los archivos nuevos se cifrarán "sobre la marcha" en segundo plano. Hay soporte para Instant Wipe, que le permite borrar de forma segura toda la información del disco sin posibilidad de recuperación. Además, esta herramienta ofrece la opción de cifrar las copias de seguridad de Time Machine.

Cómo funciona FileVault

Durante la primera configuración, se crea una clave de recuperación para proteger contra la pérdida de la contraseña, que debe recordarse, ya que si se pierde el código, no será posible restaurar los datos. Alternativamente, puede configurar un restablecimiento de contraseña utilizando una cuenta de iCloud.

Una vez que hayamos activado FileVault, el proceso de inicio de la computadora cambia para garantizar la seguridad. Si antes era necesario ingresar la contraseña después de cargar la cuenta, ahora sucede antes, lo que elimina incluso la posibilidad potencial de restablecer la contraseña del usuario mediante cualquiera de los métodos conocidos (modo de usuario único, arranque desde medios externos y otros métodos). .

Por qué deberías usar FileVault

Es evidente que la contraseña de usuario no es suficiente para garantizar una seguridad y privacidad totales. Si tiene acceso físico a su computadora, restablecer su contraseña es solo cuestión de tiempo. En el caso del cifrado, puede estar seguro de que nadie tendrá acceso a los datos. Además, la utilidad fue desarrollada por Apple y ya está integrada en el sistema, lo que indica una integración total con el sistema.

Otra ventaja es que la cantidad de datos antes y después del cifrado no cambia.

Cuales son las desventajas

• El cifrado con FileVault tiene un impacto significativo en el rendimiento de Mac.
• No puede recuperar datos si olvida su contraseña y clave de recuperación.
• En caso de fallo del disco, los datos también se perderán para siempre.
• Las copias cifradas de Time Machine no le permiten restaurar un archivo específico, solo la copia completa.

Cómo configurar FileVault

• Inicie Preferencias del sistema.
• Nos dirigimos al elemento del menú "Protección y seguridad", luego a la pestaña "FileVault".
• Retire el bloqueo presionando el bloqueo en la esquina inferior izquierda.
• Seleccione "Habilitar FileVault".
• Aquí debemos elegir la opción de restablecimiento de contraseña que más nos convenga.
• En el caso de que hayamos elegido una clave de recuperación, se nos proporcionará un código que debemos recordar y guardar en un lugar seguro.

Queda por reiniciar nuestro Mac. Inmediatamente después de eso, se realizará el cifrado en segundo plano, mientras que la computadora se podrá utilizar sin restricciones.